CN110225009B

CN110225009B - 一种基于通信行为画像的代理使用者检测方法

Info

Publication number: CN110225009B
Application number: CN201910447829.9A
Authority: CN
Inventors: 陈兴蜀; 韩珍辉; 朱毅; 曾雪梅; 殷明勇
Original assignee: Sichuan University
Current assignee: Sichuan University
Priority date: 2019-05-27
Filing date: 2019-05-27
Publication date: 2020-06-05
Anticipated expiration: 2039-05-27
Also published as: CN110225009A

Abstract

本发明公开了一种基于通信行为画像的代理使用者检测方法，基于通信行为构建画像模型；对输入的真实流量数据进行预处理，以指定时间窗口按照组织用户IP属性和时间属性对网络流量进行聚合，得到每一个用户的流量数据；基于流量数据提取指定时间窗口内用户的通信对象稳定性特征以及通信对象数量特征，然后基于阈值对上述两个特征进行过滤筛选得到疑似代理使用者的IP信息；针对每一个疑似代理用户的网络流量进行机器学习检测分类；对于流量判定结果满足阈值设定的IP标记为代理使用者IP。本发明检测方法通用性高，能够满足目前大数据网络环境下的数据量，采用了基于通信行为的画像模型，检测误报率较低。

Description

一种基于通信行为画像的代理使用者检测方法

技术领域

本发明涉及网络安全技术领域，具体涉及一种基于通信行为画像的代理使用者检测方法。

背景技术

网络代理是一种特殊的网络服务，允许客户端与服务器进行非直接的连接，是代理区域网络中的主机向网际网络取得网页或获得资料的一种服务。它不仅可以帮助用户突破组织的IP访问限制和内容过滤机制访问被禁止的网站，而且可以隐藏客户端IP，遮盖客户端的网络活动以保障网络终端的隐私或安全。然而代理服务为用户带来便捷的同时伴随着隐藏的威胁。一方面，代理服务器身份的未知性为内部资产防护带来了潜在的网络威胁。有些代理会监听终端用户机器和互联网之间的数据流，造成用户信息泄露进一步引起严重的安全威胁；另一方面，代理服务的匿名性为内部网络安全防御带来了极大的挑战。内部用户使用代理进行网络攻击时将无法进行及时的追踪溯源并遏制事态的发展，造成不可估量的影响。为全面保护网络资产，发现潜在威胁，如何准确有效的检测机构中存在的代理使用者，并对其进行相应的监管处理以增强机构的安全防御能力成为亟待解决的问题。

代理的运行机制使其与正常的TCP通信表现出极大的相似性，而且为跨越组织的内容过滤机制，代理一般会对数据包内容进行加密或混淆处理，这些都导致目前现有的流量识别技术(如基于端口、基于协议号、数据包内容识别等)无法有效应用。为解决此问题，现有代理检测方法根据采用数据源的不同可以分为两种：一种是基于网络数据包的代理通信检测，通过深入分析代理服务的数据包负载，发现其在数据包内的特定标识并建立规则库，最终设计实现基于规则匹配的代理检测系统，如一些Web代理在进行代理请求时数据包内的HTTP请求URL中会带有特定字符串(Glype代理URL中包含“.php？u＝”)；另一种是基于网络流量文件的代理通信检测，不同的代理服务虽然采用的协议、加密方法等不同，但在网络流量中基本表现出一致性，通过分析代理的网络通信行为，基于网络流量自身的属性进行特征提取并构建多维特征库，输入至机器学习分类算法中进行自动化的代理流量识别检测。

