技術(shù)領(lǐng)域

本發(fā)明涉及信息安全技術(shù)領(lǐng)域，尤其是一種基于行為特征的網(wǎng)絡(luò)攻擊檢測 方法。

背景技術(shù)

在互聯(lián)網(wǎng)迅速普及當(dāng)中，人們在感受網(wǎng)絡(luò)所帶來的便利的同時，也面臨著 各種各樣的進(jìn)攻和威脅：機(jī)密泄漏、數(shù)據(jù)丟失、網(wǎng)絡(luò)濫用、身份冒用、非法入 侵等數(shù)據(jù)表明，我國有63.6％的企業(yè)用戶處于“高度風(fēng)險”級別，每年因網(wǎng)絡(luò)泄 密導(dǎo)致的經(jīng)濟(jì)損失高達(dá)上百億。

隨著計(jì)算機(jī)網(wǎng)絡(luò)及相關(guān)技術(shù)的發(fā)展，網(wǎng)絡(luò)攻擊產(chǎn)生的速度越來越快、規(guī)模 越來越大、自動化程度越來高，如蠕蟲病毒、DDos攻擊、僵尸網(wǎng)絡(luò)等已給網(wǎng) 絡(luò)的正常使用帶來了極大的威脅。

目前，基于網(wǎng)絡(luò)行為分析的攻擊檢測方法主要有以下幾種：

(1)基于概率統(tǒng)計(jì)的網(wǎng)絡(luò)行為分析

基于概率統(tǒng)計(jì)的方法通過對用戶行為進(jìn)行抽樣統(tǒng)計(jì)，對其穩(wěn)定的網(wǎng)絡(luò)行為 進(jìn)行統(tǒng)計(jì)分析。該方法基于概率統(tǒng)計(jì)理論，應(yīng)用較早，是目前最有流行的網(wǎng)絡(luò) 行為分析方法。其優(yōu)點(diǎn)是它的理論基礎(chǔ)概率統(tǒng)計(jì)已非常成熟。但在實(shí)際應(yīng)用 中，不同的網(wǎng)絡(luò)用戶其操作習(xí)慣及其行為很復(fù)雜，簡單的概率統(tǒng)計(jì)難以給出精 確匹配的網(wǎng)絡(luò)行為模式，因此其惡意攻擊代碼的閥值難以確定，易造成誤報(bào)、 漏報(bào)。

(2)基于機(jī)器學(xué)習(xí)的網(wǎng)絡(luò)行為分析方法

基于機(jī)器學(xué)習(xí)的方法通過模仿人的學(xué)習(xí)原理，建立學(xué)習(xí)系統(tǒng)，并對機(jī)器進(jìn) 行學(xué)習(xí)訓(xùn)練，能夠識別用戶網(wǎng)絡(luò)行為特征。其主要研究內(nèi)容是建立學(xué)習(xí)系統(tǒng)， 并通過大量的樣本學(xué)習(xí)訓(xùn)練。目前主要的方法有歸納法、神經(jīng)網(wǎng)絡(luò)、遺傳算法 等。遺傳算法作為人工智能的一個獨(dú)立分支，基于大量樣本進(jìn)行學(xué)習(xí)訓(xùn)練，能 夠描述復(fù)雜的行為模式，其行為模型匹配程度高，因此誤報(bào)率低，檢測速度 快。但由于該方法需要大量的樣本，當(dāng)用戶行為發(fā)生變化時，無法及時更新匹 配。

(3)基于神經(jīng)網(wǎng)絡(luò)的網(wǎng)絡(luò)行為分析

神經(jīng)網(wǎng)絡(luò)在網(wǎng)絡(luò)行為分析中的應(yīng)用成為了一個研究熱點(diǎn)，該方法能夠很好 描述復(fù)雜的非線性問題，并能通過學(xué)習(xí)訓(xùn)練進(jìn)行系統(tǒng)更新，該方法與統(tǒng)計(jì)理論 相比，能夠更好地匹配用戶行為模式，抗干擾能力強(qiáng)，且具有更快的分析速 度。其缺點(diǎn)是需要確定各因素間的拓?fù)浣Y(jié)構(gòu)以及各因素之間的權(quán)重，這在實(shí)際 操作中很難確定。

