CN107360118B - 一种高级持续威胁攻击防护方法及装置 - Google Patents

一种高级持续威胁攻击防护方法及装置 Download PDF

Info

Publication number
CN107360118B
CN107360118B CN201610302622.9A CN201610302622A CN107360118B CN 107360118 B CN107360118 B CN 107360118B CN 201610302622 A CN201610302622 A CN 201610302622A CN 107360118 B CN107360118 B CN 107360118B
Authority
CN
China
Prior art keywords
service
user access
access behavior
network data
current user
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201610302622.9A
Other languages
English (en)
Other versions
CN107360118A (zh
Inventor
周晓伟
余扬舜
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Mobile Group Sichuan Co Ltd
Original Assignee
China Mobile Group Sichuan Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Mobile Group Sichuan Co Ltd filed Critical China Mobile Group Sichuan Co Ltd
Priority to CN201610302622.9A priority Critical patent/CN107360118B/zh
Publication of CN107360118A publication Critical patent/CN107360118A/zh
Application granted granted Critical
Publication of CN107360118B publication Critical patent/CN107360118B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Abstract

本发明公开了一种高级持续威胁攻击防护方法,采集当前用户访问行为的网络数据包;分析所述当前用户访问行为的网络数据包,获取当前用户访问行为的业务特征;基于业务访问基线模型的业务访问规则的横向邻域半径、横向临界值以及纵向邻域半径、纵向临界值,对所述当前用户访问行为的业务特征进行异常检测;当所述当前用户访问行为的业务特征被匹配为所述业务访问基线模型的非业务访问规则时,发出异常流量告警;当所述当前用户访问行为的业务特征被匹配为所述业务访问基线模型的正常未知业务访问规则时,发出未知流量告警。同时,本发明还公开了一种高级持续威胁攻击防护装置。

