本发明专利技术涉及基于多粒度异常检测的网络威胁评估方法,可有效解决现有基于网络数据包或基于网络流量的威胁态势评估技术不能很好地适应高速网络环境下快速准确识别攻击事件、感知威胁态势的问题,方法是,利用基于包的粗粒度异常检测,分析出含有异常网络流量的时间片;再通过基于流的细粒度异常检测,对异常时间片的网络流量,进行流重组、提取流特征属性,利用流特征的异常检测算法判断出攻击类型;最后,对检测出的威胁事件,量化评估当前网络受威胁的严重程度,本发明专利技术方法易操作,可高精度实时检测出网络遭受的威胁事件的严重程度,有助于网络工作人员及时掌握当前网络遭受的安全威胁,有时采取有效地应急响应措施。
【技术实现步骤摘要】
本专利技术设及网络安全技术,特别是基于网络流量的网络安全威胁评估的一种基于 多粒度异常检测的网络威胁评估方法。
技术介绍
随着互联网技术的飞速发展,网络逐渐成为人们生产和生活中必不可缺的一部 分,极大地方便了人们的生产生活。与此同时,日趋复杂的网络环境也产生了纷繁多样的网 络攻击,给社会带来巨大的经济损失,并对国家安全形成巨大挑战。当前虽有防火墙、入侵 检测设备、入侵防御系统等诸多安全产品,但其面对高速网络环境下复杂、多样化的攻击检 测需求,一方面,基于统计或简单的包模式匹配的检测手段,无法满足应对多样化攻击的精 准检测的要求;另一方面,准确性较高的检测模型,如基于流特征匹配或包内容深度检测等 方法,无法满足高速网络环境下的实时检测需求或因耗费过多资源而导致不能实际应用的 问题。 近年来,随着网络态势感知技术的发展,在当前网络安全产品之上,越来越多的研 究或机构,构建了网络安全态势感知框架,W促使网络管理人员增进对当前网络安全状况 的及时了解,帮助网络用户了解其所在网络的安全等级,使得管理人员和网络用户及时制 定相应的防范策略、做好对应的防范工作,预防和避免因为网络攻击所造成的损失。然而, 目前的网络安全态势评估,大多基于安全设备或系统产生的安全告警日志数据评估威胁态 势,存在W下主要问题:评估结果依赖于安全设备自身的检查性能,且基于日志评估态势具 有一定的时延,不能满足实时态势评估需求;此外,日志数据的多源异构性,不适用于高速 大流量网络环境下的威胁态势评估。也有部分基于网络流量的威胁态势评估,然而,直接基 于数据包的态势评估,其攻击检测结果准确性不高;而基于网络流特征的态势评估,又无法 满足高速网络环境下的实时态势评估需求。
技术实现思路
针对上述情况,为克服现有技术之缺陷,本专利技术之目的就是提供一种基于多粒度 异常检测的网络威胁评估方法,可有效解决现有基于网络数据包或基于网络流量的威胁 态势评估技术不能很好地适应高速网络环境下快速准确识别攻击事件、感知威胁态势的问 题。 本专利技术解决的技术方案是,首先利用基于包的粗粒度异常检测,分析出含有异常 网络流量的时间片;再通过基于流的细粒度异常检测,对异常时间片的网络流量,进行流重 组、提取流特征属性,利用流特征的异常检测算法判断出攻击类型;最后,对检测出的威胁 事件,量化评估当前网络受威胁的严重程度,具体实现方法是: 一、基于包的粗粒度异常检测,包括有:在线监听实时网络环境中的数据流量,数 据包属性统计,特征提取,异常检测,记录检查结果;通过基于包的粗粒度异常检测模块后, 将时间片分为正常时间片和异常时间片,异常时间片进入下一环节,进行基于流的细粒度 异常检测; 二、基于流的细粒度异常检测,包括有:流重组,流特征提取,细粒度异常检测,检 测结果融合与入库; =、威胁态势评估,最后得到时间段内网络的威胁值,值越大,表明网络当前遭受 的威胁其危害程度越严重。 本专利技术方法易操作,可高精度实时检测出网络遭受的威胁事件的严重程度,有助 于网络工作人员及时掌握当前网络遭受的安全威胁,有时采取有效地应急响应措施,缓解 或避免网络遭受严重的危害,方法稳定可靠,确保网络使用安全和使用效果,经济和社会效 益巨大。【附图说明】 图1为本专利技术的基于多粒度异常检测的网络威胁评估流程图。 图2为本专利技术的实验测试环境示意图。【具体实施方式】 W下结合附图和具体情况对本专利技术的【具体实施方式】做详细说明。 