本發明公開了一種結合業務應用的網絡風險行為分析方法，通過本發明可發現網內的風險行為，并對網內的風險行為進行監控。本發明通過業務應用識別技術構建業務應用白模型，通過將網絡流量和業務應用白模型進行模型匹配，結合白名單策略提取，發現網內白名單列表、可疑行為和風險行為，并對可疑行為和風險行為進行監控；通過應用臺賬，設置重要資產，通過應用臺賬和特征化的網絡流量數據結合構建重要資產白模型，對超出重要資產白模型訪的訪問行為進行重要資產風險行為監控。本發明在應用自動識別的基礎上，結合通過網絡流量深度分析方法實現了對用戶行為的學習分析，增強了內部網絡系統防御能力。

技術領域

本發明涉及網絡流量行為分析和業務應用識別領域，尤其涉及一種結合業務應用的網絡風險行為分析方法。

背景技術

近年來隨著網絡規模的逐漸擴大，網絡環境也變得越來越復雜，網絡的安全防護態勢也日益嚴峻，市面上也出現了各種基于網絡流量的行為分析產品。在現有的基于網絡流量的行為分析產品中，缺少一種與業務應用自動識別技術相結合，分析用戶網絡風險行為的特定產品。

發明內容

本發明針對上述問題，提供一種在應用自動識別的基礎上，通過網絡流量深度分析方法對用戶行為分析并增強內部網絡系統防御能力的風險行為分析方法。

為了達到上述目的，本發明提供了一種結合業務應用的網絡風險行為分析方法，其包括：

S1：基于業務識別引擎，采用應用自動識別技術識別出各類技術架構的業務應用，所述自動識別技術為對網絡流量和網絡協議進行分析，綜合采用協議特征分析、特征匹配、服務端口解析、機器學習技術，精準識別網內包括B/S類、C/S類、掃描類技術架構的業務應用；

S2：所述應用自動識別技術將所識別出的業務應用集成至業務應用臺賬；所述業務應用臺賬包括白名單策略以及業務應用白模型，所述白名單策略包括業務應用與業務應用的特征信息，所述業務應用白模型為業務應用與特征信息的所屬關系；

S3：基于端口鏡像的流量采集技術采用大數據分析方法對網絡流量通過抽取、轉換、加載和特征化處理，生成特征化網絡流量數據；所述對網絡流量數據進行抽取、轉換、加載的步驟為：依據http、tcp、udp協議規范解析網絡流量數據，運用redis內存數據庫進行歸一化和格式化轉換，運用數據持久化組件將數據存儲于大數據中心，加載分析時運用MapReduce技術將待分析數據以key，value的格式加載至內存數據庫；

S4：將所述特征化網絡流量數據和業務應用白模型進行試配，符合業務應用白模型的特征化網絡流量數據歸屬白名單列表，不符合業務應用白模型的特征化網絡流量數據歸屬為可疑行為；

S5：人工干預并判斷可疑行為符合業務應用的特征信息時，將所述可疑行為手動提取為白名單策略、補充至業務應用白模型并加入至白名單列表；人工干預并判斷可疑行為不符合業務應用的特征信息時，將所述可疑行為歸屬為風險行為；

S6：根據業務應用臺賬設置黑名單策略，所述黑名單策略為不符合所述白名單策略及業務應用白模型的風險行為，對于符合黑名單策略的網絡流量數據歸屬為黑名單策略風險行為，所述黑名單策略包括：源IP地址、源安全域、目的IP地址、目的安全域、目的端口、協議、時間、報警級別；