網(wǎng)絡(luò)行為異常檢測方法及系統(tǒng)的制作方法

專利名稱：：網(wǎng)絡(luò)行為異常檢測方法及系統(tǒng)的制作方法
技術(shù)領(lǐng)域：
：本發(fā)明涉及網(wǎng)絡(luò)安全領(lǐng)域，特別涉及網(wǎng)絡(luò)行為異常檢測方法及系統(tǒng)。
背景技術(shù)：
：近年來，網(wǎng)絡(luò)入侵檢測(NetworkIntrusionDetection)作為網(wǎng)絡(luò)安全保障的重要技術(shù)手段已經(jīng)成為網(wǎng)絡(luò)安全領(lǐng)域的研究重點(diǎn)和難點(diǎn)。一般地，網(wǎng)絡(luò)入侵檢測可分為誤用檢測(MisuseDetection)和異常檢測(AnomalyDetection)。誤用檢測主要通過對(duì)已知攻擊行為的深入分析，提取其相對(duì)應(yīng)的固定特征，然后對(duì)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行該特征的模式匹配，匹配上的網(wǎng)絡(luò)數(shù)據(jù)被認(rèn)為是網(wǎng)絡(luò)攻擊。異常檢測的一般原理是通過對(duì)網(wǎng)絡(luò)歷史數(shù)據(jù)的統(tǒng)計(jì)分析，預(yù)先建立網(wǎng)絡(luò)正?；顒?dòng)的輪廓，然后在檢測時(shí)統(tǒng)計(jì)當(dāng)前網(wǎng)絡(luò)數(shù)據(jù)形成的輪廓，如果當(dāng)前網(wǎng)絡(luò)數(shù)據(jù)的輪廓與網(wǎng)絡(luò)正?；顒?dòng)的輪廓的偏離程度超過一定范圍則認(rèn)為當(dāng)前發(fā)生了網(wǎng)絡(luò)攻擊。與誤用檢測相比，異常檢測由于具有發(fā)現(xiàn)未知攻擊行為的優(yōu)點(diǎn)，所以逐漸成為人們研究的熱點(diǎn)。^^艮據(jù)^r測對(duì)象的不同，網(wǎng)絡(luò)異常^r測可分為網(wǎng)絡(luò)流量異常^f全測和網(wǎng)全各行為異常檢測。網(wǎng)絡(luò)流量異常檢測主要以網(wǎng)絡(luò)數(shù)據(jù)包和數(shù)據(jù)流的數(shù)量為檢測對(duì)象，適用于以流量異常為特征的規(guī)模型網(wǎng)絡(luò)攻擊的檢測，具有較好的實(shí)時(shí)性。網(wǎng)絡(luò)行為異常檢測主要以網(wǎng)絡(luò)行為為檢測對(duì)象，不僅包括網(wǎng)絡(luò)數(shù)據(jù)數(shù)量行為的異常檢測，而且包括網(wǎng)絡(luò)數(shù)據(jù)質(zhì)量行為的異常檢測，較網(wǎng)絡(luò)流量異常檢測具有更強(qiáng)的檢測能力。目前，從公開文獻(xiàn)來看，本領(lǐng)域技術(shù)人員已對(duì)網(wǎng)絡(luò)行為異常檢測進(jìn)行了大量的研究工作，主要的檢測模型及方法包括概率統(tǒng)計(jì)、D-S證據(jù)融合、小波技術(shù)、分形理論、聚類、貝葉斯分類、置信度機(jī)器學(xué)習(xí)方法、數(shù)據(jù)挖掘方法、神經(jīng)網(wǎng)絡(luò)方法、模糊數(shù)學(xué)理論、人工免疫方法、支持向量片幾、馬爾可夫模型、K-鄰近方法等等。由此可見，人們已在網(wǎng)絡(luò)行為異常檢測領(lǐng)域取得了較好的階段性成果，然而，面對(duì)大規(guī)模高速網(wǎng)絡(luò)異常檢測的實(shí)際應(yīng)用需求，已公開的方法還存在著以下問題1、現(xiàn)有的檢測模型和方法出于追求更高檢測率和準(zhǔn)確率的考量，在模型和方法設(shè)計(jì)上較為復(fù)雜，對(duì)計(jì)算資源和存儲(chǔ)資源的要求較高，因而難以滿足大規(guī)模高速網(wǎng)絡(luò)異常檢測的實(shí)時(shí)性要求，往往僅能適用于局域網(wǎng)和指定目標(biāo)網(wǎng)絡(luò)的異常檢測。2、現(xiàn)有的大多數(shù)檢測方法在使用前需要正確的訓(xùn)練數(shù)據(jù)集進(jìn)行學(xué)習(xí)，但在實(shí)踐中卻很難找到這樣的訓(xùn)練數(shù)據(jù)集，所以嚴(yán)重影響了已有方法的實(shí)用性。3、現(xiàn)有的檢測模型和方法在各自適合的前提和環(huán)境下具有良好的檢測效果，但也呈現(xiàn)出一定程度的片面性，缺乏對(duì)不同應(yīng)用環(huán)境的適應(yīng)性。4、由于研究目的和關(guān)注問題的不同，現(xiàn)有的4企測才莫型和方法往;f主只側(cè)重于判定網(wǎng)絡(luò)是否存在攻擊(即網(wǎng)絡(luò)總體異常檢測)，而忽視了攻擊目標(biāo)以及攻擊源的發(fā)現(xiàn)問題。
發(fā)明內(nèi)容本發(fā)明的目的是克服現(xiàn)有的網(wǎng)絡(luò)異常檢測方法不適用于大規(guī)模高速網(wǎng)絡(luò)的缺陷，從而提供一種實(shí)時(shí)性好、準(zhǔn)確率高的網(wǎng)絡(luò)行為異常檢測方法。為了實(shí)現(xiàn)上述目的，本發(fā)明提供了一種網(wǎng)絡(luò)行為異常檢測方法，包括步驟1)、接收網(wǎng)絡(luò)數(shù)據(jù)包，對(duì)所得到的網(wǎng)絡(luò)數(shù)據(jù)包做協(xié)議還原，并根據(jù)所述協(xié)議還原的結(jié)果，建立所述網(wǎng)絡(luò)數(shù)據(jù)包所在的連接；步驟2)、為所建立的各個(gè)連接分別提取檢測特征，一個(gè)連接對(duì)應(yīng)一個(gè)由多個(gè)^r測特征所組成的^r測特征向量；步驟3)、將所述檢測特征向量中各個(gè)檢測特征的異常作為樸素可信度模型中的證據(jù)，計(jì)算證據(jù)可信度；其中，所述樸素可信度模型在可信度模型的基礎(chǔ)上增加了知識(shí)中的證據(jù)總是支持結(jié)論為真的假設(shè)；步驟4)、根據(jù)所述檢測特征向量中的各個(gè)檢測特征創(chuàng)建所述樸素可信度模型中的知識(shí)，計(jì)算所述知識(shí)的可信度；其中，在所述樸素可信度^t型的知識(shí)中，所述檢測特征中獨(dú)立的檢測特征對(duì)應(yīng)一個(gè)獨(dú)立的知識(shí)，而所述檢測特征中的相關(guān)檢測特征在同一個(gè)知識(shí)內(nèi)；步驟5)、將所述證據(jù)可信度以及所述知識(shí)的可信度代入樸素可信度模型的可信度計(jì)算公式，對(duì)網(wǎng)絡(luò)數(shù)據(jù)包所在連接是否存在網(wǎng)絡(luò)行為異常的結(jié)論事件進(jìn)行可信度計(jì)算。上述技術(shù)方案中，在所述的步驟l)中，所述的網(wǎng)絡(luò)數(shù)據(jù)包包括ICMP包、TCP包和UDP包，所建立的連接包括ICMP連接、TCP連接和UDP8連接。上述技術(shù)方案中，在所述的步驟l)中，建立所述的TCP包所在的連接包括步驟1-1-1)、檢測所接收到的TCP包是否為TCP同步包，若為TCP同步包，則將所述TCP同步包的源IP地址作為TCP連接的發(fā)起方IP地址，所述TCP同步包的目的IP地址和端口作為TCP連4妄的4妄收方IP;也址和端口，若不是TCP同步包，執(zhí)行下一步；步驟1-1-2)、檢測所接收到的TCP包是否為TCP同步應(yīng)答包，若為TCP同步應(yīng)答包，則將所述TCP同步應(yīng)答包的目的IP地址作為TCP連才妄的發(fā)起方IP地址，將所述TCP同步應(yīng)答包的源IP地址和端口作為TCP連接的接收方IP地址和端口，若不是TCP同步應(yīng)答包，1^l行下一步；步驟1-1-3)、檢測所接收的TCP包是否屬于已有的TCP連接，若屬于不為該TCP包建立新的TCP連接，否則為該TCP包建立一個(gè)TCP連4妾，所述TCP包的源IP地址為該TCP連4妄的發(fā)起方IP地址，所述TCP包的目的IP地址和端口為該TCP連接的接收方IP地址和端口。