现有的研究难点主要有：(1)基于数据包分析的代理检测通用性低，只适用于数据包中存在明显标记的Web代理、PHP代理等，而且所建立的规则库无法适应代理服务的动态更新；(2)基于数据包分析的代理检测无法满足目前大数据网络环境下的数据规模，而且在网络出口处进行逐包分析，将会造成大量的资源占用和性能损耗；(3)基于网络流量文件的代理检测方法采用机器学习算法进行自动化的代理流量识别，对于特征空间的依赖性很高，但是由于网络代理通信与正常通信的相似性，单纯基于网络流量文件提取特征虽然能够实现代理通信的检测，但检测误报率很高；(4)目前现有的代理检测方法仅针对代理流量进行发现，并不在乎流量背后的客户机以及网络用户，但是对于组织内部安全防御来说代理用户的发现尤为重要，及时发现代理用户对于消除组织内部的潜在威胁，加强内部网络资产保护以及安全监管有很大的帮助。

发明内容

本发明所要解决的技术问题是提供一种基于通信行为画像的代理使用者检测方法，更为有效地发现代理通信与正常通信的差异，构建更为全面准确的特征空间，提高检测通用性和检测效率，利于加强组织内部安全防御。

为解决上述技术问题，本发明采用的技术方案是：

一种基于通信行为画像的代理使用者检测方法，包括以下步骤：

步骤1：基于通信行为构建画像模型，包括建立标签体系和构建画像特征；

步骤1.1：分析需要解决的问题，确定画像对象以及采用的数据源信息；根据对画像对象进行深入的剖析筛选，确定能够抽象该对象的标签；采用数据挖掘方法采集标签可能用到的外源数据集构造标签数据集，确定每一项标签详细的标记规则；整合所有的标签，建立需要分析对象的标签体系；

步骤1.2：根据确定的标签体系对数据进行相关属性的提取；采用数据聚合分析方法统计每一类标签的表现结果；根据所有的标签分析结果构建画像特征；

步骤2：对输入的真实流量数据进行预处理；以指定时间窗口按照组织用户IP属性和时间属性对网络流量进行聚合，得到每一个用户的流量数据；

步骤3：发现可疑用户；基于流量数据提取指定时间窗口内用户的通信对象稳定性特征以及通信对象数量特征，然后基于阈值对上述两个特征进行过滤筛选得到疑似代理使用者的IP信息，存储这些IP的流量进行下一步检测；

步骤4：针对每一个疑似代理用户的网络流量进行机器学习检测分类，首先对流量数据预处理转换为画像模型的特征向量，随后输入至已经训练好的机器学习分类器中对用户的流量进行分类判定；对于流量判定结果满足阈值设定的IP标记为代理使用者IP。

进一步的，还包括步骤5：对标记为代理使用者的IP进行用户的溯源定位；根据得到的代理用户IP，在认证流量中依据上网时间和IP信息进行关联得到IP对应的用户标识码信息，根据此标识码对用户进行定位。

进一步的，还包括步骤6：存储检测结果；引入数据库作为存储介质，将所有检测结果存储至MySQL数据库中以便于管理员进行查看。

进一步的，所述步骤1.1中建立的标签体系为：在通信对象层面上，包括通信对象位置、通信对象数量和通信对象稳定性三类标签；在通信数据流层面上，包括传输包长的稳定性、传输包数的稳定性、会话间隔的稳定性以及数据包的倾斜率。

进一步的，所述步骤1.2中构建的画像特征为：在通信对象层面上，包括域内外IP分布特征、通信对象数特征以及通信对象稳定性三个画像特征，在通信数据流层面上，包括包长的最大/最小/平均/标准差、包数的最大/最小/平均/标准差、会话时间间隔的最大/最小/平均/标准差以及包倾斜率画像特征。

与现有技术相比，本发明的有益效果是：本检测方法通用性高，能够满足目前大数据网络环境下的数据量；采用了基于通信行为的画像模型，检测误报率较低，利于加强组织内部安全防御。

