本發(fā)明公開了一種面向主機(jī)的可疑網(wǎng)絡(luò)連接識(shí)別方法，包括以下步驟：A)、確定用來實(shí)現(xiàn)網(wǎng)絡(luò)連接類型聚類的各個(gè)網(wǎng)絡(luò)連接特征，基于這些網(wǎng)絡(luò)連接特征構(gòu)造一個(gè)多維空間，從而將每個(gè)網(wǎng)絡(luò)連接映射為所述多維空間中的一個(gè)點(diǎn)；B)、收集單位時(shí)間段內(nèi)出入指定主機(jī)的所有網(wǎng)絡(luò)流量，將所述流量中的所有網(wǎng)絡(luò)連接一一映射到步驟A中所構(gòu)造的多維空間中的點(diǎn)，并對(duì)映射后的點(diǎn)進(jìn)行聚類，得到多個(gè)由網(wǎng)絡(luò)連接所對(duì)應(yīng)的點(diǎn)組成的子類，并將點(diǎn)數(shù)量小于指定閾值的子類所對(duì)應(yīng)的所有網(wǎng)絡(luò)連接判定為可疑網(wǎng)絡(luò)連接。本發(fā)明通過對(duì)這些可疑網(wǎng)絡(luò)連接進(jìn)行持續(xù)跟蹤來實(shí)現(xiàn)對(duì)各種APT攻擊的檢測和持續(xù)跟蹤。

技術(shù)領(lǐng)域

本發(fā)明屬于識(shí)別異常網(wǎng)絡(luò)流量方法領(lǐng)域，具體地說，涉及一種面向主機(jī)的可疑網(wǎng)絡(luò)連接識(shí)別方法。

背景技術(shù)

當(dāng)前，APT(高級(jí)持續(xù)性威脅)攻擊已成為一種嚴(yán)重威脅信息系統(tǒng)安全的重要攻擊方式，它具有變化快、無明顯攻擊特征等特點(diǎn)，攻擊者通過它可以實(shí)現(xiàn)對(duì)信息系統(tǒng)的數(shù)據(jù)竊取、篡改和破壞等目的。針對(duì)APT攻擊的檢測是當(dāng)前的一個(gè)難點(diǎn)。

當(dāng)前很多針對(duì)APT攻擊的檢測都采用惡意代碼檢測方式，即通過檢測APT攻擊中惡意代碼的傳播過程來發(fā)現(xiàn)APT攻擊，但很多APT攻擊都是通過社會(huì)工程等方法進(jìn)行木馬植入，因此單一依靠惡意代碼傳播的檢測會(huì)導(dǎo)致漏報(bào)。

雖然APT攻擊沒有明顯的攻擊特征，但是我們通過對(duì)現(xiàn)有的APT攻擊進(jìn)行研究發(fā)現(xiàn)，一個(gè)APT攻擊在整個(gè)的攻擊過程中(包括漏洞利用、惡意代碼下載、橫向移動(dòng)、竊取數(shù)據(jù)并上傳等)往往會(huì)引起很多可疑的網(wǎng)絡(luò)連接。這些可疑網(wǎng)絡(luò)連接其實(shí)是檢測APT攻擊的有效手段。

發(fā)明內(nèi)容

本發(fā)明要解決的技術(shù)問題是克服上述缺陷，提供了一種面向主機(jī)的可疑網(wǎng)絡(luò)連接識(shí)別方法，充分利用了APT攻擊各階段所發(fā)出的可疑網(wǎng)絡(luò)連接和服務(wù)器主機(jī)進(jìn)行正常業(yè)務(wù)時(shí)的正常網(wǎng)絡(luò)連接在網(wǎng)絡(luò)連接特征上有較大區(qū)別的特征，通過將單位時(shí)間內(nèi)與某個(gè)主機(jī)相關(guān)的所有網(wǎng)絡(luò)連接一一映射到高維空間中的點(diǎn)，并采用基于分層或基于密度的聚類算法來識(shí)別出那些最可能為可疑網(wǎng)絡(luò)連接的高維空間中的孤立點(diǎn)，從而可能通過對(duì)這些可疑網(wǎng)絡(luò)連接進(jìn)行持續(xù)跟蹤來實(shí)現(xiàn)對(duì)各種APT攻擊的檢測和持續(xù)跟蹤。