上述技術(shù)方案中，在所述的步驟l)中，建立所述的UDP包所在的連接包括步驟1-2-1)、為接收到的首個(gè)UDP包建立一個(gè)UDP連接，所述UDP包的源IP地址為該UDP連接的發(fā)起方IP地址，所述UDP包的目的IP地址和端口為該UDP連4姿的4妄收方IP地址和端口；步驟1-2-2)、判斷所接收的UDP是否屬于已有的UDP連接，若屬于，則不建立新的UDP連接，若不屬于，為該UDP包建立相應(yīng)的UDP連接。上述技術(shù)方案中，在所述的步驟1)中，建立所述的ICMP包所在的連接包括步驟1-3-1)、檢測所接收到的ICMP包是否為ICMPUnreachable包，若是，對(duì)所述ICMPUnreachable包做協(xié)議還原，為協(xié)議還原所得到的TCP包或UDP包建立相應(yīng)的TCP連接或UDP連接，若不是，則執(zhí)行下一步；步驟1-3-2)、為接收到的首個(gè)ICMP包建立一個(gè)ICMP連接，所述ICMP包的源IP地址為該ICMP連接的發(fā)起方IP地址，所述ICMP包的目的IP地址為該ICMP連接的4妄收方IP地址；步驟1-3-3)、判斷所接收到的ICMP包是否屬于已有的ICMP連接，若屬于，不再建立新的ICMP連接，否則，為接收到的ICMP包建立相應(yīng)的ICMP連接。上述技術(shù)方案中，在所述的步驟2)中，所述檢測特征向量至少包括以下沖企測特征中的至少兩個(gè)用于表示當(dāng)前連接的發(fā)起方發(fā)出的數(shù)據(jù)包數(shù)的檢測特征spkt、用于表示當(dāng)前連接的接收方發(fā)出的數(shù)據(jù)包數(shù)的檢測特征dpkt、用于表示在一定斗企測間隔時(shí)間內(nèi)與當(dāng)前連接具有相同發(fā)起方IP地址和相同接收方IP地址的連接數(shù)的檢測特征sip—dip—count、用于表示在一定檢測間隔時(shí)間內(nèi)與當(dāng)前連接具有相同發(fā)起方IP地址和相同接收方端口的連接數(shù)的檢測特征sip—dport—count、用于表示在一定檢測間隔時(shí)間內(nèi)與當(dāng)前連接具有不同發(fā)起方IP地址和相同才妄收方IP地址的連4妄凄史的^r測特4正nosip—dip—count、用于表示在一定檢測間隔時(shí)間內(nèi)與當(dāng)前連接的發(fā)起方具有相同平均包長的連接數(shù)的檢測特征spktlen—count、用于表示當(dāng)前連接的持續(xù)時(shí)間的^r測特征dumtion、用于表示當(dāng)前連接的發(fā)起方發(fā)出的數(shù)據(jù)包的包長相似度的檢測特征spktlensim、用于表示差錯(cuò)數(shù)據(jù)包的數(shù)量的檢測特征errorpkt、用于表示當(dāng)前連接的協(xié)議的^r測特征protocol。上述技術(shù)方案中，在所述的步驟3)中，所述證據(jù)包括用于表示檢測特征spkt超過第一閾值所形成的特征異常的第一證據(jù)用于表示檢測特征spkt低于第二閾值所形成的特征異常的第二證據(jù)E2、用于表示檢測特征dpkt低于第三閾值所形成的特征異常的第三證據(jù)E3、用于表示檢測特征sip—dip—count超過第四閾值所形成的特征異常的第四證據(jù)E4、用于表示檢測特征sip—dport一count超過第五閾值所形成的特征異常的第五證據(jù)E5、用于表示檢測特征nosip—dip—count超過第六閾值所形成的特征異常的第六證據(jù)E6、用于表示檢測特征spktlen—count超過第七閾值所形成的特征異常的第七證據(jù)E7、用于表示檢測特征duration超過第八閾值所形成的特征異常的第八證據(jù)E8、用于表示檢測特征spktlensim超過第九閾值所形成的特征異常的第九證據(jù)E9、用于表示檢測特征errorpkt超過第十閾值所形成的特征異常的第十證據(jù)E1();其中，所述的第一閾值到第十閾值的大小根據(jù)實(shí)踐經(jīng)驗(yàn)和應(yīng)用環(huán)境設(shè)置，或通過采用已公開的技術(shù)和方法對(duì)應(yīng)用環(huán)境的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行預(yù)先訓(xùn)練和學(xué)習(xí)來設(shè)置。上述技術(shù)方案中，所述的計(jì)算證據(jù)可信度包括將所述檢測特征向量中的檢測特征與相應(yīng)的閾值進(jìn)行比較以得到檢測特征的異常程度，將所述異常程度做歸一化處理以得到所述的證據(jù)可信度。上述技術(shù)方案中，在所述的步驟4)中，根據(jù)所述檢測特征向量中的9個(gè)檢測特征所創(chuàng)建的樸素可信度模型中的知識(shí)包括K1:EiAEOHCF諷E)K2:E2AE3^HCF2(H,E)K3:E4+HCF3(H,E)K4:E5+HCF4(H,E)K5:E6^HCF5(H,E)K6:E7+HCF6(H,E)K7:E8+HCF7(H，E)K8:E9+HCF8(H,E)K9:E10+HCF9(H,E)其中，Ei(i410)表示證據(jù)，H表示結(jié)論事件"該連接存在行為異常"，CFi(i-l9)表示知識(shí)的可信度。上述技術(shù)方案中，在所述的步驟5)中，所述的可信度計(jì)算公式包括復(fù)合證據(jù)可信度計(jì)算公式以及結(jié)論可信度計(jì)算公式；其中，所述的復(fù)合證據(jù)可信度計(jì)算公式包括當(dāng)所述證據(jù)為合取事件時(shí)，將證據(jù)E表示為E:E!A…AEn,則其可信度計(jì)算公式為CF(E)《F(EiA…AEn一min《CF(EO，…,CF(En)〉；(1)當(dāng)所述證據(jù)為析取事件時(shí)，將證據(jù)E表示為E-EiV...VEn,則其可信度計(jì)算公式為C卿CF(EiV…VEn"max(CF(EO,…,CF(En";(2)當(dāng)證據(jù)為同時(shí)包含合取事件和析取事件的復(fù)合事件時(shí)，將其拆解成若干合取和析取事件，分別應(yīng)用公式(1)和(2)求得；所述的結(jié)論可信度計(jì)算公式包括對(duì)一個(gè)知識(shí)的結(jié)論可信度計(jì)算7>式以及對(duì)多知識(shí)同一結(jié)論的合成計(jì)算公式；其中，所述的一個(gè)知識(shí)的結(jié)論可信度計(jì)算公式包括CF(H)=CF(H,E)xC卿(3)所述的CF(H)表示所述的結(jié)論可信度，CF(E)表示所述的證據(jù)可信度，CF(H,E)表示知識(shí)可信度；所述的多知識(shí)同一結(jié)論的合成計(jì)算公式包括C卿二CFi(H)+CF2(H)-CFi(H)xCF2(H)(4)另一個(gè)知識(shí)中對(duì)結(jié)論H的可信度。