CN109922048B - 一种串行分散隐藏式威胁入侵攻击检测方法和系统 - Google Patents
一种串行分散隐藏式威胁入侵攻击检测方法和系统 Download PDFInfo
- Publication number
- CN109922048B CN109922048B CN201910101158.0A CN201910101158A CN109922048B CN 109922048 B CN109922048 B CN 109922048B CN 201910101158 A CN201910101158 A CN 201910101158A CN 109922048 B CN109922048 B CN 109922048B
- Authority
- CN
- China
- Prior art keywords
- identification
- detection
- network
- application
- attack
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Abstract
本发明公开了一种串行分散隐藏式威胁入侵攻击检测方法和系统,所述检测方法通过对可扩展的应用识别技术和隐藏式威胁分析检测技术研究,检测出网络流量中存在的未知的异常流量。所述可扩展的应用识别技术是在深度包检测技术的基础上,将应用层识别的范畴进行了扩展,从各种维度对不同应用做出评价,挖掘网络流量中的更多信息,提供了深层应用层识别能力。分散隐藏式入侵威胁分析系统以网关模式、串联模式或旁路模式部署在网络中,采集并分析当前网络流量,及时发现恶意文件在网络边界的活动踪迹,提供实时的安全警报、威胁定位和执行动作。
Description
技术领域
本发明一种串行分散隐藏式威胁入侵攻击检测方法和系统,属于网络安全防御技术领域。
背景技术
随着各种针对工业化信息系统的攻击手段的广泛流行,以及更多的未知攻击事件的发生,传统的安全技术主要面临以下几个方面的困局:
网络内出现的新型威胁大多基于0day漏洞,没有漏洞特征,攻击工具日新月异,出现了定制化的工具,对于防护者无法通过基于已知威胁的检测方法来获取攻击样本。
其中最常见的威胁为:
APT(Advanced Persistent Threat),高级持续性威胁。是指组织或者小团体利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式。APT攻击的原理相对于其他攻击形式更为高级和先进,其高级性主要体现在APT在发动攻击之前需要对攻击对象的业务流程和目标系统进行精确的收集,在此收集的过程中,此攻击会主动挖掘被攻击对象受信系统和应用程序的漏洞,在这些漏洞的基础上形成攻击者所需的C&C网络,此种行为没有采取任何可能触发警报或者引起怀疑的行动,因此更接近于融入被攻击者的系统或程序。
APT攻击具有以下特点:(1)极强的隐蔽性、(2)潜伏期长,持续性强、(3)目标性强越来越多的攻击开始利用社会工程学,基于长时间的目标定位、更精准有效的发起潜在攻击。利用社交网站或邮件系统发送包含恶意文件或链接的邮件,进行钓鱼攻击;这种攻击方式往往具有很多传播方式,比如:邮件、网络、U盘等硬件存储设备。
发明内容
为解决现有技术存在的不足,本发明公开了一种串行分散隐藏式威胁入侵攻击检测方法和系统,该系统采用多核、虚拟化平台,该方法通过并行的多种引擎检测及流处理方式达到更高的性能和更高的检测率,及时发现恶意文件在内部的活动踪迹,提供实时的安全警报和威胁定位。
本发明通过如下技术方案实现:
一种串行分散隐藏式威胁入侵攻击检测方法,所述检测方法通过对可扩展的应用识别技术和隐藏式威胁分析检测技术研究,检测出网络流量中存在的未知的异常流量。
所述可扩展的应用识别技术是在深度包检测技术的基础上,将应用层识别的范畴进行了扩展,从各种维度对不同应用做出评价,挖掘网络流量中的更多信息,提供了深层应用层识别能力。所述深层应用层识别能力包括但不限于应用信息识别、攻击/威胁识别和拓扑识别。
所述隐藏式威胁分析检测技术采用多核处理器、虚拟化平台,使用Anti-DoS技术,通过并行的多种核心检测组件及流处理方式实现;
所述多核处理器采用高性能多核硬件架构及单路径异构并行处理引擎;
所述多种核心检测组件包括:病毒检测引擎、入侵特征检测引擎、恶意网页特征检测引擎和恶意应用代码检测引擎;所述核心检测组件通过四种检测引擎进行并行检测。
所述多核处理器采用高性能多核硬件架构及单路径异构并行处理引擎,具有如下特点:
1)对实时多任务有很强的支持能力,能完成多任务并且有较短的中断响应时间,从而使内部的代码和实时内核心的执行时间减少到最低限度。
2)具有功能很强的存储区保护功能。这是由于嵌入式系统的软件结构已模块化,而为了避免在软件模块之间出现错误的交叉作用,需要设计强大的存储区保护功能,同时也有利于软件诊断。
3)可扩展的处理器结构,以能最迅速地开展出满足应用的最高性能的嵌入式微处理器。
4)高性能多核硬件架构及单路径异构并行处理引擎功耗很低,尤其是用于便携式的无线及移动的计算和通信设备中靠电池供电的嵌入式系统更是如此,如需要功耗只有mW甚至μW级。
