CN108616529B - 一种基于业务流的异常检测方法及系统 - Google Patents
一种基于业务流的异常检测方法及系统 Download PDFInfo
- Publication number
- CN108616529B CN108616529B CN201810370507.4A CN201810370507A CN108616529B CN 108616529 B CN108616529 B CN 108616529B CN 201810370507 A CN201810370507 A CN 201810370507A CN 108616529 B CN108616529 B CN 108616529B
- Authority
- CN
- China
- Prior art keywords
- service
- url
- business
- flow
- role
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Abstract
本发明属于网络空间安全领域,公开了一种基于业务流的异常检测方法及系统,通过对业务流进行监测,基于业务系统其源IP地址、目的IP地址、源端口、目的端口、协议类型、时间等要素,从业务协议角度分析其是否存在异常;基于当前业务事件之间的时间间隔和业务活动中某些部分的执行频次,从业务性能角度分析其是否存在异常;从业务逻辑角度出发,基于正常的业务过程逻辑结构构建出业务逻辑矩阵,分析当前业务事件的发生顺序是否存在异常。本发明弥补传统安全防护措施的不足,检测出传统技术手段无法发现的安全问题,加强安全防护的内控,防止内部人员违规行为的发生,对现有安全防护体系形成有力的补充和完善。
Description
技术领域
本发明属于网络空间安全领域,尤其涉及一种基于业务流的异常检测方法及系统。
背景技术
目前,业内常用的现有技术是这样的:
随着网络攻击技术不断发展,攻击手段愈趋复杂、攻击规模愈趋扩大,而现有安全防护体系强调外防,传统的基于规则、攻击特征的入侵检测、防火墙等安全保障措施在检测未知威胁和监测内部人员违规行为方面的效果很不理想。越来越多的攻击者在发起攻击时,首先会测试是否可以绕过目标网络的安全检测,利用一些新型的攻击手段,如零日威胁、高级逃避技术、多阶段攻击、APT攻击等。由于它们绕过了传统安全机制,因此往往会造成更大的破坏。因此,对未知威胁的检测需采取全新的技术思路。
为提高工作效率,越来越多的企业和组织开始采用各类业务系统来完成业务活动。通常大部分提供服务的业务系统都有着清晰的业务逻辑,其中包括了访问的发起方、应答方、使用的协议和端口等。在通常情况下,业务的访问时间、访问者、访问数据量等数据都是存在一定规律性的,这也为基于业务逻辑来进行攻击检测提供了现实基础。通过对实际业务的状态检测来判断当前网络是否遭受了攻击或者病毒入侵,也成为目前网络安全研究的热点和重点。专利201710721647.7以业务网络中的实际流量为基础,基于贝叶斯网络架构估计流量矩阵;将网络探针分布式部署到不同的网络节点,利用流量矩阵进行网络异常检测。专利201710060652.8首先采集存储预定时间段内的网络流量并针对每一用户对网络层的IP五元组信息,传输层的连接频率、上行数据量或者下行数据量,应用层的统一资源定位符或者请求频率,业务层的请求类型等要素进行建模;然后在系统运行过程中将每个用户的实际操作行为与预建立的正常行为轮廓进行对比来检测流量异常。杨大路等首先以生产网络中的实际流量为基础,通过流量自学习方法建立初步的可信业务流模型;然后对网络中的流量进行实时监测,并将监测到的数据与模型进行对比实现对未知威胁的发现。段谟意提出了一种人工蚁群算法与聚类相结合的状态检测算法DASA,这种算法根据SKETCH方法和Hash函数建立了业务流异常状态模型。谢逸等为了有效描述用户高层访问并实现异常检测,采用了隐半马尔可夫模型描述Web用户浏览行为的随机变化过程。
现有的通用技术方案都是通过流量本身的不同维度来发现网络流量存在异常,与特定业务系统是没有逻辑关系的。随着Internet规模越来越大,网络的安全问题日益突出,通过对实际业务流的状态检测来判断当前网络是否遭受了攻击或者病毒入侵,也成为目前网络安全研究的热点和重点。目前采用的方法都是从全流量中提取出业务相关流量,然后基于业务系统的相关信息如访问的时间、发起方、应答方、使用的协议和端口、连接频率、上下行数据流量等给业务系统或每个业务使用者建立业务执行的正常基线;然后在系统运行过程中将业务实际流量以及每个业务使用者的流量与预建立的正常基线进行对比,以发现异常。
综上所述,现有技术存在的问题是:
目前基于业务流的异常检测方法都是利用业务流的各个要素给业务系统或每个业务使用者建立执行的正常轮廓,然后在系统运行过程中将业务实际流量以及每个业务使用者的流量与预建立的正常轮廓进行对比来检测异常。采用这种方式检测异常流量存在三方面的问题:(1)统计分析的业务流量相关要素不能体现出业务逻辑关系,不能基于业务逻辑判断网络是否存在可能的未知威胁、攻击行为。(2)难以检测利用业务内部逻辑漏洞进行的攻击;(3)无法发现合法员工的违规行为。
