CN111209562A - 一种基于潜伏行为分析的网络安全检测方法 - Google Patents

Abstract

本发明属于网络安全检测技术领域，具体公开了一种基于潜伏行为分析的网络安全检测方法，通过定义潜伏行为特征，设计了分别适应日内短期潜伏、周内中期潜伏和月内长期潜伏三个周期窗口下的潜伏检测指标和潜伏异常程度评分规则，计算各分组对象所对应潜伏行为特征时序在日窗口、周窗口、月窗口下的潜伏指标和潜伏得分，得到有潜伏行为的实体对象排名，完成检测。本发明的有益效果是：通过抽象化潜伏特征，定义了潜伏指标和评分规则，不需依赖样本训练，达到较强通用性和即时性的应用效果。

Description

一种基于潜伏行为分析的网络安全检测方法

技术领域

本发明涉及网络安全信息技术领域，具体的说，是一种基于潜伏行为分析的网络安全检测方法。

背景技术

互联网大数据时代，网络信息安全是一个被普遍重点关注的话题，记录网络行为的流量日志具有海量的特性，目前已经有许多的算法和模型应用于异常网络行为的自动检测。但是多数方法着眼于明显的行为异常，如访问量陡升陡降、访问时间段不合常理、访问途径违规或违法等等，而疏忽了另一些隐蔽的通过正常手段来攫取信息的安全隐患。我们将这类不易察觉的通过正常途径的行为异常称为潜伏型异常。

潜伏型异常通常具有隐蔽性、执着性、累积性特点，潜伏行为特征的定义如下：

1)、访问波动规律性。潜伏行为多由机器或程序进行，而正常访问流量有其历史特性，如一些网站的访问量具有昼多夜少的特点，为了不破坏这种规律特性而被防御方察觉，潜伏者常常采用固定行为模式或习惯。

2)、访问时间规律性。因为潜伏行为常常采用固定行为模式或习惯，在访问时间点上表现为一定的规律性。

3)、持续时间较长。访问者会持续执着访问，累积一次次少量访问达到等同于大量访问效果的攻击目的。

4)、基于访问行为的各种特征数值在所有访问者中相对较小，不易触及常规模型告警。潜伏者通常会利用一些逻辑漏洞来规避被访问方的监察，如一些系统设定了一定时间段内的登录失败容忍次数，潜伏者限定每次尝试登录次数上限来规避系统告警，达到长期尝试登录破解账户而不被发现的目的。

由上可见，潜伏行为的单次访问危害不大甚至没有危害完全合规，不容易被安全系统察觉，但是经过长时间累积的潜伏访问却能造成极大危害，严重威胁网络安全。

专利《潜伏性盗取用户数据行为检测方法及装置》提出了一种与本发明近似的技术方案。

该技术方案包括：获取待检测的第一访问日志，第一访问日志为用户对网站进行访问的日志；根据第一访问日志，计算第一用户访问行为特征值；将第一用户访问行为特征值输入到预先建立的检测模型中，以在访问日志中检测是否存在潜伏性盗取用户数据的行为，其中检测模型为用于检测潜伏性盗取用户数据行为的模型，检测模型通过对训练样本数据进行分类训练得到。该方法通过计算访问日志的用户行为特征值，并进行分类模型的训练，得到潜伏性盗取用户数据行为检测模型及模型参数，进而检测新的访问日志中的潜伏性盗取用户数据行为。

针对网络访问情况的检测，现有技术存在诸多不完善之处。

一方面，多数模型重点关注显著的异常情况，如急剧波动的访问量，非正常的访问时刻，不合规的访问来源、访问途径、访问对象等等，缺少对正常访问下的潜伏行为的检测。

另一方面，多数模型重点关注某一时刻的异常，缺少对异常时间段的定位。

再有，少量针对潜伏行为的模型，需要依赖潜伏样本的训练，其方法的通用性和即时性存在不足。

发明内容

本发明的目的在于提供一种基于潜伏行为分析的网络安全检测方法，通过抽象化潜伏特征，定义了潜伏指标和评分规则，不需依赖样本训练，达到较强通用性和即时性的应用效果。

本发明通过下述技术方案实现：

一种基于潜伏行为分析的网络安全检测方法，通过定义潜伏行为特征，设计了分别适应日内短期潜伏、周内中期潜伏和月内长期潜伏三个周期窗口下的潜伏检测指标和潜伏异常程度评分规则，计算各分组对象所对应潜伏行为特征时序在日窗口、周窗口、月窗口下的潜伏指标和潜伏得分，得到有潜伏行为的实体对象排名，完成检测。

