基於主機出入度的網絡異常行為檢測方法

2023-06-12 05:16:31

基於主機出入度的網絡異常行為檢測方法
【專利摘要】本發明公開了一種基於主機出入度的檢測網絡異常行為的方法，從全新的角度提出了一種主機屬性判定，攻擊檢測方法，在技術難度較低，資源耗用較小的情況下能夠實現一定量種類的網絡行為檢測，異常行為監測。首先定義度、出度和入度；其中，度是四元組連接的數量；出度是指主機向其他主機發出的四元組連接的數量；入度是指主機接收其他主機的四元組連接的數量；該方法根據主機的出入度比例是否超出已知範圍，以實現網絡異常行為的檢測；不同業務主機的出入度比例範圍不同。
【專利說明】基於主機出入度的網絡異常行為檢測方法

【技術領域】
[0001]本發明涉及網絡異常檢測技術，尤其涉及一種基於主機出入度的檢測網絡異常行為的方法。

【背景技術】
[0002]在當前的網絡安全行業，針對網絡攻擊檢測、P2P流量淨化等領域，目前均採用傳統的包檢測技術(DPI)技術進行協議識別從而進行流量甄別，即使較新的DFI技術，依舊是著眼於微觀的一條流一條流的進行協議識別檢測。
[0003]而隨著各種協議加密的普及，在網絡安全攻防中各種偽造模仿協議的湧現，包和流特徵越來越難以被有效提取和識別。


【發明內容】

[0004]有鑑於此，本發明提供了一種基於主機出入度的檢測網絡異常行為的方法，避免了包檢測帶來的上述問題。
[0005]為了解決上述技術問題，本發明是這樣實現的:
[0006]首先定義度、出度和入度；其中，度是四元組連接的數量；出度是指主機向其他主機發出的四元組連接的數量；入度是指主機接收其他主機的四元組連接的數量；
[0007]該方法根據主機的出入度比例是否超出已知範圍，以實現網絡異常行為的檢測；不同業務主機的出入度比例範圍不同。
[0008]該方法具體包括如下步驟:
[0009]步驟一、針對各種業務類型，獲取在正常情況下單位時間內出入度比值範圍；
[0010]步驟二、進行網絡行為檢測時，對線上每個IP位址的主機的出、入連接進行檢測，記錄每一條連接是出還是入，以及建立連接的時間；
[0011]步驟三、實時統計每個IP位址的主機單位時間段內的出度、入度，進而得到出入度比值，並與步驟一獲得的各種業務類型的出入度比值範圍進行比對，從而識別出各個IP位址的主機所提供的業務類型，並記錄；
[0012]步驟四、在後續針對每一個IP位址的主機單位時間出度、入度的跟蹤比對中，當某一單位時間內，某一主機的出入度比值超出了已經判定和記錄的該主機業務類型對應的出入度比值範圍，但是該出入度比值符合步驟一獲得的其他業務類型的出入度比值範圍，則認為該主機業務類型發生了變化，進行記錄更新；
[0013]當某一主機出入度比值發生突變，且不符合步驟一獲得的任何一種業務類型的出入度比值範圍時，報警，提醒該主機發生了異常行為，可能受到了攻擊。
[0014]優選地，所述步驟一為:收集各種業務類型的主機，並在網絡中運行，跟蹤主機的出度和入度，通過開源機器學習算法獲得每種業務類型的主機在正常情況下，單位時間內出度與入度的比值範圍。
[0015]優選地，步驟一中，每類業務類型的主機均收集多個，採用同一業務類型的多個主機的出度和入度的平均值，獲得所述比值範圍。
[0016]優選地，步驟二採用網絡數據包檢測分析系統，對線上每個IP位址的主機的出、入連接進行檢測。
[0017]有益效果:
[0018]本發明基於主機出入度檢測網絡行為，從全新的角度提出了一種主機屬性判定，攻擊檢測方法，在技術難度較低，資源耗用較小的情況下能夠實現一定量種類的網絡行為檢測，異常行為監測。

【具體實施方式】
[0019]下面舉實施例，對本發明進行詳細描述。
[0020]大數的網絡異常檢測算法都是在計算機網絡的整體拓撲結構的基礎上進行的研究與分析，卻很少考慮到單個主機的出入度與網絡異常之間的關係。根據計算機網絡的通信原理，以及一些網絡異常的傳播原理，例如蠕蟲病毒，首先本 申請人:猜想計算機網絡異常行為與主機的出、入度存在某種關係。通過實驗發現，某些網絡異常與主機的出、入度之間確實存在某種數學規律。在此基礎上，提出了一種基於「主機出入度」的網絡異常行為檢測方法，該方法在相對宏觀的角度，針對主機，檢測IP位址的出度、入度，甄別主機的工作性質從而粗略的分析該主機收發流量的應用類型以及業務類型的突變識別。
[0021]為了更好地敘述和理解發明，下面給出「度」、「入度」和「出度」的定義。
[0022]度，是四元組連接數，四元組由源IP+源埠號+目的IP+目的埠號組成。
[0023]出度，是指主機向其他主機發出的四元組連接數。
[0024]入度，是指主機接收其他主機的四元組連接數。
[0025]目前，網絡攻擊和入侵的主要方法通常有4種:
[0026]方法1、嗅探器和掃描嗅探器是利用計算機的網絡接口截獲目的地為其它計算機的數據報文的一種技術。網絡嗅探器通過被動地監聽網絡通信、分析數據來非法獲得用戶名、口令等重要信息。掃描是指針對系統漏洞，對系統和網絡的遍歷搜尋行為。
[0027]由於漏洞的普遍存在，使得掃描手段經常會被隱蔽地惡意使用，通過探測系統或網絡的有用信息，作為實施下一步攻擊的前奏。
[0028]方法2、利用傳輸協議中的漏洞發動攻擊，攻擊者利用一些傳輸協議在制定過程中存在的漏洞，通過惡意地請求資源導致服務超載，造成目標系統無法正常工作或癱瘓，從而完成攻擊。如基於TCP/IP協議中「三次握手」的漏洞發動的SYN Flooding攻擊；通過發送大量的垃圾數據包耗盡接收端資源從而導致系統癱瘓的ICMP Flooding、NullstreamFlooding 攻擊等。
[0029]方法3、利用作業系統中的某些應用服務漏洞發起攻擊由於作業系統中的某些應用服務在邊界條件、資源釋放、函數指針等方面存在設計不當或缺乏限制，因而造成了應用服務漏洞。攻擊者正是利用這些漏洞對作業系統進行攻擊，從而達到入侵系統或導致系統崩潰的目的。如微軟的MS08-067遠程溢出漏洞，就是由於Windows系統的Server在處理特定RPC請求時存在緩衝區溢出漏洞，導致遠程攻擊者可以通過發送惡意的RPC請求觸發這個溢出，然後通過執行惡意代碼完全入侵用戶系統，並獲取對系統的控制權，造成重要信息失竊以及系統崩潰等嚴重後果。
[0030]方法4、通過木馬程序進行入侵或發動攻擊木馬是一種基於遠程控制的黑客工具，其具有隱蔽性和非授權性的特點。當木馬程序被成功非法植入到目標主機中後，受害機就成為了黑客控制的傀儡主機，而黑客則成了超級用戶，他可以通過木馬程序來收集系統中他所需要的一切重要信息，如口令、帳號、密碼等。同時，黑客還可以遠程控制傀儡主機對別的主機發動攻擊，網絡中常見的DDoS攻擊就是大量傀儡主機在接到黑客發出的攻擊命令後，同時向被攻擊主機發送大量的服務請求數據包，從而導致被攻擊主機崩潰。
[0031]從上述四種常用的網絡攻擊和入侵的方法可見，這四種方法都與主機出入度有關係:
[0032]方法1，在掃描尋找目標節點時，要對網絡進行遍歷搜尋，該主機的出度肯定會突然變大，因為該主機會在短時間內對多臺不同的計算機進行掃描。同樣，入度也會瞬間增大，因為會有多條信息反饋回來；而對於被入侵或被攻擊的主機而言，該主機的入度也可能瞬間增大，因為每個主機都有很多不同的埠，而不同埠提供的服務不同且漏洞也不同，因此所有的埠都可能被掃描，根據本文中「度」的定義，不同埠屬於不同的度，因此入度可能會瞬間增大。
[0033]方法2，是以方法I為基礎，因為執行該方法時，首先要找到確定的目標節點，而這目標節點往往都是通過掃描大量主機得到的，所以也會掃描其他主機。
[0034]方法3，在攻擊的時候，也可能導致度的變化，因為尋找漏洞的時候，需要大量的掃描，在這期間也會引起度的巨大變化。
[0035]方法4，將其他主機變成傀儡機時，往往利用傀儡機進行一些非法操作，例如繼續培植新的傀儡機的殭屍病毒，這時候，也會導致度的變化。