所述可扩展的应用识别技术(XAI)是在深度包检测技术(DPI)的基础上,将应用层识别的范畴进行了扩展,将网络流量中的更多的信息挖掘出来,提供了深层应用信息识别、攻击/威胁识别、拓扑识别等更加丰富和强大应用层识别能力。从而使产品能够进行更精细的分析、管理、保障和统计。
通过XAI技术,可以从相同的网络流量中挖掘出更深层次的信息和更丰富的数据,提供以下信息:
1) 应用识别,XAI技术不仅继承了传统DPI所支持的所有识别技术,包括报文特征识别、流特征识别等,而且在许多方面更进一步,使得XAI技术的识别准确度更高,识别能力更强;
2) 深层应用信息识别,XAI技术能够在应用识别基础之上,进一步识别内容层次和行为层次的描述信息,比如:HTTP浏览的具体行为,IM的帐号信息、聊天行为等;这就使产品不仅能针对应用,而且能更进一步针对深层应用信息进行分析、管理、保障和优化。
3) 攻击/威胁识别,XAI技术可从应用流量中识别网络中的非法入侵和恶意脚本(恶意脚本,恶意邮件,恶意插件等),为网络安全保障提供预警和管理; 4) 拓扑识别 XAI技术可以识别流量的位置信息,比如移动网络的蜂窝、WLAN节点等,为运营商或IT管理部门提供分区域监控和管理能力;
所述多种核心检测组件包括:病毒检测引擎、入侵特征检测引擎、恶意网页特征检测引擎和恶意应用代码检测引擎;所述核心检测组件通过四种检测引擎进行并行检测。
所述检测方法采用单次识别引擎,一次识别完成病毒、入侵、网址风险特征,建立串行分散隐藏式威胁入侵分析防护模型,可以把攻击行为成功后需要重组的攻击碎片程序进行检测记录并且按规则阻断。所述串行分散隐藏式威胁入侵分析防护模型为顺次检测模型。所述顺次检测模型包括但不限于:FW、IPS、AV、URL或数据防泄漏模型。
一种串行分散隐藏式威胁入侵攻击检测系统,包括硬件系统和核心检测组件;
所述的硬件系统包括:处理器、存储系统、总线系统、通信接口和电源系统;
所述核心检测组件包括:病毒检测引擎、入侵特征检测引擎、恶意网页特征检测引擎和恶意应用代码检测引擎。
所述存储系统采用DDR-SDARM存储系统,在实时数据处理系统中,采用DDR-SDARM存储系统可以兼顾行访问效率和列访问效率,使整个系统的平均访存效率较高,满足实时的要求。
系统总线上传送的信息包括数据信息、地址信息、控制信息,因此,系统总线包含有三种不同功能的总线,即数据总线DB(Data Bus)、地址总线AB(Address Bus)和控制总线CB(Control Bus):
数据总线是双向三态形式的总线,既可以把CPU的数据传送到存储器或I/O接口等其它部件,也可以将其它部件的数据传送到CPU,数据的含义是广义的,可以是真正的数据、指令代码、状态信息或控制信息。所述地址总线总是单向三态的;控制总线是双向的,其位数根据系统的实际控制需要而定。
所述通信接口包含4个快速以太网端口,1个RS232串口。
所述检测系统以网关模式、串联模式或旁路模式部署在网络中,采集并分析当前网络流量,及时发现恶意文件在网络边界的活动踪迹,提供实时的安全警报、威胁定位和执行动作。
所述系统以网关模式、串联模式或旁路模式部署在网络中,采集并分析当前网络流量,及时发现恶意文件在网络边界的活动踪迹,提供实时的安全警报、威胁定位和执行动作。识别常规安全设备(传统防火墙、入侵检测、入侵防御系统等)无法发现的异常行为。
所述系统具有如下特征:
反欺骗:系统使用Anti-DoS技术对数据包源地址和端口的正确性进行验证,同时还对流量在统计和分析的基础上提供针对性的反向探测。
协议栈行为模式分析:根据协议包类型判断其是否符合RFC规定,若发现异常,则立即启动统计分析机制;随后针对不同的协议,采用专有的协议栈行为模式分析算法决定是否对数据包进行过滤、限制或放行。
特定应用防护:系统能根据某些特殊协议类型,诸如DNS、HTTP、VOIP SIP等,启用分析模式算法机制,进一步对不同协议类型的DDoS攻击进行防护。
用户行为模式分析:网络上的真实业务流量往往含有大量的背景噪声,这体现了网络流量的随机性;而攻击者或攻击程序,为了提高攻击的效率,往往采用较为固定的负载进行攻击。系统对用户的行为模式进行统计、跟踪和分析,分辨出真实业务浏览,并对攻击流量进行带宽限制和信誉惩罚。
动态指纹识别:作为一种通用算法,指纹识别和协议无关系统的Anti-DoS技术采用滑动窗口对数据包负载的特定字节范围进行统计,采用模式识别算法计算攻击包的特征。对匹配指纹特征的攻击包进行带宽限制和信誉惩罚。
带宽控制:对经过系统净化的流量进行整形输出,减轻对下游网络系统的压力。
系统在完成高效的DDoS攻击检测和防护的同时,提供丰富的、功能强大的报表演示功能,对设备运行监控、策略配置、报表生成和抓包取证等管理进行直观的分析。
攻击报表:提供对攻击事件、攻击类型、攻击特征、攻击来源等信息的详细记录,一方面便于管理员实时监控攻击发生情况,另一方面还可以提供历史信息,对攻击行为进行追踪与取证。提供诸如流量监控报表、日志信息通告和攻击历史报表等工具,便于网络管理员根据攻击情况来实时调整防护策略。
本发明具有以下有益效果:
本发明系统通过多种检测技术的并行检测,在检测已知威胁的同时,可以有效检测出隐藏式的威胁,进而能够有效地监测高级可持续威胁。
