CN105491055B - 一种基于移动代理的网络主机异常事件检测方法 - Google Patents

Abstract

本发明公开了一种基于移动代理的网络主机异常事件检测方法，根据监控系统的检测结果，派遣主机数据采集与分析移动代理到敏感主机，执行数据采集和安全分析任务。首先通过移动代理采集目标主机中包括CPU利用率、硬盘IO、网络流量、系统进程、内存利用率等主机资源信息。采用黑白名单方法判断是否存在非法进程，采用NetFlow模型提取流量特征并和正常模式比较判断是否存在异常流量,采用多源信息融合方法对主机信息进行融合分析判断是否存在异常。根据分析结果，对异常主机采取动态隔离的管控策略，降低其对其他网络主机的安全威胁。本专利所提出的主机数据收集和异常行为检测方法简单高效，数据采集和分析任务量较小，可以实时在线应用。

Description

一种基于移动代理的网络主机异常事件检测方法

技术领域

本发明属于互联网主机系统安全技术领域，更具体地，涉及一种基于移动代理的网络主机信息采集与异常事件检测方法。

背景技术

随着互联网技术的发展，网络的管理问题愈加严重。当前局域网面临着系统架构不合理、内网软硬件资源管理不透明、内网服务器压力过大、病毒木马的肆虐传播等诸多问题，这些也是网络管理过程中急需解决的问题。而对网络中的主机系统进行安全检测是解决这些问题的第一步。当前的网络主机系统安全检测方法包括基于主机的入侵检测和基于行为的安全检测两种方法，基于主机的入侵检测根据主机系统的系统日志和审计记录来进行检测分析，通常在要受保护的主机上有专门的检测代理，通过对系统日志和审计记录不间断地监视和分析来发现攻击。基于行为的安全检测根据使用者的行为或资源使用状况来判断是否存在入侵。将攻击视为不同于正常的行为，通过识别任何违反正常的行为检测入侵。以上两种方法都需要对网络中的主机信息进行收集，包括CPU运行状态、IO状态、内存占用、网络带宽等，且这些信息的准确采集对检测结果的准确性具有重要影响。

现今几乎所有的网络设备都提供了SNMP或WMI的模块供管理员监测数据，管理范围广而且简单易于实现，所以为多数网络管理系统所广泛采用。主流应用为基于SNMP和WMI的信息采集方式，管理端向被管端的SNMP或WMI代理发出采集命令，通过轮询的方式来进行信息获取，而这种方式无法获取较细粒度的主机信息，也不适用于需要实时监测的应用场景。而分布式的主机采集需要在每个主机节点上部署数据采集代理，并将这些数据发送给数据分析服务器进行异常判断。这种架构往往具有单点脆弱性，一旦中央数据处理器出现故障，则系统将无法正常运行；此外，这一架构的主机入侵检测系统的所需要传输的数据量大，易导致网络通信过载；最后，由于数据分析和检测均有中央服务器执行，因此这种架构的安全控制策略实施的实时性也比较差。随着网络规模的不断扩大和对服务质量要求的提高，集中式系统具有效率低，扩展性差的缺点，中央服务器极易成为系统瓶颈，严重影响安全监控和分析系统的效率。特别在网络带宽有限的情况下，这种分布式的检测系统需要传输大量的数据到中央服务器，会加重网络传输负荷，产生网络拥塞，影响整个网络的正常运行。

综上所述，现存的网络主机信息采集与异常事件检测方法具有实时性差、单点脆弱性明显、效率低下等缺点。而随着当前互联网规模的不断扩大，这些缺陷将越来越明显。因此，亟需一种能够适用于大规模网络、轻量级且高效的主机异常事件检测方法。

发明内容

本发明的目的在于解决现有主机数据采集与分析系统效率和可维护性较低并且不能根据检测结果实现主机管理的问题，提供一种新的基于移动代理的主机异常事件检测方法。

移动代理作为一种新兴的计算机架构体系，所具有的智能性、协作性、跨平台性等特征使其在大规模、分布式、跨平台的应用中具有巨大优势。利用移动代理所具有的这些优异特性，结合入侵检测系统的特点，非常容易构造基于移动代理的分布式入侵检测系统。这是因为，智能性是代理的根本特性，尽管移动代理不能直接改进检测技术，但是可以改变技术的应用形式，它可以自主地决定是要迁移到别处，还是留在本地主机，从而提高了入侵检测系统的效率和有效性。移动代理技术的发展和应用为克服目前入侵防御系统本质上的缺陷提供了可能性。通过把移动代理技术应用于入侵检测机制，可实现哪里有入侵哪里就有检测的系统架构模型，不仅能实现全网络范围内的入侵检测功能，具有良好的可移植性而且对网络系统和主机的资源占用也比较低，减少了出现网络瓶颈的可能性。这种分布式的检测系统把相当大的工作量移交给客户端软件或代理服务器，共同协调完成管理工作。减轻了中央服务器的工作负担，提高了系统的实时性和工作效率。

