一種基于行為特征的網絡攻擊檢測方法及裝置的制造方法

一種基于行為特征的網絡攻擊檢測方法及裝置的制造方法
【技術領域】
[0001] 本發明涉及信息安全技術領域，尤其是一種基于行為特征的網絡攻擊檢測方法。
【背景技術】
[0002] 在互聯網迅速普及當中，人們在感受網絡所帶來的便利的同時，也面臨著各種各 樣的進攻和威脅:機密泄漏、數據丟失、網絡濫用、身份冒用、非法入侵等數據表明，我國有 63.6%的企業用戶處于"高度風險"級別，每年因網絡泄密導致的經濟損失高達上百億。
[0003] 隨著計算機網絡及相關技術的發展，網絡攻擊產生的速度越來越快、規模越來越 大、自動化程度越來高，如蠕蟲病毒、DDos攻擊、僵尸網絡等已給網絡的正常使用帶來了極 大的威脅。
[0004] 目前，基于網絡行為分析的攻擊檢測方法主要有以下幾種：
[0005] (1)基于概率統計的網絡行為分析
[0006] 基于概率統計的方法通過對用戶行為進行抽樣統計，對其穩定的網絡行為進行統 計分析。該方法基于概率統計理論，應用較早，是目前最有流行的網絡行為分析方法。其優 點是它的理論基礎概率統計已非常成熟。但在實際應用中，不同的網絡用戶其操作習慣及 其行為很復雜，簡單的概率統計難以給出精確匹配的網絡行為模式，因此其惡意攻擊代碼 的閥值難以確定，易造成誤報、漏報。
[0007] (2)基于機器學習的網絡行為分析方法
[0008] 基于機器學習的方法通過模仿人的學習原理，建立學習系統，并對機器進行學習 訓練，能夠識別用戶網絡行為特征。其主要研究內容是建立學習系統，并通過大量的樣本學 習訓練。目前主要的方法有歸納法、神經網絡、遺傳算法等。遺傳算法作為人工智能的一個 獨立分支，基于大量樣本進行學習訓練，能夠描述復雜的行為模式，其行為模型匹配程度 高，因此誤報率低，檢測速度快。但由于該方法需要大量的樣本，當用戶行為發生變化時，無 法及時更新匹配。
[0009] (3)基于神經網絡的網絡行為分析
[0010] 神經網絡在網絡行為分析中的應用成為了一個研究熱點，該方法能夠很好描述復 雜的非線性問題，并能通過學習訓練進行系統更新，該方法與統計理論相比，能夠更好地匹 配用戶行為模式，抗干擾能力強，且具有更快的分析速度。其缺點是需要確定各因素間的拓 撲結構以及各因素之間的權重，這在實際操作中很難確定。
[0011] (4)基于數據挖掘的網絡行為分析方法
[0012] 數據挖掘方法擅長從大量關系復雜的數據中提取數據特征，因此比較適用于網絡 用戶的復雜行為。近年來，數據挖掘在網絡行為分析中的應用也成為了一個研究熱點。數據 挖掘方法在惡意代碼檢測中的應用主要是聚類分析和關聯規則，其主要優點是誤警率低、 適應能力好、可以減輕數據過載。但同時它也存在檢測模型實時性實施困難、學習和評價計 算成本高、系統需要大量的訓練數據等缺點。
[0013] 針對網絡攻擊行為的檢測，目前主要采用特征匹配、模式匹配和規則匹配算法，只 能實現對已知攻擊行為的檢測，而對于未知或變種攻擊的檢測目前主要是通過蜜罐技術、 基于異常的入侵檢測技術等。基于蜜罐的檢測技術在如何準確高效地對大量復雜數據進行 行之有效的自動數據分析機制，無法有效地進行未知及變種攻擊的檢查。而基于異常的入 侵檢測技術，很難實現對網絡行為的正確建模，漏檢率和誤檢率很高。
[0014] 對于大規模的網絡攻擊行為檢測，目前很多系統借用了入侵檢測的方法，還有一 些結合蜜罐、日志統計等方法來發現攻擊。但這些方法通常是基于不同的安全需求和目標 獨立開發，多局限于單一的主機或網絡架構，系統間缺乏互用性，對大規模的網絡攻擊檢測 能力明顯不足。

