一種基于行為特征的網(wǎng)絡(luò)攻擊檢測(cè)方法及裝置的制造方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及信息安全技術(shù)領(lǐng)域，尤其是一種基于行為特征的網(wǎng)絡(luò)攻擊檢測(cè)方法。
【背景技術(shù)】
[0002] 在互聯(lián)網(wǎng)迅速普及當(dāng)中，人們?cè)诟惺芫W(wǎng)絡(luò)所帶來(lái)的便利的同時(shí)，也面臨著各種各 樣的進(jìn)攻和威脅:機(jī)密泄漏、數(shù)據(jù)丟失、網(wǎng)絡(luò)濫用、身份冒用、非法入侵等數(shù)據(jù)表明，我國(guó)有 63.6%的企業(yè)用戶處于"高度風(fēng)險(xiǎn)"級(jí)別，每年因網(wǎng)絡(luò)泄密導(dǎo)致的經(jīng)濟(jì)損失高達(dá)上百億。
[0003] 隨著計(jì)算機(jī)網(wǎng)絡(luò)及相關(guān)技術(shù)的發(fā)展，網(wǎng)絡(luò)攻擊產(chǎn)生的速度越來(lái)越快、規(guī)模越來(lái)越 大、自動(dòng)化程度越來(lái)高，如蠕蟲病毒、DDos攻擊、僵尸網(wǎng)絡(luò)等已給網(wǎng)絡(luò)的正常使用帶來(lái)了極 大的威脅。
[0004] 目前，基于網(wǎng)絡(luò)行為分析的攻擊檢測(cè)方法主要有以下幾種：
[0005] (1)基于概率統(tǒng)計(jì)的網(wǎng)絡(luò)行為分析
[0006] 基于概率統(tǒng)計(jì)的方法通過對(duì)用戶行為進(jìn)行抽樣統(tǒng)計(jì)，對(duì)其穩(wěn)定的網(wǎng)絡(luò)行為進(jìn)行統(tǒng) 計(jì)分析。該方法基于概率統(tǒng)計(jì)理論，應(yīng)用較早，是目前最有流行的網(wǎng)絡(luò)行為分析方法。其優(yōu) 點(diǎn)是它的理論基礎(chǔ)概率統(tǒng)計(jì)已非常成熟。但在實(shí)際應(yīng)用中，不同的網(wǎng)絡(luò)用戶其操作習(xí)慣及 其行為很復(fù)雜，簡(jiǎn)單的概率統(tǒng)計(jì)難以給出精確匹配的網(wǎng)絡(luò)行為模式，因此其惡意攻擊代碼 的閥值難以確定，易造成誤報(bào)、漏報(bào)。
[0007] (2)基于機(jī)器學(xué)習(xí)的網(wǎng)絡(luò)行為分析方法
[0008] 基于機(jī)器學(xué)習(xí)的方法通過模仿人的學(xué)習(xí)原理，建立學(xué)習(xí)系統(tǒng)，并對(duì)機(jī)器進(jìn)行學(xué)習(xí) 訓(xùn)練，能夠識(shí)別用戶網(wǎng)絡(luò)行為特征。其主要研究?jī)?nèi)容是建立學(xué)習(xí)系統(tǒng)，并通過大量的樣本學(xué) 習(xí)訓(xùn)練。目前主要的方法有歸納法、神經(jīng)網(wǎng)絡(luò)、遺傳算法等。遺傳算法作為人工智能的一個(gè) 獨(dú)立分支，基于大量樣本進(jìn)行學(xué)習(xí)訓(xùn)練，能夠描述復(fù)雜的行為模式，其行為模型匹配程度 高，因此誤報(bào)率低，檢測(cè)速度快。但由于該方法需要大量的樣本，當(dāng)用戶行為發(fā)生變化時(shí)，無(wú) 法及時(shí)更新匹配。
[0009] (3)基于神經(jīng)網(wǎng)絡(luò)的網(wǎng)絡(luò)行為分析
[0010] 神經(jīng)網(wǎng)絡(luò)在網(wǎng)絡(luò)行為分析中的應(yīng)用成為了一個(gè)研究熱點(diǎn)，該方法能夠很好描述復(fù) 雜的非線性問題，并能通過學(xué)習(xí)訓(xùn)練進(jìn)行系統(tǒng)更新，該方法與統(tǒng)計(jì)理論相比，能夠更好地匹 配用戶行為模式，抗干擾能力強(qiáng)，且具有更快的分析速度。其缺點(diǎn)是需要確定各因素間的拓 撲結(jié)構(gòu)以及各因素之間的權(quán)重，這在實(shí)際操作中很難確定。
[0011] (4)基于數(shù)據(jù)挖掘的網(wǎng)絡(luò)行為分析方法
