一種業(yè)務安全分析的方法和系統(tǒng)的制作方法
【專利摘要】本發(fā)明公開了一種業(yè)務安全分析的方法和系統(tǒng),包括:接收網(wǎng)絡設備發(fā)送的Netflow數(shù)據(jù),同時主動采集全網(wǎng)絡流量數(shù)據(jù);對采集的流量數(shù)據(jù)進行解析并生成Netflow數(shù)據(jù);并對獲得的Netflow數(shù)據(jù)進行流量過濾、流量聚合和特征提取,對經(jīng)過流量過濾、流量聚合和特征提取操作后的Netflow數(shù)據(jù)使用威脅檢測技術(shù)進行威脅檢測,將檢測結(jié)果保存到黑、白、灰名單中,并以業(yè)務視圖的形式展現(xiàn)Netflow數(shù)據(jù)的檢測結(jié)果;結(jié)合業(yè)務數(shù)據(jù)對檢測結(jié)果進行關(guān)聯(lián)分析,實時獲取業(yè)務系統(tǒng)的安全狀態(tài)。通過本發(fā)明的方案,能夠在復雜網(wǎng)絡環(huán)境中,對異常流量進行精確分析。
【專利說明】
一種業(yè)務安全分析的方法和系統(tǒng)
技術(shù)領域
[0001] 本發(fā)明涉及計算機系統(tǒng)集成及應用技術(shù),尤其涉及一種業(yè)務安全分析的方法和系 統(tǒng)。
【背景技術(shù)】
[0002] 計算機網(wǎng)絡和移動互聯(lián)網(wǎng)應用的快速發(fā)展,給社會工作和生活帶來極大便利。與 之相對應企業(yè)網(wǎng)絡也變得越來越負責,各種網(wǎng)絡安全問題所造成的威脅和損失也越來越 大。隨著網(wǎng)絡規(guī)模的不斷擴大,攻擊手段越來越多樣,特別是近年來高級持續(xù)性威脅APT攻 擊越來越普遍,企業(yè)網(wǎng)絡面臨越來越多的內(nèi)外部威脅,傳統(tǒng)安全檢測設備如防火墻、入侵檢 測系統(tǒng)IDS等在威脅檢測方面表現(xiàn)出來很多不足:
[0003] 1、防火墻、IDS等安全設備無法有效檢測內(nèi)部網(wǎng)絡的安全威脅,如果要檢測內(nèi)部威 脅,需要在不同網(wǎng)絡區(qū)域部署節(jié)點,成本較高。
[0004] 2、IDS等基于規(guī)則的檢測手段無法及時發(fā)現(xiàn)Oday攻擊。
[0005] 3、IDS基于深度包檢測的技術(shù),無法應對大規(guī)模網(wǎng)絡的數(shù)據(jù)流量。
【發(fā)明內(nèi)容】
[0006] 為了解決上述問題,本發(fā)明提出了一種業(yè)務安全分析的方法和系統(tǒng),能夠在復雜 網(wǎng)絡環(huán)境中,對異常流量進行精確分析。
[0007] 為了達到上述目的,本發(fā)明提出了一種業(yè)務安全分析的方法,該方法包括:
[0008] 接收網(wǎng)絡設備發(fā)送的網(wǎng)絡流Netflow數(shù)據(jù),同時主動采集全網(wǎng)絡流量數(shù)據(jù);對采 集的流量數(shù)據(jù)進行解析并生成Netflow數(shù)據(jù);并對獲得的Netflow數(shù)據(jù)進行流量過濾、流 量聚合和特征提取,對經(jīng)過流量過濾、流量聚合和特征提取操作后的Netflow數(shù)據(jù)使用威 脅檢測技術(shù)進行威脅檢測,將檢測結(jié)果保存到黑、白、灰名單中,并以業(yè)務視圖的形式展現(xiàn) Netflow數(shù)據(jù)的檢測結(jié)果;結(jié)合業(yè)務數(shù)據(jù)對檢測結(jié)果進行關(guān)聯(lián)分析,實時獲取業(yè)務系統(tǒng)的 安全狀態(tài)。
[0009] 優(yōu)選地,
[0010] 接收網(wǎng)絡設備發(fā)送的Netflow數(shù)據(jù)是指:對于支持發(fā)送Netflow的網(wǎng)絡設備,直接 以用戶數(shù)據(jù)報協(xié)議UDP包的方式接收網(wǎng)絡設備發(fā)送的Netflow數(shù)據(jù)。
[0011] 主動采集全網(wǎng)絡流量數(shù)據(jù)是指:對于應用服務的流量數(shù)據(jù),通過網(wǎng)絡抓包方式主 動從物理層采集全網(wǎng)絡流量數(shù)據(jù)。
[0012] 對采集的流量數(shù)據(jù)進行解析是指:對流量數(shù)據(jù)的會話重組和應用層協(xié)議解析。
[0013] 優(yōu)選地,對Netflow數(shù)據(jù)進行流量過濾是指:以系統(tǒng)配置的方式,采用預先配置的 過濾條件對不需要分析的流數(shù)據(jù)進行過濾;過濾條件包括:源IP、目的IP、源端口范圍、目 的端口范圍、網(wǎng)絡協(xié)議類型、應用協(xié)議類型和報文長度。
[0014] 優(yōu)選地,對Netflow數(shù)據(jù)進行流量聚合是指:為采集的Netflow數(shù)據(jù)以源互聯(lián)協(xié)議 IP、目的IP、源端口、目的端口、應用協(xié)議的組合為會話特征創(chuàng)建一個會話,并為創(chuàng)建的每一 個會話分配一個會話身份標記ID,在內(nèi)存中創(chuàng)建以會話ID為主鍵的哈希表,實時采集新的 Netf low數(shù)據(jù),并基于會話特征為新的Netf low數(shù)據(jù)創(chuàng)建新的會話,將創(chuàng)建的會話的數(shù)據(jù)信 息定時存儲到數(shù)據(jù)庫中,并分別以預定的第一時間、第二時間、第三時間為周期,設置三個 統(tǒng)計周期,對數(shù)據(jù)庫中存儲的會話信息進行持續(xù)地統(tǒng)計。