采用高性能多核硬件架构及单路径异构并行处理引擎,能够快速、高效、实时地监测终端流量、分析终端状态、及时发现故障终端,同时通过提供丰富、多样化的报表系统,且支持报表的绘图与导出,使管理员全面透析了解网络流量,为管理提供科学依据。
采用单次识别引擎,一次识别完成病毒、入侵、网址风险特征,能够高性能开启全部功能。同时一体化的集成防护可以避免串糖葫芦方式的补丁式组网,极大地简化组网复杂度和设备管理复杂度,达到系统性能最大化。
本项目在对串行分散隐藏式威胁入侵分析特点深入研究的基础上,建立串行分散隐藏式威胁入侵分析防护模型,包括:“FW、IPS、AV、URL、数据防泄漏”等顺次检测模型,可以把攻击行为成功后需要重组的攻击碎片程序进行检测记录并且按规则阻断。
通过实现“零误报”的告警方式,协助网络管理员准确定位恶意目标,提高运维人员的工作效率。
附图说明
图1为本发明分析识别算法1示意图;
图2为本发明分析识别算法2示意图。
图3为本发明分析识别算法3示意图。
图4为可扩展的应用识别技术模型图。
图5为业务管控系统结构图。
具体实施方式
下面结合具体实施例和附图对本发明做进一步的详细说明,但是本发明的保护范围并不限于这些实施例,凡是不背离本发明构思的改变或等同替代均包括在本发明的保护范围之内。
本发明一种串行分散隐藏式威胁入侵攻击检测方法,所述检测方法通过对可扩展的应用识别技术和隐藏式威胁分析检测技术研究,检测出网络流量中存在的未知的异常流量。
所述可扩展的应用识别技术是在深度包检测技术的基础上,将应用层识别的范畴进行了扩展,从各种维度对不同应用做出评价,挖掘网络流量中的更多信息,提供了深层应用层识别能力。
所述检测方法采用多核处理器、虚拟化平台,使用Anti-DoS技术,通过并行的多种核心检测组件及流处理方式实现;能够达到更高的性能和更高的检测率。
所述多核处理器采用高性能多核硬件架构及单路径异构并行处理引擎;
所述多种核心检测组件包括:病毒检测引擎、入侵特征检测引擎、恶意网页特征检测引擎和恶意应用代码检测引擎;所述核心检测组件通过四种检测引擎进行并行检测。在检测已知威胁的同时,可以有效检测出隐藏式的威胁,进而能够有效地监测高级可持续威胁。
所述深层应用层识别能力包括但不限于应用信息识别、攻击/威胁识别和拓扑识别。
1.1可扩展的应用识别技术模型:
通过对网络数据包从网络层到应用层数据的全面分析,找出各层中对业务识别有意义的特征字符串,匹配到相应协议类型,从而识别各种业务。这种模型的基础是不同的应用通常依赖于不同的协议,而不同的协议在数据包中都具有其特殊的特征字,这些特征字可以是特定的网络地址,特定的端口号或者特定的字符串。通过网络层的地址信息、协议信息和传输层的标准端口号可以对数据包进行初步的特征分析和业务识别,实现数据包的初步分流。继而有选择的对部分分流的网络数据包的数据报文进行特征字符串检测,实现应用层上对数据包的再分流,实现精细的数据包业务流分析。如图4所示。
图中,数据包采集器:采集原始的网络数据包,根据预先设定的规则过滤出有效的IP包,进行初步解码后,存于原始数据包缓冲区中,等待识别处理模块进行分析处理。
流向分析器:分析数据包包头的源地址,对数据包进行流向分流。根据包头的源地址信息,可以识别出一部分应用。因为服务器有时是针对单一应用而配置的,如电子邮件服务器,所以分析由该类服务器产生数据包的源护地址就能识别该数据包的业务类型。对识别出业务类型的包按照业务类型进行分流后输出,将识别结果存于结果存储模块,其余业务类型未知的包流入端口分析器。
端口分析器:分析数据包的协议号和端口号,对知名网络服务和使用固定端口号的网络服务的数据包进行业务识别,分流后部分输出,识别结果存储于结果存储模块,未识别的包和需二次检测的包流入特征码分析器。协议号位于数据报包头中,用于指出此数据包所携带的数据是使用何种协议,以便目的主机的层将数据部分上交给传输层的相应处理过程。
特征码分析器:分析数据包的数据报文,通过特征字符串匹配的方式识别数据包的业务类型,将数据包分流后输出,结果存于结果存储模块中。此分析器主要针对运用传统的源地址检测,协议号和端口号检测无效的数据包业务类型的检测。例如的各种应用,大多采用动态随机端口号,使用端口号分析的方法是无法确定其业务类型的。然而,任何网络业务都依赖其特定的网络协议,这些协议在数据包的报文里都具有其特定的固有的特征字,可以把它们称为程序签名。
结果存储模块:存储识别处理模块对数据包进行业务识别的结果,为统计分析模块提供依据。
统计分析模块:从结果存储模块读取相关信息,以文本、表格或者各种图型饼状图,柱状图,曲线图的方式展示分析结果。
业务识别特征库:存储各类业务同其业务包特征信息的对应关系,供识别处理模块在对包特征匹配时进行比对。流向分析器、端口分析器和特征码分析器的识别依据都来源于业务识别特征库。通过对业务识别特征库的升级,可以支持更多新业务的识别。通过对业务识别特征库的配置,能控制包的检测流程,让不同特征的数据包有选择的流入各类分析器。业务识别特征库可以是数据库,也可以是格式的文件,它能被方便的进行扩展,在无需任何程序改动的情况下,支持对新业务的识别。
业务控制器:控制台与业务识别特征库的接口,实现对业务识别特征库的升级与配置。
控制台:提供一个用户界面,显示统计分析结果,配置和升级业务识别特征。
1.2基于可扩展的应用识别技术的分析算法:
如图1所示,基于包特征检测的业务流分析核心算法。算法中包含一个数据包缓冲区和三个数据流缓冲区。