本發(fā)明還提供了一種網(wǎng)絡(luò)行為異常檢測系統(tǒng)，包括協(xié)議還原與連接建立模塊、檢測特征提取模塊、證據(jù)可信度計(jì)算模塊、知識(shí)可信度計(jì)算才莫塊、網(wǎng)絡(luò)行為異常檢測模塊；其中，所述的協(xié)議還原與連接建立模塊接收網(wǎng)絡(luò)數(shù)據(jù)包，對(duì)所得到的網(wǎng)絡(luò)數(shù)據(jù)包做協(xié)議還原，并根據(jù)所述協(xié)議還原的結(jié)果，建立所述網(wǎng)絡(luò)數(shù)據(jù)包所在的連接；所述的檢測特征提取模塊為所建立的各個(gè)連接分別提取檢測特征，一個(gè)連接對(duì)應(yīng)一個(gè)由多個(gè)4企測特征所組成的檢測特征向量；所述的證據(jù)可信度計(jì)算模塊將所述檢測特征向量中各個(gè)檢測特征的異常作為樸素可信度模型中的證據(jù)，計(jì)算證據(jù)可信度；其中，所述樸素可信度模型在可信度模型的基礎(chǔ)上增加了知識(shí)中的證據(jù)總是支持結(jié)論為真的假設(shè)；所述的知識(shí)可信度計(jì)算模塊根據(jù)所述檢測特征向量中的各個(gè)檢測特征創(chuàng)建所述樸素可信度模型中的知識(shí)，計(jì)算所述知識(shí)的可信度；其中，在所述樸素可信度模型的知識(shí)中，所述檢測特征中獨(dú)立的檢測特征對(duì)應(yīng)一個(gè)獨(dú)立的知識(shí)，而所述4全測特征中的相關(guān)4企測特征在同一個(gè)知識(shí)內(nèi)；所述的網(wǎng)絡(luò)行為異常檢測模塊將所述證據(jù)可信度以及所述知識(shí)的可信度代入樸素可信度模型的可信度計(jì)算公式，對(duì)網(wǎng)絡(luò)數(shù)據(jù)包所在連4妄是否存在網(wǎng)絡(luò)行為異常的結(jié)論事件進(jìn)行可信度計(jì)算。本發(fā)明的優(yōu)點(diǎn)在于1、本發(fā)明的網(wǎng)絡(luò)行為異常檢測方法和系統(tǒng)具有較高的準(zhǔn)確率與廣泛的適應(yīng)性。2、本發(fā)明的網(wǎng)絡(luò)行為異常檢測方法和系統(tǒng)具有很好的實(shí)時(shí)性和實(shí)用性，適合于大規(guī)模高速網(wǎng)絡(luò)環(huán)境下網(wǎng)絡(luò)行為異常的檢測。3、本發(fā)明的網(wǎng)絡(luò)行為異常檢測方法和系統(tǒng)能夠確定攻擊目標(biāo)、攻擊源，為進(jìn)一步針對(duì)網(wǎng)絡(luò)攻擊、入侵的過濾、緩解和防御提供了有效信息。圖1為本發(fā)明的網(wǎng)絡(luò)行為異常檢測方法的流程圖。具體實(shí)施方式下面結(jié)合附圖和具體實(shí)施方式對(duì)本發(fā)明進(jìn)行說明。不確定性推理是人工智能研究領(lǐng)域的重要組成部分，它為解決所需知識(shí)不充分、不準(zhǔn)確，或多原因?qū)е峦唤Y(jié)論的應(yīng)用問題提供了堅(jiān)實(shí)的理論基礎(chǔ)和有效的方法手段。1975年，肖特里菲等人(E.H.ShortliffeandB.GBuchanan,"AModelofInexactReasoninginMedicine,"MathematicalBiosciences,vol.23,pp.351-379,1975)提出了一種不確定性推理的可信度模型(CertaintyFactor模型，簡稱為CF模型)，并在醫(yī)療會(huì)診系統(tǒng)MYCIN中得到了成功應(yīng)用。科學(xué)實(shí)踐活動(dòng)表明，網(wǎng)絡(luò)行為異常檢測問題具有已知經(jīng)驗(yàn)知識(shí)不完整、不準(zhǔn)確的特點(diǎn)，因此，本發(fā)明考慮采用CF模型來解決網(wǎng)絡(luò)行為異常檢測問題。為便于CF模型的實(shí)際應(yīng)用，本發(fā)明在其基礎(chǔ)上增加了一個(gè)假設(shè)知識(shí)中的證據(jù)總是支持結(jié)論為真，從而提出了一種樸素可信度模型(NaiveCertaintyFactor模型，簡稱為N-CF模型)。N-CF模型具有簡單、直觀、實(shí)用性強(qiáng)等特點(diǎn)。為了方便理解，在此首先對(duì)樸素可信度模型的概念及具體的內(nèi)容加以說明。定義1知識(shí)(Knowledge,簡寫為K)。知識(shí)是指由證據(jù)推理出結(jié)i侖為真的規(guī)則，通常用產(chǎn)生式規(guī)則來表示，其一般形式為K:H其中，E為證據(jù)，H為結(jié)論。證據(jù)是一個(gè)簡單事件或由合取和/或析取構(gòu)成的復(fù)合事件，結(jié)論是一個(gè)或多個(gè)事件，一個(gè)知識(shí)的結(jié)論也可以作為另一個(gè)知識(shí)的i正據(jù)。定義2可信度(CertaintyFactor,簡寫為CF)。可信度是指確定對(duì)象事件為真的可信程度，包括證據(jù)可信度CF(E)、知識(shí)可信度CF(H，E)和結(jié)論可信度CF(H)，其大小通常用模糊數(shù)(e[o，i])來表述，當(dāng)可信度為O,表示對(duì)象事件為假或不相關(guān)。下面給出N-CF模型中可信度的計(jì)算公式。1、復(fù)合證據(jù)可信度的計(jì)算如果證據(jù)為合取事件，設(shè)為E二EtA...AEn,則其可信度計(jì)算公式為CF(E"CF(EiA…AEn—min(CF(EO,…，CF(En"(1)如果證據(jù)為析取事件，設(shè)為E-E!V...VEn，則其可信度計(jì)算公式為CF(E)=CF(E!V…VEn"max《CF(EO,…，CF(En"(2)如果證據(jù)為復(fù)合事件，則先將其拆解成若干合取和析取事件，然后選用公式(1)或(2)計(jì)算證據(jù)的可信度。2、知識(shí)可信度的計(jì)算知識(shí)可信度通常由具有豐富專業(yè)知識(shí)及實(shí)踐經(jīng)驗(yàn)的領(lǐng)域?qū)＜抑苯咏o13出，或者由客觀歷史數(shù)據(jù)通過學(xué)習(xí)或訓(xùn)練方法計(jì)算得出，其原則是證據(jù)的出現(xiàn)對(duì)結(jié)論為真的支持度越高，則知識(shí)可信度的值越大。3、結(jié)論可信度的計(jì)算a、一個(gè)知識(shí)的結(jié)論可信度計(jì)算一個(gè)知識(shí)的結(jié)論可信度計(jì)算公式為CF(H)=CF(H，E)xc卿(3)b、多知識(shí)同一結(jié)論的合成如果兩個(gè)知識(shí)IQ和K2可推理出同一結(jié)論H,并且Ki的證據(jù)與K2的證據(jù)E2是相互獨(dú)立的，則可通過合成運(yùn)算計(jì)算出兩個(gè)知識(shí)推出的結(jié)論的綜合可信度，其結(jié)論合成運(yùn)算的計(jì)算公式如下CF(H)=CFi(H)+CF2(H)-CF!(H)xCF2(H)(4)結(jié)論可信度計(jì)算中的多知識(shí)同一結(jié)論的合成運(yùn)算還滿足以下定理定理1多知識(shí)同一結(jié)論的合成運(yùn)算滿足結(jié)合律和交換律。由定理1可知，當(dāng)用n個(gè)知識(shí)合成某一結(jié)論時(shí)，由于合成運(yùn)算滿足結(jié)合律，因此可以利用公式(4)依次合成由兩個(gè)知識(shí)分別推出的結(jié)論，然后將合成后的結(jié)論與由下一個(gè)知識(shí)推出的結(jié)論繼續(xù)合成，依次類推，可計(jì)算出由多個(gè)知識(shí)推出的結(jié)論的綜合可信度。由此可見，多結(jié)論合成的時(shí)間復(fù)雜度為O(n),由于實(shí)踐中知識(shí)數(shù)n—般很小，所以推理過程所需的計(jì)算量很小。另一方面，多結(jié)論的合成過程將相互獨(dú)立的證據(jù)對(duì)結(jié)論的支持效果科學(xué)地結(jié)合起來，有效地體現(xiàn)了客觀證據(jù)對(duì)推理結(jié)論的積極影響，提高了不確定性推理的準(zhǔn)確性。