一种基于行为体积的主机行为在线异常检测方法技术

本申请属于网络空间安全领域，具体是一种基于行为体积的主机行为在线异常检测方法。本发明专利技术分为两个阶段，在学习阶段，首先从流量中采集主机的多维行为特征，得到多组特征出入比，其次以特征出入比集合为参数计算每个网络主机的行为体积，通过连续周期内的流量采集以及多次行为体积计算得到主机行为体积集合，以此确定每个主机的行为体积的阈值；在异常检测阶段，首先对某个时间窗口内的主机行为体积进行实时计算，其次将主机行为体积与学习阶段获得的阈值进行对比，超过或低于阈值则输出该主机行为异常告警记录。针对每个主机计算行为体积，并以体积阈值为条件进行异常检测，能够一次性检测多个特征的异常，而不需要针对每个特征进行单独检测。征进行单独检测。征进行单独检测。

【技术实现步骤摘要】
一种基于行为体积的主机行为在线异常检测方法


[0001]本申请属于网络空间安全领域，具体是用于对主机行为在线异常进行检测并发出告警的一种基于行为体积的主机行为在线异常检测方法。

技术介绍

[0002]网络主机的行为异常检测是网络安全、网络管理领域的重要课题。多种原因可能导致主机的行为异常，例如：木马病毒可能导致主机网络访问行为的异常，网络链路的不稳定或拓扑结构的变化可能导致主机行为特征的重大变化，遭受DDoS攻击可能导致网络服务器被访问次数的异常，等等。网络流量异常检测是发现网络攻击的重要手段，因此，针对网络主机的行为异常检测，对于保障网络安全、发现恶意攻击、检测网络故障等具有重要意义。
[0003]异常检测的方法各种各样，所有这些的思想都是:异常的数据对象是不寻常的，或者在某些方面与其他对象不一致。根据检索，目前常见的网络主机行为异常流量的检测方法有以下几种。
[0004](1)基于数据挖掘的异常检测。通过采集大量的网络流量数据，采用抽样选取特定目标数据，对数据进行预处理及变换，然后应用数据挖掘算法，如分类、聚类分析、序列分析等，总结入侵行为的规律，从而建立起比较完备的规则库，进而通过一定的判断规则，对流量数据中的异常进行检测。
[0005](2)基于数字信号处理的异常检测。对于非稳定的信号，利用小波变换等数字信号处理技术通过对一个指标的全部采样值进行分析，将其拆分为不同的分量，通过计算不同分量的方差，来按照一定的概率发现指标异常。通过分析不同的尺度下逼近信号和细节信号，可以方便的从中检测到异常流量。
[0006](3)基于机器学习的异常检测。通过对输入信息的学习，构造输入和输出的关系模型，通过自动学习与更新，可以准确的表达非线性关系。当有新的输入进入时，可以良好的预测输出的情况。因此对于下一时间节点预测的错误概率一定程度上可以反过来代表该时间节点的行为异常程度。
[0007]上述的方法各有优点，都可以在一定程度上检测网络主机行为的异常，但是均存在不同程度的时间和空间复杂度高的问题，如下：
[0008](1)基于数据挖掘的异常检测方法需要累计大量的高维特征数据样本，然后对不同维度特征的样本数据进行统计和分析，除此，流量异常检测系统通常把整体流量作为处理对象,但由于流量特征维度高,因此导致流量异常检测系统计算复杂度高；
[0009](2)基于数字信号处理的异常检测方法需要对多维度行为特征数据的原始时间序列进行分解，有较多的冗余数据参与到处理过程中，其分析维度和时间空间复杂度更高，随着数据的增加，计算的复杂度可能呈指数型增长，极大的制约了流量异常检测的发展；
[0010](3)基于机器学习的异常检测方法需要对高维原始时间序列进行分别预测，或针对多维特征构造训练集并开展离线机器学习，随着流量特征维数以及噪声数据的增加，基
于传统机器学习的流量异常检测方法面临流量特征提取准确性、鲁棒性差等问题，在一定程度上降低了流量攻击检测性能。
[0011]综上，现有算法存在时间空间复杂度高、检测不及时等问题，无法满足实时、轻量级的异常检测需求。同时，现有异常检测大多基于单个行为特征进行单独异常检测和告警，较少对多个特征进行混合异常检测。