[0036]綜上所述,一般具有某一相對單一功能的主機，其出度入度在一定時間段內，會具有一定範圍的比例關係，每種業務主機，其出度入度的比例關係是不同的，而當主機發起或受到上述攻擊類型時，該比例關係會有瞬間有較大幅度變化。
[0037]基於上述分析，本發明提供的基於主機出入度的檢測網絡異常行為的方法具體如下:
[0038]步驟一、針對各種業務類型，獲取在正常情況下單位時間內出入度比值範圍。
[0039]本步驟中，收集一定數量的各種業務類型的主機，如家用電腦，網站伺服器，下載伺服器、⑶N節點，P2P伺服器，令各種業務類型的主機在網絡中運行，跟蹤其出度和入度，通過開源機器學習算法，獲得每種業務類型的主機在正常情況下，單位時間內出度與入度的比值範圍。
[0040]其中，每類業務類型的主機可以均收集多個，採用同一業務類型的多個主機的出度和入度的平均值，獲得所述比值範圍。
[0041]步驟二、進行網絡行為檢測時，使用傳統的網絡數據包檢測分析系統，對線上每個IP位址的主機的出、入連接進行檢測，記錄每一條連接是出還是入，以及建立連接的時間，以日誌的形式匯總到資料庫。
[0042]步驟三、在資料庫中，實時對每個IP位址的主機單位時間段內的出度、入度進行統計，進而得到出入度比值，並與之前獲得的各類業務的出入度比值範圍進行比對，從而識別出各個IP位址的主機的所提供的業務類型，也就是流量種類的粗識別，並記錄。
[0043]步驟四、在後續針對每一個IP位址的主機單位時間出度、入度的跟蹤比對中，當某一單位時間內，某一主機的出入度比值超出了已經判定和記錄的該主機業務類型對應的出入度比值範圍，但是該出入度比值符合已經收集到的其他業務類型的出入度比值範圍，則記錄日誌認為該主機業務類型發生了變化，進行記錄更新。
[0044]當某一主機出入度比值發生突變，且不符合事先已經收集的任何一種業務類型的出入度比值範圍的時候，則報警，提醒該主機發生了異常行為，可能受到了攻擊。
[0045]綜上所述，以上僅為本發明的較佳實施例而已，並非用於限定本發明的保護範圍。凡在本發明的精神和原則之內，所作的任何修改、等同替換、改進等，均應包含在本發明的保護範圍之內。
【權利要求】
1.一種基於主機出入度的檢測網絡異常行為的方法，其特徵在於，定義度、出度和入度；其中，度是四元組連接的數量；出度是指主機向其他主機發出的四元組連接的數量；入度是指主機接收其他主機的四元組連接的數量； 該方法根據主機的出入度比例是否超出已知範圍，以實現網絡異常行為的檢測；不同業務主機的出入度比例範圍不同。
2.如權利要求1所述的方法，其特徵在於，該方法具體包括如下步驟: 步驟一、針對各種業務類型，獲取在正常情況下單位時間內出入度比值範圍； 步驟二、進行網絡行為檢測時，對線上每個IP位址的主機的出、入連接進行檢測，記錄每一條連接是出還是入，以及建立連接的時間； 步驟三、實時統計每個IP位址的主機單位時間段內的出度、入度，進而得到出入度比值，並與步驟一獲得的各種業務類型的出入度比值範圍進行比對，從而識別出各個IP位址的主機所提供的業務類型，並記錄； 步驟四、在後續針對每一個IP位址的主機單位時間出度、入度的跟蹤比對中，當某一單位時間內，某一主機的出入度比值超出了已經判定和記錄的該主機業務類型對應的出入度比值範圍，但是該出入度比值符合步驟一獲得的其他業務類型的出入度比值範圍，則認為該主機業務類型發生了變化，進行記錄更新； 當某一主機出入度比值發生突變，且不符合步驟一獲得的任何一種業務類型的出入度比值範圍時，報警，提醒該主機發生了異常行為，可能受到了攻擊。
3.如權利要求2所述的方法，其特徵在於，所述步驟一為:收集各種業務類型的主機，並在網絡中運行，跟蹤主機的出度和入度，通過開源機器學習算法獲得每種業務類型的主機在正常情況下，單位時間內出度與入度的比值範圍。
4.如權利要求3所述的方法，其特徵在於，步驟一中，每類業務類型的主機均收集多個，採用同一業務類型的多個主機的出度和入度的平均值，獲得所述比值範圍。
5.如權利要求2所述的方法，其特徵在於，步驟二採用網絡數據包檢測分析系統，對線上每個IP位址的主機的出、入連接進行檢測。
【文檔編號】H04L12/26GK104135474SQ201410343212
【公開日】2014年11月5日 申請日期:2014年7月18日 優先權日:2014年7月18日
【發明者】賀欣, 劉剛, 王大偉, 劉永強, 王秀文, 杜大帥, 張慧, 李城龍, 賀龍濤 申請人:國家計算機網絡與信息安全管理中心