[0012] 數(shù)據(jù)挖掘方法擅長(zhǎng)從大量關(guān)系復(fù)雜的數(shù)據(jù)中提取數(shù)據(jù)特征，因此比較適用于網(wǎng)絡(luò) 用戶的復(fù)雜行為。近年來(lái)，數(shù)據(jù)挖掘在網(wǎng)絡(luò)行為分析中的應(yīng)用也成為了一個(gè)研究熱點(diǎn)。數(shù)據(jù) 挖掘方法在惡意代碼檢測(cè)中的應(yīng)用主要是聚類分析和關(guān)聯(lián)規(guī)則，其主要優(yōu)點(diǎn)是誤警率低、 適應(yīng)能力好、可以減輕數(shù)據(jù)過載。但同時(shí)它也存在檢測(cè)模型實(shí)時(shí)性實(shí)施困難、學(xué)習(xí)和評(píng)價(jià)計(jì) 算成本高、系統(tǒng)需要大量的訓(xùn)練數(shù)據(jù)等缺點(diǎn)。
[0013] 針對(duì)網(wǎng)絡(luò)攻擊行為的檢測(cè)，目前主要采用特征匹配、模式匹配和規(guī)則匹配算法，只 能實(shí)現(xiàn)對(duì)已知攻擊行為的檢測(cè)，而對(duì)于未知或變種攻擊的檢測(cè)目前主要是通過蜜罐技術(shù)、 基于異常的入侵檢測(cè)技術(shù)等?；诿酃薜臋z測(cè)技術(shù)在如何準(zhǔn)確高效地對(duì)大量復(fù)雜數(shù)據(jù)進(jìn)行 行之有效的自動(dòng)數(shù)據(jù)分析機(jī)制，無(wú)法有效地進(jìn)行未知及變種攻擊的檢查。而基于異常的入 侵檢測(cè)技術(shù)，很難實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)行為的正確建模，漏檢率和誤檢率很高。
[0014] 對(duì)于大規(guī)模的網(wǎng)絡(luò)攻擊行為檢測(cè)，目前很多系統(tǒng)借用了入侵檢測(cè)的方法，還有一 些結(jié)合蜜罐、日志統(tǒng)計(jì)等方法來(lái)發(fā)現(xiàn)攻擊。但這些方法通常是基于不同的安全需求和目標(biāo) 獨(dú)立開發(fā)，多局限于單一的主機(jī)或網(wǎng)絡(luò)架構(gòu)，系統(tǒng)間缺乏互用性，對(duì)大規(guī)模的網(wǎng)絡(luò)攻擊檢測(cè) 能力明顯不足。

【發(fā)明內(nèi)容】

[0015] 本發(fā)明所要解決的技術(shù)問題是:針對(duì)上述存在的問題，提供一種高準(zhǔn)確率及能夠 識(shí)別未知攻擊的基于行為特征的網(wǎng)絡(luò)攻擊檢測(cè)方法及裝置。
[0016] 本發(fā)明公開的基于行為特征的網(wǎng)絡(luò)攻擊檢測(cè)方法，包括：
[0017]步驟1:收集各類安全設(shè)備輸出的原始安全信息;并將所述原始安全信息轉(zhuǎn)換為統(tǒng) 一格式的安全事件;所述安全事件至少包含事件產(chǎn)生時(shí)間字段、事件標(biāo)識(shí)號(hào)字段、事件類型 字段、源IP地址字段及目的IP地址字段；
[0018]步驟2:根據(jù)各個(gè)字段內(nèi)容對(duì)所述安全事件進(jìn)行分類；
[0019] 步驟3:對(duì)源IP地址及目的IP地址均相同的且發(fā)生在一次監(jiān)測(cè)時(shí)期內(nèi)的各類安全 事件按照事件產(chǎn)生時(shí)間的先后順序進(jìn)行排序得到安全事件組合;查找安全事件關(guān)聯(lián)規(guī)則庫(kù) 中是否具有相同的安全事件組合，若具有則認(rèn)為目的IP地址對(duì)應(yīng)的主機(jī)遭受到攻擊并進(jìn)行 告警;若不具有則將這些安全事件存入關(guān)聯(lián)規(guī)則挖掘數(shù)據(jù)庫(kù)中；
[0020] 其中，安全事件關(guān)聯(lián)規(guī)則庫(kù)是這樣生成及定期更新的：定期統(tǒng)計(jì)關(guān)聯(lián)規(guī)則挖掘數(shù) 據(jù)庫(kù)內(nèi)關(guān)聯(lián)規(guī)則挖掘數(shù)據(jù)庫(kù)若干個(gè)源IP地址及目的IP地址均相同的不同類的安全事件在 該統(tǒng)計(jì)時(shí)間內(nèi)按照固定順序先后發(fā)生的次數(shù);將次數(shù)大于設(shè)定閾值的安全事件組合作為安 全事件關(guān)聯(lián)規(guī)則存入安全事件關(guān)聯(lián)規(guī)則庫(kù)中；清空關(guān)聯(lián)規(guī)則挖掘數(shù)據(jù)庫(kù)。
[0021] 進(jìn)一步，所述安全設(shè)備至少包括防火墻、入侵檢測(cè)系統(tǒng)、漏洞庫(kù)、殺毒軟件及主機(jī) 監(jiān)控系統(tǒng)。