【發明內容】

[0015] 本發明所要解決的技術問題是:針對上述存在的問題，提供一種高準確率及能夠 識別未知攻擊的基于行為特征的網絡攻擊檢測方法及裝置。
[0016] 本發明公開的基于行為特征的網絡攻擊檢測方法，包括：
[0017]步驟1:收集各類安全設備輸出的原始安全信息;并將所述原始安全信息轉換為統 一格式的安全事件;所述安全事件至少包含事件產生時間字段、事件標識號字段、事件類型 字段、源IP地址字段及目的IP地址字段；
[0018]步驟2:根據各個字段內容對所述安全事件進行分類；
[0019] 步驟3:對源IP地址及目的IP地址均相同的且發生在一次監測時期內的各類安全 事件按照事件產生時間的先后順序進行排序得到安全事件組合;查找安全事件關聯規則庫 中是否具有相同的安全事件組合，若具有則認為目的IP地址對應的主機遭受到攻擊并進行 告警;若不具有則將這些安全事件存入關聯規則挖掘數據庫中；
[0020] 其中，安全事件關聯規則庫是這樣生成及定期更新的：定期統計關聯規則挖掘數 據庫內關聯規則挖掘數據庫若干個源IP地址及目的IP地址均相同的不同類的安全事件在 該統計時間內按照固定順序先后發生的次數;將次數大于設定閾值的安全事件組合作為安 全事件關聯規則存入安全事件關聯規則庫中；清空關聯規則挖掘數據庫。
[0021] 進一步，所述安全設備至少包括防火墻、入侵檢測系統、漏洞庫、殺毒軟件及主機 監控系統。
[0022] 進一步，所述安全事件的字段還包括:安全設備標識號、源端口、目的端口、網絡協 議類型、優先級及可信度。
[0023] 所述步驟1還包括合并冗余安全事件的步驟及去除錯誤的安全事件的步驟；
[0024] 其中合并冗余安全事件的步驟包括：
[0025] 步驟11:判斷兩個安全事件的事件標識號、安全設備標識號、事件類型、源IP地址、 目的IP地址、源端口、目的端口及網絡協議類型是否均相同，若是則將這兩條安全事件的其 他字段內容進行合并得到一條安全事件;合并的具體做法是:將兩條安全事件的優先級字 段內容同時作為合并后安全事件的優先級;取兩條安全事件中較高的可信度為合并后安全 事件的可信度；
[0026] 去除錯誤的安全事件的步驟包括：
[0027] 步驟12:首先檢測并得到某目標IP地址對應的主機的漏洞庫;然后將該目標IP地 址的安全事件逐一與所述漏洞庫進行匹配，若匹配成功則將此安全事件的可信度置為最高 值，否則將該目標IP地址的對應的主機的操作系統、軟件版本、端口及網絡協議與所述安全 事件進行匹配，若匹配成功則將此安全事件的可信度增加，若依然不匹配則將該安全事件 丟棄。
[0028] 步驟2進一步包括：
[0029] 將安全事件各個字段內容進行量化；
[0030] 利用K-means聚類算法將已有的安全事件分為k類；
[0031] 當有新的安全事件到來時，計算這條安全事件與原有各聚類中安全事件的相似 度;如果新安全事件與某聚類安全事件的相似程度大于設定的經驗閥值，則將這一安全事 件增加到該聚類當中；如果新安全事件與多個聚類的安全事件的相似程度都大于所述經驗 閥值，那么將這些聚類合并為同一聚類，同時把新的安全事件加入其中；如果新安全事件與 任何一個聚類的安全事件的相似程度都達不到所述經驗閥值，則將該安全事件創建為新的 聚類。
[0032] 本發明還提供了一種基于行為特征的網絡攻擊檢測裝置，包括：
[0033] 安全事件獲取單元，用于收集各類安全設備輸出的原始安全信息；并將所述原始 安全信息轉換為統一格式的安全事件;所述安全事件至少包含事件產生時間字段、事件標 識號字段、事件類型字段、源IP地址字段及目的IP地址字段；
[0034] 安全事件分類單元，用于根據各個字段內容對所述安全事件進行分類；
[0035]組合攻擊識別及告警單元，用于對源IP地址及目的IP地址均相同的且發生在同一 次監測時期內的各類安全事件按照事件產生時間的先后順序進行排序得到安全事件組合； 查找安全事件關聯規則庫中是否具有相同的安全事件組合，若具有則認為目的IP地址對應 的主機遭受到攻擊并進行告警;若不具有則將這些安全事件存入關聯規則挖掘數據庫中；
[0036] 安全事件關聯規則庫生成及定期更新單元，用于定期統計關聯規則挖掘數據庫內 若干個源IP地址及目的IP地址均相同的不同類的安全事件在該統計時間內按照固定順序 先后發生的次數;將次數大于設定閾值的安全事件組合作為新的安全事件關聯規則存入安 全事件關聯規則庫中；清空關聯規則挖掘數據庫。
[0037] 所述安全事件獲取單元還包括冗余安全事件