Description

一种高级持续威胁攻击防护方法及装置
技术领域
本发明涉及网络安全防御技术,尤其涉及一种高级持续威胁攻击防护方法及装置。
背景技术
随着计算机技术和网络技术的快速发展,网络安全逐渐成为了一个潜在的巨大问题,层出不穷的网络安全事件如著名的美国棱镜门事件更是给人们敲响了警钟。在日益严峻的网络安全形势下,如何持续提升对网络攻击的防御能力以及能够及时发现并告警网络攻击行为,是各组织、企业IT部门关注的核心问题。其中,高级持续威胁(AdvancedPersistent Threat,APT)攻击作为目前网络攻击的主要形式,更是人们关注与研究的焦点。APT攻击是一种利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式。相比其他攻击形式,APT攻击主要具有以下几大特性:高级性,APT攻击目标非常明确,因为它在发动攻击之前会使用较为丰富的嗅探手段和全面的情报收集工具对攻击对象的业务流程和目标系统进行精确的收集,并且会主动挖掘被攻击对象受信系统和应用程序的漏洞;持续性,APT攻击的侦查和攻击过程持续时间较长,可能持续潜伏在用户环境中存在一年以上或者更久,以达到它的最终目的;高度隐蔽性,APT攻击侵入既定目标后,通常会采用在系统底层建立隐蔽后门通道并加入数字签名的方法伪装成合法程序运行在主机上。
然而,目前传统的安全防护方案应对APT攻击主要是部署防护设备,如防火墙、入侵防护系统等,而这类设备大部分都是基于已知规则进行防护,虽然一般都具有较丰富的特征库和规则库,可以防御已知的蠕虫、木马、病毒、溢出攻击、扫描攻击、暴力破解等威胁,但是越来越多的攻击者在发起攻击前,会测试是否可以绕过目标网络的安全检测,因此会使用新型的攻击手段,例如零日威胁、变形及多态等高级逃避技术、多阶段攻击等,这些新的攻击方式是传统安全机制无法有效检测和防御的。在新一代威胁下,基于签名技术的安全产品、基于边界防护的安全体系,有效性逐步降低。此外,为有效、合理的使用以及维护所述防护设备也需要维护人员具有较高的安全技术水平和丰富的安全运营维护经验,这在一定程度上也会增加企业的运营成本。
发明内容
有鉴于此,本发明的目的在于提供一种高级持续威胁攻击防护方法及装置,能够有效遏制APT攻击。
为达到上述目的,本发明的技术方案是这样实现的:
本发明提供一种高级持续威胁攻击防护方法,所述方法包括:
采集当前用户访问行为的网络数据包;
分析所述当前用户访问行为的网络数据包,获取当前用户访问行为的业务特征;
基于业务访问基线模型的业务访问规则的横向邻域半径、横向临界值以及纵向邻域半径、纵向临界值,对所述当前用户访问行为的业务特征进行异常检测;
当所述当前用户访问行为的业务特征被匹配为所述业务访问基线模型的非业务访问规则时,发出异常流量告警;
当所述当前用户访问行为的业务特征被匹配为所述业务访问基线模型的正常未知业务访问规则时,发出未知流量告警。
上述方案中,所述业务访问基线模型的建立,包括:
建立业务特征库,所述业务特征库包含各类IP业务与其业务包特征信息的对应关系;
根据所述业务特征库,对用户访问行为的网络数据包进行业务类型识别;
提取所述业务类型已识别的网络数据包中的业务特征,并将所述业务特征存储至所述业务特征库;
业务特征库中的业务特征自学习,并建立业务访问规则。
上述方案中,所述根据所述业务特征库,对用户访问行为的网络数据包进行业务类型识别之前,所述方法还包括:
采集用户访问行为的网络数据包;
按照监测业务目标,获取所述网络数据包中有效的IP数据包;
解析所述有效的IP数据包,获取所述有效的IP数据包的业务类型。
上述方案中,所述根据所述业务特征库,对用户访问行为的网络数据包进行业务类型识别,包括:
查询所述业务特征库,对所述网络数据包进行业务类型初步识别,获取第一批业务类型已识别的网络数据包和第一批业务类型未识别的网络数据包;
分析所述第一批业务类型已识别的网络数据包包头的源地址,对所述第一批业务类型已识别的网络数据包进行流向分流;
分析所述第一批业务类型未识别的网络数据包的协议号和端口号,获取第二批业务类型已识别的网络数据包和第二批业务类型未识别的网络数据包;
分析所述第二批业务类型未识别的网络数据包的数据报文,通过特征字符串匹配的方式,获取第三批业务类型已识别的网络数据包。
上述方案中,所述业务特征库中的业务特征自学习,包括:
从业务特征库中提取用户对业务特征的访问行为、所述业务特征对应的业务特征码;
查询业务特征分析表是否包含所述业务特征码,若不包含,则添加所述业务特征码至所述业务特征分析表,存储所述业务特征对应的用户访问行为样本至业务特征样本表,并记录所述业务特征码对应的用户访问行为样本数量;若包含,则判断所述业务特征对应的用户访问行为样本是否满足预置的学习参数,若满足,则存储所述业务特征对应的用户访问行为样本至业务特征样本表,并记录所述业务特征码对应的用户访问行为样本数量,否则结束分析所述用户访问行为;
判断所述业务特征码对应的用户访问行为样本数量是否大于等于所述学习参数中的第一学习阈值,若是,则统计分析所述业务特征码对应的每种用户访问行为样本的数量,获取真实业务特征流程;若否,继续分析下一个用户访问行为。
上述方案中,所述业务特征库中的业务特征自学习,还包括:
发出未知流量告警后,将所述当前用户访问行为的业务特征纳入业务特征库进行业务特征自学习。
上述方案中,所述建立业务访问规则,包括:
汇总所有业务特征对应的用户访问行为样本;
统计每种业务特征对应的用户访问行为样本数量;
判断所述每种业务特征对应的用户访问行为样本数量是否大于等于所述学习参数中的第二学习阈值,若否,则丢弃所述用户访问行为样本数量小于所述第二学习阈值的业务特征;若是,则回查所述用户访问行为样本数量大于等于所述第二学习阈值的业务特征,并生成业务访问规则。
本发明还提供了一种高级持续威胁攻击防护装置,包括:存储模块、采集模块、业务特征检测模块、检测模块、告警模块;其中,
所述存储模块,用于存储业务访问基线模型;
所述采集模块,用于采集当前用户访问行为的网络数据包;
所述业务特征检测模块,用于分析所述当前用户访问行为的网络数据包,获取当前用户访问行为的业务特征;
所述检测模块,用于基于所述业务访问基线模型的业务访问规则的横向邻域半径、横向临界值以及纵向邻域半径、纵向临界值,对所述当前用户访问行为的业务特征进行异常检测;
所述告警模块,用于当所述当前用户访问行为的业务特征被匹配为所述业务访问基线模型的非业务访问规则时,发出异常流量告警;当所述当前用户访问行为的业务特征被匹配为所述业务访问基线模型的正常未知业务访问规则时,发出未知流量告警。
上述方案中,所述装置还包括:业务访问基线模型建立模块,用于建立业务访问基线模型;所述业务访问基线模型建立模块还包括:业务特征库建立模块、业务分析处理模块、业务特征学习模块;其中,
所述业务特征库建立模块,用于建立业务特征库,所述业务特征库包含各类IP业务与其业务包特征信息的对应关系;
所述业务分析处理模块,用于根据所述业务特征库,对用户访问行为的网络数据包进行业务类型识别;
所述业务特征检测模块,还用于提取所述业务类型已识别的网络数据包中的业务特征,并将所述业务特征存储至业务特征库。
所述业务特征学习模块,用于业务特征库中的业务特征自学习,并建立业务访问规则。
上述方案中,所述装置还包括:过滤模块和解码模块;其中,
所述采集模块,还用于采集用户访问行为的网络数据包;
所述过滤模块,用于按照监测业务目标,获取所述网络数据包中有效的IP数据包;
所述解码模块,用于解析所述有效的IP数据包,获取所述有效的IP数据包的业务类型。
上述方案中,所述业务分析处理模块还包括:
预处理子模块,用于查询业务特征库,并对所述网络数据包进行业务类型初步识别,获取第一批业务类型已识别的网络数据包和第一批业务类型未识别的网络数据包;
流向分析子模块,用于分析所述第一批业务类型已识别的网络数据包包头的源地址,对所述第一批业务类型已识别的网络数据包进行流向分流,并将所述第一批业务类型已识别的网络数据包发送至分析结果存储子模块;
端口分析子模块,用于分析所述第一批业务类型未识别的网络数据包的协议号和端口号,获取第二批业务类型已识别的网络数据包和第二批业务类型未识别的网络数据包,并将所述第二批业务类型已识别的网络数据包发送至分析结果存储子模块;
特征码分析子模块,用于分析所述第二批业务类型未识别的网络数据包的数据报文,通过特征字符串匹配的方式,获取第三批业务类型已识别的网络数据包,并将所述第三批业务类型已识别的网络数据包发送至分析结果存储子模块;
分析结果存储子模块,用于接收并存储所述流向分析子模块、端口分析子模块和特征码分析子模块分别发送的第一批、第二批、第三批业务类型已识别的网络数据包。
上述方案中,所述装置还包括:更新模块,用于所述告警模块发出未知流量告警后,将所述当前用户访问行为的业务特征纳入业务特征库进行业务特征自学习。
本发明实施例提供的高级持续威胁攻击防护方法及装置,采集当前用户访问行为的网络数据包;分析所述当前用户访问行为的网络数据包,获取当前用户访问行为的业务特征;基于业务访问基线模型的业务访问规则的横向邻域半径、横向临界值以及纵向邻域半径、纵向临界值,对所述当前用户访问行为的业务特征进行异常检测;当所述当前用户访问行为的业务特征被匹配为业务访问基线模型的非业务访问规则时,则发出异常流量告警;当所述当前用户访问行为的业务特征被匹配为正常未知业务访问规则时,则发出未知流量告警。可见,利用业务访问基线模型的精准化监测功能对偏离业务访问规则的行为进行严格监控,能够从路径上有效遏制APT攻击,从而有效的弥补传统安全防护机制中基于已知规则进行APT攻击防护的不足之处;此外,操作简便,不必耗费太多的人力资源和物质资源,能够有效的降低企业的运营成本。
附图说明
图1为本发明实施例高级持续威胁攻击防护方法的实现流程示意图;
图2为本发明实施例中网络数据包业务特征分析的具体实现流程示意图;
图3为本发明实施例中业务特征库中的业务特征自学习的具体实现流程示意图;
图4为本发明实施例中建立业务访问规则的具体实现流程示意图;
图5为本发明实施例中对当前用户访问行为的业务特征进行异常检测的具体实现流程示意图;
图6为本发明实施例高级持续威胁攻击防护装置的组成结构示意图。
具体实施方式
下面结合附图及具体实施例对本发明再作进一步详细的说明。
图1为本发明实施例高级持续威胁攻击防护方法的实现流程示意图,如图1所示,所述方法包括:
步骤101:采集当前用户访问行为的网络数据包;
步骤102:分析所述当前用户访问行为的网络数据包,获取当前用户访问行为的业务特征;
步骤103:基于业务访问基线模型的业务访问规则的横向邻域半径、横向临界值以及纵向邻域半径、纵向临界值,对所述当前用户访问行为的业务特征进行异常检测;
步骤104:当所述当前用户访问行为的业务特征被匹配为所述业务访问基线模型的非业务访问规则时,发出异常流量告警;
步骤105:当所述当前用户访问行为的业务特征被匹配为所述业务访问基线模型的正常未知业务访问规则时,发出未知流量告警。
这里,所述业务访问基线模型是根据用户以前的访问行为的网络数据包建立的,以此为基础对当前用户访问行为的业务特征进行异常检测;所述业务访问基线模型包含有正常业务访问规则,能够作为判断当前用户访问行为是否正常的标准。在对当前用户访问行为的业务特征进行异常检测过程中,当所述当前用户访问行为的业务特征被匹配为所述业务访问基线模型的非业务访问规则时,表明当前访问行为存在异常,则发出异常流量告警;当所述当前用户访问行为的业务特征被匹配为所述业务访问基线模型的正常未知业务访问规则时,表明当前访问行为正常但不属于所述基线模型中的正常业务访问规则,则发出未知流量告警。
这里,建立业务访问基线模型时,首先建立一个系统或用户“正常”访问行为的业务特征库,所述业务特征库包含各类IP业务与其业务包特征信息的对应关系;然后,根据所述业务特征库,进行网络数据包业务特征分析,所述网络数据包业务特征分析主要包括两个部分:一是对用户访问行为的网络数据包进行业务类型识别,二是提取所述业务类型已识别的网络数据包中的业务特征,并将所述业务特征存储至业务特征库;最后,业务特征库中的业务特征通过自学习选择特征量即生成业务访问规则,从而建立业务访问基线模型。其中,所述特征量的选取既要能准确地体现系统或用户的行为特征,又要使模型最优化,以最少的特征量就能涵盖系统或用户的行为特征。
