基于辦公局域網(wǎng)穩(wěn)態(tài)模型的異常流量篩選方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及計(jì)算機(jī)領(lǐng)域中網(wǎng)絡(luò)攻擊的檢測方法,尤其是基于辦公局域網(wǎng)流量進(jìn)行 網(wǎng)絡(luò)攻擊檢測的方法。
【背景技術(shù)】
[0002] 近年來,以"震網(wǎng)"(Stuxnet)、"毒區(qū)"(Duqu)及"火焰"(Flame)病毒為代表的"高 級持續(xù)威脅"(Advanced Persistent Threat,APT)層出不窮,給網(wǎng)絡(luò)安全提出了更高的要 求。APT是有組織、有目的的具有全面計(jì)算機(jī)入侵能力的人員開發(fā)的,用來完成特定目標(biāo)的, 持續(xù)性存在于受害主機(jī)上,并以一定互動水平與操控者交互的惡意軟件。
[0003] APT不是一種單一的攻擊手段,而是多種攻擊手段的組合,因此無法通過單一的防 護(hù)手段進(jìn)行阻止和防御。APT本質(zhì)上是更為高級的木馬或更為高級的僵尸網(wǎng)絡(luò)(BOTNET)。 根據(jù)StuxnetDuqu等具有APT行為特征的蠕蟲病毒分析報(bào)告來看,我國信息化建設(shè)和重要 信息系統(tǒng)也可能受到來自某些國家和組織實(shí)施的前所未有的APT安全威脅,然而我國當(dāng)前 面向重要網(wǎng)絡(luò)信息系統(tǒng)的專業(yè)防護(hù)服務(wù)能力和產(chǎn)業(yè)化程度相對較低,尚難以有效應(yīng)對APT 攻擊,形勢相當(dāng)嚴(yán)峻。相比于傳統(tǒng)的網(wǎng)絡(luò)威脅,APT攻擊的特點(diǎn)主要包括針對性、高級性、持 續(xù)性、潛伏性、專業(yè)性。針對APT的以上特點(diǎn),可以看出對APT的防護(hù)會比以往的網(wǎng)絡(luò)安全 威脅更難防護(hù)。未知的APT -旦潛入信息系統(tǒng),將長期潛伏、難以發(fā)現(xiàn)。
[0004] 當(dāng)前的安全機(jī)制及網(wǎng)絡(luò)安全檢測產(chǎn)品普遍以已知威脅為防護(hù)目標(biāo),對于部分安全 事件有一定的防御效果。但是,這樣的安全機(jī)制忽略了部署環(huán)境本身的差異性,對于APT攻 擊中攻擊者經(jīng)常利用的"零日"(zero-day)漏洞等未知威脅,缺乏檢測能力,難以有效應(yīng)對。 因此,為了應(yīng)對此類攻擊,一方面,構(gòu)建安全機(jī)制必須充分了解自身網(wǎng)絡(luò)環(huán)境特征,不僅要 了解已知威脅,也要利用自身環(huán)境特點(diǎn)防御未知威脅;另一方面,需要在了解自身環(huán)境的基 礎(chǔ)上進(jìn)行異常流量的有效篩選,因?yàn)锳PT攻擊往往潛伏在目標(biāo)系統(tǒng)中持續(xù)進(jìn)行,攻擊者會 間歇性的下達(dá)指令或者上傳用戶的重要信息,通過篩選這些異常流量能夠便于網(wǎng)絡(luò)管理員 進(jìn)一步分析,發(fā)現(xiàn)攻擊者異常行為。
[0005] 總之,對于特征不一的諸多網(wǎng)絡(luò)環(huán)境,充分利用自身網(wǎng)絡(luò)環(huán)境特點(diǎn),對具有諸多安 全特性的APT攻擊的檢測與防御已經(jīng)成為網(wǎng)絡(luò)與信息安全領(lǐng)域的一大難題,至今還沒有十 分完美的解決方案。如何從自身網(wǎng)絡(luò)環(huán)境出發(fā),利用攻擊行為造成的流量異常變化,篩選異 常流量,是應(yīng)對APT攻擊的重要手段。
【發(fā)明內(nèi)容】
[0006] 本發(fā)明要解決的技術(shù)問題是:針對日益泛濫的APT攻擊,當(dāng)前的安全機(jī)制及網(wǎng)絡(luò) 安全檢測產(chǎn)品普遍以已知威脅為防護(hù)目標(biāo),對于未知威脅缺乏檢測能力、難以有效應(yīng)對。