进一步地，为了更好的实现本发明，具体包括以下步骤：

步骤S1：获取待检测的时长为N的原始网络流量安全日志；

步骤S2：根据原始网络流量安全日志，建立以实体为分组对象，以聚合周期为时间戳，以经过特征算子计算后的数值为特征值的特征时间序列；

步骤S3：定义潜伏特征、定义潜伏检测窗口和定义潜伏检测指标；

所述潜伏特征是指行为波动较规律、持续时间较长、出现时间点较规律、基于访问行为的各种特征数值在所有访问者中相对较小，不易触及常规模型告警；

所述潜伏检测窗口包括日窗口、周窗口和月窗口；

所述日窗口以自然日划分N时长特征时间序列；

所述周窗口以自然周划分N时长特征时间序列；

所述月窗口为以自然月划分N时长特征时间序列；

所述潜伏检测指标包括时间维度指标和空间维度指标；所述时间维度包括特征时长、特征时间复杂度；所述空间维度指标包括特征极值、特征空间复杂度；

所述特征时长反映潜伏时间长度；

所述特征时间复杂度反映特征出现时间是否规律；

所述特征极值反映行为影响显著程度；

所述特征空间复杂度反映特征空间波动是否规律；

步骤S4：定义潜伏异常程度评分规则；潜伏异常分值＝(特征时长/(特征时间复杂度)+特征极值/(特征空间复杂度))×窗口因子；

步骤S5：将各个聚合后的特征时间序列分割为相应数量的日窗口、周窗口、月窗口；计算各分组对象所对应特征时序在日窗口、周窗口、月窗口下的潜伏指标和潜伏得分，将潜伏得分结果排列，得到有潜伏行为的实体对象排名，其潜伏时间段为有异常的检测窗口的起始时间至终止时间。

进一步地，为了更好的实现本发明，所述步骤S3具体包括以下步骤：

步骤S31：将特征时长设为某一实体分组对象在某一个检测窗口期间内非零特征值的个数；

步骤S32：将特征时间复杂度设为某一实体分组对象在某一个检测窗口内对非零特征值所在时间戳一阶差分后所得序列的样本熵，样本熵通过度量信号中产生新模式的概率大小来衡量时间序列复杂性；所述一阶差为对时间戳序列相邻两项求差；

