基于主機(jī)出入度的網(wǎng)絡(luò)異常行為檢測方法
【專利摘要】本發(fā)明公開了一種基于主機(jī)出入度的檢測網(wǎng)絡(luò)異常行為的方法,從全新的角度提出了一種主機(jī)屬性判定,攻擊檢測方法,在技術(shù)難度較低,資源耗用較小的情況下能夠?qū)崿F(xiàn)一定量種類的網(wǎng)絡(luò)行為檢測,異常行為監(jiān)測。首先定義度、出度和入度;其中,度是四元組連接的數(shù)量;出度是指主機(jī)向其他主機(jī)發(fā)出的四元組連接的數(shù)量;入度是指主機(jī)接收其他主機(jī)的四元組連接的數(shù)量;該方法根據(jù)主機(jī)的出入度比例是否超出已知范圍,以實(shí)現(xiàn)網(wǎng)絡(luò)異常行為的檢測;不同業(yè)務(wù)主機(jī)的出入度比例范圍不同。
【專利說明】基于主機(jī)出入度的網(wǎng)絡(luò)異常行為檢測方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及網(wǎng)絡(luò)異常檢測技術(shù),尤其涉及一種基于主機(jī)出入度的檢測網(wǎng)絡(luò)異常行為的方法。
【背景技術(shù)】
[0002]在當(dāng)前的網(wǎng)絡(luò)安全行業(yè),針對網(wǎng)絡(luò)攻擊檢測、P2P流量凈化等領(lǐng)域,目前均采用傳統(tǒng)的包檢測技術(shù)(DPI)技術(shù)進(jìn)行協(xié)議識別從而進(jìn)行流量甄別,即使較新的DFI技術(shù),依舊是著眼于微觀的一條流一條流的進(jìn)行協(xié)議識別檢測。
[0003]而隨著各種協(xié)議加密的普及,在網(wǎng)絡(luò)安全攻防中各種偽造模仿協(xié)議的涌現(xiàn),包和流特征越來越難以被有效提取和識別。
【發(fā)明內(nèi)容】
[0004]有鑒于此,本發(fā)明提供了一種基于主機(jī)出入度的檢測網(wǎng)絡(luò)異常行為的方法,避免了包檢測帶來的上述問題。
[0005]為了解決上述技術(shù)問題,本發(fā)明是這樣實(shí)現(xiàn)的:
[0006]首先定義度、出度和入度;其中,度是四元組連接的數(shù)量;出度是指主機(jī)向其他主機(jī)發(fā)出的四元組連接的數(shù)量;入度是指主機(jī)接收其他主機(jī)的四元組連接的數(shù)量;
[0007]該方法根據(jù)主機(jī)的出入度比例是否超出已知范圍,以實(shí)現(xiàn)網(wǎng)絡(luò)異常行為的檢測;不同業(yè)務(wù)主機(jī)的出入度比例范圍不同。
[0008]該方法具體包括如下步驟:
[0009]步驟一、針對各種業(yè)務(wù)類型,獲取在正常情況下單位時間內(nèi)出入度比值范圍;
[0010]步驟二、進(jìn)行網(wǎng)絡(luò)行為檢測時,對線上每個IP地址的主機(jī)的出、入連接進(jìn)行檢測,記錄每一條連接是出還是入,以及建立連接的時間;
[0011]步驟三、實(shí)時統(tǒng)計(jì)每個IP地址的主機(jī)單位時間段內(nèi)的出度、入度,進(jìn)而得到出入度比值,并與步驟一獲得的各種業(yè)務(wù)類型的出入度比值范圍進(jìn)行比對,從而識別出各個IP地址的主機(jī)所提供的業(yè)務(wù)類型,并記錄;