本发明提出的一种基于移动代理的网络主机异常事件检测方法包括如下步骤：

(1)根据网络安全监控系统的报警结果，获得网络中的敏感主机并存入敏感主机列表，并当定时器超时后触发更新事件，对敏感主机列表进行更新；

(2)根据敏感主机列表，派遣数据采集移动代理到敏感主机，实现特征数据的采集，所述特征数据包括CPU利用率、硬盘IO、网络流量、系统进程、内存利用率；

(3)利用进程黑白名单、流量特征匹配、多源特征融合分析层次递进的检测方法，判断所述敏感主机列表中的目标主机是否存在异常事件；

(4)如果目标主机不存在异常事件，则触发更新事件，删除敏感主机列表中对应的目标主机；如果存在异常事件，则发送通知管理员对目标主机进行详细检测的指令，并根据检查结果更新敏感主机列表。

本发明的一个实施例中，在管理员对该目标主机进行安全检查之前，采用动态隔离的方法管理目标主机的网络连接。

本发明的一个实施例中，所述步骤(2)中采集CPU利用率具体为：派遣CPU使用情况采集代理到敏感主机，按预设的CPU利用率采集周期采集CPU使用情况数据，并将所采集到的CPU使用情况数据存储到本地数据库。

本发明的一个实施例中，所述步骤(2)中采集内存利用率具体为：派遣内存使用情况采集代理到敏感主机，按预设的内存利用率采集周期采集内存使用情况数据，并将所采集到的内存使用情况数据存储到本地数据库。

本发明的一个实施例中，所述步骤(2)中采集系统进程具体为：派遣进程信息采集移动代理到敏感主机，按预设的进程采集周期采集主机目前存在的进程，并将所采集到的进程存储到本地数据库。

本发明的一个实施例中，所述步骤(2)中采集网络流量具体为：派遣网络流量采集移动代理到敏感主机，按预设的网络数据采集周期采集网络流量数据，并将网络流量数据按照NetFlow模型汇聚，形成网络流数据存储到本地数据库。

本发明的一个实施例中，所述步骤(3)具体包括：

(3.1)根据所采集的进程信息，采用进程黑白名单匹配方法判断是否存在非法进程，如果存在非法进程，则判定该敏感主机为异常主机，将其添加入异常主机列表；否则转步骤(3.2)；

(3.2)根据所收集的网络流量数据构建NetFlow网络流模型，并根据所构建的规则库判断敏感主机是否存在异常，若存在则判定该敏感主机为异常主机，并将其加入异常主机列表；否在转步骤(3.3)；

(3.3)根据所收集到的主机数据，按照时间片构建敏感主机数据特征向量，首先采用PCA方法对主机数据特征向量进行降维分析，提取其主要特征；并送入训练好的BP三层神经网络识别模型，根据识别结果判定敏感主机是否是异常主机，如是则添加进异常主机列表。

本发明的一个实施例中，所述步骤(3.2)中的规则库具体为：

规则1：单位时间内，目的端口相同的网络流数量大于20条；

规则2：单位时间内，目的地址相同的网络流数量大于20条；

规则3：单位时间内，存在某网络流其承载的数据包个数大于3000个。

本发明的一个实施例中，所述步骤(4)具体为：

(4.1)根据异常检测结果，如果敏感主机不存在异常行为，则将其从敏感主机列表删除；

(4.2)根据异常检测结果，如果敏感主机存在异常行为，则采用动态隔离方法动态阻断异常主机的网络访问，隔离策略为以预设时间为时间段间断隔离其网络接入，直至管理员对其进行了全面的安全检查。

本发明所提出的基于移动代理的网络主机异常检测方法，具有以下有益效果：

1、根据网络安全监控系统的检测结果，构建敏感主机列表，仅仅向列表中的主机派遣数据采集代理和数据分析代理。相对于传统的主机数据收集方法，大大的降低了数据采集的工作量，可以实现实时在线应用；

2、首先采用进程黑白名单匹配和网络流量特征匹配方法判断主机是否存在异常事件，判断方法简单易于实施，并且匹配规则可以根据管理员需求进行实时更新，降低了计算量也节省了时间和系统开销；

3、多源信息融合的特征检测方法中，首先采用PCA进行了数据将维和主要特征提取，这大大降低了后面神经网络的识别计算方法的复杂度，可以达到实时检测的效果；

4、根据异常检测结果，对不同主机采取不同的管理策略。对于存在异常事件的主机，在管理员对其实施详细的安全检查以前，采用动态隔离思想间断隔离其网络访问，降低对网络中其他主机的危害的同时，也尽量的不影响主机正常的网络通信。对于不确定是否存在异常事件的敏感主机，将其从敏感主机列表删除。

附图说明

图1是本发明基于移动代理的网络主机异常事件检测方法的流程示意图；

图2是图1中基于移动代理的数据采集具体流程图；

图3是图1中基于进程黑白名单和流量特征匹配的检测方法的具体流程图；

图4是本发明提出的多源信息融合异常检测方法的算法流程图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。此外，下面所描述的本发明各个实施方式中所涉及到的技术特征只要彼此之间未构成冲突就可以相互组合。

参照图1，首先获取敏感主机列表，随后从中选择一个敏感主机，并向敏感主机派送数据采集代理，根据图2所示流程图采集包括CPU利用率、硬盘IO、内存利用率、网络数据以及进程等相关信息，并将这些信息每隔5秒钟采样一次并写入数据库，将流量数据信息5秒内的数据按照NetFlow模型汇聚为网络流信息并存入数据库。

随后，派遣检测代理到敏感主机，首先根据进程黑白名单判断是否存在异常进程，如果存在异常进程，则判定为异常主机。若不存在，则根据预先设定的网络流规则判断是否存在网络流量异常，若存在，则判定为异常主机。并将所检测到的异常主机存入异常主机列表，将不存在异常的主机从敏感主机列表中删除。其中进程黑白名单和流量异常规则均为可添加。基于进程黑白名单和流量特征匹配的检测方法的具体结构框如图3所示。

接着，采取多源信息融合的思想，综合衡量CPU利用率、内存利用率、硬盘IO、进程信息以及网络流量等多源信息，进而实现异常检测。多源信息融合异常检测方法的算法流程如图4所示。首先根据所采集到的信息构建特征向量，并采用PCA进行降维和主要特征提取，随后将提取到的特征送入到训练好的BP神经网络检测模型，进而实现网络异常检测。将收集到的主机数据信息共包括11种属性，其中cpu利用率占据一个维度、硬盘IO占据两个维度、内存占用率占用一个维度、进程数量占据一个维度、流量的出入数据量占用两个维度、进出的目的IP地址数量、目的端口数量等个占据两个维度。将其分别表示为x₁,x₂…x₁₁。可以用一个n×11的矩阵来表示，其中n为记录的条数。用矩阵X_n×11表示，即：

其中，x_ij表示第j个流量属性在第i条样本上的观察值。为提取主要属性并降低后续识别算法的复杂度，随后采用目前广泛应用的数据降维技术:主成分分析方法(Principal Component Analysis,PCA)实现主要特征的提取。将特征矩阵X的协方差矩阵定义为

其中为均值向量。

(λ₁,u₁),(λ₂,u₂),…,(λ₁₁,u₁₁)是协方差矩阵的特征值和对应的特征向量对，其中特征值满足λ₁＞λ₂＞…＞λ₁₁。通过方差贡献率α来衡量不同特征值和特征向量在重构原始空间时的重要性：

通常选取α≥80％。满足上式的m值对应的特征向量构成一个特征子空间，它继承了原始数据集的主要特征，而余下的11-m维特征属性主要包含着噪声。随后，采用三成BP神经网络识别模型，即将通过PCA算法提取后的特征属性a_i ⁿ(i＝1,2,3)作为神经网络的输入，输出层为1个节点，共有4种取值，分别对应要识别的病毒、端口扫描、网络扫描、DOS等4种网络恶意应用。若存在上述攻击，则判定为异常主机，并将所检测到的异常主机存入异常主机列表，将不存在异常的主机从敏感主机列表中删除。

根据三种方法所检测到的异常主机列表，通知管理员对他们进行详细的安全检查，在没有实施安全检查之前，对列表中主机采取动态隔离的管控措施限制其网络连接。具体策略为可以每隔60秒对该主机的网络连接阻断60秒，在保证这些异常主机有网络访问的同时，也降低其对其他主机的安全威胁。

