本发明专利技术公开了一种基于流量白名单的异常流量检测方法,具体包括以下步骤:S1:模拟测试期间:S1‑1:新建任务模板,定义合规通信规则集合,S1‑2:监听模拟测试期间网络流量,建立流量白名单,S2:基于模拟测试期间建立的流量白名单,在网络实际运行过程中,捕获网络数据包,从数据包中分析提取出网络八元组信息,对实时捕获的每一条网络流量进行比较判断,发现实际网络流量中隐存的异常流量;可以判定网络会话是正常的,还是来自于异常的网络行为。
【技术实现步骤摘要】
一种基于流量白名单的异常流量检测方法
本专利技术涉及一种检测方法,具体是一种基于流量白名单的异常流量检测方法。
技术介绍
当前,针对网络面临的安全威胁,包括病毒、木马、垃圾邮件等,常用的防护方法包括黑名单技术、白名单技术和行为检测技术等。行为检测技术是通过检查代码的特征和规律来评估代码的风险,签名和基于异常行为的安全机制也属于行为安全技术的一种。根据其行为模式被认为可能构成威胁的某些文件和程序将被阻止。对于那些没有被归类为“好”或“坏”的程序或者文件,则可以采用行为安全技术,该技术是发现新威胁(在发生攻击之前)的有效但不完美的方法。黑名单是一种防止已知恶意程序运行或者防止已知垃圾邮件发送者和其他不受欢迎的发件人向用户发送邮件的简单有效的方法,更新黑名单可以通过更新服务器来快速实现,大多数防病毒程序使用的就是黑名单技术来阻止已知威胁,垃圾邮件过滤器往往需要依赖于黑名单技术。黑名单技术只在某些应用中能够发挥良好作用,并且要确保黑名单内容的准确性和完整性。白名单技术的宗旨是不阻止某些特定的事物,它采用了与黑名单技术相反的做法,利用一份“已知为良好”的实体(程序、电子邮件地址、域名、网址)名单,阻止不在名单中的事物在网络中运行。白名单技术的优点是:没有必要运行必须不断更新的防病毒软件,任何不在名单上的对象将被阻止运行;系统能够免受零日攻击。白名单技术相对简单,能够有效控制进入网络或者机器上运行的程序,而名单上之外的实体都不能运行或者通过。当单独使用白名单技术时,它能够非常有效地阻止恶意软件和垃圾邮件,但是同样也可能会阻止合法代码的运行和合法邮件的通过。在商业环境中,当在计算机上运行代码时,纯粹的白名单技术是最安全的解决方案。目前,大多数的系统和软件都应用了黑白名单技术,杀毒软件、防火墙、操作系统、邮件系统、应用软件等,凡是涉及到系统控制方面几乎都应用了黑白名单技术。黑名单启用后,被列入到黑名单的对象(如邮件、病毒、IP地址等)将不能通过,黑名单以外的对象都能通过;白名单启用后,只有在白名单中的对象(如邮件、病毒、IP地址等)才能通过,白名单以外的对象都不能通过。白名单技术的准入控制特点为受控网络的安全防护提供了新的方法。受控网络是指在网络通信过程中,专门制订了网络通信规范,对其入网终端、可以安装的应用程序及网络会话等均设定了相关要求,以确保网络在预定的模式下运行的一种互联网络。基于受控网络的控制特点,可以建立其网络流量白名单,依此发现网络实际运行过程中因病毒、蠕虫、木马及恶意违规操作等引起的异常流量,实现对网络异常行为的准确发现和定位。白名单的相关定义:传统的网络会话一般由网络五元组定义,即:{源IP,源端口,目的IP,目的端口,传输层协议}但在受控网络环境下,仅通过定义网络五元组还不足以确定网络会话是否合规,还需要辅助以其它相关元素确定会话的合规性。为此,我们在网络五元组的基础上增加网络层协议、应用层协议及流速阈值三个元素建立网络八元组,依此来定义流量白名单的规则。流量白名单定义如下:定义1:流量白名单:由网络八元组构成,即:{源IP,源端口,目的IP,目的端口,网络层协议,传输层协议,应用层协议,流速阈值}在建立流量白名单过程中,需要针对其涵盖的八个元素分别建立集合,实现对网络会话的约束。对以上流量白名单八元组的定义分别如下:定义2:源IP、目的IP:规范网络实际运行过程中允许接入网络的所有终端的IP地址。如果不在此集合中,则证明该IP地址为违规接入终端。定义3:源端口、目的端口:规范网络实际运行过程中可以建立网络会话的通信端口。如果不在此集合中,则证明该网络会话为异常流量。定义4:网络层协议:规范网络实际运行过程中网络层可以运行的通信协议。如果不在此集合中,则证明该网络会话为异常流量。目前,通用的网络层协议为IPV4,未来根据应用发展需要会扩展到IPV6。定义5:传输层协议:规范网络实际运行过程中传输层可以运行的通信协议。如果不在此集合中,则证明该网络会话为异常流量。定义6:应用层协议:规范网络实际运行过程中应用层可以运行的通信协议。如果不在此集合中,则证明该网络会话为异常流量。定义7:流速阈值:规范网络实际运行过程中某个网络会话流速的峰值。在受控网络环境中,网络业务一般按照预定的流速传输数据,如果超出流速峰值上限范围,则证明该网络会话为异常流量。其具体定义如下公式:TrafficVelocity=TrafficSum/(Time2-Time1)即,从Time1到Time2这段时间内传输数据的速度。此外,在受控网络中,通常存在一些专用的安管设备,用于对网络中的接入设备进行安全测试。比如为了测试一些网络设备是否联通,安管设备会对其进行调试,此时安管设备会发送大量的ping包。一般情况下,入侵检测系统会将这些现象定义为异常。所以,安管设备被误检的情况时有发生。