[0012]步驟四、在后續(xù)針對每一個IP地址的主機(jī)單位時間出度、入度的跟蹤比對中,當(dāng)某一單位時間內(nèi),某一主機(jī)的出入度比值超出了已經(jīng)判定和記錄的該主機(jī)業(yè)務(wù)類型對應(yīng)的出入度比值范圍,但是該出入度比值符合步驟一獲得的其他業(yè)務(wù)類型的出入度比值范圍,則認(rèn)為該主機(jī)業(yè)務(wù)類型發(fā)生了變化,進(jìn)行記錄更新;
[0013]當(dāng)某一主機(jī)出入度比值發(fā)生突變,且不符合步驟一獲得的任何一種業(yè)務(wù)類型的出入度比值范圍時,報警,提醒該主機(jī)發(fā)生了異常行為,可能受到了攻擊。
[0014]優(yōu)選地,所述步驟一為:收集各種業(yè)務(wù)類型的主機(jī),并在網(wǎng)絡(luò)中運(yùn)行,跟蹤主機(jī)的出度和入度,通過開源機(jī)器學(xué)習(xí)算法獲得每種業(yè)務(wù)類型的主機(jī)在正常情況下,單位時間內(nèi)出度與入度的比值范圍。
[0015]優(yōu)選地,步驟一中,每類業(yè)務(wù)類型的主機(jī)均收集多個,采用同一業(yè)務(wù)類型的多個主機(jī)的出度和入度的平均值,獲得所述比值范圍。
[0016]優(yōu)選地,步驟二采用網(wǎng)絡(luò)數(shù)據(jù)包檢測分析系統(tǒng),對線上每個IP地址的主機(jī)的出、入連接進(jìn)行檢測。
[0017]有益效果:
[0018]本發(fā)明基于主機(jī)出入度檢測網(wǎng)絡(luò)行為,從全新的角度提出了一種主機(jī)屬性判定,攻擊檢測方法,在技術(shù)難度較低,資源耗用較小的情況下能夠?qū)崿F(xiàn)一定量種類的網(wǎng)絡(luò)行為檢測,異常行為監(jiān)測。
【具體實(shí)施方式】
[0019]下面舉實(shí)施例,對本發(fā)明進(jìn)行詳細(xì)描述。
[0020]大數(shù)的網(wǎng)絡(luò)異常檢測算法都是在計(jì)算機(jī)網(wǎng)絡(luò)的整體拓?fù)浣Y(jié)構(gòu)的基礎(chǔ)上進(jìn)行的研究與分析,卻很少考慮到單個主機(jī)的出入度與網(wǎng)絡(luò)異常之間的關(guān)系。根據(jù)計(jì)算機(jī)網(wǎng)絡(luò)的通信原理,以及一些網(wǎng)絡(luò)異常的傳播原理,例如蠕蟲病毒,首先本 申請人:猜想計(jì)算機(jī)網(wǎng)絡(luò)異常行為與主機(jī)的出、入度存在某種關(guān)系。通過實(shí)驗(yàn)發(fā)現(xiàn),某些網(wǎng)絡(luò)異常與主機(jī)的出、入度之間確實(shí)存在某種數(shù)學(xué)規(guī)律。在此基礎(chǔ)上,提出了一種基于“主機(jī)出入度”的網(wǎng)絡(luò)異常行為檢測方法,該方法在相對宏觀的角度,針對主機(jī),檢測IP地址的出度、入度,甄別主機(jī)的工作性質(zhì)從而粗略的分析該主機(jī)收發(fā)流量的應(yīng)用類型以及業(yè)務(wù)類型的突變識別。
[0021]為了更好地敘述和理解發(fā)明,下面給出“度”、“入度”和“出度”的定義。
[0022]度,是四元組連接數(shù),四元組由源IP+源端口號+目的IP+目的端口號組成。
[0023]出度,是指主機(jī)向其他主機(jī)發(fā)出的四元組連接數(shù)。
[0024]入度,是指主機(jī)接收其他主機(jī)的四元組連接數(shù)。
[0025]目前,網(wǎng)絡(luò)攻擊和入侵的主要方法通常有4種:
[0026]方法1、嗅探器和掃描嗅探器是利用計(jì)算機(jī)的網(wǎng)絡(luò)接口截獲目的地為其它計(jì)算機(jī)的數(shù)據(jù)報文的一種技術(shù)。網(wǎng)絡(luò)嗅探器通過被動地監(jiān)聽網(wǎng)絡(luò)通信、分析數(shù)據(jù)來非法獲得用戶名、口令等重要信息。掃描是指針對系統(tǒng)漏洞,對系統(tǒng)和網(wǎng)絡(luò)的遍歷搜尋行為。
[0027]由于漏洞的普遍存在,使得掃描手段經(jīng)常會被隱蔽地惡意使用,通過探測系統(tǒng)或網(wǎng)絡(luò)的有用信息,作為實(shí)施下一步攻擊的前奏。
[0028]方法2、利用傳輸協(xié)議中的漏洞發(fā)動攻擊,攻擊者利用一些傳輸協(xié)議在制定過程中存在的漏洞,通過惡意地請求資源導(dǎo)致服務(wù)超載,造成目標(biāo)系統(tǒng)無法正常工作或癱瘓,從而完成攻擊。如基于TCP/IP協(xié)議中“三次握手”的漏洞發(fā)動的SYN Flooding攻擊;通過發(fā)送大量的垃圾數(shù)據(jù)包耗盡接收端資源從而導(dǎo)致系統(tǒng)癱瘓的ICMP Flooding、NullstreamFlooding 攻擊等。
[0029]方法3、利用操作系統(tǒng)中的某些應(yīng)用服務(wù)漏洞發(fā)起攻擊由于操作系統(tǒng)中的某些應(yīng)用服務(wù)在邊界條件、資源釋放、函數(shù)指針等方面存在設(shè)計(jì)不當(dāng)或缺乏限制,因而造成了應(yīng)用服務(wù)漏洞。攻擊者正是利用這些漏洞對操作系統(tǒng)進(jìn)行攻擊,從而達(dá)到入侵系統(tǒng)或?qū)е孪到y(tǒng)崩潰的目的。如微軟的MS08-067遠(yuǎn)程溢出漏洞,就是由于Windows系統(tǒng)的Server在處理特定RPC請求時存在緩沖區(qū)溢出漏洞,導(dǎo)致遠(yuǎn)程攻擊者可以通過發(fā)送惡意的RPC請求觸發(fā)這個溢出,然后通過執(zhí)行惡意代碼完全入侵用戶系統(tǒng),并獲取對系統(tǒng)的控制權(quán),造成重要信息失竊以及系統(tǒng)崩潰等嚴(yán)重后果。
[0030]方法4、通過木馬程序進(jìn)行入侵或發(fā)動攻擊木馬是一種基于遠(yuǎn)程控制的黑客工具,其具有隱蔽性和非授權(quán)性的特點(diǎn)。當(dāng)木馬程序被成功非法植入到目標(biāo)主機(jī)中后,受害機(jī)就成為了黑客控制的傀儡主機(jī),而黑客則成了超級用戶,他可以通過木馬程序來收集系統(tǒng)中他所需要的一切重要信息,如口令、帳號、密碼等。同時,黑客還可以遠(yuǎn)程控制傀儡主機(jī)對別的主機(jī)發(fā)動攻擊,網(wǎng)絡(luò)中常見的DDoS攻擊就是大量傀儡主機(jī)在接到黑客發(fā)出的攻擊命令后,同時向被攻擊主機(jī)發(fā)送大量的服務(wù)請求數(shù)據(jù)包,從而導(dǎo)致被攻擊主機(jī)崩潰。
[0031]從上述四種常用的網(wǎng)絡(luò)攻擊和入侵的方法可見,這四種方法都與主機(jī)出入度有關(guān)系:
[0032]方法1,在掃描尋找目標(biāo)節(jié)點(diǎn)時,要對網(wǎng)絡(luò)進(jìn)行遍歷搜尋,該主機(jī)的出度肯定會突然變大,因?yàn)樵撝鳈C(jī)會在短時間內(nèi)對多臺不同的計(jì)算機(jī)進(jìn)行掃描。同樣,入度也會瞬間增大,因?yàn)闀卸鄺l信息反饋回來;而對于被入侵或被攻擊的主機(jī)而言,該主機(jī)的入度也可能瞬間增大,因?yàn)槊總€主機(jī)都有很多不同的端口,而不同端口提供的服務(wù)不同且漏洞也不同,因此所有的端口都可能被掃描,根據(jù)本文中“度”的定義,不同端口屬于不同的度,因此入度可能會瞬間增大。
