CN106850637B - 一种基于流量白名单的异常流量检测方法 - Google Patents
一种基于流量白名单的异常流量检测方法 Download PDFInfo
- Publication number
- CN106850637B CN106850637B CN201710077313.0A CN201710077313A CN106850637B CN 106850637 B CN106850637 B CN 106850637B CN 201710077313 A CN201710077313 A CN 201710077313A CN 106850637 B CN106850637 B CN 106850637B
- Authority
- CN
- China
- Prior art keywords
- network
- session
- white list
- layer protocol
- flow
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于流量白名单的异常流量检测方法,具体包括以下步骤:S1:模拟测试期间:S1‑1:新建任务模板,定义合规通信规则集合,S1‑2:监听模拟测试期间网络流量,建立流量白名单,S2:基于模拟测试期间建立的流量白名单,在网络实际运行过程中,捕获网络数据包,从数据包中分析提取出网络八元组信息,对实时捕获的每一条网络流量进行比较判断,发现实际网络流量中隐存的异常流量;可以判定网络会话是正常的,还是来自于异常的网络行为。
Description
技术领域
本发明涉及一种检测方法,具体是一种基于流量白名单的异常流量检测方法。
背景技术
当前,针对网络面临的安全威胁,包括病毒、木马、垃圾邮件等,常用的防护方法包括黑名单技术、白名单技术和行为检测技术等。
行为检测技术是通过检查代码的特征和规律来评估代码的风险,签名和基于异常行为的安全机制也属于行为安全技术的一种。根据其行为模式被认为可能构成威胁的某些文件和程序将被阻止。对于那些没有被归类为“好”或“坏”的程序或者文件,则可以采用行为安全技术,该技术是发现新威胁(在发生攻击之前)的有效但不完美的方法。
黑名单是一种防止已知恶意程序运行或者防止已知垃圾邮件发送者和其他不受欢迎的发件人向用户发送邮件的简单有效的方法,更新黑名单可以通过更新服务器来快速实现,大多数防病毒程序使用的就是黑名单技术来阻止已知威胁,垃圾邮件过滤器往往需要依赖于黑名单技术。黑名单技术只在某些应用中能够发挥良好作用,并且要确保黑名单内容的准确性和完整性。
白名单技术的宗旨是不阻止某些特定的事物,它采用了与黑名单技术相反的做法,利用一份“已知为良好”的实体(程序、电子邮件地址、域名、网址)名单,阻止不在名单中的事物在网络中运行。
白名单技术的优点是:没有必要运行必须不断更新的防病毒软件,任何不在名单上的对象将被阻止运行;系统能够免受零日攻击。白名单技术相对简单,能够有效控制进入网络或者机器上运行的程序,而名单上之外的实体都不能运行或者通过。当单独使用白名单技术时,它能够非常有效地阻止恶意软件和垃圾邮件,但是同样也可能会阻止合法代码的运行和合法邮件的通过。在商业环境中,当在计算机上运行代码时,纯粹的白名单技术是最安全的解决方案。
目前,大多数的系统和软件都应用了黑白名单技术,杀毒软件、防火墙、操作系统、邮件系统、应用软件等,凡是涉及到系统控制方面几乎都应用了黑白名单技术。黑名单启用后,被列入到黑名单的对象(如邮件、病毒、IP地址等)将不能通过,黑名单以外的对象都能通过;白名单启用后,只有在白名单中的对象(如邮件、病毒、IP地址等)才能通过,白名单以外的对象都不能通过。
白名单技术的准入控制特点为受控网络的安全防护提供了新的方法。受控网络是指在网络通信过程中,专门制订了网络通信规范,对其入网终端、可以安装的应用程序及网络会话等均设定了相关要求,以确保网络在预定的模式下运行的一种互联网络。基于受控网络的控制特点,可以建立其网络流量白名单,依此发现网络实际运行过程中因病毒、蠕虫、木马及恶意违规操作等引起的异常流量,实现对网络异常行为的准确发现和定位。
白名单的相关定义:
传统的网络会话一般由网络五元组定义,即:
{源IP,源端口,目的IP,目的端口,传输层协议}
但在受控网络环境下,仅通过定义网络五元组还不足以确定网络会话是否合规,还需要辅助以其它相关元素确定会话的合规性。为此,我们在网络五元组的基础上增加网络层协议、应用层协议及流速阈值三个元素建立网络八元组,依此来定义流量白名单的规则。
流量白名单定义如下:
定义1:流量白名单:由网络八元组构成,即:
{源IP,源端口,目的IP,目的端口,网络层协议,传输层协议,应用层协议,流速阈值}
在建立流量白名单过程中,需要针对其涵盖的八个元素分别建立集合,实现对网络会话的约束。对以上流量白名单八元组的定义分别如下:
定义2:源IP、目的IP:规范网络实际运行过程中允许接入网络的所有终端的IP地址。如果不在此集合中,则证明该IP地址为违规接入终端。
定义3:源端口、目的端口:规范网络实际运行过程中可以建立网络会话的通信端口。如果不在此集合中,则证明该网络会话为异常流量。
