技術領域

本發明涉及網絡安全領域，特別涉及網絡失竊密行為的異常檢測方法及系統。

背景技術

近年來，隨著網絡入侵技術的發展以及木馬、病毒、僵尸程序等惡意代碼的泛濫，網絡與信息安全問題日益突出，尤其是網絡失密、竊密(合成網絡失竊密)事件層出不窮，其中不乏影響重大的安全事件，危及社會經濟和國家安全。因此，針對網絡失密行為和竊密行為檢測(合成網絡失竊密行為檢測)的研究工作顯得尤為重要。

與網絡入侵檢測類似，網絡失竊密行為檢測方法也可分為誤用檢測和異常檢測兩類。誤用檢測主要通過對失竊密行為的深入分析，提取其相對應的固定特征(一般為字符串特征或二進制串特征)，并結合涉密敏感關鍵詞等特征，對網絡數據進行特征模式匹配，如果匹配成功則認為存在失竊密行為。而異常檢測的一般原理是通過對網絡歷史數據的統計分析，預先建立網絡正常活動的行為輪廓，然后在檢測時統計當前網絡行為，如果當前行為與正常行為輪廓的偏離程度超過一定范圍則認為當前行為為網絡失竊密行為。

現有技術中的網絡入侵檢測往往采用誤用檢測方法，該類方法較適合對已知行為進行檢測，在選取恰當關鍵詞或特征的前提下具有高效、準確等優點。然而，由于誤用檢測方法固有的不足，導致現有技術存在以下問題：

1)缺乏對未知失竊密事件的發現能力；

2)由于誤用檢測方法只能對明文信息進行檢測，因此現有方法缺乏對加密信息的檢測能力；

3)在應用實踐中，由于失竊密行為的變異以及新行為的出現導致固定特征提取很難，或跟不上失竊密行為的變化，因而檢測效果不佳。

發明內容

本發明的目的是克服現有的網絡失竊密行為異常檢測方法缺乏對未知失竊密事件的發現能力、檢測效果不佳等缺陷，從而提供一種高效、快捷的網絡失竊密行為的異常檢測方法。

為了實現上述目的，本發明提供了一種網絡失竊密行為的異常檢測方法，包括：

步驟1)、接收網絡數據包，并對所得到的網絡數據包做協議還原；

步驟2)、將所述網絡數據包與關注目標做相關性判斷，拋棄不具有相關性的網絡數據包，對具有相關性的網絡數據包執行下一步；

步驟3)、判定與所述關注目標相關的網絡數據包所屬的連接；其中，所述連接包括TCP連接或UDP連接；

步驟4)、對與所述關注目標相關的所有連接上的檢測特征向量進行統計；其中，

所述檢測特征向量包括用于表示當前連接最近一次發生訪問的時間至檢測時的時間間隔的最近訪問間隔特征last_interval、用于表示檢測時間間隔內當前連接的平均流量的流量特征traffic、用于表示當前連接最近若干次發生訪問的時間間隔所呈現出的周期性的行為周期性特征period、用于表示在檢測時間間隔內與當前連接具有相同sip且相繼發生訪問的連接的個數的同sip連接相繼訪問特征sip_count、用于表示在檢測時間間隔內與當前連接具有相同dip的連接的個數的同dip的連接特征dip_count；

步驟5)、根據統計結果，計算與所述關注目標相關的連接所對應的檢測特征向量中各個檢測特征的值；

步驟6)、根據所述檢測特征的值判斷對應連接是否存在異常。

上述技術方案中，在所述的步驟1)之前還包括學習階段，所述學習階段包括步驟1)-步驟4)，以得到與所述關注目標相關的所有連接上的檢測特征向量的大量統計結果。

上述技術方案中，在所述的步驟2)中，所述的相關性判斷包括：

將所述網絡數據包的源IP地址或目的IP地址與所述關注目標的IP地址進行匹配，若所述源IP地址、目的IP地址兩者之一與所述關注目標的IP地址相匹配，則所述網絡數據包與所述關注目標存在相關性，否則，不存在相關性。

上述技術方案中，所述的步驟3)包括：

步驟3-1)、當與所述關注目標相關的網絡數據包為TCP同步包時，若該網絡數據包不屬于一個已有連接，則為該網絡數據包建立一個新的TCP連接，若該網絡數據包屬于一個已有連接，則開始對該已有連接的新訪問；

步驟3-2)、當與所述關注目標相關的網絡數據包為TCP非同步包時，若該網絡數據包不屬于一個已有連接，則丟棄該網絡數據包，若該網絡數據包屬于一個已有連接，則保留該網絡數據包；