一种网络安全流量入侵检测方法和系统技术方案

本发明专利技术给出了一种网络安全流量入侵检测方法和系统，包括根据网络中的正常运行流程，抓取并统计网络中的目标安全流量的特征编码，得到基础安全网络流量行程记录；将所述基础安全网络流量行程记录作为原始备份记录，依据预先设置的Snort规则对接收到的目标流量进行入侵检测，判断所述目标流量是否为异常流量，并针对所述异常流量触发识别报警；通过对异常流量的分类设定，在离线状态下传输基础纯洁的数据包，并形成单独识别库，在对异常流量进行比对时从单独识别库中提取相应信息，对异常流量进行分类，通过提取数据包特征编码的形式，按照误警报数据、白名单数据和黑名单数据分类，并且均单独形成数据集合。提升了入侵流量报警的正确率。

【技术实现步骤摘要】
一种网络安全流量入侵检测方法和系统
本专利技术涉及网络流量安全
，尤其是一种网络安全流量入侵检测方法和系统。
技术介绍
物联网设备已经通过各类电子设备走入了千家万户，特别是涉及到视频监控和网络信息传输，均需要在互联网中传播数据，在发送数据包的流程中，由于控制层上的服务器会大幅度吞吐数据，因此对于不法分子而言，经由大量传输无用数据包采取撞库或非法输入大量入侵流量，导致服务器荷载增加以及数据错误，皆会导致服务器因受到数据入侵攻击引起流量安全隐患。现有的针对于网络流量的检测一般经由snortIDS体系模块处理，然而针对于原始数据包的分析，一般都会产生检测方式单一，洁净数据源难以获得，导致误警率高等现象，特别是由于流量攻击频率较大的情况下，则会导致在时间段内的报警数量过多，再加上误警率高的现象，将进一步增加管理员对于报警信息的处理复杂程度，从而漏掉较为关键的有用信息，严重时则会造成物理设备受到外界不法流量接管，最终导致财产损失。
技术实现思路
本专利技术提出了一种网络安全流量入侵检测方法和系统，以解决上文提到的现有技术的缺陷。在一个方面，本专利技术提出了一种网络安全流量入侵检测方法，该方法包括以下步骤：S1：根据网络中的正常运行流程，抓取并统计网络中的目标安全流量的特征编码，根据统计得到的所述目标安全流量的特征编码对所述目标安全流量进行储存得到基础安全网络流量行程记录；S2：将所述基础安全网络流量行程记录作为原始备份记录，依据预先设置的Snort规则对接收到的目标流量进行入侵检测，判断所述目标流量是否为异常流量，并针对所述异常流量触发识别报警；S3：依据预先设置的Snort规则判断所述异常流量是否为误识别流量，若是，则消除所述识别报警并执行S4，若否，执行S5；S4：建立白名单识别库，管理员后台判断所述目标流量是否属于安全网络流量，若是，则将所述目标流量加入所述白名单识别库中，若否，则执行S5；S5：将所述异常流量置入自适应入侵响应和入侵防御中，并提取所述异常流量的特征编码，根据所述特征编码建立黑名单识别库。以上方法通过对异常流量的分类设定，在离线状态下传输基础纯洁的数据包，并形成单独识别库，其单独识别库呈离线状态，每一次在比对时皆主要从单独识别库中提取相应信息，并将诊断为异常流量按照流程步骤分类，通过提取数据包特征编码的形式，按照误警报数据、白名单数据和黑名单数据分类，并且均单独形成数据集合。在具体的实施例中，所述特征编码包括：时间、流量吞吐量和数据包加密策略。在具体的实施例中，所述根据统计得到的所述目标安全流量的特征编码对所述目标安全流量进行储存得到基础安全网络流量行程记录，具体包括：针对所述目标安全流量的特征编码建立时间序列预测模型，按照时间序列对所述目标安全流量进行排列，并储存为基础安全网络流量行程记录；将所述基础安全网络流量行程记录和所述时间序列预测模型构建为离线的流量统计数据库。在具体的实施例中，所述白名单识别库的建立按照管理员后台的接入进行直接设置，且所述白名单识别库中的流量数据按照时间顺序排列。在具体的实施例中，所述S2具体包括：根据所述原始备份记录，按照时间序列建立SnortIDS模块；监听网络数据包，对网络进行分析；用相应的插件来检查所述目标流量的原始数据包，判断所述原始数据包中的包括端口扫描和IP碎片在内的行为；依据预先设置的Snort规则检查所述原始数据包，当所述原始数据包中的内容与所述Snort规则中的任意一条相匹配，判断所述原始数据包为异常流量，并触发识别报警，将所述识别报警传送给日志文件。在具体的实施例中，所述Snort规则具体包括：对所述目标流量的原始数据包按照规则头进行规则动作、协议、源信息和目的信息过程检验。在具体的实施例中，所述S3具体包括：判断所述规则头所检测的目标流量内容，并与所述基础安全网络流量行程记录比较源信息并进行目的信息过程检验，按照预先设定的用于判断安全网络流量的阈值，判断所述异常流量是否为误识别流量。在具体的实施例中，所述S4具体包括：设定时间范围，并根据所述时间范围进行读秒，同时提醒管理员处理所述目标流量；管理员在所述时间范围内对所述目标流量进行实时在线处理，当管理员将所述目标流量处理为安全网络流量时，提取所述目标流量的特征编码，记录于所述白名单识别库内；若后续接收到的目标流量的特征编码在所述白名单识别库中已存在，则不再提醒管理员对该目标流量进行处理；若读秒完毕后无管理员对所述目标流量进行处理，执行S5。本专利技术中白名单识别库所形成的报警信息为读秒设置，报警操作为管理员主动操作。在具体的实施例中，所述S5具体包括：对所有异常流量进行聚类分析分类为若干个聚类条目，将每个聚类条目的特征编码与所述黑名单识别库内所保存的特征编码进行对比；若对比到相同的特征编码，将对应的异常流量直接反馈给自适应入侵响应和入侵防御；若未对比到相同的特征编码，则判定对应的异常流量为新型入侵流量，根据该异常流量的数据包进行特征提取，将提取到的特征编码保存至所述黑名单识别库内，并同步响应自适应入侵响应和入侵防御；对属于相同聚类条目的异常流量生成相似的入侵警报，并按照特征编码将属于相同聚类条目的异常流量折叠为同一种类型的流量数据。本专利技术对于同一特征编码的警报进行折叠处理，从而进一步减少警报信息的数量。根据本专利技术的第二方面，提出了一种计算机可读存储介质，其上存储有计算机程序，该计算机程序被计算机处理器执行时实施上述方法。根据本专利技术的第三方面，提出一种网络安全流量入侵检测系统，该系统包括：基础安全网络流量统计模块：配置用于根据网络中的正常运行流程，抓取并统计网络中的目标安全流量的特征编码，根据统计得到的所述目标安全流量的特征编码对所述目标安全流量进行储存得到基础安全网络流量行程记录；异常流量识别模块：配置用于将所述基础安全网络流量行程记录作为原始备份记录，依据预先设置的Snort规则对接收到的目标流量进行入侵检测，判断所述目标流量是否为异常流量，并针对所述异常流量触发识别报警；误识别检测模块：配置用于依据预先设置的Snort规则判断所述异常流量是否为误识别流量，若是，则消除所述识别报警并执行白名单识别检测模块，若否，执行未知入侵流量识别模块；白名单识别检测模块：配置用于建立白名单识别库，管理员后台判断所述目标流量是否属于安全网络流量，若是，则将所述目标流量加入所述白名单识别库中，若否，则执行未知入侵流量识别模块；未知入侵流量识别模块：配置用于将所述异常流量置入自适应入侵响应和入侵防御中，并提取所述异常流量的特征编码，根据所述特征编码建立黑名单识别库。本专利技术通过对异常流量的分类设定，在离线状态下传输基础纯洁的数据包，并形成单独识别库，其单独识别库呈离线状态，每一次在比对时皆主要从单独识别库中提取相应信息，并将本文档来自技高网...

【技术保护点】
1.一种网络安全流量入侵检测方法，其特征在于，包括以下步骤：/nS1：根据网络中的正常运行流程，抓取并统计网络中的目标安全流量的特征编码，根据统计得到的所述目标安全流量的特征编码对所述目标安全流量进行储存得到基础安全网络流量行程记录；/nS2：将所述基础安全网络流量行程记录作为原始备份记录，依据预先设置的Snort规则对接收到的目标流量进行入侵检测，判断所述目标流量是否为异常流量，并针对所述异常流量触发识别报警；/nS3：依据预先设置的Snort规则判断所述异常流量是否为误识别流量，若是，则消除所述识别报警并执行S4，若否，执行S5；/nS4：建立白名单识别库，管理员后台判断所述目标流量是否属于安全网络流量，若是，则将所述目标流量加入所述白名单识别库中，若否，则执行S5；/nS5：将所述异常流量置入自适应入侵响应和入侵防御中，并提取所述异常流量的特征编码，根据所述特征编码建立黑名单识别库。/n

【技术特征摘要】
1.一种网络安全流量入侵检测方法，其特征在于，包括以下步骤：
S1：根据网络中的正常运行流程，抓取并统计网络中的目标安全流量的特征编码，根据统计得到的所述目标安全流量的特征编码对所述目标安全流量进行储存得到基础安全网络流量行程记录；
S2：将所述基础安全网络流量行程记录作为原始备份记录，依据预先设置的Snort规则对接收到的目标流量进行入侵检测，判断所述目标流量是否为异常流量，并针对所述异常流量触发识别报警；
S3：依据预先设置的Snort规则判断所述异常流量是否为误识别流量，若是，则消除所述识别报警并执行S4，若否，执行S5；
S4：建立白名单识别库，管理员后台判断所述目标流量是否属于安全网络流量，若是，则将所述目标流量加入所述白名单识别库中，若否，则执行S5；
S5：将所述异常流量置入自适应入侵响应和入侵防御中，并提取所述异常流量的特征编码，根据所述特征编码建立黑名单识别库。


2.根据权利要求1所述的方法，其特征在于，所述特征编码包括：时间、流量吞吐量和数据包加密策略。


3.根据权利要求1所述的方法，其特征在于，所述根据统计得到的所述目标安全流量的特征编码对所述目标安全流量进行储存得到基础安全网络流量行程记录，具体包括：
针对所述目标安全流量的特征编码建立时间序列预测模型，按照时间序列对所述目标安全流量进行排列，并储存为基础安全网络流量行程记录；
将所述基础安全网络流量行程记录和所述时间序列预测模型构建为离线的流量统计数据库。


4.根据权利要求1所述的方法，其特征在于，所述白名单识别库的建立按照管理员后台的接入进行直接设置，且所述白名单识别库中的流量数据按照时间顺序排列。


5.根据权利要求1所述的方法，其特征在于，所述S2具体包括：
根据所述原始备份记录，按照时间序列建立SnortIDS模块；
监听网络数据包，对网络进行分析；
用相应的插件来检查所述目标流量的原始数据包，判断所述原始数据包中的包括端口扫描和IP碎片在内的行为；
依据预先设置的Snort规则检查所述原始数据包，当所述原始数据包中的内容与所述Snort规则中的任意一条相匹配，判断所述原始数据包为异常流量，并触发识别报警，将所述识别报警传送给日志文件。


6.根据权利要求1所述的方法，其特征在于，所述Snort规则具体包括：对所述目标流量的原始数据包按照规则头进行规则动作、协议、源信息和目的信息过程检验。


7.根据权利要求6所述的方法，其特征在于，所述S3具体包括：
判断所述规则头所检测的目标流量内容，并与所述基础安全网络流量行程记录比较源信息并...

【专利技术属性】
技术研发人员：陈盼音，
申请(专利权)人：长扬科技北京有限公司，
类型：发明
国别省市：北京;11