图2为本发明实施例中网络数据包业务特征分析的具体实现流程示意图,如图2所示,所述网络数据包业务特征分析包括以下步骤:
步骤201:采集用户访问行为的网络数据包;
具体地,监控设备通过交换机的镜像端口采集网络中用户访问行为的网络数据包,所述网络数据包可以是一天或者一天以上时间内网络中的流量数据,也可以是一小时或者一小时以上时间内网络中的流量数据。
步骤202:按照监测业务目标,获取所述网络数据包中有效的IP数据包;
具体地,按照用户设置的监测业务目标,对步骤201中采集的用户访问行为的网络数据包进行过滤,从而获取所述网络数据包中与监测业务目标相关的有效的IP数据包。
这里,为了排除网络数据包中包含的应用系统、应用程序、数据接口等与监测目标无关的数据,降低对网络数据包分析处理的复杂度,所以需要对网络数据包进行过滤。一般,监测业务的描述信息主要包括:IP地址、设备类型、应用协议,其中IP地址是形成核心应用访问策略的必要组成部分,用于标识和描述核心应用的所在地和承载设备。根据实际应用需求以及人工经验,本实施例中所述用户设置的监测业务目标中采取以IP地址、端口号、应用协议作为过滤规则,对所述网络数据包进行过滤,从而获取与设置的IP地址、端口号、应用协议相对应的有效的IP数据包,所述IP数据包包括头部和数据部分(即IP报文)。
步骤203:解析所述有效的IP数据包,获取所述有效的IP数据包的业务类型;
具体地,对所述步骤202中获取的有效的IP数据包按照IP协议解析出相应的域,所述域中包含有所述IP数据包的协议、字段等业务特征,用于为下面步骤204至步骤207中识别网络数据包的业务类型提供参考。
步骤204:查询业务特征库,对所述解析后的IP数据包的业务类型进行初步识别,获取第一批业务类型已识别的网络数据包和第一批业务类型未识别的网络数据包;
具体地,根据业务特征库中已预先定义或存储的部分业务特征,例如协议、字段等,比对步骤203中所述解析后的IP网络数据包中所包含的协议、字段等业务特征,进行网络数据包业务类型的初步识别,从而获取第一批业务类型已识别的网络数据包和第一批业务类型未识别的网络数据包。然后,第一批业务类型已识别的网络数据包执行步骤205,第一批业务类型未知的网络数据包执行步骤206。
实际应用中,也可以直接将步骤203中获取的解析后的网络数据包依次进行流向分析、端口分析和特征码分析,即依次执行步骤205、步骤206、步骤207,从而对网络数据包业务类型进行识别。
步骤205:对第一批业务类型已识别的网络数据包进行流向分析;
具体地,分析步骤204中获取的第一批业务类型已识别的网络数据包包头中的源地址,查询业务特征库,对所述第一批业务类型已识别的网络数据包按照业务类型进行分流。其中,所述流向分析可在流向分析器内完成。
步骤206:对第一批业务类型未识别的网络数据包进行端口分析,获取第二批业务类型已识别的网络数据包和第二批业务类型未识别的网络数据包;
具体地,分析步骤204中获取的第一批业务类型未识别的网络数据包的协议号和端口号,查询业务特征库,对知名网络服务和使用固定端口号的网络服务的第一批业务类型未识别的网络数据包进行业务类型识别,从而获取第二批业务类型已识别的网络数据包和第二批业务类型未识别的网络数据包。然后,对所述第二批业务类型已识别的网络数据包按照业务类型进行分流,所述第二批业务类型未识别的网络数据包执行步骤207。其中,所述端口分析可在端口分析器内完成。
这里,协议号位于IP数据包包头中,用于指出此网络数据包所携带的数据是使用何种协议,以便目的主机将网络数据包的数据部分上交给传输层的相应处理过程,例如TCP协议对应协议号6,UDP协议对应协议号17。端口号又被称为传输层服务访问节点,用于在传输层上标识应用层的应用进程。0-1023之间的端口号被称为标准端口号,被分配给一些知名的TCP/IP服务,如FTP服务的协议类型/端口号是TCP/21。因此。运用协议号+标准端口号的组合可以唯一确定一些知名网络服务的网络数据包的业务类型。
步骤207:对第二批业务类型未识别的网络数据包进行特征码分析,获取第三批业务类型已识别的网络数据包;
具体地,分析步骤206中获取的第二批业务类型未识别的网络数据包的数据报文,查询业务特征库,通过特征字符串匹配的方式识别第二批业务类型未识别的网络数据包的业务类型,获取第三批业务类型已识别的网络数据包,并将所述第三批业务类型已识别的网络数据包按照业务类型进行分流。其中,若存在第三批业务类型未识别的网络数据包,则丢弃所述第三批业务类型未识别的网络数据包。
这里,特征码分析主要是针对运用传统的源地址检测、协议号和端口号等无法识别网络数据包业务类型的检测。例如,P2P的各种应用,大多采用动态随机端口号,使用端口号分析的方法是无法确定其业务类型的。但是,任何网络业务都依赖特定的网络协议,这些协议在网络数据包的数据报文里都具有其特定的固有的特征字。,可以称之为程序签名。例如,Windows Messenger的包具有“MSMSGS”的程序签名。因此,通过在网络数据包的报文里查找程序签名的方法,可以将网络数据包匹配到相应的业务类型,即识别出网络数据包的业务类型。
步骤208:对所述第一批、第二批、第三批业务类型已识别的网络数据包进行业务流量检测,获取用户访问行为的业务特征;
具体地,采用业务流量检测技术对步骤205、步骤206、步骤207中分别获取的第一批、第二批、第三批业务类型已识别的网络数据包进行业务流量检测,获取用户访问行为的业务特征。
这里,为了能够精确高效的对由众多网络数据包组成的数据流进行检测,需要考虑多种流量检测技术共同配合使用,以达到最终的目的。本实施例中重点使用的业务流量检测技术主要包括:深度包检测(Deep Packet Inspection,DPI)技术和深度/动态流检测(Deep/Dynamic Flow Inspection,DFI)技术。
其中,DPI技术是一种基于应用层的流量检测和控制技术,当IP数据包、TCP或UDP数据流通过基于DPI技术的流量检测系统时,该系统通过深入读取IP包载荷的内容来对OSI七层协议中的应用层信息进行重组,从而得到整个应用的内容,然后按照系统定义的管理策略对流量进行整形操作,即主动调整流量输出速率。DPI的识别技术可以分为以下几大类:基于“特征字”的识别技术、应用层网关识别技术、行为模式识别技术。
然而,DFI技术是一种基于传输层的较新的应用流量监控技术,与DPI进行应用层的载荷匹配不同,DFI采用的是一种基于流量行为的应用识别技术,即不同的应用类型体现在会话连接或数据流上的状态各有不同。
步骤209:存储所述用户访问行为的业务特征至业务特征库。
具体地,关系数据库将上述步骤208中获取的用户访问行为的业务特征存储至业务特征库,并为每个业务特征定义唯一的业务特征码,所述业务特征码可通过关系数据库GUID自动生成,所述业务特征码为上述网络数据包业务特征分析后产生的唯一标识。
图3为本发明实施例中业务特征库中的业务特征自学习的具体实现流程示意图,如图3所示,包括以下步骤:
步骤301:预置学习参数;
这里,所述学习参数可以根据实际应用需求或者人工知识经验进行设置,包括第一学习阈值、第二学习阈值、第三学习阈值、学习时间周期;其中,所述第一学习阈值是指在任意一个指定时间周期内,关系数据库的业务特征样本表中任意一个业务特征码对应的所有用户访问行为样本数量的最大值,用于标识业务特征码的学习状态,即,当业务特征样本表中任意一个业务特征码对应的所有用户访问行为样本数量大于等于第一学习阈值时,则统计分析该业务特征码对应的每一种用户访问行为样本的数量,并标识该业务特征码学习已完成,否则标识该业务特征码学习未完成;所述第二学习阈值是指在学习时间周期内,同一业务特征对应的所有用户访问行为样本数量的最小值,用于判定业务特征是否为必要的业务特征,即,当同一业务特征对应的所有用户访问行为样本数量大于等于第二学习阈值时,则判定该业务特征为必要的业务特征,否则判定该业务特征为非必要的业务特征;所述学习时间周期用于限定业务特征库中业务特征自学习的时间范围,包含有一个以上指定时间周期;所述第三学习阈值用于判定任意两个对应于同一业务特征码且具有相同IP的用户访问行为样本的发生时间是否接近,若所述两个用户访问行为样本的发生时间的时间差大于等于所述第三学习阈值,则判定所述两个用户访问行为样本的发生时间不接近,否则判定所述两个用户访问行为样本的发生时间接近。
步骤302:提取用户对业务特征的访问行为、所述业务特征对应的业务特征码;
具体地,在任意一个指定时间周期内,关系型数据库从业务特征库中依次提取用户对任意一个业务特征的访问行为、所述业务特征对应的业务特征码以及所述用户访问行为的发生时间。
这里,所述业务特征库中存储有对用户访问行为的网络数据包进行业务类型识别和业务流量检测后获得的业务特征以及与所述业务特征对应的用户访问行为,且所述用户访问行为中记录有用户对业务特征进行访问的发生时间。
步骤303:查询业务特征分析表是否包含所述业务特征对应的业务特征码,如果不包含,则执行步骤304;如果包含,则执行步骤305;
具体地,根据实际应用需求以及人工知识经验,业务特征分析表中已预先存储有部分业务特征以及与之相对应的业务特征码。根据步骤302中提取的业务特征码,查询关系型数据库中的业务特征分析表,并判断业务特征分析表中是否包含所述业务特征码,如果不包含,则执行步骤304;如果包含,则执行步骤305。
步骤304:添加所述业务特征码至业务特征分析表,存储所述业务特征对应的用户访问行为样本至业务特征样本表,并记录所述业务特征码对应的用户访问行为样本数量;然后,返回步骤302,继续分析下一个用户访问行为;
具体地,如果业务特征分析表中不包含所述业务特征码,则说明所述业务特征相对于业务特征分析表而言是新的未进行自学习的特征,因此,将所述业务特征码添加至业务特征分析表,并将所述业务特征对应的用户访问行为存储至关系型数据库中的业务特征样本表进行积累。此外,还给所述业务特征码分配一个采样计数器,用于统计所述业务特征码对应的用户访问行为样本数量,并将其计数值置为1。然后,返回步骤302,继续分析下一个用户访问行为。
步骤305:判断所述业务特征码学习是否已完成,如果已完成,则结束分析所述用户访问行为,并返回步骤302;如果未完成,则执行步骤306;
具体地,如果所述业务特征分析表中包含所述业务特征码,则说明所述业务特征码相对于业务特征分析表而言是正在学习的或已完成学习的;而且,如果此时所述业务特征码对应的用户访问行为样本数量已大于等于第一学习阈值,表明所述业务特征码学习已完成,则结束分析所述用户访问行为,并返回步骤302,继续分析下一个用户访问行为;如果此时所述业务特征码对应的用户访问行为样本数量小于所述第一学习阈值,表明所述业务特征码学习未完成,则继续分析所述用户访问行为,即执行步骤306。
步骤306:判断所述用户访问行为的发生时间和业务特征样本表中对应于同一业务特征码且具有相同IP地址的用户访问行为样本的发生时间是否接近,如果接近,则结束分析所述用户访问行为,并返回步骤302;如果不接近,则执行步骤307;
具体地,如果所述业务特征分析表中包含所述业务特征码、且所述业务特征码学习未完成,若所述用户访问行为的发生时间和业务特征样本表中对应于同一业务特征码且具有相同IP地址的用户访问行为样本的发生时间的时间差小于所述第三学习阈值,即两者的发生时间接近时,结束分析所述用户访问行为,并返回步骤302,继续分析下一个用户访问行为;若所述用户访问行为的发生时间和业务特征样本表中对应于同一业务特征码且具有相同IP地址的用户访问行为样本的发生时间的时间差大于等于所述第三学习阈值,即两者的发生时间不接近时,则继续分析所述用户访问行为,即执行步骤307。
这里,当所述用户访问行为的发生时间和业务特征样本表中对应于同一业务特征码且具有相同IP地址的用户访问行为样本的发生时间接近时,可能是用户利用相同IP地址对同一个业务特征进行连续相同的访问行为。因此,为了尽可能体现对同一业务特征的访问行为之间的差异性,则不保存所述用户访问行为。
