一种基于流量特征分析的内网威胁检测系统及方法技术方案

本发明专利技术公开了一种基于流量特征分析的内网威胁检测系统及方法。系统包括流量限定模块；流量特征模块和部署调整模块。方法包括：通过流量限定模块进行内网端口的流量超限检测；通过流量特征模块进行内网端口的流量特征检测，并进行威胁检测措施；通过部署调整模块对变更后的内网端口进行部署调整措施。本发明专利技术针对在实际情况中，很多内网端口会暴露在在外，存在遭遇社工入侵的威胁的情况，通过获取内网交换机的管理权限后进行所有端口的流量监控，监控可能有异常接入的行为进行预警，通过不断的学习更正，使预警更精准，为内网社工入侵提供有力的防护保障。供有力的防护保障。供有力的防护保障。

【技术实现步骤摘要】
一种基于流量特征分析的内网威胁检测系统及方法


[0001]本专利技术涉及一种内网威胁检测系统，涉及网络通信
，具体涉及一种基于流量特征分析的内网威胁检测系统及方法。

技术介绍

[0002]当前电力系统通信网，公安视频专网等内网专网对网络安全性要求非常高，它们与互联网是物理隔离的，一些网络通道上也部署了IDS/IPS入侵检测系统。但是针对内网服务分步散，终端设备多的情况，入侵检测系统只能部署在重要服务前进行重点保护，无法做到网络全面检测防护。另外，IDS/IPS等基于特征库比对的检测手段在内网环境中存在特征库无法及时更新的情况。
[0003]在面对针对重要内网环境的社工入侵时，当前的检测防护手段很难做到对终端册或者下层服务器进行检测防御。所以针对内网全网络检测方案是相对缺失的。

技术实现思路

[0004]为了解决
技术介绍
中的问题，本专利技术提供了一种基于流量特征分析的内网威胁检测系统及方法，通过规定主体算法中的时间点对应的范围内的流量限定、端口流量超限后的特征判断与学习方案以及有关流量监控的部署和调整问题的解决构建出整个算法的检测防御方法。
[0005]本专利技术采用的技术方案如下：
[0006]一、一种基于流量特征分析的内网威胁检测系统：
[0007]系统包括用于对内网端口进行流量超限检测的流量限定模块。
[0008]系统包括用于对经过流量限定模块的流量超限检测后的内网端口进行流量特征检测的流量特征模块。
[0009]系统包括对变更后的内网端口进行部署调整措施的部署调整模块。
[0010]内网威胁检测系统中包括时间点对应的范围内的流量限定、端口流量超限后的特征判断与学习方案以及有关流量监控的部署和调整问题。其中范围限定界定了基础的流量总量与时刻之间的限定关系，特征判断与学习方案是通过流量的变化特征来鉴定行为的一个数学模型分析，还包含了AI学习策略，最后的部署和调整问题是对整个模型在经历改变之后，如何对特定端口的处理描述。内网威胁检测系统中还考虑到性能消耗，包括空间和时间的消耗性能。
[0011]二、一种内网威胁检测系统的内网威胁检测方法，包括：
[0012]S1、针对内网的每个端口，将端口当前时刻的流量输入流量限定模块中进行流量超限检测并获得超限检测结果。
[0013]S2、将经过流量限定模块的流量超限检测后的端口当前时刻的流量及其超限检测结果，以及端口当前时刻之前的第一预设时间段的流量输入流量特征模块中进行流量特征检测并获得特征检测结果，流量特征模块根据特征检测结果对端口当前时刻的流量进行威
胁检测措施。
[0014]S3、当内网端口进行变更后，通过部署调整模块对变更后的内网端口进行部署调整措施。
[0015]所述的步骤S1中，流量超限检测具体为检测端口当前时刻的流量是否超过端口当前时刻之前的第二预设时间段的流量允许上浮沉积和，若端口当前时刻的流量不超过端口当前时刻之前的第二预设时间段的流量允许上浮沉积和，则将端口当前时刻的流量的预设威胁值继续作为端口当前时刻的流量的威胁值，若端口当前时刻的流量超过端口当前时刻之前的第二预设时间段的流量允许上浮沉积和，则将端口当前时刻的流量的预设威胁值减去预设超限值并作为端口当前时刻的流量的威胁值，从而获得超限检测结果。
[0016]所述的端口当前时刻之前的第二预设时间段的流量允许上浮沉积和具体为获得端口当前时刻之前的第二预设时间段内的各个时刻的流量，从而获得流量允许上浮乘积和S
I
，具体如下：
[0017][0018]其中，a1表示允许上浮比例；I表示端口当前时刻之前的第二预设时间段内的时刻数；T
i
和p
i
分别表示端口当前时刻之前的第二预设时间段内的第i个时刻的流量值及其占比值。
[0019]将端口当前时刻之前的第二预设时间段内的各个时刻与第二预设时间段的中线间隔取动态分布曲线从而获得第二预设时间段内的各个时刻的流量值的占比值，第二预设时间段内的各个时刻的流量值的占比值综合为1，第二预设时间段具体可包括12个时刻。
[0020]所述的步骤S2中，流量特征模块中包括内网每个端口的特征池和告警池，每个端口的特征池中包括端口的若干预设流量特征曲线，预设流量特征曲线即端口在第一预设时间段的时间长度内的预设流量变化。
[0021]流量特征检测具体为根据当前时刻及其之前的第一预设时间段内各个时刻的流量获得当前的流量特征曲线，将当前的流量特征曲线与特征池内的各个预设流量特征曲线进行比较并判断当前的流量特征曲线是否是安全曲线，若当前的流量特征曲线不是安全曲线，则将当前的流量特征曲线加入告警池中，将端口当前时刻的流量的威胁值减去预设特征威胁值，从而获得特征检测结果，并进行威胁检测措施，进行告警并对端口当前时刻的流量进行禁用，若经管理员认证为安全曲线，则将当前的流量特征曲线加入特征池中；若当前的流量特征曲线是安全曲线，则将当前的流量特征曲线加入特征池中，并进行威胁检测措施，不进行告警并对端口当前时刻的流量进行放行。
[0022]所述的将当前的流量特征曲线与特征池内的各个预设流量特征曲线进行比较并判断当前的流量特征曲线是否是安全曲线，具体为当当前的流量特征曲线与特征池内的一个或几个预设流量特征曲线判断相似，则当前的流量特征曲线为安全曲线，针对每个预设流量特征曲线，在预设流量特征曲线和当前的流量特征曲线进行比较时，当预设流量特征曲线中的每个时刻的流量和在当前的流量特征曲线中各自对应的每个时刻的流量之间的
差值小于等于预设流量差值，并且当前的流量特征曲线中每两个相邻时刻的流量之间的斜率小于等于预设斜率，则判断当前的流量特征曲线是安全曲线，否则当前的流量特征曲线不是安全曲线。
[0023]流量特征模块以流量特征来反应该端口的网络行为，所以针对每一个端口将会建立对应的流量特征池，该特征池中存储该端口的特征曲线，特征曲线的时间段相同，时间段中可包括6
‑
10个时刻。对于每个时刻，向前推移一个时间刻度，这段时间将产生一个特征曲线q，将q与该端口特征池中的特征曲线Qqi进行匹配，若能匹配上，则反应当前行为是已知行为，对其进行放行。对于已经不符合流量超限检测的流量，若在此时也无法匹配特征池中的特征曲线，则此流量的信任得分将进一步下降。其中，预设的每个端口默认流量行为评分是20分，根据流量超限的比例进行相应的减分。如超过限制流量为S
c
，则本端口的流量行为得分即为(20
‑
S
c
/S
I
*5)，且最小为0。
[0024]流量特征模块进行特征判断与学习，特征是设定的一个流量曲线，为当前时刻以及之前z
‑
1个取值点，形成的一个曲线。该曲线一定程度上反应了该端口的一个行为，所以判断该曲线是否为正常的曲线(行为)实际上就是反应该行为是否被本算法认定为一个合理的行为。而合理的判断方法是通过特征池的比对，如果特征池中有本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于流量特征分析的内网威胁检测系统，其特征在于：包括用于对内网端口进行流量超限检测的流量限定模块；包括用于对经过流量限定模块的流量超限检测后的内网端口进行流量特征检测的流量特征模块；包括对变更后的内网端口进行部署调整措施的部署调整模块。2.根据权利要求1所述的内网威胁检测系统的内网威胁检测方法，其特征在于，包括：S1、针对内网的每个端口，将端口当前时刻的流量输入流量限定模块中进行流量超限检测并获得超限检测结果；S2、将经过流量限定模块的流量超限检测后的端口当前时刻的流量及其超限检测结果，以及端口当前时刻之前的第一预设时间段的流量输入流量特征模块中进行流量特征检测并获得特征检测结果，流量特征模块根据特征检测结果对端口当前时刻的流量进行威胁检测措施；S3、当内网端口进行变更后，通过部署调整模块对变更后的内网端口进行部署调整措施。3.根据权利要求2所述的内网威胁检测系统的内网威胁检测方法，其特征在于：所述的步骤S1中，流量超限检测具体为检测端口当前时刻的流量是否超过端口当前时刻之前的第二预设时间段的流量允许上浮沉积和，若端口当前时刻的流量不超过端口当前时刻之前的第二预设时间段的流量允许上浮沉积和，则将端口当前时刻的流量的预设威胁值继续作为端口当前时刻的流量的威胁值，若端口当前时刻的流量超过端口当前时刻之前的第二预设时间段的流量允许上浮沉积和，则将端口当前时刻的流量的预设威胁值减去预设超限值并作为端口当前时刻的流量的威胁值，从而获得超限检测结果。4.根据权利要求3所述的内网威胁检测系统的内网威胁检测方法，其特征在于：所述的端口当前时刻之前的第二预设时间段的流量允许上浮沉积和具体为获得端口当前时刻之前的第二预设时间段内的各个时刻的流量，从而获得流量允许上浮乘积和S
I
，具体如下：其中，a1表示允许上浮比例；I表示端口当前时刻之前的第二预设时间段内的时刻数；T
i
和p
i
分别表示端口当前时刻之前的第二预设时间段内的第i个时刻的流量值及其占比值；将端口当前时刻之前的第二预设时间段内的各个时刻与第二预设时间段的中线间隔取动态分布曲线从而获得第二预设时间段内的各个时刻的流量值的占比值。5.根据权利要求2所述的内网威胁检测系统的内网威胁检测方法，其特...

【专利技术属性】
技术研发人员：李勇军，赵增良，张壮壮，戴前，
申请(专利权)人：杭州瑞晟博科技有限公司，
类型：发明
国别省市：