本领域的技术人员容易理解，以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。

Claims (9)

1.一种基于移动代理的网络主机异常事件检测方法，其特征在于，所述方法包括如下步骤：

(1)根据网络安全监控系统的报警结果，获得网络中的敏感主机并存入敏感主机列表，并当定时器超时后触发更新事件，对敏感主机列表进行更新；

(2)根据敏感主机列表，派遣数据采集移动代理到敏感主机，实现特征数据的采集，所述特征数据包括CPU利用率、硬盘IO、主机网络流量、系统进程、内存利用率；

(3)利用进程黑白名单、流量特征匹配、多源特征融合分析层次递进的检测方法，判断所述敏感主机列表中的目标主机是否存在异常事件；

(4)如果目标主机不存在异常事件，则触发更新事件，删除敏感主机列表中对应的目标主机；如果存在异常事件，则发送通知管理员对目标主机进行详细检测的指令，并根据检查结果更新敏感主机列表。

2.根据权利要求1所述的基于移动代理的网络主机异常事件检测方法，其特征在于，在管理员对该目标主机进行安全检查之前，采用动态隔离的方法管理目标主机的网络连接，降低其对网络中其他主机的威胁。

3.根据权利要求1或2所述的基于移动代理的网络主机异常事件检测方法，其特征在于，所述步骤(2)中采集CPU利用率具体为：

派遣CPU使用情况采集代理到敏感主机，按预设的CPU利用率采集周期采集CPU使用情况数据，并将所采集到的CPU使用情况数据存储到本地数据库。

4.根据权利要求1或2所述的基于移动代理的网络主机异常事件检测方法，其特征在于，所述步骤(2)中采集内存利用率具体为：

派遣内存使用情况采集代理到敏感主机，按预设的内存利用率采集周期采集内存使用情况数据，并将所采集到的内存使用情况数据存储到本地数据库。

5.根据权利要求1或2所述的基于移动代理的网络主机异常事件检测方法，其特征在于，所述步骤(2)中采集系统进程具体为：

派遣进程信息采集移动代理到敏感主机，按预设的进程采集周期采集主机目前存在的进程，并将所采集到的进程存储到本地数据库。

6.根据权利要求1或2所述的基于移动代理的网络主机异常事件检测方法，其特征在于，所述步骤(2)中采集网络流量具体为：

派遣网络流量采集移动代理到敏感主机，按预设的网络数据采集周期采集网络流量数据，并将网络流量数据按照NetFlow模型汇聚，形成网络流数据存储到本地数据库。

7.根据权利要求1或2所述的基于移动代理的网络主机异常事件检测方法，其特征在于，所述步骤(3)具体包括：

(3.1)根据所采集的进程信息，采用进程黑白名单匹配方法判断是否存在非法进程，如果存在非法进程，则判定该敏感主机为异常主机，将其添加入异常主机列表；否则转步骤(3.2)；

(3.2)根据所收集的网络流量数据构建NetFlow网络流模型，并根据所构建的规则库判断敏感主机是否存在异常，若存在则判定该敏感主机为异常主机，并将其加入异常主机列表；否在转步骤(3.3)；

(3.3)根据所收集到的主机数据，按照时间片构建敏感主机数据特征向量，首先采用PCA方法对主机数据特征向量进行降维分析，提取其主要特征；并送入训练好的BP三层神经网络识别模型，根据识别结果判定敏感主机是否是异常主机，如是则添加进异常主机列表。

8.根据权利要求7所述的基于移动代理的网络主机异常事件检测方法，其特征在于，所述步骤(3.2)中的规则库具体为：

规则1：单位时间内，目的端口相同的网络流数量大于20条；

规则2：单位时间内，目的地址相同的网络流数量大于20条；

规则3：单位时间内，存在某网络流其承载的数据包个数大于3000个。

9.根据权利要求1或2所述的基于移动代理的网络主机异常事件检测方法，其特征在于，所述步骤(4)具体为：

(4.1)根据异常检测结果，如果敏感主机不存在异常行为，则将其从敏感主机列表删除；

(4.2)根据异常检测结果，如果敏感主机存在异常行为，则采用动态隔离方法动态阻断异常主机的网络访问，隔离策略为以预设时间为时间段间断隔离其网络接入，直至管理员对其进行了安全检查。