本发明专利技术公开了一种基于网络流量元数据的安全分析框架,该安全分析框架由数据层、分析层、支撑层和展示层构成,通过网络流量中与用户、应用、位置、操作、时间相关元数据的获取、预处理和存储,在支撑层中关键技术、核心算法、辅助资源和模型库支持下,实现对网络元数据进行安全分析和展现。本发明专利技术通过采集网络流量并提取流量元数据,采用大数据技术检测网络流量中存在的疑似恶意攻击,可提高恶意攻击检测的准确性和应急响应时间,有效的保障了IT环境的安全性;既能为网络大数据的深入安全分析提供理论依据和指导方法,又能为恶意未知攻击检测、攻击溯源和取证分析、网络安全态势感知等方面带来重要价值。
【技术实现步骤摘要】
本专利技术涉及计算机网络信息安全
,具体地说是一种基于网络流量元数据的安全分析框架。
技术介绍
随着网络通信技术的迅速发展、互联网应用的持续深化、所承载信息的日益丰富,互联网已经成为人类社会重要的基础设施。但网络中配置错误,DDoS攻击、蠕虫爆发、高级持续性威胁等定向攻击时有发生,互联网面临着严峻的安全挑战。异常检测因为能检测未知攻击而被学术界和工业界人士所重视,研宄者提出了大量异常检测方法和系统,但是网络带宽的持续增长和网络攻防博弈的持续进行,网络本身处于动态演化的过程,网络攻击手段和方法也在不断演化,导致异常检测在检测精度、运行效率、安全性和易用性方面面临着严峻挑战。随着高级持续性威胁APT成为当前信息安全业界的热点,由于APT所特有的攻击行为特征以及与传统网络攻击方式存在显著区别而使得传统基于特征签名的入侵检测不能有效检测和防御诸如APT的未知定向攻击。同样,APT攻击对传统检测技术提出了巨大挑战。总之,面对APT等未知定向攻击的挑战,当前网络安全防御体系存在以下局限性:网络攻击的检测方法大部分基础已知的知识和特征,缺乏对未知威胁的感知能力;网络攻击的检测点滞后,通常都是在攻击已经发生才能有效检测到威胁;网络攻击的检测模式普遍是基于实时时间点,缺乏对各类安全事件的智能化回溯和关联分析能力。大数据时代的到来,为检测和防御如APT的未知攻击提出了新的思路和方法。大数据对安全领域研宄人员的重要价值是通过对海量数据的捕获和异常分析,来快速持续了解攻击者的最新动态,掌握大范围安全态势感知的能力,并可随时利用这些数据回溯重大安全事件的历史脉络,快速评估并给出整个网络的各处安全薄弱点。基于此,提出基于网络流量元数据的安全分析框架。
技术实现思路
本专利技术的技术任务是提供一种基于网络流量元数据的安全分析框架。本专利技术的技术任务是按以下方式实现的,该安全分析框架由数据层、分析层、支撑层和展示层构成,通过网络流量中与用户、应用、位置、操作、时间相关元数据的获取、预处理和存储,在支撑层中关键技术、核心算法、辅助资源和模型库支持下,实现对网络元数据进行安全分析和展现。所述的数据层包括数据获取、数据预处理和数据存储三个部分,其中数据获取通过网络流量方式、应用程序接口 API方式、非API方式、SNMP及其他方式获取数据,从DNS、HTTP、FTP、SMTP协议中分析并提取与网络、人员、应用、会话、位置、操作、时间相关的元数据;数据预处理包括数据清洗、泛化、打标和关联,为后续存储和分析提供规范化保障;数据存储通过关系型数据库或者非关系型数据库存储多类型数据。所述的分析层通过五个维度对网络元数据进行安全分析: 恶意未知攻击检测:采用全流量数据存储检测、未知木马控制通道识别、可疑间歇性木马心跳识别、敏感数据回传通道识别、应用层对象还原攻击场景检测和重建技术,基于网络元数据,检测网络流量中疑似恶意未知攻击; 异常流量分析:根据网络流量模型,发现当前网络环境中是否存在异常流量;分析定位异常流量的根源、类型及具体的主机位置;利用现有资源和网络安全策略,及时实现对异常流量的管理和控制,消除异常流量对网络和业务正常运转的影响; 安全事件分析:根据安全事件之间的关联性,利用关联分析和聚类分析技术,分析各个安全事件之间以及安全事件与运行环境之间的有效关联,将原来相对孤立的网络安全事件数据进行处理,通过过滤、聚合,去伪存真,发现隐藏在这些数据之后的事件之间的真实联系; 攻击溯源和取证分析:通过包标记、网络日志技术追踪溯源攻击主机、攻击控制主机、攻击者和攻击组织机构,同时利用数据采集技术把所有与攻击相关的证据进行收集整理并安全存储,作为取证分析的数据源,进行海量网络元数据的取证分析,挖掘攻击的行为模式、评估影响和损失,为打击攻击提供证据数据; 网络安全态势感知分析:从整体上动态反映网络安全状况并对网络安全的发展趋势进行预测;结合多源异构日志数据包括网络与安全设备日志、网络运行情况信息、业务与应用的日志记录,利用支撑层中的资源库,实现对网络安全态势感知分析,获得当前网络安全的整体状况,为预测和判断风险发展趋势提供指导。