[0015] 其中,第一時間為5分鐘、第二時間為1小時,第三時間為1天。
[0016] 優(yōu)選地,對Netflow數(shù)據(jù)進行特征提取是指:基于對流量數(shù)據(jù)的會話重組和應用 層協(xié)議解析,對獲得的Netf low數(shù)據(jù)進行分析,獲得單個會話連接的源IP、目的IP、源端口、 目的端口、協(xié)議、持續(xù)時間、包字節(jié)數(shù)、總字節(jié)數(shù)。
[0017] 其中,獲得單個會話連接的源IP、目的IP包括:提取過去一段時間內(nèi)連接同一個 源IP的目的IP數(shù)和過去一段時間內(nèi)連接同一個目的IP的源IP數(shù),以及同一個源IP和同 一個目的IP之間的連接數(shù)。
[0018] 優(yōu)選地,使用威脅檢測技術(shù)對Netflow數(shù)據(jù)進行威脅檢測,將檢測結(jié)果保存到黑、 白、灰名單中是指:
[0019] 使用一種或多種威脅檢測技術(shù)對Netflow數(shù)據(jù)進行威脅檢測,將具有威脅的 Netflow數(shù)據(jù)的信息保存到黑名單中,將不具有威脅的Netflow數(shù)據(jù)的信息保存到白名單 中,將不能判定Netflow數(shù)據(jù)是否具有威脅和/或需要進一步判斷Netflow數(shù)據(jù)是否具有 威脅的Netflow數(shù)據(jù)的信息保存到灰名單中。
[0020] 其中,威脅檢測技術(shù)包括:基于規(guī)則的靜態(tài)檢測方式、基于安全信譽庫的檢測方 式、基于行為基線的動態(tài)檢測方式。
[0021] 優(yōu)選地,以業(yè)務視圖的形式展現(xiàn)Netflow數(shù)據(jù)的檢測結(jié)果是指:通過網(wǎng)絡拓撲可 視化技術(shù)展現(xiàn)整體業(yè)務視圖,以直觀可視化的方式展示Netf low數(shù)據(jù)在業(yè)務內(nèi)各節(jié)點間的 分布情況,并將檢測到的安全威脅實時展現(xiàn)在整體業(yè)務視圖的業(yè)務拓撲中。
[0022] 本發(fā)明還提出一種業(yè)務安全分析的系統(tǒng),該系統(tǒng)包括:數(shù)據(jù)采集模塊、流量過濾模 塊、流量聚合模塊、特征提取模塊、威脅檢測模塊、展示模塊和分析模塊。
[0023] 數(shù)據(jù)采集模塊,用于接收網(wǎng)絡設備發(fā)送的Netflow數(shù)據(jù),同時主動采集全網(wǎng)絡流 量數(shù)據(jù);對采集的流量數(shù)據(jù)進行解析并生成Netflow數(shù)據(jù)。
[0024] 流量過濾模塊,用于對Netf low數(shù)據(jù)進行流量過濾。
[0025] 流量聚合模塊,用于對Netflow數(shù)據(jù)進行流量聚合。
[0026] 特征提取模塊,用于對Netflow數(shù)據(jù)進行特征提取。
[0027] 威脅檢測模塊,用于對經(jīng)過流量過濾、流量聚合和特征提取操作后的Netflow數(shù) 據(jù)使用威脅檢測技術(shù)進行威脅檢測,將檢測結(jié)果保存到黑、白、灰名單中。
[0028] 展示模塊,用于以業(yè)務視圖的形式展現(xiàn)Netflow數(shù)據(jù)的檢測結(jié)果。
[0029] 分析模塊,用于結(jié)合業(yè)務數(shù)據(jù)對檢測結(jié)果進行關(guān)聯(lián)分析,實時獲取業(yè)務系統(tǒng)的安 全狀態(tài)。
[0030] 優(yōu)選地,
[0031] 接收網(wǎng)絡設備發(fā)送的Netflow數(shù)據(jù)是指:對于支持發(fā)送Netflow的網(wǎng)絡設備,直接 以用戶數(shù)據(jù)報協(xié)議UDP包的方式接收網(wǎng)絡設備發(fā)送的Netflow數(shù)據(jù)。
[0032] 主動采集全網(wǎng)絡流量數(shù)據(jù)是指:對于應用服務的流量數(shù)據(jù),通過網(wǎng)絡抓包方式主 動從物理層采集全網(wǎng)絡流量數(shù)據(jù)。
[0033] 對采集的所述流量數(shù)據(jù)進行解析是指:對流量數(shù)據(jù)的會話重組和應用層協(xié)議解 析。
[0034] 優(yōu)選地,流量過濾模塊對Netflow數(shù)據(jù)進行流量過濾是指:流量過濾模塊以系統(tǒng) 配置的方式,采用預先配置的過濾條件對不需要分析的流數(shù)據(jù)進行過濾;過濾條件包括: 源IP、目的IP、源端□范圍、目的端□范圍、網(wǎng)絡協(xié)議類型、應用協(xié)議類型和報文長度。
[0035] 優(yōu)選地,流量聚合模塊對Netflow數(shù)據(jù)進行流量聚合是指:流量聚合模塊為采集 的Netflow數(shù)據(jù)以源IP、目的IP、源端口、目的端口、應用協(xié)議的組合為會話特征創(chuàng)建一個 會話,并為創(chuàng)建的每一個會話分配一個會話ID,在內(nèi)存中創(chuàng)建以會話ID為主鍵的哈希表, 實時采集新的Netf low數(shù)據(jù),并基于所述會話特征為新的Netf low數(shù)據(jù)創(chuàng)建新的會話,將創(chuàng) 建的會話的數(shù)據(jù)信息定時存儲到數(shù)據(jù)庫中,并分別以預定的第一時間、第二時間、第三時間 為周期,設置三個統(tǒng)計周期,對數(shù)據(jù)庫中存儲的會話信息進行持續(xù)地統(tǒng)計。