附图说明

图1是基于通信行为画像的代理使用者检测框架图；

图2是通信行为画像方法体系架构图；

图3为代理使用者和非代理使用者的通信行为对比图；

图4是基于通信行为画像的代理使用者画像模型图；

图5是采用本发明检测方法的一个检测实例流程图。

具体实施方式

下面结合附图和具体实施方式本发明作进一步详细的说明。本发明方法引入画像技术至网络行为分析中，从画像的角度进行网络对象之间的差异化研究和特征提取。定义画像目标对象为O，O＝{label₁,label₂...label_n},n≥1，其中label＝{pf₁,pf₂...pf_m},m≥1，pf代表画像特征。也就是说，任意一个分析对象都可以通过一系列标签的组合来表示，而每一类标签都可以通过聚合对比分析提取若干画像特征，从而形成最终表征分析对象的画像特征集。

图1为本发明中基于通信行为画像的代理使用者检测框架图。该框架可以实现组织内部代理使用者的精确检测和定位，为组织内部安全监管提供数据支撑，包括数据预处理模块、可疑用户发现模块、机器学习检测分类模块、代理使用者溯源模块以及结果告警模块。

数据预处理模块引入本发明采用的网络流量文件(NetFlow流量)，以指定时间窗口按照组织用户IP属性和时间属性对网络流量进行聚合，得到每一个用户的流量数据。

可疑用户发现模块首先基于流量数据提取指定时间窗口内用户的通信对象稳定性特征以及通信对象数量特征，然后基于阈值对上述两个特征进行过滤筛选得到疑似代理使用者的IP信息，存储这些IP的流量进行下一步检测。

针对每一个疑似代理用户的网络流量进行机器学习检测分类，首先对流量数据预处理转换为画像模型的特征向量，随后输入至已经训练好的机器学习分类器中对用户的流量进行分类判定。对于流量判定结果满足阈值设定(超过90％流量为代理流量)的IP标记为代理使用者IP。

对所有的用户流量判定完成之后，针对标记为代理使用者的IP进行用户的溯源定位。本模块引入认证流量，用户上网前需要根据用户ID号进行网络认证，认证成功之后才能分配IP进行网络通信。认证流量会记录用户上网时间、唯一标识号、分配IP等信息。根据得到的代理用户IP，可以在代理流量中依据上网时间和IP信息进行关联得到IP对应的用户标识码信息。根据此标识码，网络管理员可以进行用户的快速定位。

结果告警模块，本发明引入数据库作为存储介质，将所有检测结果存储至MySQL数据库中以便于管理员进行查看。

上述检测框架机器学习分类器的模型好坏直接影响检测结果的准确性，而机器学习模型的训练精度则取决于特征空间的构建和样本集的选择。本发明样本集的构建基于真实的组织网络流量，而且尽可能的包含用户常见的网络行为(浏览网页、观看视频、上传下载等)，而代理使用者检测构建的特征空间则依赖于本发明提出的通信行为画像方法，为了克服现有代理使用者检测方法特征空间不足的缺点，本发明从画像角度出发，在原有网络流量基础上通过引入外源数据构建全面、多维的特征空间。图2给出了本发明所提出通信行为画像方法的体系架构图。

画像技术的关键在于标签系统的建立，随后依据标签系统提取画像特征集。如图2所示，从画像角度进行通信行为分析的框架设计，建立画像模型，包括建立标签系统和画像特征两部分。

标签系统的建立包含问题分析、标签选择、标签数据集收集、标签体系建立四个部分。首先通过预先积累的专业知识和经验对需要解决的问题进行分析，确定画像对象以及采用的数据源信息；其次根据对画像对象进行深入的剖析筛选确定能够抽象该对象的标签，如抽象网络用户的上网行为的标签可以包括每日上网时长、每日上网时间、访问网站类别等；随后采用数据挖掘方法(网络爬取、文本分析等)采集标签可能用到的外源数据集构造标签数据集，确定每一项标签详细的标记规则，如访问网站类别该项标签的标记规则包括：爱奇艺、YouTube等标记为视频，微博、Facebook等标记为社交，google学术、中国知网等标记为研究学术等等；最后整合所有的标签建立需要分析对象的标签体系。

