【技术实现步骤摘要】
一种基于潜伏行为分析的网络安全检测方法
本专利技术涉及网络安全信息
,具体的说,是一种基于潜伏行为分析的网络安全检测方法。
技术介绍
互联网大数据时代,网络信息安全是一个被普遍重点关注的话题,记录网络行为的流量日志具有海量的特性,目前已经有许多的算法和模型应用于异常网络行为的自动检测。但是多数方法着眼于明显的行为异常,如访问量陡升陡降、访问时间段不合常理、访问途径违规或违法等等,而疏忽了另一些隐蔽的通过正常手段来攫取信息的安全隐患。我们将这类不易察觉的通过正常途径的行为异常称为潜伏型异常。潜伏型异常通常具有隐蔽性、执着性、累积性特点,潜伏行为特征的定义如下:1)、访问波动规律性。潜伏行为多由机器或程序进行,而正常访问流量有其历史特性,如一些网站的访问量具有昼多夜少的特点,为了不破坏这种规律特性而被防御方察觉,潜伏者常常采用固定行为模式或习惯。2)、访问时间规律性。因为潜伏行为常常采用固定行为模式或习惯,在访问时间点上表现为一定的规律性。3)、持续时间较长。访问者会持续执着访问,累积一次次少量访问达到等同于大量访问效果的攻击目的。4)、基于访问行为的各种特征数值在所有访问者中相对较小,不易触及常规模型告警。潜伏者通常会利用一些逻辑漏洞来规避被访问方的监察,如一些系统设定了一定时间段内的登录失败容忍次数,潜伏者限定每次尝试登录次数上限来规避系统告警,达到长期尝试登录破解账户而不被发现的目的。由上可见,潜伏行为的单次访问危害不大甚至没有危害完全合规,不容易被安全系统察觉 ...
【技术保护点】
1.一种基于潜伏行为分析的网络安全检测方法,其特征在于:通过定义潜伏行为特征,设计了分别适应日内短期潜伏、周内中期潜伏和月内长期潜伏三个周期窗口下的潜伏检测指标和潜伏异常程度评分规则,计算各分组对象所对应潜伏行为特征时序在日窗口、周窗口、月窗口下的潜伏指标和潜伏得分,得到有潜伏行为的实体对象排名,完成检测。/n
【技术特征摘要】
1.一种基于潜伏行为分析的网络安全检测方法,其特征在于:通过定义潜伏行为特征,设计了分别适应日内短期潜伏、周内中期潜伏和月内长期潜伏三个周期窗口下的潜伏检测指标和潜伏异常程度评分规则,计算各分组对象所对应潜伏行为特征时序在日窗口、周窗口、月窗口下的潜伏指标和潜伏得分,得到有潜伏行为的实体对象排名,完成检测。
2.根据权利要求1所述的一种基于潜伏行为分析的网络安全检测方法,其特征在于:具体包括以下步骤:
步骤S1:获取待检测的时长为N的原始网络流量安全日志;
步骤S2:根据原始网络流量安全日志,建立以实体为分组对象,以聚合周期为时间戳,以经过特征算子计算后的数值为特征值的特征时间序列;
步骤S3:定义潜伏特征、定义潜伏检测窗口和定义潜伏检测指标;
所述潜伏特征是指行为波动较规律、持续时间较长、出现时间点较规律、基于访问行为的各种特征数值在所有访问者中相对较小,不易触及常规模型告警;
所述潜伏检测窗口包括日窗口、周窗口和月窗口;
所述日窗口以自然日划分N时长特征时间序列;
所述周窗口以自然周划分N时长特征时间序列;
所述月窗口为以自然月划分N时长特征时间序列;
所述潜伏检测指标包括时间维度指标和空间维度指标;所述时间维度包括特征时长、特征时间复杂度;所述空间维度指标包括特征极值、特征空间复杂度;
所述特征时长反映潜伏时间长度;
所述特征时间复杂度反映特征出现时间是否规律;
所述特征极值反映行为影响显著程度;
所述特征空间复杂度反映特征空间波动是否规律;
步骤S4:定义潜伏异常程度评分规则;潜伏异常分值=(特征时长/(特征时间复杂度)+特征极值/(特征空间复杂度))×窗口因子;
步骤S5:将各个聚合后的特征时间序列分割为相应数量的日窗口、周窗口、月窗口;计算各分组对象所对应特征时序在日窗口、周窗口、月窗口下的潜伏指标和潜伏得分,将潜伏得分结果排列,得到有潜伏行为的实体对象排名,其潜伏时间段为有异常的检测窗口的起始时间至终止时间。
3.根据权利要求2所述的一种基于潜伏行为分析的网络安全检测方法,其特征在于:所述步骤S3具体包括以下步骤:
步骤S31:将特征时长设为某一实体分组对象在某一个检测窗口期间内非零特征值的个数;
步骤S32:将特征时间复杂度设为某一实体分组对象在某一个检测窗口内对非零特征值所在时间戳一阶差分后所得序列的样本熵,样本熵通过度量信号中产生新模式的概率大小来衡量时间序列复杂性;所述一阶差为对时间戳序列相邻两项求差;
步骤S33:将特征极值设为某一实体分组对象在某一检测窗口内特征最大值;
步骤S34:将特征空间复杂度设为某一实体分组对象在某一检测窗口内非零特征值所组序列的样本熵。
4.根据权利要求1所述的一种...
【专利技术属性】
技术研发人员:何帅,范渊,
申请(专利权)人:杭州安恒信息技术股份有限公司,
类型:发明
国别省市:浙江;33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。