一种基于潜伏行为分析的网络安全检测方法技术

本发明专利技术属于网络安全检测技术领域，具体公开了一种基于潜伏行为分析的网络安全检测方法，通过定义潜伏行为特征，设计了分别适应日内短期潜伏、周内中期潜伏和月内长期潜伏三个周期窗口下的潜伏检测指标和潜伏异常程度评分规则，计算各分组对象所对应潜伏行为特征时序在日窗口、周窗口、月窗口下的潜伏指标和潜伏得分，得到有潜伏行为的实体对象排名，完成检测。本发明专利技术的有益效果是：通过抽象化潜伏特征，定义了潜伏指标和评分规则，不需依赖样本训练，达到较强通用性和即时性的应用效果。

A network security detection method based on latent behavior analysis

【技术实现步骤摘要】
一种基于潜伏行为分析的网络安全检测方法
本专利技术涉及网络安全信息
，具体的说，是一种基于潜伏行为分析的网络安全检测方法。
技术介绍
互联网大数据时代，网络信息安全是一个被普遍重点关注的话题，记录网络行为的流量日志具有海量的特性，目前已经有许多的算法和模型应用于异常网络行为的自动检测。但是多数方法着眼于明显的行为异常，如访问量陡升陡降、访问时间段不合常理、访问途径违规或违法等等，而疏忽了另一些隐蔽的通过正常手段来攫取信息的安全隐患。我们将这类不易察觉的通过正常途径的行为异常称为潜伏型异常。潜伏型异常通常具有隐蔽性、执着性、累积性特点，潜伏行为特征的定义如下：1)、访问波动规律性。潜伏行为多由机器或程序进行，而正常访问流量有其历史特性，如一些网站的访问量具有昼多夜少的特点，为了不破坏这种规律特性而被防御方察觉，潜伏者常常采用固定行为模式或习惯。2)、访问时间规律性。因为潜伏行为常常采用固定行为模式或习惯，在访问时间点上表现为一定的规律性。3)、持续时间较长。访问者会持续执着访问，累积一次次少量访问达到等同于大量访问效果的攻击目的。4)、基于访问行为的各种特征数值在所有访问者中相对较小，不易触及常规模型告警。潜伏者通常会利用一些逻辑漏洞来规避被访问方的监察，如一些系统设定了一定时间段内的登录失败容忍次数，潜伏者限定每次尝试登录次数上限来规避系统告警，达到长期尝试登录破解账户而不被发现的目的。由上可见，潜伏行为的单次访问危害不大甚至没有危害完全合规，不容易被安全系统察觉，但是经过长时间累积的潜伏访问却能造成极大危害，严重威胁网络安全。专利《潜伏性盗取用户数据行为检测方法及装置》提出了一种与本专利技术近似的技术方案。该技术方案包括：获取待检测的第一访问日志，第一访问日志为用户对网站进行访问的日志；根据第一访问日志，计算第一用户访问行为特征值；将第一用户访问行为特征值输入到预先建立的检测模型中，以在访问日志中检测是否存在潜伏性盗取用户数据的行为，其中检测模型为用于检测潜伏性盗取用户数据行为的模型，检测模型通过对训练样本数据进行分类训练得到。该方法通过计算访问日志的用户行为特征值，并进行分类模型的训练，得到潜伏性盗取用户数据行为检测模型及模型参数，进而检测新的访问日志中的潜伏性盗取用户数据行为。针对网络访问情况的检测，现有技术存在诸多不完善之处。一方面，多数模型重点关注显著的异常情况，如急剧波动的访问量，非正常的访问时刻，不合规的访问来源、访问途径、访问对象等等，缺少对正常访问下的潜伏行为的检测。另一方面，多数模型重点关注某一时刻的异常，缺少对异常时间段的定位。再有，少量针对潜伏行为的模型，需要依赖潜伏样本的训练，其方法的通用性和即时性存在不足。
技术实现思路
本专利技术的目的在于提供一种基于潜伏行为分析的网络安全检测方法，通过抽象化潜伏特征，定义了潜伏指标和评分规则，不需依赖样本训练，达到较强通用性和即时性的应用效果。本专利技术通过下述技术方案实现：一种基于潜伏行为分析的网络安全检测方法，通过定义潜伏行为特征，设计了分别适应日内短期潜伏、周内中期潜伏和月内长期潜伏三个周期窗口下的潜伏检测指标和潜伏异常程度评分规则，计算各分组对象所对应潜伏行为特征时序在日窗口、周窗口、月窗口下的潜伏指标和潜伏得分，得到有潜伏行为的实体对象排名，完成检测。进一步地，为了更好的实现本专利技术，具体包括以下步骤：步骤S1：获取待检测的时长为N的原始网络流量安全日志；步骤S2：根据原始网络流量安全日志，建立以实体为分组对象，以聚合周期为时间戳，以经过特征算子计算后的数值为特征值的特征时间序列；步骤S3：定义潜伏特征、定义潜伏检测窗口和定义潜伏检测指标；所述潜伏特征是指行为波动较规律、持续时间较长、出现时间点较规律、基于访问行为的各种特征数值在所有访问者中相对较小，不易触及常规模型告警；所述潜伏检测窗口包括日窗口、周窗口和月窗口；所述日窗口以自然日划分N时长特征时间序列；所述周窗口以自然周划分N时长特征时间序列；所述月窗口为以自然月划分N时长特征时间序列；所述潜伏检测指标包括时间维度指标和空间维度指标；所述时间维度包括特征时长、特征时间复杂度；所述空间维度指标包括特征极值、特征空间复杂度；所述特征时长反映潜伏时间长度；所述特征时间复杂度反映特征出现时间是否规律；所述特征极值反映行为影响显著程度；所述特征空间复杂度反映特征空间波动是否规律；步骤S4：定义潜伏异常程度评分规则；潜伏异常分值＝(特征时长/(特征时间复杂度)+特征极值/(特征空间复杂度))×窗口因子；步骤S5：将各个聚合后的特征时间序列分割为相应数量的日窗口、周窗口、月窗口；计算各分组对象所对应特征时序在日窗口、周窗口、月窗口下的潜伏指标和潜伏得分，将潜伏得分结果排列，得到有潜伏行为的实体对象排名，其潜伏时间段为有异常的检测窗口的起始时间至终止时间。进一步地，为了更好的实现本专利技术，所述步骤S3具体包括以下步骤：步骤S31：将特征时长设为某一实体分组对象在某一个检测窗口期间内非零特征值的个数；步骤S32：将特征时间复杂度设为某一实体分组对象在某一个检测窗口内对非零特征值所在时间戳一阶差分后所得序列的样本熵，样本熵通过度量信号中产生新模式的概率大小来衡量时间序列复杂性；所述一阶差为对时间戳序列相邻两项求差；步骤S33：将特征极值设为某一实体分组对象在某一检测窗口内特征最大值；步骤S34：将特征空间复杂度设为某一实体分组对象在某一检测窗口内非零特征值所组序列的样本熵。进一步地，为了更好的实现本专利技术，所述步骤S32中样本熵的计算方式为：L1：设定长度为N的原始数据的时间序列u(1),u(2),u(3),…u(N)；L2：构造一组M维空间的向量X(1),X(2),X(3),…X(N-M+1)；其中，X(i)＝{u(i),u(i+1),…u(i+M-1)}；1≤i≤N-M+1；L3：定义向量X(i)和X(j)之间的距离；d[X(i),X(j)]为两向量对应元素中差值最大的一个，即：L4：对于每一个{i:1≤i≤N-M+1}，在容许偏差为r的情形下，统计d[X(i),X(j)]＜r的数目NM(t)，并计算此数目与距离总数的比值得到：L5：对所有的i求平均值，φM(r)计作，即：L6：对维数M增加1，重复上述L2至L5,得到和L7：求得理论上此序列的样本熵SampEn(N,M,r)为：实际中N不可能取∞，当N取有限值时，则：SampEn(M,r)＝-ln[φM+1(r)/φM(r)]；当r取原始数据标准偏差的0.1—0.25倍，M＝1或M＝2，SampEn(N,M,r)的值对序列长度N的依赖性最好，此时计算所得的样本熵具有较为合本文档来自技高网...

【技术保护点】
1.一种基于潜伏行为分析的网络安全检测方法，其特征在于：通过定义潜伏行为特征，设计了分别适应日内短期潜伏、周内中期潜伏和月内长期潜伏三个周期窗口下的潜伏检测指标和潜伏异常程度评分规则，计算各分组对象所对应潜伏行为特征时序在日窗口、周窗口、月窗口下的潜伏指标和潜伏得分，得到有潜伏行为的实体对象排名，完成检测。/n

【技术特征摘要】
1.一种基于潜伏行为分析的网络安全检测方法，其特征在于：通过定义潜伏行为特征，设计了分别适应日内短期潜伏、周内中期潜伏和月内长期潜伏三个周期窗口下的潜伏检测指标和潜伏异常程度评分规则，计算各分组对象所对应潜伏行为特征时序在日窗口、周窗口、月窗口下的潜伏指标和潜伏得分，得到有潜伏行为的实体对象排名，完成检测。


2.根据权利要求1所述的一种基于潜伏行为分析的网络安全检测方法，其特征在于：具体包括以下步骤：
步骤S1：获取待检测的时长为N的原始网络流量安全日志；
步骤S2：根据原始网络流量安全日志，建立以实体为分组对象，以聚合周期为时间戳，以经过特征算子计算后的数值为特征值的特征时间序列；
步骤S3：定义潜伏特征、定义潜伏检测窗口和定义潜伏检测指标；
所述潜伏特征是指行为波动较规律、持续时间较长、出现时间点较规律、基于访问行为的各种特征数值在所有访问者中相对较小，不易触及常规模型告警；
所述潜伏检测窗口包括日窗口、周窗口和月窗口；
所述日窗口以自然日划分N时长特征时间序列；
所述周窗口以自然周划分N时长特征时间序列；
所述月窗口为以自然月划分N时长特征时间序列；
所述潜伏检测指标包括时间维度指标和空间维度指标；所述时间维度包括特征时长、特征时间复杂度；所述空间维度指标包括特征极值、特征空间复杂度；
所述特征时长反映潜伏时间长度；
所述特征时间复杂度反映特征出现时间是否规律；
所述特征极值反映行为影响显著程度；
所述特征空间复杂度反映特征空间波动是否规律；
步骤S4：定义潜伏异常程度评分规则；潜伏异常分值＝(特征时长/(特征时间复杂度)+特征极值/(特征空间复杂度))×窗口因子；
步骤S5：将各个聚合后的特征时间序列分割为相应数量的日窗口、周窗口、月窗口；计算各分组对象所对应特征时序在日窗口、周窗口、月窗口下的潜伏指标和潜伏得分，将潜伏得分结果排列，得到有潜伏行为的实体对象排名，其潜伏时间段为有异常的检测窗口的起始时间至终止时间。


3.根据权利要求2所述的一种基于潜伏行为分析的网络安全检测方法，其特征在于：所述步骤S3具体包括以下步骤：
步骤S31：将特征时长设为某一实体分组对象在某一个检测窗口期间内非零特征值的个数；
步骤S32：将特征时间复杂度设为某一实体分组对象在某一个检测窗口内对非零特征值所在时间戳一阶差分后所得序列的样本熵，样本熵通过度量信号中产生新模式的概率大小来衡量时间序列复杂性；所述一阶差为对时间戳序列相邻两项求差；
步骤S33：将特征极值设为某一实体分组对象在某一检测窗口内特征最大值；
步骤S34：将特征空间复杂度设为某一实体分组对象在某一检测窗口内非零特征值所组序列的样本熵。


4.根据权利要求1所述的一种...

【专利技术属性】
技术研发人员：何帅，范渊，
申请(专利权)人：杭州安恒信息技术股份有限公司，
类型：发明
国别省市：浙江;33