如图1所示,包括以下步骤:
步骤1).检测攻击数据包:数据包进入缓冲区,对数据包进行第一次解析,解析出数据包内的五元组和包净荷,所述五元组包括协议、本地地址、本地端口号、远地地址、远地端口号;
步骤2).判断缓冲区3中是否存在该源地址的数据流,对于肯定的判断将数据包加入该数据流,如果否定的判断,进入查询特征库;
步骤3).查询特征库判断包的源地址是否具有匹配的业务类型,对于肯定的判断将数据包进入流缓冲区3,判断是否存在该业务类型的数据流,如果否定的判断,进入流缓冲区1判断是否存在该源地址的数据流;
步骤4).流缓冲区3判断是否存在该业务类型的数据流,对于肯定的判断将数据包加入该数据流,如果否定的判断,流缓冲区3中新建数据流,将数据包加入该流,流中记录源地址、业务类型等信息;
步骤5).流缓冲区1判断是否存在该源地址的数据流,对于肯定的判断将数据包加入该数据流,如果否定的判断,流缓冲区1中新建数据流,将数据包加入该流,流中记录源地址、业务类型等信息。
数据包缓冲区可采用队列数据结构,用来存储从网络中抓取的数据包,供分析模块进行分析。
流缓冲区可采用哈希表数据结构,用来将分析后的数据包按照它的特征源地址,业务类型等准确的定位到相应的数据流,实现数据包的分流。每个数据流可设置一个定时器,定期将数据流送入下一个分析模块。算法中,流缓冲区用于存储按照源地址分流但通过源地址分析无法确定其业务类型的数据流流缓冲区用于存储经过源地址和协议号端口号分析后仍无法确定其业务类型的数据流流缓冲区用于存储业务类型分析完成后的数据流,将被发送到结果存储模块进行统计分析。
算法中设置多个缓冲区便于采用多线程的方式使各个模块并行工作,提高解析效率。同时,使用多个流缓冲区作为各个分析模块的连接点,符合模型中模块化逐步分析,将数据流不断细化的思想。
基于可扩展的应用识别技术的分析算法,作为一种基于包特征检测的业务流分析核心算法,包含一个数据包缓冲区和三个数据流缓冲区。数据包缓冲区可采用队列数据结构,用来存储从网络中抓取的数据包,供分析模块进行分析。流缓冲区可采用哈希表数据结构,用来将分析后的数据包按照它的特征源地址,业务类型等准确的定位到相应的数据流,实现数据包的分流。每个数据流可设置一个定时器,定期将数据流送入下一个分析模块。算法中,流缓冲区用于存储按照源地址分流但通过源地址分析无法确定其业务类型的数据流流缓冲区用于存储经过源地址和协议号端口号分析后仍无法确定其业务类型的数据流流缓冲区用于存储业务类型分析完成后的数据流,将被发送到结果存储模块进行统计分析。算法中设置多个缓冲区便于采用多线程的方式使各个模块并行工作,提高解析效率。同时,使用多个流缓冲区作为各个分析模块的连接点,符合模型中模块化逐步分析,将数据流不断细化的思想。
通过XAI技术提供的更细致、更丰富的信息,进行更细粒度和更具差异化的策略控制:
1) 基于应用协议以及应用内容、应用行为等深层次应用信息的分析、管理、保障和优化;
2) 基于应用流量的攻击/威胁识别,更好地防止网络入侵,为网络安全保障提供预警和管理;
3) 基于应用内容识别,提供数据防护、关键帐号安全防护的能力;
4) 基于应用行为的识别,提供对应用行为的控制能力,防止非业务应用和非法应用,提高工作效率;
5) 基于对应用内容的识别,提供应用层防泄密、控制关键文件资料的外发的能力;
6) 基于应用流量的拓扑识别,提供对应用流量进行分区域控制的能力。
1.3深度检测系统
深度检测系统通过对报文进行深度解析,对流量统计特征信息进行统计,达到深度检测的目的。以往的流量识别系统往往通过单一的识别方法对网络流量进行识别,识别正确率有限。对于深度检测系统而言,事先分析出现有网络应用各类协议所存在的共有协议特征以及特有协议特征,通过分析各种特征对于某一种应用流量的确定性,来确定特征的有效性。选取最能体现一些特点的特征为识别提供依据。通过结合端口号以及端口对应协议的协议数据报报头字段可以实现识别与传统方式不同的流量。通过基于有效载荷的某些特定字段来进行识别流量的方法并不能识别所有的流量。对于加密流量和未知流量的识别,深度检测系统需要通过分析这类流量的特征,通过机器学习的方法来识别,这样就可以识别出不熟知的网络应用产生的流量。为了满足高速网络业务管控深度检测的需要,通过深度检测系统达到最大化识别的效率目标,同时保证识别的准确率大幅度的提高。本课题设计的网络业务管控系统体系结构采用了分层结构,包括管控操作层、智能识别层和网管联动层,可有效地集成业务、内容、行为的统计、识别、管控等功能,同时又能将整个系统划分成多个功能独立的模块和子系统,便于各个模块及子系统的灵活组合与独立开发,具有良好的可扩展性和开放性。业务管控系统结构图如图5所示,深度检测系统的主要工作集中在智能识别层,主要包括了两个大的模块:深度数据包检测模块和深度数据流检测模块,需要对深度包检测模块和深度流检测模块设计。
通过一定的过滤规则从网络中获取原始的网络数据包,根据预先设定的数据包头以及有效载荷部分的特征,使用内容级识别方案根据关键词位置和域值的不同对关键词进行区分处理,对数据包进行有效的深度识别。并根据深度检测的结果,选择对数据包的下一步处理。在深度流检测模块中,主要是针对网络中的加密流量或特征未知的流量,需要首先从网络中获取流量,按照预先规定的方式有选择的提取出流量的部分特征,并将这些特征按照一定的方式保存起来,使用这些部分特征对流量进行聚类过程,识别流量所属分类。