步骤S33：将特征极值设为某一实体分组对象在某一检测窗口内特征最大值；

步骤S34：将特征空间复杂度设为某一实体分组对象在某一检测窗口内非零特征值所组序列的样本熵。

进一步地，为了更好的实现本发明，所述步骤S32中样本熵的计算方式为：

L1：设定长度为N的原始数据的时间序列u(1),u(2),u(3),…u(N)；

L2：构造一组M维空间的向量X(1),X(2),X(3),…X(N-M+1)；

其中，X(i)＝{u(i),u(i+1),…u(i+M-1)}；1≤i≤N-M+1；

L3：定义向量X(i)和X(j)之间的距离；d[X(i),X(j)]为两向量对应元素中差值最大的一个，即：

L4：对于每一个{i:1≤i≤N-M+1}，在容许偏差为r的情形下，统计d[X(i),X(j)]＜r的数目N_M(t)，并计算此数目与距离总数的比值

得到：

L5：对所有的i求平均值，φ^M(r)计作，即：

L6：对维数M增加1，重复上述L2至L5,得到

和

L7：求得理论上此序列的样本熵SampEn(N,M,r)为：

实际中N不可能取∞，当N取有限值时，则：SampEn(M,r)＝-ln[φ^M+1(r)/φ^M(r)]；

当r取原始数据标准偏差的0.1—0.25倍，M＝1或M＝2，SampEn(N,M,r)的值对序列长度N的依赖性最好，此时计算所得的样本熵具有较为合理的统计特性。

进一步地，为了更好的实现本发明，所述步骤S4具体是指：

为避免出现分母为零的情况，潜伏异常分值＝(特征时长/(特征时间复杂度+1)+特征极值/(特征空间复杂度+1))×窗口因子；

当某一实体分组对象在检测窗口内的特征时长与检测窗口长度比值小于0.5时，该段时序不进入潜伏异常评分；

当某一实体分组对象在检测窗口内的特征极值大于窗口内所有对象特征值的平均值时，该段时序不进入潜伏异常评分；

当某一实体分组对象在检测窗口内的时间复杂度大于1.5时，该段时序不进入潜伏异常评分；

当某一实体分组对象在检测窗口内的空间复杂度大于1.5时，该段时序不进入潜伏异常评分；

当检测窗口为日时，窗口因子等于1；当检测窗口为周时，窗口因子等于2；当检测窗口为月时，窗口因子等于3。

进一步地，为了更好的实现本发明，所述步骤S5具体是指：

步骤S51：将各个聚合后的特征时间序列分割为相应数量的日窗口、周窗口、月窗口；

步骤S52：对于每个分组对象每个检测窗口下的时序，通过步骤S3中的定义潜伏检测指标求其潜伏指标，通过步骤S4分别求其潜伏得分；

步骤S53：将得分结果降序排列，得到大概率有潜伏行为的实体对象排名，实体潜伏时间段为有异常的检测窗口的起始时间至终止时间。

本发明与现有技术相比，具有以下优点及有益效果：

(1)本发明专注于不受常规模型关注但是所能造成危害又十分严重的潜伏型异常的检测。

(2)本发明设定日检测窗口、周检测窗口和月检测窗口，覆盖了短中长三个检测周期，同时关注一个时间段而非某个时间点的异常，更能准确抓取异常行为，也更方便安全人员定位溯源异常。

(3)本发明通过抽象化潜伏特征，定义和提取了行之有效的潜伏指标和评分规则，不需依赖样本训练，达到较强通用性和即时性的应用效果。

附图说明

图1为本发明的工作原理图；

图2为本发明实施例2为实体分组对象聚合时序样例；

具体实施方式

下面结合实施例对本发明作进一步地详细说明，但本发明的实施方式不限于此。

实施例1：

本发明通过下述技术方案实现，如图1、图2所示，一种基于潜伏行为分析的网络安全检测方法，通过定义潜伏行为特征，设计了分别适应日内短期潜伏、周内中期潜伏和月内长期潜伏三个周期窗口下的潜伏检测指标和潜伏异常程度评分规则，计算各分组对象所对应潜伏行为特征时序在日窗口、周窗口、月窗口下的潜伏指标和潜伏得分，得到有潜伏行为的实体对象排名，完成检测。

需要说明的是，通过上述改进，通过定义潜伏行为特征，设计了分别适应日内短期潜伏、周内中期潜伏、月内长期三个周期窗口下的伏检测指标和潜伏异常程度评分规则，有较强的即时性和通用性，同时不需要依赖潜伏样本的训练，能够发现隐匿在正常网络流量下的潜在攻击者和攻击行为。

实施例2：

本实施例在上述实施例的基础上做进一步优化，如图1、图2所示，进一步地，为了更好的实现本发明，具体包括以下步骤：

步骤S1：获取待检测的时长为N的原始网络流量安全日志；

步骤S2：根据原始网络流量安全日志，建立以实体为分组对象，以聚合周期为时间戳，以经过特征算子计算后的数值为特征值的特征时间序列；

常见实体分组对象有IP地址、用户ID等；常用聚合周期有10分钟、1小时、1天、1周等；常用特征算子有总数、不同值数、最大值、最小值、平均值等。

如：建立以来源IP地址为分组对象，以每10钟聚合周期为时间戳，以聚合周期内的日志数量为特征值的特征时间序列。图2为实体分组对象聚合时序样例。

步骤S3：定义潜伏特征、定义潜伏检测窗口和定义潜伏检测指标；

所述潜伏特征是指行为波动较规律、持续时间较长、出现时间点较规律、基于访问行为的各种特征数值在所有访问者中相对较小，不易触及常规模型告警；

所述潜伏检测窗口包括日窗口、周窗口和月窗口；

所述日窗口以自然日划分N时长特征时间序列；

所述周窗口以自然周划分N时长特征时间序列；

所述月窗口为以自然月划分N时长特征时间序列；

如：一个自然日检测窗口T1为2019-01-01 00:00:00至2019-01-01 23:59:59，一个自然周T2检测窗口为2018-12-31 00:00:00至2019-01-06 23:59:59，一个自然月T3检测窗口为2019-01-01 00:00:00至2019-01-31 23:59:59。