[0036] 其中,第一時間為5分鐘、第二時間為1小時,第三時間為1天。
[0037] 優(yōu)選地,特征提取模塊對Netflow數(shù)據(jù)進行特征提取是指:特征提取模炔基于對 流量數(shù)據(jù)的會話重組和應用層協(xié)議解析,對獲得的Netflow數(shù)據(jù)進行分析,獲得單個會話 連接的源IP、目的IP、源端口、目的端口、協(xié)議、持續(xù)時間、包字節(jié)數(shù)、總字節(jié)數(shù)。
[0038] 其中,獲得單個會話連接的源IP、目的IP包括:提取過去一段時間內(nèi)連接同一個 源IP的目的IP數(shù)和過去一段時間內(nèi)連接同一個目的IP的源IP數(shù),以及同一個源IP和同 一個目的IP之間的連接數(shù)。
[0039] 優(yōu)選地,威脅檢測模塊使用威脅檢測技術(shù)對Netflow數(shù)據(jù)進行威脅檢測,將檢測 結(jié)果保存到黑、白、灰名單中是指:
[0040] 威脅檢測模塊使用一種或多種威脅檢測技術(shù)對Netflow數(shù)據(jù)進行威脅檢測,將具 有威脅的Netflow數(shù)據(jù)的信息保存到黑名單中,將不具有威脅的Netflow數(shù)據(jù)的信息保存 到白名單中,將不能判定Netflow數(shù)據(jù)是否具有威脅和/或需要進一步判斷Netflow數(shù)據(jù) 是否具有威脅的Netflow數(shù)據(jù)的信息保存到灰名單中。
[0041] 其中,威脅檢測技術(shù)包括:基于規(guī)則的靜態(tài)檢測方式、基于安全信譽庫的檢測方 式、基于行為基線的動態(tài)檢測方式。
[0042] 優(yōu)選地,展示模塊以業(yè)務視圖的形式展現(xiàn)Netflow數(shù)據(jù)的檢測結(jié)果是指:展示模 塊通過網(wǎng)絡拓撲可視化技術(shù)展現(xiàn)整體業(yè)務視圖,以直觀可視化的方式展示Netflow數(shù)據(jù)在 業(yè)務內(nèi)各節(jié)點間的分布情況,并將檢測到的安全威脅實時展示在整體業(yè)務視圖的業(yè)務拓撲 中。
[0043] 與現(xiàn)有技術(shù)相比,本發(fā)明包括:接收網(wǎng)絡設備發(fā)送的Netflow數(shù)據(jù),同時主動采集 全網(wǎng)絡流量數(shù)據(jù);對采集的流量數(shù)據(jù)進行解析并生成Netflow數(shù)據(jù);并對獲得的Netflow 數(shù)據(jù)進行流量過濾、流量聚合和特征提取,對經(jīng)過流量過濾、流量聚合和特征提取操作后的 Netf low數(shù)據(jù)使用威脅檢測技術(shù)進行威脅檢測,將檢測結(jié)果保存到黑、白、灰名單中,并以業(yè) 務視圖的形式展現(xiàn)Netflow數(shù)據(jù)的檢測結(jié)果;結(jié)合業(yè)務數(shù)據(jù)對檢測結(jié)果進行關(guān)聯(lián)分析,實 時獲取業(yè)務系統(tǒng)的安全狀態(tài)。通過本發(fā)明的方案,能夠在復雜網(wǎng)絡環(huán)境中,對異常流量進行 精確分析。
【附圖說明】
[0044] 下面對本發(fā)明實施例中的附圖進行說明,實施例中的附圖是用于對本發(fā)明的進一 步理解,與說明書一起用于解釋本發(fā)明,并不構(gòu)成對本發(fā)明保護范圍的限制。
[0045] 圖1為本發(fā)明的業(yè)務安全分析方法流程圖;
[0046] 圖2為傳統(tǒng)的傳輸控制協(xié)議TCP會話建立過程;
[0047] 圖3為傳統(tǒng)的基于行為基線的動態(tài)檢測方法示意圖;
[0048] 圖4為本發(fā)明的業(yè)務安全分析系統(tǒng)框圖。
【具體實施方式】
[0049] 為了便于本領域技術(shù)人員的理解,下面結(jié)合附圖對本發(fā)明作進一步的描述,并不 能用來限制本發(fā)明的保護范圍。
[0050] 針對傳統(tǒng)安全檢測設備如防火墻、入侵檢測系統(tǒng)IDS等在威脅檢測方面表現(xiàn)出來 的很多不足,采用基于網(wǎng)絡流Netflow技術(shù)的安全分析技術(shù),并結(jié)合大數(shù)據(jù)統(tǒng)計、異常檢測 等技術(shù),可提供更為及時有效的解決方案。
[0051] Netflow技術(shù)最早于1996年由Cisco公司發(fā)明,應用于Cisco的路由器和交換機 產(chǎn)品,記錄端到端的訪問信息,是一種對流經(jīng)網(wǎng)絡設備的IP數(shù)據(jù)流進行特征分析和測量的 技術(shù)手段。
[0052] 但傳統(tǒng)的基于Cisco專利的Netflow技術(shù)通常應用于網(wǎng)絡性能分析,只分析傳輸 控制協(xié)議/互聯(lián)協(xié)議TCP/IP的第四層信息,對應用層業(yè)務數(shù)據(jù)無能為力。Netflow基于抽 樣技術(shù),無法描述一次完整的會話數(shù)據(jù),而會話信息是安全分析的一個重要元素。為了解決 這些問題,本發(fā)明擴展了 Netflow信息的采集方式,通過對應用層協(xié)議進行解析,對TCP連 接進行會話重組和特征提取,解決了在復雜網(wǎng)絡環(huán)境中,對異常流量進行精確分析的問題。 本發(fā)明提供的一種基于擴展Netflow進行流量采集、特征提取和異常檢測的技術(shù),能夠?qū)?業(yè)務應用的流量進行采集、存儲、分析,從中發(fā)現(xiàn)潛在的安全威脅。