以上是對(duì)本發(fā)明所涉及的樸素可信度模型的說明，在上述模型的基礎(chǔ)上，可實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)行為異常的檢測。本發(fā)明的網(wǎng)絡(luò)行為異常檢測方法在所算由這些檢測特征所形成的證據(jù)的可信度，另一方面根據(jù)檢測特征創(chuàng)建樸素可信度模型中的知識(shí)，最后利用證據(jù)的可信度以及知識(shí)的可信度計(jì)算知識(shí)中結(jié)論的可信度，從而得出網(wǎng)絡(luò)行為是否異常的結(jié)論。為了方便理解，在下文中將結(jié)合圖1與具體實(shí)施例，對(duì)本發(fā)明的網(wǎng)絡(luò)行為異常的檢測方法力口以i兌明。在對(duì)網(wǎng)絡(luò)行為做異常檢測前，首先要對(duì)與檢測有關(guān)的參數(shù)做初始化操作。初始化操作包括將計(jì)時(shí)器T設(shè)置為0、將檢測時(shí)間間隔設(shè)置為TV設(shè)置檢測特征閾值和結(jié)論可信度檢測閾值等。所述的檢測特征閾值和結(jié)論可信度^r測閾值的具體取值將在下文中加以i兌明。14在完成對(duì)參數(shù)的初始化操作后，就可以接收網(wǎng)絡(luò)數(shù)據(jù)包，并對(duì)網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行協(xié)議還原，以獲取網(wǎng)絡(luò)數(shù)據(jù)包的網(wǎng)絡(luò)層首部、互聯(lián)網(wǎng)控制報(bào)文協(xié)議(ICMP)首部和傳輸層首部的信息。在本發(fā)明的一個(gè)實(shí)施例中，所述的網(wǎng)絡(luò)數(shù)據(jù)包為通過TCP/IP協(xié)議傳輸?shù)臄?shù)據(jù)包，因此網(wǎng)絡(luò)數(shù)據(jù)包包括ICMP包、TCP包和UDP包。對(duì)這些數(shù)據(jù)包做TCP/IP協(xié)議還原可得到網(wǎng)絡(luò)層首部、ICMP首部和傳輸層首部。在網(wǎng)絡(luò)層首部、ICMP首部和傳lt層首部中包含有源IP、目的IP、源端口、目的端口、協(xié)議、包長、TCP標(biāo)志信息、ICMP類型和代碼信息等多種類型的信息。特別地，對(duì)于ICMPUnreachable包(ICMP不可達(dá)包，類型Type為3的ICMP包)，還要將該類型包的數(shù)據(jù)負(fù)載中所承載的IP包首部和TCP或UDP包首部信息進(jìn)行協(xié)議還原。在得到網(wǎng)絡(luò)數(shù)據(jù)包經(jīng)協(xié)議還原的信息后，將根據(jù)這些信息進(jìn)一步提取與網(wǎng)絡(luò)行為異常有關(guān)的檢測特征。出于提高檢測效率的考慮，在本發(fā)明中，所提取的與網(wǎng)絡(luò)行為異常有關(guān)的檢測特征為網(wǎng)絡(luò)數(shù)據(jù)包所在連接的相關(guān)特征，因此，在提取檢測特征前，先要根據(jù)網(wǎng)絡(luò)數(shù)據(jù)包得到其所在的連接。在前面的說明中已經(jīng)提到，在本發(fā)明的一個(gè)實(shí)施例中，所述的網(wǎng)絡(luò)數(shù)據(jù)包包括ICMP包、TCP包和UDP包，因此由這些網(wǎng)絡(luò)數(shù)據(jù)包可以分別得到ICMP連接、TCP連接和UDP連接。無論是上述何種類型的連接，都可以用一個(gè)三元組〈sip,dip,dport〉統(tǒng)一力口以描述。在該三元組中，sip表示發(fā)起方IP地址，dip表示接收方IP地址，dport表示接收方端口。特別的，對(duì)于ICMP連接，其三元組中的dport的值為0。在由TCP包得到TCP連接時(shí)，在檢測間隔To內(nèi)，為每個(gè)TCP同步包(標(biāo)志位為Syn的TCP包)或反向?qū)?yīng)的TCP同步應(yīng)答包(標(biāo)志位為Syn和Ack的TCP包)建立一個(gè)TCP連接，此處所建立的TCP連接也被稱為TCP正常連接。如果是TCP同步包，貝'JTCP同步包的源IP地址為該TCP連接的發(fā)起方IP地址，目的IP地址和端口為該TCP連接的接收方IP地址和端口，如果是TCP同步應(yīng)答包，則TCP同步應(yīng)答包的目的IP地址為該TCP連接的發(fā)起方IP地址，源IP地址和端口為該TCP連接的接收方IP地址和端口，在后續(xù)的網(wǎng)絡(luò)傳輸過程中，該連"l妄的發(fā)起方與"l妄收方相互發(fā)送的TCP包均屬于該TCP連接。在網(wǎng)絡(luò)傳輸過程中，也可能存在這樣一種情況所接收到的TCP包既不是TCP同步包或TCP同步應(yīng)答包，也不屬于任何已有的TCP連接，對(duì)于此類TCP包建立一個(gè)TCP連接，TCP包的源IP地址為該TCP連接的發(fā)起方IP地址，目的IP地址和端口為該TCP連接的接收方IP地址和端口，所建立的TCP連4妄也被稱為TCP非正常連接。在后續(xù)的網(wǎng)絡(luò)傳輸過程中，該連接的發(fā)起方與接收方相互發(fā)送的TCP包均屬于此TCP連接。在由UDP包得到UDP連接時(shí)，在檢測間隔To內(nèi)，為首個(gè)UDP包建立一個(gè)UDP連接，UDP包的源IP地址為該UDP連接的發(fā)起方IP地址，目的IP地址和端口為該UDP連接的接收方IP地址和端口，在后續(xù)的網(wǎng)絡(luò)傳輸過程中，該連接的發(fā)起方與接收方相互發(fā)送的UDP包均屬于此UDP連接。當(dāng)接收到不屬于現(xiàn)有UDP連接的UDP包后，需要為這些UDP包建立相應(yīng)的UDP連4^。在由ICMP包得到ICMP連接時(shí)，分兩種情況處理(l)當(dāng)考察的ICMP包是ICMPUnreachable包時(shí)，則根據(jù)前文所述進(jìn)行協(xié)議還原，按協(xié)議還原得到的TCP包或UDP包處理；(2)當(dāng)考察的ICMP包不是ICMPUnreachable包時(shí)，則lt文以下處理在^r測間隔To內(nèi)，為首個(gè)ICMP包建立一個(gè)ICMP連4妄，ICMP包的源IPi也址為該ICMP連4妄的發(fā)起方IPi也址，目的IP;也址為該ICMP連接的接收方IP地址，在后續(xù)的網(wǎng)絡(luò)傳輸過程中，發(fā)起方與接收方相互發(fā)送的ICMP包均屬于此ICMP連接，當(dāng)接收到不屬于現(xiàn)有ICMP連接的ICMP包后，需要為這些ICMP包建立相應(yīng)的ICMP連接。在其他的實(shí)施例中，網(wǎng)絡(luò)數(shù)據(jù)包可以為其他類型的數(shù)據(jù)包，利用現(xiàn)有的公知技術(shù)也可由這些數(shù)據(jù)包得到與之對(duì)應(yīng)的其他類型的連接。在得到網(wǎng)絡(luò)數(shù)據(jù)包所在的連接后，就可以為這些連接分別提取檢測特征。所述的檢測特征是指發(fā)生網(wǎng)絡(luò)安全事件時(shí)所呈現(xiàn)出的網(wǎng)絡(luò)流量特征和/或行為特征，通過這些檢測特征可發(fā)現(xiàn)是否存在網(wǎng)絡(luò)行為異常。檢測特征的種類與數(shù)量一般由本領(lǐng)域技術(shù)人員根據(jù)需要加以選擇，在前面的說明中已經(jīng)提到，出于提高檢測效率的考慮，在本發(fā)明中所提取的檢測特征與網(wǎng)絡(luò)數(shù)據(jù)包所在連接有關(guān)。