一种异常网络连接的检测方法及系统技术方案

本发明专利技术涉及一种异常网络连接的检测方法及系统，所述方法包括以下步骤：基于信息系统网络连接样本建立信息系统业务访问模型；所述信息系统业务访问模型包括客户端正常行为模型、服务器正常行为模型和客户端业务访问模式模型；基于所述信息系统业务访问模型识别异常网络连接。所述方法及系统充分利用了任何高级复杂攻击在攻击过程中都将表现为各种类型异常网络连接的特征以及异常检测方法的优点,可以不依赖于传统高级攻击检测中的网络流量攻击特征和恶意代码分析等技术，通过检测出各种异常网络连接，并以异常网络连接为突破点，通过与其它网络安全情报信息进行关联分析，从而可能检测出各种已知和未知的高级复杂攻击。

【技术实现步骤摘要】

本专利技术涉及网络安全
，尤其涉及一种异常网络连接的检测方法及系统。
技术介绍
当前，高级复杂攻击已成为高安全信息系统的重要威胁之一，攻击者通过它可以实现对信息系统的数据窃取、篡改和破坏等目的。高级复杂攻击一般是指那些无法通过传统方法检测出来的网络攻击，它具有变化快、无明显攻击特征等特点。当前，一类检测高级复杂攻击的方法是围绕木马植入阶段，即通过检测木马的网络传播过程来发现高级复杂攻击，典型例子有国外的FireEYE高级攻击检测系统，以及国内360公司的天眼检测系统。但很多高级复杂攻击都是通过社会工程等方法进行木马植入，可能并不通过网络传播木马，因此可能会导致漏报。另一类检测高级复杂攻击的方法是分析现有高级复杂攻击的网络流量，提取出各种网络流量的攻击特征，并基于攻击特征来检测高级复杂攻击，该方法的优点是准确率高，但无法检测到变形和未知的高级复杂攻击。
技术实现思路
鉴于上述的分析，本专利技术旨在提供一种异常网络连接的检测方法及系统，用以解决现有方法存在漏报或无法检测变形和未知的高级复杂攻击的问题。本专利技术的目的主要是通过以下技术方案实现的：一种异常网络连接的检测方法，其特征在于，如图1所示，包括以下步骤：步骤S1、基于信息系统网络连接样本建立信息系统业务访问模型；所述信息系统业务访问模型包括客户端正常行为模型、服务器正常行为模型和客户端业务访问模式模型；步骤S2、基于所述信息系统业务访问模型识别异常网络连接。所述步骤S1进一步包括：步骤S1.1基于网络连接样本基本信息对信息系统中各客户端的网络配置信息进行建模，建立所述客户端正常行为模型；步骤S1.2基于网络连接样本基本信息对信息系统中各服务器的网络配置信息进行建模，建立服务器的网络配置信息模型；基于已标识网络连接类别的网络连接样本，确定用来实现网络连接类型分类的分类特征，建立服务器所支撑业务的网络连接类型分类模型；所述服务器的网络配置信息模型与服务器所支撑业务的网络连接类型分类模型共同构成所述服务器正常行为模型；步骤S1.3基于信息系统中所有客户端访问业务时所表现出来的固定网络访问模式进行建模，建立客户端业务访问模式模型。所述步骤S1.3进一步包括以下步骤：步骤S1.3.1提取指定客户端的每个网络连接样本中指定客户端所连接的服务器端IP地址信息，构造指定客户端的完整网络连接有向图；其中，所述完整网络连接有向图由所有表示从客户端到服务器端的对应网络连接的有向边构成，有向边的起始节点表示客户端，有向边的终止节点表示服务器；步骤1.3.2获取每条有向边所指向的服务器，并获取该服务器所支撑业务的网络连接类型分类模型，对有向边所代表的网络连接类型进行预测，并在有向边上标识出所预测出的网络连接类型；步骤1.3.3按照时间片划分方法对标识了网络连接类型的的完整网络连接有向图进行拆分；步骤1.3.4对拆分得到的时间片网络连接有向图进行简化，得到指定客户端的简化后的时间片网络连接有向图；步骤1.3.5通过对指定客户端的简化后的时间片网络连接有向图进行聚类，识别出该客户端在不同时间片表现出来的各种业务访问固定模式，建立客户端业务访问模式模型。