解决上述技术问题的难度和意义:
随着网络攻击技术不断发展,攻击手段愈趋复杂、攻击规模愈趋扩大,而现有安全防护体系在检测未知威胁和监测内部人员违规行为方面的效果很不理想。本发明提出了一种基于业务流的异常检测方法,目的是弥补传统安全防护措施的不足,围绕业务系统支撑的业务职能和业务数据,实现了网络业务流量的可视化,从业务协议、业务逻辑和业务性能等方面检查出是否存在未知威肋和内部人员违规行为,加强安全防护的内控,对现有安全防护体系形成有力的补充和完善。
发明内容
针对现有技术存在的问题,本发明提供了一种基于业务流的异常检测方法及系统。本发明从业务协议、业务性能和业务逻辑等角度,通过综合分析业务执行过程中出现的异常情况和业务执行者的异常工作行为,发现业务系统在流量、时间、性能、业务逻辑等方面表现出的异常,从而检测出传统技术手段无法发现的未知威胁攻击,弥补传统基于业务流的异常检测方法的不足。
本发明是这样实现的,一种基于业务流的异常检测方法,所述基于业务流的异常检测方法为:
通过对业务流进行监测,基于业务系统其源IP地址、目的IP地址、源端口、目的端口、协议类型、时间,从业务协议上分析是否存在异常;从业务逻辑上,基于正常的业务过程逻辑结构构建业务逻辑矩阵,分析当前业务事件的发生顺序是否存在异常;基于当前业务事件之间的时间间隔和业务活动中某些部分的执行频次,从业务性能上分析是否存在异常。本发明围绕业务安全需求,全面建立了业务系统的轮廓和业务使用者在担任不同角色、执行不同任务时正常操作的范围;通过对具体业务流全路径动态行为的全面分析,对业务协议、业务逻辑和业务性能进行动态综合监控,实现对未知威胁和违规行为的快速感知和深度分析,以及对未知安全事件的回溯评估和检测。
进一步,业务协议异常包括:业务系统其源IP地址、目的IP地址、源端口、目的端口、协议类型、时间的异常;
业务性能异常包括:当前业务事件之间的时间间隔异常和业务活动中某些部分的执行频次异常;
业务逻辑异常包括:当前业务事件的发生顺序没有遵循正常的业务过程逻辑结构,导致业务异常终止或返回错误结果;
进一步,所述基于业务流的异常检测方法具体包括:
步骤1,通过分光或镜像的方式获取的网络流量,对获取的网络流量分析,识别出业务系统其源IP地址、目的IP地址、源端口、目的端口、协议类型、运行时间的要素,建立用于检测业务协议异常的轮廓模型,用于检测业务协议是否异常;
步骤2,从业务系统中导入使用业务的业务角色和业务用户名,建立并动态维护IP-用户-角色对应表;
步骤3,以业务系统网络的一段长时间实际流量为基础,基于每类业务角色对获取的网络流量分析,对每类业务角色的业务事件之间的时间间隔和业务活动中某些部分的执行频次进行统计,通过流量自学习方法给每类业务角色建立的业务性能模型,并对模型进行修正,构建用于检测业务性能的基线模型。
步骤4,基于业务系统提供的不同业务角色,采用网络爬虫分别获取业务系统中对应角色能够跳转到的所有内链URL的列表;将获取的URL存入数据库,在存储时为每个URL分配固定的id,建立基于业务角色的业务系统URL总表;
步骤5,为每一个URL链接建立直接跳转的URL表,以URL对应的ID命名;首先依次处理基于业务角色的业务系统URL总表中保存的每一个URL,基于当前URL获取该URL能直接跳转的下一个URL,将获取的下一个URL以及对应的ID存储在表项中;
步骤6,构建出业务系统的URL链接矩阵,建立用于检测业务逻辑异常的矩阵模型;
步骤7,业务系统发生改变时,重复步骤1到6,重新构建用于检测业务协议异常的轮廓模型,检测业务性能异常的基线模型和检测业务逻辑异常的矩阵模型;
步骤8,一个业务用户访问业务系统时,通过分光或镜像的方式获取当前的网络流量并提取出当前用户流量,首先基于业务协议异常的轮廓模型检测当前用户使用业务系统其源IP地址、目的IP地址、源端口、目的端口、协议类型、时间的要素是否异常,检测到异常,则进行告警;
步骤9,查询IP-用户-角色对应表,得到当前用户角色和基于该角色的业务性能的基线模型;如果不一致,则进行告警;
步骤10,对当前用户的网络流量进行实时监测,对流量中用户产生业务事件之间的时间间隔和业务活动中某些部分的执行频次进行统计,并将监测到的数据与该用户对应角色的业务性能基线模型进行对比,实际检测数据与基线模型的偏差大于预先设定的门限时,则进行告警;
步骤11,查询IP-用户-角色对应表,得到当前用户角色和基于该角色的业务逻辑异常矩阵模型;从当前用户的网络流量提取出业务访问的第一个URL和第二个URL,首先查询基于业务角色的业务系统URL总表,得到这两个URL的id1,id2;接着基于该角色的业务逻辑矩阵对id1的业务逻辑进行检测,查看矩阵元素Xid1,id2的值,为1则判定第二个URL与第一个URL间存在直接链接关系,用户的业务访问URL当前业务事件的发生顺序是遵循正常的业务过程逻辑结构,否则告警;然后判断第二个URL和第三个URL,直到该用户退出业务系统为止。