2.1所述多核处理器采用高性能多核硬件架构及单路径异构并行处理引擎;
所述多种核心检测组件包括:病毒检测引擎、入侵特征检测引擎、恶意网页特征检测引擎和恶意应用代码检测引擎;所述核心检测组件通过四种检测引擎进行并行检测。
所述检测方法采用单次识别引擎,一次识别完成病毒、入侵、网址风险特征,建立串行分散隐藏式威胁入侵分析防护模型。
所述串行分散隐藏式威胁入侵分析防护模型为顺次检测模型。所述顺次检测模型包括但不限于:FW、IPS、AV、URL或数据防泄漏模型。
系统采用高性能多核硬件架构及单路径异构并行处理引擎,具有如下特点:
1)对实时多任务有很强的支持能力,能完成多任务并且有较短的中断响应时间,从而使内部的代码和实时内核心的执行时间减少到最低限度。
2)具有功能很强的存储区保护功能。这是由于嵌入式系统的软件结构已模块化,而为了避免在软件模块之间出现错误的交叉作用,需要设计强大的存储区保护功能,同时也有利于软件诊断。
3)可扩展的处理器结构,以能最迅速地开展出满足应用的最高性能的嵌入式微处理器。
4)高性能多核硬件架构及单路径异构并行处理引擎功耗很低,尤其是用于便携式的无线及移动的计算和通信设备中靠电池供电的嵌入式系统更是如此,如需要功耗只有mW甚至μW级。
采用高性能多核硬件架构及单路径异构并行处理引擎,能够快速、高效、实时地监测终端流量、分析终端状态、及时发现故障终端,同时通过提供丰富、多样化的报表系统,且支持报表的绘图与导出,使管理员全面透析了解网络流量,为管理提供科学依据。
本发明不会限制于本文所示的实施例,而是要符合与本文所公开的原理和新颖性特点相一致的最宽范围。
Claims (8)
1.一种串行分散隐藏式威胁入侵攻击检测方法,其特征在于,所述检测方法通过对可扩展的应用识别技术和隐藏式威胁分析检测技术研究,检测出网络流量中存在的未知的异常流量;
所述检测方法采用单次识别引擎,一次识别完成病毒、入侵、网址风险特征,建立串行分散隐藏式威胁入侵分析防护模型,把攻击行为成功后需要重组的攻击碎片程序进行检测记录并且按规则阻断;所述串行分散隐藏式威胁入侵分析防护模型为顺次检测模型;所述顺次检测模型包括但不限于:FW、IPS、AV、URL或数据防泄漏模型;
所述隐藏式威胁分析检测技术采用多核处理器、虚拟化平台,使用Anti-DoS技术,通过并行的多种核心检测组件及流处理方式实现;
所述多核处理器采用高性能多核硬件架构及单路径异构并行处理引擎;
所述多种核心检测组件包括:病毒检测引擎、入侵特征检测引擎、恶意网页特征检测引擎和恶意应用代码检测引擎;所述核心检测组件通过四种检测引擎进行并行检测;
可扩展的应用识别技术模型:通过对网络数据包从网络层到应用层数据的全面分析,找出各层中对业务识别有意义的特征字符串,匹配到相应协议类型,从而识别各种业务,通过网络层的地址信息、协议信息和传输层的标准端口号对数据包进行初步的特征分析和业务识别,实现数据包的初步分流,继而有选择的对部分分流的网络数据包的数据报文进行特征字符串检测,实现应用层上对数据包的再分流,实现精细的数据包业务流分析;包括:数据包采集器:采集原始的网络数据包,根据预先设定的规则过滤出有效的IP包,进行初步解码后,存于原始数据包缓冲区中,等待识别处理模块进行分析处理;流向分析器:分析数据包包头的源地址,对数据包进行流向分流;
根据包头的源地址信息,识别出一部分应用,对识别出业务类型的包按照业务类型进行分流后输出,将识别结果存于结果存储模块,其余业务类型未知的包流入端口分析器;端口分析器:分析数据包的协议号和端口号,对知名网络服务和使用固定端口号的网络服务的数据包进行业务识别,分流后部分输出,识别结果存储于结果存储模块,未识别的包和需二次检测的包流入特征码分析器;特征码分析器:分析数据包的数据报文,通过特征字符串匹配的方式识别数据包的业务类型,将数据包分流后输出,结果存于结果存储模块中;结果存储模块:存储识别处理模块对数据包进行业务识别的结果,为统计分析模块提供依据;统计分析模块:从结果存储模块读取相关信息,以文本、表格或者各种图型饼状图,柱状图,曲线图的方式展示分析结果;业务识别特征库:存储各类业务同其业务包特征信息的对应关系,供识别处理模块在对包特征匹配时进行比对;业务控制器:控制台与业务识别特征库的接口,实现对业务识别特征库的升级与配置;控制台:提供一个用户界面,显示统计分析结果,配置和升级业务识别特征;
通过XAI技术提供的更细致、更丰富的信息,进行更细粒度和更具差异化的策略控制:1) 基于应用协议以及应用内容、应用行为深层次应用信息的分析、管理、保障和优化; 2)基于应用流量的攻击/威胁识别,更好地防止网络入侵,为网络安全保障提供预警和管理;3) 基于应用内容识别,提供数据防护、关键帐号安全防护的能力;4) 基于应用行为的识别,提供对应用行为的控制能力,防止非业务应用和非法应用,提高工作效率; 5) 基于对应用内容的识别,提供应用层防泄密、控制关键文件资料的外发的能力; 6) 基于应用流量的拓扑识别,提供对应用流量进行分区域控制的能力。
