[发明专利]一种基于流的异常通联行为检测方法和系统

说明书

本发明提供了一种基于流的异常通联行为检测方法和系统，属于网络安全异常事件被动发现领域。本发明的检测系统包括：配置白名单IP、重点目标IP和一般目标IP的配置管理模块，获取和存储网络流数据信息的数据采集模块和存储模块，分别对重点目标和一般目标进行检测的重点目标异常检测模块和一般目标异常检测模块以及异常评估模块。本发明检测方法对重要网络节点和普通网络节点采用不同的方法进行流量模型构建，分别进行网络异常检测，再关联重要目标和普通目标的网络事件，挖掘出具备一定危害的网络入侵行为和异常通联行为。本发明对各种类型的流量异常行为具备良好的发现能力，对流量数据的计算复杂度小，并且异常发现实时性强。

技术领域

本发明涉及网络安全异常事件被动发现领域，是一种基于全量流数据的、针对内部网络通联外部IP地址系统、对全量通联行为进行异常检测的方法及系统。

背景技术

随着计算机与网络技术的迅猛发展，互联网用户规模日益增长，中国互联网络信息中心(CNNIC)发布的报告显示，截至2015年12月，我国网民规模已达6.88亿，互联网普及率为50.3％，同时，全国使用互联网办公的企业达89.0％。互联网已成为人们生产生活中不可或缺的重要基础设施。

与此同时，网络安全问题日益突出，频繁发生的网络安全事件给互联网带来了巨大威胁。其中，网络攻击和网络窃密是信息系统的重要威胁。2009年5月9日发生的DDoS(分布式拒绝服务)攻击暴风影音的断网事件，导致南方六省运营商服务器全部崩溃，电信在南方六省的网络基本瘫痪；同在2009年,韩国主要政府网站遭新型DDoS攻击，包括青瓦台在内的25家韩国政府机构、银行和媒体的网站瘫痪；2013年著名的Spamhaus事件，攻击流量达到了空前的300Git/s，整个欧洲网络状态都受之影响；2015年12月31日，由于严重的DDoS攻击，英国广播公司(BBC)网站和iPlayer服务被迫下线，网站瘫痪数个小时；2016年1月29日，英国汇丰银行的香港及上海两个分行的网上银行系统，同时遭受了一系列的DDoS攻击，恰好当天是系统的结算日，给整个系统的服务造成了严重的影响。根据著名安全机构卡巴斯基实验室发表的2016年第一季度DDoS攻击报告，74个国家的资源遭到DDoS攻击，其中中国、韩国和美国受影响最为严重。

通过大量被控制的主机或僵尸网络向攻击目标发起DDoS攻击，会对被攻击者的信息系统造成严重损害，并极可能影响到其他互联网用户的正常网络活动，产生重大的网络安全事件。我国互联网规模庞大，存在着大量被木马或僵尸程序控制的主机，中国国家互联网应急中心(CNCERT/CC)发布的互联网安全威胁报告显示，2016年3月，我国境内196万余个IP地址对应的主机被木马或僵尸程序控制，因此，我国面临严重的潜在网络攻击威胁。

造成网络安全事件的异常网络行为，如网络攻击与窃密等，往往涉及到网络流量的异常，因此可通过异常检测，发现网络异常行为，结合相关技术进行异常响应处理，保障网络正常，维护网络安全，因此，网络流量异常检测具有十分重要的意义。

现有的采用基于NetFlow做网络异常行为检测的相关技术主要包括：

(1)基于数据挖掘的方法。为了应用数据挖掘技术对用户行为进行异常检测，就要应用数据挖掘中的关联分析和序列挖掘，提取出正常情况下用户所执行命令中存在的相关性，建立每个用户的历史行为模式，为实际检测过程中用户行为的判别提供比较的依据。通过对正常的用户训练数据和当前用户操作数据进行挖掘，分别得出用户的历史行为模式和当前行为模式之后，就可以通过模式比较来判断用户行为是否异常。

(2)基于神经网络的方法。神经网络(neural networks)使用自适应学习技术来提取异常行为的特征，需要对训练数据集进行学习以得出正常的行为模式，训练数据标志为正常数据和入侵数据两类，训练后的神经网络可以把事件识别为正常或入侵。

(3)基于机器学习的方法。这种异常检测方法通过机器学习实现异常检测，将异常检测归结为对离散数据临时序列进行学习来获得个体、系统和网络的行为特征。