本發明公開了一種基于流數據的異常檢測方法及系統，屬于網絡安全事件發現領域，所述的異常檢測系統，包括：數據接入層、異常行為發現層、IP畫像層、威脅檢測層、特征工程層以及融合分析層；首先，利用數據接入層對IP畫像進行分析，獲取歷史數據；利用異常行為發現層對歷史數據進行分析判定，形成重點目標IP和一般目標IP；利用威脅檢測層對重點目標IP和一般目標IP分別進行檢測；最后，利用融合分析層，對于重點目標IP和一般目標IP異常發生時的各項流量特征，綜合評估生成異常檢測報告。本發明基于五元組數據，異常發現效率高。

技術領域

本發明屬于網絡安全事件發現領域，具體涉及一種基于流數據的異常檢測方法及系統。

背景技術

隨著互聯網技術的不斷進步以及網絡用戶數量的日益增長，惡意網絡行為呈現出復雜化、多樣化及智能化的趨勢。當前已有諸多研究人員對網絡行為的監測、建模、預警及評估進行深入研究。由于互聯網自身的復雜性、異構性與動態性導致互聯網上的各種網絡惡意行為日趨隱蔽，同時群體化網絡惡意行為可能在某一時間段內在不同空間中進行交叉融合，形成危害較大的網絡攻擊，對互聯網的基礎設施或中心服務節點產生巨大威脅。尤其隨著僵尸網絡技術的提升，更強的受控性、隱蔽性與融合性使得互聯網安全所面臨的挑戰愈加嚴峻。

傳統的網絡惡意行為監測與發現方法主要通過對網絡數據本身進行分析獲得，如利用深度包檢測技術對網絡惡意代碼進行檢測；分析網絡四元組信息(源IP、源端口、目的IP、目的端口)對已知協議漏洞進行分析；利用流數據的特征(如數據包長度、數據包首部大小、流到達時間間隔等)采用機器學習方法對匿名數據流進行分類，挖掘網絡主機群體的潛在相似性。

然而隨著社會工程學在網絡攻擊中的應用，攻擊手段呈現出多元化、智能化趨勢。在互聯網開放性的分布式異構環境下，對不同的時間段、不同的地理位置所產生的群體網絡惡意行為進行監測、追蹤和溯源，尤其對于群體攻擊行為的潛伏期與發展期的潛在威脅發現與預警是當前網絡安全的研究熱點。

以往的網絡監測檢測機制并沒有深入分析這些惡意網絡行為潛在的社會化關系，網絡信任的提出是在現有的網絡安全技術基礎上，增加對網絡歷史行為過程與交互過程的量化與參考，強化了網絡用戶之間的交互行為分析。通常而言，常態化網絡中用戶交互行為存在較大隨機性，而對于在某個時空內網絡交互呈現突發聚集性或大范圍相似性行為，則可標記為異常點，但其所引發的網絡流量壓力與連接壓力對網絡基礎設施帶來一定的風險，對這些具有潛在惡意的非常態化網絡事件感知與響應是網絡安全管理的重要任務之一。

當前的異常檢測機制對隱蔽化、智能化及控制性強的網絡群體攻擊具有滯后性與開銷大的局限性，且基于特征及流量異常的方法并沒有分析網絡行為背后的社會化關系，導致很難在安全事件潛伏期內發現潛在的網絡風險。考慮到網絡行為本質上是社會化行為在網絡中的映射，可采用信任關系對網絡行為進行建模，發掘惡意群體行為與常態化行為的區別，及時發現網絡的異常行為群體，為網絡應急提供預警。

網絡流量異常檢測作為一種有效的網絡防護手段，能夠檢測未知攻擊行為，并為網絡態勢感知提供重要的支持，近年來受到研究者越來越多的關注。迄今為止，國內外學者己經提出了很多不同類型的檢測方法。其中，基于網絡流量分類的方法是其中很重要的一類。但是，目前大多數網絡流量分類方法都是基于傳統的機器學習方式，分類性能非常依賴于流量特征的設計。如何設計一組能夠準確刻畫流量特性的特征集，需要大量的人工經驗和特征工程技巧，仍是一個尚未解決的問題。

在1980年James P.Anderson第一次使用了對系統異常行為進行檢測的概念，并且介紹了通過監控用戶行為得到的數據信息，這是網絡異常行為檢測研究的開端。在此之后，伴隨著互聯網的普及和網絡技術的飛速發展以及網絡安全技術的日益精進，相當多數量的算法研究人員以及技術工程人員逐漸投入到關于網絡異常行為檢測的研究之中。與此同時，也衍生出關于這個課題的多種研究方向。