所述步骤S2进一步包括以下步骤：步骤S2.1根据客户端正常行为模型对网络连接进行检测，正常则进入步骤S2.2；步骤S2.2根据服务器正常行为模型对网络连接进行检测，正常则进入步骤S2.3；步骤S2.3根据客户端业务访问模式模型对网络连接进行检测，正常则判断其属于正常网络连接。所述步骤S2.3进一步包括：步骤S2.3.1基于时间片和客户端IP地址信息检查是否存在所述客户端在所述时间片的时间片网络连接有向图；存在则进入步骤S2.3.2；步骤S2.3.2检查所述客户端在所述时间片的时间片网络连接有向图，是否存在与该网络连接样本对应的有向边；存在则进入步骤S2.3.3；步骤S2.3.3检查所预测出的网络连接类型是否与对应有向边上所标识的网络连接类型相符，相符则判断其属于正常网络连接。一种异常网络连接的检测系统，其特征在于，包括业务访问模型建立模块，用于基于信息系统网络连接样本建立信息系统业务访问模型；所述信息系统业务访问模型包括客户端正常行为模型、服务器正常行为模型和客户端业务访问模式模型；异常网络连接识别模块，用于基于所述信息系统业务访问模型识别异常网络连接。所述业务访问模型建立模块进一步包括：客户端正常行为模型建立子模块，用于基于网络连接样本基本信息对信息系统中各客户端的网络配置信息进行建模，建立所述客户端正常行为模型；服务器正常行为模型建立子模块，用于基于网络连接样本基本信息对信息系统中各服务器的网络配置信息进行建模，建立服务器的网络配置信息模型；基于已标识网络连接类别的网络连接样本，确定用来实现网络连接类型分类的分类特征，建立服务器所支撑业务的网络连接类型分类模型；所述服务器的网络配置信息模型与服务器所支撑业务的网络连接类型分类模型共同构成所述服务器正常行为模型；客户端业务访问模式模型建立子模块，用于基于信息系统中所有客户端访问业务时所表现出来的固定网络访问模式进行建模，建立客户端业务访问模式模型。所述客户端业务访问模式模型建立子模块具体用于：提取指定客户端的每个网络连接样本中指定客户端所连接的服务器端IP地址信息，构造指定客户端的完整网络连接有向图；其中，所述完整网络连接有向图由所有表示从客户端到服务器端的对应网络连接的有向边构成，有向边的起始节点表示客户端，有向边的终止节点表示服务器；获取每条有向边所指向的服务器，并获取该服务器所支撑业务的网络连接类型分类模型，对有向边所代表的网络连接类型进行预测，并在有向边上标识出所预测出的网络连接类型；按照时间片划分方法对标识了网络连接类型的的完整网络连接有向图进行拆分；对拆分得到的时间片网络连接有向图进行简化，得到指定客户端的简化后的时间片网络连接有向图；通过对指定客户端的简化后的时间片网络连接有向图进行聚类，识别出该客户端在不同时间片表现出来的各种业务访问固定模式，建立客户端业务访问模式模型。所述异常网络连接识别模块进一步包括：客户端正常行为检测子模块，用于根据客户端正常行为模型对网络连接进行检测；服务器正常行为检测子模块，用于根据服务器正常行为模型对网络连接进行检测；客户端业务访问模式检测子模块，用于根据客户端业务访问模式模型对网络连接进行检测。所述客户端业务访问模式检测子模块具体用于：基于时间片和客户端IP地址信息检查是否存在所述客户端在所述时间片的时间片网络连接有向图；检查所述客户端在所述时间片的时间片网络连接有向图，是否存在与该网络连接样本对应的有向边；检查所预测出的网络连接类型是否与对应有向边上所标识的网络连接类型相符。本专利技术有益效果如下：本专利技术所述方法及系统充分利用了任何高级复杂攻击在攻击过程中都将表现为各种类型异常网络连接的特征以及异常检测方法的优点，使得可以不依赖于传统高级攻击检测中的网络流量攻击特征和恶意代码分析等技术，通过检测出各种异常网络连接，并以异常网络流量为突破点，通过与其它网络安全情报信息进行关联分析，从而可能检测出各种已知和未知的高级复杂攻击。本专利技术的其他特征和优点将在随后的说明书中阐述，并且，部分的从说明书中变得显而易见，或者通过实施本专利技术而了解。本文档来自技高网...

