本发明专利技术属于网络安全技术领域,特别是一种检测内部用户攻击行为的网络安全防护方案。本发明专利技术步骤:构造网络已知攻击的特征的数据库,分析内部网络通信流特征,分析通信数据包特征,确定攻击类型;利用蜜罐技术跟踪未知攻击类型的数据包行为,确定数据包危害性,提取数据包特征值,存储特征数据库中。本发明专利技术能够全方位的有效保护内部网络安全,内部人员实施的攻击无论是传统类型还是未知类型,都可以被及时发现、及时报警,及时断开攻击的途径。从而使组织避免遭受到重大的损失。
【技术实现步骤摘要】
【技术保护点】
一种检测内部用户攻击行为的网络安全防护方案,其特征在于步骤如下: 步骤1:构造网络可能遭遇到的所有攻击数据包类型的攻击特征向量的集合; 利用现有的国防专利201318000561.8中所述的攻击特征集合,构造网络可能遭遇到的所有攻击类型的攻击特征向量; SC=(SC1,SC2,SC3) 其中,SC表示集合中攻击类型的特征向量,SC1表示集合中的攻击数据包字节分布,SC2表示集合中攻击数据包请求类型,SC3表示集合中攻击数据包响应代码; 步骤2:获取内部网络当前每个通信数据流; 利用现有网络数据流监控捕获技术,捕获当前的内部网络中的所有通信数据流; 步骤3:分析当前每个通信数据流状况; 利用现有网络分析嗅探技术,分析当前每个内部网络通信数据流的状况,包括会话时长、发送数据包总量以及接收数据包总量; C=(C1,C2,C3) 其中,C表示当前通信数据流的状况,C1表示当前通信数据流的会话时长,C2表示当前通信数据流的发送数据包总量,C3表示当前通信数据流的接收数据包总量; 步骤4:基于当前通信数据流的状况,确定当前通信数据流合法可能性; 基于当前通信数据流的状况,确定当前通信数据流的合法性: 其中,Wi表示当前通信数据流状况值Ci在正常通信数据流状况值域内的权重值,Wmax表示合法通信数据流状况值域的上限值,T表示当前通信数据流合法性可能值,所述T的取值包括1,0; 步骤5:基于当前合法通信数据流的情况,正常转发当前通信数据流; 基于当前合法通信数据流的情况,利用现有通信数据流转发技术,正常转发当前通信数据流; 步骤6:基于当前可疑通信数据流的情况,分析当前通信数据流中的数据包,构造当前数据包的证据体,依据所有数据包类型的攻击特征集合,确定当前通信数据流属于的攻击类型; 基于当前可疑通信数据流的情况,利用国防专利201318000561.8所述的分析方法,分析当前通信数据流中的数据包,构造当前数据包的证据体,包括字节分布、请求类型、响应代码; S=(S1,S2,S3) 其中,S表示当前可疑通信数据流的攻击特征向量,S1表示当前可疑通信数据流的攻击数据包字节分布,S2表示当前可疑通信数据流的攻击数据包请求类型,S3表示当前可疑通信数据流的攻击数据包响应代码; 基于步骤1所述的攻击数据包类型的攻击特征向量,依据国防专利201318000561.8所述的特征值匹配方法,确定当前通信数据流与步骤1所述集合中各攻击特征向量匹配度,确定通信数据流属于的攻击类型: 其中,D表示当前可疑通信数据流中数据包证据体与步骤1所述集合中各攻击特征向量的夹角余弦值; 步骤6中: 基于当前可疑通信数据流中数据包证据体与步骤1所述集合中各攻击特征向量的夹角余弦值D,依据国防专利201318000561.8所述的数据流攻击类型分配方案,确定当前可疑通信数据流攻击类型分配 可疑通信数据流攻击类型 当0<=D<=Ri属于i类攻击特征 当D<0∪D>Ri不属于i类攻击特征 其中,Ri表示攻击数据包类型的攻击特征向量的集合中攻击向量的夹角值域上限; 步骤7:基于确定攻击类型的可疑通信数据流的情况,阻断当前通信数据流的通信; 基于确定攻击类型的可疑通信数据流的情况,利用现有的通信数据流拦截技术,阻断当前通信数据流通信; 步骤8:基于当前未知攻击类型的可疑通信数据流的情况,记录当前通信数据流的通信行为,确定当前通信数据流非法的可能性; 基于当前未知攻击类型的可疑通信数据流的情况,利用现有的蜜罐技术,跟踪、记录当前通信数据流的通信行为,确定当前通信数据流非法与否; 步骤9:基于当前未知攻击类型的非法通信数据流的情况,分析当前通信数据流中的数据包,构造当前数据包的攻击特征,补充至步骤1所述的攻击特征向量集合中; 基于当前未知攻击类型的非法通信数据流的情况,利用现有数据包分析技术,分析当前未知攻击类型的非法通信数据流中的数据包,构造当前数据包的证据体,包括字节分布、请求类型、响应代码,补充至攻击特征集合中: SCi=(S1,S2,S3) 其中,SCi表示当前未知攻击类型的非法通信数据流的攻击特征向量,S1表示当前未知攻击类型的非法通信数据流的攻击数据包字节分布,S2表示当未知攻击类型的非法通信数据流的攻击数据包请求类型,S3表示未知攻击类型的非法通信数据流的攻击数据包响应代码。...
【技术特征摘要】
【专利技术属性】
技术研发人员:向宏,匡蕾,李思遥,胡兵,王磊,谢锦睿,
申请(专利权)人:重庆大学,
类型:发明
国别省市:重庆;85
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。