CN108289088B

CN108289088B - 基于业务模型的异常流量检测系统及方法

Info

Publication number: CN108289088B
Application number: CN201710129653.3A
Authority: CN
Inventors: 闫卓旭; 赵增荣; 赵冠哲
Original assignee: China Mobile Communications Group Co Ltd; China Mobile Group Hebei Co Ltd
Current assignee: China Mobile Communications Group Co Ltd; China Mobile Group Hebei Co Ltd
Priority date: 2017-01-09
Filing date: 2017-03-06
Publication date: 2020-12-11
Anticipated expiration: 2037-03-06
Also published as: CN108289088A

Abstract

本发明的实施例中公开了基于业务模型的异常流量检测系统及方法。该系统包括：数据采集及解析装置，用于目标网络端口的原目标流量数据的采集及解析；第一数据检测装置，用于根据预置的流量信息白名单和流量信息黑名单对解析后的目标流量数据进行过滤，将原目标流量数据中与流量信息白名单和流量信息黑名单均不匹配的第一流量数据发送到第二数据检测装置；第二数据检测装置，用于根据预置的流量攻击分析模块对第一流量数据进行流量攻击判断，识别出第一流量数据中的异常流量数据。该方法及系统能够有效解决现有异常流量检测方法中所存在的检测滞后、检测成本及检测能力有限的问题。

Description

基于业务模型的异常流量检测系统及方法

技术领域

本发明涉及网络安全技术领域，具体涉及基于业务模型的异常流量检测系统及方法。

背景技术

随着网络规模的日益扩大和承载业务种类的逐渐增多，Intemet的发展给人们带来了巨大方便。但是，这些也使网络中出现各种异常的机会大大增加，给网络监测带来了更大的挑战。网络流量异常分析是网络监测中的关键部分，能够准确、及时地检测出异常对提高网络的可用性和可靠性具有非常重要的意义。

目前的异常流量监测基于特征库。由于每种标识的攻击都具有一个特征，通过捕获网络上的数据包，通过其与特征库比对，分析其是否具有已知的攻击模式，以此来检测正在发生的攻击，或者确定网络中是否已经发生了某种攻击，比如防病毒软件和IDS。基于特征库的异常检测方式，其效率取决于定期更新特征库，且对于0-day攻击无能为力。基于特征库检验方法的特点，虽然识别精度高和对流量进行准确的分类，但是存在很多问题，主要包括：

1.对于新异常的检测具有滞后性，未升级特征库，无法检测新的异常；

2.对加密流量的检测能力非常有限；

3.算法性能与payload(有效载荷)特征的复杂度有关，随着异常流量的种类的增加以及payload特征的复杂度，其检测代价高、算法性能差；

4.成本过高，由于基于payload特征的异常流量检测分析要分析每一个通过网络数据包，随着网络的增长，必然成为网络的瓶颈，需不断提升异常的性能才能解决。

发明内容

本发明实施例提供一种能够克服上述问题或者至少能够部分地解决上述问题的基于业务模型的异常流量检测系统及方法。

本发明的一个实施例中提供了一种基于业务模型的异常流量检测系统，其特征在于，包括：数据采集及解析装置，用于目标网络端口的原目标流量数据的采集及解析；第一数据检测装置，用于根据预置的流量信息白名单和流量信息黑名单对所述解析后的目标流量数据进行过滤，将原目标流量数据中与流量信息白名单和流量信息黑名单均不匹配的第一流量数据发送到第二数据检测装置；第二数据检测装置，用于根据预置的流量攻击分析模块对所述第一流量数据进行流量攻击判断，识别出第一流量数据中的异常流量数据。

本发明实施例中还提供了一种异常流量检测方法，包括：采集目标网络端口的原目标流量数据并解析；根据预置的流量信息白名单和流量信息黑名单对所述解析后的目标流量数据进行过滤，过滤出原目标流量数据中与流量信息白名单和流量信息黑名单均不匹配的第一流量数据；根据预置的流量攻击分析模块对所述第一流量数据进行流量攻击判断，识别出第一流量数据中的异常流量数据。

本发明实施例中所提供的基于业务模型系统及方法，摒弃了之前IDS的基于特征库的异常流量检测，加入了基于流量行为特征的异常检测方式，不仅在安全功能和网络性能方面提高了效率，还增加了对于未知特征流量的异常检测和加密的流量的检测。进一步，本发明增加了防火墙审核，提高了边界网络防火墙防护的能力。