本专利技术在具体实施中,首先利用基于包的粗粒度异常检测,分析出含有异常网络 流量的时间片;再通过基于流的细粒度异常检测,对异常时间片的网络流量,进行流重组、 提取流特征属性,利用流特征的异常检测算法判断出攻击类型;最后,对检测出的威胁事 件,量化评估当前网络受威胁的严重程度,具体由W下步骤实现: 一、基于包的粗粒度异常检测: 1、在线监听实时网络环境中的数据流量,按照1分钟为时间窗口进行存储,利用 Win化ap在存储的同时提取序号、时间、源IP、目的IP、源端口、目的端口、协议类型和长度 的属性,属性之间用","进行分割; 2、数据包属性统计,对每个数据包提取出源IP属性、目的IP属性、源端口属性、目 的端口属性、字节数属性、协议类型属性,即化cket= (sIP,dip,sPort,dPort,bytes,prot ocol},用概要数据结构对每个时间窗口内运六个属性的统计信息(或称概要信息)进行记 录; 3、特征提取,在时间窗T内,根据所记录的统计信息,利用非广延赌提取出该时间 窗口网络流数据的特征,用特征向量Lt=U。,1t2, ...,表示,n为自然正整数; 4、异常检测,利用随机森林的算法对包的特征进行快速检测,得出异常类型R2L U2R、PRO邸和DOS; 5、记录检查结果,将粗粒度检测中可能存在问题的数据包的时间片名称记录在文 件和威胁态势感知数据库中,供后续细粒度检测组流时使用; 通过基于包的粗粒度异常检测模块后,将时间片分为正常时间片和异常时间片, 对异常时间片进行基于流的细粒度异常检测; 二、基于流的细粒度异常检测 1、流重组,根据粗粒度异常检测的结果,选择当前时间片和邻近时间片内的数据 包,对异常时间片内设及的包进行流重组,W确保完整的流数据被组合到一起,进行流特征 提取; 2、流特征提取,对于异常时间片设及的流,进行属性分析与特征属性提取,形成流 特征文件,用于异常检测,流特征属性是由流特征选择模块经流特征选择,从原始特征集中 选择出的用于攻击流分类的最优的特征子集; 3、细粒度异常检测,通过C4. 5决策树算法(即常规算法)对流特征文件进行检测 判断,判断出每个流是否异常,并将log文件与检测结果写入威胁态势感知数据库;C4. 5决策树算法是一种采用监督学习的算法,给定一个数据集,用一组属性值来 描述每一个元组,每个元组属于一个互斥类别集中的一类,通过C4. 5算法可W找到一个从 属性值到类别的映射关系,且该映射关系能用于对新的元组进行分类。基于C4. 5决策树 算法的异常检测主要包括四个步骤:生成训练集、检测模型训练、生成异常时间片流特征文 件、检测异常流。具体如下:A)对原始训练集进行流特征提取,生成标注了异常类别的流特征训练文件,作为 C4. 5决策树的训练集;B)调用C4. 5训练函数,训练学习得到基于流特征的检测模型。 C)对异常时间片设及的流进行流特征提取,生成待检测的流特征文件。[002引D)调用C4. 5检测函数,对待检测的流特征文件中的流进行异常分类,判断出每个 流的异常类型; 4、检测结果融合与入库,由于不同网络流可能属于同一攻击,因此要将C4. 5决策 树算法检测结果根据攻击融合策略进行融合,得到准确可靠的网络异常状况,将结果存入 log文件与威胁态势感知数据库,用于威胁态势评估与可视化; =、威胁态势评估: 根据一段时间内网络遭受的攻击情况,因一个评估周期,包含多个异常检测时间 片,评估当前时间段内网络威胁严重程度,首先统计威胁态势感知数据库中,该时间段包含 的各时间片的细粒度异常检测结果;然后,计算各威胁态势评估指标;最后得到该时间段 内网络的威胁值,值越大,表明网络当前遭受的威胁其危害程度越严重; 网络威胁值的计本文档来自技高网...
【技术保护点】
一种基于多粒度异常检测的网络威胁评估方法,其特征在于,首先利用基于包的粗粒度异常检测,分析出含有异常网络流量的时间片;再通过基于流的细粒度异常检测,对异常时间片的网络流量,进行流重组、提取流特征属性,利用流特征的异常检测算法判断出攻击类型;最后,对检测出的威胁事件,量化评估当前网络受威胁的严重程度,具体实现方法是:一、基于包的粗粒度异常检测,包括有:在线监听实时网络环境中的数据流量,数据包属性统计,特征提取,异常检测,记录检查结果;通过基于包的粗粒度异常检测模块后,将时间片分为正常时间片和异常时间片,异常时间片进入下一环节,进行基于流的细粒度异常检测;二、基于流的细粒度异常检测,包括有:流重组,流特征提取,细粒度异常检测,检测结果融合与入库;三、威胁态势评估,最后得到时间段内网络的威胁值,值越大,表明网络当前遭受的威胁其危害程度越严重。
【技术特征摘要】
【专利技术属性】
技术研发人员:尹美娟,刘晓楠,罗军勇,邱庆云,唐梓淇,赵志强,
申请(专利权)人:中国人民解放军信息工程大学,
类型:发明
国别省市:河南;41
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。