定义4:网络层协议:规范网络实际运行过程中网络层可以运行的通信协议。如果不在此集合中,则证明该网络会话为异常流量。目前,通用的网络层协议为IPV4,未来根据应用发展需要会扩展到IPV6。
定义5:传输层协议:规范网络实际运行过程中传输层可以运行的通信协议。如果不在此集合中,则证明该网络会话为异常流量。
定义6:应用层协议:规范网络实际运行过程中应用层可以运行的通信协议。如果不在此集合中,则证明该网络会话为异常流量。
定义7:流速阈值:规范网络实际运行过程中某个网络会话流速的峰值。在受控网络环境中,网络业务一般按照预定的流速传输数据,如果超出流速峰值上限范围,则证明该网络会话为异常流量。其具体定义如下公式:
TrafficVelocity=TrafficSum/(Time2-Time1)
即,从Time1到Time2这段时间内传输数据的速度。
此外,在受控网络中,通常存在一些专用的安管设备,用于对网络中的接入设备进行安全测试。比如为了测试一些网络设备是否联通,安管设备会对其进行调试,此时安管设备会发送大量的ping包。一般情况下,入侵检测系统会将这些现象定义为异常。所以,安管设备被误检的情况时有发生。
发明内容
本发明的目的是提供一种基于流量白名单的异常流量检测方法,可以判定网络会话是正常的,还是来自于异常的网络攻击。
为实现上述目的,本发明采用的技术方案是:一种基于流量白名单的异常流量检测方法,其特征在于,具体包括以下步骤:
S1:模拟测试期间:
{源IP,源端口,目的IP,目的端口,网络层协议,传输层协议,应用层协议,会话流速阈值};
S1-2:监听模拟测试期间网络流量,包括:网络组织机构、通信协议、传输层端口规范、入网主机会话规范、通信协议对应关系、入网主机规范、Ping会话规范、特例设备规范,依此建立流量白名单;
S2:基于模拟测试期间建立的流量白名单,在网络实际运行过程中,捕获网络数据包,分析提取出网络八元组信息,对实时捕获的每一条网络流量进行比较判断,发现实际网络流量中隐存的异常流量;
S2-1:捕获一条网络会话,提取网络会话元素,包括:源主机SrcIP、源端口SrcPort、目的主机DstIP、目的端口DstPort、应用层协议AppPtl、传输层协议TrpPtl、网络层协议NtkPtl、流速阈值Threshold;
S2-2:将会话元素与已经建立的流量白名单进行匹配(采用并的关系,全部匹配){源IP,源端口,目的IP,目的端口,网络层协议,传输层协议,应用层协议,单向会话流速阈值},若匹配结果为YES,执行步骤S2-3,若匹配结果为NO,执行步骤S2-4;
S2-3:对已建立的流量白名单集合进行更新完善;
S2-4:将会话元素与已经建立的流量白名单继续进行匹配
{源IP,源端口,目的IP,目的端口,网络层协议,传输层协议,应用层协议},但会话阈值超限,若匹配结果为YES,执行步骤S2-5,若匹配结果为NO,执行步骤S2-6;
S2-5:建立会话灰名单;
S2-6:将会话元素与已经建立的流量白名单再继续进行匹配;
{源IP,源端口,目的IP,目的端口,网络层协议,传输层协议,应用层协议},若匹配结果为YES,执行步骤S2-8,若匹配结果为NO,执行步骤S2-7;
S2-7:建立会话黑名单;
S2-8:针对Ping会话,匹配{特例设备}针对发出Ping的设备,设定周期阈值,若匹配结果YES,执行步骤S2-9,若匹配结果为NO,执行步骤S2-10;
S2-9:正常,不报警;
S2-10:统计分析Ping特征,进行异常判别,若为恶意,执行步骤S2-7,若为异常,执行步骤S2-5。
本发明的有益效果是:该检测方法可以判定网络会话是正常的,还是来自于异常的网络攻击,从而保证网络的正常运行。
附图说明
图1是本发明模拟测试期间流程图,
图2是本发明的网络实际运行期间流程图,
具体实施方式
下面结合附图对本发明作进一步详细说明。
如图1至图2所示,一种基于流量白名单的异常流量检测方法,其特征在于,具体包括以下步骤:
S1:模拟测试期间:
{源IP,源端口,目的IP,目的端口,网络层协议,传输层协议,应用层协议,会话流速阈值};
S1-2:监听模拟测试期间网络流量,包括:网络组织机构、通信协议、传输层端口规范、入网主机会话规范、通信协议对应关系、入网主机规范、Ping会话规范、特例设备规范,依此建立流量白名单;
S2:基于模拟测试期间建立的流量白名单,在网络实际运行过程中,捕获网络数据包,分析提取网络会话八元组信息,对实时捕获的每一条网络流量进行比较判断,发现实际网络流量中隐存的异常流量;
S2-1:捕获一条网络会话,提取网络会话元素,包括:源主机SrcIP、源端口SrcPort、目的主机DstIP、目的端口DstPort、应用层协议AppPtl、传输层协议TrpPtl、网络层协议NtkPtl、流速阈值Threshold;
S2-2:将会话元素与已经建立的流量白名单进行匹配(采用并的关系,全部匹配){源IP,源端口,目的IP,目的端口,网络层协议,传输层协议,应用层协议,单向会话流速阈值},若匹配结果为YES,执行步骤S2-3,若匹配结果为NO,执行步骤S2-4;
