CN111343136A - 一种基于流量行为特征的网络异常行为分析检测方法 - Google Patents
一种基于流量行为特征的网络异常行为分析检测方法 Download PDFInfo
- Publication number
- CN111343136A CN111343136A CN201811606331.4A CN201811606331A CN111343136A CN 111343136 A CN111343136 A CN 111343136A CN 201811606331 A CN201811606331 A CN 201811606331A CN 111343136 A CN111343136 A CN 111343136A
- Authority
- CN
- China
- Prior art keywords
- port
- network
- data
- source
- analysis
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
Abstract
一种基于流量行为特征的网络异常行为分析检测方法,包括以下步骤:数据获取,数据过滤,数据分组,去重求和,判断,获取结果集合并入库,基于网络流量的大数据,分别从时间/空间(IP、端口)/行为三个维度进行分析、深度分析,对网络异常行为的发现、跟踪、溯源及潜在风险的预测,解决了通常安全设备无法跨时间跨设备进行联动分析的问题,面向省市网安、网信办、通管局、各大运营商、IDC、高校、大型‑超大型企业/集团及各种云环境等中大型的网络环境,能够进一步保障大型网络的安全稳定。
Description
技术领域
本发明涉及计算机网络技术领域,具体地说就是一种基于流量行为特征的网络异常行为分析检测方法。
背景技术
随着网络攻击手段的多元化、工具的自动化/动态化/智能化,传统的异常行为检测方法已不能满足网络安全的需求。
对于海量网络流量场景的异常行为分析,传统的基于包特征的异常行为检测方法准确性取决于特征库的完整性、更新的及时性,而性能却随着特征库的增大而急剧下降;传统的安全设备如利用通常的防火墙、入侵检测设备等存在时间和空间的局限性,只能针对同一时点的并发恶意网络行为进行检测,同一时点仅能对单台设备上的行为进行分析,无法实现跨时间跨设备的联动分析。
发明内容
本发明的目的在于提供一种基于流量行为特征的网络异常行为分析检测方法,该方法是基于流量行为的特征,通过16种异常行为检测分析规则,对各种异常行为进行类次分析统计,最终实现对网络异常行为的发现、跟踪、溯源及潜在风险的预测。
本发明解决其技术问题所采取的技术方案是:一种基于流量行为特征的网络异常行为分析检测方法,包括以下步骤:
数据获取,通过基于NetFlow和sFlow,对数据流量进行采集;
数据过滤,按照时间、源端口、目的端口、流量方向对流量数据进行过滤;
数据分组,对过滤后的数据进行分组,按照源IP、目的IP、目的端口对过滤后的流量数据进行分组;
去重求和,对分组后的流量数据进行去重求和;
判断,对求和后的数据与阈值进行对比,判断求和结果是否超过阈值;
获取结果集合并入库,对超过阈值的流量数据进行入库。
本发明的有益效果是:与现有技术相比,不同于传统的态势感知系统基于安全设备产生的日志,对各个设备所发现的异常行为进行汇总,本发明的一种基于流量行为特征的网络异常行为分析检测方法,是基于网络流量的大数据,分别从时间/空间(IP、端口)/行为三个维度进行分析、深度分析,对网络异常行为的发现、跟踪、溯源及潜在风险的预测,解决了通常安全设备无法跨时间跨设备进行联动分析的问题,以高效的行为规则库替代低效的特征库,解决了基于包特征的检测方式处理能力欠缺问题;面向各省市网安、网信办、通管局、各大运营商、IDC、高校、大型-超大型企业/集团及各种云环境等中大型的网络环境,能够进一步保障大型网络的安全稳定。
附图说明
图1为本发明总体结构图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。因此,以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围,而是仅仅表示本发明的选定实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
在本发明的描述中,需要说明的是,术语“中心”、“上”、“下”、“左”、“右”、“竖直”、“水平”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,或者是该发明产品使用时惯常摆放的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。此外,术语“第一”、“第二”、“第三”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
如图1所示实施例中,
异常行为检测分析流程共分6个环节:
1.数据获取
基于NetFlow和sFlow,对数据流量进行采集。
2.过滤
按时间、源端口、目的端口、流量方向对流量数据进行过滤。
3.分组
按源IP、目的IP、目的端口对过滤后的流量数据进行分组。
4.去重求和
对分组后的流量数据进行去重并求和。
5.判断
判断求和结果是否超过阈值。
注:阈值可根据具体的采样率进行相应的调整。
6.获取结果集合并入库
对超过阈值的流量数据进行入库。
实施例2中
扫描网段
概念:规定时间内,源IP扫描目标IP所在网段里的不同目标IP。
例如:5分钟内,源IP 222.178.231.73利用非正常的端口扫描同一个目标网段121.204.136.0/24常见端口的不同IP个数高于阈值,则说明源IP222.178.231.73存在扫描网段的违法行为。
原理:通常情况下,同一时段内一个源IP主动访问的同一个目标网段里的不同IP数量是有限的。如果访问的不同IP数量超出了阈值,就可列为异常扫段行为。逻辑:1)分组:sip,set_masklen(dip::cidr,24)
2)度量:count(distinct(dip))
3)条件:5分钟、流向(主动/被动)、源端口属于非正常端口,目标端口属于常见端口。
实施例3中
扫描多端口
概念:规定时间内,源IP扫描不同目标端口。
例如:5分钟内,源IP 202.102.72.37利用非常见端口去扫描不同正常端口的个数高于阈值,则说明源IP 202.102.72.37存在扫描多端口的违法行为。
原理:通常情况下,同一时段内一个源IP主动访问的目标IP里的不同端口数量是有限的。如果访问的端口数超出了阈值,就可列为异常扫描多端口行为。
逻辑:1)分组:sip,’0.0.0.0/0’::inet 2)度量:count(distinct(dport))3)条件:5分钟、流向(主动/被动)、源端口属于非常见端口,目标端口属于正常端口。
实施例4中
扫描端口IP
概念:规定时间内,源IP扫描相同目标端口。
例如:5分钟内,源IP 36.111.191.18利用非正常端口去扫描同一正常端口的不同IP个数高于阈值,则说明源IP 36.111.191.18存在扫描端口IP的违法行为。
原理:通常情况下,同一时段内一个源IP主动访问同一目标端口的不同目标IP数量是有限的。如果不同IP数超出了阈值,就可列为异常扫描端口IP行为。(针对常用端口以及已知木马端口)
逻辑:1)分组:sip,dport
2)度量:count(distinct(dip))
3)条件:5分钟、流向(主动/被动)、源端口属于非正常端口,目标端口属于常见端口。
实施例5中
CC连接
概念:规定时间内,源IP连接同一目标IP相同端口。
例如:5分钟内,源IP 218.205.165.103利用非正常端口与同一个目标IP121.204.148.25同一个端口的交互的次数高于阈值,则说明源IP218.205.165.103存在CC连接攻击的违法行为。
原理:通常情况下,同一时段内一个源IP与同一目标IP同一端口的交互次数是有限的。如果交互次数超出了阈值,就可列为异常CC连接行为。
逻辑:1)分组:sip,dip::nvarchar2,dport
2)度量:count(distinct(sport))
3)条件:5分钟、流向(主动/被动)、源端口属于非正常端口,目标端口不限,TCP标识<>’S’。
实施例6中
异常VPN连接
概念:规定时间内,源IP通过动态端口跟目标IP的多个动态端口建立连接。例如:5分钟内,源IP 59.56.74.41的动态端口与目标IP 222.179.88.14的源端口/目标端口建立连接的组合数超出阈值,则说明源IP 59.56.74.41存在异常VPN连接的违规行为。
原理:通常情况下,同一时段内一个源IP与同一目标IP同一端口的源端口/目标端口建立连接的组合数是有限的。如果组合数超出了阈值,就可列为异常VPN连接行为。
逻辑:1)分组:sip,dip::nvarchar2
2)度量:count(distinct(sport::nvarchar2||dport::nvarchar2))
3)条件:5分钟、流向(主动)、源端口非正常,目标端口非正常。
实施例7中
疑似木马攻击
概念:规定时间内,源IP跟目标IP的木马端口进行通讯。
例如:5分钟内,源IP 218.85.135.153利用非正常端口扫描目标IP27.155.64.217木马端口,但凡被捕获一次,则说明源IP 218.85.135.153存在疑似木马攻击的违法行为。
原理:通常情况下,任何程序不应该跟常见的木马端口进行通讯。如果某个IP主动跟木马端口进行通讯,则可列为疑似木马攻击行为。
逻辑:1)分组:sip,dip::nvarchar2
2)度量:count(distinct(1))
3)条件:5分钟、流向(主动/被动)、源端口属于非正常端口,目标端口属于木马端口。
实施例8中
SYN泛洪攻击
概念:规定时间内,源IP频繁地向目标IP的同一端口发起syn连接请求。
例如:5分钟内,源IP 120.39.63.133利用非正常端口向同一个目标IP27.155.65.93同一个端口发起SYN连接请求次数超过阈值,则说明源IP120.39.63.133存在SYN泛洪攻击的违法行为。
原理:通常情况下,同一时段内一个源IP对同一目标IP的同一端口发起的SYN连接次数/频率是有限的。如果SYN连接请求次数超出阈值,就可列为异常SYN泛洪攻击行为。逻辑:1)分组:sip,dip::nvarchar2,dport
2)度量:count(distinct(sport))
3)条件:5分钟、流向(主动/被动)、源端口属于非正常端口,目标端口不限,TCP标识为SYN。
实施例9中
扫描新型威胁端口IP
概念:规定时间内,源IP访问同一目标端口不同IP的个数超出阈值,且该端口不在常见端口列表以及已知木马端口列表中。
例如:5分钟内,源IP 61.131.46.254利用非正常端口去扫描同一端口的不同IP个数高于阈值,且目标端口不在常见端口列表以及已知木马端口列表中,则说明源IP61.131.46.254存在扫描新型威胁端口IP的违法行为。
原理:通常情况下,同一时段内一个源IP主动访问同一目标端口的不同目标IP数量是有限的。如果不同IP数量超出了阈值,且该端口不在常见端口列表以及已知木马端口列表中,就可列为扫描新型威胁端口IP行为。
逻辑:1)分组:sip,dport
2)度量:count(distinct(dip))
3)条件:5分钟、流向(主动/被动)、源端口属于非正常端口,目标端口属于列表不存在的端口。
上述具体实施方式仅是本发明的具体个案,本发明的专利保护范围包括但不限于上述具体实施方式的产品形态和式样,任何符合本发明且任何所属技术领域的普通技术人员对其所做的适当变化或修饰,皆应落入本发明的专利保护范围。
Claims (1)
1.一种基于流量行为特征的网络异常行为分析检测方法,其特征在于:包括以下步骤:
数据获取,通过基于NetFlow和sFlow,对数据流量进行采集;
数据过滤,按照时间、源端口、目的端口、流量方向对流量数据进行过滤;
数据分组,对过滤后的数据进行分组,按照源IP、目的IP、目的端口对过滤后的流量数据进行分组;
去重求和,对分组后的流量数据进行去重求和;
判断,对求和后的数据与阈值进行对比,判断求和结果是否超过阈值;
获取结果集合并入库,对超过阈值的流量数据进行入库。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811606331.4A CN111343136A (zh) | 2018-12-19 | 2018-12-19 | 一种基于流量行为特征的网络异常行为分析检测方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811606331.4A CN111343136A (zh) | 2018-12-19 | 2018-12-19 | 一种基于流量行为特征的网络异常行为分析检测方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN111343136A true CN111343136A (zh) | 2020-06-26 |
Family
ID=71187762
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201811606331.4A Pending CN111343136A (zh) | 2018-12-19 | 2018-12-19 | 一种基于流量行为特征的网络异常行为分析检测方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111343136A (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112187775A (zh) * | 2020-09-23 | 2021-01-05 | 北京微步在线科技有限公司 | 一种端口扫描的检测方法及装置 |
CN114070613A (zh) * | 2021-11-15 | 2022-02-18 | 北京天融信网络安全技术有限公司 | 一种识别漏洞扫描的方法、装置、设备及存储介质 |
CN116155626A (zh) * | 2023-04-20 | 2023-05-23 | 浙江工业大学 | 一种基于跨主机异常行为识别的复杂网络攻击检测方法 |
CN117119462A (zh) * | 2023-10-25 | 2023-11-24 | 北京派网科技有限公司 | 基于分布式dip引擎异质图架构的5G移动通信网络的安全审计系统及方法 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20070204060A1 (en) * | 2005-05-20 | 2007-08-30 | Hidemitsu Higuchi | Network control apparatus and network control method |
CN102947801A (zh) * | 2010-05-20 | 2013-02-27 | 埃森哲环球服务有限公司 | 恶意攻击检测和分析 |
CN104836702A (zh) * | 2015-05-06 | 2015-08-12 | 华中科技大学 | 一种大流量环境下主机网络异常行为检测及分类方法 |
CN108494746A (zh) * | 2018-03-07 | 2018-09-04 | 长安通信科技有限责任公司 | 一种网络端口流量异常检测方法及系统 |
-
2018
- 2018-12-19 CN CN201811606331.4A patent/CN111343136A/zh active Pending
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20070204060A1 (en) * | 2005-05-20 | 2007-08-30 | Hidemitsu Higuchi | Network control apparatus and network control method |
CN102947801A (zh) * | 2010-05-20 | 2013-02-27 | 埃森哲环球服务有限公司 | 恶意攻击检测和分析 |
CN104836702A (zh) * | 2015-05-06 | 2015-08-12 | 华中科技大学 | 一种大流量环境下主机网络异常行为检测及分类方法 |
CN108494746A (zh) * | 2018-03-07 | 2018-09-04 | 长安通信科技有限责任公司 | 一种网络端口流量异常检测方法及系统 |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112187775A (zh) * | 2020-09-23 | 2021-01-05 | 北京微步在线科技有限公司 | 一种端口扫描的检测方法及装置 |
CN112187775B (zh) * | 2020-09-23 | 2021-09-03 | 北京微步在线科技有限公司 | 一种端口扫描的检测方法及装置 |
CN114070613A (zh) * | 2021-11-15 | 2022-02-18 | 北京天融信网络安全技术有限公司 | 一种识别漏洞扫描的方法、装置、设备及存储介质 |
CN116155626A (zh) * | 2023-04-20 | 2023-05-23 | 浙江工业大学 | 一种基于跨主机异常行为识别的复杂网络攻击检测方法 |
CN116155626B (zh) * | 2023-04-20 | 2023-07-25 | 浙江工业大学 | 一种基于跨主机异常行为识别的复杂网络攻击检测方法 |
CN117119462A (zh) * | 2023-10-25 | 2023-11-24 | 北京派网科技有限公司 | 基于分布式dip引擎异质图架构的5G移动通信网络的安全审计系统及方法 |
CN117119462B (zh) * | 2023-10-25 | 2024-01-26 | 北京派网科技有限公司 | 基于分布式dpi引擎异质图架构的5g移动通信网络的安全审计系统及方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111343136A (zh) | 一种基于流量行为特征的网络异常行为分析检测方法 | |
CN110149350B (zh) | 一种告警日志关联的网络攻击事件分析方法及装置 | |
Janarthanan et al. | Feature selection in UNSW-NB15 and KDDCUP'99 datasets | |
CN111935170B (zh) | 一种网络异常流量检测方法、装置及设备 | |
US9503469B2 (en) | Anomaly detection system for enterprise network security | |
KR101391781B1 (ko) | 웹 트랜잭션 밀집도 기반 에이치티티피 봇넷 탐지 장치 및 방법 | |
CN108632224B (zh) | 一种apt攻击检测方法和装置 | |
CN108289088A (zh) | 基于业务模型的异常流量检测系统及方法 | |
US20200195672A1 (en) | Analyzing user behavior patterns to detect compromised nodes in an enterprise network | |
Paredes-Oliva et al. | Practical anomaly detection based on classifying frequent traffic patterns | |
WO2013055807A1 (en) | Detecting emergent behavior in communications networks | |
Yan et al. | Peerclean: Unveiling peer-to-peer botnets through dynamic group behavior analysis | |
CN106850647B (zh) | 基于dns请求周期的恶意域名检测算法 | |
CN103532969A (zh) | 一种僵尸网络检测方法、装置及处理器 | |
CN104135474A (zh) | 基于主机出入度的网络异常行为检测方法 | |
Joëlle et al. | Strategies for detecting and mitigating DDoS attacks in SDN: A survey | |
Chen et al. | Zyell-nctu nettraffic-1.0: A large-scale dataset for real-world network anomaly detection | |
Huang et al. | Network forensic analysis using growing hierarchical SOM | |
CN110912933B (zh) | 一种基于被动测量的设备识别方法 | |
CN110881022A (zh) | 一种大型网络安全态势检测分析方法 | |
CN115795330A (zh) | 一种基于ai算法的医疗信息异常检测方法及系统 | |
CN111726810A (zh) | 数控加工环境中的无线信号监测及无线通信行为审计系统 | |
Amza et al. | Hybrid network intrusion detection | |
US7546637B1 (en) | Structures and methods for using geo-location in security detectors | |
Han et al. | Garlic: A distributed botnets suppression system |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20200626 |
|
WD01 | Invention patent application deemed withdrawn after publication |