【技术保护点】
一种异常网络连接的检测方法，其特征在于，包括以下步骤：步骤S1、基于信息系统网络连接样本建立信息系统业务访问模型；所述信息系统业务访问模型包括客户端正常行为模型、服务器正常行为模型和客户端业务访问模式模型；步骤S2、基于所述信息系统业务访问模型识别异常网络连接。

【技术特征摘要】
1.一种异常网络连接的检测方法，其特征在于，包括以下步骤：步骤S1、基于信息系统网络连接样本建立信息系统业务访问模型；所述信息系统业务访问模型包括客户端正常行为模型、服务器正常行为模型和客户端业务访问模式模型；步骤S2、基于所述信息系统业务访问模型识别异常网络连接。2.根据权利要求1所述的异常网络连接的检测方法，其特征在于，所述步骤S1进一步包括：步骤S1.1基于网络连接样本基本信息对信息系统中各客户端的网络配置信息进行建模，建立所述客户端正常行为模型；步骤S1.2基于网络连接样本基本信息对信息系统中各服务器的网络配置信息进行建模，建立服务器的网络配置信息模型；基于已标识网络连接类别的网络连接样本，确定用来实现网络连接类型分类的分类特征，建立服务器所支撑业务的网络连接类型分类模型；所述服务器的网络配置信息模型与服务器所支撑业务的网络连接类型分类模型共同构成所述服务器正常行为模型；步骤S1.3基于信息系统中所有客户端访问业务时所表现出来的固定网络访问模式进行建模，建立客户端业务访问模式模型。3.根据权利要求2所述的异常网络连接的检测方法，其特征在于，所述步骤S1.3进一步包括以下步骤：步骤S1.3.1提取指定客户端的每个网络连接样本中指定客户端所连接的服务器端IP地址信息，构造指定客户端的完整网络连接有向图；其中，所述完整网络连接有向图由所有表示从客户端到服务器端的对应网络连接的有向边构成，有向边的起始节点表示客户端，有向边的终止节点表示服务器；步骤1.3.2获取每条有向边所指向的服务器，并获取该服务器所支撑业务的网络连接类型分类模型，对有向边所代表的网络连接类型进行预测，并在有向边上标识出所预测出的网络连接类型；步骤1.3.3按照时间片划分方法对标识了网络连接类型的的完整网络连接有向图进行拆分；步骤1.3.4对拆分得到的时间片网络连接有向图进行简化，得到指定客户端的简化后的时间片网络连接有向图；步骤1.3.5通过对指定客户端的简化后的时间片网络连接有向图进行聚类，识别出该客户端在不同时间片表现出来的各种业务访问固定模式，建立客户端业务访问模式模型。4.根据权利要求1-3任一所述的异常网络连接的检测方法，其特征在于，所述步骤S2进一步包括以下步骤：步骤S2.1根据客户端正常行为模型对网络连接进行检测，正常则进入步骤S2.2；步骤S2.2根据服务器正常行为模型对网络连接进行检测，正常则进入步骤S2.3；步骤S2.3根据客户端业务访问模式模型对网络连接进行检测，正常则判断其属于正常网络连接。5.根据权利要求4所述的异常网络连接的检测方法，其特征在于，所述步骤S2.3进一步包括：步骤S2.3.1基于时间片和客户端IP地址信息检查是否存在所述客户端在所述时间片的时间片网络连接有向图；存在则进入步骤S2.3.2；步骤S2.3.2检查所述客户端在所述时间片的时间片网络连接有向图，是否存在与该网络连接样本对应的有向边；存在则进入步骤S2.3.3；步骤S2.3.3检查所预测出的网络连接类型是否与对应有向边上所标识的网...

【专利技术属性】
技术研发人员：翟胜军，郑重，
申请(专利权)人：北京赛博兴安科技有限公司，
类型：发明
国别省市：北京;11