附图说明

通过阅读以下参照附图对非限制性实施例所作的详细描述，本发明的其它特征、目的和优点将会变得更明显，其中，相同或相似的附图标记表示相同或相似的特征。

图1为本发明的一个实施例中的一种基于业务模型的异常流量检测系统的结构示意图；

图2为本发明的一个实施例中的一种基于业务模型的异常流量检测系统的的数据采集及解析装置的结构示意图；

图3为本发明的一个实施例中的SPN端口镜像原理图；

图4为本发明的一个实施例中的流量解析的原理图；

图5为本发明的一个实施例中的流量攻击分析模块的原理图；

图6为本发明的一个实施例中的DDOS分析模块的原理图；

图7为本发明的一个实施例中的木马分析模块的原理图；

图8为本发明的一个实施例中的蠕虫分析模块的原理图；

图9为本发明的一个实施例中的另一种基于业务模型的异常流量检测系统的结构示意图；

图10为本发明的一个实施例中的一种基于业务模型的异常流量检测方法的示意流程图；

图11为本发明的一个实施例中的链路状态变化的一个示意图；

图12为本发明的一个实施例中的链路状态变化的另一个示意图；

图13为本发明的一个实施例中的各业务系统到短信中心的频次变化趋势的示意图；

图14为本发明的一个实施例中的另一种基于业务模型的异常流量检测方法的示意流程图；

图15示出了本发明的一个具体实施例中的异常流量检测方法的流程示意图。

具体实施方式

下面将详细描述本发明的各个方面的特征和示例性实施例。在下面的详细描述中，提出了许多具体细节，以便提供对本发明的全面理解。但是，对于本领域技术人员来说很明显的是，本发明可以在不需要这些具体细节中的一些细节的情况下实施。下面对实施例的描述仅仅是为了通过示出本发明的示例来提供对本发明的更好的理解。本发明决不限于下面所提出的任何具体配置和算法，而是在不脱离本发明的精神的前提下覆盖了元素、部件和算法的任何修改、替换和改进。在附图和下面的描述中，没有示出公知的结构和技术，以便避免对本发明造成不必要的模糊。

图1示出了本发明的一个实施例中的一种基于业务模型的异常流量检测系统的结构示意图，所述检测系统包括数据采集及解析装置100、第一数据检测装置200和第二数据检测装置300。其中：

数据采集及解析装置100，用于目标网络端口的原目标流量数据的采集及解析；

第一数据检测装置200，用于根据预置的流量信息白名单和流量信息黑名单对所述解析后的目标流量数据进行过滤，将原目标流量数据中与流量信息白名单和流量信息黑名单均不匹配的第一流量数据发送到第二数据检测装置；

第二数据检测装置300，用于根据预置的流量攻击分析模块对所述第一流量数据进行流量攻击判断，识别出第一流量数据中的异常流量数据。

其中，所述目标网络端口为需要进行异常流量检测的目标安全域的边界、目标安全域的子域以及子域之间的交换机端口。在实际应用中，一般通过从目标安全域的交换机设备(与其边缘防火墙连接)进行流量数据的采集。

在本发明的一个实施例中，所述数据采集及解析装置100包括流量数据采集模块110、流量数据分析模块120和业务系统确定模块130，如图2所示。

流量数据采集模块110，用于通过交换式端口分析器SAPN技术采集目标网络端口的原目标流量数据；

流量数据解析模块120，用于对所述原目标流量数据的TCP/IP数据包进行解析，得到原目标流量数据的第一信息，所述第一信息包括IP五元组、源MAC地址和目的MAC地址；

业务系统确定模块130，用于根据原目标流量数据的源MAC地址、目的MAC地址和预置的业务系统映射表确定出原目标流量数据的源业务系统和目标业务系统；所述业务系统映射表为预置的MAC地址与业务系统的对应关系表。

SPAN(Switched Port Analyzer交换式端口分析器)技术，主要是用来监控交换机上的数据流，大体可分为两种类型，本地SPAN-Local SPAN和远程SPAN(RSPAN)-RemoteSPAN，它们在实现方法上稍有不同。本发明实施例中，优选采用了LSPN(本地SPAN)技术，如图3所示，受控端口(被镜像端口)和监控端口(镜像端口)在同一个的交换机上(本地SPAN)，利用SPAN技术我们可以把交换机上某些想要被监控端口的数据流Copy或Mirror一份，发送给连接在监控端口上的数据采集及解析装置100(图中所示的防火墙流量监控系统)上。

完成流量数据的采集后，对采集到的TCP/IP数据包进行解析，首先解析出包括标准五元组、源MAC地址和目的MAC地址内容在内的所述第一信息，然后再根据配置业务系统映射表，得到流量数据的源业务系统和目的业务系统，如图4中所示，通过流量解析数据，得到了包括<源业务系统、源IP、源端口、目的业务系统、目的IP、目的端口、协议>的七元组表示的流，并将流存储到数据库流表中。其中，业务系统映射表根据配置的已知MAC地址与业务系统的对应关系得到的，目的是为了达到业务的可视化与方便业务梳理。

网络流量信息的传输采用的是TCP/IP协议，TCP/IP共分为四层，数据链路层、网络层、传输层、应用层。本实施例中，流量数据解析模块120主要负责对数据流量的包头数据包的解析。

