本發(fā)明公開了一種云數(shù)據(jù)安全識別與分類方法，包括：根據(jù)流形調(diào)性將流量分離成若干個流泡；對流泡中的重復(fù)性行為進(jìn)行攻擊事件識別；將流泡中的交互模式特征與攻擊行為交互模式特征進(jìn)行匹配，獲得流量對應(yīng)的攻擊行為描述；通過分簇處理對流量的心跳包序列進(jìn)行檢測；根據(jù)心跳包序列對流量進(jìn)行精確分類。利用拓?fù)鋵W(xué)方法與VPN自身的特性，分階段對加密攻擊行為進(jìn)行分析：將流量分為若干個流泡，對流泡中的重復(fù)性行為進(jìn)行歸納，推測攻擊事件的發(fā)生；通過對穩(wěn)定交互性序列特征進(jìn)行分析，得到攻擊行為的描述；最后通過流量的微觀周期性特征，對心跳特征進(jìn)行分析，結(jié)合攻擊行為描述及其對應(yīng)的原始數(shù)據(jù)流，對攻擊行為進(jìn)行了精細(xì)化的分類。

技術(shù)領(lǐng)域

本發(fā)明涉及通信技術(shù)領(lǐng)域，具體涉及一種云數(shù)據(jù)安全識別與分類方法。

背景技術(shù)

虛擬專用網(wǎng)絡(luò)(Virtual Private Network，VPN)的功能是：在公用網(wǎng)絡(luò)上建立專用網(wǎng)絡(luò)，進(jìn)行加密通訊。VPN在企業(yè)網(wǎng)絡(luò)中有廣泛應(yīng)用。云計(jì)算主要傳輸通道是互聯(lián)網(wǎng)，這也是惡意攻擊經(jīng)常發(fā)生的地方。用戶能夠放心的把企業(yè)和個人資料存放于云上，不僅需要約束云服務(wù)商不會查看到用戶信息，更需要可靠的安全技術(shù)手段來提高用戶對云計(jì)算環(huán)境的安全信心。為了保證數(shù)據(jù)安全，VPN服務(wù)器和客戶機(jī)之間的通訊數(shù)據(jù)都進(jìn)行了加密處理。有了數(shù)據(jù)加密，就可以認(rèn)為數(shù)據(jù)是在一條專用的數(shù)據(jù)鏈路上進(jìn)行安全傳輸，就如同專門架設(shè)了一個專用網(wǎng)絡(luò)一樣，但實(shí)際上VPN使用的是互聯(lián)網(wǎng)上的公用鏈路，因此VPN稱為虛擬專用網(wǎng)絡(luò)，其實(shí)質(zhì)上就是利用加密技術(shù)在公網(wǎng)上封裝出一個數(shù)據(jù)通訊隧道。

然而，VPN的隧道流量加密化使網(wǎng)絡(luò)感知方失去了在非VPN環(huán)境下可以利用的流量自身明文頭部信息與流量上下文信息，只能分析被VPN封裝后的加密流量密文信息，與此同時，惡意流量也失去了原本可用于進(jìn)行攻擊行為判定的明文頭部特征與上下文流量信息，導(dǎo)致了對VPN流量下的攻擊行為進(jìn)行分析存在困難的問題。

發(fā)明內(nèi)容

有鑒于此，本發(fā)明實(shí)施例提供了一種云數(shù)據(jù)安全識別與分類方法，以解決現(xiàn)有技術(shù)中由于VPN的隧道流量加密化導(dǎo)致的對VPN流量下的攻擊行為進(jìn)行分析存在困難的問題。

本發(fā)明實(shí)施例提供了一種云數(shù)據(jù)安全識別與分類方法，包括：

根據(jù)流形調(diào)性將流量分離成若干個流泡；

對流泡中的重復(fù)性行為進(jìn)行攻擊事件識別；

將流泡中的交互模式特征與攻擊行為交互模式特征進(jìn)行匹配，獲得流量對應(yīng)的攻擊行為描述；

通過分簇處理對流量的心跳包序列進(jìn)行檢測；

根據(jù)心跳包序列對流量進(jìn)行精確分類。

可選地，根據(jù)流形調(diào)性將流量分離成若干個流泡包括：

若流形調(diào)性的特征為短時間、高密度和大報(bào)文，則將流量分類為文件傳輸流量，并根據(jù)切割后的報(bào)文大小來判斷前后報(bào)文的歸屬；

若流形調(diào)性的具有突發(fā)特征，則將突發(fā)特征作為標(biāo)識，劃分為流媒體傳輸流量。

可選地，對流泡中的重復(fù)性行為進(jìn)行攻擊事件識別包括：

根據(jù)信息熵統(tǒng)計(jì)流泡中的隨機(jī)特征信息；

當(dāng)?shù)谝浑S機(jī)特征信息和第二隨機(jī)特征信息的相關(guān)熵超出閾值時，將第一隨機(jī)特征信息對應(yīng)的第一行為和第二隨機(jī)特征信息對應(yīng)的第二行為歸納為重復(fù)性行為；

若發(fā)現(xiàn)存在多種重復(fù)性行為或多次重復(fù)性行為，則推測攻擊事件的產(chǎn)生。

可選地，在將流泡中的交互模式特征與攻擊行為交互模式特征進(jìn)行匹配，獲得流量對應(yīng)的攻擊行為描述之前，還包括：

通過歷史數(shù)據(jù)與公開數(shù)據(jù)，結(jié)合攻擊樣本在白盒和/或沙盒環(huán)境下運(yùn)行獲得的特征數(shù)據(jù)，構(gòu)建攻擊行為特征庫。

可選地，通過分簇處理對流量的心跳包序列進(jìn)行檢測包括：