步骤307:将所述用户访问行为存储至业务特征样本表,并记录所述业务特征码对应的用户访问行为样本数量;
具体地,如果所述业务特征分析表中包含所述业务特征码、且所述业务特征码分析未完成、且所述用户访问行为的发生时间和业务特征样本表中对应于同一业务特征码且具有相同IP地址的用户访问行为样本的发生时间不接近时,则将所述用户访问行为存储至业务特征样本表,并记录当前所述业务特征码对应的用户访问行为样本数量,即将所述业务特征码对应的采样计数器的计数值加1。
步骤308:判断所述业务特征码对应的用户访问行为样本数量是否大于等于所述学习参数中的第一学习阈值,若是,则执行步骤309;若否,则返回步骤302;
具体地,判断步骤307中所述业务特征码对应的用户访问行为样本数量是否大于等于所述学习参数中的第一学习阈值,如果是,则获取业务特征的真实流程,即执行步骤309;如果否,则返回步骤302,继续分析下一个用户访问行为。
步骤309:统计所述业务特征码对应的每一种用户访问行为样本的数量,获取业务特征的真实流程。
具体地,当所述业务特征码对应的用户访问行为样本数量大于等于所述学习参数中的第一学习阈值时,统计所述业务特征码对应的每一种用户访问行为样本的数量,提取具有最大用户访问行为样本数量的访问行为作为该业务特征对应的真实流程。
这里,在不同指定时间周期内,相同业务特征所获得的对应的真实流程可能是不一样的,即相同业务特征在不同指定时间周期内所获得的具有最大用户访问行为样本数量的访问行为可能是不一样的。此外,一些业务特征在一个指定时间周期内可能完成学习,而在另一个指定时间周期内可能未进行学习。因此,每一个业务特征对应的用户访问行为样本数量可能是不一致的。所以,还需要进一步提取特征量,即建立业务访问规则。
图4为本发明实施例中建立业务访问规则的具体实现流程示意图,如图4所示,包括以下步骤:
步骤401:汇总业务特征自学习过程中所有业务特征对应的用户访问行为样本;
具体地,将在学习时间周期的每一个指定时间周期内,业务特征库中的每个业务特征通过自学习在步骤308中所获得对应的真实流程的样本数进行汇总,即汇总每个业务特征对应的用户访问行为样本。
步骤402:统计每种业务特征对应的用户访问行为样本数量;
具体地,以业务特征为单位,统计步骤401中所有业务特征对应的用户访问行为样本中,相同业务特征对应的所有用户访问行为样本数量。
步骤403:判断所述每种业务特征对应的用户访问行为样本数量是否大于等于第二学习阈值,若否,则执行步骤404;若是,则执行步骤405;
这里,所述第二学习阈值是在业务特征库中的业务特征自学习过程中已预置的,在实际运用中也可以根据每种业务特征对应的用户访问行为样本数量进行设置。如果业务特征对应的用户访问行为样本数量大于等于所述第二学习阈值,则执行步骤405;如果业务特征对应的用户访问行为样本数量小于所述第二学习阈值,则执行步骤404。
步骤404:丢弃所述业务特征;
这里,所述丢弃所述业务特征是指将用户访问行为样本数量小于第二学习阈值的业务特征判定为非必要的业务特征,不对其进行后续处理。
步骤405:回查特征样本,生成业务访问规则。
具体地,将所述用户访问行为样本数量大于等于所述第二学习阈值的业务特征进行回查,即将所述通过自学习获得的业务特征所对应的访问行为与在实际应用中该业务特征对应的访问行为进行比对,判断两者是否一致,若不一致,则认为该业务特征不是真实业务特征;若一致,则认为该业务特征是真实业务特征,即为业务访问规则。
这里,所述用户访问行为样本数量大于等于所述第二学习阈值的业务特征中,有些业务特征所对应的用户访问行为可能是错误的或者与在实际应用中该业务特征所对应的用户访问行为不符。因此,还需要与实际应用中真实的用户访问行为进行比对,从而获取业务访问规则。
基于上述方案获得的业务访问规则建立业务访问基线模型后,可以采用异常点检测技术对当前用户访问行为的业务特征进行异常检测;本实施例中以所述异常点检测技术采用基于横纵距离的异常点检测技术为例进行说明,即通过对当前用户访问行为的业务特征进行横向和/或纵向扫描判断所述当前用户访问行为是否异常,具体描述如下:
按照E.Knorr和R.Ng关于基于距离的异常数据的定义,一个异常数据是指在一个数据集合中,远离这个数据的数据较多,至少要占p*100%,从相反的角度来看,接近这个数据的数据就应该较少,至多要占(1-p)*100%。因此,从本质上讲,所谓异常数据是指相对孤立的数据,即在其邻域内数据较少的数据。
在关系数据库中,若把经过数据化并标准化处理的字段集合记为:UD={D1,D2,...,Dn},则字段Dp与集合UD间的距离为:
Figure BDA0000985314710000111
其中k为任意正整数。
当k=1时,则为绝对值距离:
Figure BDA0000985314710000121
当k=2时,则为欧式距离:
Figure BDA0000985314710000122
对于集合UD中的任一点Dp,给定一个比较小的正数δ>0,若UD中的任一点Dq满足条件:dk(Dp,Dq)<δ,则称Dq为Dp的δ-邻近点,称所有的δ-邻近点的集合为点Dp的δ-邻域。
对于UD中的任一点Dp,选取其一个经验临界值N0(视具体情况而定),设Dp的δ-邻域中的点的个数为Np,若Np<N0,则称该点Dp为UD的异常点,记为D(δ,N0)-异常点。
若某个异常数据点是单纯的数值而非向量点,则该点为单纯异常点。
设有一个关系型数据表DBT,有效字段数为m,记录数为n,字段表示为fij,其中i=1,2,3,...,n,j=1,2,3,...,m。第i条记录表示为Ri=(fi1,fi2,fi3,...,fim),第j个字段表示为Fj=(f1j,f2j,f3j,...,fnj),设横向异常点扫描的邻域半径为δ1,横向临界值为N1,纵向异常点扫描的邻域半径为δ2,纵向临界值为N2,横向扫描得到的单纯异常点集合为U1,纵向扫描得到的单纯异常点集合为U2,真正的异常点集合U,U为U1与U2的交集。
横向单纯异常点扫描是指对Ri中的异常点的判断,但问题是扫描出的中的异常点未必真是异常点。为了正确地判断真正的异常点,需对Fj也进行扫描。判断纵向的异常点,若某个异常点同时是两种扫描得到的单纯异常点,才是真正的单纯异常点。
图5为本发明实施例中对当前用户访问行为的业务特征进行异常检测的具体实现流程示意图,如图5所示,包括以下步骤:
步骤501:采集网络数据包;
具体地,监控设备通过交换机的镜像端口采集当前用户访问行为的网络数据包。
步骤502:分析所述网络数据包,获取当前用户访问行为的业务特征;
具体地,分别对步骤501中采集的当前用户访问行为的网络数据包进行流向分析、端口分析、特征码分析,从而识别出所述网络数据包的业务类型;然后,采用DPI技术和DFI技术对所述网络数据包进行业务流量检测,提取当前用户访问行为的业务特征。
步骤503:预处理业务访问基线模型的业务访问规则,并获取所述业务访问规则的横向邻域半径、横向临界值以及纵向邻域半径、纵向临界值;
这里,所述预处理业务访问基线模型的业务访问规则为:将非数值型的业务访问规则转换成数值型且数值范围在[0,1]区间内;所述获取所述业务访问规则的横向邻域半径、横向临界值以及纵向邻域半径、纵向临界值可以是从多个包含有预先给定的横向邻域半径、横向临界值以及纵向邻域半径、纵向临界值的组合中任意选择一种组合或者采用随机预置的方式进行设置。
步骤504:横向扫描当前用户访问行为的业务特征,判断当前用户访问行为是否为横向异常点,若不是,则结束分析所述业务特征;否则,执行步骤505;
具体地,根据步骤503中获取的所述业务访问规则的横向邻域半径、横向临界值,利用基于横纵距离的异常点检测算法求取当前用户访问行为的业务特征的横向邻域,若所述横向邻域内的邻近点个数小于等于所述横向临界值,则判定所述当前用户访问行为为横向异常点;若所述横向邻域内的邻近点个数大于所述横向临界值,则判定所述当前用户访问行为正常。
其中,当所述当前用户访问行为被判定是横向异常点时,所述当前用户访问行为可能是异常点,也可能不是异常点。原因在于,判断用户访问行为是否为真正异常点的充分必要条件是:所述用户访问行为既是横向异常点,又是纵向异常点,所以还需要进一步对其进行纵向扫描,即执行步骤505。
步骤505:纵向扫描当前用户访问行为的业务特征,判断所述当前用户访问行为是否为纵向异常点,若不是,则执行步骤507;若是,则执行步骤506;
具体地,根据步骤503中获取的所述业务访问规则的纵向邻域半径、纵向临界值,利用基于横纵距离的异常点检测算法求取当前用户访问行为的业务特征的纵向邻域,若所述纵向邻域内的邻近点个数小于等于所述纵向临界值,则判定所述当前用户访问行为是纵向异常点,执行步骤506;若所述纵向邻域内的邻近点个数大于所述纵向临界值,则判定所述当前用户访问行为是正常未知的,执行步骤507。
步骤506:判定当前用户访问行为是异常点,发出异常流量告警;
具体地,当所述当前用户访问行为既被判定为横向异常点,又被判定为纵向异常点时,说明当前用户访问行为是真正的异常点,则发出异常流量告警。
步骤507:判定当前用户访问行为是正常未知的,将所述当前用户访问行为的业务特征纳入业务特征库进行自学习,并发出未知流量告警。
这里,当所述当前用户访问行为是正常未知的,即所述当前用户访问行为是横向异常点,但不是纵向异常点时,可认为所述当前用户访问行为的业务特征为正常未知的新业务特征,则将所述当前用户访问行为的业务特征纳入业务特征库进行积累,当该业务特征对应的用户访问行为样本通过积累其数量达到第一学习阈值时,有机会通过自学习生成业务访问规则。
例如,以用户对WEB业务系统“用户信息查询”为例进行具体说明。在查询时,指令中加入了一个“SQL注入”的攻击脚本和一个未知的新业务(端口为7689)。通过网络旁路镜像方式获取到本次业务访问行为后,对业务特征基线模型中的WEB业务系统访问的“真实业务”(即业务访问规则)进行预处理,根据给定的横向邻域半径、横向临界值以及纵向邻域半径、纵向临界值,开始横向扫描,发现横向扫描结果的“业务流量检测”值明显偏低,,判为横向异常点。同时,也发现该条“新业务”的“端口分析”值偏低,判为横向异常点。继续使用纵向扫描对上述2个异常点进行扫描,确认“SQL注入”业务的纵向评分也明显偏低,可确认“SQL注入”为异常行为。“新业务”的纵向扫描结果显示偏离值在纵向临界值范围内,可确认为正常未知行为,并将该条“业务特征”存入“业务特征库”进行样本积累与自学习。
为实现上述高级持续威胁攻击防护方法,本发明实施例还提供了一种高级持续威胁攻击防护装置,所述高级持续威胁攻击防护装置的组成结构示意图如图6所示,该装置包括:采集模块1、业务特征检测模块4、存储模块6、检测模块7、告警模块8;其中,
所述存储模块6,用于存储业务访问基线模型;
所述采集模块1,用于采集当前用户访问行为的网络数据包;
所述业务特征检测模块4,用于分析所述当前用户访问行为的网络数据包,获取当前用户访问行为的业务特征;
所述检测模块7,用于基于所述业务访问基线模的业务访问规则的横向邻域半径、横向临界值以及纵向邻域半径、纵向临界值,对所述当前用户访问行为的业务特征进行异常检测;
所述告警模块8,用于当所述当前用户访问行为的业务特征被检测模块7匹配为所述业务访问基线模型的非业务访问规则时,发出异常流量告警;当所述当前用户访问行为的业务特征被检测模块7匹配为所述业务访问基线模型的正常未知业务访问规则时,发出未知流量告警。
这里,所述业务访问基线模型是根据用户以前的访问行为的网络数据包建立的,以此为基础对当前的流量数据进行异常检测,所述业务访问基线模型包含有正常业务访问规则,能够作为判断当前用户访问行为是否正常的标准。在对当前用户访问行为的业务特征进行异常检测过程中,当所述当前用户访问行为的业务特征被匹配为所述业务访问基线模型的非业务访问规则时,表明当前访问行为存在异常,则发出异常流量告警;当所述当前用户访问行为的业务特征被匹配为所述业务访问基线模型的正常未知业务访问规则时,表明当前访问行为正常但不属于所述基线模型中的正常业务访问规则,则发出未知流量告警。
