本发明专利技术公开了一种基于流量异常及特征分析的攻击行为检测方法,主要解决现有检测技术中无法防范来自未知漏洞攻击和攻击特征库增大导致匹配效率降低的问题。其技术方案是:1.获取网络流量;2.计算网络流量的赫斯特指数,若赫斯特指数大于报警阈值,则认为未受到攻击,若赫斯特指数小于报警阈值,则对赫斯特指数小于报警阈值的疑似攻击流量做攻击流量特征字串匹配:若匹配不成功,则认为未受到攻击,若匹配成功,则认为受到攻击,对用户进行报警。本发明专利技术能有效拦截攻击者针对未知漏洞的攻击,且效率较高,可用于保护网络安全。
【技术实现步骤摘要】
本专利技术属于网络安全
,特别涉及攻击行为检测方法,可用于保护网络安 全。
技术介绍
近年来,互联网技术得到快速发展,上网已经是人们日常工作和生活中必不可少 的一部分,各种新兴应用如电子邮件,网上购物,网络社交,网络游戏等已经成为人们办公、 消遣中的重要选择。这些新兴事物在为用户带来方便的同时,也带来了新的安全隐患。首 先,所有的新兴网络应用都需要用户管理自己的账号和密码,这些信息一旦被人窃取,用户 的隐私及虚拟数据将损失惨重;其次,在一些需要网上支付的场景中,用户往往需要将自己 的银行卡资料上传,这些资料若被不法分子窃取,后果将不堪设想。 针对上述问题,目前已经有了很多解决方案,如杀毒软件、网络防火墙等。这些防 护措施可以在一定程度上解决用户的安全需求,但是其核心功能的实现是基于以往的攻击 特征库的,这种方式的缺点有:(1)当攻击者针对未知漏洞进行攻击时,这类防护措施就失 效了; (2)随着时间的推移,攻击行为特征库的体积将会越来越大,拦截攻击的效率也会越 来越低。
技术实现思路
本专利技术的目的在于提出一种,以解 决现有检测技术中无法防范来自未知漏洞的攻击和攻击特征库体积增大导致的拦截攻击 效率降低的问题。 实现本方法的主要思想是:通过对流经网卡的流量进行统计,计算流量序列的赫 斯特指数判断流量是否符合自相似特性:若流量序列符合自相似特性,则认为未受到攻击, 继续进行下一个时刻的判断,若流量序列不符合自相似特性,则认为疑似受到攻击,使用攻 击流量特征库对疑似攻击流量数据包进行匹配:若匹配成功,则认为受到攻击,对用户进行 报警,若匹配不成功,则认为未受到攻击,进行下一个时刻的判断。 根据以上思路,本专利技术的技术方案包括: (1)获取网络流量; (2)计算网络流量的赫斯特指数: 2a)设置采样间隔n,依据单位时间内流经网络适配器A的流量序列X = (X11 i = 1,2,. . .,η},求出流量序列X的均值$ ; 2b)设置时移系数k,依据流量序列X的均值计算时移系数为k的流量序列的自协 方差yk、方差γ。及时移系数为k的流量序列的自相关系数p k; 2c)设置赫斯特指数初始值Η。及迭代终止值s,并利用2b)中选择的时移系数k和 计算出来的自相关系数Pk带入迭代公式:进行计算,得到赫 斯特指数H,其中,m表示迭代次数且m多O ; 2d)设置报警阈值q,并将赫斯特指数H与设置的报警阈值q进行比较:若H彡q, 则流量序列X不符合自相似特性,判断为存在疑似攻击流量,执行步骤(3),若H>q,则此流 量序列符合自相似特性,判断为不存在疑似攻击流量,返回步骤(1); (3)对疑似攻击流量做攻击流量特征分析: 3a)使用网络封包分析软件对疑似攻击流量进行解包,获取数据包中的数据字段, 并将其保存到本地文件D中; 3b)使用攻击流量特征库L中的攻击流量特征字串c对本地文件D中的数据字段 进行匹配,若匹配成功,则判断为受到攻击,对用户进行报警,否则,认为未受到攻击,返回 步骤(1)。 本专利技术与现有技术相比具有如下优点: 1.由于本专利技术使用网络流量的自相似特性对是否受到攻击进行判断,因此可以避 免传统方案对攻击者针对未知漏洞进行攻击时无法拦截的问题。 2.由于本专利技术使用网络流量特征对是否受到攻击进行判断,因此可以避免攻击行 为特征库体积增大导致的匹配效率降低的问题。【附图说明】 图1本专利技术的实现总流程图; 图2是本专利技术中计算网络流量的赫斯特指数子流程图。