一種服務器網絡行為描述方法
【技術領域】
[0001] 本發(fā)明涉及網絡異常流量檢測行為描述方法,特別是一種基于流量結構穩(wěn)定性的 服務器網絡行為描述方法���。
【背景技術】
[0002] 服務器通常作為IT系統(tǒng)中的核心設備提供網絡服務,因此服務器的安全防護顯 得尤為重要�����;針對服務器網絡安全防護問題�,根據防護手段特點可主要分為以下三類:(1) 基于網絡邊界部署入侵檢測系統(tǒng)、防火墻等防護設備���;(2)基于服務器日志關聯分析與挖 掘���;(3)對服務器進行流量分析。
[0003] 目前����,對服務器安全防護的主要手段是在網絡邊界部署IDS、IPS����、防火墻等邊界 設備,對進出服務器的流量進行檢測和過濾��;Snort是目前最常用的一個輕量級網絡入侵 檢測系統(tǒng),通常以基于規(guī)則的方式對特定網絡攻擊的流量特點進行描述���,當數據包或流量 符合某條規(guī)則�,則產生一條告警�;此外也有許多基于Snort進行改進的入侵檢測模型,比如 將基于特征值的多模式匹配算法應用到Snort的檢測引擎模塊中�����、結合多種防護設備(如 IPTABLES等)聯動的入侵防御系統(tǒng)等�����。
[0004] 基于日志的服務器安全檢測主要通過數據挖掘����、模式識別、關聯分析等方法對服 務器日志信息進行全方位的分析��,從而檢測服務器面臨的攻擊和潛在的威脅��;比如����,對服務 器事件進行時間分布統(tǒng)計���、周期模式挖掘和孤立點分析,從而用于服務器異常事件的檢測����; 以日志分析為基礎����、結合關聯規(guī)則與聯動技術對安全事件進行檢測等。
[0005] 從流量分析角度檢測服務器網絡異常���,根據流量分析方法�,可主要分為基于統(tǒng)計 分析�����、信號處理��、數據挖掘��、機器學習等網絡流量異常檢測�;比如,基于流量自相似統(tǒng)計特性 的異常流量檢測模型;基于小波分析的網絡流量異常檢測方法�����;基于數據挖掘算法抽取流 量特征并實現入侵檢測�����;基于貝葉斯網絡與時間序列分析的異常流量檢測方法��;基于神經 網絡的網絡流量檢測方法等�。
[0006] 當前入侵檢測的主要做法主要都是基于誤用檢測的思路,針對特定的網絡攻擊特 點�,編寫特定的流量檢測模式,然后將采集的流量數據與已知攻擊模式進行比對�����。其原理如 圖1所示�����,根據對已知的攻擊或入侵的特征做出確定性的描述���,形成相應的規(guī)則并匯總成 一個特征庫�����。檢測時����,將網絡采集的數據與特征庫中的已知攻擊和入侵特征規(guī)則進行一一 比對,如果發(fā)現與特征庫的規(guī)則匹配�����,則報告為入侵����,作入侵響應處理���;反之則報告為正常 數據���,流量正常通過。
[0007] 誤用檢測通過建立攻擊樣本描述每一種攻擊的特殊模式來檢測異常�����,該方法能準 確檢測已知的攻擊或入侵�,并且可提供詳細的攻擊類型和說明�����,是目前入侵檢測商用產品 中使用的主要方法�����。該檢測方式與計算機病毒的檢測方式類似�����,其查全率完全依賴于規(guī)則 庫的覆蓋范圍��,一旦攻擊者修改攻擊特征模式來隱藏自己的行為����,這種檢測方法就顯得無 能為力�,因此對新型攻擊或入侵的檢測效果很差,會產生較高的漏報率����;出現新的攻擊手段 時,需要把新的規(guī)則和檢測方法加入特征庫����,因此需要不斷更新和維護特征庫���;此外,為了 對多種攻擊進行檢測�����,系統(tǒng)需要維護一個龐大的攻擊模式庫���,檢測時必須與模式庫中的規(guī) 則一一匹配����,因此系統(tǒng)代價較高����。
[0008] 當前入侵檢測的主要做法都是基于誤用檢測的思路�����,針對特定的網絡攻擊特點�����, 編寫特定的流量檢測模式�����,然后將采集的流量數據與已知攻擊模式進行匹配;基于流量異 常特征的檢測方法的缺點是�,必須針對每種攻擊編寫對應的規(guī)則才能檢測出異常,然而隨 著網絡及應用環(huán)境日趨復雜���,原有策略難以檢測出層出不窮的新型網絡攻擊�����,而且在不同 應用場景下���,對網絡異常的界定更是存在許多分歧,因此基于異常特征的檢測方法適應性 及擴展性日益難以滿足防護需求��。
