本发明专利技术公开了一种基于办公局域网稳态模型的异常流量筛选方法,目的是基于用户可控的未知攻击流量筛选方法,有效应对日益泛滥的APT攻击。技术方案是基于办公局域网构建多维度稳态模型,利用信息熵来描述网络环境的稳定态,从链接次数与链接流量两个维度搭建流量模型,并通过维度融合将两者进行融合得到网络环境的信息熵,根据信息熵值变化幅度判断目的主机是否处于稳定态。基于已有稳态模型,合理综合用户需求,利用用户设定的筛选概率值调整异常流量的检测尺度,筛选异常流量。本发明专利技术相比于现有方法能够充分体现自身网络环境特征,更好的应对办公局域网未知APT攻击,且筛选规模人为可控,对异常流量进行高效筛选。
【技术实现步骤摘要】
本专利技术涉及计算机领域中网络攻击的检测方法,尤其是基于办公局域网流量进行 网络攻击检测的方法。
技术介绍
近年来,以"震网"(Stuxnet)、"毒区"(Duqu)及"火焰"(Flame)病毒为代表的"高 级持续威胁"(Advanced Persistent Threat,APT)层出不穷,给网络安全提出了更高的要 求。APT是有组织、有目的的具有全面计算机入侵能力的人员开发的,用来完成特定目标的, 持续性存在于受害主机上,并以一定互动水平与操控者交互的恶意软件。 APT不是一种单一的攻击手段,而是多种攻击手段的组合,因此无法通过单一的防 护手段进行阻止和防御。APT本质上是更为高级的木马或更为高级的僵尸网络(BOTNET)。 根据StuxnetDuqu等具有APT行为特征的蠕虫病毒分析报告来看,我国信息化建设和重要 信息系统也可能受到来自某些国家和组织实施的前所未有的APT安全威胁,然而我国当前 面向重要网络信息系统的专业防护服务能力和产业化程度相对较低,尚难以有效应对APT 攻击,形势相当严峻。相比于传统的网络威胁,APT攻击的特点主要包括针对性、高级性、持 续性、潜伏性、专业性。针对APT的以上特点,可以看出对APT的防护会比以往的网络安全 威胁更难防护。未知的APT -旦潜入信息系统,将长期潜伏、难以发现。 当前的安全机制及网络安全检测产品普遍以已知威胁为防护目标,对于部分安全 事件有一定的防御效果。但是,这样的安全机制忽略了部署环境本身的差异性,对于APT攻 击中攻击者经常利用的"零日"(zero-day)漏洞等未知威胁,缺乏检测能力,难以有效应对。 因此,为了应对此类攻击,一方面,构建安全机制必须充分了解自身网络环境特征,不仅要 了解已知威胁,也要利用自身环境特点防御未知威胁;另一方面,需要在了解自身环境的基 础上进行异常流量的有效筛选,因为APT攻击往往潜伏在目标系统中持续进行,攻击者会 间歇性的下达指令或者上传用户的重要信息,通过筛选这些异常流量能够便于网络管理员 进一步分析,发现攻击者异常行为。 总之,对于特征不一的诸多网络环境,充分利用自身网络环境特点,对具有诸多安 全特性的APT攻击的检测与防御已经成为网络与信息安全领域的一大难题,至今还没有十 分完美的解决方案。如何从自身网络环境出发,利用攻击行为造成的流量异常变化,筛选异 常流量,是应对APT攻击的重要手段。
技术实现思路
本专利技术要解决的技术问题是:针对日益泛滥的APT攻击,当前的安全机制及网络 安全检测产品普遍以已知威胁为防护目标,对于未知威胁缺乏检测能力、难以有效应对。 为解决以上技术问题,本专利技术利用攻击者行为造成的流量异常变化,从业务较为 单一的办公局域网出发,提供一种用户可控的对未知攻击流量进行筛选的技术方案,充分 体现自身网络环境特征,达到较好的检测办公局域网攻击的效果。本专利技术提供的解决方案 为:基于办公局域网构建多维度稳态模型,利用信息熵来描述网络环境的稳定态,从链接次 数与链接流量两个维度搭建流量模型。在此基础上,合理综合用户需求,利用用户可以调整 检测尺度的异常流量检测方案,从两个维度入手设计异常流量检测方法,从而达到有效对 异常流量进行高效筛选和筛选规模人为可控的目的。 