2.根据权利要求1所述的一种串行分散隐藏式威胁入侵攻击检测方法,其特征在于,所述可扩展的应用识别技术是在深度包检测技术的基础上,将应用层识别的范畴进行了扩展,从各种维度对不同应用做出评价,挖掘网络流量中的更多信息,提供了深层应用层识别能力。
3.根据权利要求2所述的一种串行分散隐藏式威胁入侵攻击检测方法,其特征在于,所述深层应用层识别能力包括但不限于应用信息识别、攻击/威胁识别和拓扑识别。
4.一种串行分散隐藏式威胁入侵攻击检测系统,其特征在于,包括硬件系统和核心检测组件;
所述的硬件系统包括:处理器、存储系统、总线系统、通信接口和电源系统、深度检测系统;
所述核心检测组件包括:病毒检测引擎、入侵特征检测引擎、恶意网页特征检测引擎和恶意应用代码检测引擎、串行分散隐藏式威胁入侵分析防护模型,所述串行分散隐藏式威胁入侵分析防护模型把攻击行为成功后需要重组的攻击碎片程序进行检测记录并且按规则阻断;所述串行分散隐藏式威胁入侵分析防护模型为顺次检测模型;所述顺次检测模型包括但不限于:FW、IPS、AV、URL或数据防泄漏模型;
所述深度检测系统通过对报文进行深度解析,对流量统计特征信息进行统计,达到深度检测的目的;所述深度检测系统包括了两个大的模块:深度数据包检测模块和深度数据流检测模块;
所述系统以网关模式、串联模式或旁路模式部署在网络中,采集并分析当前网络流量,及时发现恶意文件在网络边界的活动踪迹,提供实时的安全警报、威胁定位和执行动作;所述系统具有如下特征:反欺骗:系统使用Anti-DoS技术对数据包源地址和端口的正确性进行验证,同时还对流量在统计和分析的基础上提供针对性的反向探测;协议栈行为模式分析:根据协议包类型判断其是否符合RFC规定,若发现异常,则立即启动统计分析机制;随后针对不同的协议,采用专有的协议栈行为模式分析算法决定是否对数据包进行过滤、限制或放行;特定应用防护:系统能根据某些特殊协议类型,诸如DNS、HTTP、VOIP SIP,启用分析模式算法机制,进一步对不同协议类型的DDoS攻击进行防护;用户行为模式分析:系统对用户的行为模式进行统计、跟踪和分析,分辨出真实业务浏览,并对攻击流量进行带宽限制和信誉惩罚;动态指纹识别:指纹识别和协议无关系统的Anti-DoS技术采用滑动窗口对数据包负载的特定字节范围进行统计,采用模式识别算法计算攻击包的特征,对匹配指纹特征的攻击包进行带宽限制和信誉惩罚;带宽控制:对经过系统净化的流量进行整形输出,减轻对下游网络系统的压力;系统在完成高效的DDoS攻击检测和防护的同时,提供丰富的、功能强大的报表演示功能,对设备运行监控、策略配置、报表生成和抓包取证管理进行直观的分析;攻击报表:提供对攻击事件、攻击类型、攻击特征、攻击来源信息的详细记录,一方面便于管理员实时监控攻击发生情况,另一方面还提供历史信息,对攻击行为进行追踪与取证;
对于深度检测系统而言,事先分析出现有网络应用各类协议所存在的共有协议特征以及特有协议特征,通过分析各种特征对于某一种应用流量的确定性,来确定特征的有效性;选取最能体现一些特点的特征为识别提供依据;通过结合端口号以及端口对应协议的协议数据报报头字段实现识别与传统方式不同的流量;通过基于有效载荷的某些特定字段来进行识别流量的方法并不能识别所有的流量;对于加密流量和未知流量的识别,深度检测系统需要通过分析这类流量的特征,通过机器学习的方法来识别,这样就识别出不熟知的网络应用产生的流量;
深度检测系统的工作集中在智能识别层,智能识别层属于网络业务关系系统体系,网络业务管控系统体系结构采用了分层结构,还包括管控操作层、网管联动层。
5.根据权利要求4所述的一种串行分散隐藏式威胁入侵攻击检测系统,其特征在于,所述系统以网关模式、串联模式或旁路模式部署在网络中,采集并分析当前网络流量,及时发现恶意文件在网络边界的活动踪迹,提供实时的安全警报、威胁定位和执行动作。
6.根据权利要求4所述的一种串行分散隐藏式威胁入侵攻击检测系统,其特征在于,所述存储系统采用DDR-SDARM存储系统。
7.根据权利要求4所述的一种串行分散隐藏式威胁入侵攻击检测系统,其特征在于,所述通信接口包含4个快速以太网端口,1个RS232串口。
8.根据权利要求4所述的一种串行分散隐藏式威胁入侵攻击检测系统,其特征在于,所述检测系统以网关模式、串联模式或旁路模式部署在网络中,采集并分析当前网络流量,及时发现恶意文件在网络边界的活动踪迹,提供实时的安全警报、威胁定位和执行动作。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910101158.0A CN109922048B (zh) | 2019-01-31 | 2019-01-31 | 一种串行分散隐藏式威胁入侵攻击检测方法和系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910101158.0A CN109922048B (zh) | 2019-01-31 | 2019-01-31 | 一种串行分散隐藏式威胁入侵攻击检测方法和系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN109922048A CN109922048A (zh) | 2019-06-21 |
CN109922048B true CN109922048B (zh) | 2022-04-19 |