【發(fā)明內容】
[0009] 本發(fā)明提供一種服務器網絡行為描述方法�����。
[0010] 本發(fā)明采用的技術方案是:一種服務器網絡行為描述方法��,包括以下步驟:
[0011] (1)通過數據包嗅探模塊獲取出入服務器的流量信息�����;
[0012] (2)通過流量屬性抽取與計算模塊將流量信息根據流量屬性進行抽取,按時間窗 口對各流量屬性對應流量進行統(tǒng)計�,構成歷史數據;
[0013] (3)通過與歷史數據實時交互的系統(tǒng)參數學習模塊對獲取的歷史數據進行計算�, 得到基于流量結構穩(wěn)定性的系統(tǒng)參數;
[0014] (4)根據系統(tǒng)參數和歷史數據構建動態(tài)正常流量輪廓���;
[0015] (5)根據當前流量信息����,構建當前流量結構��;
[0016] (6)將正常流量輪廓和當前流量結構用差異性度量的方法比較�,根據差異值大小 判斷網絡是否正常。
[0017] 作為優(yōu)選��,所述系統(tǒng)參數學習模塊的計算步驟如下:
[0018] A��、以時間窗口為單位獲取流量結構屬性值��,表示當前時間窗口的流量結構��,得到 基于時間窗口的流量結構樣本�;
[0019] B���、剔除流量結構樣本中的異常值�����,獲得正常流量結構樣本��;
[0020] C����、根據正常流量結構樣本,分別統(tǒng)計各流量屬性的標準差0和平均值ii�,計算對 應屬性的變異系數c v:
[0021]
[0022] D、計算對應屬性的穩(wěn)定系數a (n):
[0023]
[0024] E�、得到基于穩(wěn)定系數的系統(tǒng)參數。
[0025] 作為優(yōu)選�,所述步驟B基于格拉布斯準則對樣本進行異常值剔除。
[0026] 作為優(yōu)選����,所述流量結構采用可視化的餅圖表示,每個扇形表示流量的一種屬性�����, 第n個屬性對應扇形的角度0 (n)計算方法如下:
[0027]
[0028] 將數據進行歸一化處理,正常流量輪廓作為基準餅圖�,當前流量結構作為比較餅 圖,兩個餅圖對應扇形的面積差為偏離度的衡量值���。
[0029] 本發(fā)明的有益效果是:
[0030] (1)本發(fā)明基于正常流量穩(wěn)定性��,對異常流量進行檢測����,對新型網絡攻擊檢測準確 度高����,降低網絡攻擊的漏報率;
[0031] (2)本發(fā)明以可視化的餅圖對流量結構進行描述�����,結果更加直觀和可靠�����;
[0032] (3)本發(fā)明構建動態(tài)的流量結構�����,充分考慮當前流量規(guī)模及特點����。
【附圖說明】
[0033] 圖1為本發(fā)明流程圖。
[0034] 圖2為本發(fā)明基本原理示意圖����。
[0035] 圖3為本發(fā)明中流量結構基準示意圖。
[0036] 圖4為本發(fā)明結構流量示意圖�����。
[0037] 圖5為本發(fā)明差異性度量示意圖�。
[0038] 圖6為本發(fā)明流量結構屬性中標志位熵的緩慢變化特性及周期性。
[0039] 圖7為本發(fā)明流量結構屬性中平均包長的緩慢變化特性及周期新���。
[0040] 圖8為基于誤用檢測的技術方案原理圖�����。
[0041] 圖9為SYN包比例流量屬性的統(tǒng)計結果�����。
[0042] 圖10為IP信息熵流量屬性的統(tǒng)計結果���。
[0043] 圖11為IP相關性流量屬性的統(tǒng)計結果�����。
[0044] 圖12為TTL流量屬性的統(tǒng)計結果���。
[0045] 圖13為郵件服務器服務端口分布。
[0046] 圖14為郵件服務器協(xié)議分布�。
[0047] 圖15為郵件服務器數據包長分布。
[0048] 圖16為郵件服務器數據包訪問情況分布����。
【具體實施方式】
[0049] 下面結合附圖和具體實施例對本發(fā)明做進一步說明。
[0050] 一種服務器網絡行為描述方法��,包括以下步驟:
[0051] (1)通過數據包嗅探模塊獲取出入服務器的流量信息���;
[0052] (2)通過流量屬性抽取與計算模塊將流量信息根據流量屬性進行抽取��,按時間窗 口對各流量屬性對應流量進行統(tǒng)計�,構成歷史數據����;
[005