[0053] 具體地,本發(fā)明提出了一種業(yè)務安全分析的方法,如圖1所示,該方法包括:
[0054] S101、接收網(wǎng)絡設備發(fā)送的Netflow數(shù)據(jù),同時主動采集全網(wǎng)絡流量數(shù)據(jù);對采集 的流量數(shù)據(jù)進行解析并生成Netflow數(shù)據(jù)。
[0055] 優(yōu)選地,
[0056] 接收網(wǎng)絡設備發(fā)送的Netflow數(shù)據(jù)是指:對于支持發(fā)送Netflow的網(wǎng)絡設備,直接 以用戶數(shù)據(jù)報協(xié)議UDP包的方式接收網(wǎng)絡設備發(fā)送的Netflow數(shù)據(jù)。
[0057] 主動采集全網(wǎng)絡流量數(shù)據(jù)是指:對于應用服務的流量數(shù)據(jù),通過網(wǎng)絡抓包方式主 動從物理層采集全網(wǎng)絡流量數(shù)據(jù)。
[0058] 對采集的流量數(shù)據(jù)進行解析是指:對流量數(shù)據(jù)的會話重組和應用層協(xié)議解析。
[0059] 在本發(fā)明的方案中,數(shù)據(jù)采集的方式分為兩種:對于支持發(fā)送Netflow的設備,直 接以UDP包方式接收網(wǎng)絡設備發(fā)送的Netflow數(shù)據(jù)。對于應用服務的流量,通過物理層抓 包方式主動采集Netflow數(shù)據(jù)。為了進行更深入的安全分析,在將數(shù)據(jù)包Packet轉(zhuǎn)換為 Netflow時,對Netflow v5的字段進行了擴展,擴展部分如下表所示:
[0060]
[0062] S102、對獲得的Netflow數(shù)據(jù)進行流量過濾、流量聚合和特征提取。
[0063] 優(yōu)選地,對Netflow數(shù)據(jù)進行流量過濾是指:以系統(tǒng)配置的方式,采用預先配置的 過濾條件對不需要分析的流數(shù)據(jù)進行過濾;過濾條件包括:源IP、目的IP、源端口范圍、目 的端口范圍、網(wǎng)絡協(xié)議類型、應用協(xié)議類型和報文長度。其中,過濾規(guī)則由用戶通過上述過 濾條件動態(tài)配置。
[0064] 優(yōu)選地,對Netflow數(shù)據(jù)進行流量聚合是指:為采集的Netflow數(shù)據(jù)以源IP、目 的IP、源端口、目的端口、應用協(xié)議的組合為會話特征創(chuàng)建一個會話,并為創(chuàng)建的每一個 會話分配一個會話身份標記ID,在內(nèi)存中創(chuàng)建以會話ID為主鍵的哈希表,實時采集新的 Netf low數(shù)據(jù),并基于會話特征為新的Netf low數(shù)據(jù)創(chuàng)建新的會話,將創(chuàng)建的會話的數(shù)據(jù)信 息定時存儲到數(shù)據(jù)庫中,并分別以預定的第一時間、第二時間、第三時間為周期,設置三個 統(tǒng)計周期,對數(shù)據(jù)庫中存儲的會話信息進行持續(xù)地統(tǒng)計。
[0065] 其中,第一時間為5分鐘、第二時間為1小時,第三時間為1天。
[0066] 網(wǎng)絡數(shù)據(jù)傳輸過程中,通信的兩端會通過相同的源端口、目的端口持續(xù)進行數(shù)據(jù) 傳輸,如圖2所示,客戶端到服務器端的一次會話必須通過三次握手建立連接,退出會話時 必須斷開連接。Netflow數(shù)據(jù)中并不包含會話信息,所以系統(tǒng)在接收到Netflow數(shù)據(jù)時,重 組會話信息,以源IP、目的IP、源端口、目的端口、應用協(xié)議的組合計算一個會話ID,創(chuàng)建一 個會話,在內(nèi)存中創(chuàng)建以會話ID為主鍵的哈希表,接收并聚合解析后的流量數(shù)據(jù),會話數(shù) 據(jù)定時存儲到數(shù)據(jù)庫中,并以5分鐘、1小時、1天為周期進行持續(xù)的聚合統(tǒng)計。
[0067] 優(yōu)選地,對Netflow數(shù)據(jù)進行特征提取是指:基于對流量數(shù)據(jù)的會話重組和應用 層協(xié)議解析,對獲得的Netf low數(shù)據(jù)進行分析,獲得單個會話連接的源IP、目的IP、源端口、 目的端口、協(xié)議、持續(xù)時間、包字節(jié)數(shù)、總字節(jié)數(shù)。
[0068] 其中,獲得單個會話連接的源IP、目的IP包括:提取過去一段時間內(nèi)連接同一個 源IP的目的IP數(shù)和過去一段時間內(nèi)連接同一個目的IP的源IP數(shù),以及同一個源IP和同 一個目的IP之間的連接數(shù)。
[0069] S103、對經(jīng)過流量過濾、流量聚合和特征提取操作后的Netflow數(shù)據(jù)使用威脅檢 測技術(shù)進行威脅檢測,將檢測結(jié)果保存到黑、白、灰名單中。
[0070] 優(yōu)選地,使用威脅檢測技術(shù)對Netflow數(shù)據(jù)進行威脅檢測,將檢測結(jié)果保存到黑、 白、灰名單中是指:
[0071] 使用一種或多種威脅檢測技術(shù)對Netflow數(shù)據(jù)進行威脅檢測,將具有威脅的 Netflow數(shù)據(jù)的信息保存到黑名單中,并用作規(guī)則檢測和安全信譽庫的補充數(shù)據(jù)。將不具 有威脅的Netflow數(shù)據(jù)的信息保存到白名單中,將不能判定Netflow數(shù)據(jù)是否具有威脅和 /或需要進一步判斷Netflow數(shù)據(jù)是否具有威脅的Netflow數(shù)據(jù)的信息保存到灰名單中。
[0072] 其中,威脅檢測技術(shù)包括:基于規(guī)則的靜態(tài)檢測方式、基于安全信譽庫的檢測方 式、基于行為基線的動態(tài)檢測方式。
[0073] 具體地,Netflow數(shù)據(jù)的基于規(guī)則的靜態(tài)檢測的具體方法為:根據(jù)源IP、目的IP、 源端口、目的端口、協(xié)議、數(shù)據(jù)流向、包字節(jié)數(shù)等特征制定的白名單、黑名單規(guī)則,對觸發(fā)規(guī) 則的流事件進行實時檢測。
[0074] 基于安全信譽庫檢測的具體方法為:構(gòu)建基于惡意IP、URL、郵件服務器的安全信 譽庫,對流數(shù)據(jù)中提取的IP地址和URL進行過濾,及時發(fā)現(xiàn)惡意代碼或攻擊。信譽庫可通 過數(shù)據(jù)交換協(xié)議從外部系統(tǒng)導入、同步數(shù)據(jù),也可以由使用者手動輸入。
[0075] 基于行為基線的動態(tài)檢測功能的具體方法如圖3所示,通過對Netflow數(shù)據(jù)流進 行持續(xù)的統(tǒng)計,建立行為分析基線。行為分析基線建立的具體方法為,首先按照會話源、目 的IP和協(xié)議對會話進行分組,在每個分組內(nèi)對特征變量進行提取。所使用的特征變量包括 但不限于:
[0076] 報文頭長度、報文長度、存活時間(TTL)、標志位、并發(fā)flow數(shù)目、接收包數(shù)、接收 字節(jié)數(shù)、新增會話數(shù)、發(fā)送握手信號SYN包數(shù)目、接收SYN包數(shù)目、連接重置率、會話持續(xù)時 間等特征。
[0077] 基線的計算方式分為以下幾種:
[0078] 1、均值基線
[0079]
[0080]
[0081]
[0082] 3、百分比基線,例如使用PSH標志位的TCP報文比例。
[0083] 4、步長基線,如統(tǒng)計IP分片的偏移量。
[0084] 若當前檢測周期的實際值與基線值的差值大于設定的閾值,則將當前會話標記為 可以會話,并提取訪問源信息,加入到可疑信息庫中進行進一步的判定分析。
[0085] S104、以業(yè)務視圖的形式展現(xiàn)Netflow數(shù)據(jù)的檢測結(jié)果。
[0086] 優(yōu)選地,以業(yè)務視圖的形式展現(xiàn)Netflow數(shù)據(jù)的檢測結(jié)果是指:通過網(wǎng)絡拓撲可 視化技術(shù)展現(xiàn)整體業(yè)務視圖,以直觀可視化的方式展示Netf low數(shù)據(jù)在業(yè)務內(nèi)各節(jié)點間的 分布情況,并將檢測到的安全威脅實時展現(xiàn)在整體業(yè)務視圖的業(yè)務拓撲中。便于持續(xù)鉆取 分析、追溯威脅來源。
[0087] S105、結(jié)合業(yè)務數(shù)據(jù)對檢測結(jié)果進行關(guān)聯(lián)分析,實時獲取業(yè)務系統(tǒng)的安全狀態(tài)。
[0088] 本發(fā)明還提出一種業(yè)務安全分析的系統(tǒng)01,如圖4所示,該系統(tǒng)包括:數(shù)據(jù)采集模 塊02、流量過濾模塊03、流量聚合模塊04、特征提取模塊05、威脅檢測模塊06、展示模塊07 和分析模塊08。
[0089] 數(shù)據(jù)采集模塊02,用于接收網(wǎng)絡設備發(fā)送的Netflow數(shù)據(jù),同時主動采集全網(wǎng)絡 流量數(shù)據(jù);對采集的流量數(shù)據(jù)進行解析并生成Netflow數(shù)據(jù)。
[0090] 流量過濾模塊03,用于對Netflow數(shù)據(jù)進行流量過濾。
[0091] 流量聚合模塊04,用于對Netflow數(shù)據(jù)進行流量聚合。
[0092] 特征提取模塊05,用于對Netflow數(shù)據(jù)進行特征提取。
[0093] 威脅檢測模塊06,用于對經(jīng)過流量過濾、流量聚合和特征提取操作后的Netflow 數(shù)據(jù)使用威脅檢測技術(shù)進行威脅檢測,將檢測結(jié)果保存到黑、白、灰名單中。
[0094] 展示模塊07,用于以業(yè)務視圖的形式展現(xiàn)Netflow數(shù)據(jù)的檢測結(jié)果。
[0095] 分析模塊08,用于結(jié)合業(yè)務數(shù)據(jù)對檢測結(jié)果進行關(guān)聯(lián)分析,實時獲取業(yè)務系統(tǒng)的 安全狀態(tài)。
[0096] 優(yōu)選地,
[0097] 接收網(wǎng)絡設備發(fā)送的Netflow數(shù)據(jù)是指:數(shù)據(jù)采集模塊02對于支持發(fā)送Netflow 的網(wǎng)絡設備,直接以用戶數(shù)據(jù)報協(xié)議UDP包的方式接收網(wǎng)絡設備發(fā)送的Netflow數(shù)據(jù)。
