[发明专利]基于办公局域网稳态模型的异常流量筛选方法

摘要

本发明公开了一种基于办公局域网稳态模型的异常流量筛选方法，目的是基于用户可控的未知攻击流量筛选方法，有效应对日益泛滥的APT攻击。技术方案是基于办公局域网构建多维度稳态模型，利用信息熵来描述网络环境的稳定态，从链接次数与链接流量两个维度搭建流量模型，并通过维度融合将两者进行融合得到网络环境的信息熵，根据信息熵值变化幅度判断目的主机是否处于稳定态。基于已有稳态模型，合理综合用户需求，利用用户设定的筛选概率值调整异常流量的检测尺度，筛选异常流量。本发明相比于现有方法能够充分体现自身网络环境特征，更好的应对办公局域网未知APT攻击，且筛选规模人为可控，对异常流量进行高效筛选。

主权项

1.一种基于办公局域网稳态模型的异常流量筛选方法，其特征在于包括以下步骤：第一步，网络环境稳定态评估，具体过程如下：1.1利用网络工具收集办公局域网的会话信息，并存储到数据库，建立链接流量和链接次数的数据表；读取用户设置的时间粒度T、时间间隔t、阈值α和检测概率p，临时变量m置为1，m为正整数，T>0，t>0，T一般为t的整数倍，α>0，0＜p＜1；用户选定需要考察稳定态的目的IP，记为DIP，网络工具自动统计出时间T内，以t为时间间隔，网内其他IP，即IP1,IP2,…,IPk，和DIP的成功建链次数N1,N2,N3,...,Nk和链接流量L1,L2,L3,...,Lk；1.2利用计算办公局域网信息熵的方法，分别对每个时间T内的建链次数和链接流量进行信息熵的计算，得到DIP建链次数的熵H1和链接流量的熵H2；具体方法为：1.2.1在时间粒度T内，每一小段时间间隔t内，IP₁,IP₂,…,IP_k的链接次数占总的链接次数的比率分别为N为总的链接次数，即根据信息熵的定义，在给定的时间间隔t内，DIP链接次数的信息熵为H₁＝P₁*ln P₁+P₂*ln P₂+...+P_k*ln P_k，其中ln为数学中的ln函数；1.2.2在时间粒度T内，每一小段时间间隔t内，IP₁,IP₂,…,IP_k的链接流量占总的链接流量的比率为L为总的链接流量，即根据信息熵的定义，在给定的时间间隔t内，DIP链接流量的信息熵为H₂＝P₁'*ln P₁'+P₂'*lnP₂'+…+P_k'*lnP_k'；步骤1.3，融合两个维度得到的信息熵值；融合方法如下：1.3.1在时间粒度T内，每个时间间隔t内得到两种维度下的信息熵值为H₁(t₁),H₁(t₂)，...,H₁(t_n)和H₂(t₁),H₂(t₂),...,H₂(t_n)，其中n＝T/t，t_i＝i*t；i＝1,2,...,n；评估两种维度下信息熵的相关性，相关性计算方法如下：相关系数其中和分别为链接次数和链接流量信息熵值的平均值，即1.3.2若|r|＜R代表两者没有很好的相关性，不适合融合，转1.1，重新选取目的IP和时间粒度，R为相关性判定基准，0.6＜R＜1；否则R≤|r|≤1，代表两者有较好的相关性，执行1.3.3；1.3.3利用公式分别对各个时间间隔进行计算，得到新的信息熵值H(t₁),H(t₂),...,H(t_n)；1.4，对时间粒度T内的信息熵值H(t1),H(t2),...,H(tn)进行稳定态评估，绘制信息熵值变化曲线，根据曲线变化幅度判定目的主机是否处于稳定态；若在时间粒度T下，DIP不属于稳态，转1.1，调整DIP和时间粒度；若在该时间粒度下，DIP属于稳态，执行第二步；第二步，在系统处于稳定态的基础上，进行异常流量的筛选；具体步骤为：2.1，从数据库中获得在各个时间段t1,t2,...,tn下，IP1,IP2,...,IPk与DIP的链接次数矩阵M(n,k)，分别记为：M(1,1),...,M(1,k),M(2,1),...,M(2,k),...,M(n,1),...,M(n,k)，其中M(a,b)的值表示时间段ta时IPb与DIP的链接次数，a＝1,2,…,n，b＝1,2,…,k；2.2，将矩阵M(n,k)中的值进行排序，记排序后矩阵M(n,k)中的值从小到大分别为M1,...,Mn*k；2.3，从最小的链接次数M₁开始寻找m，使得其中M_sum是所有IP的链接次数的总和，即m为安全门限，第1～m台主机的对应时间段的流量值都可以被筛选出来进行进一步分析；筛选出的流量即为异常度为p的流量值。