[0007] 為解決以上技術(shù)問題,本發(fā)明利用攻擊者行為造成的流量異常變化,從業(yè)務(wù)較為 單一的辦公局域網(wǎng)出發(fā),提供一種用戶可控的對未知攻擊流量進(jìn)行篩選的技術(shù)方案,充分 體現(xiàn)自身網(wǎng)絡(luò)環(huán)境特征,達(dá)到較好的檢測辦公局域網(wǎng)攻擊的效果。本發(fā)明提供的解決方案 為:基于辦公局域網(wǎng)構(gòu)建多維度穩(wěn)態(tài)模型,利用信息熵來描述網(wǎng)絡(luò)環(huán)境的穩(wěn)定態(tài),從鏈接次 數(shù)與鏈接流量兩個維度搭建流量模型。在此基礎(chǔ)上,合理綜合用戶需求,利用用戶可以調(diào)整 檢測尺度的異常流量檢測方案,從兩個維度入手設(shè)計(jì)異常流量檢測方法,從而達(dá)到有效對 異常流量進(jìn)行高效篩選和篩選規(guī)模人為可控的目的。
[0008] 本發(fā)明的技術(shù)方案為:
[0009] 第一步,如圖1所示,利用snort或者路由器netflow功能收集辦公局域網(wǎng)的會話 信息,建立鏈接流量和鏈接次數(shù)的數(shù)據(jù)表。通過選定目的IP (記為DIP),設(shè)定評估時間粒 度Τ(Τ>0)以后,得到網(wǎng)內(nèi)其他k(k為自然數(shù))個IP (記為迅,IP2,…,IPk)與DIP在時間 T內(nèi)的成功建鏈次數(shù)N(N多0)和鏈接流量L(L多0)。之后利用求辦公局域網(wǎng)信息熵的方 法分別得到DIP建鏈次數(shù)的熵&和鏈接流量的熵Η 2。通過維度融合方案將兩者進(jìn)行融合 得到Η。最后由設(shè)定的穩(wěn)定態(tài)閾值判定整個系統(tǒng)是否處于穩(wěn)定態(tài)。具體步驟為:
[0010] 步驟1. 1,將snort或者路由器netflow功能收集的會話信息存儲到數(shù)據(jù)庫,建立 鏈接流量和鏈接次數(shù)的數(shù)據(jù)表。讀取用戶設(shè)置的時間粒度T、時間間隔t、閾值α和檢測概 率Ρ,臨時變量m置為1。在用戶選定需要考察穩(wěn)定態(tài)的DIP和評估的時間粒度Τ之后,snort 或者路由器自動統(tǒng)計(jì)出時間T內(nèi),以t(t>0, T 一般為t的整數(shù)倍)為時間間隔,網(wǎng)內(nèi)其他 IP (即迅,IP2,…,IPk)和DIP的成功建鏈次數(shù)&,N2, N3,. . .,Nk和鏈接流量k,L2, L3,. . .,Lk。
[0011] 步驟1. 2,利用計(jì)算辦公局域網(wǎng)信息熵的方法,分別對每個時間T內(nèi)的建鏈次數(shù)和 鏈接流量進(jìn)行信息熵的計(jì)算,得到DIP建鏈次數(shù)和鏈接流量的熵氏和Η 2。每個時間T內(nèi)的 信息熵是由時間間隔t內(nèi)的建鏈次數(shù)和鏈接流量計(jì)算獲得。具體方法為:
[0012] 1. 2. 1在時間粒度T內(nèi),每一小段時間間隔t內(nèi)的網(wǎng)內(nèi)其他IP(即迅,IP2,…,IPk) 與DIP的成功建鏈次數(shù)為&,N2,. . .,Nk。時間間隔t內(nèi),每個IP的鏈接次數(shù)占總的鏈接次 數(shù)的比率為
N為總的鏈接次數(shù),即
《根據(jù)信息熵的定 義,在給定的時間間隔t內(nèi),DIP鏈接次數(shù)的信息熵為HfPfln PfPdln P2+. ..+Pk*ln Pk, 其中In為數(shù)學(xué)中的In函數(shù)。
[0013] 1. 2. 2在時間粒度T內(nèi),每一小段時間間隔t內(nèi)的網(wǎng)內(nèi)其他IP(即ΠΥ IP2,…,IPk) 與DIP的鏈接流量為Q,L2,. . .,Lk。時間間隔t內(nèi),每個IP的鏈接流量占總的鏈接流量 的比率為
L為總的鏈接流量,即
。根據(jù)信息熵的定義, 在給定的時間間隔t內(nèi),DIP鏈接流量的信息熵為Η2= 41η P' i+P' 2*ln 2+~ +P, k*ln P, k。
[0014] 步驟1. 3,融合兩個維度得到的信息熵值。融合方法如下:
[0015] 1.3. 1在時間粒度T內(nèi),每個時間間隔t內(nèi)得到兩種維度下的信息熵值 為 Hjt!),H! (t2),· · ·,Hjtj 和 Hjt!),H2(t2), · · ·,H2(tn),其中 n = T/t,ti= i*t (i =1,2,...,n)。評估兩種維度下信息熵的相關(guān)性,相關(guān)性計(jì)算方法如下:相關(guān)系數(shù)
其中和分別為鏈接次數(shù)和鏈接流量信息熵值的平均 值,即
[0016] 1.3. 2若|r| <0.9代表兩者沒有很好的相關(guān)性,不適合融合,轉(zhuǎn)步驟1. 1,重新選 取目的IP和時間粒度。否則0.9 < |r| <1,代表兩者有較好的相關(guān)性,執(zhí)行1.3. 3。
[0017] 1. 3. 3利用公式
分別對各個時間間隔進(jìn)行 計(jì)算,得到新的信息熵值. . .,H(tn)。
[0018] 步驟1. 4,對時間粒度T內(nèi)的信息熵值H (tD,H (t2),. . .,H (tn)進(jìn)行穩(wěn)定態(tài)評估,繪 制信息熵值變化曲線,根據(jù)曲線變化幅度判定目的主機(jī)是否處于穩(wěn)定態(tài)。這里可以利用方 差判斷變化幅度。方差計(jì)算方法如下
若方差值 大于閾值α (α >0),則在時間粒度T下,DIP不屬于穩(wěn)態(tài),轉(zhuǎn)步驟1.1,調(diào)整DIP和時間粒 度。若方差值小于閾值,則在該時間粒度下,DIP屬于穩(wěn)態(tài),執(zhí)行第二步。
[0019] 第二步,如圖1所示,在系統(tǒng)處于穩(wěn)定態(tài)的基礎(chǔ)上,進(jìn)行異常流量的篩選。篩選立 足于檢測出的異常流量可控,利用用戶設(shè)定的篩選概率值P(〇 < P < 1)篩選異常流量,篩 選出的流量代表著相應(yīng)概率值的異常度,檢測概率值的大小直接決定了檢測出的可疑流量 的多少,用于進(jìn)一步分析。異常檢測方案中需要綜合IP和時間因素,實(shí)現(xiàn)多維度的異常檢 測方案。篩選出的流量可供網(wǎng)絡(luò)管理員進(jìn)行進(jìn)一步分析。具體步驟為:
[0020] 步驟2. 1,從數(shù)據(jù)庫中獲得在各個時間段k t2, . . .,tn下,IP ^ IP2, . . .,IP# DIP 的鏈接次數(shù)矩陣 M (n,k),如圖 2 所示,分別記為:M (1,1),. . .,M (1,k),M (2, 1),. . .,M (2, k), …,M(n, 1),…,M(n, k),其中 M(a, b) (a = 1,2, ···,n ;b = 1,2, ···,k)的值表示時間段 ta時IPb與DIP的鏈接次數(shù)。
[0021] 步驟2. 2,利用公知的冒泡排序法將矩陣M(n,k)中的值從小到大進(jìn)行排序,排序 后得到的鏈接次數(shù)為吣,...,ΜηΑ。
[0022] 步驟2. 3,從最小的鏈接次數(shù)吣開始尋找m(m為正整數(shù)),使得
其中Μ_是所有IP的鏈接次數(shù)的總和,即
m為安全門限,第1~m臺主機(jī)的對應(yīng)時間段的流量值都可以被篩選出來進(jìn) 行進(jìn)一步分析。篩選出的流量即為異常度為P的流量值。
[0023] 采用本發(fā)明可以達(dá)到以下的技術(shù)效果:針對APT攻擊日益泛濫的現(xiàn)狀,針對業(yè)務(wù) 較為單一的辦公局域網(wǎng),提供一種用戶可控的對未知攻擊流量進(jìn)行篩選的技術(shù)方案,充分 體現(xiàn)自身網(wǎng)絡(luò)環(huán)境特征,達(dá)到較好的應(yīng)對辦公局域網(wǎng)攻擊的效果。
[0024] 本發(fā)明的優(yōu)點(diǎn)主要是:
[0025] 1.本發(fā)明基于信息熵值從建鏈次數(shù)和鏈接流量兩個維度搭建流量模型,并通過維 度融合方案將兩者進(jìn)行融合得到網(wǎng)絡(luò)環(huán)境的信息熵值H,充分體現(xiàn)自身網(wǎng)絡(luò)環(huán)境特征,有效 判斷網(wǎng)絡(luò)環(huán)境是否處于穩(wěn)定態(tài),提高了網(wǎng)絡(luò)環(huán)境穩(wěn)定態(tài)評估的準(zhǔn)確性,進(jìn)而有效提高本發(fā) 明基于辦公局域網(wǎng)穩(wěn)態(tài)模型異常流量篩選方法監(jiān)測APT攻擊的準(zhǔn)確性。
[0026] 2.基于已有穩(wěn)態(tài)模型,合理綜合用戶需求,利用用戶設(shè)定的篩選概率值p篩選異 常流量,檢測概率值的大小直接決定了檢測出的可疑流量的多少,可供網(wǎng)絡(luò)管理員進(jìn)行進(jìn) 一步分析,達(dá)到人為可控的目的。通過調(diào)整P值的大小可以調(diào)整異常檢測尺度,從而達(dá)到用 戶可控的對未知攻擊流量進(jìn)行篩選,對異常流量進(jìn)行高效篩選,簡單而高效。
【附圖說明】
[0027] 圖1是辦公局域網(wǎng)穩(wěn)態(tài)模型
[0028] 圖2是IP與時間綜合維度下鏈接次數(shù)分布示意圖
[0029] 圖3是本發(fā)明的流