[0098] 主動采集全網(wǎng)絡流量數(shù)據(jù)是指:數(shù)據(jù)采集模塊02對于應用服務的流量數(shù)據(jù),通過 網(wǎng)絡抓包方式主動從物理層采集全網(wǎng)絡流量數(shù)據(jù)。
[0099] 對采集的所述流量數(shù)據(jù)進行解析是指:對流量數(shù)據(jù)的會話重組和應用層協(xié)議解 析。
[0100] 優(yōu)選地,流量過濾模塊03對Netflow數(shù)據(jù)進行流量過濾是指:流量過濾模塊以系 統(tǒng)配置的方式,采用預先配置的過濾條件對不需要分析的流數(shù)據(jù)進行過濾;過濾條件包括: 源IP、目的IP、源端□范圍、目的端□范圍、網(wǎng)絡協(xié)議類型、應用協(xié)議類型和報文長度。
[0101] 優(yōu)選地,流量聚合模塊04對Netflow數(shù)據(jù)進行流量聚合是指:流量聚合模塊04為 采集的Netflow數(shù)據(jù)以源IP、目的IP、源端口、目的端口、應用協(xié)議的組合為會話特征創(chuàng)建 一個會話,并為創(chuàng)建的每一個會話分配一個會話ID,在內(nèi)存中創(chuàng)建以會話ID為主鍵的哈希 表,實時采集新的Netflow數(shù)據(jù),并基于所述會話特征為新的Netflow數(shù)據(jù)創(chuàng)建新的會話, 將創(chuàng)建的會話的數(shù)據(jù)信息定時存儲到數(shù)據(jù)庫中,并分別以預定的第一時間、第二時間、第三 時間為周期,設置三個統(tǒng)計周期,對數(shù)據(jù)庫中存儲的會話信息進行持續(xù)地統(tǒng)計。
[0102] 其中,第一時間為5分鐘、第二時間為1小時,第三時間為1小時。
[0103] 優(yōu)選地,特征提取模塊05對Netf low數(shù)據(jù)進行特征提取是指:特征提取模塊05基 于對流量數(shù)據(jù)的會話重組和應用層協(xié)議解析,對獲得的Netflow數(shù)據(jù)進行分析,獲得單個 會話連接的源IP、目的IP、源端口、目的端口、協(xié)議、持續(xù)時間、包字節(jié)數(shù)、總字節(jié)數(shù)。
[0104] 其中,獲得單個會話連接的源IP、目的IP包括:提取過去一段時間內(nèi)連接同一個 源IP的目的IP數(shù)和過去一段時間內(nèi)連接同一個目的IP的源IP數(shù),以及同一個源IP和同 一個目的IP之間的連接數(shù)。
[0105] 優(yōu)選地,威脅檢測模塊06使用威脅檢測技術(shù)對Netf low數(shù)據(jù)進行威脅檢測,將檢 測結(jié)果保存到黑、白、灰名單中是指:
[0106] 威脅檢測模塊06使用一種或多種威脅檢測技術(shù)對Netflow數(shù)據(jù)進行威脅檢測,將 具有威脅的Netflow數(shù)據(jù)的信息保存到黑名單中,將不具有威脅的Netflow數(shù)據(jù)的信息保 存到白名單中,將不能判定Netflow數(shù)據(jù)是否具有威脅和/或需要進一步判斷Netflow數(shù) 據(jù)是否具有威脅的Netflow數(shù)據(jù)的信息保存到灰名單中。
[0107] 其中,威脅檢測技術(shù)包括:基于規(guī)則的靜態(tài)檢測方式、基于安全信譽庫的檢測方 式、基于行為基線的動態(tài)檢測方式。
[0108] 優(yōu)選地,展示模塊07以業(yè)務視圖的形式展現(xiàn)Netflow數(shù)據(jù)的檢測結(jié)果是指:展示 模塊07通過網(wǎng)絡拓撲可視化技術(shù)展現(xiàn)整體業(yè)務視圖,以直觀可視化的方式展示Netf low數(shù) 據(jù)在業(yè)務內(nèi)各節(jié)點間的分布情況,并將檢測到的安全威脅實時展示在整體業(yè)務視圖的業(yè)務 拓撲中。
[0109] 本發(fā)明結(jié)合通過包檢測技術(shù)提取網(wǎng)絡流量特征擴充Netflow數(shù)據(jù),解決了傳統(tǒng)包 檢測技術(shù)在處理超大流量時的性能問題,同時也避免了傳統(tǒng)基于Cisco Netflow技術(shù)只能 分析TCP/IP第四層以下信息的弊端,同時引入安全信譽庫、基于統(tǒng)計的異常檢測技術(shù),使 得針對業(yè)務的安全檢測更加全面準確。
[0110] 需要說明的是,以上所述的實施例僅是為了便于本領域的技術(shù)人員理解而已,并 不用于限制本發(fā)明的保護范圍,在不脫離本發(fā)明的發(fā)明構(gòu)思的前提下,本領域技術(shù)人員對 本發(fā)明所做出的任何顯而易見的替換和改進等均在本發(fā)明的保護范圍之內(nèi)。
【主權(quán)項】
