本發(fā)明公開(kāi)一種基于網(wǎng)絡(luò)流量報(bào)文的異常檢測(cè)和攻擊發(fā)起者分析系統(tǒng)，其包括：數(shù)據(jù)屬性提取模塊，用于從防火墻網(wǎng)關(guān)截獲網(wǎng)絡(luò)流量的原始報(bào)文數(shù)據(jù)，并且根據(jù)截獲的原始報(bào)文數(shù)據(jù)提取網(wǎng)絡(luò)流速，解析報(bào)文信息生成基礎(chǔ)屬性特征，并且將這些屬性特征存儲(chǔ)在數(shù)據(jù)庫(kù)；攻擊者群類特征生成模塊，用于依次對(duì)原始數(shù)據(jù)標(biāo)準(zhǔn)化、計(jì)算數(shù)據(jù)的復(fù)雜屬性、分配各個(gè)屬性的權(quán)重、采用聚類算法的交叉驗(yàn)證，引入無(wú)監(jiān)督機(jī)器學(xué)習(xí)聚類指標(biāo)，采取聚類指標(biāo)得分最高的聚類模型得出攻擊者群類特征聚類；攻擊檢測(cè)模塊，用于對(duì)所有觸發(fā)自定義規(guī)則的網(wǎng)絡(luò)攻擊報(bào)文進(jìn)行攻擊群類特征的匹配分析和攻擊者群類特征的增量修正。該系統(tǒng)能夠挖掘出單次攻擊中發(fā)起者的特征，定位攻擊的發(fā)起嫌疑人。

技術(shù)領(lǐng)域

本發(fā)明屬于網(wǎng)絡(luò)流量異常檢測(cè)和分析領(lǐng)域，具體涉及一種基于網(wǎng)絡(luò)流量報(bào)文的異常檢測(cè)和攻擊發(fā)起者分析系統(tǒng)。

背景技術(shù)

隨著移動(dòng)設(shè)備的普及和IOT設(shè)備的海量增長(zhǎng)，網(wǎng)絡(luò)流量的速率呈現(xiàn)著幾何倍數(shù)的遞增，同時(shí)也伴隨著網(wǎng)絡(luò)攻擊的泛濫。在如今的網(wǎng)絡(luò)環(huán)境中，網(wǎng)絡(luò)攻擊的異常流量和海量的常規(guī)流量混雜，給企業(yè)的網(wǎng)絡(luò)財(cái)產(chǎn)保護(hù)提出了嚴(yán)峻的考驗(yàn)。企業(yè)防火墻作為保護(hù)企業(yè)網(wǎng)絡(luò)財(cái)產(chǎn)的關(guān)鍵性設(shè)施，所有從外部網(wǎng)絡(luò)向內(nèi)部服務(wù)器傳輸?shù)膱?bào)文都會(huì)首先發(fā)往防火墻網(wǎng)關(guān)，然后經(jīng)由防火墻網(wǎng)關(guān)轉(zhuǎn)發(fā)給內(nèi)部的不同業(yè)務(wù)服務(wù)器，因此防火墻網(wǎng)關(guān)處往往會(huì)收到難以計(jì)數(shù)的海量報(bào)文數(shù)據(jù)，其中包含著來(lái)自各種各樣不同攻擊者偽裝的攻擊數(shù)據(jù)。由于網(wǎng)絡(luò)流速極大，不論存儲(chǔ)數(shù)據(jù)還是即時(shí)分析都會(huì)造成難以接受的空間/時(shí)間消耗，從而導(dǎo)致對(duì)于攻擊防護(hù)的成本高于企業(yè)接受的程度。

同時(shí)由于線上資產(chǎn)具有的特殊性質(zhì)，往往會(huì)吸引到競(jìng)爭(zhēng)對(duì)手或者黑客的攻擊，但是由于互聯(lián)網(wǎng)其自由的特征，所有的格式合法報(bào)文都可以在互聯(lián)網(wǎng)中得到轉(zhuǎn)發(fā)和流通，所以常規(guī)的防護(hù)工作無(wú)法識(shí)別的發(fā)起者和真實(shí)來(lái)源，更不提進(jìn)行網(wǎng)絡(luò)攻擊的溯源。使得企業(yè)沒(méi)有辦法掌握足夠的信息來(lái)找出攻擊發(fā)起者的嫌疑對(duì)象，從而進(jìn)一步完善防御或者掌握其發(fā)起攻擊的證據(jù)。