本专利技术的技术方案为: 第一步,如图1所示,利用snort或者路由器netflow功能收集办公局域网的会话 信息,建立链接流量和链接次数的数据表。通过选定目的IP (记为DIP),设定评估时间粒 度Τ(Τ>0)以后,得到网内其他k(k为自然数)个IP (记为迅,IP2,…,IPk)与DIP在时间 T内的成功建链次数N(N多0)和链接流量L(L多0)。之后利用求办公局域网信息熵的方 法分别得到DIP建链次数的熵&和链接流量的熵Η 2。通过维度融合方案将两者进行融合 得到Η。最后由设定的稳定态阈值判定整个系统是否处于稳定态。具体步骤为: 步骤1. 1,将snort或者路由器netflow功能收集的会话信息存储到数据库,建立 链接流量和链接次数的数据表。读取用户设置的时间粒度T、时间间隔t、阈值α和检测概 率Ρ,临时变量m置为1。在用户选定需要考察稳定态的DIP和评估的时间粒度Τ之后,snort 或者路由器自动统计出时间T内,以t(t>0, T 一般为t的整数倍)为时间间隔,网内其他 IP (即迅,IP2,…,IPk)和DIP的成功建链次数&,N2, N3,. . .,Nk和链接流量k,L2, L3,. . .,Lk。 步骤1. 2,利用计算办公局域网信息熵的方法,分别对每个时间T内的建链次数和 链接流量进行信息熵的计算,得到DIP建链次数和链接流量的熵氏和Η 2。每个时间T内的 信息熵是由时间间隔t内的建链次数和链接流量计算获得。具体方法为: 1. 2. 1在时间粒度T内,每一小段时间间隔t内的网内其他IP(即迅,IP2,…,IPk) 与DIP的成功建链次数为&,N2,. . .,Nk。时间间隔t内,每个IP的链接次数占总的链接次 数的比率为N为总的链接次数,即《根据信息熵的定 义,在给定的时间间隔t内,DIP链接次数的信息熵为HfPfln PfPdln P2+. ..+Pk*ln Pk, 其中In为数学中的In函数。 1. 2. 2在时间粒度T内,每一小段时间间隔t内的网内其他IP(即ΠΥ IP2,…,IPk) 与DIP的链接流量为Q,L2,. . .,Lk。时间间隔t内,每个IP的链接流量占总的链接流量 的比率为L为总的链接流量,即。根据信息熵的定义, 在给定的时间间隔t内,DIP链接流量的信息熵为Η2= 41η P' i+P' 2*ln 2+~ +P, k*ln P, k。 步骤1. 3,融合两个维度得到的信息熵值。融合方法如下: 1.3. 1在时间粒度T内,每个时间间隔t内得到两种维度下的信息熵值 为 Hjt!),H! (t2),· · ·,Hjtj 和 Hjt!),H2(t2), · · ·,H2(tn),其中 n = T/t,ti= i*t (i =1,2,...,n)。评估两种维度下信息熵的相关性,相关性计算方法如下:相关系数其中和分别为链接次数和链接流量信息熵值的平均 值,即 1.3. 2若|r| <0.9代表两者没有很好的相关性,不适合融合,转步骤1. 1,重新选 取目的IP和时间粒度。否则0.9 < |r| <1,代表两者有较好的相关性,执行1.3. 3。 1. 3. 3利用公式分别对各个时间间隔进行 计算,得到新的信息熵值. . .,H(tn)。 步骤1. 4,对时间粒度T内的信息熵值H (tD,H (t2),. . .,H (tn)进行稳定态评估,绘 制信息熵值变化曲线,根据曲线变化幅度判定目的主机是否处于稳定态。这里可以利用方 差判断变化幅度。方差计算方法如下若方差值 大于阈值α (α >0),则在时间粒度T下,DIP不属于稳态,转步骤1.1,调整DIP和时间粒 度。若方差值小于阈值,则在该时间粒度下,DIP属于稳态,执行第二步。 第二步,如图1所示,在系统处于稳定态的基础上,进行异常流量的筛选。筛选立 足于检测出的异常流量可控,利用用本文档来自技高网...
【技术保护点】
一种基于办公局域网稳态模型的异常流量筛选方法,其特征在于包括以下步骤:第一步,网络环境稳定态评估,具体过程如下:1.1 利用网络工具收集办公局域网的会话信息,并存储到数据库,建立链接流量和链接次数的数据表;读取用户设置的时间粒度T、时间间隔t、阈值α和检测概率p,临时变量m置为1,m为正整数,T>0,t>0,T一般为t的整数倍,α>0,0<p<1;用户选定需要考察稳定态的目的IP,记为DIP,网络工具自动统计出时间T内,以t为时间间隔,网内其他IP,即IP1,IP2,…,IPk,和DIP的成功建链次数N1,N2,N3,...,Nk和链接流量L1,L2,L3,...,Lk;1.2 利用计算办公局域网信息熵的方法,分别对每个时间T内的建链次数和链接流量进行信息熵的计算,得到DIP建链次数的熵H1和链接流量的熵H2;具体方法为:1.2.1 在时间粒度T内,每一小段时间间隔t内,IP1,IP2,…,IPk的链接次数占总的链接次数的比率分别为N为总的链接次数,即根据信息熵的定义,在给定的时间间隔t内,DIP链接次数的信息熵为H1=P1*ln P1+P2*ln P2+...+Pk*ln Pk,其中ln为数学中的ln函数;1.2.2 在时间粒度T内,每一小段时间间隔t内,IP1,IP2,…,IPk的链接流量占总的链接流量的比率为L为总的链接流量,即根据信息熵的定义,在给定的时间间隔t内,DIP链接流量的信息熵为H2=P′1*ln P′1+P′2*ln P′2+…+P′k*ln P′k;步骤1.3,融合两个维度得到的信息熵值;融合方法如下:1.3.1 在时间粒度T内,每个时间间隔t内得到两种维度下的信息熵值为H1(t1),H1(t2),...,H1(tn)和H2(t1),H2(t2),...,H2(tn),其中n=T/t,ti=i*t;i=1,2,...,n;评估两种维度下信息熵的相关性,相关性计算方法如下:相关系数r=Σi=1n(H1(ti)-H1‾)(H2(ti)-H2‾)Σi=1n(H1(ti)-H1‾)2Σi=1n(H2(ti)-H2‾)2;]]>其中和分别为链接次数和链接流量信息熵值的平均值,即H1‾=Σi=1nH1(ti)/n,H2‾=Σi=1nH2(ti)/n;]]>1.3.2 若|r|<R代表两者没有很好的相关性,不适合融合,转1.1,重新选取目的IP和时间粒度,R为相关性判定基准,0.6<R<1;否则R≤|r|≤1,代表两者有较好的相关性,执行1.3.3;1.3.3 利用公式分别对各个时间间隔进行计算,得到新的信息熵值H(t1),H(t2),...,H(tn);1.4,对时间粒度T内的信息熵值H(t1),H(t2),...,H(tn)进行稳定态评估,绘制信息熵值变化曲线,根据曲线变化幅度判定目的主机是否处于稳定态;若在时间粒度T下,DIP不属于稳态,转1.1,调整DIP和时间粒度;若在该时间粒度下,DIP属于稳态,执行第二步;第二步,在系统处于稳定态的基础上,进行异常流量的筛选;具体步骤为:2.1,从数据库中获得在各个时间段t1,t2,...,tn下,IP1,IP2,...,IPk与DIP的链接次数矩阵M(n,k),分别记为:M(1,1),...,M(1,k),M(2,1),...,M(2,k),...,M(n,1),...,M(n,k),其中M(a,b)的值表示时间段ta时IPb与DIP的链接次数,a=1,2,…,n,b=1,2,…,k;2.2,将矩阵M(n,k)中的值进行排序,记排序后矩阵M(n,k)中的值从小到大分别为M1,...,Mn*k;2.3,从最小的链接次数M1开始寻找m,使得M1+M2+...+MmMsum≤p≤M1+M2+...+Mm+1Msum,]]>其中Msum是所有IP的链接次数的总和,即m为安全门限,第1~m台主机的对应时间段的流量值都可以被筛选出来进行进一步分析;筛选出的流量即为异常度为p的流量值。...
【技术特征摘要】
【专利技术属性】
技术研发人员:孙一品,夏雨生,陈曙晖,庞立会,钟求喜,王飞,张博锋,刘宇靖,
申请(专利权)人:中国人民解放军国防科学技术大学,
类型:发明
国别省市:湖南;43
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。