这里,建立业务访问基线模型时,首先建立一个系统或用户“正常”访问行为的业务特征库,所述业务特征库包含各类IP业务与其业务包特征信息的对应关系;然后,根据所述业务特征库,进行网络数据包业务特征分析,所述网络数据包业务特征分析主要包括两个部分:一是对用户访问行为的网络数据包进行业务类型识别,二是提取所述业务类型已识别的网络数据包中的业务特征,并将所述业务特征存储至业务特征库;最后,业务特征库中的业务特征通过自学习选择特征量即生成业务访问规则,从而建立业务访问基线模型。其中,所述特征量的选取既要能准确地体现系统或用户的行为特征,又要使模型最优化,以最少的特征量就能涵盖系统或用户的行为特征。
进一步的,所述装置还包括:过滤模块2、解码模块3;其中,
所述采集模块1,还用于采集用户访问行为的网络数据包;
所述过滤模块2,用于根据监测业务目标,获取所述网络数据包中有效的IP数据包;
所述解码模块3,用于解析所述有效的IP数据包,获取所述有效的IP数据包的业务类型。
所述采集模块1,具体用于:利用监控设备通过交换机的镜像端口采集网络中用户访问行为的网络数据包,所述网络数据包可以是一天或者一天以上时间内网络中的流量数据,也可以是一小时或者一小时以上时间内网络中的流量数据。
所述过滤模块2,具体用于:按照用户设置的监测业务目标,对采集模块1采集的用户访问行为的网络数据包进行过滤,从而获取所述网络数据包中与监测业务目标相关的有效的IP数据包。
这里,为了排除网络数据包中包含的应用系统、应用程序、数据接口等与监测目标无关的数据,降低对网络数据包分析处理的复杂度,所以需要对网络数据包进行过滤。一般,监测业务的描述信息主要包括:IP地址、设备类型、应用协议,其中IP地址是形成核心应用访问策略的必要组成部分,用于标识和描述核心应用的所在地和承载设备。根据实际应用需求以及人工经验,本实施例中所述用户设置的监测业务目标中采取以IP地址、端口号、应用协议作为过滤规则,对所述网络数据包进行过滤,从而获取与设置的IP地址、端口号、应用协议相对应的有效的IP数据包,所述IP数据包包括头部和数据部分(即IP报文)。
所述解码模块3,具体用于:对所述过滤模块2获取的有效的IP数据包按照IP协议解析出相应的域,所述域中包含有所述IP数据包的协议、字段等业务特征,用于为业务分析处理模块50识别网络数据包的业务类型提供参考。
进一步的,所述装置还包括:业务访问基线模型建立模块5,用于建立业务访问基线模型,并将所述建立的业务访问基线模型发送至存储模块6;所述业务访问基线模型建立模块5还包括:业务分析处理模块50、业务特征库建立模块51、业务特征学习模块52;其中,
所述业务特征库建立模块51,用于建立业务特征库,所述业务特征库包含各类IP业务与其业务包特征信息的对应关系;
所述业务分析处理模块50,用于根据所述业务特征库,对用户访问行为的网络数据包进行业务类型识别;
所述业务特征检测模块4,还用于提取所述业务类型已识别的网络数据包中的业务特征,并将所述业务特征存储至所述业务特征库;
所述业务特征学习模块52,用于业务特征库中的业务特征自学习,并建立业务访问规则。
上述方案中,所述业务分析处理模块50还包括:预处理子模块501、流向分析子模块502、端口分析子模块503、特征码分析子模块504、分析结果存储子模块505;其中,
预处理子模块501,用于查询所述业务特征库,对所述解析后的IP数据包的业务类型进行初步识别,获取第一批业务类型已识别的网络数据包和第一批业务类型未识别的网络数据包;
流向分析子模块502,用于分析所述第一批业务类型已识别的网络数据包包头的源地址,对所述第一批业务类型已识别的网络数据包进行流向分流,并将所述第一批业务类型已识别的网络数据包发送至分析结果存储子模块505;
端口分析子模块503,用于分析所述第一批业务类型未识别的网络数据包的协议号和端口号,获取第二批业务类型已识别的网络数据包和第二批业务类型未识别的网络数据包,并将所述第二批业务类型已识别的网络数据包发送至分析结果存储子模块505;
特征码分析子模块504,用于分析所述第二批业务类型未识别的网络数据包的数据报文,通过特征字符串匹配的方式,获取第三批业务类型已识别的网络数据包,并将所述第三批业务类型已识别的网络数据包发送至分析结果存储子模块505;
分析结果存储子模块505,用于接收并存储所述流向分析子模块502、端口分析子模块503和特征码分析子模块504分别发送的第一批、第二批、第三批业务类型已识别的网络数据包。
所述预处理子模块501,具体用于:根据业务特征库中已预先定义或存储的部分业务特征,例如协议、字段等,比对所述解码模块3解析后的IP网络数据包中所包含的协议、字段等业务特征,进行网络数据包业务类型的初步识别,从而获取第一批业务类型已识别的网络数据包和第一批业务类型未识别的网络数据包。然后,将第一批业务类型已识别的网络数据包发送至流向分析子模块502,并将第一批业务类型未知的网络数据包发送至端口分析子模块503。
这里,在实际应用中,也可以直接将所述解码模块3解析后的IP网络数据包依次进行流向分析、端口分析和特征码分析,即依次将IP网络数据包发送至流向分析子模块502、端口分析子模块503、特征码分析子模块504,从而对网络数据包业务类型进行识别。
所述流向分析子模块502,具体用于:分析预处理子模块501发送的第一批业务类型已识别的网络数据包包头中的源地址,查询业务特征库,对所述第一批业务类型已识别的网络数据包按照业务类型进行分流,并将所述第一批业务类型已识别的网络数据包发送至分析结果存储子模块505。其中,所述流向分析子模块502可以是流向分析器。
所述端口分析子模块503,具体用于:分析预处理子模块501发送的第一批业务类型未识别的网络数据包包头中的协议号和端口号,查询业务特征库,对知名网络服务和使用固定端口号的网络服务的第一批业务类型未识别的网络数据包进行业务类型识别,从而获取第二批业务类型已识别的网络数据包和第二批业务类型未识别的网络数据包。然后,对所述第二批业务类型已识别的网络数据包按照业务类型进行分流,并将所述第二批业务类型已识别的网络数据包发送至分析结果存储子模块505,将第二批业务类型未识别的网络数据包发送至特征码分析子模块504。其中,所述端口分析子模块503可以是端口分析器。
这里,协议号位于IP网络数据包包头中,用于指出此网络数据包所携带的数据是使用何种协议,以便目的主机将网络数据包的数据部分上交给传输层的相应处理过程,例如TCP协议对应协议号6,UDP协议对应协议号17。端口号又被称为传输层服务访问节点,用于在传输层上标识应用层的应用进程。0-1023之间的端口号被称为标准端口号,被分配给一些知名的TCP/IP服务,如FTP服务的协议类型/端口号是TCP/21。因此。运用协议号+标准端口号的组合可以唯一确定一些知名网络服务的网络数据包的业务类型。
所述特征码分析子模块504,具体用于:分析端口分析子模块503发送的第二批业务类型未识别的网络数据包的数据报文,查询业务特征库,通过特征字符串匹配的方式识别第二批业务类型未识别的网络数据包的业务类型,获取第三批业务类型已识别的网络数据包,并对所述第三批业务类型已识别的数据包按照业务类型进行分流,将所述第三批业务类型已识别的网络数据包发送至分析结果存储子模块505。其中,若存在第三批业务类型未识别的网络数据包,则丢弃所述第三批业务类型未识别的网络数据包。
这里,特征码分析主要是针对运用传统的源地址、协议号和端口号等无法识别网络数据包业务类型的检测。例如,P2P的各种应用,大多采用动态随机端口号,使用端口号分析的方法是无法确定其业务类型的。但是,任何网络业务都依赖特定的网络协议,这些协议在网络数据包的数据报文里都具有其特定的固有的特征字,可以称之为程序签名。例如,Windows Messenger的包具有“MSMSGS”的程序签名。因此,通过在网络数据包的报文里查找程序签名的方法,可以将网络数据包匹配到相应的业务类型,即识别出网络数据包的业务类型。
上述方案中,所述业务特征检测模块4,具体用于:对分析结果存储子模块505中存储的第一批、第二批、第三批业务类型已识别的网络数据包进行业务流量检测,获取用户访问行为的业务特征;将所述用户访问行为的业务特征存储至业务特征库,并为每个业务特征定义唯一的业务特征码,所述业务特征码可通过关系数据库GUID自动生成,所述业务特征码为上述网络数据包业务特征分析后产生的唯一标识。
这里,为了能够精确高效的对由众多网络数据包组成的数据流进行业务流量检测,需要考虑多种流量检测技术共同配合使用,以达到最终的目的。本实施例中重点使用的业务流量检测技术主要包括:深度包检测(Deep Packet Inspection,DPI)技术和深度/动态流检测(Deep/Dynamic Flow Inspection,DFI)技术。
其中,DPI技术是一种基于应用层的流量检测和控制技术,当IP数据包、TCP或UDP数据流通过基于DPI技术的流量检测系统时,该系统通过深入读取IP包载荷的内容来对OSI(Open System Interconnection,开放系统互联)七层协议中的应用层信息进行重组,从而得到整个应用的内容,然后按照系统定义的管理策略对流量进行整形操作,即主动调整流量输出速率。然而,DFI技术是一种基于传输层的较新的应用流量监控技术,与DPI进行应用层的载荷匹配不同,DFI采用的是一种基于流量行为的应用识别技术,即不同的应用类型体现在会话连接或数据流上的状态各有不同。
上述方案中,所述业务特征学习模块52,具体用于预置学习参数,包括:第一学习阈值、第二学习阈值、第三学习阈值、学习时间周期。
这里,所述学习参数可以根据实际应用需求或者人工知识经验进行设置,包括第一学习阈值、第二学习阈值、第三学习阈值、学习时间周期;其中,所述第一学习阈值是指在任意一个指定时间周期内,关系数据库的业务特征样本表中任意一个业务特征码对应的所有用户访问行为样本数量的最大值,用于标识业务特征码的学习状态,即,当业务特征样本表中任意一个业务特征码对应的所有用户访问行为样本数量大于等于第一学习阈值时,则统计分析该业务特征码对应的每一种用户访问行为样本的数量,并标识该业务特征码学习已完成,否则标识该业务特征码学习未完成;所述第二学习阈值是指在学习时间周期内,同一业务特征对应的所有用户访问行为样本数量的最小值,用于判定业务特征是否为必要的业务特征,即,当同一业务特征对应的所有用户访问行为样本数量大于等于第二学习阈值时,则判定该业务特征为必要的业务特征,否则判定该业务特征为非必要的业务特征;所述学习时间周期用于限定业务特征库中业务特征自学习的时间范围,包含有一个以上指定时间周期;所述第三学习阈值用于判定任意两个对应于同一业务特征码且具有相同IP的用户访问行为样本的发生时间是否接近,若所述两个用户访问行为样本的发生时间的时间差大于等于所述第三学习阈值,则判定所述两个用户访问行为样本的发生时间不接近,否则判定所述两个用户访问行为样本的发生时间接近。
所述业务特征学习模块52,具体用于在任意一个指定时间周期内,关系型数据库从业务特征库中依次提取用户对任意一个业务特征的访问行为、所述业务特征对应的业务特征码以及所述用户访问行为的发生时间。
这里,所述业务特征库中存储有对用户访问行为的网络数据包进行业务类型识别和业务流量检测后获得的业务特征以及与所述业务特征对应的用户访问行为,且所述用户访问行为中记录有用户对业务特征进行访问的发生时间。
所述业务特征学习模块52,具体用于查询业务特征分析表是否包含所述业务特征对应的业务特征码,并根据业务特征分析表是否包含所述业务特征对应的业务特征码进行相应的处理,包括:
如果所述业务特征分析表中不包含所述业务特征码,则添加所述业务特征码至业务特征分析表,存储所述业务特征对应的用户访问行为样本至业务特征样本表,并记录所述业务特征码对应的用户访问行为样本数量;
如果所述业务特征分析表中包含所述业务特征码、且所述业务特征码学习已完成,则结束分析所述用户访问行为;