(4)基于數(shù)據(jù)挖掘的網(wǎng)絡(luò)行為分析方法

數(shù)據(jù)挖掘方法擅長從大量關(guān)系復(fù)雜的數(shù)據(jù)中提取數(shù)據(jù)特征，因此比較適用 于網(wǎng)絡(luò)用戶的復(fù)雜行為。近年來，數(shù)據(jù)挖掘在網(wǎng)絡(luò)行為分析中的應(yīng)用也成為了 一個研究熱點(diǎn)。數(shù)據(jù)挖掘方法在惡意代碼檢測中的應(yīng)用主要是聚類分析和關(guān)聯(lián) 規(guī)則，其主要優(yōu)點(diǎn)是誤警率低、適應(yīng)能力好、可以減輕數(shù)據(jù)過載。但同時它也 存在檢測模型實(shí)時性實(shí)施困難、學(xué)習(xí)和評價計(jì)算成本高、系統(tǒng)需要大量的訓(xùn)練 數(shù)據(jù)等缺點(diǎn)。

針對網(wǎng)絡(luò)攻擊行為的檢測，目前主要采用特征匹配、模式匹配和規(guī)則匹配 算法，只能實(shí)現(xiàn)對已知攻擊行為的檢測，而對于未知或變種攻擊的檢測目前主 要是通過蜜罐技術(shù)、基于異常的入侵檢測技術(shù)等。基于蜜罐的檢測技術(shù)在如何 準(zhǔn)確高效地對大量復(fù)雜數(shù)據(jù)進(jìn)行行之有效的自動數(shù)據(jù)分析機(jī)制，無法有效地進(jìn) 行未知及變種攻擊的檢查。而基于異常的入侵檢測技術(shù)，很難實(shí)現(xiàn)對網(wǎng)絡(luò)行為 的正確建模，漏檢率和誤檢率很高。

對于大規(guī)模的網(wǎng)絡(luò)攻擊行為檢測，目前很多系統(tǒng)借用了入侵檢測的方法， 還有一些結(jié)合蜜罐、日志統(tǒng)計(jì)等方法來發(fā)現(xiàn)攻擊。但這些方法通常是基于不同 的安全需求和目標(biāo)獨(dú)立開發(fā)，多局限于單一的主機(jī)或網(wǎng)絡(luò)架構(gòu)，系統(tǒng)間缺乏互 用性，對大規(guī)模的網(wǎng)絡(luò)攻擊檢測能力明顯不足。

發(fā)明內(nèi)容

本發(fā)明所要解決的技術(shù)問題是：針對上述存在的問題，提供一種高準(zhǔn)確率 及能夠識別未知攻擊的基于行為特征的網(wǎng)絡(luò)攻擊檢測方法及裝置。

本發(fā)明公開的基于行為特征的網(wǎng)絡(luò)攻擊檢測方法，包括：

步驟1：收集各類安全設(shè)備輸出的原始安全信息；并將所述原始安全信息 轉(zhuǎn)換為統(tǒng)一格式的安全事件；所述安全事件至少包含事件產(chǎn)生時間字段、事 件標(biāo)識號字段、事件類型字段、源IP地址字段及目的IP地址字段；

步驟2：根據(jù)各個字段內(nèi)容對所述安全事件進(jìn)行分類；

步驟3：對源IP地址及目的IP地址均相同的且發(fā)生在一次監(jiān)測時期內(nèi)的各 類安全事件按照事件產(chǎn)生時間的先后順序進(jìn)行排序得到安全事件組合；查找 安全事件關(guān)聯(lián)規(guī)則庫中是否具有相同的安全事件組合，若具有則認(rèn)為目的IP 地址對應(yīng)的主機(jī)遭受到攻擊并進(jìn)行告警；若不具有則將這些安全事件存入關(guān) 聯(lián)規(guī)則挖掘數(shù)據(jù)庫中；