S2-3:对已建立的流量白名单集合进行更新完善;
S2-4:将会话元素与已经建立的流量白名单继续进行匹配
{源IP,源端口,目的IP,目的端口,网络层协议,传输层协议,应用层协议},但会话阈值超限,若匹配结果为YES,执行步骤S2-5,若匹配结果为NO,执行步骤S2-6;
S2-5:建立会话灰名单;
S2-6:将会话元素与已经建立的流量白名单再继续进行匹配;
{源IP,源端口,目的IP,目的端口,网络层协议,传输层协议,应用层协议},若匹配结果为YES,执行步骤S2-8,若匹配结果为NO,执行步骤S2-7;
S2-7:建立会话黑名单;
S2-8:针对Ping会话,匹配{特例设备}针对发出Ping的设备,设定周期阈值,若匹配结果YES,执行步骤S2-9,若匹配结果为NO,执行步骤S2-10;
S2-9:正常,不报警;
S2-10:统计分析Ping特征,进行异常判别,若为恶意,执行步骤S2-7,若为异常,执行步骤S2-5。
工作时,基于流量白名单定义的网络八元组,异常流量检测算法设计如下:
(1)首先,定义合规通信规则集合,包括:
(2)捕获网络数据包,提取如下的网络会话元素,包括:
源主机SrcIP、源端口SrcPort、目的主机DstIP、目的端口DstPort、应用层协议AppPtl、传输层协议TrpPtl、网络层协议NtkPtl、流速阈值Threshold;
异常流量检测算法如下:
Claims (1)
1.一种基于流量白名单的异常流量检测方法,其特征在于,具体包括以下步骤:
S1:模拟测试期间:
S1-1:新建任务模板,定义合规通信规则集合,包括:网络组织机构集合入网主机集合特例设备集合通信协议集合通信协议层次对应关系集合传输层端口集合流速阈值集合通过定义网络八元组依此来定义流量白名单所包含的项目:
{源IP,源端口,目的IP,目的端口,网络层协议,传输层协议,应用层协议,会话流速阈值};
S1-2:监听模拟测试期间网络流量,包括:网络组织机构、通信协议、传输层端口规范、入网主机会话规范、通信协议对应关系、入网主机规范、Ping会话规范、特例设备规范,建立流量白名单;
S2:基于已经建立的流量白名单进行判断,建立流量白名单集合、灰名单和黑名单,包括,基于模拟测试期间建立的流量白名单,在网络实际运行过程中,捕获网络数据包,从数据包中分析提取网络八元组信息,对实时捕获的每一条网络流量进行比较判断,发现实际网络流量中隐存的异常流量;
S2-0:捕获一条网络会话,判断网络会话是否为Ping会话,如果是Ping会话,执行步骤S2-8,如果不是Ping会话,执行步骤S2-1;
S2-1:提取网络会话元素,包括:源主机SrcIP、源端口SrcPort、目的主机DstIP、目的端口DstPort、应用层协议AppPtl、传输层协议TrpPtl、网络层协议NtkPtl、流速阈值Threshold;
S2-2:将会话元素与已经建立的流量白名单进行匹配,匹配项目为{源IP,源端口,目的IP,目的端口,网络层协议,传输层协议,应用层协议,单向会话流速阈值},对上述匹配项目中每一项进行匹配,若全部匹配结果为YES,执行步骤S2-3,若存在匹配结果为N0,执行步骤S2-4;
S2-3:对流量白名单集合进行更新完善,将会话记录存入白名单规则库;
S2-4:将会话元素与已经建立的流量白名单继续进行匹配,匹配项目为{源IP,源端口,目的IP,目的端口,网络层协议,传输层协议,应用层协议},判断是否仅为会话阈值超限,若全部匹配结果为YES,即仅为会话阈值超限,执行步骤S2-5,若存在匹配结果为N0,执行步骤S2-6;
S2-5:建立会话灰名单,将会话记录存入灰名单规则库;
S2-6:将会话元素与已经建立的流量白名单再继续进行匹配,匹配项目为{源IP,源端口,目的IP,目的端口,网络层协议,传输层协议,应用层协议},若全部匹配结果为YES,执行步骤S2-8,若存在匹配结果为N0,执行步骤S2-7;
S2-7:建立会话黑名单,将会话记录存入黑名单规则库;
S2-8:针对Ping会话,判断是否来自{特例设备},如果是,执行步骤S2-9,如果不是,针对发出Ping的设备,将其与预先设定的周期阈值做匹配,若匹配结果YES,执行步骤S2-9,若匹配结果为N0,执行步骤S2-10;
S2-9:正常,不报警;
S2-10:统计分析Ping特征,进行异常判别,若为恶意,执行步骤S2-7,若为异常,执行步骤S2-5。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710077313.0A CN106850637B (zh) | 2017-02-13 | 2017-02-13 | 一种基于流量白名单的异常流量检测方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710077313.0A CN106850637B (zh) | 2017-02-13 | 2017-02-13 | 一种基于流量白名单的异常流量检测方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN106850637A CN106850637A (zh) | 2017-06-13 |