為解決上述問題，本發(fā)明所采用的技術(shù)方案是：

一種面向主機(jī)的可疑網(wǎng)絡(luò)連接識(shí)別方法，其特征在于：包括以下步驟：

A)、確定用來實(shí)現(xiàn)網(wǎng)絡(luò)連接類型聚類的各個(gè)網(wǎng)絡(luò)連接特征，基于這些網(wǎng)絡(luò)連接特征構(gòu)造一個(gè)多維空間，從而將每個(gè)網(wǎng)絡(luò)連接映射為所述多維空間中的一個(gè)點(diǎn)；

B)、收集單位時(shí)間段內(nèi)出入指定主機(jī)的所有網(wǎng)絡(luò)流量，將所述流量中的所有網(wǎng)絡(luò)連接一一映射到步驟A中所構(gòu)造的多維空間中的點(diǎn)，并對(duì)映射后的點(diǎn)進(jìn)行聚類，得到多個(gè)由網(wǎng)絡(luò)連接所對(duì)應(yīng)的點(diǎn)組成的子類，并將點(diǎn)數(shù)量小于指定閾值的子類所對(duì)應(yīng)的所有網(wǎng)絡(luò)連接判定為可疑網(wǎng)絡(luò)連接。

作為一種優(yōu)化的技術(shù)方案，所述步驟A中，所述網(wǎng)絡(luò)連接特征包括但不限于網(wǎng)絡(luò)連接方向、網(wǎng)絡(luò)服務(wù)端口、網(wǎng)絡(luò)報(bào)文大小統(tǒng)計(jì)特征、網(wǎng)絡(luò)流時(shí)間分布統(tǒng)計(jì)特征和網(wǎng)絡(luò)流內(nèi)容特征中的一種或者幾種。

作為一種優(yōu)化的技術(shù)方案，所述的可疑網(wǎng)絡(luò)連接識(shí)別方法中，所述步驟B中，可采用的針對(duì)網(wǎng)絡(luò)連接映射后的點(diǎn)集的聚類算法包括基于密度的聚類算法和基于分層的聚類算法。

作為一種優(yōu)化的技術(shù)方案，所述的面向主機(jī)的可疑網(wǎng)絡(luò)連接識(shí)別方法，它還包括以下步驟，將各歷史的單位時(shí)間段的聚類結(jié)果去掉可疑網(wǎng)絡(luò)連接組成的子類，得到各歷史時(shí)間段的正常業(yè)務(wù)網(wǎng)絡(luò)連接子類集合，計(jì)算各歷史的單位時(shí)間段中各正常業(yè)務(wù)網(wǎng)絡(luò)連接子類的重心和半徑，當(dāng)發(fā)現(xiàn)最近連續(xù)的指定數(shù)量的單位時(shí)間段所挖掘出的正常業(yè)務(wù)網(wǎng)絡(luò)連接子類的數(shù)量不變且每個(gè)子類的重心和半徑變化范圍在指定的閾值內(nèi)時(shí)，則檢查步驟B中識(shí)別出的可疑網(wǎng)絡(luò)連接所對(duì)應(yīng)的點(diǎn)是否位于某個(gè)歷史時(shí)間段的由某個(gè)正常業(yè)務(wù)網(wǎng)絡(luò)連接子類的重心和半徑所確定的空間中；如果是，則修正該可疑網(wǎng)絡(luò)連接為正常網(wǎng)絡(luò)連接；否則維持其為可疑網(wǎng)絡(luò)連接的判斷。