Family
ID=66961307
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910101158.0A Active CN109922048B (zh) | 2019-01-31 | 2019-01-31 | 一种串行分散隐藏式威胁入侵攻击检测方法和系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN109922048B (zh) |
Families Citing this family (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110532753A (zh) * | 2019-07-01 | 2019-12-03 | 武汉船舶通信研究所(中国船舶重工集团公司第七二二研究所) | 列车运行监控记录装置业务数据流的安全防护方法及设备 |
CN111049859A (zh) * | 2019-12-27 | 2020-04-21 | 东南大学 | 一种基于拓扑分析的攻击流量分流和阻断方法 |
CN111865724B (zh) * | 2020-07-28 | 2022-02-08 | 公安部第三研究所 | 视频监控设备信息采集控制实现方法 |
TWI737506B (zh) * | 2020-09-30 | 2021-08-21 | 中華電信股份有限公司 | 基於軟體定義網路的IPv6訊務偵防系統與方法 |
CN114553546B (zh) * | 2022-02-24 | 2023-07-04 | 杭州迪普科技股份有限公司 | 基于网络应用的报文抓取的方法和装置 |
CN115037535B (zh) * | 2022-06-01 | 2023-07-07 | 上海磐御网络科技有限公司 | 一种针对网络攻击行为的智能识别方法 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103514043A (zh) * | 2012-06-29 | 2014-01-15 | 华为技术有限公司 | 多处理器系统及该系统的数据处理方法 |
CN104539595A (zh) * | 2014-12-17 | 2015-04-22 | 南京晓庄学院 | 一种集威胁处理和路由优化于一体的sdn架构及工作方法 |
CN105516169A (zh) * | 2015-12-23 | 2016-04-20 | 北京奇虎科技有限公司 | 检测网站安全的方法及装置 |
CN106341285A (zh) * | 2016-11-25 | 2017-01-18 | 杭州华三通信技术有限公司 | 一种流量识别方法及装置 |
CN108933731A (zh) * | 2017-05-22 | 2018-12-04 | 南京骏腾信息技术有限公司 | 基于大数据分析的智能网关 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10505976B2 (en) * | 2016-12-28 | 2019-12-10 | T-Mobile Usa, Inc. | Real-time policy filtering of denial of service (DoS) internet protocol (IP) attacks and malicious traffic |
-
2019
- 2019-01-31 CN CN201910101158.0A patent/CN109922048B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103514043A (zh) * | 2012-06-29 | 2014-01-15 | 华为技术有限公司 | 多处理器系统及该系统的数据处理方法 |
CN104539595A (zh) * | 2014-12-17 | 2015-04-22 | 南京晓庄学院 | 一种集威胁处理和路由优化于一体的sdn架构及工作方法 |
CN105516169A (zh) * | 2015-12-23 | 2016-04-20 | 北京奇虎科技有限公司 | 检测网站安全的方法及装置 |
CN106341285A (zh) * | 2016-11-25 | 2017-01-18 | 杭州华三通信技术有限公司 | 一种流量识别方法及装置 |
CN108933731A (zh) * | 2017-05-22 | 2018-12-04 | 南京骏腾信息技术有限公司 | 基于大数据分析的智能网关 |
Non-Patent Citations (3)
Title |
---|
《下一代网络防火墙的互联应用协议分析》;吴晗;《中国优秀硕士学位论文全文数据库 信息科技辑》;20150215;说明书第24-30页 * |
《下一代防火墙中的边界流量预过滤模块设计与实现》;盛伦兵;《中国优秀硕士学位论文全文数据库 信息科技辑》;20180415;说明书第2-4页 * |
吴晗.《下一代网络防火墙的互联应用协议分析》.《中国优秀硕士学位论文全文数据库 信息科技辑》.2015, * |
Also Published As
Publication number | Publication date |
---|---|
CN109922048A (zh) | 2019-06-21 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109922048B (zh) | 一种串行分散隐藏式威胁入侵攻击检测方法和系统 | |
Hu et al. | FADM: DDoS flooding attack detection and mitigation system in software-defined networking | |
RU2488880C1 (ru) | Система и способ адаптивной оптимизации проверки потока данных, передающихся по сети, на наличие угроз | |
US20160352759A1 (en) | Utilizing Big Data Analytics to Optimize Information Security Monitoring And Controls | |
US20030084326A1 (en) | Method, node and computer readable medium for identifying data in a network exploit | |
JP2005229573A (ja) | ネットワーク保安システム及びその動作方法 | |
CN104836702A (zh) | 一种大流量环境下主机网络异常行为检测及分类方法 | |
KR100684602B1 (ko) | 세션 상태전이를 이용한 시나리오 기반 침입대응 시스템 및그 방법 | |
CN114567463B (zh) | 一种工业网络信息安全监测与防护系统 | |
CN110958231A (zh) | 基于互联网的工控安全事件监测平台及其方法 | |
US7836503B2 (en) | Node, method and computer readable medium for optimizing performance of signature rule matching in a network | |
Wang et al. | Behavior‐based botnet detection in parallel | |
Tasneem et al. | Intrusion detection prevention system using SNORT | |
Shah et al. | Signature-based network intrusion detection system using SNORT and WINPCAP | |
KR20020072618A (ko) | 네트워크 기반 침입탐지 시스템 | |
Tyagi et al. | A novel HTTP botnet traffic detection method | |
Dressler et al. | Flow-based worm detection using correlated honeypot logs | |
Tang et al. | FTODefender: An efficient flow table overflow attacks defending system in SDN | |
Yu et al. | Mining anomaly communication patterns for industrial control systems | |
Sourour et al. | Environmental awareness intrusion detection and prevention system toward reducing false positives and false negatives | |
RU186198U1 (ru) | Средство обнаружения вторжений уровня узла сети | |
Klymash et al. | Monitoring of web service availability in distributed infocommunication systems | |
Radivilova et al. | Analysis of approaches of monitoring, intrusion detection and identification of network attacks | |
Kijewski | Automated extraction of threat signatures from network flows | |
Kotov et al. | A survey of modern advances in network intrusion detection |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |