一种基于信帧的网络入侵行为分析检测方法技术

本发明专利技术公开了一种基于信帧的网络入侵行为分析检测方法。包括：S1、获取外网主机与内网主机之间的所有网络流会话信帧数据；S2、过滤并选取内网主机主动发送至外网主机的单向信帧数据；S3、分析单向信帧数据的时间间隔特征和流量大小特征；S4、对单向信帧数据的时间间隔特征和流量大小特征进行评分，当评分值大于预设的特征标准阈值时，则预判存在网络入侵行为并进行网络入侵报警。本发明专利技术以分析流量行为作为检测网络入侵行为的策略，分别从时间间隔和流量大小两方面对流量数据特征进行评分，不但能够准确、快速地检测已知类型或未知类型的网络入侵行为是否发生，而且能够准确快速地寻找到受感染的内网主机以及时进行安全维护及优化。

An Analysis and Detection Method of Network Intrusion Behavior Based on Message Frame

The invention discloses a network intrusion analysis and detection method based on message frame. Including: S1, access to all network stream session message frame data between the external network host and the internal network host; S2, filter and select the one-way message frame data that the internal network host actively sends to the external network host; S3, analyze the time interval characteristics and traffic size characteristics of the one-way message frame data; S4, scoring the time interval characteristics and traffic size characteristics of the one-way message frame data, with a large equivalent score value. When the preset threshold of characteristic standard is set, the network intrusion behavior is predicted and the network intrusion alarm is given. The method uses traffic behavior analysis as a strategy to detect network intrusion, and scoring traffic data characteristics from two aspects of time interval and traffic size. It can not only accurately and rapidly detect whether known or unknown network intrusion occurs, but also accurately and quickly find infected intranet hosts for timely security maintenance and optimization. \u3002

【技术实现步骤摘要】
一种基于信帧的网络入侵行为分析检测方法
本专利技术涉及网络信息安全
，尤其是一种基于信帧的网络入侵行为分析检测方法。
技术介绍
随着网络规模的不断扩大以及网络性能技术的不断提升，随之所附带或者产生的一些网络信息安全问题也愈来愈受到重视。其中，利用网络存在的漏洞和安全缺陷对网络系统的硬件、软件及其系统中的数据进行的攻击或者入侵行为通常会引起诸如网络故障、用户误操作、网络病毒传播、数据被破坏或被窃取等网络异常或安全问题，从而对网络本身及运行于网络上的各种设备造成极大的危害性和破坏性。比如，网络终端设备(亦可称为内网主机)在无意间下载并打开恶性软件后，很容易被感染，而被感染后的设备通常会定期地连接外网控制设备(亦可称为C&C服务器或外网主机，即：远程命令与控制服务器)以试图获取外网控制设备的某种指令或者外网控制设备自动向网络终端设备自动植入某种指令(其中，图1示出了内网主机和外网主机之间的一个会话场景)，从而导致网络异常或安全问题的发生。目前，通用的网络入侵行为检测方法主要滥用(MisuseDetection)检测方法，主要是通过匹配网络流量的特征字段来判断是否发生入侵行为以最终试图寻找可疑的受感染设备(其中，图2示出了通过信帧检测到由外部攻击者远程控制的内网主机在内网活动的轨迹以及入侵行为检测、分析及报警流程的场景)；虽然能够准确、快速地检测已知类型的入侵，但由于网络流量本身的复杂性，微小的流量变化即可很容易逃脱检测，从而使其无法对未知类型的入侵进行准确检测。鉴于此，如何快速、准确、及时地检测并分析出网络流量异常行为或入侵行为对提高网络的可靠性、安全性以及保障网络性能质量、安全高效运行具有至关重要的意义。
技术实现思路
针对上述现有技术存在的不足，本专利技术的目的在于提供一种基于信帧的网络入侵行为分析检测方法。为了实现上述目的，本专利技术采用如下技术方案：一种基于信帧的网络入侵行为分析检测方法，包括以下步骤：S1、采集信息：获取外网主机与内网主机之间的所有网络流会话信帧数据；S2、提取信息：过滤并选取内网主机主动发送至外网主机的单向信帧数据；S3、分析特征：分析单向信帧数据的时间间隔特征和流量大小特征；S4、评分预判：对单向信帧数据的时间间隔特征和流量大小特征进行评分，当评分值大于预设的特征标准阈值时，则预判存在网络入侵行为并进行网络入侵报警。优选地，步骤S4中，依公式一对单向信帧数据的特征进行评分，当特征评分值大于预设的特征标准阈值时，则预判存在网络入侵行为并进行网络入侵报警；其中，公式一为：优选地，步骤S3中，所述时间间隔特征为在一特定周期内数据的时间偏离度特征、时间离差度特征和持续时间特征；所述公式一中，时间间隔特征评分值为时间偏离度评分值、时间离差度评分值和持续时间评分值之和。优选地，在特定周期内，获取同一内网主机与外网主机进行网络连接的连接时间间隔数组，然后从小到大排序以形成时间间隔排序位置数组；分别取得位于时间间隔排序位置数组中75％位置、50％位置和25％位置的时间值；最后依公式二计算时间偏离度评分值；其中，公式二为：优选地，在特定周期内，获取同一内网主机与外网主机进行网络连接的连接时间间隔数组，然后从小到大排序以形成时间间隔排序位置数组；取位于时间间隔排序位置数组中50％位置的时间值作为一次时间间隔中间值；对时间间隔排序位置数组中的所有位置的时间值与一次时间间隔中间值之差的绝对值进行从小到大排序以形成二次时间排序位置数组，取位于二次时间排序位置数组中50％位置的时间值作为二次时间间隔中间值；最后依公式三计算时间离差度评分值；其中，公式三为：优选地，在特定周期内，获取同一内网主机与外网主机进行网络连接的起始时间和结束时间以分别作为通讯开始时间值和通讯结束时间值，依公式四计算持续时间评分值；其中，公式四为：优选地，步骤S3中，所述流量大小特征为在一特定周期内数据的大小偏离度特征、大小离差度特征和数据频次特征；所述公式一中，流量大小特征评分值依公式五计算；其中，公式五为：优选地，在特定周期内，获取同一内网主机主动发送至外网主机的单向信帧数据的数据包大小数组，然后从小到大排序以形成数据大小排序位置数组；分别取得位于数据大小排序位置数组中75％位置、50％位置和25％位置的时间值；最后依公式六计算大小偏离度评分值；其中，公式六为：优选地，在特定周期内，获取同一内网主机主动发送至外网主机的单向信帧数据的数据包大小数组，然后从小到大排序以形成数据大小排序位置数组；取位于数据大小排序位置数组中50％位置的数据大小值作为一次数据包中间值；对数据大小排序位置数组中的所有位置的数据大小值与一次数据包中间值之差的绝对值进行从小到大排序以形成二次大小排序位置数组，取位于二次大小排序位置数组中50％位置的时间值作为二次数据包中间值；最后依公式七计算大小离差度评分值；其中，公式七为：优选地，在特定周期内，获取同一内网主机主动发送外网主机的单向信帧数据时所产生的数据包，对数据包按容量大小进行分组并进行次数统计；取单一分组中出现的最大次数作为数据包频次数值，依公式八计算数据频次评分值；其中，公式八为：由于采用了上述方案，本专利技术基于现有网络入侵行为的特点，以通过对流量行为的分析作为网络入侵行为的检测策略，分别从时间间隔和流量大小两方面对内网主机主动向外网主机发送会话请求的数据特征进行评分，一旦评估的分值大于预设的阈值时，即可断定发生网络入侵行为并进行网络入侵报警。其不但能够准确、快速地检测已知类型或未知类型的网络入侵行为是否发生，对未知的网络入侵及攻击方式形成有效防护，而且能够准确快速地寻找到受感染的内网主机以及时进行安全维护及优化。附图说明图1是网络入侵行为中内网主机和外网主机之间的一个会话场景示图；图2是网络入侵行为检测及报警的场景示图；图3是本专利技术对网络入侵行为检测及报警逻辑流程示图。具体实施方式以下结合附图对本专利技术的实施例进行详细说明，但是本专利技术可以由权利要求限定和覆盖的多种不同方公式实施。如图3所示，本实施例提供的一种基于信帧的网络入侵行为分析检测方法，包括以下步骤：S1、采集信息：利用网络监听器等手段来获取外网主机与内网主机之间的所有网络流会话信帧数据(即：相当于获取并记录所有内外主机之间的网络连接信息)；S2、提取信息：根据网络行为特征，过滤并选取内网主机主动发送至外网主机的单向信帧数据；S3、分析特征：分析单向信帧数据的时间间隔特征和流量大小特征；S4、评分预判：对单向信帧数据的时间间隔特征和流量大小特征进行评分，当评分值大于预设的特征标准阈值时，则预判存在网络入侵行为并进行网络入侵报警。由于受网络入侵而感染的内网主机(此类内网主机一般被称为Beaconing机或肉鸡)大都会受到外网主机(即：C&C服务器)中病毒软件的操控，内网主机会定期地以一定的频率主动向外网主机发送会话请求，而请求的字段一般会呈现小而固定的特点，且请求的时间间隔也是固定的；因此，基于现有网络入侵行为的特点，通过检测内网主机主动向外网主机发送的数据，并通过对数据的时间间隔和流量大小的变化的分析及评估，一旦评估的分值大于预设的阈值时，即可断定发生网络入侵行为并进行网络入侵报警。因此，本实施例的方法不但能够准确、快速地检测已本文档来自技高网...

【技术保护点】
1.一种基于信帧的网络入侵行为分析检测方法，其特征在于：包括以下步骤：S1、采集信息：获取外网主机与内网主机之间的所有网络流会话信帧数据；S2、提取信息：过滤并选取内网主机主动发送至外网主机的单向信帧数据；S3、分析特征：分析单向信帧数据的时间间隔特征和流量大小特征；S4、评分预判：对单向信帧数据的时间间隔特征和流量大小特征进行评分，当评分值大于预设的特征标准阈值时，则预判存在网络入侵行为并进行网络入侵报警。

【技术特征摘要】
1.一种基于信帧的网络入侵行为分析检测方法，其特征在于：包括以下步骤：S1、采集信息：获取外网主机与内网主机之间的所有网络流会话信帧数据；S2、提取信息：过滤并选取内网主机主动发送至外网主机的单向信帧数据；S3、分析特征：分析单向信帧数据的时间间隔特征和流量大小特征；S4、评分预判：对单向信帧数据的时间间隔特征和流量大小特征进行评分，当评分值大于预设的特征标准阈值时，则预判存在网络入侵行为并进行网络入侵报警。2.如权利要求1所述的一种基于信帧的网络入侵行为分析检测方法，其特征在于：步骤S4中，依公式一对单向信帧数据的特征进行评分，当特征评分值大于预设的特征标准阈值时，则预判存在网络入侵行为并进行网络入侵报警；其中，公式一为：3.如权利要求2所述的一种基于信帧的网络入侵行为分析检测方法，其特征在于：步骤S3中，所述时间间隔特征为在一特定周期内数据的时间偏离度特征、时间离差度特征和持续时间特征；所述公式一中，时间间隔特征评分值为时间偏离度评分值、时间离差度评分值和持续时间评分值之和。4.如权利要求3所述的一种基于信帧的网络入侵行为分析检测方法，其特征在于：在特定周期内，获取同一内网主机与外网主机进行网络连接的连接时间间隔数组，然后从小到大排序以形成时间间隔排序位置数组；分别取得位于时间间隔排序位置数组中75％位置、50％位置和25％位置的时间值；最后依公式二计算时间偏离度评分值；其中，公式二为：5.如权利要求3所述的一种基于信帧的网络入侵行为分析检测方法，其特征在于：在特定周期内，获取同一内网主机与外网主机进行网络连接的连接时间间隔数组，然后从小到大排序以形成时间间隔排序位置数组；取位于时间间隔排序位置数组中50％位置的时间值作为一次时间间隔中间值；对时间间隔排序位置数组中的所有位置的时间值与一次时间间隔中间值之差的绝对值进行从小到大排序以形成二次时间排序位置数组，取位于二次时间排序位置数组中50％位置的时间值作为二次时间间隔中...

【专利技术属性】
技术研发人员：王诗勇，
申请(专利权)人：深圳市众泰兄弟科技发展有限公司，
类型：发明
国别省市：广东,44