CN106850637B true CN106850637B (zh) | 2020-02-04 |
Family
ID=59128698
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201710077313.0A Expired - Fee Related CN106850637B (zh) | 2017-02-13 | 2017-02-13 | 一种基于流量白名单的异常流量检测方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN106850637B (zh) |
Families Citing this family (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107360178A (zh) * | 2017-07-31 | 2017-11-17 | 郑州云海信息技术有限公司 | 一种使用白名单控制网络访问的方法 |
CN108200068B (zh) * | 2018-01-08 | 2020-07-14 | 平安科技(深圳)有限公司 | 端口监控方法、装置、计算机设备及存储介质 |
CN108768773B (zh) * | 2018-05-29 | 2020-09-18 | 浙江每日互动网络科技股份有限公司 | 一种基于ip地址的鉴别真实流量的方法 |
CN109462617B (zh) * | 2018-12-29 | 2022-04-15 | 北京威努特技术有限公司 | 一种局域网中设备通讯行为检测方法及装置 |
CN109889547B (zh) * | 2019-03-29 | 2021-10-26 | 新华三信息安全技术有限公司 | 一种异常网络设备的检测方法及装置 |
CN111404805B (zh) * | 2020-03-12 | 2022-11-22 | 深信服科技股份有限公司 | 一种垃圾邮件检测方法、装置、电子设备及存储介质 |
CN111614611B (zh) * | 2020-04-01 | 2022-11-08 | 中国电力科学研究院有限公司 | 一种用于电网嵌入式终端的网络安全审计方法及装置 |
CN111917802B (zh) * | 2020-08-19 | 2021-11-23 | 北京微步在线科技有限公司 | 一种入侵检测规则测试平台及测试方法 |
TWI736456B (zh) * | 2020-10-27 | 2021-08-11 | 財團法人資訊工業策進會 | 異常封包偵測裝置及方法 |
CN112769867A (zh) * | 2021-02-05 | 2021-05-07 | 国网福建省电力有限公司电力科学研究院 | 一种针对变电站仿真设备的安全评估方法 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103746996A (zh) * | 2014-01-03 | 2014-04-23 | 汉柏科技有限公司 | 一种防火墙的报文过滤方法 |
CN105141604A (zh) * | 2015-08-19 | 2015-12-09 | 国家电网公司 | 一种基于可信业务流的网络安全威胁检测方法及系统 |
CN105991587A (zh) * | 2015-02-13 | 2016-10-05 | 中国移动通信集团山西有限公司 | 一种入侵检测方法及系统 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20120090027A1 (en) * | 2010-10-12 | 2012-04-12 | Electronics And Telecommunications Research Institute | Apparatus and method for detecting abnormal host based on session monitoring |
-
2017
- 2017-02-13 CN CN201710077313.0A patent/CN106850637B/zh not_active Expired - Fee Related
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103746996A (zh) * | 2014-01-03 | 2014-04-23 | 汉柏科技有限公司 | 一种防火墙的报文过滤方法 |
CN105991587A (zh) * | 2015-02-13 | 2016-10-05 | 中国移动通信集团山西有限公司 | 一种入侵检测方法及系统 |
CN105141604A (zh) * | 2015-08-19 | 2015-12-09 | 国家电网公司 | 一种基于可信业务流的网络安全威胁检测方法及系统 |