[0022] 進(jìn)一步，所述安全事件的字段還包括:安全設(shè)備標(biāo)識(shí)號(hào)、源端口、目的端口、網(wǎng)絡(luò)協(xié) 議類型、優(yōu)先級(jí)及可信度。
[0023] 所述步驟1還包括合并冗余安全事件的步驟及去除錯(cuò)誤的安全事件的步驟；
[0024] 其中合并冗余安全事件的步驟包括：
[0025] 步驟11:判斷兩個(gè)安全事件的事件標(biāo)識(shí)號(hào)、安全設(shè)備標(biāo)識(shí)號(hào)、事件類型、源IP地址、 目的IP地址、源端口、目的端口及網(wǎng)絡(luò)協(xié)議類型是否均相同，若是則將這兩條安全事件的其 他字段內(nèi)容進(jìn)行合并得到一條安全事件;合并的具體做法是:將兩條安全事件的優(yōu)先級(jí)字 段內(nèi)容同時(shí)作為合并后安全事件的優(yōu)先級(jí);取兩條安全事件中較高的可信度為合并后安全 事件的可信度；
[0026] 去除錯(cuò)誤的安全事件的步驟包括：
[0027] 步驟12:首先檢測(cè)并得到某目標(biāo)IP地址對(duì)應(yīng)的主機(jī)的漏洞庫(kù);然后將該目標(biāo)IP地 址的安全事件逐一與所述漏洞庫(kù)進(jìn)行匹配，若匹配成功則將此安全事件的可信度置為最高 值，否則將該目標(biāo)IP地址的對(duì)應(yīng)的主機(jī)的操作系統(tǒng)、軟件版本、端口及網(wǎng)絡(luò)協(xié)議與所述安全 事件進(jìn)行匹配，若匹配成功則將此安全事件的可信度增加，若依然不匹配則將該安全事件 丟棄。
[0028] 步驟2進(jìn)一步包括：
[0029] 將安全事件各個(gè)字段內(nèi)容進(jìn)行量化；
[0030] 利用K-means聚類算法將已有的安全事件分為k類；
[0031] 當(dāng)有新的安全事件到來(lái)時(shí)，計(jì)算這條安全事件與原有各聚類中安全事件的相似 度;如果新安全事件與某聚類安全事件的相似程度大于設(shè)定的經(jīng)驗(yàn)閥值，則將這一安全事 件增加到該聚類當(dāng)中；如果新安全事件與多個(gè)聚類的安全事件的相似程度都大于所述經(jīng)驗(yàn) 閥值，那么將這些聚類合并為同一聚類，同時(shí)把新的安全事件加入其中；如果新安全事件與 任何一個(gè)聚類的安全事件的相似程度都達(dá)不到所述經(jīng)驗(yàn)閥值，則將該安全事件創(chuàng)建為新的 聚類。
[0032] 本發(fā)明還提供了一種基于行為特征的網(wǎng)絡(luò)攻擊檢測(cè)裝置，包括：
[0033] 安全事件獲取單元，用于收集各類安全設(shè)備輸出的原始安全信息；并將所述原始 安全信息轉(zhuǎn)換為統(tǒng)一格式的安全事件;所述安全事件至少包含事件產(chǎn)生時(shí)間字段、事件標(biāo) 識(shí)號(hào)字段、事件類型字段、源IP地址字段及目的IP地址字段；
[0034] 安全事件分類單元，用于根據(jù)各個(gè)字段內(nèi)容對(duì)所述安全事件進(jìn)行分類；
[0035]組合攻擊識(shí)別及告警單元，用于對(duì)源IP地址及目的IP地址均相同的且發(fā)生在同一 次監(jiān)測(cè)時(shí)期內(nèi)的各類安全事件按照事件產(chǎn)生時(shí)間的先后順序進(jìn)行排序得到安全事件組合； 查找安全事件關(guān)聯(lián)規(guī)則庫(kù)中是否具有相同的安全事件組合，若具有則認(rèn)為目的IP地址對(duì)應(yīng) 的主機(jī)遭受到攻擊并進(jìn)行告警;若不具有則將這些安全事件存入關(guān)聯(lián)規(guī)則挖掘數(shù)據(jù)庫(kù)中；
[0036] 安全事件關(guān)聯(lián)規(guī)則庫(kù)生成及定期更新單元，用于定期統(tǒng)計(jì)關(guān)聯(lián)規(guī)則挖掘數(shù)據(jù)庫(kù)內(nèi) 若干個(gè)源IP地址及目的IP地址均相同的不同類的安全事件在該統(tǒng)計(jì)時(shí)間內(nèi)按照固定順序 先后發(fā)生的次數(shù);將次數(shù)大于設(shè)定閾值的安全事件組合作為新的安全事件關(guān)聯(lián)規(guī)則存入安 全事件關(guān)聯(lián)規(guī)則庫(kù)中；清空關(guān)聯(lián)規(guī)則挖掘數(shù)據(jù)庫(kù)。
[0037] 所述安全事件獲取單元還包括冗余安全事件