完成原目标流量数据流量的采集与解析后，通过第一数据检测装置200对解析后的原目标流量数据进行第一步过滤。

第一数据检测装置200根据预置的流量数据白名单和流量数据黑名单对解析后的流量数据进行过滤。本发明的一个实施例中，所述第一数据检测装置200包括安全流量处理模块和异常流量处理模块。其中：

所述安全流量处理模块，用于控制与流量信息白名单匹配的原目标流量数据通过；

所述异常流量处理模块，用于拦截与流量信息黑名单匹配的原目标流量数据。

将解析后的流量数据信息与流量信息白名单和黑名单分别进行比对，只允许与白名单匹配的流量通过，对于与黑名单匹配的流量进行拦截，对于无法匹配的流量数据(既不与白名单匹配，也不与黑名单匹配)则直接送入第二数据检测装置进行二次分析。

本实施例中，白名单建立，主要是通过针对已知业务流程提炼，包含业务种类、敏感数据、关键业务流程等信息建立起业务之间可信任的IT白名单；根据IT资源类型安全设备以及网络设备建立设备之间可信任的IT白名单。所述流量信息白名单中的数据包括已知安全的源业务系统和目的业务系统对、IP地址和端口地址等。黑名单建立，主要是通过针对外部的攻击，可以通过威胁情报的收集建立知识库的方式建立黑名单。威胁情报一般包括信誉情报(恶意的IP地址、URL、域名等，比如C2服务器相关信息)、攻击情报(攻击源、攻击工具、利用的漏洞、该采取的方式等)等。即所述流量黑名单中包括已知的威胁情报信息。

其中，原目标流量数据与流量信息黑名单匹配是指解析后的原目标流量数据的任一项信息出现在流量黑名单中。原目标流量数据与流量信息白名单匹配是指原目标流量数据的所述第一信息中的任一项、或者源业务系统和目标业务系统同时出现在流量白名单中。

对于既与所述白名单匹配，也不与所述黑名单匹配的流量数据，通过第二数据检测装置300继续进行分析。

第二数据检测装置300为本检测系统的控制台，是程序的调度中心，负责接收通过过滤白名单、黑名单剩余的流量信息的分析，通过调用预置的流量攻击分析模块对接收到的流量信息进行进一步分析，发现可能存在的异常攻击。

在本发明的一个实施例中，所述流量攻击分析模块包括以下模块中的至少一种：DDOS分析模块310、木马分析模块320、蠕虫分析模块330、NTP放大攻击分析模块340和自定义异常分析模块350，如图5所示。

在本发明的一个实施例中，所述DDOS分析模块310，用于根据统计得到的网络流量数据的第一链路特征判断原目标流量数据是否存在DDOS攻击；其中，所述第一链路特征是指一个目标主机若干个时刻接收到的流量数据中，对于每一个时刻的流量数据按照流量数据的链路长度排序，统计出的不同时刻的位于固定顺序的流量数据的链路长度与对应时刻接收到流量数据的链路总数的比值的第一阈值范围；

所述DDOS分析模块310包括第一流量排序单元311和第一流量链路分析单元312，如图6所示。其中：

第一流量排序单元311，用于对属于同一目的主机的所有原目标流量数据的链路长度进行排序；

第一流量链路分析单元312，用于对所述同一目的主机，根据排序结果判断位于不同顺序的原目标流量数据的链路长度与所有原目标流量数据的链路总数的比值是否符合对应顺序的第一阈值范围，若是，则原目标流量数据为安全流量，若否，则原目标流量数据为存在DDOS攻击。

在本发明的一个实施例中，所述木马分析模块320包括木马特征信息检测单元321、木马疑似度计算单元322和木马攻击确定单元323，如图7所示。其中：

木马特征信息检测单元321，用于检测原目标流量数据中所存在的木马行为特征的种类；所述木马行为特征的种类包括反向连接特征、心跳行为特征、加密行为特征和上下行流量行为特征；

木马疑似度计算单元322，用于根据原目标流量数据中存在的木马行为特征的种类和预设的每种木马行为特征的权值，计算原目标流量数据的木马疑似度P_Trojan，计算公式为：

其中，n为原目标流量数据中所存在的木马行为特征的种类数，a_i为第i条特征的权值，m_i为检测过程中第i条特征信息出现的次数，若第i条特征信息未出现，则m_i＝0；

木马攻击确定单元323，用于根据所述木马疑似度判断原目标流量数据是否存在木马攻击，若木马疑似度大于设定阈值，则确定存在木马攻击。

在本发明的一个实施例中，所述蠕虫分析模块330用于根据统计得到的网络流量数据的第二链路特征判断原目标流量数据是否存在蠕虫攻击；其中，所述第二链路特征是指一个源主机若干个时刻发出的流量数据中，对于每一个时刻的流量数据按照流量数据的链路长度排序，统计出的不同时刻的位于固定顺序的流量数据的链路长度与对应时刻发出的流量数据的链路总数的比值的第二阈值范围。

