[发明专利]基于属性关系图的主机网络行为模式度量方法

说明书

本发明公开了一种基于属性关系图的主机网络行为模式度量方法，其技术方案主要由网络流量采集——主机网络行为模式形式化表征——主机网络行为异常检测——异常判定四个关键步骤组成。通过本发明所设计的技术方案，很好地解决了传统异常检测方法的训练数据难以获取和异常检测行为系统适应能力差的问题，其完全可以有效地应对主机面临的新型威胁和未知异常以及攻击层出不穷的安全防护需求，降低目标攻击对企事业单位造成的损失。

技术领域

本发明涉及服务器行为模式描述和异常检测方面，具体涉及的是一种基于属性关系图的主机网络行为模式度量方法。

背景技术

服务器作为企事业单位重要的网络硬件资源主体，网络应用和数据资源都存放在服务端主机。随着网络应用的增长和服务类型的多样化，用户数量也急剧增长，势必面临一系列安全问题。针对主机系统级安全检测的研究工作，数据源多来自于主机系统的审计日志、系统调用序列、内存和文件的变化情况等，通过分析系统的审计数据来区分主机中正常和非法行为。这类研究的优点是易于监测一些系统活动，如对敏感文件、目录、程序或端口的存取行为，而这些行为难于在网络流量数据中发现。以目前关注的目标攻击类型的异常行为为例，入侵者最终目标是数据窃取，但其前期的入侵行为又难于发现。那么，当攻击者获取了主机的用户权限后，数据泄露行为恰恰不会对文件、内存、程序等系统内部活动造成改变，只有进行数据对外传输时才会造成网络通信行为改变。因此，关注主机个体行为的变化是检测数据泄露的最佳时机，也是降低目标攻击对企事业单位造成损失的关键的一个步骤。

在大型的网络架构中，通常会部属大量网络安全防御设备，对主机层层安全防护加固，每时每日都会产生大量的告警信息，这样需要大量的专业安全分析人员进行分析、排查和确认报警信息的可用性，尤其是针对特定主机的安全性分析，如此也存在着信息难于收集、信息量大和分析难等实际问题。在持续变化的网络系统中，一台服务器与外界具有大量的网络通信，会导致网络中的个体行为轮廓难于刻画。

综上所述，面向服务器的安全监测的缺点主要有以下两项：

(1)对现有研究成果分析发现，在大型网络环境中，难于收集和分析种类繁多的主机安全日志，其中一个主要原因就是要在服务器上部署软件代理，繁杂的工作势必耗费很高的成本，而这些主机软硬件版本、数据接口、访问控制权限不一致所导致的数据采集问题，除了高昂的价格成本，还降低了主机性能，增加安全管理的复杂性，都将给企事业单位的安全管理带来更多的风险；

(2)对主机个体的网络流量的变化不敏感，一般不会关注主机个体的网络流量增加或减少及其主机个体行为模式的变化，无法对主机个体行为分析与检测。因此，利用网络流量数据分析服务器个体安全并没有得到广泛关注。

理解主机个体行为特征为网络安全防御等诸多研究工作提供重要前提，通过测量和分析，为主机个体行为特征的理解提供真实有效的数据。因此，主机个体行为测量和分析是研究其个体行为的基础，这就需要掌握主机网络行为的基本特征，发现其个体行为变化的基本规律，构造主机个体行为的数学模型。通过对企事业单位内的主机个体行为研究，可以对这台主机网络行为进行一个准确的评估，这对于服务器网络安全管控来说，具有十分重要的意义。

发明内容

本发明的目的在于提供一种基于属性关系图的主机网络行为模式度量方法，解决现有技术难以应对新型威胁和未知异常，无法适应攻击层出不穷的复杂网络环境安全防护需求的问题。

为实现上述目的，本发明采用的技术方案如下：

基于属性关系图的主机网络行为模式度量方法，包括以下步骤：

(1)采集主机网络流量数据；

(2)为主机构建属性关系图，所述的属性关系图包括若干按照任意顺序排列的特征信息，每列特征中不同的值作为一个节点；