在本發(fā)明的一個(gè)優(yōu)選實(shí)施例中，對(duì)于每一個(gè)連接提取由以下10個(gè)檢測特征所組成的檢測特征向量〈spkt,dpkt,sip—dip—count,sip—dport—count,nosip—dip_count,spktlen—count,duration,spktlensim,errorpkt,protocol>。在其他實(shí)施例中，4企測特征向量也可以由上述10個(gè)^r測特征中的若干個(gè)組成。前述檢測特征向量中各個(gè)^r測特征的具體含義如下spkt:表示當(dāng)前連接的發(fā)起方發(fā)出的數(shù)據(jù)包數(shù)；dpkt:表示當(dāng)前連接的接收方發(fā)出的數(shù)據(jù)包數(shù)；sip—dip—count:表示在檢測間隔T0時(shí)間內(nèi)與當(dāng)前連接具有相同發(fā)起方IP;也址和相同4妄收方IPi也址的連4妄l史；sip—dport—count:表示在檢測間隔T0時(shí)間內(nèi)與當(dāng)前連接具有相同發(fā)起方IP地址和相同4妄收方端口的連4妻^:;nosip—dip—count:表示在檢測間隔T0時(shí)間內(nèi)與當(dāng)前連接具有不同發(fā)起方IP地址和相同4妄收方IP地址的連接凄t;spktlen_count:表示在4全測間隔T0時(shí)間內(nèi)與當(dāng)前連4妄的發(fā)起方具有相同平均包長的連接數(shù)；duration:表示當(dāng)前連接的持續(xù)時(shí)間，對(duì)于TCP正常連^t妄而言，其最大值為To,對(duì)TCP非正常連接、UDP連接和ICMP連接，duration的值為0;spktlensim:表示當(dāng)前連接的發(fā)起方發(fā)出的數(shù)據(jù)包的包長相似度；errorpkt:表示差錯(cuò)數(shù)據(jù)包的數(shù)量，在本實(shí)施例中，差錯(cuò)數(shù)據(jù)包指TCPRst包(標(biāo)志位為Rst的TCP包)和ICMPUnreachable包；protocol:表示當(dāng)前連接的協(xié)議，具體包括TCP、UDP、ICMP。在得到連接的檢測特征向量后，就可以計(jì)算這些檢測特征向量所對(duì)應(yīng)的證據(jù)的可信度。在計(jì)算證據(jù)可信度之前，先對(duì)證據(jù)在本發(fā)明中的具體含義進(jìn)行說明。在本發(fā)明中，所述的證據(jù)用來反映才全測特征向量中各個(gè)4企測特征的異常，該異?？捎筛鱾€(gè)檢測特征與相應(yīng)閾值的比較來判定。例如，在一個(gè)實(shí)施例中，用證據(jù)E!表示^r測特征spkt超過第一閾值所形成的特征異常，用證據(jù)E2表示檢測特征spkt低于第二閾值所形成的特征異常，用證據(jù)E3表示檢測特征dpkt低于第三閾值所形成的特征異常，用證據(jù)E4表示檢測特征sip—dip—count超過第四閾值所形成的特征異常，用證據(jù)E5表示檢測特征sip—dport—count超過第五閾值所形成的特征異常，用證據(jù)E6表示檢測特征nosip_dip—count超過第六閾值所形成的特征異常，用證據(jù)E7表示檢測特征spktlen一count超過第七閾值所形成的特征異常，用證據(jù)Es表示檢測特征duration超過第八閾值所形成的特征異常，用證據(jù)Eg表示檢測特征spktlensim超過第九閾值所形成的特征異常，用證據(jù)E^表示檢測特征errorpkt超過第十閾值所形成的特征異常。上述第一閾值到第十閾值的大小可根據(jù)實(shí)踐經(jīng)驗(yàn)和應(yīng)用環(huán)境分別加以-沒置。例如，在一個(gè)實(shí)施例中，所述的第一閾值和第二閾值與檢測特征spkt有關(guān)，第一閾值的大小大于第二閾值的大小，第一閾值可設(shè)為5000，第二閾值可設(shè)為10。第三閾值的大小為50。第四閾值的大小為128。第五閾值的大小為128。第六閾值的大小為256。第七閾值的大小為256。第八閾值的大小為TQ/2。第九閾值的大小為0.8。第十閾值的大小為128。上述閾值除了可以根據(jù)實(shí)踐經(jīng)驗(yàn)和應(yīng)用環(huán)境設(shè)置外，也可以通過采用已公開的技術(shù)和方法對(duì)應(yīng)用環(huán)境的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行預(yù)先訓(xùn)練和學(xué)習(xí)來設(shè)置。證據(jù)的可信度用于描述與證據(jù)相關(guān)的檢測特征發(fā)生異常的可信程度，證據(jù)可信度的大小通常用模糊數(shù)(E[O，l])來表述。在將檢測特征向量中的檢測特征與相應(yīng)的閾值進(jìn)行比較，得到檢測特征的異常程度后，就可以采用歸一化處理的方法來計(jì)算證據(jù)的可信度。所述的歸一化處理方法可采用現(xiàn)有技術(shù)中的相關(guān)方法，如線性函數(shù)歸一化方法，y=(x-Min)/(Max-Min),xE[Min，Max]，yE[O，l]，其中Min表示最小值，Max表示最大值，x表示歸一化前的一個(gè)整數(shù)，y表示歸一化后對(duì)應(yīng)的小數(shù)。如果某一證據(jù)所對(duì)應(yīng)的4企測特征不存在異常，則該證據(jù)的可信度為0。在樸素可信度模型中，知識(shí)會(huì)根據(jù)樸素可信度模型所適用的場景的不同而發(fā)生變化。因此，在利用樸素可信度模型進(jìn)行網(wǎng)絡(luò)行為異常檢測之前，需要預(yù)先根據(jù)檢測特征構(gòu)建相應(yīng)的知識(shí)。在構(gòu)建知識(shí)時(shí)，應(yīng)當(dāng)使得獨(dú)立的檢測特征對(duì)應(yīng)一個(gè)知識(shí)，而相互之間具有關(guān)聯(lián)關(guān)系的檢測特征在同一個(gè)知識(shí)內(nèi)。以本實(shí)施例中所提到的9個(gè)(除去了檢測特征protocol)檢測特;f正為基礎(chǔ)，給出一個(gè)用于網(wǎng)絡(luò)行為異常檢測的知識(shí)庫的實(shí)例K"EiAE—HCF(H，E)K2:E2AE3+HCF2(H，E)K3:E4^HCF3(H，E)K4:E5+HCF4(H,E)K5:E6^HCF5(H,E)K6:E7HCF6(H,E)K7:E8+HCF7(H，E)K8:E9+HCF8(H,E)K9:E10^HCF9(H,E)其中，Ei(i^10)為證據(jù)，H表示結(jié)論事件"該連接存在行為異常"，CFi(i^9)表示知識(shí)的可信度。每個(gè)知識(shí)的可信度由本領(lǐng)域內(nèi)的專家直4妄給出，或者由客觀歷史數(shù)據(jù)通過學(xué)習(xí)或訓(xùn)練方法計(jì)算得出，其度量原則為應(yīng)保證證據(jù)的出現(xiàn)對(duì)結(jié)論為真的支持度越高，則知識(shí)可信度的值越大。以上知識(shí)庫僅為本發(fā)明為了說明;險(xiǎn)測方法而給出的一個(gè)具體實(shí)施例，在具體應(yīng)用時(shí)并不局限于上述知識(shí)庫中的內(nèi)容。此外，雖然在此處將根據(jù)4企測特征構(gòu)建知識(shí)并計(jì)算知識(shí)可信度的過程置于計(jì)算證據(jù)可信度的過程之后，但本領(lǐng)域技術(shù)人員應(yīng)當(dāng)了解，在具體實(shí)現(xiàn)時(shí)，也可以先構(gòu)建知識(shí)并計(jì)算知識(shí)可信度，然后再計(jì)算證據(jù)可信度。無論是何種實(shí)現(xiàn)方式，對(duì)本發(fā)明的最終實(shí)現(xiàn)不造成實(shí)質(zhì)性的影響。在得到知識(shí)以后，就可以將證據(jù)的可信度和知識(shí)的可信度代入所述的知識(shí)中，從而計(jì)算結(jié)論的可信度。在計(jì)算過程中，對(duì)知識(shí)庫中的每個(gè)知識(shí)運(yùn)用公式(1)或(2)計(jì)算合取事件或/和析取事件的證據(jù)可信度；運(yùn)用公式(3)計(jì)算每個(gè)知識(shí)的結(jié)論可信度；然后通過反復(fù)運(yùn)用公式(4)將知識(shí)庫中所有知識(shí)的同一結(jié)論可信度進(jìn)行兩兩合成運(yùn)算，最終生成結(jié)論的綜合可信度。在得到結(jié)論的綜合可信度后，就可以根據(jù)結(jié)論綜合可信度得出當(dāng)前連接是否存在異常的結(jié)論。例如，當(dāng)結(jié)論的綜合可信度超過結(jié)論可信度檢測閾值(通常設(shè)為0.50.8),就可以認(rèn)為當(dāng)前的連接存在行為異常，該異常事件的攻擊源的IP地址為當(dāng)前連接的發(fā)起方IP地址sip,攻擊目標(biāo)的IP地址為當(dāng)前連接的接收方IP地址dip，攻擊目標(biāo)的端口為端口dport。根據(jù)上述信息生成報(bào)警事件并寫入事件庫。相反的，如果結(jié)論的綜合可信度不超過結(jié)論可信度檢測閾值，則認(rèn)為當(dāng)前連接不存在行為異常。本發(fā)明還提供了一種網(wǎng)絡(luò)行為異常檢測系統(tǒng)，包括協(xié)議還原與連接建立模塊、檢測特征提取模塊、證據(jù)可信度計(jì)算模塊、知識(shí)可信度計(jì)算模塊、網(wǎng)絡(luò)行為異常檢測模塊；其中，所述的協(xié)議還原與連接建立模塊接收網(wǎng)絡(luò)數(shù)據(jù)包，對(duì)所得到的網(wǎng)絡(luò)數(shù)據(jù)包做協(xié)議還原，并根據(jù)所述協(xié)議還原的結(jié)果，建立所述網(wǎng)絡(luò)數(shù)據(jù)包所在的連接；所述的檢測特征提取模塊為所建立的各個(gè)連接分別提取檢測特征，一個(gè)連接對(duì)應(yīng)一個(gè)由多個(gè)檢測特征所組成的4企測特征向量；所述的證據(jù)可信度計(jì)算模塊將所述檢測特征向量中各個(gè)檢測特征的異常作為樸素可信度模型中的證據(jù)，計(jì)算證據(jù)可信度；其中，所述樸素可信度模型在可信度模型的基礎(chǔ)上增加了知識(shí)中的證據(jù)總是支持結(jié)論為真的假設(shè)；所述的知識(shí)可信度計(jì)算模塊根據(jù)所述檢測特征向量中的各個(gè)檢測特征創(chuàng)建所述樸素可信度模型中的知識(shí)，計(jì)算所述知識(shí)的可信度；其中，在19所述樸素可信度模型的知識(shí)中，所述檢測特征中獨(dú)立的檢測特征對(duì)應(yīng)一個(gè)獨(dú)立的知識(shí)，而所述檢測特;f正中的相關(guān)4全測特4正在同一個(gè)知識(shí)內(nèi)；所述的網(wǎng)絡(luò)行為異常檢測模塊將所述證據(jù)可信度以及所述知識(shí)的可信度代入樸素可信度模型的可信度計(jì)算公式，對(duì)網(wǎng)絡(luò)數(shù)據(jù)包所在連接是否存在網(wǎng)絡(luò)行為異常的結(jié)論事件進(jìn)行可信度計(jì)算。為進(jìn)一步說明本發(fā)明方法的有效性和優(yōu)勢，我們選取當(dāng)前已公開的相關(guān)工作中效果最好的TCM-KNN方法(李洋，方濱興,郭莉等.基于直推式方法的網(wǎng)絡(luò)異常檢測方法.軟件學(xué)報(bào).2007,18(10):2595-2604)與本發(fā)明方法進(jìn)行比較。下面從時(shí)間復(fù)雜性和檢測效果兩個(gè)方面進(jìn)行比較(1)時(shí)間復(fù)雜性TCM-KNN方法訓(xùn)練階段的時(shí)間復(fù)雜性為0(m2),其中m為訓(xùn)練集樣本數(shù)，檢測階段的時(shí)間復(fù)雜性為0(sm)+0(m),s為待檢測樣本數(shù)，該方法應(yīng)用實(shí)踐中m值一般大于10000;而本發(fā)明方法不要求必須訓(xùn)練，；險(xiǎn)測階段的時(shí)間復(fù)雜性為O(n)，其中n為證據(jù)數(shù)，根據(jù)前文可知，證據(jù)數(shù)為10,可視為常數(shù)。因此，從時(shí)間復(fù)雜性上看，本發(fā)明方法檢測性能提高了若干數(shù)量級(jí)，更適合大規(guī)模高速網(wǎng)絡(luò)環(huán)境。(2)檢測效果由于TCM-KNN方法采用了公開的KDDCUP1999數(shù)據(jù)集中的41個(gè)特征作為檢測特征，而本發(fā)明方法采用的特征與該41個(gè)特征大不相同，因此，很難采用同一數(shù)據(jù)集來測評(píng)兩種方法的檢測效果。為驗(yàn)證本發(fā)明方法的檢測效果，我們通過一個(gè)包含網(wǎng)絡(luò)異常事件的實(shí)際網(wǎng)絡(luò)流量的數(shù)據(jù)集對(duì)本發(fā)明方法進(jìn)行-險(xiǎn)證。1)軟硬件環(huán)境釆用曙光服務(wù)器，4個(gè)CPU(Dual-CoreAMDOpteron，2211MHz，64位)，4GB內(nèi)存，CentOSLinux5.264位操作系統(tǒng)。本實(shí)驗(yàn)僅采用一個(gè)CPU處理數(shù)據(jù)。2)測試數(shù)據(jù)集觀'J試數(shù)據(jù)集主要由背景流量和網(wǎng)絡(luò)異常事件流量按時(shí)間序列混合而成。其中背景流量為2007年5月31日在某教育網(wǎng)2.5G出入口采集的真實(shí)網(wǎng)絡(luò)流量，流量文件大小為2918MB,平均發(fā)包率約為46.7Kpps。網(wǎng)絡(luò)異常事件流量文件大小為390MB,主要包括大流UDPDDoS攻擊、高速小包TCPAckDDoS攻擊、SynFlood攻擊、隨才幾偽造源;也址SynFlood攻頁擊、蠕蟲傳播、網(wǎng)絡(luò)掃描等有代表性的6類8個(gè)異常事件23047個(gè)攻擊源(或傳播源、掃描源)。3)本方法的閾值和參數(shù)設(shè)置根據(jù)對(duì)網(wǎng)絡(luò)背景流量的學(xué)習(xí)和分析，我們將本方法中檢測時(shí)間間隔"^殳置To為6秒，檢測特征的閾值分別設(shè)置為18400、5、5、1000、2000、1400、29000、3、1、1000，知識(shí)可信度分別設(shè)置為0.5、0.2、0.4、0.4、0.4、0.1、0.3、0.1、0.5，結(jié)論可信度檢測閾值設(shè)置為0.5。4)實(shí)驗(yàn)結(jié)果<table>tableseeoriginaldocumentpage21</column></row><table>實(shí)驗(yàn)結(jié)果表明，本發(fā)明方法針對(duì)典型的網(wǎng)絡(luò)異常事件具有較強(qiáng)的4企測能力，并且能夠準(zhǔn)確地發(fā)現(xiàn)攻擊源、傳播源以及掃描源等信息。綜上所述，本發(fā)明的網(wǎng)絡(luò)行為異常檢測方法與檢測系統(tǒng)在實(shí)現(xiàn)檢測過程中，利用樸素可信度模型對(duì)spkt、dpkt、sip—dip—count、sip—dport—count、nosip—dip—count、spktlen—count、duration、spktlensim、errorpkt等9種網(wǎng)絡(luò)流量及行為特征進(jìn)行融合，與現(xiàn)有方法只孤立地利用個(gè)別特征相比，無論是準(zhǔn)確率還是適應(yīng)性上都有了較大的提高。此外，本發(fā)明提供的檢測方法主要利用特征統(tǒng)計(jì)與閾值比較，所以方法簡單，具有很好的實(shí)時(shí)性和實(shí)用性，適合于大規(guī)模高速網(wǎng)絡(luò)環(huán)境下網(wǎng)絡(luò)行為異常的檢測。再次，本發(fā)明的方法與現(xiàn)有方法相比，不僅能夠判定網(wǎng)絡(luò)行為異常存在性問題，更重要的是能夠進(jìn)一步確定攻擊目標(biāo)、攻擊源，為進(jìn)一步針對(duì)網(wǎng)絡(luò)攻擊、入侵的過濾、緩解和防御提供了有效信息。最后所應(yīng)說明的是，以上實(shí)施例僅用以說明本發(fā)明的技術(shù)方案而非限制。盡管參照實(shí)施例對(duì)本發(fā)明進(jìn)行了詳細(xì)說明，本領(lǐng)域的普通技術(shù)人員應(yīng)當(dāng)理解，對(duì)本發(fā)明的技術(shù)方案進(jìn)行修改或者等同替換，都不脫離本發(fā)明技術(shù)方案的精神和范圍，其均應(yīng)涵蓋在本發(fā)明的權(quán)利要求范圍當(dāng)中。權(quán)利要求1、一種網(wǎng)絡(luò)行為異常檢測方法，包括步驟1)、接收網(wǎng)絡(luò)數(shù)據(jù)包，對(duì)所得到的網(wǎng)絡(luò)數(shù)據(jù)包做協(xié)議還原，并根據(jù)所述協(xié)議還原的結(jié)果，建立所述網(wǎng)絡(luò)數(shù)據(jù)包所在的連接；步驟2)、為所建立的各個(gè)連接分別提取檢測特征，一個(gè)連接對(duì)應(yīng)一個(gè)由多個(gè)檢測特征所組成的檢測特征向量；步驟3)、將所述檢測特征向量中各個(gè)檢測特征的異常作為樸素可信度模型中的證據(jù)，計(jì)算證據(jù)可信度；其中，所述樸素可信度模型在可信度模型的基礎(chǔ)上增加了知識(shí)中的證據(jù)總是支持結(jié)論為真的假設(shè)；步驟4)、根據(jù)所述檢測特征向量中的各個(gè)檢測特征創(chuàng)建所述樸素可信度模型中的知識(shí)，計(jì)算所述知識(shí)的可信度；其中，在所述樸素可信度模型的知識(shí)中，所述檢測特征中獨(dú)立的檢測特征對(duì)應(yīng)一個(gè)獨(dú)立的知識(shí)，而所述檢測特征中的相關(guān)檢測特征在同一個(gè)知識(shí)內(nèi)；步驟5)、將所述證據(jù)可信度以及所述知識(shí)的可信度代入樸素可信度模型的可信度計(jì)算公式，對(duì)網(wǎng)絡(luò)數(shù)據(jù)包所在連接是否存在網(wǎng)絡(luò)行為異常的結(jié)論事件進(jìn)行可信度計(jì)算。2、根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)行為異常檢測方法，其特征在于，在所述的步驟1)中，所述的網(wǎng)絡(luò)彰:據(jù)包包括ICMP包、TCP包和UDP包，所建立的連接包括ICMP連接、TCP連接和UDP連接。3、根據(jù)權(quán)利要求2所述的網(wǎng)絡(luò)行為異常檢測方法，其特征在于，在所述的步驟1)中，建立所述的TCP包所在的連接包括步驟1-1-1)、檢測所接收到的TCP包是否為TCP同步包，若為TCP同步包，則將所述TCP同步包的源IP地址作為TCP連接的發(fā)起方IP地址，所述TCP同步包的目的IP地址和端口作為TCP連4妄的4妄收方IP地址和端口，若不是TCP同步包，執(zhí)行下一步；步驟1-1-2)、檢測所接收到的TCP包是否為TCP同步應(yīng)答包，若為TCP同步應(yīng)答包，則將所述TCP同步應(yīng)答包的目的IP地址作為TCP連接的發(fā)起方IP地址，將所述TCP同步應(yīng)答包的源IP地址和端口作為TCP連接的接收方IP地址和端口，若不是TCP同步應(yīng)答包，執(zhí)行下一步；步驟1-1-3)、檢測所接收的TCP包是否屬于已有的TCP連接，若屬于不為該TCP包建立新的TCP連接，否則為該TCP包建立一個(gè)TCP連接，頁所述TCP包的源IP地址為該TCP連接的發(fā)起方IP地址，所述TCP包的目的IP地址和端口為該TCP連接的接收方IP地址和端口。4、根據(jù)權(quán)利要求2所述的網(wǎng)絡(luò)行為異常4企測方法，其特征在于，在所述的步驟1)中，建立所述的UDP包所在的連接包括步驟1-2-1)、為接收到的首個(gè)UDP包建立一個(gè)UDP連接，所述UDP包的源IP地址為該UDP連接的發(fā)起方IP地址，所述UDP包的目的IP地址和端口為該UDP連4妄的4矣收方IP地址和端口；步驟1-2-2)、判斷所接收的UDP是否屬于已有的UDP連接，若屬于，則不建立新的UDP連接，若不屬于，為該UDP包建立相應(yīng)的UDP連接。5、根據(jù)權(quán)利要求2所述的網(wǎng)絡(luò)行為異常檢測方法，其特征在于，在所述的步驟l)中，建立所述的ICMP包所在的連接包括步驟1-3-1)、檢測所接收到的ICMP包是否為ICMPUnreachable包，若是，對(duì)所述ICMPUnreachable包做協(xié)議還原，為協(xié)議還原所得到的TCP包或UDP包建立相應(yīng)的TCP連接或UDP連接，若不是，則執(zhí)行下一步；步驟1-3-2)、為接收到的首個(gè)ICMP包建立一個(gè)ICMP連接，所述ICMP包的源IP地址為該ICMP連接的發(fā)起方IP地址，所述ICMP包的目的IP地址為該ICMP連4妄的4矣收方IP地址；步驟1-3-3)、判斷所接收到的ICMP包是否屬于已有的ICMP連接，若屬于，不再建立新的ICMP連接，否則，為接收到的ICMP包建立相應(yīng)的ICMP連接。6、根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)行為異常檢測方法，其特征在于，在所述的步驟2)中，所述檢測特征向量至少包括以下檢測特征中的至少兩個(gè)用于表示當(dāng)前連接的發(fā)起方發(fā)出的數(shù)據(jù)包數(shù)的檢測特征spkt、用于表示當(dāng)前連接的接收方發(fā)出的數(shù)據(jù)包數(shù)的檢測特征dpkt、用于表示在一定檢測間隔時(shí)間內(nèi)與當(dāng)前連接具有相同發(fā)起方IP地址和相同接收方IP地址的連接數(shù)的檢測特征sip—dip—count、用于表示在一定4企測間隔時(shí)間內(nèi)與當(dāng)前連接具有相同發(fā)起方IP地址和相同接收方端口的連接數(shù)的檢測特征sip—dport—count、用于表示在一定才企測間隔時(shí)間內(nèi)與當(dāng)前連接具有不同發(fā)起方IP地址和相同4妾收方IP地址的連接^:的^r測特征nosip—dip—count、用于表示在一定檢測間隔時(shí)間內(nèi)與當(dāng)前連接的發(fā)起方具有相同平均包長的連接數(shù)的檢測特征spktlen—count、用于表示當(dāng)前連接的持續(xù)時(shí)間的檢測特征dumtion、用于表示當(dāng)前連接的發(fā)起方發(fā)出的數(shù)據(jù)包的包長相似度的檢測特征spktlensim、用于表示差錯(cuò)數(shù)據(jù)包的數(shù)量的檢測特征errorpkt、用于表示當(dāng)前連接的協(xié)議的檢測特征protocol。7、根據(jù)權(quán)利要求3所述的網(wǎng)絡(luò)行為異常檢測方法，其特征在于，在所述的步驟3)中，所述證據(jù)包括用于表示檢測特征spkt超過第一閾值所形成的特征異常的第一證據(jù)E"用于表示檢測特征spkt低于第二閾值所形成的特征異常的第二證據(jù)E2、用于表示檢測特征dpkt低于第三閾值所形成的特征異常的第三證據(jù)E3、用于表示檢測特征sip—dip一count超過第四閾值所形成的特征異常的第四證據(jù)E4、用于表示檢測特征sip_dport—count超過第五閾值所形成的特征異常的第五證據(jù)E5、用于表示檢測特征nosip_dip—count超過第六闊值所形成的特征異常的第六證據(jù)E6、用于表示檢測特征spktlen_count超過第七閾值所形成的特征異常的第七證據(jù)E7、用于表示檢測特征duration超過第八閾值所形成的特征異常的第八證據(jù)E8、用于表示檢測特征spktlensim超過第九閾值所形成的特征異常的第九證據(jù)E9、用于表示4全測特征errorpkt超過第十閾值所形成的特征異常的第十證據(jù)E10;其中，所述的第一閾值到第十閾值的大小根據(jù)實(shí)踐經(jīng)驗(yàn)和應(yīng)用環(huán)境設(shè)置，或通過采用已公開的技術(shù)和方法對(duì)應(yīng)用環(huán)境的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行預(yù)先訓(xùn)練和學(xué)習(xí)來設(shè)置。8、根據(jù)權(quán)利要求7所述的網(wǎng)絡(luò)行為異常檢測方法，其特征在于，所述的計(jì)算證據(jù)可信度包括將所述檢測特征向量中的檢測特征與相應(yīng)的閾值進(jìn)行比較以得到檢測特征的異常程度，將所述異常程度做歸一化處理以得到所述的證據(jù)可信度。9、根據(jù)權(quán)利要求7所述的網(wǎng)絡(luò)行為異常檢測方法，其特征在于，在所述的步驟4)中，根據(jù)所述檢測特征向量中的9個(gè)檢測特征所創(chuàng)建的樸素可信度模型中的知識(shí)包括E!AE3今HCF諷E)K2E2AE3HCF2(H，E)K3E4^HCF3(H,E)K4E5+HCF4(H,E)K5E6+HCF5(H，E)K6E一HCF6(H,E)K7E8+HCF7(H,E)K8:E9+HCF8(H,E)K9:E10+HCF9(H,E)其中，Ei(^l10)表示證據(jù)，H表示結(jié)論事件"該連接存在行為異常"，CFi(i^9)表示知識(shí)的可信度。10、根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)行為異常檢測方法，其特征在于，在所述的步驟5)中，所述的可信度計(jì)算公式包括復(fù)合證據(jù)可信度計(jì)算公式以及結(jié)論可信度計(jì)算公式；其中，所述的復(fù)合證據(jù)可信度計(jì)算公式包括當(dāng)所述證據(jù)為合取事件時(shí)，將證據(jù)E表示為E=E!A…AEn，則其可信度計(jì)算公式為CF(E):CF(E,…AEn"min《CF(EO，…,CF(En";(1)當(dāng)所述證據(jù)為析取事件時(shí)，將證據(jù)E表示為E二EiV…VEn,則其可信度計(jì)算公式為CF(E)《F(EiV...VEn)=max(CF(EJ,...，CF(En";(2)當(dāng)證據(jù)為同時(shí)包含合取事件和析取事件的復(fù)合事件時(shí)，將其拆解成若干合取和析取事件，分別應(yīng)用公式(1)和(2)求得；所述的結(jié)論可信度計(jì)算公式包括對(duì)一個(gè)知識(shí)的結(jié)論可信度計(jì)算公式以及對(duì)多知識(shí)同一結(jié)論的合成計(jì)算公式；其中，所述的一個(gè)知識(shí)的結(jié)論可信度計(jì)算公式包括CF(H)=CF(H，E)xc卿(3)所述的CF(H)表示所述的結(jié)論可信度，CF(E)表示所述的證據(jù)可信度，CF(H,E)表示知識(shí)可信度；所述的多知識(shí)同一結(jié)論的合成計(jì)算公式包括CF(H"CFi(H)+CF2(H)曙CFi(H)xCF2(H)(4)所述的CFi(H)表示在一個(gè)知識(shí)中對(duì)結(jié)論H的可信度，CF2(H)表示在另一個(gè)知識(shí)中對(duì)結(jié)論H的可信度。11、一種網(wǎng)絡(luò)行為異常檢測系統(tǒng)，其特征在于，包括協(xié)議還原與連接建立模塊、檢測特征提取模塊、證據(jù)可信度計(jì)算模塊、知識(shí)可信度計(jì)算模塊、網(wǎng)絡(luò)行為異常檢測模塊；其中，所述的協(xié)議還原與連接建立模塊接收網(wǎng)絡(luò)數(shù)據(jù)包，對(duì)所得到的網(wǎng)絡(luò)數(shù)據(jù)包做協(xié)議還原，并根據(jù)所述協(xié)議還原的結(jié)果，建立所述網(wǎng)絡(luò)數(shù)據(jù)包所在的連接；所述的檢測特征提取模塊為所建立的各個(gè)連接分別提取檢測特征，一個(gè)連4妻對(duì)應(yīng)一個(gè)由多個(gè)4僉測特征所組成的4僉測特4正向量；所述的證據(jù)可信度計(jì)算模塊將所述檢測特征向量中各個(gè)檢測特征的異常作為樸素可信度模型中的證據(jù)，計(jì)算證據(jù)可信度；其中，所述樸素可信度模型在可信度模型的基礎(chǔ)上增加了知識(shí)中的證據(jù)總是支持結(jié)論為真的假設(shè)；所述的知識(shí)可信度計(jì)算模塊根據(jù)所述檢測特征向量中的各個(gè)檢觀'J特征創(chuàng)建所述樸素可信度模型中的知識(shí)，計(jì)算所述知識(shí)的可信度；其中，在所述樸素可信度模型的知識(shí)中，所述4企測特征中獨(dú)立的4全測特征對(duì)應(yīng)一個(gè)獨(dú)立的知識(shí)，而所述4全測特征中的相關(guān)沖企測特;f正在同一個(gè)知識(shí)內(nèi)；所述的網(wǎng)絡(luò)行為異常檢測模塊將所述證據(jù)可信度以及所述知識(shí)的可信度代入樸素可信度模型的可信度計(jì)算公式，對(duì)網(wǎng)絡(luò)數(shù)據(jù)包所在連接是否存在網(wǎng)絡(luò)行為異常的結(jié)論事件進(jìn)行可信度計(jì)算。全文摘要本發(fā)明提供一種網(wǎng)絡(luò)行為異常檢測方法，包括接收網(wǎng)絡(luò)數(shù)據(jù)包，對(duì)所得到的網(wǎng)絡(luò)數(shù)據(jù)包做協(xié)議還原，并根據(jù)所述協(xié)議還原的結(jié)果建立所述網(wǎng)絡(luò)數(shù)據(jù)包所在的連接；為所建立的各個(gè)連接分別提取檢測特征，一個(gè)連接對(duì)應(yīng)一個(gè)由多個(gè)檢測特征所組成的檢測特征向量；將所述檢測特征向量中各個(gè)檢測特征的異常作為樸素可信度模型中的證據(jù)，計(jì)算證據(jù)可信度；根據(jù)所述檢測特征向量中的各個(gè)檢測特征創(chuàng)建所述樸素可信度模型中的知識(shí)，計(jì)算所述知識(shí)的可信度；將所述證據(jù)可信度以及所述知識(shí)的可信度代入樸素可信度模型的可信度計(jì)算公式，對(duì)網(wǎng)絡(luò)數(shù)據(jù)包所在連接是否存在網(wǎng)絡(luò)行為異常的結(jié)論事件進(jìn)行可信度計(jì)算。本發(fā)明具有較高的準(zhǔn)確率與廣泛的適應(yīng)性。文檔編號(hào)H04L12/26GK101626322SQ200910091288公開日2010年1月13日申請(qǐng)日期2009年8月17日優(yōu)先權(quán)日2009年8月17日發(fā)明者云曉春,張永錚,莉郭申請(qǐng)人:中國科學(xué)院計(jì)算技術(shù)研究所