本發(fā)明公開了一種基于信幀的網(wǎng)絡(luò)入侵行為分析檢測(cè)方法。包括：S1、獲取外網(wǎng)主機(jī)與內(nèi)網(wǎng)主機(jī)之間的所有網(wǎng)絡(luò)流會(huì)話信幀數(shù)據(jù)；S2、過(guò)濾并選取內(nèi)網(wǎng)主機(jī)主動(dòng)發(fā)送至外網(wǎng)主機(jī)的單向信幀數(shù)據(jù)；S3、分析單向信幀數(shù)據(jù)的時(shí)間間隔特征和流量大小特征；S4、對(duì)單向信幀數(shù)據(jù)的時(shí)間間隔特征和流量大小特征進(jìn)行評(píng)分，當(dāng)評(píng)分值大于預(yù)設(shè)的特征標(biāo)準(zhǔn)閾值時(shí)，則預(yù)判存在網(wǎng)絡(luò)入侵行為并進(jìn)行網(wǎng)絡(luò)入侵報(bào)警。本發(fā)明以分析流量行為作為檢測(cè)網(wǎng)絡(luò)入侵行為的策略，分別從時(shí)間間隔和流量大小兩方面對(duì)流量數(shù)據(jù)特征進(jìn)行評(píng)分，不但能夠準(zhǔn)確、快速地檢測(cè)已知類型或未知類型的網(wǎng)絡(luò)入侵行為是否發(fā)生，而且能夠準(zhǔn)確快速地尋找到受感染的內(nèi)網(wǎng)主機(jī)以及時(shí)進(jìn)行安全維護(hù)及優(yōu)化。

技術(shù)領(lǐng)域

本發(fā)明涉及網(wǎng)絡(luò)信息安全技術(shù)領(lǐng)域，尤其是一種基于信幀的網(wǎng)絡(luò)入侵行為分析檢測(cè)方法。

背景技術(shù)

隨著網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大以及網(wǎng)絡(luò)性能技術(shù)的不斷提升，隨之所附帶或者產(chǎn)生的一些網(wǎng)絡(luò)信息安全問(wèn)題也愈來(lái)愈受到重視。其中，利用網(wǎng)絡(luò)存在的漏洞和安全缺陷對(duì)網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)進(jìn)行的攻擊或者入侵行為通常會(huì)引起諸如網(wǎng)絡(luò)故障、用戶誤操作、網(wǎng)絡(luò)病毒傳播、數(shù)據(jù)被破壞或被竊取等網(wǎng)絡(luò)異常或安全問(wèn)題，從而對(duì)網(wǎng)絡(luò)本身及運(yùn)行于網(wǎng)絡(luò)上的各種設(shè)備造成極大的危害性和破壞性。比如，網(wǎng)絡(luò)終端設(shè)備(亦可稱為內(nèi)網(wǎng)主機(jī))在無(wú)意間下載并打開惡性軟件后，很容易被感染，而被感染后的設(shè)備通常會(huì)定期地連接外網(wǎng)控制設(shè)備(亦可稱為C&C服務(wù)器或外網(wǎng)主機(jī)，即：遠(yuǎn)程命令與控制服務(wù)器)以試圖獲取外網(wǎng)控制設(shè)備的某種指令或者外網(wǎng)控制設(shè)備自動(dòng)向網(wǎng)絡(luò)終端設(shè)備自動(dòng)植入某種指令(其中，圖1示出了內(nèi)網(wǎng)主機(jī)和外網(wǎng)主機(jī)之間的一個(gè)會(huì)話場(chǎng)景)，從而導(dǎo)致網(wǎng)絡(luò)異常或安全問(wèn)題的發(fā)生。

目前，通用的網(wǎng)絡(luò)入侵行為檢測(cè)方法主要濫用(Misuse Detection)檢測(cè)方法，主要是通過(guò)匹配網(wǎng)絡(luò)流量的特征字段來(lái)判斷是否發(fā)生入侵行為以最終試圖尋找可疑的受感染設(shè)備(其中，圖2示出了通過(guò)信幀檢測(cè)到由外部攻擊者遠(yuǎn)程控制的內(nèi)網(wǎng)主機(jī)在內(nèi)網(wǎng)活動(dòng)的軌跡以及入侵行為檢測(cè)、分析及報(bào)警流程的場(chǎng)景)；雖然能夠準(zhǔn)確、快速地檢測(cè)已知類型的入侵，但由于網(wǎng)絡(luò)流量本身的復(fù)雜性，微小的流量變化即可很容易逃脫檢測(cè)，從而使其無(wú)法對(duì)未知類型的入侵進(jìn)行準(zhǔn)確檢測(cè)。

鑒于此，如何快速、準(zhǔn)確、及時(shí)地檢測(cè)并分析出網(wǎng)絡(luò)流量異常行為或入侵行為對(duì)提高網(wǎng)絡(luò)的可靠性、安全性以及保障網(wǎng)絡(luò)性能質(zhì)量、安全高效運(yùn)行具有至關(guān)重要的意義。

發(fā)明內(nèi)容

針對(duì)上述現(xiàn)有技術(shù)存在的不足，本發(fā)明的目的在于提供一種基于信幀的網(wǎng)絡(luò)入侵行為分析檢測(cè)方法。

為了實(shí)現(xiàn)上述目的，本發(fā)明采用如下技術(shù)方案：

一種基于信幀的網(wǎng)絡(luò)入侵行為分析檢測(cè)方法，包括以下步驟：

S1、采集信息：獲取外網(wǎng)主機(jī)與內(nèi)網(wǎng)主機(jī)之間的所有網(wǎng)絡(luò)流會(huì)話信幀數(shù)據(jù)；

S2、提取信息：過(guò)濾并選取內(nèi)網(wǎng)主機(jī)主動(dòng)發(fā)送至外網(wǎng)主機(jī)的單向信幀數(shù)據(jù)；

S3、分析特征：分析單向信幀數(shù)據(jù)的時(shí)間間隔特征和流量大小特征；

S4、評(píng)分預(yù)判：對(duì)單向信幀數(shù)據(jù)的時(shí)間間隔特征和流量大小特征進(jìn)行評(píng)分，當(dāng)評(píng)分值大于預(yù)設(shè)的特征標(biāo)準(zhǔn)閾值時(shí)，則預(yù)判存在網(wǎng)絡(luò)入侵行為并進(jìn)行網(wǎng)絡(luò)入侵報(bào)警。

優(yōu)選地，步驟S4中，依公式一對(duì)單向信幀數(shù)據(jù)的特征進(jìn)行評(píng)分，當(dāng)特征評(píng)分值大于預(yù)設(shè)的特征標(biāo)準(zhǔn)閾值時(shí)，則預(yù)判存在網(wǎng)絡(luò)入侵行為并進(jìn)行網(wǎng)絡(luò)入侵報(bào)警；其中，公式一為：

優(yōu)選地，步驟S3中，所述時(shí)間間隔特征為在一特定周期內(nèi)數(shù)據(jù)的時(shí)間偏離度特征、時(shí)間離差度特征和持續(xù)時(shí)間特征；所述公式一中，時(shí)間間隔特征評(píng)分值為時(shí)間偏離度評(píng)分值、時(shí)間離差度評(píng)分值和持續(xù)時(shí)間評(píng)分值之和。

優(yōu)選地，在特定周期內(nèi)，獲取同一內(nèi)網(wǎng)主機(jī)與外網(wǎng)主機(jī)進(jìn)行網(wǎng)絡(luò)連接的連接時(shí)間間隔數(shù)組，然后從小到大排序以形成時(shí)間間隔排序位置數(shù)組；