[0033]方法2,是以方法I為基礎(chǔ),因?yàn)閳?zhí)行該方法時,首先要找到確定的目標(biāo)節(jié)點(diǎn),而這目標(biāo)節(jié)點(diǎn)往往都是通過掃描大量主機(jī)得到的,所以也會掃描其他主機(jī)。
[0034]方法3,在攻擊的時候,也可能導(dǎo)致度的變化,因?yàn)閷ふ衣┒吹臅r候,需要大量的掃描,在這期間也會引起度的巨大變化。
[0035]方法4,將其他主機(jī)變成傀儡機(jī)時,往往利用傀儡機(jī)進(jìn)行一些非法操作,例如繼續(xù)培植新的傀儡機(jī)的僵尸病毒,這時候,也會導(dǎo)致度的變化。
[0036]綜上所述,一般具有某一相對單一功能的主機(jī),其出度入度在一定時間段內(nèi),會具有一定范圍的比例關(guān)系,每種業(yè)務(wù)主機(jī),其出度入度的比例關(guān)系是不同的,而當(dāng)主機(jī)發(fā)起或受到上述攻擊類型時,該比例關(guān)系會有瞬間有較大幅度變化。
[0037]基于上述分析,本發(fā)明提供的基于主機(jī)出入度的檢測網(wǎng)絡(luò)異常行為的方法具體如下:
[0038]步驟一、針對各種業(yè)務(wù)類型,獲取在正常情況下單位時間內(nèi)出入度比值范圍。
[0039]本步驟中,收集一定數(shù)量的各種業(yè)務(wù)類型的主機(jī),如家用電腦,網(wǎng)站服務(wù)器,下載服務(wù)器、⑶N節(jié)點(diǎn),P2P服務(wù)器,令各種業(yè)務(wù)類型的主機(jī)在網(wǎng)絡(luò)中運(yùn)行,跟蹤其出度和入度,通過開源機(jī)器學(xué)習(xí)算法,獲得每種業(yè)務(wù)類型的主機(jī)在正常情況下,單位時間內(nèi)出度與入度的比值范圍。
[0040]其中,每類業(yè)務(wù)類型的主機(jī)可以均收集多個,采用同一業(yè)務(wù)類型的多個主機(jī)的出度和入度的平均值,獲得所述比值范圍。
[0041]步驟二、進(jìn)行網(wǎng)絡(luò)行為檢測時,使用傳統(tǒng)的網(wǎng)絡(luò)數(shù)據(jù)包檢測分析系統(tǒng),對線上每個IP地址的主機(jī)的出、入連接進(jìn)行檢測,記錄每一條連接是出還是入,以及建立連接的時間,以日志的形式匯總到數(shù)據(jù)庫。
[0042]步驟三、在數(shù)據(jù)庫中,實(shí)時對每個IP地址的主機(jī)單位時間段內(nèi)的出度、入度進(jìn)行統(tǒng)計(jì),進(jìn)而得到出入度比值,并與之前獲得的各類業(yè)務(wù)的出入度比值范圍進(jìn)行比對,從而識別出各個IP地址的主機(jī)的所提供的業(yè)務(wù)類型,也就是流量種類的粗識別,并記錄。
[0043]步驟四、在后續(xù)針對每一個IP地址的主機(jī)單位時間出度、入度的跟蹤比對中,當(dāng)某一單位時間內(nèi),某一主機(jī)的出入度比值超出了已經(jīng)判定和記錄的該主機(jī)業(yè)務(wù)類型對應(yīng)的出入度比值范圍,但是該出入度比值符合已經(jīng)收集到的其他業(yè)務(wù)類型的出入度比值范圍,則記錄日志認(rèn)為該主機(jī)業(yè)務(wù)類型發(fā)生了變化,進(jìn)行記錄更新。
[0044]當(dāng)某一主機(jī)出入度比值發(fā)生突變,且不符合事先已經(jīng)收集的任何一種業(yè)務(wù)類型的出入度比值范圍的時候,則報警,提醒該主機(jī)發(fā)生了異常行為,可能受到了攻擊。
