本发明专利技术实施例提供了一种对网络行为进行安全分析的方法和装置。该方法主要包括:利用聚类算法对网络中的各种网络行为进行自学习得到网络行为秩序链,所述网络行为秩序链中包括各个安全的网络行为,每个网络行为中包括会话五元组;判断待识别的网络行为是否存在于所述网络行为秩序链中,如果是,则确定所述待识别的网络行为是安全的;否则,通过设定的安全策略判断所述待识别的网络行为是否安全。本发明专利技术实施例提供了一种基于网络秩序的网络行为安全分析的方法及装置,使得能够有效地验证出网络行为是安全或者非安全的,能够有效地检测出网络攻击行为,以保证网络应用的安全性与可靠性,给网络用户一个安全、可靠的网络应用环境。
【技术实现步骤摘要】
本专利技术涉及网络安全
,尤其涉及一种对网络行为进行安全分析的方法和 目.0
技术介绍
目前,我们已经身处信息时代,计算机和网络已经成为各类组织不可或缺的工具,信息成为组织赖以生存的重要资产,其价值与日俱增,与此同时也面临各种各样、越来越多的安全威胁。病毒破坏、黑客攻击、网络欺诈、重要信息资料丢失、信息系统瘫痪以及利用计算机网络实施的各种犯罪行为层出不穷、防不胜防。根据CSI/FBI的Computer Crime andSecurity Survey2010中的统计,50%的组织至少发生了一次信息安全事故。信息资产一旦遭到破坏,将给组织带来直接的经济损失,并导致组织的声誉和公众形象受到损害,使组织丧失市场机会和竞争力,甚至威胁组织的生存。因此,组织必须解决信息安全问题,有效保护信息资产。目前,现有的网络行为安全分析技术的发展有三大方向,一是流量统计和阈值检测技术;二是源与目的主机可信性验证技术;三是分布与特征检测技术。上述现有的网络行为安全分析技术的缺点为:存在较大的误报率、不能全面检测异常流量攻击、特征检测性能不尚。
技术实现思路
本专利技术的实施例提供了一种对网络行为进行安全分析的方法和装置,以实现对网络行为进行有效的安全分析。为了实现上述目的,本专利技术采取了如下技术方案。根据本专利技术的一个方面,提供了一种对网络行为进行安全分析的方法,包括:利用聚类算法对网络中的各种网络行为进行自学习得到网络行为秩序链,所述网络行为秩序链中包括各个安全的网络行为,每个网络行为中包括会话五元组;判断待识别的网络行为是否存在于所述网络行为秩序链中,如果是,则确定所述待识别的网络行为是安全的;否则,通过设定的安全策略判断所述待识别的网络行为是否安全。优选地,所述的方法还包括:在网络结构秩序初始化阶段,根据先验知识得到可信域中的各个主机的IP地址和端口号,以及不可信域中的各个主机的IP地址和端口号,将可信域中的各个主机的IP地址和端口号保存到初始的白名单中,将不可信域中的各个主机的IP地址和端口号保存到初始的灰名单中,并且,设置初始的黑名单为空。优选地,所述的利用聚类算法对网络中的各种网络行为进行自学习得到网络行为秩序链,所述网络行为秩序链中包括各个安全的网络行为,每个网络行为中包括会话五元组,包括:从待聚类的所有网络主机中任意选择设定数量个对象作为初始聚类中心,以每个初始聚类中心为一簇,依次选取剩下的各个待聚类的网络主机,计算出待聚类的网络主机与各初始聚类中心之间的相似度,将待聚类的网络主机归纳于最小的组合距离对应的初始聚类中心所在的簇,依次类推,依次将所有待聚类的网络主机分别归纳于对应的簇中,完成第一轮网络主机聚类;用各簇的均值元组代替当前簇的聚类中心,按照所述第一轮网络主机聚类的过程,进行第二轮的网络主机聚类,依次类推,每轮网络主机聚类结束后,用各簇的均值网络主机代替当前簇的聚类中心,并进行下一轮的网络主机聚类,直至最终所有网络主机所属的簇不再发生改变,则聚类结束;在所述聚类过程结束以后,将各个簇的最终的聚类中心作为该簇中的所有网购主机的代表,一个网络行为中主要包括会话五元组,即源IP地址、目的IP地址、源端口、目的端口、协议号,所述各个簇的最终的聚类中心分别对应一个簇的最终的网络行为,运用关联分析算法关联多个网络行为形成一条网络行为秩序链。