發(fā)明內(nèi)容

針對(duì)現(xiàn)有技術(shù)的不足，本發(fā)明提供一種基于網(wǎng)絡(luò)流量報(bào)文的異常檢測(cè)和攻擊發(fā)起者分析系統(tǒng)，該系統(tǒng)可以挖掘出單次攻擊中發(fā)起者的特征，定位攻擊的發(fā)起嫌疑人。具體技術(shù)方案如下：

一種基于網(wǎng)絡(luò)流量報(bào)文的異常檢測(cè)和攻擊發(fā)起者分析系統(tǒng)，該系統(tǒng)包括數(shù)據(jù)屬性提取模塊、攻擊者群類特征生成模塊以及攻擊檢測(cè)模塊；

所述的數(shù)據(jù)屬性提取模塊用于從防火墻網(wǎng)關(guān)截獲網(wǎng)絡(luò)流量的原始報(bào)文數(shù)據(jù)，并且根據(jù)截獲的原始報(bào)文數(shù)據(jù)提取網(wǎng)絡(luò)流速，解析報(bào)文信息生成基礎(chǔ)屬性特征，并且將這些屬性特征存儲(chǔ)在數(shù)據(jù)庫(kù)；

所述的攻擊者群類特征生成模塊用于對(duì)原始數(shù)據(jù)標(biāo)準(zhǔn)化處理，然后計(jì)算數(shù)據(jù)的復(fù)雜屬性，采用分類器交叉驗(yàn)證，根據(jù)最優(yōu)結(jié)果分配各個(gè)屬性的權(quán)重，最后采用聚類算法的交叉驗(yàn)證，引入無(wú)監(jiān)督機(jī)器學(xué)習(xí)聚類指標(biāo)，采取聚類指標(biāo)得分最高的聚類模型得出攻擊者群類特征聚類；

所述的攻擊檢測(cè)模塊用于對(duì)所有觸發(fā)自定義規(guī)則的網(wǎng)絡(luò)流量報(bào)文進(jìn)行攻擊群類特征的匹配分析和攻擊者群類特征的增量修正。

進(jìn)一步地，所述的數(shù)據(jù)屬性提取模塊包括如下三個(gè)子模塊：

(1)部署在防火墻網(wǎng)關(guān)的報(bào)文截獲子模塊，該子模塊由自定義的規(guī)則構(gòu)建，對(duì)于未觸發(fā)自定義規(guī)則的常規(guī)流量進(jìn)行流速的監(jiān)控，對(duì)于觸發(fā)自定義規(guī)則的異常網(wǎng)絡(luò)流量，進(jìn)行網(wǎng)絡(luò)流量報(bào)文的截獲，并將信息轉(zhuǎn)發(fā)給數(shù)據(jù)屬性解析計(jì)算子模塊，同時(shí)對(duì)外開(kāi)放自定義規(guī)則修改接口；

(2)部署在服務(wù)器上的數(shù)據(jù)屬性解析計(jì)算子模塊，該子模塊用于判斷報(bào)文是否合法，丟棄非法的報(bào)文并記錄非法報(bào)文所占比例，并解析合法報(bào)文的各項(xiàng)屬性，丟棄加密信息；

(3)數(shù)據(jù)庫(kù)存儲(chǔ)子模塊，使用MongoDB作為數(shù)據(jù)庫(kù)的框架，采用JSON的輸入格式來(lái)記錄解析后的特征屬性。

進(jìn)一步地，所述的攻擊者群類特征生成模塊對(duì)數(shù)據(jù)標(biāo)準(zhǔn)化處理時(shí)，首先丟棄無(wú)效數(shù)據(jù)，然后判斷數(shù)據(jù)類型，統(tǒng)一非數(shù)字類型數(shù)據(jù)的格式標(biāo)準(zhǔn)，正規(guī)化部分?jǐn)?shù)據(jù)，數(shù)字化部分枚舉類型。