通过设定日检测窗口、周检测窗口和月检测窗口，覆盖了短中长三个检测周期，同时关注一个时间段而非某个时间点的异常，更能准确抓取异常行为，也更方便安全人员定位溯源异常。

所述潜伏检测指标包括时间维度指标和空间维度指标；所述时间维度包括特征时长、特征时间复杂度；所述空间维度指标包括特征极值、特征空间复杂度；

所述特征时长反映潜伏时间长度；

所述特征时间复杂度反映特征出现时间是否规律；

所述特征极值反映行为影响显著程度；

所述特征空间复杂度反映特征空间波动是否规律；

步骤S4：定义潜伏异常程度评分规则；潜伏异常分值＝(特征时长/(特征时间复杂度)+特征极值/(特征空间复杂度))×窗口因子；

步骤S5：将各个聚合后的特征时间序列分割为相应数量的日窗口、周窗口、月窗口；计算各分组对象所对应特征时序在日窗口、周窗口、月窗口下的潜伏指标和潜伏得分，将潜伏得分结果排列，得到有潜伏行为的实体对象排名，其潜伏时间段为有异常的检测窗口的起始时间至终止时间。

本实施例的其他部分与上述实施例相同，故不再赘述。

实施例3：

本实施例在上述实施例的基础上做进一步优化，如图1所示，进一步地，为了更好的实现本发明，所述步骤S3具体包括以下步骤：

步骤S31：将特征时长设为某一实体分组对象在某一个检测窗口期间内非零特征值的个数；

步骤S32：将特征时间复杂度设为某一实体分组对象在某一个检测窗口内对非零特征值所在时间戳一阶差分后所得序列的样本熵，样本熵通过度量信号中产生新模式的概率大小来衡量时间序列复杂性；

一阶差分为对时间戳序列相邻两项求差。比如，非零特征值所在时间戳序列为：(t₀,t₁,t₂,…t_n),一阶差分后序列为(t₁-t₀,t₂-t₁,t₃-t₂,…t_n-t_n-1)。

样本熵通过度量信号中产生新模式的概率大小来衡量时间序列复杂性，新模式产生的概率越大，序列的复杂性就越大。故样本熵的值越低，序列自我相似性就越高；样本熵的值越大，样本序列就越复杂。

步骤S33：将特征极值设为某一实体分组对象在某一检测窗口内特征最大值；

步骤S34：将特征空间复杂度设为某一实体分组对象在某一检测窗口内非零特征值所组序列的样本熵。

本实施例的其他部分与上述实施例相同，故不再赘述。

实施例4：

本实施例在上述实施例的基础上做进一步优化，如图1所示，进一步地，为了更好的实现本发明，所述步骤S32中样本熵的计算方式为：

L1：设定原始数据为长度为N的时间序列u(1),u(2),u(3),…u(N)；

L2：构造一组M维空间的向量X(1),X(2),X(3),…X(N-M+1)；

其中，X(i)＝{u(i),u(i+1),…u(i+M-1)}；1≤i≤N-M+1；

L3：定义向量X(i)和X(j)之间的距离；d[X(i),X(j)]为两向量对应元素中差值最大的一个，即：

L4：对于每一个{i:1≤i≤N-M+1}，在容许偏差为r的情形下，统计d[X(i),X(j)]＜r的数目N_M(t)，并计算此数目与距离总数的比值

得到：

L5：对所有的i求平均值，φ^M(r)计作，即：

L6：对维数M增加1，重复上述L2至L5,得到

和φ^M+1(r)；

L7：求得理论上此序列的样本熵SampEn(N,M,r)为：

实际中N不可能取∞，当N取有限值时，则：SampEn(M,r)＝-ln[φ^M+1(r)/φ^M(r)]；

经验上：当r取原始数据标准偏差的0.1—0.25倍，M＝1或M＝2，SampEn(N,M,r)的值对序列长度N的依赖性最好，此时计算所得的样本熵具有较为合理的统计特性。