所述的支撑层由技术支撑、核心算法支撑、资源支撑和模型支撑四部分组成; 技术支撑:包括机器学习、分布式并行处理、数据挖掘、流量识别、深度网络报文检测技术、可疑间歇性木马心跳连接识别技术、敏感数据回传通道识别技术、网络攻击追踪溯源技术以及可视化技术,这些支撑技术为整个框架提供技术保障; 核心算法支撑:包括网络安全分析所需的算法,如异常流量识别算法、恶意未知攻击检测算法、网络取证分析算法、风险评估算法; 资源支撑:包括为支持网络安全分析所需要的资源库,如资产库、病毒/木马库、黑白名单、与网络和应用相关的资源特征库、漏洞库、内部和外部安全威胁情报库; 模型支撑:对分析对象,如恶意未知攻击、用户行为、异常通信模式提供模型库,根据网络元数据经过特征提取,构建相应的模型。所述的展示层直接面对用户,作为技术与应用之间的桥梁,与分析层互相映射,包括恶意未知攻击展示、异常流量展示、安全事件展示、攻击溯源和取证展示、网络安全态势展示,将分析结果进行展示。本专利技术的一种基于网络流量元数据的安全分析框架和现有技术相比,通过采集网络流量并提取流量元数据,采用大数据技术检测网络流量中存在的疑似恶意攻击,可提高恶意攻击检测的准确性和应急响应时间,有效的保障了 IT环境的安全性;既能为网络大数据的深入安全分析提供理论依据和指导方法,又能为恶意未知攻击检测、攻击溯源和取证分析、网络安全态势感知等方面带来重要价值。【附图说明】附图1为一种基于网络流量元数据的安全分析框架的组成示意图。【具体实施方式】实施例1: 该安全分析框架由数据层、分析层、支撑层和展示层构成,通过网络流量中与用户、应用、位置、操作、时间相关元数据的获取、预处理和存储,在支撑层中关键技术、核心算法、辅助资源和模型库支持下,实现对网络元数据进行安全分析和展现。所述的数据层包括数据获取、数据预处理和数据存储三个部分,其中数据获取通过网络流量方式、应用程序接口 API方式、非API方式、SNMP及其他方式获取数据,从DNS、HTTP、FTP、SMTP协议中分析并提取与网络、人员、应用、会话、位置、操作、时间相关的元数据;数据预处理包括数据清洗、泛化、打标和关联,为后续存储和分析提供规范化保障;数据存储通过关系型数据库或者非关系型数据库存储多类型数据。所述的分析层通过五个维度对网络元数据进行安全分析: 恶意未知攻击检测:采用全流量数据存储检测、未知木马控制通道识别、可疑间歇性木马心跳识别、敏感数据回传通道识别、应用层对象还原攻击场景检测和重建技术,基于网络元数据,检测网络流量中疑似恶意未知攻击; 异常流量分析:根据网络流量模型,发现当前网络环境中是否存在异常流量;分析定位异常流量的根源、类型及具体的主机位置;利用现有资源和网络安全策略,及时实现对异常流量的管理和控制,消除异常流量对网络和业务正常运转的影响; 安全事件分析:根据安全事件之间的关联性,利用关联分析和聚类分析技术,分析各个安全事件之间以及安全事件与运行环境之间的有效关联,将原来相对孤立的网络安全事件数据进本文档来自技高网...
【技术保护点】
一种基于网络流量元数据的安全分析框架,其特征在于,该安全分析框架由数据层、分析层、支撑层和展示层构成,通过网络流量中与用户、应用、位置、操作、时间相关元数据的获取、预处理和存储,在支撑层中关键技术、核心算法、辅助资源和模型库支持下,实现对网络元数据进行安全分析和展现。
【技术特征摘要】
【专利技术属性】
技术研发人员:李清玉,颜斌,
申请(专利权)人:浪潮电子信息产业股份有限公司,
类型:发明
国别省市:山东;37
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。