技术实现思路

[0012]为解决现有技术中存在的下述问题：(1)现有算法存在时间空间复杂度高、检测不及时等问题，无法满足实时、轻量级的异常检测需求；(2)现有异常检测大多基于单个行为特征进行单独异常检测和告警，较少对多个特征进行混合异常检测；(3)现有检测方法大多基于对已有异常数据的统计学习，对未知异常的检出率较低。现在特别提出一种基于行为体积的主机行为在线异常检测方法。
[0013]本专利技术采用如下技术方案：
[0014]一种基于行为体积的主机行为在线异常检测方法，其特征在于，包括第一阶段和第二阶段；
[0015]第一阶段：学习阶段，首先从流量中采集主机的多维行为特征，得到多组特征出入比，其次以特征出入比集合为参数计算每个网络主机的行为体积，进一步通过连续周期内的流量采集以及多次行为体积计算得到主机行为体积集合，以此确定每个主机的行为体积的阈值；
[0016]第二阶段：异常检测阶段，首先对某个时间窗口内的主机行为体积进行实时计算，其次将主机行为体积与学习阶段获得的阈值进行对比，超过或低于阈值则输出该主机行为异常告警记录。
[0017]其中，所述第一阶段包括以下步骤：
[0018]步骤1、从流量中采集主机的多维行为特征出入比，在固定时间窗口T内，从网络流量中采集主机的行为特征，并将每个特征按照报文流入或流出方向，分为“输入特征”和“输出特征”，定义输入特征与输出特征的比值为“特征出入比”r；
[0019]步骤2、以特征出入比集合为参数计算每个网络主机的行为体积，将时间周期T内获得的某个主机的多个特征出入比相乘，获得该主机在时间周期T内的行为体积V，计算方法为V＝r1×
r2×…×
r
n
，其中n为特征数量；
[0020]步骤3、通过连续多个时间周期T，可以得到多组特征出入比集合，分别对多组特征出入比集合进行计算，可以获得某个主机的多个行为体积计算结果，即V＝{V1,V2,
…
,V
m
}，其中m为学习阶段的时间周期个数；
[0021]步骤4、确定主机的行为体积界限，取最大值的3倍为该主机的行为体积上界阈值，定义为Vmax＝3
×
max(V1,V2,
…
,V
m
)，取最小值的0.3倍为该主机的行为体积下界阈值，定义为Vmin＝0.3
×
min(V1,V2,
…
,V
m
)。
[0022]其中，所述第二阶段包括以下步骤：
[0023]S1、在每个与步骤1相同的时间周期T内，对某个时间窗口内的主机多维行为特征出入比、行为体积进行实时计算，计算过程分别与步骤1和步骤2过程相同，行为体积计算结果定义为Vt；
[0024]S2、对比Vt与Vmax，如果Vt>Vmax，则输出异常告警记录；
[0025]S3、对比Vt与Vmin，如果Vt<Vmin，则输出异常告警记录。
[0026]其中，所述步骤1包括以下步骤：
[0027]步骤1.1、针对“行为特征i”，首先捕获主机在时间周期T内从网络中输入的“行为特征i”报文，定义为“输入行为特征i”，再捕获主机在时间周期T内向网络输出的“行为特征i”报文，定义为“输出行为特征i”；
[0028]步骤1.2、令“输出行为特征i”加1，除以“输入行为特征i”加1，得到的比值定义为“行为特征i出入比”，即ri＝(i_out+1)/(i_in+1)，其中ri为行为特征i出入比，i_out为输出报文数量，i_in为输入报文数量；
[0029]步骤1.3、通过一个完整时间周期T的观测，可以采集到本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于行为体积的主机行为在线异常检测方法，其特征在于，包括第一阶段和第二阶段；第一阶段：学习阶段，首先从流量中采集主机的多维行为特征，得到多组特征出入比，其次以特征出入比集合为参数计算每个网络主机的行为体积，进一步通过连续周期内的流量采集以及多次行为体积计算得到主机行为体积集合，以此确定每个主机的行为体积的阈值；第二阶段：异常检测阶段，首先对某个时间窗口内的主机行为体积进行实时计算，其次将主机行为体积与学习阶段获得的阈值进行对比，超过或低于阈值则输出该主机行为异常告警记录。2.根据权利要求1所述的一种基于行为体积的主机行为在线异常检测方法，其特征在于，所述第一阶段包括以下步骤：步骤1、从流量中采集主机的多维行为特征出入比，在固定时间窗口T内，从网络流量中采集主机的行为特征，并将每个特征按照报文流入或流出方向，分为“输入特征”和“输出特征”，定义输入特征与输出特征的比值为“特征出入比”r；步骤2、以特征出入比集合为参数计算每个网络主机的行为体积，将时间周期T内获得的某个主机的多个特征出入比相乘，获得该主机在时间周期T内的行为体积V，计算方法为V＝r1×
r2×…×
r
n
，其中n为特征数量；步骤3、通过连续多个时间周期T，可以得到多组特征出入比集合，分别对多组特征出入比集合进行计算，可以获得某个主机的多个行为体积计算结果，即V＝{V1,V2,
…
,V
m
}，其中m为学习阶段的时间周期个数；步骤4、确定主机的行为体积界限，取最大值的3倍为该主机的行为体积上界阈值，定义为Vmax＝3
×
max(V1,V2,
…
,V
m
)，取最小值的0.3倍为该主机的行为体积下界阈值，定义为Vmin＝0.3
×
mi...

【专利技术属性】
技术研发人员：李露，黄鹂声，张锋军，石凯，汪文勇，翟圣杰，赵官凌，鲁蒙娜，
申请(专利权)人：电子科技大学，
类型：发明
国别省市：