本实施例的其他部分与上述实施例相同，故不再赘述。

实施例5：

本实施例在上述实施例的基础上做进一步优化，如图1所示，进一步地，为了更好的实现本发明，所述步骤S4具体是指：

为避免出现分母为零的情况，潜伏异常分值＝(特征时长/(特征时间复杂度+1)+特征极值/(特征空间复杂度+1))×窗口因子；

当某一实体分组对象在检测窗口内的特征时长与检测窗口长度比值小于0.5时，该段时序不进入潜伏异常评分；

当某一实体分组对象在检测窗口内的特征极值大于窗口内所有对象特征值的平均值时，该段时序不进入潜伏异常评分；

当某一实体分组对象在检测窗口内的时间复杂度大于1.5时，该段时序不进入潜伏异常评分；

当某一实体分组对象在检测窗口内的空间复杂度大于1.5时，该段时序不进入潜伏异常评分；

当检测窗口为日时，窗口因子等于1；当检测窗口为周时，窗口因子等于2；当检测窗口为月时，窗口因子等于3。

需要说明的是，通过上述改进，

本实施例的其他部分与上述实施例相同，故不再赘述。

实施例6：

本实施例在上述实施例的基础上做进一步优化，如图1所示，进一步地，为了更好的实现本发明，所述步骤S5具体是指：

步骤S51：将各个聚合后的特征时间序列分割为相应数量的日窗口、周窗口、月窗口；

步骤S52：对于每个分组对象每个检测窗口下的时序，通过步骤S3中的定义潜伏检测指标求其潜伏指标，通过步骤S4分别求其潜伏得分；

步骤S53：将得分结果降序排列，得到大概率有潜伏行为的实体对象排名，实体潜伏时间段为有异常的检测窗口的起始时间至终止时间。

本实施例的其他部分与上述实施例相同，故不再赘述。

以上所述，仅是本发明的较佳实施例，并非对本发明做任何形式上的限制，凡是依据本发明的技术实质对以上实施例所作的任何简单修改、等同变化，均落入本发明的保护范围之内。

Claims (6)

1.一种基于潜伏行为分析的网络安全检测方法，其特征在于：通过定义潜伏行为特征，设计了分别适应日内短期潜伏、周内中期潜伏和月内长期潜伏三个周期窗口下的潜伏检测指标和潜伏异常程度评分规则，计算各分组对象所对应潜伏行为特征时序在日窗口、周窗口、月窗口下的潜伏指标和潜伏得分，得到有潜伏行为的实体对象排名，完成检测。

2.根据权利要求1所述的一种基于潜伏行为分析的网络安全检测方法，其特征在于：具体包括以下步骤：

步骤S1：获取待检测的时长为N的原始网络流量安全日志；

步骤S2：根据原始网络流量安全日志，建立以实体为分组对象，以聚合周期为时间戳，以经过特征算子计算后的数值为特征值的特征时间序列；

步骤S3：定义潜伏特征、定义潜伏检测窗口和定义潜伏检测指标；

所述潜伏特征是指行为波动较规律、持续时间较长、出现时间点较规律、基于访问行为的各种特征数值在所有访问者中相对较小，不易触及常规模型告警；

所述潜伏检测窗口包括日窗口、周窗口和月窗口；

所述日窗口以自然日划分N时长特征时间序列；

所述周窗口以自然周划分N时长特征时间序列；

所述月窗口为以自然月划分N时长特征时间序列；

所述潜伏检测指标包括时间维度指标和空间维度指标；所述时间维度包括特征时长、特征时间复杂度；所述空间维度指标包括特征极值、特征空间复杂度；

所述特征时长反映潜伏时间长度；

所述特征时间复杂度反映特征出现时间是否规律；

所述特征极值反映行为影响显著程度；

所述特征空间复杂度反映特征空间波动是否规律；

步骤S4：定义潜伏异常程度评分规则；潜伏异常分值＝(特征时长/(特征时间复杂度)+特征极值/(特征空间复杂度))×窗口因子；

步骤S5：将各个聚合后的特征时间序列分割为相应数量的日窗口、周窗口、月窗口；计算各分组对象所对应特征时序在日窗口、周窗口、月窗口下的潜伏指标和潜伏得分，将潜伏得分结果排列，得到有潜伏行为的实体对象排名，其潜伏时间段为有异常的检测窗口的起始时间至终止时间。

3.根据权利要求2所述的一种基于潜伏行为分析的网络安全检测方法，其特征在于：所述步骤S3具体包括以下步骤：

步骤S31：将特征时长设为某一实体分组对象在某一个检测窗口期间内非零特征值的个数；

步骤S32：将特征时间复杂度设为某一实体分组对象在某一个检测窗口内对非零特征值所在时间戳一阶差分后所得序列的样本熵，样本熵通过度量信号中产生新模式的概率大小来衡量时间序列复杂性；所述一阶差为对时间戳序列相邻两项求差；

步骤S33：将特征极值设为某一实体分组对象在某一检测窗口内特征最大值；

步骤S34：将特征空间复杂度设为某一实体分组对象在某一检测窗口内非零特征值所组序列的样本熵。

4.根据权利要求1所述的一种基于潜伏行为分析的网络安全检测方法，其特征在于：所述步骤S32中样本熵的计算方式为：

L1：设定长度为N的原始数据时间序列u(1),u(2),u(3),…u(N)；

L2：构造一组M维空间的向量X(1),X(2),X(3),…X(N-M+1)；

其中，X(i)＝{u(i),u(i+1),…u(i+M-1)}；1≤i≤N-M+1；

L3：定义向量X(i)和X(j)之间的距离；d[X(i),X(j)]为两向量对应元素中差值最大的一个，即：

L4：对于每一个{i:1≤i≤N-M+1}，在容许偏差为r的情形下，统计d[X(i),X(j)]＜r的数目N_M(t)，并计算此数目与距离总数的比值

得到：

L5：对所有的i求平均值，φ^M(r)计作，即：

L6：对维数M增加1，重复上述L2至L5,得到

和

L7：求得理论上此序列的样本熵SampEn(N,M,r)为：

实际中N不可能取∞，当N取有限值时，则：SampEn(M,r)＝-ln[φ^M+1(r)/φ^M(r)]；

当r取原始数据标准偏差的0.1—0.25倍，M＝1或M＝2，SampEn(N,M,r)的值对序列长度N的依赖性最好，此时计算所得的样本熵具有较为合理的统计特性。

5.根据权利要求2所述的一种基于潜伏行为分析的网络安全检测方法，其特征在于：所述步骤S4具体是指：

为避免出现分母为零的情况，潜伏异常分值＝(特征时长/(特征时间复杂度+1)+特征极值/(特征空间复杂度+1))×窗口因子；

当某一实体分组对象在检测窗口内的特征时长与检测窗口长度比值小于0.5时，该段时序不进入潜伏异常评分；

当某一实体分组对象在检测窗口内的特征极值大于窗口内所有对象特征值的平均值时，该段时序不进入潜伏异常评分；

当某一实体分组对象在检测窗口内的时间复杂度大于1.5时，该段时序不进入潜伏异常评分；

当某一实体分组对象在检测窗口内的空间复杂度大于1.5时，该段时序不进入潜伏异常评分；

当检测窗口为日时，窗口因子等于1；当检测窗口为周时，窗口因子等于2；当检测窗口为月时，窗口因子等于3。

6.根据权利要求1所述的一种基于潜伏行为分析的网络安全检测方法，其特征在于：所述步骤S5具体是指：

步骤S51：将各个聚合后的特征时间序列分割为相应数量的日窗口、周窗口、月窗口；

步骤S52：对于每个分组对象每个检测窗口下的时序，通过步骤S3中的定义潜伏检测指标求其潜伏指标，通过步骤S4分别求其潜伏得分；

步骤S53：将得分结果降序排列，得到大概率有潜伏行为的实体对象排名，实体潜伏时间段为有异常的检测窗口的起始时间至终止时间。

Images