【具体实施方式】 参照图1,本专利技术的实现步骤如下: 步骤1,获取网络流量。 目前,获取网络流量的方法有很多,使用如防火墙钩子,divert socket和基于NPF 驱动的截获方法等等,其中,防火墙钩子方法和divert socket方法均在在TCP/IP协议栈 的IP层截获数据包并进行流量统计,这些数据包由于经过了部分协议栈,其数据完整性得 不到保证,而基于NPF驱动的截获方法能够直接对物理链路上的数据包进行截获并进行流 量统计,因此本实例使用基于NPF驱动的Windows网络底层访问工具winpcap进行网络流 量统计,其实现步骤如下: la)使用winpcap打开需要检测的网络适配器A,设置网络适配器A的统计模式为 混杂模式,并为A配置过滤器F ; Ib)对通过网络适配器A的数据包进行截获,并根据数据包的长度信息,统计单位 时间内流经网络适配器A的网络流量。 步骤2,计算网络流量的赫斯特指数。 参照图2,本步骤的实现如下: 2a)设置采样间隔n,依据单位时间内流经网络适配器A的流量序列X = (X11 i = 1,2,. . .,η},使用公式:A计算流量序列的均值其中采样间隔η的取值范围为 /? / -I 10-500,若设置大的采样间隔则算法的灵敏度降低,同时检测误报率也降低,若设置小的采 样间隔则算法的灵敏度升高,但是检测误报率也会升高,此值可根据实际需要和网络环境 进行设置,本实例采用默认值100 ; 2b)设置时移系数k,使用现有的公式计算时移系数 为k的流量序列的自协方差yk和方差γ。: 若k不为0,则计算结果为时移系数为k时的自协方差yk, 若k为0,则计算结果为方差γ。, 根据自协方差yk和方差γ。计算流量序列的自相关系数,其中时移系 /0 数k的取值范围为0-9,时移系数越大,算法越灵敏,但同时检测误报率也越高,时移系数 越小,算法灵敏度降低,但同时检测误报率也越低,此值可根据实际需要和网络环境进行设 置,本实例使用默认值7; 2c)设置赫斯特指数初始值H。= 0. 5及迭代终止值s, 其中,迭代终止值s的取值范围为0. 0001-0. 005,若迭代终止值s的值越小,则攻 击行为检测的误报率越低,但计算速度也会降低,若迭代终止值s的值越大,则攻击行为检 测的误报率越高,但计算速度也会提升,此值可根据实际需要和网络环境进行设置,本实例 使用迭代终止值当前第1页1 2 本文档来自技高网...
【技术保护点】
一种基于流量异常及特征分析的攻击行为检测方法,包括以下三个步骤:(1)获取网络流量;(2)计算网络流量的赫斯特指数:2a)设置采样间隔n,依据单位时间内流经网络适配器A的流量序列X={Xi|i=1,2,...,n},求出流量序列X的均值2b)设置时移系数k,依据流量序列X的均值计算时移系数为k的流量序列的自协方差γk、方差γ0及时移系数为k的流量序列的自相关系数ρk;2c)设置赫斯特指数初始值H0及迭代终止值s,并利用2b)中选择的时移系数k和计算出来的自相关系数ρk带入迭代公式:进行计算,得到赫斯特指数H,其中,m表示迭代次数且m≥0;2d)设置报警阈值q,并将赫斯特指数H与设置的报警阈值q进行比较:若H≤q,则流量序列X不符合自相似特性,判断为存在疑似攻击流量,执行步骤(3),若H>q,则此流量序列符合自相似特性,判断为不存在疑似攻击流量,返回步骤(1);(3)对疑似攻击流量做攻击流量特征分析:3a)使用网络封包分析软件对疑似攻击流量进行解包,获取数据包中的数据字段,并将其保存到本地文件D中;3b)使用攻击流量特征库L中的攻击流量特征字串c对本地文件D中的数据字段进行匹配,若匹配成功,则判断为受到攻击,对用户进行报警,否则,认为未受到攻击,返回步骤(1)。...
【技术特征摘要】
【专利技术属性】
技术研发人员:庞辽军,曹潮,
申请(专利权)人:西安电子科技大学,
类型:发明
国别省市:陕西;61
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。