1. 一種業(yè)務安全分析的方法,其特征在于,所述方法包括: 接收網(wǎng)絡設備發(fā)送的網(wǎng)絡流Netflow數(shù)據(jù),同時主動采集全網(wǎng)絡流量數(shù)據(jù);對采集的 所述流量數(shù)據(jù)進行解析并生成所述Netflow數(shù)據(jù);并對獲得的所述Netflow數(shù)據(jù)進行流量 過濾、流量聚合和特征提取,對經(jīng)過所述流量過濾、所述流量聚合和所述特征提取操作后的 所述Netflow數(shù)據(jù)使用威脅檢測技術(shù)進行威脅檢測,將檢測結(jié)果保存到黑、白、灰名單中, 并以業(yè)務視圖的形式展現(xiàn)所述Netflow數(shù)據(jù)的檢測結(jié)果;結(jié)合業(yè)務數(shù)據(jù)對所述檢測結(jié)果進 行關(guān)聯(lián)分析,實時獲取業(yè)務系統(tǒng)的安全狀態(tài)。2. 如權(quán)利要求1所述的方法,其特征在于, 所述接收網(wǎng)絡設備發(fā)送的Netflow數(shù)據(jù)是指:對于支持發(fā)送Netflow的網(wǎng)絡設備,直接 以用戶數(shù)據(jù)包協(xié)議UDP包的方式接收所述網(wǎng)絡設備發(fā)送的所述Netflow數(shù)據(jù); 所述主動采集全網(wǎng)絡流量數(shù)據(jù)是指:對于應用服務的流量數(shù)據(jù),通過網(wǎng)絡抓包方式主 動從物理層采集全網(wǎng)絡流量數(shù)據(jù); 所述對采集的所述流量數(shù)據(jù)進行解析是指:對所述流量數(shù)據(jù)的會話重組和應用層協(xié)議 解析。3. 如權(quán)利要求1所述的方法,其特征在于,所述對所述Netflow數(shù)據(jù)進行流量過濾是 指:以系統(tǒng)配置的方式,采用預先配置的過濾條件對不需要分析的流數(shù)據(jù)進行過濾;所述 過濾條件包括:源互聯(lián)協(xié)議IP、目的IP、源端口范圍、目的端口范圍、網(wǎng)絡協(xié)議類型、應用協(xié) 議類型和報文長度。4. 如權(quán)利要求1所述的方法,其特征在于,所述對所述Netflow數(shù)據(jù)進行流量聚合是 指:為采集的所述Netflow數(shù)據(jù)以源IP、目的IP、源端口、目的端口、應用協(xié)議的組合為會 話特征創(chuàng)建一個會話,并為創(chuàng)建的每一個所述會話分配一個會話身份標記ID,在內(nèi)存中創(chuàng) 建以所述會話ID為主鍵的哈希表,實時采集新的所述Netflow數(shù)據(jù),并基于所述會話特征 為新的所述Netflow數(shù)據(jù)創(chuàng)建新的會話,將創(chuàng)建的所述會話的數(shù)據(jù)信息定時存儲到數(shù)據(jù)庫 中,并分別以預定的第一時間、第二時間、第三時間為周期,設置三個統(tǒng)計周期,對所述數(shù)據(jù) 庫中存儲的所述會話信息進行持續(xù)地統(tǒng)計; 其中,所述第一時間為5分鐘、所述第二時間為1小時,所述第三時間為1天。5. 如權(quán)利要求2所述的方法,其特征在于,所述對所述Netflow數(shù)據(jù)進行特征提取是 指:基于對所述流量數(shù)據(jù)的會話重組和應用層協(xié)議解析,對獲得的所述Netflow數(shù)據(jù)進行 分析,獲得單個會話連接的源IP、目的IP、源端口、目的端口、協(xié)議、持續(xù)時間、包字節(jié)數(shù)、總 字節(jié)數(shù); 其中,獲得單個會話連接的源IP、目的IP包括:提取過去一段時間內(nèi)連接同一個源IP 的目的IP數(shù)和過去一段時間內(nèi)連接同一個目的IP的源IP數(shù),以及同一個源IP和同一個 目的IP之間的連接數(shù)。6. 如權(quán)利要求1所述的方法,其特征在于,所述使用威脅檢測技術(shù)對所述Netflow數(shù)據(jù) 進行威脅檢測,將檢測結(jié)果保存到黑、白、灰名單中是指: 使用一種或多種威脅檢測技術(shù)對所述Netflow數(shù)據(jù)進行威脅檢測,將具有威脅的所述 Netflow數(shù)據(jù)的信息保存到黑名單中,將不具有威脅的所述Netflow數(shù)據(jù)的信息保存到白 名單中,將不能判定所述Netflow數(shù)據(jù)是否具有威脅和/或需要進一步判斷所述Netflow 數(shù)據(jù)是否具有威脅的Netflow數(shù)據(jù)的信息保存到灰名單中; 其中,所述威脅檢測技術(shù)包括:基于規(guī)則的靜態(tài)檢測方式、基于安全信譽庫的檢測方 式、基于行為基線的動態(tài)檢測方式。7. 如權(quán)利要求1所述的方法,其特征在于,所述以業(yè)務視圖的形式展現(xiàn)所述Netflow數(shù) 據(jù)的檢測結(jié)果是指:通過網(wǎng)絡拓撲可視化技術(shù)展現(xiàn)整體業(yè)務視圖,以直觀可視化的方式展 示所述Netflow數(shù)據(jù)在業(yè)務內(nèi)各節(jié)點間的分布情況,并將檢測到的安全威脅實時展現(xiàn)在所 述整體業(yè)務視圖的業(yè)務拓撲中。8. -種業(yè)務安全分析的系統(tǒng),其特征在于,所述系統(tǒng)包括:數(shù)據(jù)采集模塊、流量過濾模 塊、流量聚合模塊、特征提取模塊、威脅檢測模塊、展示模塊和分析模塊; 所述數(shù)據(jù)采集模塊,用于接收網(wǎng)絡設備發(fā)送的網(wǎng)絡流Netflow數(shù)據(jù),同時主動采集全 網(wǎng)絡流量數(shù)據(jù);對采集的所述流量數(shù)據(jù)進行解析并生成所述Netf low數(shù)據(jù); 所述流量過濾模塊,用于對所述Netflow數(shù)據(jù)進行流量過濾; 所述流量聚合模塊,用于對所述Netflow數(shù)據(jù)進行流量聚合; 所述特征提取模塊,用于對所述Netflow數(shù)據(jù)進行特征提??; 所述威脅檢測模塊,用于對經(jīng)過所述流量過濾、所述流量聚合和所述特征提取操作后 的所述Netflow數(shù)據(jù)使用威脅檢測技術(shù)進行威脅檢測,將檢測結(jié)果保存到黑、白、灰名單 中; 所述展示模塊,用于以業(yè)務視圖的形式展現(xiàn)所述Netflow數(shù)據(jù)的檢測結(jié)果; 所述分析模塊,用于結(jié)合業(yè)務數(shù)據(jù)對所述檢測結(jié)果進行關(guān)聯(lián)分析,實時獲取業(yè)務系統(tǒng) 的安全狀態(tài)。