[发明专利]一种基于NBA的网络安全评估方法

摘要

本发明公开了一种基于NBA的网络安全评估方法。该方法将网络中的一个连接或独立的包看成一个流，通过记录流经网络的所有流的属性来分析网络中每个主机的网络行为特征参数，并计算每个主机的网络行为特征参数允许的最大阀值，从而可以构建整个网络的行为特征数据库。当网络中某个主机的特征参数的值超出其最大阀值时，则可以判断网络出现了异常。本发明涉及网络异常和网络攻击等网络安全监控领域，可以弥补传统的入侵检测系统的不足，具有广阔的应用前景。

主权项

一种基于NBA的网络安全评估方法，包括基于流的网络行为分析模型和构建网络行为特征库流程，其特性在于：所述基于流的网络行为分析模型包括如下特性，(1)一个流(Flow)可能是一次连接，也可以是一个独立的UDP或ICMP包；(2)一个流用一维向量X＝(x1，x2，...，xp)进行表示，其中xi(1≤i≤p)代表流的不同属性；(3)对于任意一个主机，只要网络中的所有应用处于正常状态，用户的使用频率趋于稳定，其网络状况在一定时期内遵循一定的模式。这反映在针对该主机的某些特征参数保持相对稳定；(4)每一项特征参数，由λi和φi两个值进行表示，其中λi是其标准参考值，φi是一个阀值，当某个特征参数的当前值超过其对应的阀值时，则可认为网络出现了异常；(5)一个主机的网络行为特征库用两个向量Λ＝(λ1，λ2，...，λq)和Φ＝(φ1，φ2，...，φq)进行表示，q是特征参数的数量。整个网络的特征库则表示为两个n维向量矩阵(Λ1，Λ2，...，Λn)T和(Φ1，Φ2，...，Φn)T，其中n表示主机的数量；(6)网络监控从分析报文开始，识别出每个流，并获取流的相关属性，再通过进一步机器学习算法和统计分析算法计算各项特征参数，并与特征库基准值进行比较，从而实现对网络异常的监控；所述构建网络行为特征库流程包括如下步骤，步骤一、采集网络上所有流的信息通过部署于网络上各个节点的流数据采集设备，将采集到的所有主机的流的信息汇总到异常监控服务器；步骤二、分析流数据，计算特征参数异常监控系统分析采集回来的流数据，并根据机器学习算法和概率统计学原理计算出每个主机每个特征参数的基准值；步骤三、持续观察网络，计算特征参数的阀值异常监控系统持续监控网络的情况，获得每个主机每个特征参数基准值的样本空间，并计算每个特征参数的阀值。