进一步,步骤6,构建出业务系统的URL链接矩阵中,构建方法包括:
1)查询URL总表根据URL链接数决定矩阵大小,URL总表有N个URL链接,URL链接矩阵为NXN阶矩阵,矩阵的行和列分别代表每个URL;
2)依次查询所有的直接跳转URL表,URL间存在直接链接关系,对应的矩阵元素值为1,否则为0。
本发明另一目的在于提供一种实现所述基于业务流的异常检测方法的计算机程序。
本发明另一目的在于提供一种实现所述基于业务流的异常检测方法的信息数据处理终端。
本发明另一目的在于提供一种计算机可读存储介质,包括指令,当其在计算机上运行时,使得计算机执行所述的基于业务流的异常检测方法。
本发明另一目的在于提供一种基于业务流的异常检测控制系统。
综上所述,本发明的优点及积极效果为:
本发明通过对业务流进行监测,基于业务系统其源IP地址、目的IP地址、源端口、目的端口、协议类型、时间等要素,从业务协议角度分析其是否存在异常;从业务逻辑角度出发,基于正常的业务过程逻辑结构构建出业务逻辑矩阵,分析当前业务事件的发生顺序是否存在异常;基于当前业务事件之间的时间间隔和业务活动中某些部分的执行频次,从业务性能角度分析其是否存在异常。本发明弥补传统安全防护措施的不足,检测出传统技术手段无法发现的安全问题,加强安全防护的内控,防止内部人员违规行为的发生,对现有安全防护体系形成有力的补充和完善。和现有技术的对比,如下表所示,本发明所提出的方法不仅从业务协议角度是否一致检测异常,还从业务逻辑角度建立了业务系统的轮廓,构建了业务使用者在担任不同角色、执行不同任务时正常操作的模型;从业务性能角度分析业务使用者行为是否存在异常,全面而准确的描述出攻击者的角色类型、攻击的操作细节和受影响的业务活动等信息。
| 检测角度 | 本发明 | 现有技术 |
| 业务协议 | 支持 | 支持 |
| 业务逻辑 | 支持 | 不支持 |
| 业务性能 | 支持 | 不支持 |
附图说明
图1是本发明实施例提供的基于业务流的异常检测方法流程图。
图2是本发明实施例提供的建立模型流程图。
图3是本发明实施例提供的某业务系统中某个角色的业务访问逻辑图。
图4是本发明实施例提供的业务逻辑矩阵图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
目前基于业务流的异常检测方法都是利用业务流的各个要素给业务系统或每个业务使用者建立执行的正常轮廓,然后在系统运行过程中将业务实际流量以及每个使用者的实际操作行为与预建立的正常轮廓进行对比来检测异常。采用这种方式检测异常流量存在三方面的问题:(1)统计分析的业务流量相关要素不能体现出业务逻辑关系,不能基于业务逻辑判断网络是否存在可能的未知威胁、攻击行为。(2)难以检测利用业务内部逻辑漏洞进行的攻击;(3)无法发现合法员工的违规行为。
在业务系统中,业务访问流程的网络行为是有迹可循的,可以通过对业务流进行监测,发现攻击行为在行为、流量、时间、访问路径等方面表现出的异常。从而检测出传统技术手段无法发现的安全问题。本发明将从以下三个层面检测当前业务流是否异常:
(1)业务协议异常
业务系统其源IP地址、目的IP地址、源端口、目的端口、协议类型、时间等要素异常。
(2)业务性能异常
当前业务事件之间的时间间隔异常和业务活动中某些部分的执行频次异常。
(3)业务逻辑异常
当前业务事件的发生顺序没有遵循正常的业务过程逻辑结构,从而导致业务异常终止或返回错误结果的情况。
其详细工作流程如下:如图1;
步骤1通过分光或镜像的方式获取的网络流量,对获取的网络流量分析,识别出业务系统其源IP地址、目的IP地址、源端口、目的端口、协议类型、运行时间等要素,建立用于检测业务协议异常的轮廓模型,用于检测业务协议是否异常。
步骤2从业务系统中导入使用业务的业务角色和业务用户名,建立并动态维护IP-用户-角色对应表。
步骤3以业务系统网络的一段长时间实际流量为基础,基于每类业务角色对获取的网络流量分析,对每类业务角色的业务事件之间的时间间隔和业务活动中某些部分的执行频次进行统计,通过流量自学习方法给每类业务角色建立的业务性能模型,并通过系统管理员对模型进行修正,成为可用于检测业务性能的基线模型。
步骤4基于业务系统提供的不同用户角色,采用网络爬虫分别获取业务系统中对应角色能够跳转到的所有内链URL的列表;将获取的URL存入数据库,在存储时为每个URL分配固定的id,建立基于业务角色的业务系统URL总表。
步骤5为每一个URL链接建立直接跳转的URL表,表名以URL对应的ID命名;首先依次处理基于业务角色的业务系统URL总表中保存的每一个URL,基于当前URL获取该URL能直接跳转的下一个URL,将获取的下一个URL以及对应的ID存储在表项中。
