【技术实现步骤摘要】
计算机网络中的动态入侵检测与防御
技术介绍
[0001]计算机网络容易受到各种类型的网络威胁。对威胁模式的监测在计算机网络中至关重要。入侵检测和防御系统(IDPS)通常被实现为检测不同类型的网络威胁的发生,并防止它们影响计算机网络的性能和安全。由于所有的计算机网络都不一样,它们容易受到不同类型的网络威胁,因此需要实现不同的规则来防止网络威胁。
附图说明
[0002]附图构成说明书的一部分,并用于提供对本公开的进一步理解。这样的附图示出了用于描述与本公开相关的原理的本公开的示例性实现方式。在附图的图示中,以示例的方式而不是以限制的方式来说明实现方式,其中相似的标号表示相似的元件。应当注意的是,本公开中提及“一”或“一个”实现方式不一定是指相同的实现方式,并且它们指的是至少一个。在附图中:
[0003]图1示出了根据本公开的实现方式,包括执行入侵检测和防御的系统的环境;
[0004]图2示出了根据本公开的实现方式,示出执行入侵检测和防御的系统的不同组件的框图;
[0005]图3示出了根据本公开的实现方式,包括位于一国家中的网络站点的集群的集群图表;
[0006]图4示出了根据本公开的实现方式,示出在预定时间段期间在网络站点上发生的DoS攻击的基线频率的网络攻击历史图表;
[0007]图5A、图5B和图5C示出了根据本公开的实现方式,在不同的情况下实现的不同严重性的规则集;以及
[0008]图6示出了根据本公开的实现方式,执行入侵检测和防御的方法的流程图。
具体实施方式>[0009]通常,基于计算机网络中发生的威胁的严重性、类别和持续时间,将规则集(规则的集合)用于入侵检测和防御(IDP)。这些规则集可以被打包在不同的集合中,例如,严格的集合、适度的集合和宽松的集合。严格的规则集可以包括大量规则,例如20,000条规则。与严格的规则集相比,适度的规则集可以包括更少的规则,例如15,000条规则,而与严格的规则集和适度的规则集相比,宽松的规则集可以包括最少数量的规则,例如12,000条规则。网络网关下载规则集,并基于预定义的网络策略应用规则集中的一个规则集,以检查和阻止恶意流量。
[0010]规则集中的规则的数量会影响IDP引擎的性能以及由IDP引擎检测到的误报的数量。检测到误报会影响可用性,因为审核、分类和解锁误报需要用户干预。选择宽松的规则集可以减少误报的数量。然而,这导致网络威胁的检测范围减小,例如可以检测到的网络威胁的不同类型减少。另一方面,选择严格的规则集会增加威胁检测的范围,但可能会导致误报的数量增加。因此,在不适应客户的网络威胁模式的情况下将规则集硬划分为一定集合
数量(例如,三个)的类别,无法最佳地平衡网络威胁的高检测范围与在计算机网络中检测到较低数量的误报之间的权衡。因此,需要一种动态地处理每个或一组相似网络站点所特有的威胁的每一类别和频率的IDP系统。
[0011]为了实现网络威胁的检测范围与误报的数量之间的平衡,本公开提供了一种集成要被应用于防止每个集群中的每个网络威胁的动态规则集的过程。
[0012]本公开描述了使用数据聚类技术对多个网络站点进行聚类。网络站点可以对应于组织的不同的办公室位置,例如,奥斯汀、芝加哥、休斯顿和圣何塞可以是组织的不同的办公室位置。使用数据聚类技术对多个网络站点进行聚类。通过数据聚类技术执行的集群表示以同一组中的网络站点彼此比其他组中的网络站点更相似的方式对多个网络站点进行分组。基于与操作特征相关的多个参数以及与多个网络站点相关联的网络威胁的细节来对多个网络站点进行聚类。网络威胁表示入侵者试图未经授权访问组织的网络,以窃取数据或执行其他恶意活动。网络威胁可以与不同的网络攻击相关联,例如拒绝服务(DoS)攻击、分布式DoS(DDoS)攻击、中间人(MITM)攻击、网络钓鱼攻击、勒索软件、病毒和蠕虫。主动网络攻击涉及修改、加密或损坏与运行在网络站点内的不同的用户设备相关联的数据。因此,与在多个网络站点中的每个网络站点上发生或尝试的不同网络攻击有关的细节可以被用作网络威胁的细节,用于对多个网络站点进行聚类。
[0013]可以在通过聚类被开发的多个集群上训练数据模型。在训练之后,可以执行数据模型以预测针对多个集群中的每个集群的每个网络威胁的威胁频率。例如,当存在三个网络站点集群时,可以针对这三个集群中的每一个集群,分别确定DoS攻击和网络钓鱼攻击的威胁频率(未来发生的可能性)。于是,可以确定每个网络威胁的预测的威胁频率与对应的基线频率之间的差。随后,通过集成适用于防止每个网络威胁的规则,可以针对每个集群配置动态规则集。被集成以配置动态规则集的规则的计数和类型可以取决于每个网络威胁的预测的威胁频率与关联于每个集群的对应的基线频率之间的差。
[0014]下面结合附图阐述的详细描述旨在描述本公开的各种实现方式,并且不旨在表示可以应用本公开的细节的唯一实现方式。本公开中描述的每个实现方式仅作为示例或说明来提供,并且不一定被解释为好于或优于其他实现方式。
[0015]图1示出了根据本公开的实施例,包括用于执行入侵检测和防御的系统102的环境。在一个实现方式中,系统102可以在云网络上被实现,并且可以包括存储器104、处理器106和通信模块108。系统102可以被配置为对多个网络站点110
‑
2至110
‑
n(统称为网络站点110)执行入侵检测和防御。在不同的实现方式中,网络站点110可以对应于一个或多个组织的不同的办公室、组织的不同的项目组等。网络站点110可以包括多个设备,诸如台式机、膝上型计算机、平板电脑、打印机、扫描仪、网络传感器、网络路由器、网络交换机等。网络站点110可以与例如因特网的公共网络112连接。在某些实现方式中,网络站点110内存在的设备可以通过安全网络隧道彼此通信。系统102可以通过公共网络112与网络站点110连接。
[0016]虚拟网关114可以在系统102上被配置或在与系统102和公共网络112连接的外部设备上被配置。作为存在于网络站点110内的设备的操作结果而生成的数据可以经由虚拟网关114被提供给系统102。这样的数据可以被称为遥测数据,并且可以包括由设备访问的数据、由使用设备执行的活动所生成的数据、以及在设备之间通信的数据。遥测数据可以包括与设备相关的原始遥测信息,诸如操作系统(OS)、带宽使用和设备所属站点的细节。备选
地或附加地,遥测数据可以包括诸如使用模式和性能影响的聚合信息。在接收时,系统102可以将数据存储在存储器104中。系统102可以处理这样的数据以检测和防止网络站点110上的入侵的发生。此外,非瞬态计算机可读存储介质116可以被用于存储负责执行入侵检测和防御的程序指令。
[0017]图2示出了根据本公开的实现方式,执行入侵检测和防御的系统102的不同的组件的框图。系统102包括存储器104、处理器106和接口200(类似于通信模块108)。系统102可以通过接口200发送和接收数据。存储器104可以存储程本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种方法,包括:使用数据聚类技术,基于多个参数对多个网络站点进行聚类,其中所述多个参数与关联于所述多个网络站点的操作特征和网络威胁相关;在通过所述聚类被开发的多个集群上训练一个或多个数据模型;执行所述一个或多个数据模型以预测针对所述多个集群中的每个集群的每个网络威胁的威胁频率;确定每个网络威胁的预测的所述威胁频率与对应的基线频率之间的差;以及通过集成适于防止每个网络威胁的规则来针对每个集群配置动态规则集,其中被集成以配置所述动态规则集的所述规则的计数取决于每个网络威胁的预测的所述威胁频率与关联于每个集群的所述对应的基线频率之间的所述差。2.根据权利要求1所述的方法,其中所述多个参数包括以下至少一项:网络段的位置得分、软件堆栈嵌入、基于跨所述网络段运行的关键应用和非关键应用的带宽消耗的得分、基于网络流量模式的得分、基于在所述网络段中被连接的不同类型的网络设备的数量的得分、基于用户分散的得分、基于所述网络段的声誉的得分、基于对所述网络段的网络威胁的得分、或基于网络分类和网络标签化的得分。3.根据权利要求1所述的方法,还包括在每个网络威胁的预测的所述威胁频率上训练所述一个或多个数据模型。4.根据权利要求1所述的方法,其中在所述配置期间,响应于每个网络威胁的预测的所述威胁频率与所述对应的基线频率之间的所述差超过预定阈值,新规则被添加到所述动态规则集,并且响应于每个网络威胁的预测的所述威胁频率与所述对应的基线频率之间的所述差低于所述预定阈值,现有的规则从所述动态规则集被移除。5.根据权利要求1所述的方法,其中所述多个参数与所述多个参数的时间戳一起被捕获。6.根据权利要求1所述的方法,其中所述基线频率包括在预定时间段内在所述多个网络站点上发生的不同的网络攻击的计数。7.根据权利要求1所述的方法,其中所述一个或多个数据模型中的每个数据模型在所述多个集群的单独的集群上被训练。8.根据权利要求1所述的方法,其中所述一个或多个数据模型为深度学习模型。9.根据权利要求1所述的方法,其中所述数据聚类技术为基于密度的噪声应用空间聚类DBSCAN。10.一种系统,包括:处理器;存储器,存储程序指令,所述程序指令当由所述处理器执行时,使所述处理器:使用数据聚类技术,基于多个参数对多个网络站点进行聚类,其中所述多个参数与关联于所述多个网络站点的操作特征和网络威胁相关;在通过所述聚类被开发的多个集群上训练一个或多个数据模型;执行所述一个或多个数据模型以预测针对所述多个集群中的每个集群的每个网络威胁的威胁频率;确定每个网络威胁的预测的所述威胁频率与对应的基线频率之间的差;以及
通过集...
【专利技术属性】
技术研发人员:A,
申请(专利权)人:慧与发展有限责任合伙企业,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。