画像特征是基于确定的标签体系对上一步确定的数据源进行标签提取和聚合分析的过程，包括标签提取、聚合分析和画像特征构建三部分。首先根据确定的标签体系对数据进行相关属性的提取，如访问网站类别标签对应的属性为HTTP请求的主机信息，转换原始数据为标签对应的属性列表；其次采用数据聚合分析方法统计每一类标签的表现结果；最后根据所有的标签分析结果构建画像特征。

应用上述通信行为画像方法至代理使用者检测中，首先确定画像对象为代理使用者和非代理使用者的通信行为，采用的数据源为网络流量文件；其次进行标签的选择，标签的选择依赖于代理通信与非代理通信原理上的不同。

图3给出了代理使用者和非代理使用者的通信行为对比图，其中将组织网络允许的网络访问区域定义为该组织的网络隔离域。根据网络代理服务的运行机制，使用代理的用户所发起的网络通信请求都将直接交由代理服务器进行转发，用户主机与请求服务器之间并无直接的连接，综上分析认为代理使用者和非代理使用者在网络通信上的差异主要表现在两个方面：

第一，用户通信对象的不同：代理使用者通信对象单一，恒定为组织网络隔离域外的代理服务器，而非代理服务使用者通信对象则持续变化，且分布广泛，分布于组织网络隔离域内的各个服务器；在通信对象层面上，提出通信对象位置、通信对象数量、通信对象稳定性三类标签，并建立各自的标签数据集。通信对象位置标签集引入组织内部IP访问白名单信息，然后通过比对通信对象IP是否属于此白名单，将通信对象位置标记为域内/域外。通信对象数量标签引入量级划分制度，对指定时间窗口内与用户通信的不同通信对象IP数量进行量级的标记。通信对象稳定性标签引入熵值计算方法，计算通信对象的{IP,Port}的信息熵判断通信对象的稳定性。

第二，用户与通信对象数据传输过程的不同：代理使用者与代理服务器之间数据传输过程稳定、持续且具有一定的规律性；非代理使用者与服务器之间的数据传输过程波动性较大，因为其不停的与不同的目标服务器进行数据请求和获取。根据上述两个层面进行标签的选择和标签体系的建立。在通信数据流层面上，希望不依赖于任何有偏见的特征来在通信流中发现使用代理通信时的行为模式，故选择用传输过程中包长的稳定性、包数的稳定性、会话间隔的稳定性以及数据包的倾斜率来表征代理通信的稳定性和规律性，引入标准差这一概念，以各个标签对应属性的标准差来表示数据集合的离散程序，从而进行比较分析。其中，包倾斜率(Packet Inclination Rate，PIR)定义为在一定时间窗口内，该主机所有NetFlow流中的包数与平均包长的比值。

标签体系建立完毕之后，依赖网络流量文件进行标签提取和聚合分析，最终建立画像特征集，图4给出了本发明提出的代理使用者的通信行为画像模型图。

对比代理通信和非代理通信在通信对象位置、通信对象数量、通信对象稳定性三类标签上的表现，分别提出域内外IP分布特征、通信对象数特征以及通信对象稳定性三个画像特征，其中通信对象数特征以及通信对象稳定性同时作为阈值特征进行可疑用户的筛选。对比代理通信和非代理通信在通信流层面标签上的表现，分别提出了包长的最大/最小/平均/标准差、包数的最大/最小/平均/标准差、会话时间间隔的最大/最小/平均/标准差以及包倾斜率等多个画像特征。并且由于通信的方向性，上述通信数据流层面的特征最终都添加了方向的标识，发送方、接收方以及双方。

根据建立的代理使用者检测的画像特征集，在数据集上应用此特征空间进行模型训练即可得到有效的代理使用者检测模型。

图5给出了基于通信行为画像的代理使用者检测的具体流程图，分为实验环境下分类模型训练和真实网络环境下代理使用者检测两部分。

实验环境下基于采集的数据样本集进行模型的训练，数据样本集包括代理使用者的通信流量文件和非代理使用者的通信流量文件。首先对训练样本集进行数据预处理，转换样本集为带标签的特征向量集；随后输入至机器学习分类器中进行模型训练；最终得到代理使用者流量分类判定的模型。随后应用此模型至真实网络环境下的代理使用者检测。

在真实网络环境下，具体步骤如下：

步骤1：输入真实流量数据，即NetFlow流量。

步骤2：预处理NetFlow流量。以1小时为时间窗口聚合每个内部用户的NetFlow流量得到{IP，NetFlow流组}，提取每一个用户IP的阈值特征(稳定性特征和域内外IP分布性特征)。

步骤3：筛选疑似的代理服务使用者IP。根据稳定性特征阈值为2.0(小于2.0可能为代理使用者)，域内外IP分布性特征阈值为1.0(大于1.0可能是代理使用者)的规则对步骤2得到的每一个IP的统计特征进行匹配。如果存在满足阈值条件的IP则认为是疑似代理服务使用者的IP，并存储这些IP的通信NetFlow流量用于下一步分析。若不存在疑似IP，则直接结束检测。

步骤4：检测可疑者NetFlow流量。转换可疑IP的NetFlow流量组为画像特征空间的向量组，并将其输入至实验环境下训练好的分类器中进行流量的分类。如果某一IP在一小时内的通信流量超过90％以上都判定为代理流量，则认为该IP是代理服务使用者。

步骤5：追踪用户。基于发现的代理使用者的IP和上网时间关联流量从而获取IP对应的用户标识符信息。需要注意的是，该步骤只适用于记录了用户认证上网信息的组织。

步骤6：存储结果。采用数据库进行结果的存储。

Claims

1.一种基于通信行为画像的代理使用者检测方法，其特征在于，包括以下步骤：

步骤3：发现可疑用户；基于流量数据提取指定时间窗口内用户的通信对象稳定性特征以及通信对象数量特征，通信对象稳定性是引入熵值计算方法，计算通信对象的{IP,Port}的信息熵判断通信对象的稳定性；然后基于阈值对上述两个特征进行过滤筛选得到疑似代理使用者的IP信息，存储这些IP的流量进行下一步检测；

2.如权利要求1所述的一种基于通信行为画像的代理使用者检测方法，其特征在于，还包括步骤5：对标记为代理使用者的IP进行用户的溯源定位；根据得到的代理用户IP，在认证流量中依据上网时间和IP信息进行关联得到IP对应的用户标识码信息，根据此标识码对用户进行定位。

3.如权利要求2所述的一种基于通信行为画像的代理使用者检测方法，其特征在于，还包括步骤6：存储检测结果；引入数据库作为存储介质，将所有检测结果存储至MySQL数据库中以便于管理员进行查看。

4.如权利要求1所述的一种基于通信行为画像的代理使用者检测方法，其特征在于，所述步骤1.1中建立的标签体系为：

在通信对象层面上，包括通信对象位置、通信对象数量和通信对象稳定性三类标签；在通信数据流层面上，包括传输包长的稳定性、传输包数的稳定性、会话间隔的稳定性以及数据包的倾斜率，其中，数据包的倾斜率定义为在一定时间窗口内，主机所有NetFlow流中的包数与平均包长的比值。

5.如权利要求4所述的一种基于通信行为画像的代理使用者检测方法，其特征在于，所述步骤1.2中构建的画像特征为：

在通信对象层面上，包括域内外IP分布特征、通信对象数特征以及通信对象稳定性三个画像特征，在通信数据流层面上，包括包长的最大/最小/平均/标准差、包数的最大/最小/平均/标准差、会话时间间隔的最大/最小/平均/标准差以及包倾斜率画像特征。