[发明专利]基于办公局域网稳态模型的异常流量筛选方法

说明书

本发明公开了一种基于办公局域网稳态模型的异常流量筛选方法，目的是基于用户可控的未知攻击流量筛选方法，有效应对日益泛滥的APT攻击。技术方案是基于办公局域网构建多维度稳态模型，利用信息熵来描述网络环境的稳定态，从链接次数与链接流量两个维度搭建流量模型，并通过维度融合将两者进行融合得到网络环境的信息熵，根据信息熵值变化幅度判断目的主机是否处于稳定态。基于已有稳态模型，合理综合用户需求，利用用户设定的筛选概率值调整异常流量的检测尺度，筛选异常流量。本发明相比于现有方法能够充分体现自身网络环境特征，更好的应对办公局域网未知APT攻击，且筛选规模人为可控，对异常流量进行高效筛选。

技术领域

本发明涉及计算机领域中网络攻击的检测方法，尤其是基于办公局域网流量进行网络攻击检测的方法。

背景技术

近年来，以“震网”(Stuxnet)、“毒区”(Duqu)及“火焰”(Flame)病毒为代表的“高级持续威胁”(Advanced Persistent Threat，APT)层出不穷，给网络安全提出了更高的要求。APT是有组织、有目的的具有全面计算机入侵能力的人员开发的，用来完成特定目标的，持续性存在于受害主机上，并以一定互动水平与操控者交互的恶意软件。

APT不是一种单一的攻击手段，而是多种攻击手段的组合，因此无法通过单一的防护手段进行阻止和防御。APT本质上是更为高级的木马或更为高级的僵尸网络(BOTNET)。根据Stuxnet、Duqu等具有APT行为特征的蠕虫病毒分析报告来看，我国信息化建设和重要信息系统也可能受到来自某些国家和组织实施的前所未有的APT安全威胁，然而我国当前面向重要网络信息系统的专业防护服务能力和产业化程度相对较低，尚难以有效应对APT攻击，形势相当严峻。相比于传统的网络威胁，APT攻击的特点主要包括针对性、高级性、持续性、潜伏性、专业性。针对APT的以上特点，可以看出对APT的防护会比以往的网络安全威胁更难防护。未知的APT一旦潜入信息系统，将长期潜伏、难以发现。

当前的安全机制及网络安全检测产品普遍以已知威胁为防护目标，对于部分安全事件有一定的防御效果。但是，这样的安全机制忽略了部署环境本身的差异性，对于APT攻击中攻击者经常利用的“零日”(zero-day)漏洞等未知威胁，缺乏检测能力，难以有效应对。因此，为了应对此类攻击，一方面，构建安全机制必须充分了解自身网络环境特征，不仅要了解已知威胁，也要利用自身环境特点防御未知威胁；另一方面，需要在了解自身环境的基础上进行异常流量的有效筛选，因为APT攻击往往潜伏在目标系统中持续进行，攻击者会间歇性的下达指令或者上传用户的重要信息，通过筛选这些异常流量能够便于网络管理员进一步分析，发现攻击者异常行为。

总之，对于特征不一的诸多网络环境，充分利用自身网络环境特点，对具有诸多安全特性的APT攻击的检测与防御已经成为网络与信息安全领域的一大难题，至今还没有十分完美的解决方案。如何从自身网络环境出发，利用攻击行为造成的流量异常变化，筛选异常流量，是应对APT攻击的重要手段。

发明内容

本发明要解决的技术问题是：针对日益泛滥的APT攻击，当前的安全机制及网络安全检测产品普遍以已知威胁为防护目标，对于未知威胁缺乏检测能力、难以有效应对。

为解决以上技术问题，本发明利用攻击者行为造成的流量异常变化，从业务较为单一的办公局域网出发，提供一种用户可控的对未知攻击流量进行筛选的技术方案，充分体现自身网络环境特征，达到较好的检测办公局域网攻击的效果。本发明提供的解决方案为：基于办公局域网构建多维度稳态模型，利用信息熵来描述网络环境的稳定态，从链接次数与链接流量两个维度搭建流量模型。在此基础上，合理综合用户需求，利用用户可以调整检测尺度的异常流量检测方案，从两个维度入手设计异常流量检测方法，从而达到有效对异常流量进行高效筛选和筛选规模人为可控的目的。

本发明的技术方案为：