技术实现思路
本专利技术的目的是提供一种基于流量白名单的异常流量检测方法,可以判定网络会话是正常的,还是来自于异常的网络攻击。为实现上述目的,本专利技术采用的技术方案是:一种基于流量白名单的异常流量检测方法,其特征在于,具体包括以下步骤:S1:模拟测试期间:S1-1:新建任务模板,定义合规通信规则集合,包括:网络组织机构集合入网主机集合特例设备集合通信协议集合通信协议层次对应关系集合传输层端口集合流速阈值集合通过定义网络八元组依次来定义流量白名单:{源IP,源端口,目的IP,目的端口,网络层协议,传输层协议,应用层协议,会话流速阈值};S1-2:监听模拟测试期间网络流量,包括:网络组织机构、通信协议、传输层端口规范、入网主机会话规范、通信协议对应关系、入网主机规范、Ping会话规范、特例设备规范,依此建立流量白名单;S2:基于模拟测试期间建立的流量白名单,在网络实际运行过程中,捕获网络数据包,分析提取出网络八元组信息,对实时捕获的每一条网络流量进行比较判断,发现实际网络流量中隐存的异常流量;S2-1:捕获一条网络会话,提取网络会话元素,包括:源主机SrcIP、源端口SrcPort、目的主机DstIP、目的端口DstPort、应用层协议AppPtl、传输层协议TrpPtl、网络层协议NtkPtl、流速阈值Threshold;S2-2:将会话元素与已经建立的流量白名单进行匹配(采用并的关系,全部匹配){源IP,源端口,目的IP,目的端口,网络层协议,传输层协议,应用层协议,单向会话流速阈值},若匹配结果为YES,执行步骤S2-3,若匹配结果为NO,执行步骤S2-4;S2-3:对已建立的流量白名单集合进行更新完善;S2-4:将会话元素与已经建立的流量白名单继续进行匹配{源IP,源端口,目的IP,目的端口,网络层协议,传输层协议,应用层协议},但会话阈值超限,若匹配结果为YES,执行步骤S2-5,若匹配结果为NO,执行步骤S2-6;S2-5:建立会话灰名单;S2-6:将会话元素与已经建立的流量白名单再继续进行匹配;{源IP,源端口,目的IP,目的端口,网络层协议,传输层协议,应用层协议},若匹配结果为YES,执行步骤S2-8,若匹配结果为NO,执行步骤S2-7;S2-7:建立会话黑名单;S2-8:针对Ping会话,匹配{特例设备}针对发出Ping的设备,设定周本文档来自技高网...
【技术保护点】
一种基于流量白名单的异常流量检测方法,其特征在于,具体包括以下步骤:S1:模拟测试期间:S1‑1:新建任务模板,定义合规通信规则集合,包括:网络组织机构集合
【技术特征摘要】
1.一种基于流量白名单的异常流量检测方法,其特征在于,具体包括以下步骤:S1:模拟测试期间:S1-1:新建任务模板,定义合规通信规则集合,包括:网络组织机构集合入网主机集合特例设备集合通信协议集合通信协议层次对应关系集台传输层端口集合流速阈值集合通过定义网络八元组依此来定义流量白名单:{源IP,源端口,目的IP,目的端口,网络层协议,传输层协议,应用层协议,会话流速阈值};S1-2:监听模拟测试期间网络流量,包括:网络组织机构、通信协议、传输层端口规范、入网主机会话规范、通信协议对应关系、入网主机规范、Ping会话规范、特例设备规范等,建立流量白名单;S2:基于模拟测试期间建立的流量白名单,在网络实际运行过程中,捕获网络数据包,从数据包中分析提取网络八元组信息,对实时捕获的每一条网络流量进行比较判断,发现实际网络流量中隐存的异常流量;S2-1:捕获一条网络会话,提取网络会话元素,包括:源主机SrcIP、源端口SrcPort、目的主机DstIP、目的端口DstPort、应用层协议AppPtl、传输层协议TrpPtl、网络层协议NtkPtl、流速阈值Threshold;S2-2:将会话元素与已经建立的流...
【专利技术属性】
技术研发人员:韩伟杰,王宇,靳仁杰,阎慧,张小军,董希泉,孙勇,何学范,
申请(专利权)人:韩伟杰,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。