[发明专利]基于主机出入度的网络异常行为检测方法

说明书

技术领域

本发明涉及网络异常检测技术，尤其涉及一种基于主机出入度的检测网络异常行为的方法。

背景技术

在当前的网络安全行业，针对网络攻击检测、P2P流量净化等领域，目前均采用传统的包检测技术(DPI)技术进行协议识别从而进行流量甄别，即使较新的DFI技术，依旧是着眼于微观的一条流一条流的进行协议识别检测。

而随着各种协议加密的普及，在网络安全攻防中各种伪造模仿协议的涌现，包和流特征越来越难以被有效提取和识别。

发明内容

有鉴于此，本发明提供了一种基于主机出入度的检测网络异常行为的方法，避免了包检测带来的上述问题。

为了解决上述技术问题，本发明是这样实现的：

首先定义度、出度和入度；其中，度是四元组连接的数量；出度是指主机向其他主机发出的四元组连接的数量；入度是指主机接收其他主机的四元组连接的数量；

该方法根据主机的出入度比例是否超出已知范围，以实现网络异常行为的检测；不同业务主机的出入度比例范围不同。

该方法具体包括如下步骤：

步骤一、针对各种业务类型，获取在正常情况下单位时间内出入度比值范围；

步骤二、进行网络行为检测时，对线上每个IP地址的主机的出、入连接进行检测，记录每一条连接是出还是入，以及建立连接的时间；

步骤三、实时统计每个IP地址的主机单位时间段内的出度、入度，进而得到出入度比值，并与步骤一获得的各种业务类型的出入度比值范围进行比对，从而识别出各个IP地址的主机所提供的业务类型，并记录；

步骤四、在后续针对每一个IP地址的主机单位时间出度、入度的跟踪比对中，当某一单位时间内，某一主机的出入度比值超出了已经判定和记录的该主机业务类型对应的出入度比值范围，但是该出入度比值符合步骤一获得的其他业务类型的出入度比值范围，则认为该主机业务类型发生了变化，进行记录更新；

当某一主机出入度比值发生突变，且不符合步骤一获得的任何一种业务类型的出入度比值范围时，报警，提醒该主机发生了异常行为，可能受到了攻击。

优选地，所述步骤一为：收集各种业务类型的主机，并在网络中运行，跟踪主机的出度和入度，通过开源机器学习算法获得每种业务类型的主机在正常情况下，单位时间内出度与入度的比值范围。

优选地，步骤一中，每类业务类型的主机均收集多个，采用同一业务类型的多个主机的出度和入度的平均值，获得所述比值范围。

优选地，步骤二采用网络数据包检测分析系统，对线上每个IP地址的主机的出、入连接进行检测。

有益效果：

本发明基于主机出入度检测网络行为，从全新的角度提出了一种主机属性判定,攻击检测方法,在技术难度较低,资源耗用较小的情况下能够实现一定量种类的网络行为检测，异常行为监测。

具体实施方式

下面举实施例，对本发明进行详细描述。

大数的网络异常检测算法都是在计算机网络的整体拓扑结构的基础上进行的研究与分析，却很少考虑到单个主机的出入度与网络异常之间的关系。根据计算机网络的通信原理，以及一些网络异常的传播原理，例如蠕虫病毒，首先本申请人猜想计算机网络异常行为与主机的出、入度存在某种关系。通过实验发现，某些网络异常与主机的出、入度之间确实存在某种数学规律。在此基础上，提出了一种基于“主机出入度”的网络异常行为检测方法，该方法在相对宏观的角度，针对主机，检测IP地址的出度、入度，甄别主机的工作性质从而粗略的分析该主机收发流量的应用类型以及业务类型的突变识别。

为了更好地叙述和理解发明，下面给出“度”、“入度”和“出度”的定义。

度，是四元组连接数，四元组由源IP+源端口号+目的IP+目的端口号组成。

出度，是指主机向其他主机发出的四元组连接数。

入度，是指主机接收其他主机的四元组连接数。

目前，网络攻击和入侵的主要方法通常有4种：

方法1、嗅探器和扫描嗅探器是利用计算机的网络接口截获目的地为其它计算机的数据报文的一种技术。网络嗅探器通过被动地监听网络通信、分析数据来非法获得用户名、口令等重要信息。扫描是指针对系统漏洞，对系统和网络的遍历搜寻行为。

由于漏洞的普遍存在，使得扫描手段经常会被隐蔽地恶意使用，通过探测系统或网络的有用信息，作为实施下一步攻击的前奏。