基于属性关系图的主机网络行为模式度量方法技术

本发明专利技术公开了一种基于属性关系图的主机网络行为模式度量方法，其技术方案主要由网络流量采集——主机网络行为模式形式化表征——主机网络行为异常检测——异常判定四个关键步骤组成。通过本发明专利技术所设计的技术方案，很好地解决了传统异常检测方法的训练数据难以获取和异常检测行为系统适应能力差的问题，其完全可以有效地应对主机面临的新型威胁和未知异常以及攻击层出不穷的安全防护需求，降低目标攻击对企事业单位造成的损失。

【技术实现步骤摘要】
基于属性关系图的主机网络行为模式度量方法
本专利技术涉及服务器行为模式描述和异常检测方面，具体涉及的是一种基于属性关系图的主机网络行为模式度量方法。
技术介绍
服务器作为企事业单位重要的网络硬件资源主体，网络应用和数据资源都存放在服务端主机。随着网络应用的增长和服务类型的多样化，用户数量也急剧增长，势必面临一系列安全问题。针对主机系统级安全检测的研究工作，数据源多来自于主机系统的审计日志、系统调用序列、内存和文件的变化情况等，通过分析系统的审计数据来区分主机中正常和非法行为。这类研究的优点是易于监测一些系统活动，如对敏感文件、目录、程序或端口的存取行为，而这些行为难于在网络流量数据中发现。以目前关注的目标攻击类型的异常行为为例，入侵者最终目标是数据窃取，但其前期的入侵行为又难于发现。那么，当攻击者获取了主机的用户权限后，数据泄露行为恰恰不会对文件、内存、程序等系统内部活动造成改变，只有进行数据对外传输时才会造成网络通信行为改变。因此，关注主机个体行为的变化是检测数据泄露的最佳时机，也是降低目标攻击对企事业单位造成损失的关键的一个步骤。在大型的网络架构中，通常会部属大量网络安全防御设备本文档来自技高网...

【技术保护点】
1.基于属性关系图的主机网络行为模式度量方法，其特征在于，包括以下步骤：(1)采集主机网络流量数据；(2)为主机构建属性关系图，所述的属性关系图包括若干按照任意顺序排列的特征信息，每列特征中不同的值作为一个节点；(3)根据主机之间的网络连接为相邻两列特征的节点建立连接，不相邻的节点不能连接，从而使主机所有的网络流量数据均对应到属性关系图中；(4)在每个时间窗口结束时，从属性关系图和特征的节点中抽取特征值，将固定时间窗口的主机网络行为模式表示成具有多维特征值的基线特征向量矩阵；(5)基于固定时间窗口计算主机网络行为偏离度值，并剔除异常值，形成主机网络行为的偏离度；(6)获取每台主机网络行为模式的...

【技术特征摘要】
1.基于属性关系图的主机网络行为模式度量方法，其特征在于，包括以下步骤：(1)采集主机网络流量数据；(2)为主机构建属性关系图，所述的属性关系图包括若干按照任意顺序排列的特征信息，每列特征中不同的值作为一个节点；(3)根据主机之间的网络连接为相邻两列特征的节点建立连接，不相邻的节点不能连接，从而使主机所有的网络流量数据均对应到属性关系图中；(4)在每个时间窗口结束时，从属性关系图和特征的节点中抽取特征值，将固定时间窗口的主机网络行为模式表示成具有多维特征值的基线特征向量矩阵；(5)基于固定时间窗口计算主机网络行为偏离度值，并剔除异常值，形成主机网络行为的偏离度；(6)获取每台主机网络行为模式的偏离度集中趋势，设定时间窗口的偏离度阈值；(7)根据网络流量数据，统计检测时间的固定时间窗口的主机网络行为模式的多维特征值，并汇聚到主机层，形成检测特征向量矩阵；(8)基于检测时间的固定时间窗口计算每台被监控主机的当前网络行为偏离度值；(9)根据步骤(6)设定的时间窗口的偏离度阈值，确定步骤(8)计算的偏离度值是否处于偏离度阈值内，从而判定主机状态是否发生异常。2.根据权利要求1所述的基于属性关系图的主机网络行为模式度量方法，其特征在于，所述步骤(1)中，采集主机网络流量数据所用的方式为：将主机网络流量数据通过端口镜像路由器转发到部署了主机异常行为检测的服务器。3.根据权利要求1或2所述的基于属性关系图的主机网络行为模式度量方法，其特征在于，所述的树形关系图包括独立的七列特征信息，排列的顺序依次为服务器IP地址、协议号、服务器端口号、远程端口号、远程IP地址、字节数、时间类型。4.根据权利...

【专利技术属性】
技术研发人员：叶晓鸣，杨力，
申请(专利权)人：成都力鸣信息技术有限公司，
类型：发明
国别省市：四川,51