Also Published As
Publication number | Publication date |
---|---|
CN106850637A (zh) | 2017-06-13 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN106850637B (zh) | 一种基于流量白名单的异常流量检测方法 | |
CN110495138B (zh) | 工业控制系统及其网络安全的监视方法 | |
EP3111613B1 (en) | Malicious encrypted traffic inhibitor | |
Ghorbani et al. | Network intrusion detection and prevention: concepts and techniques | |
US7757283B2 (en) | System and method for detecting abnormal traffic based on early notification | |
EP3111614B1 (en) | Malicious encrypted network traffic identification | |
EP3111612B1 (en) | Profiling for malicious encrypted network traffic identification | |
US8230505B1 (en) | Method for cooperative intrusion prevention through collaborative inference | |
EP2008188B1 (en) | Software vulnerability exploitation shield | |
Feily et al. | A survey of botnet and botnet detection | |
Gupta et al. | An ISP level solution to combat DDoS attacks using combined statistical based approach | |
EP3297248B1 (en) | System and method for generating rules for attack detection feedback system | |
US9253153B2 (en) | Anti-cyber hacking defense system | |
JP2015528263A (ja) | ネットワークトラフィック処理システム | |
JP2006352669A (ja) | 攻撃検知・防御システム | |
Zitta et al. | Penetration testing of intrusion detection and prevention system in low-performance embedded IoT device | |
US12021836B2 (en) | Dynamic filter generation and distribution within computer networks | |
Saad et al. | A study on detecting ICMPv6 flooding attack based on IDS | |
Al-Shareeda et al. | Sadetection: Security mechanisms to detect slaac attack in ipv6 link-local network | |
Asha et al. | Analysis on botnet detection techniques | |
Limmer et al. | Survey of event correlation techniques for attack detection in early warning systems | |
Prabhu et al. | Network intrusion detection system | |
Skrzewski | System network activity monitoring for malware threats detection | |
David et al. | Intrusion Detection Using Flow-Based Analysis of Network Traffic | |
Konorski et al. | A virtualization-level future internet defense-in-depth architecture |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20200204 Termination date: 20210213 |