优选地,所述的判断待识别的网络行为是否存在于所述网络行为秩序链中之前还包括:针对待识别的网络行为,获取该网络行为中包括的会话五元组,即源IP地址、目的IP地址、源端口、目的端口、协议号,将网络行为中包括的源IP地址、目的IP地址与白名单、黑名单中的主机比较;如果网络行为中包括的源IP地址、目的IP地址在白名单中,则确定该网络行为是安全的,放行该网络行为,流程结束;如果网络行为中包括的源IP地址、目的IP地址在黑名单中,则确定该网络行为是不安全的,阻断该网络行为,流程结束。优选地,所述的判断待识别的网络行为是否存在于所述网络行为秩序链中,如果是,则确定所述待识别的网络行为是安全的;否则,通过设定的安全策略判断所述待识别的网络行为是否安全,包括:将待识别的网络行为与网络行为秩序链中的网络行为进行比较,如果待识别的网络行为与网络行为秩序链中的网络行为相同,则确定该网络行为是安全的,放行该网络行为;如果待识别的网络行为与网络行为秩序链中的网络行为不相同,则统计特定时间段内所述待识别的网络行为的个数,当该个数不大于预先设定的攻击阈值,则放行该网络行为,将该网络行为中的IP地址与端口号保存到灰名单中;当该个数大于预先设定的攻击阈值,则阻断该网络行为,将该网络行为中的IP地址与端口号保存到黑名单中。根据本专利技术的另一个方面,提供了一种对网络行为进行安全分析的装置,包括:网络行为秩序链获取模块,用于利用聚类算法对网络中的各种网络行为进行自学习得到网络行为秩序链,所述网络行为秩序链中包括各个安全的网络行为,每个网络行为中包括会话五元组;网络行为安全分析模块,用于判断待识别的网络行为是否存在于所述网络行为秩序链中,如果是,则确定所述待识别的网络行为是安全的;否则,通过设定的安全策略判断所述待识别的网络行为是否安全。优选地,所述的装置还包括:主机白、灰和黑名单初始设置模块,用于在网络结构秩序初始化阶段,根据先验知识得到可信域中的各个主机的IP地址和端口号,以及不可信域中的各个主机的IP地址和端口号,将可信域中的各个主机的IP地址和端口号保存到初始的白名单中,将不可信域中的各个主机的IP地址和端口号保存到初始的灰名单中,并且,设置初始的黑名单为空。优选地,所述的网络行为秩序链获取模块,具体用于从待聚类的所有网络主机中任意选择设定数量个对象作为初始聚类中心,以每个初始聚类中心为一簇,依次选取剩下的各个待聚类的网络主机,计算出待聚类的网络主机与各初始聚类中心之间的相似度,将待聚类的网络主机归纳于最小的组合距离对应的初始聚类中心所在的簇,依次类推,依次将所有待聚类的网络主机分别归纳于对应的簇中,完成第一轮网络主机聚类;用各簇的均值元组代替当前簇的聚类中心,按照所述第一轮网络主机聚类的过程,进行第二轮的网络主机聚类,依次类推,每轮网络主机聚类结束后,用各簇的均值网络主机代替当前簇的聚类中心,并进行下一轮的网络主机聚类,直至最终所有网络主机所属的簇不再发生改变,则聚类结束;在所述聚类过程结束以后,将各个簇的最终的聚类中心作为该簇中的所有网购主机的代表,一个网络行为中主要包括会话五元组,即源IP地址、目的IP地址、源端口、目的端口、协议号,所述各个簇的最终的聚类中心分别对应一个簇的最终的网络行为,运用关联分析算法关联多个网络行为形成一条网络行为秩序链。优选地,所述的网络行为安全分析模块,还用于针对待识别的网络行为,首先获取该网络行为中包括的会话五元组,即源IP地址、目的IP地址、源端口、目的端口、协议号,将网络行为中包括的源IP地址、目的IP地址与白名单、黑名单中的主机比较;如果网络行为中包括的源IP地址、目的IP地址在白名单中,则确定该网络行为是安全的,放行该网络行为,流程结束;如果网络行为中包括的源IP地址、目的IP地址在黑名单中,则确定该网络行当前第1页1 2 3&nbs本文档来自技高网...
【技术保护点】
一种对网络行为进行安全分析的方法,其特征在于,包括:利用聚类算法对网络中的各种网络行为进行自学习得到网络行为秩序链,所述网络行为秩序链中包括各个安全的网络行为,每个网络行为中包括会话五元组;判断待识别的网络行为是否存在于所述网络行为秩序链中,如果是,则确定所述待识别的网络行为是安全的;否则,通过设定的安全策略判断所述待识别的网络行为是否安全。
【技术特征摘要】
【专利技术属性】
技术研发人员:张洁,
申请(专利权)人:北京东方棱镜科技有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。