[0045]綜上所述,以上僅為本發(fā)明的較佳實(shí)施例而已,并非用于限定本發(fā)明的保護(hù)范圍。凡在本發(fā)明的精神和原則之內(nèi),所作的任何修改、等同替換、改進(jìn)等,均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)。
【權(quán)利要求】
1.一種基于主機(jī)出入度的檢測網(wǎng)絡(luò)異常行為的方法,其特征在于,定義度、出度和入度;其中,度是四元組連接的數(shù)量;出度是指主機(jī)向其他主機(jī)發(fā)出的四元組連接的數(shù)量;入度是指主機(jī)接收其他主機(jī)的四元組連接的數(shù)量; 該方法根據(jù)主機(jī)的出入度比例是否超出已知范圍,以實(shí)現(xiàn)網(wǎng)絡(luò)異常行為的檢測;不同業(yè)務(wù)主機(jī)的出入度比例范圍不同。
2.如權(quán)利要求1所述的方法,其特征在于,該方法具體包括如下步驟: 步驟一、針對各種業(yè)務(wù)類型,獲取在正常情況下單位時間內(nèi)出入度比值范圍; 步驟二、進(jìn)行網(wǎng)絡(luò)行為檢測時,對線上每個IP地址的主機(jī)的出、入連接進(jìn)行檢測,記錄每一條連接是出還是入,以及建立連接的時間; 步驟三、實(shí)時統(tǒng)計(jì)每個IP地址的主機(jī)單位時間段內(nèi)的出度、入度,進(jìn)而得到出入度比值,并與步驟一獲得的各種業(yè)務(wù)類型的出入度比值范圍進(jìn)行比對,從而識別出各個IP地址的主機(jī)所提供的業(yè)務(wù)類型,并記錄; 步驟四、在后續(xù)針對每一個IP地址的主機(jī)單位時間出度、入度的跟蹤比對中,當(dāng)某一單位時間內(nèi),某一主機(jī)的出入度比值超出了已經(jīng)判定和記錄的該主機(jī)業(yè)務(wù)類型對應(yīng)的出入度比值范圍,但是該出入度比值符合步驟一獲得的其他業(yè)務(wù)類型的出入度比值范圍,則認(rèn)為該主機(jī)業(yè)務(wù)類型發(fā)生了變化,進(jìn)行記錄更新; 當(dāng)某一主機(jī)出入度比值發(fā)生突變,且不符合步驟一獲得的任何一種業(yè)務(wù)類型的出入度比值范圍時,報警,提醒該主機(jī)發(fā)生了異常行為,可能受到了攻擊。
3.如權(quán)利要求2所述的方法,其特征在于,所述步驟一為:收集各種業(yè)務(wù)類型的主機(jī),并在網(wǎng)絡(luò)中運(yùn)行,跟蹤主機(jī)的出度和入度,通過開源機(jī)器學(xué)習(xí)算法獲得每種業(yè)務(wù)類型的主機(jī)在正常情況下,單位時間內(nèi)出度與入度的比值范圍。
4.如權(quán)利要求3所述的方法,其特征在于,步驟一中,每類業(yè)務(wù)類型的主機(jī)均收集多個,采用同一業(yè)務(wù)類型的多個主機(jī)的出度和入度的平均值,獲得所述比值范圍。
5.如權(quán)利要求2所述的方法,其特征在于,步驟二采用網(wǎng)絡(luò)數(shù)據(jù)包檢測分析系統(tǒng),對線上每個IP地址的主機(jī)的出、入連接進(jìn)行檢測。
【文檔編號】H04L12/26GK104135474SQ201410343212
【公開日】2014年11月5日 申請日期:2014年7月18日 優(yōu)先權(quán)日:2014年7月18日
【發(fā)明者】賀欣, 劉剛, 王大偉, 劉永強(qiáng), 王秀文, 杜大帥, 張慧, 李城龍, 賀龍濤 申請人:國家計(jì)算機(jī)網(wǎng)絡(luò)與信息安全管理中心