9. 如權(quán)利要求8所述的系統(tǒng),其特征在于, 所述接收網(wǎng)絡設備發(fā)送的Netflow數(shù)據(jù)是指:對于支持發(fā)送Netflow的網(wǎng)絡設備,直接 以用戶數(shù)據(jù)報協(xié)議UDP包的方式接收所述網(wǎng)絡設備發(fā)送的所述Netf low數(shù)據(jù); 所述主動采集全網(wǎng)絡流量數(shù)據(jù)是指:對于應用服務的流量數(shù)據(jù),通過網(wǎng)絡抓包方式主 動從物理層采集全網(wǎng)絡流量數(shù)據(jù); 所述對采集的所述流量數(shù)據(jù)進行解析是指:對所述流量數(shù)據(jù)的會話重組和應用層協(xié)議 解析。10. 如權(quán)利要求8所述的系統(tǒng),其特征在于,所述流量過濾模塊對所述Netflow數(shù)據(jù)進 行流量過濾是指:所述流量過濾模塊以系統(tǒng)配置的方式,采用預先配置的過濾條件對不需 要分析的流數(shù)據(jù)進行過濾;所述過濾條件包括:源互聯(lián)協(xié)議IP、目的IP、源端口范圍、目的 端口范圍、網(wǎng)絡協(xié)議類型、應用協(xié)議類型和報文長度。11. 如權(quán)利要求8所述的系統(tǒng),其特征在于,所述流量聚合模塊對所述Netflow數(shù)據(jù) 進行流量聚合是指:所述流量聚合模塊為采集的所述Netflow數(shù)據(jù)以源IP、目的IP、源端 口、目的端口、應用協(xié)議的組合為會話特征創(chuàng)建一個會話,并為創(chuàng)建的每一個所述會話分配 一個會話身份標記ID,在內(nèi)存中創(chuàng)建以所述會話ID為主鍵的哈希表,實時采集新的所述 Netflow數(shù)據(jù),并基于所述會話特征為新的所述Netflow數(shù)據(jù)創(chuàng)建新的會話,將創(chuàng)建的所述 會話的數(shù)據(jù)信息定時存儲到數(shù)據(jù)庫中,并分別以預定的第一時間、第二時間、第三時間為周 期,設置三個統(tǒng)計周期,對所述數(shù)據(jù)庫中存儲的所述會話信息進行持續(xù)地統(tǒng)計; 其中,所述第一時間為5分鐘、所述第二時間為1小時,所述第三時間為1天。12. 如權(quán)利要求9所述的系統(tǒng),其特征在于,所述特征提取模塊對所述Netflow數(shù)據(jù)進 行特征提取是指:所述特征提取模炔基于對所述流量數(shù)據(jù)的會話重組和應用層協(xié)議解析, 對獲得的所述Netf low數(shù)據(jù)進行分析,獲得單個會話連接的源IP、目的IP、源端口、目的端 口、協(xié)議、持續(xù)時間、包字節(jié)數(shù)、總字節(jié)數(shù); 其中,獲得單個會話連接的源IP、目的IP包括:提取過去一段時間內(nèi)連接同一個源IP 的目的IP數(shù)和過去一段時間內(nèi)連接同一個目的IP的源IP數(shù),以及同一個源IP和同一個 目的IP之間的連接數(shù)。13. 如權(quán)利要求8所述的系統(tǒng),其特征在于,所述威脅檢測模塊使用威脅檢測技術(shù)對所 述Netf low數(shù)據(jù)進行威脅檢測,將檢測結(jié)果保存到黑、白、灰名單中是指: 所述威脅檢測模塊使用一種或多種威脅檢測技術(shù)對所述Netflow數(shù)據(jù)進行威脅檢測, 將具有威脅的所述Netflow數(shù)據(jù)的信息保存到黑名單中,將不具有威脅的所述Netflow數(shù) 據(jù)的信息保存到白名單中,將不能判定所述Netflow數(shù)據(jù)是否具有威脅和/或需要進一步 判斷所述Netflow數(shù)據(jù)是否具有威脅的Netflow數(shù)據(jù)的信息保存到灰名單中; 其中,所述威脅檢測技術(shù)包括:基于規(guī)則的靜態(tài)檢測方式、基于安全信譽庫的檢測方 式、基于行為基線的動態(tài)檢測方式。14. 如權(quán)利要求8所述的系統(tǒng),其特征在于,所述展示模塊以業(yè)務視圖的形式展現(xiàn)所 述Netf low數(shù)據(jù)的檢測結(jié)果是指:所述展示模塊通過網(wǎng)絡拓撲可視化技術(shù)展現(xiàn)整體業(yè)務視 圖,以直觀可視化的方式展示所述Netflow數(shù)據(jù)在業(yè)務內(nèi)各節(jié)點間的分布情況,并將檢測 到的安全威脅實時展示在所述整體業(yè)務視圖的業(yè)務拓撲中。
【文檔編號】H04L12/26GK106034056SQ201510119606
【公開日】2016年10月19日
【申請日】2015年3月18日
【發(fā)明人】郜小亮, 張延佳, 胡盛華
【申請人】北京啟明星辰信息安全技術(shù)有限公司, 北京啟明星辰信息技術(shù)股份有限公司