所述蠕虫分析模块330包括第二流量排序单元331和第二流量链路分析单元332，如图8所示。

第二流量排序单元331，用于对属于同一源主机的所有原目标流量数据的链路长度进行排序；

第二流量链路分析单元332，用于对所述同一源主机，根据排序结果判断位于不同顺序的原目标流量数据的链路长度与所有原目标流量数据的链路总数的比值是否符合对应顺序的第二阈值范围，若是，则原目标流量数据为安全流量，若否，则原目标流量数据存在所述蠕虫攻击。

在本发明的一个实施例中，所述自定义异常分析模块350包括目标数据选择单元和目标数据分析模块。

目标数据选择单元，用于根据预设的选择关键词对所述原目标流量数据进行选择，得到目标数据；

目标数据分析模块，用于根据预设的特征值对所述目标数据进行分析，若目标数据符合所述数据特征值，则确定目标数据为安全数据，否则，目标数据中存在与所述特征值关联的异常行为。

自定义异常分析模块350首先需要选择查询和统计的数据域，本发明的一个实施例中，所述选择关键词包括但不限于时间段或IP地址段，选择出目标数据后，预设数据特征值对目标数据进行分析判断。

在本发明的一个实施例中，如图9所示，所述异常流量检测系统还包括异常分析结果显示装置400和防火墙策略核查装置500。

异常分析结果显示装置400，用于对第二数据检测装置检测出的异常流量数据进行预警显示；

防火墙策略核查装置500：用于根据第二数据检测装置的检测结果对当前防火墙策略进行核查，查找出当前防火墙策略中的待优化策略。

本发明的实施例中还提供了一种基于业务模型的异常流量检测方法，如图10所示，该方法主要包括以下步骤：

步骤S100：采集目标网络端口的原目标流量数据并解析；

对原目标流量数据的采集与解析，主要是指从连接防火墙的交换机的镜像口流量采集以及对流量解析，实现对监测安全域边界、子域之间、子域的流量进行全部采集。本发明的实施例中，流采集采用的是SPAN技术。

在本发明一个实施例中，该步骤采集目标网络端口的原目标流量数据并解析，包括：

通过交换式端口分析器SAPN技术采集目标网络端口的原目标流量数据；

对所述原目标流量数据的TCP/IP数据包进行解析，得到原目标流量数据的第一信息，所述第一信息包括IP五元组、源MAC地址和目的MAC地址；

根据原目标流量数据的源MAC地址、目的MAC地址和预置的业务系统映射表确定出原目标流量数据的源业务系统和目标业务系统；所述业务系统映射表为预置的MAC地址与业务系统的对应关系表。

步骤S200：根据预置的流量信息白名单和流量信息黑名单对所述解析后的目标流量数据进行过滤，过滤出第一流量数据；

完成流量数据的解析后，根据预置的流量信息白名单和流量信息黑名单对所述解析后的目标流量数据进行过滤，过滤出原目标流量数据中与流量信息白名单和流量信息黑名单均不匹配的第一流量数据。

其中，所述流量信息白名单中包括但不限于已知安全的源业务系统和目的业务系统对、IP地址和端口地址；原目标流量数据与流量信息白名单匹配是指原目标流量数据的所述第一信息中的任一项、或者源业务系统和目标业务系统同时出现在流量白名单中。

所述流量黑名单中包括已知威胁情报信息；原目标流量数据与流量信息黑名单匹配是指解析后的原目标流量数据的任一项信息出现在流量黑名单中。

在实际应用中，根据预置的流量信息白名单和流量信息黑名单对所述解析后的目标流量数据进行过滤时，将与流量信息白名单匹配的原目标流量数据确定为安全流量，使安全流量通过；将与流量信息黑名单匹配的原目标流量数据确定为异常流量，对异常流量进行拦截。

步骤S300：根据预置的流量攻击分析模块对所述第一流量数据进行流量攻击判断，识别出第一流量数据中的异常流量数据。

该步骤通过预置的流量攻击分析模块用于实现对原目标流量数据中与流量信息白名单和流量信息黑名单均不匹配的流量数据的分析判断。在本发明的一个实施例中，所述流量攻击分析模块包括以下模块中的至少一种：DDOS分析模块、木马分析模块、蠕虫分析模块、NTP放大攻击分析模块和自定义异常分析模块。

下面对各分析模块进行分别具体描述。

DDOS分析模块主要是根据DDOS攻击时，产生的流量特征来分析异常行为的方式，本发明一个实施例中，该模块针对DDOS攻击的判断主要是通过流量、IP、端口、传输数据包大小、流量连接时长等信息进行判断，判断出来的攻击为疑似DDOS攻击方式。

具体的，所述DDOS分析模块根据统计得到的网络流量数据的第一链路特征判断原目标流量数据是否存在DDOS攻击；所述第一链路特征是指一个目标主机若干个时刻接收到的流量数据中，对于每一个时刻的流量数据按照流量数据的链路长度排序，统计出的不同时刻的位于固定顺序的流量数据的链路长度与对应时刻接收到流量数据的链路总数的比值的第一阈值范围。DDOS分析模块判断存在DDOS攻击的异常流量的方式包括：

将属于同一目的主机的所有原目标流量数据的链路长度进行排序；

对所述同一目的主机，根据排序结果判断位于不同顺序的原目标流量数据的链路长度与所有原目标流量数据的链路总数的比值是否符合对应顺序的第一阈值范围，若是，则原目标流量数据为安全流量，若否，则原目标流量数据为存在DDOS攻击。

下面根据一实施例对，对统计得到的网络流量数据的第一链路特征的方式进行详细说明。

按照DDOS异常流量的识别特征，首先将边缘路由器设备以下的接入主机作为不可信主机进行流量分析，按指令时间间隔N进行链路统计，每天会产生24h/N个统计结果，假设会产生m个结果，即N1，N2，N3.......Nm-1，Nm。在每个统计结果中按照所有多对一链路个数据(链路长度，即一条链路中包括的节点个数)排序并选取其中的链路个数据最大的x个作为分析对象，因此每天会产生x*m个统计数据，即top1，1，top1，2......top1，x，top2，1，top2，2......top2，x，......topm，1，topm，2......topm，x，同时统计出每个时刻的链路总数，即all1，al2，......allm-1，allm共m个数据。根据以上数据可以得出如下结果：

y_1，1＝top_1，1/all₁，y_1，2＝top_1，2/all₁，......y_1，x＝top_1，x/all1......y_2，1＝top_2，1/all₂，y_2，2＝top_2，2/all₂，。。。。。。y_m，1＝top_m，1/all_m，y_m，2＝top_m，2/all_m，。。。。。。y_m，x＝top_m，x/all_m

将y1，1，y2，1，......ym-1，1，ym，1作为一组数据，将y1，2，y2，2，......，ym-1，2，ym，2作为一组数据，以此类推产生数据，将每组数据以时间为横轴、每个数据为纵轴，即可得到图11中所示的链路变化示意图。

由图中可以看出，正常情况下，被分析主机与边缘路由器设备主机之间形成的多对一链路的比例与总体间链路的比例关系是固定的，当发生DDOS的时候，链路变化示意图如图12所示，可以看出上述比例关系会急剧上升。因此，可以根据DDOS特征分析，通过采用多对一链路DDOS识别模块对DDOS流量进行识别，即通过实时多对一链路与长时间统计的多对于链路比较变化状态，进行流量识别。

本发明的一个实施例中，所述木马分析模块判断存在木马攻击的异常流量的具体方式包括：

检测原目标流量数据中所存在的木马行为特征的种类；所述木马行为特征的种类包括反向连接特征、心跳行为特征、加密行为特征和上下行流量行为特征；

根据原目标流量数据中存在的木马行为特征的种类和预设的每种木马行为特征的权值，计算原目标流量数据的木马疑似度P_Trojan，计算公式为：

根据所述木马疑似度判断原目标流量数据是否存在木马攻击，若木马疑似度大于设定阈值，则确定存在木马攻击。

在本发明的一个实施例中，采用木马分析模块进行木马攻击分析的流程如下：

木马分析模块针对木马判断算法选用了基于木马特征信息加权的算法，需要确定每条特征信息的权值系数。权值系数赋值原则为：

(1)权值系统分为4个等级，高危险等级特征信息的权值系数大于中危风险等级特征信息的权值系数。(2)相同危险等级的特征信息，其相对概率越大，权值系统也越大。

对于前面提到的4条特征信息，每条都赋予其权值系数，如下表1所示：预先定义中危险等级特征信息的权值系数为2，高危险等级特征信息的权值系统取值分为为5，低危险等级特征信息的权值为1。

表1

算法	等级	权值分数
			检测到反向连接通道	高	5
检测到心跳信号	中	2
			检测到上下行流量比异常	中	2
检测到可疑加密传输	低	1

假定特征信息库包含n条特征信息，则木马疑似度的等级定量为：

当计算出的木马疑似度大于设定阈值时，则判断存在木马攻击，产生警告。

在本发明的一个实施例中，所述蠕虫分析模块根据统计得到的网络流量数据的第二链路特征判断原目标流量数据是否存在蠕虫攻击；

所述第二链路特征是指一个源主机若干个时刻发出的流量数据中，对于每一个时刻的流量数据按照流量数据的链路长度排序，统计出的不同时刻的位于固定顺序的流量数据的链路长度与对应时刻发出的流量数据的链路总数的比值的第二阈值范围；

所述蠕虫分析模块判断存在蠕虫攻击的异常流量的方式包括：

将属于同一源主机的所有原目标流量数据的链路长度进行排序；

对所述同一源主机，根据排序结果判断位于不同顺序的原目标流量数据的链路长度与所有原目标流量数据的链路总数的比值是否符合对应顺序的第二阈值范围，若是，则原目标流量数据为安全流量，若否，则原目标流量数据存在所述蠕虫攻击。

蠕虫分析模块根据网络蠕虫的特点，针对流量行为进行分析。网络蠕虫攻击分为三个阶段，第一阶段，感染阶段，由于此阶段不会产生大量的数据包，因为流量特征不是很明显；第二阶段，传播阶段，这一阶段能够顺利进行的前提是发现漏洞主机，因此攻击者或是感染者会进行大规则的网络扫描。扫描的数据包源IP地址多为真实的；第三阶段，负载执行阶段，这一阶段会根据不同的蠕虫产生不同的特征。蠕虫分析模块跟DDOS分析模块很类似，都是通过产生大量的流量信息等方式，跟DDOS不同点在于蠕虫采用的是一对多的链路传播方式，DDOS则采用的多对一的链路连接方式

在本发明的一个实施例中，所述自定义异常分析模块判断异常流量的方式包括：根据预设的选择关键词对所述原目标流量数据进行选择，得到目标数据；根据预设的特征值对所述目标数据进行分析，若目标数据符合所述数据特征值，则确定目标数据为安全数据，否则，目标数据中存在与所述特征值关联的异常行为。

其中，所述选择关键词包括但不限于预设的时间段或预设的IP地址段。通过查找出预设时间段或IP地址段的数据域，然后根据预设的特征值进行分析判断。

如图13所示，为统计出的各业务系统到短信中心的各业务流量数据在不同时间的频次变换趋势图，可以将统计出的频次变化特征作为所述数据特征值，通过判断设定时间段的目标数据进是否符合图中所示的变化特征来确定是否存在异常流量。

在本发明的一个实施例中，如图14所示，所述检测方法还包括：步骤S400：对通过预置的流量攻击分析模块检测出的异常流量数据进行预警显示；步骤S500：根据预置的流量攻击分析模块的检测结果对当前防火墙策略进行核查，查找出当前防火墙策略中的待优化策略。

在实际应用中，将通过步骤S300检测出的异常流量数据分析结果，进行预警显示，将分析出的结果直接汇入结果处理队列中，可以将汇入结果处理队列数据逐次提取，通过多维立体式的分析，清晰明了的报告了防火墙策略存在的问题，从而实现有效的管理防火墙策略。

其中，所述对当前防火墙策略进行核查包括但不限于包含管理端口、IP或端口开放范围过大、重复和冲突等问题的策略条目，为防火墙的整改和优化提供了依据。

图15示出了本发明的一个具体实施例中的异常流量检测方法的流程示意图，该方法中的流量攻击分析模块包括了上述各分析模块，在通过各模块完成分析后，将分析结果显示，并对分析结果中的不明确的流量数据继续返回控制台进行分析判断，对分析结果明确的流量数据结果加入到结果处理队列数据中，根据该队列数据对防火墙策略进行检查完善，从而实现表2所示内容的策略条目问题分析。

本发明实施例中提供基于业务模型的异常流量ATD(Anomaly trafficdetection)检测系统及方法中，检测包括了数据采集、基于业务模型的流量白名单和和名单、基于流量特征的异常流量分析以及防火墙策略验证三部分组成，首当流量采集数据到达时，将流量对象汇入待处理序列，根据已知业务流程提炼出业务之间可信任的IT白名单，所有不在白名单和黑名单范围的流量将直接通过基于流量特征的行为进行分析，对分析存在攻击的流量数据产生告警，最后根据流量的行为验证防火墙的策略，已到达边界网络的访问控制。

所述检测系统和方法，它是建立在传输层和网络层上，并不使用预先定义的特征，而是通过一种学习模式建立基于业务的“正常”活动范围的模型，将来所有流量和活动都将与其进行比较和验证。此外，在此基础上添加了攻击确认及防火墙策略验证方法，使得本系统能够既监控了边界网络的情况，又消除了直接在防火墙上变更策略带来的安全隐患。

表2

以上所述的结构框图中所示的功能块可以实现为硬件、软件、固件或者它们的组合。当以硬件方式实现时，其可以例如是电子电路、专用集成电路(ASIC)、适当的固件、插件、功能卡等等。当以软件方式实现时，本发明的元素是被用于执行所需任务的程序或者代码段。程序或者代码段可以存储在机器可读介质中，或者通过载波中携带的数据信号在传输介质或者通信链路上传送。“机器可读介质”可以包括能够存储或传输信息的任何介质。机器可读介质的例子包括电子电路、半导体存储器设备、ROM、闪存、可擦除ROM(EROM)、软盘、CD-ROM、光盘、硬盘、光纤介质、射频(RF)链路，等等。代码段可以经由诸如因特网、内联网等的计算机网络被下载。

本发明可以以其他的具体形式实现，而不脱离其精神和本质特征。例如，特定实施例中所描述的算法可以被修改，而系统体系结构并不脱离本发明的基本精神。因此，当前的实施例在所有方面都被看作是示例性的而非限定性的，本发明的范围由所附权利要求而非上述描述定义，并且，落入权利要求的含义和等同物的范围内的全部改变从而都被包括在本发明的范围之中。

Claims

1.一种基于业务模型的异常流量检测系统，其特征在于，包括：

数据采集及解析装置，用于目标网络端口的原目标流量数据的采集及解析；

第一数据检测装置，用于根据预置的流量信息白名单和流量信息黑名单对所述解析后的目标流量数据进行过滤，将原目标流量数据中与流量信息白名单和流量信息黑名单均不匹配的第一流量数据发送到第二数据检测装置；

第二数据检测装置，用于根据预置的流量攻击分析模块对所述第一流量数据进行流量攻击判断，识别出第一流量数据中的异常流量数据；

其中，所述流量攻击分析模块至少包括DDOS分析模块；

所述DDOS分析模块，用于根据统计得到的网络流量数据的第一链路特征判断原目标流量数据是否存在DDOS攻击；

所述第一链路特征是指一个目标主机若干个时刻接收到的流量数据中，对于每一个时刻的流量数据按照流量数据的链路长度排序，统计出的不同时刻的位于固定顺序的流量数据的链路长度与对应时刻接收到流量数据的链路总数的比值的第一阈值范围；其中，所述链路长度为链路中包括的节点个数，所述链路总数为所述时刻接收到的流量数据中链路的总数；

所述DDOS分析模块包括：

第一流量排序单元，用于对属于同一目的主机的所有原目标流量数据的链路长度进行排序；

第一流量链路分析单元，用于对所述同一目的主机，根据排序结果判断位于不同顺序的原目标流量数据的链路长度与所有原目标流量数据的链路总数的比值是否符合对应顺序的第一阈值范围，若是，则原目标流量数据为安全流量，若否，则原目标流量数据为存在DDOS攻击。

2.根据权利要求1所述的一种基于业务模型的异常流量检测系统，其特征在于，所述目标网络端口为目标安全域的边界、目标安全域的子域以及子域之间的交换机端口。

3.根据权利要求1或2所述的一种基于业务模型的异常流量检测系统，其特征在于，所述数据采集及解析装置包括：

流量数据采集模块，用于通过交换式端口分析器SAPN技术采集目标网络端口的原目标流量数据；

流量数据解析模块，用于对所述原目标流量数据的TCP/IP数据包进行解析，得到原目标流量数据的第一信息，所述第一信息包括IP五元组、源MAC地址和目的MAC地址；

业务系统确定模块，用于根据原目标流量数据的源MAC地址、目的MAC地址和预置的业务系统映射表确定出原目标流量数据的源业务系统和目标业务系统，其中所述业务系统映射表为预置的MAC地址与业务系统的对应关系表。

4.根据权利要求1所述的一种基于业务模型的异常流量检测系统，其特征在于，所述第一数据检测装置包括：

安全流量处理模块，用于控制与流量信息白名单匹配的原目标流量数据通过；

异常流量处理模块，用于拦截与流量信息黑名单匹配的原目标流量数据。

5.根据权利要求3所述的一种基于业务模型的异常流量检测系统，其特征在于，

所述流量信息白名单中包括已知安全的源业务系统和目的业务系统对、IP地址和端口地址；原目标流量数据与流量信息白名单匹配是指原目标流量数据的所述第一信息中的任一项、或者源业务系统和目标业务系统同时出现在流量白名单中；

6.根据权利要求1所述的一种基于业务模型的异常流量检测系统，其特征在于，所述流量攻击分析模块还包括以下模块中的至少一种：

木马分析模块、蠕虫分析模块、NTP放大攻击分析模块和自定义异常分析模块。

7.根据权利要求6所述的一种基于业务模型的异常流量检测系统，其特征在于，所述木马分析模块包括：

木马特征信息检测单元，用于检测原目标流量数据中所存在的木马行为特征的种类；所述木马行为特征的种类包括反向连接特征、心跳行为特征、加密行为特征和上下行流量行为特征；

木马疑似度计算单元，用于根据原目标流量数据中存在的木马行为特征的种类和预设的每种木马行为特征的权值，计算原目标流量数据的木马疑似度P_Trojan，计算公式为：

木马攻击确定单元，用于根据所述木马疑似度判断原目标流量数据是否存在木马攻击，若木马疑似度大于设定阈值，则确定存在木马攻击。

8.根据权利要求6所述的一种基于业务模型的异常流量检测系统，其特征在于，所述蠕虫分析模块，用于根据统计得到的网络流量数据的第二链路特征判断原目标流量数据是否存在蠕虫攻击；

所述蠕虫分析模块包括：

第二流量排序单元，用于对属于同一源主机的所有原目标流量数据的链路长度进行排序；

第二流量链路分析单元，用于对所述同一源主机，根据排序结果判断位于不同顺序的原目标流量数据的链路长度与所有原目标流量数据的链路总数的比值是否符合对应顺序的第二阈值范围，若是，则原目标流量数据为安全流量，若否，则原目标流量数据存在所述蠕虫攻击。

9.根据权利要求6所述的一种基于业务模型的异常流量检测系统，其特征在于，所述自定义异常分析模块包括：

10.根据权利要求9所述的一种基于业务模型的异常流量检测系统，其特征在于，所述选择关键词包括时间段或IP地址段。

11.根据权利要求1所述的一种基于业务模型的异常流量检测系统，其特征在于，还包括：

异常分析结果显示装置，用于对第二数据检测装置检测出的异常流量数据进行预警显示；

防火墙策略核查装置：用于根据第二数据检测装置的检测结果对当前防火墙策略进行核查，查找出当前防火墙策略中的待优化策略。

12.一种基于业务模型的异常流量检测方法，其特征在于，包括：

采集目标网络端口的原目标流量数据并解析；

根据预置的流量信息白名单和流量信息黑名单对所述解析后的目标流量数据进行过滤，过滤出原目标流量数据中与流量信息白名单和流量信息黑名单均不匹配的第一流量数据；

根据预置的流量攻击分析模块对所述第一流量数据进行流量攻击判断，识别出第一流量数据中的异常流量数据；

其中，所述流量攻击分析模块至少包括DDOS分析模块；

所述DDOS分析模块根据统计得到的网络流量数据的第一链路特征判断原目标流量数据是否存在DDOS攻击；所述第一链路特征是指一个目标主机若干个时刻接收到的流量数据中，对于每一个时刻的流量数据按照流量数据的链路长度排序，统计出的不同时刻的位于固定顺序的流量数据的链路长度与对应时刻接收到流量数据的链路总数的比值的第一阈值范围；其中，所述链路长度为链路中包括的节点个数，所述链路总数为所述时刻接收到的流量数据中链路的总数；

DDOS分析模块判断存在DDOS攻击的异常流量的方式包括：

13.根据权利要求12所述的一种基于业务模型的异常流量检测方法，其特征在于，所述采集目标网络端口的原目标流量数据并解析，包括：

14.根据权利要求12所述的一种基于业务模型的异常流量检测方法，其特征在于，所述根据预置的流量信息白名单和流量信息黑名单对所述解析后的目标流量数据进行过滤，包括：

将与流量信息白名单匹配的原目标流量数据确定为安全流量，使安全流量通过；

将与流量信息黑名单匹配的原目标流量数据确定为异常流量，对异常流量进行拦截。

15.根据权利要求13所述的一种基于业务模型的异常流量检测方法，其特征在于，所述流量信息白名单中包括已知安全的源业务系统和目的业务系统对、IP地址和端口地址；原目标流量数据与流量信息白名单匹配是指原目标流量数据的所述第一信息中的任一项、或者源业务系统和目标业务系统同时出现在流量白名单中；

16.根据权利要求12所述的一种基于业务模型的异常流量检测系统，其特征在于，所述流量攻击分析模块还包括以下模块中的至少一种：

17.根据权利要求16所述的一种基于业务模型的异常流量检测方法，其特征在于，所述木马分析模块判断存在木马攻击的异常流量的方式包括：

18.根据权利要求16所述的一种基于业务模型的异常流量检测方法，其特征在于，所述蠕虫分析模块根据统计得到的网络流量数据的第二链路特征判断原目标流量数据是否存在蠕虫攻击；

19.根据权利要求16所述的一种基于业务模型的异常流量检测系统，其特征在于，所述自定义异常分析模块判断异常流量的方式包括：

根据预设的选择关键词对所述原目标流量数据进行选择，得到目标数据；

根据预设的特征值对所述目标数据进行分析，若目标数据符合所述数据特征值，则确定目标数据为安全数据，否则，目标数据中存在与所述特征值关联的异常行为。

20.根据权利要求12所述的一种基于业务模型的异常流量检测方法，其特征在于，还包括：

对通过预置的流量攻击分析模块检测出的异常流量数据进行预警显示；

根据预置的流量攻击分析模块的检测结果对当前防火墙策略进行核查，查找出当前防火墙策略中的待优化策略。

21.根据权利要求12所述的一种基于业务模型的异常流量检测方法，其特征在于，根据检测结果对当前防火墙策略进行核查，包括：

检测原目标流量数据的目的端口是否包含管理端口、目的IP地址或目的端口开放范围是否过大、防火墙测量是否重复或冲突。