如果所述业务特征分析表中包含所述业务特征码、且所述业务特征码学习未完成、且所述用户访问行为的发生时间和业务特征样本表中对应于同一业务特征码且具有相同IP的用户访问行为样本的发生时间接近,则结束分析所述用户访问行为;
如果所述业务特征分析表中包含所述业务特征码、且所述业务特征码学习未完成、且所述用户访问行为的发生时间和业务特征样本表中对应于同一业务特征码且具有相同IP的用户访问行为样本的发生时间不接近,则将所述用户访问行为存储至业务特征样本表,并记录所述业务特征码对应的用户访问行为样本数量。
这里,根据实际应用需求以及人工知识经验,业务特征分析表中已预先存储有部分业务特征以及与之相对应的业务特征码。
这里,如果业务特征分析表中不包含所述业务特征码,则说明所述业务特征相对于业务特征分析表而言是新的未进行学习的特征,因此,将所述业务特征码添加至业务特征分析表,并将所述业务特征对应的用户访问行为存储至关系型数据库中的业务特征样本表进行积累。此外,还给所述业务特征码分配一个采样计数器,用于统计所述业务特征码对应的用户访问行为样本数量,并将其计数值置为1。
这里,如果业务特征分析表中包含所述业务特征码,则说明所述业务特征相对于业务特征分析表而言是正在学习的或已完成学习的;而且,如果此时所述业务特征码对应的用户访问行为样本数量已大于等于第一学习阈值,则表明所述业务特征码学习已完成,则结束分析所述用户访问行为;如果此时所述业务特征码对应的用户访问行为样本数量小于第一学习阈值,则表明所述业务特征码学习未完成,继续分析所述用户访问行为。
这里,如果所述业务特征分析表中包含所述业务特征码、且所述业务特征码学习未完成,若所述用户访问行为的发生时间和业务特征样本表中对应于同一业务特征码且具有相同IP的用户访问行为样本的发生时间的时间差小于所述第三学习阈值,即两者的发生时间接近时,结束分析所述用户访问行为;若所述用户访问行为的发生时间和业务特征样本表中对应于同一业务特征码且具有相同IP的用户访问行为样本的发生时间的时间差大于等于所述第三学习阈值,即两者的发生时间不接近时,则继续分析所述用户访问行为。
这里,当所述用户访问行为的发生时间和业务特征样本表中对应于同一业务特征码且具有相同IP的用户访问行为样本的发生时间接近时,可能是用户利用相同IP对同一个业务特征进行连续相同的访问行为。因此,为了尽可能体现对同一业务特征的访问行为之间的差异性,则不保存所述用户访问行为。
这里,如果所述业务特征分析表中包含所述业务特征码、且所述业务特征码分析未完成、且所述用户访问行为的发生时间和业务特征样本表中对应于同一业务特征码且具有相同IP的用户访问行为样本的发生时间不接近时,则将所述用户访问行为存储至业务特征样本表,并记录当前所述业务特征码对应的用户访问行为样本数量,即将所述业务特征码对应的采样计数器的计数值加1。
所述业务特征学习模块52,具体用于判断所述业务特征码对应的用户访问行为样本数量是否大于等于所述学习参数中的第一学习阈值,当所述业务特征码对应的用户访问行为样本数量小于所述学习参数中的第一学习阈值时,继续分析下一个用户访问行为;当所述业务特征码对应的用户访问行为样本数量大于等于所述学习参数中的第一学习阈值时,统计所述业务特征码对应的每一种用户访问行为样本的数量,提取具有最大用户访问行为样本数量的访问行为作为该业务特征对应的真实流程。
这里,在不同指定时间周期内,相同业务特征所获得的对应的真实流程可能是不一样的,即相同业务特征在不同指定时间周期内所获得的具有最大用户访问行为样本数量的访问行为可能是不一样的。此外,一些业务特征在一个指定时间周期内可能完成学习,而在另一个指定时间周期内可能未进行学习。因此,每一个业务特征对应的用户访问行为样本数量可能是不一致的。所以,还需要进一步提取特征量,即建立业务访问规则。
上述方案中,所述业务特征学习模块52,具体用于建立业务访问规则,包括:
汇总业务特征自学习过程中所有业务特征对应的用户访问行为样本;
统计每种业务特征对应的用户访问行为样本数量;
判断所述每种业务特征对应的用户访问行为样本数量是否大于等于所述学习参数中的第二学习阈值,若否,则丢弃所述用户访问行为样本数量小于所述第二学习阈值的业务特征;若是,则回查所述用户访问行为样本数量大于等于第二学习阈值的业务特征,并生成业务访问规则。
这里,所述汇总业务特征自学习过程中所有业务特征对应的用户访问行为样本是指将在学习时间周期的每一个指定时间周期内,业务特征库中的每个业务特征通过自学习所获得的真实流程的样本数进行汇总,即汇总每个业务特征对应的用户访问行为样本;所述统计每种业务特征对应的用户访问行为样本数量是指以业务特征为单位,统计所有业务特征对应的用户访问行为样本中,相同业务特征对应的所有用户访问行为样本数量。
这里,所述第二学习阈值是在业务特征库中的业务特征自学习过程中已预置的,在实际运用中也可以根据每种业务特征对应的用户访问行为样本数量进行设置。如果业务特征的用户访问行为样本数量小于所述第二学习阈值,则判定该业务特征为非必要的业务特征,并丢弃该业务特征,即不对其进行后续处理。如果业务特征的用户访问行为样本数量大于等于所述第二学习阈值,则判定该业务特征为必要的业务特征,并对该业务特征进行回查,即将所述通过自学习获得的业务特征所对应的访问行为与在实际应用中该业务特征对应的访问行为进行比对,判断两者是否一致,若不一致,则认为该业务特征不是真实业务特征;若一致,则认为该业务特征是真实业务特征,即为业务访问规则。
这里,所述用户访问行为样本数量大于等于所述第二学习阈值的业务特征中,有些业务特征所对应的用户访问行为可能是错误的或者与在实际应用中该业务特征所对应的用户访问行为不符。因此,还需要与实际应用中真实的用户访问行为进行比对,从而获取业务访问规则。
基于上述方案获得的业务访问规则建立业务访问基线模型后,可以采用异常点检测技术对当前用户访问行为的业务特征进行异常检测;本实施例中以所述异常点检测技术采用基于横纵距离的异常点检测技术为例进行说明,即通过对当前用户访问行为的业务特征进行横向和/或纵向扫描判断所述当前用户访问行为是否异常,具体描述如下:
按照E.Knorr和R.Ng关于基于距离的异常数据的定义,一个异常数据是指在一个数据集合中,远离这个数据的数据较多,至少要占p*100%,从相反的角度来看,接近这个数据的数据就应该较少,至多要占(1-p)*100%。因此,从本质上讲,所谓异常数据是指相对孤立的数据,即在其邻域内数据较少的数据。
在关系数据库中,若把经过数据化并标准化处理的字段集合记为:UD={D1,D2,...,Dn},则字段Dp与集合UD间的距离为:
Figure BDA0000985314710000211
其中k为任意正整数。
当k=1时,则为绝对值距离:
Figure BDA0000985314710000212
当k=2时,则为欧式距离:
Figure BDA0000985314710000213
对于集合UD中的任一点Dp,给定一个比较小的正数δ>0,若UD中的任一点Dq满足条件:dk(Dp,Dq)<δ,则称Dq为Dp的δ-邻近点,称所有的δ-邻近点的集合为点Dp的δ-邻域。
对于UD中的任一点Dp,选取其一个经验临界值N0(视具体情况而定),设Dp的δ-邻域中的点的个数为Np,若Np<N0,则称该点Dp为UD的异常点,记为D(δ,N0)-异常点。
若某个异常数据点是单纯的数值而非向量点,则该点为单纯异常点。
设有一个关系型数据表DBT,有效字段数为m,记录数为n,字段表示为fij,其中i=1,2,3,...,n,j=1,2,3,...,m。第i条记录表示为Ri=(fi1,fi2,fi3,...,fim),第j个字段表示为Fj=(f1j,f2j,f3j,...,fnj),设横向异常点扫描的邻域半径为δ1,横向临界值为N1,纵向异常点扫描的邻域半径为δ2,纵向临界值为N2,横向扫描得到的单纯异常点集合为U1,纵向扫描得到的单纯异常点集合为U2,真正的异常点集合为U,U为U1与U2的交集。
横向单纯异常点扫描是指对Ri中的异常点的判断,但问题是扫描出的中的异常点未必真是异常点。为了正确地判断真正的异常点,需对Fj也进行扫描。判断纵向的异常点,若某个异常点同时是两种扫描得到的单纯异常点,才是真正的单纯异常点。
上述方案中,所述采集模块1,具体用于利用监控设备通过交换机的镜像端口采集当前用户访问行为的网络数据包。
所述业务特征检测模块4,具体用于当业务分析处理模块50分别对采集的当前用户访问行为的网络数据包依次进行流向分析、端口分析、特征码分析,从而识别出所述网络数据包的业务类型后,采用DPI技术和DFI技术对所述网络数据包进行业务流量检测,获取当前用户访问行为的业务特征。
所述检测模块7,具体用于:
预处理业务访问基线模型的业务访问规则,并获取所述业务访问规则的横向邻域半径、横向临界值以及纵向邻域半径、纵向临界值;
横向扫描当前用户访问行为的业务特征,判断当前用户访问行为是否为横向异常点,若不是横向异常点,则结束分析所述当前用户访问行为的业务特征;若是横向异常点,则纵向扫描当前用户访问行为的业务特征,判断当前用户访问行为是否为纵向异常点,若不是纵向异常点,判定当前用户访问行为是正常未知的,并发出未知流量告警;若是纵向异常点,判定当前用户访问行为是异常点,并发出异常流量告警。
这里,所述预处理业务访问基线模型的业务访问规则为:将非数值型的业务访问规则转换成数值型且数值范围在[0,1]区间内;所述获取所述业务访问规则的横向邻域半径、横向临界值以及纵向邻域半径、纵向临界值可以是从多个包含有预先给定的横向邻域半径、横向临界值以及纵向邻域半径、纵向临界值的组合中任意选择一种组合或者采用随机预置的方式进行设置。
这里,根据获取的所述业务访问规则的横向邻域半径、横向临界值,利用基于横纵距离的异常点检测算法求取当前用户访问行为的业务特征的横向邻域,若所述横向邻域内的邻近点个数小于等于所述横向临界值,则判定所述当前用户访问行为为横向异常点;若所述横向邻域内的邻近点个数大于所述横向临界值,则判定所述当前用户访问行为正常。其中,当所述当前用户访问行为被判定是横向异常点时,所述当前用户访问行为可能是异常点,也可能不是异常点。原因在于,判断用户访问行为是否为真正异常点的充分必要条件是:所述用户访问行为既是横向异常点,又是纵向异常点,所以还需要进一步对其进行纵向扫描。
这里,根据获取的所述业务访问规则的纵向邻域半径、纵向临界值,利用基于横纵距离的异常点检测算法求取当前用户访问行为的业务特征的纵向邻域,若所述纵向邻域内的邻近点个数小于等于所述纵向临界值,则判定所述当前用户访问行为是纵向异常点;若所述纵向邻域内的邻近点个数大于所述纵向临界值,则判定所述当前用户访问行为是正常未知的。
这里,当所述当前用户访问行为既被判定为横向异常点,又被判定为纵向异常点时,说明当前用户访问行为是真正的异常点,则告警模块8发出异常流量告警。
这里,当所述当前用户访问行为是正常未知的,即所述当前用户访问行为是横向异常点,但不是纵向异常点时,可认为所述当前用户访问行为的业务特征为正常未知的新业务特征,则告警模块8发出未知流量告警。
进一步的,所述装置还包括更新模块9,所述更新模块9用于当所述当前用户访问行为的业务特征被检测模块7匹配为所述业务访问基线模型的正常未知业务访问规则,发出未知流量告警后,将所述当前用户访问行为的业务特征纳入业务特征库进行积累,当该业务特征对应的用户访问行为样本通过积累其数量达到第一学习阈值时,有机会通过自学习生成业务访问规则。
在实际应用中,所述采集模块1、过滤模块2、解码模块3、业务特征检测模块4、业务访问基线模型建立模块5、存储模块6、检测模块7、告警模块8、更新模块9、业务分析处理模块50、业务特征库建立模块51、业务特征学习模块52、预处理子模块501、流向分析子模块502、端口分析子模块503、特征码分析子模块504、分析结果存储子模块505均可由位于终端的中央处理器(CPU)、微处理器(MPU)、数字信号处理器(DSP)、或现场可编程门阵列(FPGA)等实现。
以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和范围之内所作的任何修改、等同替换和改进等,均包含在本发明的保护范围之内。

Claims (12)

1.一种高级持续威胁攻击防护方法,其特征在于,所述方法包括:
采集当前用户访问行为的网络数据包;
分析所述当前用户访问行为的网络数据包,获取当前用户访问行为的业务特征;
基于业务访问基线模型的业务访问规则的横向邻域半径、横向临界值以及纵向邻域半径、纵向临界值,对所述当前用户访问行为的业务特征进行异常检测;
其中,所述基于业务访问基线模型的业务访问规则的横向邻域半径、横向临界值以及纵向邻域半径、纵向临界值,对所述当前用户访问行为的业务特征进行异常检测,包括:
对所述当前用户访问行为的业务特征进行横向扫描和/或纵向扫描,确定所述当前用户访问行为是否为异常行为;其中,所述横向扫描包括确定所述当前用户访问行为的业务特征的横向邻域,判断所述横向邻域内的邻近点个数是否不大于所述横向临界值;所述纵向扫描包括确定所述当前用户访问行为的业务特征的纵向邻域,判断所述纵向邻域内的邻近点个数是否不大于所述纵向临界值;
当所述当前用户访问行为的业务特征被匹配为所述业务访问基线模型的非业务访问规则时,发出异常流量告警;
当所述当前用户访问行为的业务特征被匹配为所述业务访问基线模型的正常未知业务访问规则时,发出未知流量告警。
2.根据权利要求1所述的方法,其特征在于,所述业务访问基线模型的建立,包括:
建立业务特征库,所述业务特征库包含各类IP业务与其业务包特征信息的对应关系;
根据所述业务特征库,对用户访问行为的网络数据包进行业务类型识别;
提取所述业务类型已识别的网络数据包中的业务特征,并将所述业务特征存储至所述业务特征库;
业务特征库中的业务特征自学习,并建立业务访问规则。
3.根据权利要求2所述的方法,其特征在于,所述根据所述业务特征库,对用户访问行为的网络数据包进行业务类型识别之前,该方法还包括:
采集用户访问行为的网络数据包;
按照监测业务目标,获取所述网络数据包中有效的IP数据包;
解析所述有效的IP数据包,获取所述有效的IP数据包的业务类型。
4.根据权利要求2所述的方法,其特征在于,所述根据所述业务特征库,对用户访问行为的网络数据包进行业务类型识别,包括:
查询所述业务特征库,对所述网络数据包进行业务类型初步识别,获取第一批业务类型已识别的网络数据包和第一批业务类型未识别的网络数据包;
分析所述第一批业务类型已识别的网络数据包包头的源地址,对所述第一批业务类型已识别的网络数据包进行流向分流;
分析所述第一批业务类型未识别的网络数据包的协议号和端口号,获取第二批业务类型已识别的网络数据包和第二批业务类型未识别的网络数据包;
分析所述第二批业务类型未识别的网络数据包的数据报文,通过特征字符串匹配的方式,获取第三批业务类型已识别的网络数据包。
5.根据权利要求2所述的方法,其特征在于,所述业务特征库中的业务特征自学习,包括:
从业务特征库中提取用户对业务特征的访问行为、所述业务特征对应的业务特征码;
查询业务特征分析表是否包含所述业务特征码,若不包含,则添加所述业务特征码至所述业务特征分析表,存储所述业务特征对应的用户访问行为样本至业务特征样本表,并记录所述业务特征码对应的用户访问行为样本数量;若包含,则判断所述业务特征对应的用户访问行为样本是否满足预置的学习参数,若满足,则存储所述业务特征对应的用户访问行为样本至业务特征样本表,并记录所述业务特征码对应的用户访问行为样本数量,否则结束分析所述用户访问行为;
判断所述业务特征码对应的用户访问行为样本数量是否大于等于所述学习参数中的第一学习阈值,若是,则统计分析所述业务特征码对应的每种用户访问行为样本的数量,获取真实业务特征流程;若否,继续分析下一个用户访问行为。
6.根据权利要求2所述的方法,其特征在于,所述业务特征库中的业务特征自学习,还包括:
发出未知流量告警后,将所述当前用户访问行为的业务特征纳入业务特征库进行业务特征自学习。
7.根据权利要求5所述的方法,其特征在于,所述建立业务访问规则,包括:
汇总所有业务特征对应的用户访问行为样本;
统计每种业务特征对应的用户访问行为样本数量;
判断所述每种业务特征对应的用户访问行为样本数量是否大于等于所述学习参数中的第二学习阈值,若否,则丢弃所述用户访问行为样本数量小于所述第二学习阈值的业务特征;若是,则回查所述用户访问行为样本数量大于等于所述第二学习阈值的业务特征,并生成业务访问规则。
8.一种高级持续威胁攻击防护装置,其特征在于,所述装置包括:采集模块、业务特征检测模块、检测模块、存储模块、告警模块;其中,
所述存储模块,用于存储业务访问基线模型;
所述采集模块,用于采集当前用户访问行为的网络数据包;
所述业务特征检测模块,用于分析所述当前用户访问行为的网络数据包,获取当前用户访问行为的业务特征;
所述检测模块,用于基于业务访问基线模型的业务访问规则的横向邻域半径、横向临界值以及纵向邻域半径、纵向临界值,对所述当前用户访问行为的业务特征进行异常检测;
其中,所述基于业务访问基线模型的业务访问规则的横向邻域半径、横向临界值以及纵向邻域半径、纵向临界值,对所述当前用户访问行为的业务特征进行异常检测,包括:
对所述当前用户访问行为的业务特征进行横向扫描和/或纵向扫描,确定所述当前用户访问行为是否为异常行为;其中,所述横向扫描包括确定所述当前用户访问行为的业务特征的横向邻域,判断所述横向邻域内的邻近点个数是否不大于所述横向临界值;所述纵向扫描包括确定所述当前用户访问行为的业务特征的纵向邻域,判断所述纵向邻域内的邻近点个数是否不大于所述纵向临界值;
所述告警模块,用于当所述当前用户访问行为的业务特征被匹配为所述业务访问基线模型的非业务访问规则时,发出异常流量告警;当所述当前用户访问行为的业务特征被匹配为所述业务访问基线模型的正常未知业务访问规则时,发出未知流量告警。
9.根据权利要求8所述的装置,其特征在于,所述装置还包括:业务访问基线模型建立模块,用于建立业务访问基线模型;所述业务访问基线模型建立模块还包括:业务特征库建立模块、业务分析处理模块、业务特征学习模块;其中,
所述业务特征库建立模块,用于建立业务特征库,所述业务特征库包含各类IP业务与其业务包特征信息的对应关系;
所述业务分析处理模块,用于根据所述业务特征库,对用户访问行为的网络数据包进行业务类型识别;
所述业务特征检测模块,还用于提取所述业务类型已识别的网络数据包中的业务特征,并将所述业务特征存储至业务特征库;
所述业务特征学习模块,用于业务特征库中的业务特征自学习,并建立业务访问规则。
10.根据权利要求9所述的装置,其特征在于,所述装置还包括:过滤模块和解码模块;其中,
所述采集模块,还用于采集用户访问行为的网络数据包;
所述过滤模块,用于按照监测业务目标,获取所述网络数据包中有效的IP数据包;
所述解码模块,用于解析所述有效的IP数据包,获取所述有效的IP数据包的业务类型。
11.根据权利要求9所述的装置,其特征在于,所述业务分析处理模块还包括:
预处理子模块,用于查询业务特征库,并对所述网络数据包进行业务类型初步识别,获取第一批业务类型已识别的网络数据包和第一批业务类型未识别的网络数据包;
流向分析子模块,用于分析所述第一批业务类型已识别的网络数据包包头的源地址,对所述第一批业务类型已识别的网络数据包进行流向分流,并将所述第一批业务类型已识别的网络数据包发送至分析结果存储子模块;
端口分析子模块,用于分析所述第一批业务类型未识别的网络数据包的协议号和端口号,获取第二批业务类型已识别的网络数据包和第二批业务类型未识别的网络数据包,并将所述第二批业务类型已识别的网络数据包发送至分析结果存储子模块;
特征码分析子模块,用于分析所述第二批业务类型未识别的网络数据包的数据报文,通过特征字符串匹配的方式,获取第三批业务类型已识别的网络数据包,并将所述第三批业务类型已识别的网络数据包发送至分析结果存储子模块;
分析结果存储子模块,用于接收并存储所述流向分析子模块、端口分析子模块和特征码分析子模块分别发送的第一批、第二批、第三批业务类型已识别的网络数据包。
12.根据权利要求8所述的装置,其特征在于,所述装置还包括:更新模块,用于所述告警模块发出未知流量告警后,将所述当前用户访问行为的业务特征纳入业务特征库进行业务特征自学习。
CN201610302622.9A 2016-05-09 2016-05-09 一种高级持续威胁攻击防护方法及装置 Active CN107360118B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610302622.9A CN107360118B (zh) 2016-05-09 2016-05-09 一种高级持续威胁攻击防护方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610302622.9A CN107360118B (zh) 2016-05-09 2016-05-09 一种高级持续威胁攻击防护方法及装置

Publications (2)

Publication Number Publication Date
CN107360118A CN107360118A (zh) 2017-11-17
CN107360118B true CN107360118B (zh) 2021-02-26

Family

ID=60270983

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610302622.9A Active CN107360118B (zh) 2016-05-09 2016-05-09 一种高级持续威胁攻击防护方法及装置

Country Status (1)

Country Link
CN (1) CN107360118B (zh)

Families Citing this family (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109995736A (zh) * 2017-12-31 2019-07-09 中国移动通信集团四川有限公司 检测威胁攻击的方法、装置、设备和存储介质
CN108881275B (zh) * 2018-07-06 2021-07-23 武汉思普崚技术有限公司 一种用户访问合规性分析的方法及系统
CN109150997A (zh) * 2018-08-01 2019-01-04 Oppo(重庆)智能科技有限公司 上网行为监控方法、装置、终端设备和存储介质
CN108924169A (zh) * 2018-09-17 2018-11-30 武汉思普崚技术有限公司 一种可视化网络安全系统
CN110943961B (zh) * 2018-09-21 2022-06-21 阿里巴巴集团控股有限公司 数据处理方法、设备以及存储介质
CN109379390B (zh) * 2018-12-25 2021-04-27 中国电子科技网络信息安全有限公司 一种基于全流量的网络安全基线生成方法
CN111010409B (zh) * 2020-01-07 2021-08-17 南京林业大学 加密攻击网络流量检测方法
CN112003839B (zh) * 2020-08-07 2022-08-23 杭州安恒信息安全技术有限公司 设备反身份识别方法、装置、电子装置和存储介质
CN112001443A (zh) * 2020-08-24 2020-11-27 成都卫士通信息产业股份有限公司 网络行为数据的监控方法、装置、存储介质及电子设备
CN113760664B (zh) * 2021-09-10 2022-09-27 哈尔滨工业大学 一种两级阈值攻击检测方法、计算机及存储介质

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104361283A (zh) * 2014-12-05 2015-02-18 网宿科技股份有限公司 防护Web攻击的方法
CN105141604A (zh) * 2015-08-19 2015-12-09 国家电网公司 一种基于可信业务流的网络安全威胁检测方法及系统

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9609010B2 (en) * 2013-10-04 2017-03-28 Personam, Inc. System and method for detecting insider threats

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104361283A (zh) * 2014-12-05 2015-02-18 网宿科技股份有限公司 防护Web攻击的方法
CN105141604A (zh) * 2015-08-19 2015-12-09 国家电网公司 一种基于可信业务流的网络安全威胁检测方法及系统

Also Published As

Publication number Publication date
CN107360118A (zh) 2017-11-17

Similar Documents

Publication Publication Date Title
CN107360118B (zh) 一种高级持续威胁攻击防护方法及装置
US11848950B2 (en) Method for protecting IoT devices from intrusions by performing statistical analysis
CN109951500B (zh) 网络攻击检测方法及装置
US8056115B2 (en) System, method and program product for identifying network-attack profiles and blocking network intrusions
CN101924757B (zh) 追溯僵尸网络的方法和系统
CN104937886B (zh) 日志分析装置、信息处理方法
CN103368979B (zh) 一种基于改进K-means算法的网络安全性验证装置
CN111245793A (zh) 网络数据的异常分析方法及装置
Lee et al. Effective value of decision tree with KDD 99 intrusion detection datasets for intrusion detection system
CN105208037B (zh) 一种基于轻量级入侵检测的DoS/DDoS攻击检测和过滤方法
CN108632224B (zh) 一种apt攻击检测方法和装置
CN111683097B (zh) 一种基于两级架构的云网络流量监控系统
CN101119369A (zh) 一种网络数据流的安全检测方法及其系统
CN110611640A (zh) 一种基于随机森林的dns协议隐蔽通道检测方法
CN110769007B (zh) 一种基于异常流量检测的网络安全态势感知方法及装置
CN114021040A (zh) 基于业务访问的恶意事件的告警及防护方法和系统
CN115134250A (zh) 一种网络攻击溯源取证方法
CN107209834A (zh) 恶意通信模式提取装置、恶意通信模式提取系统、恶意通信模式提取方法及恶意通信模式提取程序
KR20160087187A (ko) 사이버 블랙박스 시스템 및 그 방법
CN104021348A (zh) 一种隐匿p2p程序实时检测方法及系统
CN109190408B (zh) 一种数据信息的安全处理方法及系统
CN112291213A (zh) 一种基于智能终端的异常流量分析方法及装置
CN117544420B (zh) 一种基于数据分析的融合系统安全管理方法及系统
RU2264649C1 (ru) Способ обнаружения удаленных атак на автоматизированные системы управления
CN115134099B (zh) 基于全流量的网络攻击行为分析方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant