技術領域

本發明屬于網絡安全技術領域，特別涉及攻擊行為檢測方法，可用于保護網絡安全。

背景技術

近年來，互聯網技術得到快速發展，上網已經是人們日常工作和生活中必不可少的一部分，各種新興應用如電子郵件，網上購物，網絡社交，網絡游戲等已經成為人們辦公、消遣中的重要選擇。這些新興事物在為用戶帶來方便的同時，也帶來了新的安全隱患。首先，所有的新興網絡應用都需要用戶管理自己的賬號和密碼，這些信息一旦被人竊取，用戶的隱私及虛擬數據將損失慘重；其次，在一些需要網上支付的場景中，用戶往往需要將自己的銀行卡資料上傳，這些資料若被不法分子竊取，后果將不堪設想。

針對上述問題，目前已經有了很多解決方案，如殺毒軟件、網絡防火墻等。這些防護措施可以在一定程度上解決用戶的安全需求，但是其核心功能的實現是基于以往的攻擊特征庫的，這種方式的缺點有：(1)當攻擊者針對未知漏洞進行攻擊時，這類防護措施就失效了；(2)隨著時間的推移，攻擊行為特征庫的體積將會越來越大，攔截攻擊的效率也會越來越低。

發明內容

本發明的目的在于提出一種基于流量異常及特征分析的攻擊行為檢測方法，以解決現有檢測技術中無法防范來自未知漏洞的攻擊和攻擊特征庫體積增大導致的攔截攻擊效率降低的問題。

實現本方法的主要思想是：通過對流經網卡的流量進行統計，計算流量序列的赫斯特指數判斷流量是否符合自相似特性：若流量序列符合自相似特性，則認為未受到攻擊，繼續進行下一個時刻的判斷，若流量序列不符合自相似特性，則認為疑似受到攻擊，使用攻擊流量特征庫對疑似攻擊流量數據包進行匹配：若匹配成功，則認為受到攻擊，對用戶進行報警，若匹配不成功，則認為未受到攻擊，進行下一個時刻的判斷。

根據以上思路，本發明的技術方案包括：

(1)獲取網絡流量；

(2)計算網絡流量的赫斯特指數：

2a)設置采樣間隔n，依據單位時間內流經網絡適配器A的流量序列X＝{X_i|i＝1,2,...,n}，求出流量序列X的均值

2b)設置時移系數k，依據流量序列X的均值計算時移系數為k的流量序列的自協方差γ_k、方差γ₀及時移系數為k的流量序列的自相關系數ρ_k；

2c)設置赫斯特指數初始值H₀及迭代終止值s，并利用2b)中選擇的時移系數k和計算出來的自相關系數ρ_k帶入迭代公式：進行計算，得到赫斯特指數H，其中，m表示迭代次數且m≥0；

2d)設置報警閾值q，并將赫斯特指數H與設置的報警閾值q進行比較：若H≤q，則流量序列X不符合自相似特性，判斷為存在疑似攻擊流量，執行步驟(3)，若H>q，則此流量序列符合自相似特性，判斷為不存在疑似攻擊流量，返回步驟(1)；

(3)對疑似攻擊流量做攻擊流量特征分析：

3a)使用網絡封包分析軟件對疑似攻擊流量進行解包，獲取數據包中的數據字段，并將其保存到本地文件D中；

3b)使用攻擊流量特征庫L中的攻擊流量特征字串c對本地文件D中的數據字段進行匹配，若匹配成功，則判斷為受到攻擊，對用戶進行報警，否則，認為未受到攻擊，返回步驟(1)。

本發明與現有技術相比具有如下優點：

1.由于本發明使用網絡流量的自相似特性對是否受到攻擊進行判斷，因此可以避免傳統方案對攻擊者針對未知漏洞進行攻擊時無法攔截的問題。

2.由于本發明使用網絡流量特征對是否受到攻擊進行判斷，因此可以避免攻擊行為特征庫體積增大導致的匹配效率降低的問題。

附圖說明

圖1本發明的實現總流程圖；

圖2是本發明中計算網絡流量的赫斯特指數子流程圖。

具體實施方式

參照圖1，本發明的實現步驟如下：

步驟1，獲取網絡流量。

目前，獲取網絡流量的方法有很多，使用如防火墻鉤子，divertsocket和基于NPF驅動的截獲方法等等，其中，防火墻鉤子方法和divertsocket方法均在在TCP/IP協議棧的IP層截獲數據包并進行流量統計，這些數據包由于經過了部分協議棧，其數據完整性得不到保證，而基于NPF驅動的截獲方法能夠直接對物理鏈路上的數據包進行截獲并進行流量統計，因此本實例使用基于NPF驅動的Windows網絡底層訪問工具winpcap進行網絡流量統計，其實現步驟如下：