步骤6根据以上的信息,构建出业务系统的URL链接矩阵,其构建方法如下:(1)查询URL总表根据URL链接数决定矩阵大小,如果URL总表有N个URL链接,URL链接矩阵就为NXN阶矩阵,矩阵的行和列分别代表每个URL;(2)依次查询所有的直接跳转URL表,如果URL间存在直接链接关系,对应的矩阵元素值为1,否则为0。建立可用于检测业务逻辑异常的矩阵模型(如图2)。
步骤7当业务系统发生改变时,重复步骤1到6重新构建用于检测业务协议异常的轮廓模型,检测业务性能异常的基线模型和检测业务逻辑异常的矩阵模型;
步骤8当一个业务用户访问业务系统时,通过分光或镜像的方式获取当前的网络流量并提取出当前用户流量,首先基于业务协议异常的轮廓模型检测当前用户使用业务系统时其源IP地址、目的IP地址、源端口、目的端口、协议类型、时间等要素是否异常,如检测到异常,则进行告警。
步骤9查询IP-用户-角色对应表,得到当前用户角色和基于该角色的业务性能的基线模型;如果不一致,则进行告警。
步骤10对当前用户的网络流量进行实时监测,对流量中用户产生业务事件之间的时间间隔和业务活动中某些部分的执行频次进行统计,并将监测到的数据与该用户对应角色的业务性能基线模型进行对比,当实际检测数据与基线模型的偏差大于预先设定的门限时,则进行告警。
步骤11查询IP-用户-角色对应表,得到当前用户角色和基于该角色的业务逻辑异常矩阵模型;从当前用户的网络流量提取出业务访问的第一个URL和第二个URL,首先查询基于业务角色的业务系统URL总表,得到这两个URL的id1,id2;接着基于该角色的业务逻辑矩阵对id1的业务逻辑进行检测,查看矩阵元素Xid1,id2的值,如果为1则判定第二个URL与第一个URL间存在直接链接关系,用户的业务访问URL当前业务事件的发生顺序是遵循正常的业务过程逻辑结构,否则告警。然后基于上述步骤判断第二个URL和第三个URL,直到该用户退出业务系统为止。
下面结合具体实施例对本发明作进一步描述。
以下结合附图3、图4和具体实施方式对本发明的实现进行详细描述:
某单位业务系统中某个角色其主页为A,这个主页下面有5个从链接,分别用B,C、D、E、F表示,其链接如附图3所示。下面基于本发明提出的方法对业务流进行监测:
步骤1通过分光或镜像的方式获取的网络流量,对获取的网络流量分析,识别出业务系统其源IP地址、目的IP地址、源端口、目的端口、协议类型、运行时间等要素,建立用于检测业务协议异常的轮廓模型。
步骤2从业务系统中导入使用业务的角色和业务用户名,建立并动态维护IP-用户-角色对应表。
步骤3以业务系统一周运行的实际流量为基础,基于每类角色对获取的网络流量分析,对每类角色的业务事件之间的时间间隔和业务活动中某些部分的执行频次进行统计,通过流量自学习方法给每类角色建立的业务性能模型,并通过系统管理员对模型进行修正,成为可用于检测业务性能的基线模型。
步骤4基于业务系统中用户角色,采用网络爬虫分别获取业务系统中对应角色能够跳转到的所有内链URL的列表;将获取的URL存入数据库,在存储时为每个URL分配固定的ID,建立基于业务角色的系统URL总表,下面本发明基于图3建立的角色业务系统URL总表如果下表1所示。
表1业务系统URL总表
| ID | url |
| 1 | A |
| 2 | B |
| 3 | C |
| 4 | D |
| 5 | E |
| 6 | F |
步骤5为每一个URL链接建立直接跳转的URL表,表名以URL对应的ID命名;首先依次处理基于业务角色的业务系统URL总表中保存的每一个URL,基于当前URL获取该URL能直接跳转的下一个URL,将获取的下一个URL以及对应的ID存储在表项中;在本例中,A能直接跳转的下一个URL分别为B和C,因此分别把B和C以及对应的ID值2,3存储在表2中;表3,4,5,6,7采用同样的方法构建。
表2 A的直接跳转表
| url | ID |
| A | 1 |
| B | 2 |
| C | 3 |
表3 B的直接跳转表
表4 C的直接跳转表
| url | ID |
| C | 3 |
| A | 1 |
| B | 2 |
| D | 4 |
表5 D的直接跳转表
| url | ID |
| D | 4 |
| F | 6 |
表6 E的直接跳转表
| url | ID |
| E | 5 |
表7 F的直接跳转表
| url | ID |
| F | 6 |
步骤6根据以上的信息,构建出业务系统的URL链接矩阵,其构建方法如下:(1)查询URL总表根据URL链接数决定矩阵大小,图3的URL总表有6个URL链接,URL链接矩阵就为6X6阶矩阵,矩阵的行和列分别代表每个URL;(2)查询直接跳转的URL表,如果URL间存在直接链接关系,对应的矩阵元素值为1,否则为0。例如查询表2得到A的直接跳转表,A能直跳转到B和C,查询URL总表得到A的ID为1,B和C的ID分别为2和3,因此对应的矩阵中元素X12和X13的值为1。根据以上的方法,本发明可以构建出当前网站的业务逻辑矩阵如图4所示。
步骤7当业务系统发生改变时,重复步骤1到6重新构建用于检测业务协议异常的轮廓模型,检测业务性能的基线模型和检测业务逻辑异常的矩阵模型。
步骤8当一个业务用户访问业务系统时,通过分光或镜像的方式获取当前用户的网络流量,首先基于业务协议异常的轮廓模型检测当前用户使用业务系统时其源IP地址、目的IP地址、源端口、目的端口、协议类型、时间等要素是否异常,如检测到异常,则进行告警。
步骤9查询IP-用户-角色对应表,得到当前用户角色和基于该角色的业务性能的基线模型;如果不一致,则进行告警。
步骤10对当前用户的网络流量进行实时监测,对流量中用户产生业务事件之间的时间间隔和业务活动中某些部分的执行频次进行统计,并将监测到的数据与该用户对应角色的业务性能基线模型进行对比,当实际检测数据与基线模型的偏差大于预先设定的门限时,则进行告警。
步骤11查询IP-用户-角色对应表,得到当前用户角色和基于该角色的业务逻辑异常矩阵模型;从当前用户的网络流量提取出业务访问的第一个地址是A和第二个是B,首先查询基于业务角色的业务系统URL总表,得到这两个URL的ID分别为1和2;接着基于该角色的业务逻辑异常矩阵对A的业务逻辑进行检测,查看矩阵元素X 1,2的值,如果为1判断第二个URL与第一个URL间存在直接链接关系,用户的业务访问URL当前业务事件的发生顺序是遵循正常的业务过程逻辑结构,否则告警。然后基于上述步骤判断第二个URL和第三个URL,直到该用户退出业务系统为止。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用全部或部分地以计算机程序产品的形式实现,所述计算机程序产品包括一个或多个计算机指令。在计算机上加载或执行所述计算机程序指令时,全部或部分地产生按照本发明实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL)或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输)。所述计算机可读取存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质(例如固态硬盘SolidState Disk(SSD))等。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
Claims (4)
1.一种基于业务流的异常检测方法,其特征在于,所述基于业务流的异常检测方法为:
基于业务系统其源IP地址、目的IP地址、源端口、目的端口、协议类型、时间,采集业务流进行分析;基于当前业务事件之间的时间间隔和业务活动中某些部分的执行频次,从业务性能上分析是否存在异常;从业务逻辑上,基于正常的业务过程逻辑结构构建业务逻辑矩阵,分析当前业务事件的发生顺序是否存在异常;
所述基于业务流的异常检测方法具体包括:
步骤1,通过分光或镜像的方式获取的网络流量,对获取的网络流量分析,识别出业务系统其源IP地址、目的IP地址、源端口、目的端口、协议类型、运行时间的要素,建立用于检测业务协议异常的轮廓模型,用于检测业务协议是否异常;
步骤2,从业务系统中导入使用业务的业务角色和业务用户名,建立并动态维护IP-用户-角色对应表;
步骤3,以业务系统网络的一段长时间实际流量为基础,基于每类业务角色对获取的网络流量分析,对每类业务角色的业务事件之间的时间间隔和业务活动中某些部分的执行频次进行统计,通过流量自学习方法给每类业务角色建立的业务性能模型,并对模型进行修正,构建用于检测业务性能的基线模型;
步骤4,基于业务系统提供的不同业务角色,采用网络爬虫分别获取业务系统中对应角色能够跳转到的所有内链URL的列表;将获取的URL存入数据库,在存储时为每个URL分配固定的id,建立基于业务角色的业务系统URL总表;
步骤5,为每一个URL链接建立直接跳转的URL表,以URL对应的ID命名;首先依次处理基于业务角色的业务系统URL总表中保存的每一个URL,基于当前URL获取该URL能直接跳转的下一个URL,将获取的下一个URL以及对应的ID存储在表项中;
步骤6,构建出业务系统的URL链接矩阵,建立用于检测业务逻辑异常的矩阵模型;
步骤7,业务系统发生改变时,重复步骤1到6,重新构建用于检测业务协议异常的轮廓模型,检测业务性能异常的基线模型和检测业务逻辑异常的矩阵模型;
步骤8,一个业务用户访问业务系统时,通过分光或镜像的方式获取当前的网络流量并提取出当前用户流量,首先基于业务协议异常的轮廓模型检测当前用户使用业务系统其源IP地址、目的IP地址、源端口、目的端口、协议类型、时间的要素是否异常,检测到异常,则进行告警;
步骤9,查询IP-用户-角色对应表,得到当前用户角色和基于当前用户角色的业务性能的基线模型;如果不一致,则进行告警;
步骤10,对当前用户的网络流量进行实时监测,对流量中用户产生业务事件之间的时间间隔和业务活动中某些部分的执行频次进行统计,并将监测到的数据与流量中用户对应角色的业务性能基线模型进行对比,实际检测数据与基线模型的偏差大于预先设定的门限时,则进行告警;
步骤11,查询IP-用户-角色对应表,得到当前用户角色和基于该角色的业务逻辑异常矩阵模型;从当前用户的网络流量提取出业务访问的第一个URL和第二个URL,首先查询基于业务角色的业务系统URL总表,得到这两个URL的id1,id2;接着基于当前用户角色的业务逻辑矩阵对id1的业务逻辑进行检测,查看矩阵元素Xid1,id2的值,为1则判定第二个URL与第一个URL间存在直接链接关系,用户的业务访问URL当前业务事件的发生顺序是遵循正常的业务过程逻辑结构,否则告警;然后判断第二个URL和第三个URL,直到该用户退出业务系统为止。
2.如权利要求1所述的基于业务流的异常检测方法,其特征在于,
业务协议异常包括:业务系统其源IP地址、目的IP地址、源端口、目的端口、协议类型、时间的异常;
业务性能异常包括:当前业务事件之间的时间间隔异常和业务活动中某些部分的执行频次异常;
业务逻辑异常包括:当前业务事件的发生顺序没有遵循正常的业务过程逻辑结构,导致业务异常终止或返回错误结果。
3.如权利要求1所述的基于业务流的异常检测方法,其特征在于,步骤6,构建出业务系统的URL链接矩阵中,构建方法包括:
1)查询URL总表根据URL链接数决定矩阵大小,URL总表有N个URL链接,URL链接矩阵为NXN阶矩阵,矩阵的行和列分别代表每个URL;
2)依次查询所有的直接跳转URL表,URL间存在直接链接关系,对应的矩阵元素值为1,否则为0。
4.一种计算机可读存储介质,包括指令,当其在计算机上运行时,使得计算机用于实现如权利要求1-3任意一项所述的基于业务流的异常检测方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810370507.4A CN108616529B (zh) | 2018-04-24 | 2018-04-24 | 一种基于业务流的异常检测方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810370507.4A CN108616529B (zh) | 2018-04-24 | 2018-04-24 | 一种基于业务流的异常检测方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108616529A CN108616529A (zh) | 2018-10-02 |
| CN108616529B true CN108616529B (zh) | 2021-01-29 |
Family
ID=63660647
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810370507.4A Active CN108616529B (zh) | 2018-04-24 | 2018-04-24 | 一种基于业务流的异常检测方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108616529B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20220191227A1 (en) * | 2019-04-02 | 2022-06-16 | Siemens Energy Global GmbH & Co. KG | User behavorial analytics for security anomaly detection in industrial control systems |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109660517B (zh) * | 2018-11-19 | 2021-05-07 | 北京天融信网络安全技术有限公司 | 异常行为检测方法、装置及设备 |
| CN111953504B (zh) * | 2019-05-15 | 2023-03-24 | 中国电信股份有限公司 | 异常流量检测方法和装置、计算机可读存储介质 |
| CN113761536B (zh) * | 2021-07-27 | 2022-02-11 | 北京东方通科技股份有限公司 | 一种基于业务逻辑的安全检测方法及系统 |
| CN116016201A (zh) * | 2021-11-04 | 2023-04-25 | 贵州电网有限责任公司 | 一种基于业务回溯的异常预警方法 |
| CN114037286A (zh) * | 2021-11-10 | 2022-02-11 | 国网天津市电力公司 | 一种基于大数据电力调度自动化敏感数据检测方法及系统 |
| CN114826717B (zh) * | 2022-04-18 | 2024-02-23 | 深信服科技股份有限公司 | 一种异常访问检测方法、装置、电子设备及存储介质 |
| CN116074113B (zh) * | 2023-03-06 | 2023-08-15 | 成都市以太节点科技有限公司 | 基于业务流程约束的安全防护方法、装置及存储介质 |
| CN117395070B (zh) * | 2023-11-16 | 2024-05-03 | 国家计算机网络与信息安全管理中心 | 一种基于流量特征的异常流量检测方法 |
| CN117834389B (zh) * | 2024-03-04 | 2024-05-03 | 中国西安卫星测控中心 | 一种基于异常通信业务特征元矩阵的故障分析方法 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101196813A (zh) * | 2007-12-26 | 2008-06-11 | 上海科泰世纪科技有限公司 | 计算机软件系统中基于构件接口实现事件回调的方法 |
| CN101431449A (zh) * | 2008-11-04 | 2009-05-13 | 中国科学院计算技术研究所 | 一种网络流量清洗系统 |
| CN104022999A (zh) * | 2013-09-05 | 2014-09-03 | 北京科能腾达信息技术股份有限公司 | 基于协议分析的网络数据处理方法及系统 |
| CN106209893A (zh) * | 2016-07-27 | 2016-12-07 | 中国人民解放军信息工程大学 | 基于业务过程模型挖掘的内部威胁检测系统及其检测方法 |
| US10417225B2 (en) * | 2015-09-18 | 2019-09-17 | Splunk Inc. | Entity detail monitoring console |
-
2018
- 2018-04-24 CN CN201810370507.4A patent/CN108616529B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101196813A (zh) * | 2007-12-26 | 2008-06-11 | 上海科泰世纪科技有限公司 | 计算机软件系统中基于构件接口实现事件回调的方法 |
| CN101431449A (zh) * | 2008-11-04 | 2009-05-13 | 中国科学院计算技术研究所 | 一种网络流量清洗系统 |
| CN104022999A (zh) * | 2013-09-05 | 2014-09-03 | 北京科能腾达信息技术股份有限公司 | 基于协议分析的网络数据处理方法及系统 |
| US10417225B2 (en) * | 2015-09-18 | 2019-09-17 | Splunk Inc. | Entity detail monitoring console |
| CN106209893A (zh) * | 2016-07-27 | 2016-12-07 | 中国人民解放军信息工程大学 | 基于业务过程模型挖掘的内部威胁检测系统及其检测方法 |
Non-Patent Citations (1)
| Title |
|---|
| 《一种基于可信业务流的未知威胁检测方法》;杨大路;《设计与研发》;20150930;正文第21-23页 * |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20220191227A1 (en) * | 2019-04-02 | 2022-06-16 | Siemens Energy Global GmbH & Co. KG | User behavorial analytics for security anomaly detection in industrial control systems |
Also Published As
| Publication number | Publication date |
|---|---|
| CN108616529A (zh) | 2018-10-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108616529B (zh) | 一种基于业务流的异常检测方法及系统 | |
| US11522882B2 (en) | Detection of adversary lateral movement in multi-domain IIOT environments | |
| US11818146B2 (en) | Framework for investigating events | |
| US11089045B2 (en) | User and entity behavioral analysis with network topology enhancements | |
| US10419466B2 (en) | Cyber security using a model of normal behavior for a group of entities | |
| EP3211854B1 (en) | Cyber security | |
| US11570204B2 (en) | Detecting and mitigating golden ticket attacks within a domain | |
| US20220014560A1 (en) | Correlating network event anomalies using active and passive external reconnaissance to identify attack information | |
| US11757920B2 (en) | User and entity behavioral analysis with network topology enhancements | |
| US8272061B1 (en) | Method for evaluating a network | |
| US9462009B1 (en) | Detecting risky domains | |
| US11388186B2 (en) | Method and system to stitch cybersecurity, measure network cyber health, generate business and network risks, enable realtime zero trust verifications, and recommend ordered, predictive risk mitigations | |
| US9154516B1 (en) | Detecting risky network communications based on evaluation using normal and abnormal behavior profiles | |
| KR102225460B1 (ko) | 다중 센서 데이터를 이용한 위협 헌팅 기반의 위협 탐지 방법 및 이를 이용한 장치 | |
| RU2757597C1 (ru) | Системы и способы сообщения об инцидентах компьютерной безопасности | |
| US20230412620A1 (en) | System and methods for cybersecurity analysis using ueba and network topology data and trigger - based network remediation | |
| Gui et al. | Analysis of malware application based on massive network traffic | |
| Frankowski et al. | Application of the Complex Event Processing system for anomaly detection and network monitoring | |
| Catalin et al. | An efficient method in pre-processing phase of mining suspicious web crawlers | |
| Kalutarage | Effective monitoring of slow suspicious activites on computer networks. | |
| KR20210141198A (ko) | 내부망의 보안 옵티마이즈 기능을 제공하는 네트워크 보안 시스템 | |
| Grégio et al. | Evaluation of data mining techniques for suspicious network activity classification using honeypots data | |
| Landauer et al. | Introducing a New Alert Data Set for Multi-Step Attack Analysis | |
| Çakmakçı et al. | APT Detection: an Incremental Correlation Approach | |
| Kamarudin et al. | Research Article A New Unified Intrusion Anomaly Detection in Identifying Unseen Web Attacks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |