CN114598499A - 结合业务应用的网络风险行为分析方法 - Google Patents

Abstract

本发明公开了一种结合业务应用的网络风险行为分析方法，通过本发明可发现网内的风险行为，并对网内的风险行为进行监控。本发明通过业务应用识别技术构建业务应用白模型，通过将网络流量和业务应用白模型进行模型匹配，结合白名单策略提取，发现网内白名单列表、可疑行为和风险行为，并对可疑行为和风险行为进行监控；通过应用台账，设置重要资产，通过应用台账和特征化的网络流量数据结合构建重要资产白模型，对超出重要资产白模型访的访问行为进行重要资产风险行为监控。本发明在应用自动识别的基础上，结合通过网络流量深度分析方法实现了对用户行为的学习分析，增强了内部网络系统防御能力。

Description

结合业务应用的网络风险行为分析方法

技术领域

本发明涉及网络流量行为分析和业务应用识别领域，尤其涉及一种结合业务应用的网络风险行为分析方法。

背景技术

近年来随着网络规模的逐渐扩大，网络环境也变得越来越复杂，网络的安全防护态势也日益严峻，市面上也出现了各种基于网络流量的行为分析产品。在现有的基于网络流量的行为分析产品中，缺少一种与业务应用自动识别技术相结合，分析用户网络风险行为的特定产品。

发明内容

本发明针对上述问题，提供一种在应用自动识别的基础上，通过网络流量深度分析方法对用户行为分析并增强内部网络系统防御能力的风险行为分析方法。

为了达到上述目的，本发明提供了一种结合业务应用的网络风险行为分析方法，其包括：

S1：基于业务识别引擎，采用应用自动识别技术识别出各类技术架构的业务应用，所述自动识别技术为对网络流量和网络协议进行分析，综合采用协议特征分析、特征匹配、服务端口解析、机器学习技术，精准识别网内包括B/S类、C/S类、扫描类技术架构的业务应用；

S2：所述应用自动识别技术将所识别出的业务应用集成至业务应用台账；所述业务应用台账包括白名单策略以及业务应用白模型，所述白名单策略包括业务应用与业务应用的特征信息，所述业务应用白模型为业务应用与特征信息的所属关系；

S3：基于端口镜像的流量采集技术采用大数据分析方法对网络流量通过抽取、转换、加载和特征化处理，生成特征化网络流量数据；所述对网络流量数据进行抽取、转换、加载的步骤为：依据http、tcp、udp协议规范解析网络流量数据，运用redis内存数据库进行归一化和格式化转换，运用数据持久化组件将数据存储于大数据中心，加载分析时运用MapReduce技术将待分析数据以<key，value>的格式加载至内存数据库；

S4：将所述特征化网络流量数据和业务应用白模型进行试配，符合业务应用白模型的特征化网络流量数据归属白名单列表，不符合业务应用白模型的特征化网络流量数据归属为可疑行为；

S5：人工干预并判断可疑行为符合业务应用的特征信息时，将所述可疑行为手动提取为白名单策略、补充至业务应用白模型并加入至白名单列表；人工干预并判断可疑行为不符合业务应用的特征信息时，将所述可疑行为归属为风险行为；

S6：根据业务应用台账设置黑名单策略，所述黑名单策略为不符合所述白名单策略及业务应用白模型的风险行为，对于符合黑名单策略的网络流量数据归属为黑名单策略风险行为，所述黑名单策略包括：源IP地址、源安全域、目的IP地址、目的安全域、目的端口、协议、时间、报警级别；

S7：根据业务应用台账设置边界访问控制策略，首先将策略生成规则的配置功能向用户开放，用户依据实际需求，按业务应用、安全域和目的IP地址设置多种策略，配置各个策略间的优先级；其次以业务应用、安全域和目的IP地址为中心，梳理出IP地址、设备、网域对各个业务应用、安全域或目的地址的访问关系，将网络流量中针对业务应用的访问关系进行收敛和抽象并生成用户自定义的边界访问控制策略；对所有网络连接行为进行精准解析匹配，符合边界访问控制策略的网络连接行为进行“归堆”存放，不符合任何边界访问控制策略的网络连接行为单独列示，按照设置-检验-优化的步骤，经过多次迭代，直至生成准确无误的边界访问控制策略；所述边界访问控制策略包括：策略名称、源IP地址、目的IP地址、目的端口、目的安全域、梳理方式、版本、时间。

优选方式下，所述业务应用的特征信息包括源IP地址、源端口、目的IP地址、目的端口、时间。

优选方式下，业务应用台账中与网络流量数据匹配次数少于一定数量的业务应用被识别为僵尸应用。

优选方式下，根据业务应用台账构建重要资产白模型，所述重要资产白模型为人为设定重要资产的业务应用与特征信息的所属关系，对于超出重要资产白模型的网络流量数据归属为重要资产风险行为并进行重要资产风险行为监控，所述重要资产的特征信息包括：流量方向的选择即进出总流量、进方向的流量、出方向的流量类型、源IP地址、源端口、目的IP地址、目的端口、协议、时间。

优选方式下，所述协议特征分析方法的步骤包括：

S1：会话连接为http请求时，所识别的业务应用暂定为模型一；

S2：判断所述会话连接是否符合署级应用特征，即包括两个条件：第一个条件为Title包含署级应用特征库里的title特征，第二个条件为url包含署级应用特征库里的url特征；如果满足上述任意一个条件，所识别的业务应用确认为署级应用，结束，否则进入S3：

S3：判断会话连接是否符合模型二，即如果Title包含“系统、平台、模块、网站、项目、海关”字样，则符合模型二特征，进入S4，否则进入S5；

S4：判断会话连接是否符合模型二应用特征，即包括三个条件：第一个条件为Title包含应用底账的应用名称前10个字或整合后应用名称，第二个条件为url与应用底账的应用访问url一致，第三个条件为符合title全中文且后两个字为‘系统’或‘平台’的关键字特征；如果满足第一个条件和第二个条件中的任意一个条件，则确认应用，结束；如果仅满足第三个条件，则确认应用，应用级别为‘未定义’，结束；如果三个条件都不满足，则视为未知应用并且需要人工确认，结束；

S5：判断会话连接是否符合模型三，即包括两个条件：第一个条件为一天内访问源IP地址个数至少有可设置的5个，第二个条件为一天内会话连接数量至少有可设置的100条；如果同时满足两个条件，则符合模型三特征，进入S6，否则视为非应用，结束；

S6：判断会话连接是否符合模型三应用特征，即包括一个条件：url与应用访问url一致；如果满足所述条件则确认应用，结束，否则视为未知应用并且需要人工确定，结束。

优选方式下，所述基于端口镜像的流量采集技术的步骤包括：

S1：通过网络设备设置要复制流量的源端口，源端口可为一个或多个；

S2：通过网络设备设置要复制流量的目的端口；

S3：通过网络设备的端口镜像功能，将源端口的流量数据复制到目的端口上；

S4：网络设备的目的端口通过网线连接物联终端的行为分析装置上的镜像端口；

S5：物联终端的行为分析装置上安装抓包程序，通过抓包程序采集镜像端口的数据流量。

本发明的有益效果为：使用基于端口的镜像流量采集结合大数据、分布式计算与机器学习对用户网络行为进行分析研究，对用户网络风险行为的分析；在应用自动识别的基础上，通过网络流量深度分析方法实现了对用户行为的学习分析，增强了内部网络系统防御能力。

附图说明

图1为本发明的总体流程图；

图2为本发明的应用识别名词解释表；

图3为本发明的应用自动识别流程图；

图4为本发明的网络流量风险行为分析流程图；

图5为本发明的结合业务应用设置黑名单策略发现网络风险行为流程图；

图6为本发明的结合业务应用设置重要资产发现重要资产风险行为流程图；

图7为本发明的结合业务应用梳理边界访问控制策略流程图；

图8为本发明的业务应用识别的原理图；

图9为本发明的结合业务应用设置黑名单策略发现风险行为的原理图；

图10为本发明的结合业务应用梳理边界访问控制策略的原理图。

具体实施方式

通过查阅文献可知，已有研究中文献“基于流量识别的网络用户行为分析”实现了网络用户行为的实时测量、可视化的用户行为统计分析和在线关联规则分析和异常模式检测。与现有技术相比，本发明的创新点为：

1、使用基于端口的镜像流量采集结合大数据、分布式计算、与机器学习对用户网络行为进行分析研究，对用户网络风险行为的分析，结合了应用自动识别技术。

2、在应用自动识别的基础上，结合通过网络流量深度分析方法实现了对用户行为的学习分析，增强了内部网络系统防御能力。

(1)通过应用发现和识别功能，发现了网内的僵尸应用。对于网内的僵尸应用建议关闭系统，防止此类安全维护级别较低的应用系统，被攻击者作为跳板，威胁到整个网络的安全。

(2)通过应用发现和识别功能，产生基于应用的重要资产白名单模型；通过对重要资产的安全防护，提示内部网络系统的防御能力。

(3)在应用自动识别的基础上，通过设置违规报警策略即黑名单策略，产生违规报警数据。通过违规报警数据的产生，可发现内部网络中的违规报警行为。通过对违规报警行为的处理，增加内部网络系统的防御能力。

3、规避了传统网络用户流量行为分析方法缺乏系统性定义、对网络用户流量行为的描述维度过高，在海量网络用户流量行为数据中分析单用户流量行为比较困难的问题：提高了分析网络用户异常流量行为的时间性能。

(1)通过对网络镜像流量数据的特征化，可通过时间、流量、包数、源IP、源端口、目的IP、目的端口、协议等多个维度，将网络镜像流量数据细化为具有特征化的网络基础数据。解决了传统网络用户流量行为分析方法缺乏系统性定义、对网络用户流量行为的描述维度过高的问题。

(2)按用户实际应用的方向，将网络流量数据，通过智能学习形成应用识别展示、访问控制策略展示、违规报警展示、异常访问行为展示等不同的应用模型。解决了在海量网络用户流量行为数据中分析单用户流量行为比较困难的问题。

(3)通过MongoDB后台大数据库的分析，以及不同应用模型的分类，可快速发现和解决网内风险行为，提高了分析网络风险行为的时间性能。

与现有技术相比，本发明的不同点在于：

1、采集和分析的数据源不同：论文采集和分析的数据是企业内网和外网之间相互访问的网络流量数据，本发明采集分析的数据源是企业内部网络数据。本发明采集和分析的数据源是企业内部网络不同网域之间相互访问的网络流量数据。比如企业内网的用户域网络和应用服务域网络、企业的生成区网络和管理区网络。

2、数据源采集的方式不同：论文数据源采集的方式是通过透明网桥的方式，通过2到3个网口，分别实现网络出口、网络入口和网络管理功能。而本发明采用交换机镜像端口的方式采集数据。

本发明的数据采集方式更为先进：

(1)采用交换机端口镜像的方式采集网络数据，采集的镜像数据既包括网络出口的数据，也包括网络入口的数据，相较论文的数据采集方式，更节省设备资源。

(2)论文设备只支持网络出口和网络入口最大100M流量的网络数据处理能力。而本发明的设备支持多镜像端口，设备单网口支持10G的网络数据流量处理能力，系统有较强的扩展性和更好的性能。

(3)本发明的设备支持带外管理，每台设备有专门的管理网口和多个镜像网口，管理网络和镜像网络可以属于不同的VLAN，在网络配置方面有较强的灵活性。

(4)本发明的设备同样支持旁路功能。

3、关于网络流量的定义不同：论文中分析的网络流量是基于应用流的，论文网络流量的定义是基于六元组，其包括源IP、目的IP、源端口、目的端口、传输层协议和应用层协议，而本发明的网络流量的定义是基于网络会话的。

本发明在基于网络会话的基础上，对网络流量进行抽取、转换、和加载，相比较论文中分析的网络流量，本发明分析的网络流量更加全面、细致、有方向性。尤其是防火墙有默认允许相同会话中的网络流量通过防火墙的特性，使用基于会话的网络流量分析防火墙访问控制策略，只需要分析访问发起端的会话的网络流量，作为防火墙访问控制策略的依据，这样能极大减少防火墙访问控制策略数量。

4、流量识别技术的不同：论文的流量识别技术采用的是“基于端口的识别”、“基于应用流状态统计识别”和“基于应用特征签名的识别”，本发明使用的网络识别方法是流量采集组件依据Http、Tcp、Udp等协议规范解析网络流量，运用Redis内存数据库进行归一化和格式化转换，在运用数据持久化组件将数据存储于大数据中心。

5、文本分类技术的不同：论文采用的分类技术为基于基本数据结构的算法、基于几何学的算法、启发式的算法、位并算法和基于哈希算法的分类方法，而本发明采用基于MapReduce编程模型的文本分类方法。MapReduce从文本分类与大数据并行处理两个方面着手，研究在海量文本数据挖掘的相关理论知识和MapReduce编程模型的相关技术支撑下的海量文本数据挖掘统计方法。在并行运算模型的上，提出了一种简单、有效的文本分类方法。

6、网络行为分析的数据挖掘方法不同：论文的数据挖掘的方法包括统计方法、机器学习方法、神经网络方法和数据库方法。其中论文的数据库挖掘方法是采用多维数据分析或OLAP方法。OLAP系统的数据库是分布式关系型数据。

本发明的数据挖掘方法采用Redis内存数据库进行归一化和格式化转换，在运用数据持久化组件将数据存储于大数据中心，大数据中心存储的数据库采用MYSQL数据库和MONGODB数据库相结合的方法。本发明的数据分析方法是运用MapReduce技术，将待分析数据以<key，value>的格式加载至内存数据库，用于分析计算。

Redis是一个高性能的key-value数据库。redis的出现，很大程度补偿了memcached这类keyvalue存储的不足，在部分场合可以对关系数据库起到很好的补充作用。它跟memcached类似，不过数据可以持久化，而且支持的数据类型很丰富。有字符串，链表，集合和有序集合。支持在服务器端计算集合的并，交和补集difference等，还支持多种排序功能。所以Redis也可以被看成是一个数据结构服务器。

MongoDB是一个基于分布式文件存储的数据库。由C++语言编写。旨在为WEB应用提供可扩展的高性能数据存储解决方案。MongoDB是一个介于关系数据库和非关系数据库之间的产品，是非关系数据库当中功能最丰富，最像关系数据库的。他支持的数据结构非常松散，是类似json的bson格式，因此可以存储比较复杂的数据类型。Mongo最大的特点是他支持的查询语言非常强大，其语法有点类似于面向对象的查询语言，几乎可以实现类似关系数据库单表查询的绝大部分功能，而且还支持对数据建立索引。

MapReduce数据分析方法是一种编程模型，用于大规模数据集的并行运算，MapReduce数据分析方法可实现海量文本数据的有效发掘和统计。MapReduce从文本分类与大数据并行处理两个方面着手，研究在海量文本数据挖掘的相关理论知识和MapReduce编程模型的相关技术支撑下的海量文本数据挖掘统计方法。在并行运算模型的上，提出了一种简单、有效的文本分类方法。

本发明的实现过程具体如下：

S1：通过应用自动识别技术生成网内业务应用台账，通过应用识别后自动生成白名单策略功能，自动生成基于应用的白名单策略，构建业务应用白模型；

S2：通过基于端口镜像的流量采集技术采集需要分析的网络流量，对网络流量通过抽取、转换、加载和特征化处理，生成特征化的网络流量数据；

S3：通过将特征化的网络流量数据和业务应用白模型进行匹配，对于符合应用白模型的特征化网络流量数据归属白名单列表，对应不符合业务应用白模型的特征化网络流量数据归属于可疑行为；对于可疑行为通过设置白名单策略提取的方式，加入白名单列表；对于不可通过白名单策略提取的数据归属于风险行为；

S4：通过业务应用台账，可发现网内的僵尸应用，即长期不使用或很少使用的业务应用；

S5：结合业务应用台账，设置黑名单策略，发现网内风险行为；

S6：结合应用台账，设置重要资产监控，通过应用台账和特征化的网络流量数据结合构建重要资产白模型，对超出重要资产白模型访的访问行为进行重要资产风险行为监控；

S7：结合业务应用台账，按应用的方式梳理边界访问控制策略，可用于交换机、防火墙等网络设备设置和清理边界防火墙策略的判断依据。

其中，网络流量的采集主要包括：基于端口镜像的流量采集和基于分光方式的流量采集，这里只介绍基于端口镜像的流量采集。基于端口镜像的流量采集将交换机或路由器等其它网络设备的一个或多个端口的流量数据复制到一个或多个端口，被复制的端口和复制的端口分别称为镜像源端口和镜像端口。端口镜像主要部署在网络汇聚层或核心层，将流量镜像到采集设备上。该种流量采集方式可在不影响网络用户正常使用的同时监控各端口的流量传输状况，从而实时监控网络。网络流量风险行为分析是指在获得网络访问量基本数据的情况下，对有关数据进行统计、分析，从中发现用户内部网络访问的规律，并将这些规律与终端设备、网络内部应用、防火墙访问控制策略等相结合，从而发现目前网络内部各类终端设备、用户应用、用户等在网络活动中可能存在的问题。应用自识别的定义为：基于内置的业务识别引擎，对网络流量和网络协议进行深度分析，综合采用协议特征分析、特征匹配、服务端口解析、机器学习等多种技术，能够精准识别网内各类技术架构包括B/S类、C/S类、扫描类等类型的业务应用系统。实现动态识别应用系统，简化应用梳理过程，形成动态精准的业务应用系统台帐。准确全面的应用系统信息，为行为模型建立和行为分析预警的提供重要数据支撑。

其中，结合业务应用设置黑名单策略发现网络风险行为表示：结合应用台账，通过设置黑名单策略的方式，发现网络流量风险行为，可对违规运维、非法外联、使用黑名单端口、使用高危端口、使用不安全协议、非法访问数据库、非法访问业务系统、违规使用软件等风险行为进行监测预警。

其中，结合业务应用设置重要资产发现重要资产风险行为表示：将应用台账中的重要资产，如邮件服务器、重要的Web应用、财务服务器等设置为重要的资产。通过对重要资产一段时间网络访问关系、访问端口的学习，构建重要资产白模型。通过将当前重要资产的网络流量和重要资产白模型对比，发现超出重要资产白模型范围的风险行为，并报警。

其中，结合业务应用梳理边界访问控制策略表示：结合业务应用台账，对网内的实际网络流量采用按应用的方式进行梳理、生成和校验，生成当前网内实际流量的边界访问控制策略。生成的边界访问控制策略可用于交换机、防火墙等网络设备设置和清理边界防火墙策略的判断依据。通过和网内交换机、防火墙等网络设备的访问控制策略进行对比，可发现交换机、防火墙设置的失效策略、过期策略、过宽策略等。

其中，交换机端口镜像流量的采集具体步骤为：

1、通过交换机设置要复制流量的源端口，源端口可为一个或多个；

2、通过交换机设置要复制流量的目的端口；

3、通过交换机端口镜像功能，将源端口的流量数据复制到目的端口上；

4、交换机的目的端口通过网线连接前端物联终端行为分析装置上的镜像端口；

5、物联终端行为分析装置上安装抓包程序，通过抓包程序采集镜像端口的数据流量。

其中，网络数据进行抽取、转换、加载指的是：流量采集组件依据http、tcp、udp等协议规范解析网络流量，运用redis内存数据库进行归一化和格式化转换，在运用数据持久化组件将数据存储于大数据中心。加载分析时，运用MapReduce技术将待分析数据以<key，value>的格式加载至内存数据库，用于分析计算。

其中，暗数据的特征化包括：

1、可根据网络协议将暗数据特征化，如TCP数据、UDP数据；

2、可根据访问端口将数据特征化，如网络协议数据包括ICMP、SNMP等类型、基础服务数据包括DHCP、DNS、域控等类型、数据库数据包括ORALE、MYSQL、SQL SERVER等类型、应用数据包括飞秋、QQ、各种用户专用系统、系统、平台、模块、网站、项目等类型；

3、可根据时间、流量、源IP、目的IP等维度将暗数据特征化。

如图1所示，对图1中专有名词的解释如下：网络流量，是指通过交换机端口镜像获取的网络镜像流量数据，本发明分析的网络流量是基于会话的网络流量；暗数据，是指系统通过抓包程序，对网络流量数据通过抽取、转换、加载，形成暗数据；标记数据，是指对暗数据进行特征化形成的标记数据，如根据协议类型，将按数据分为TCP协议数据和UDP协议数据；会话连接，网络流量访问的会话连接；应用识别，基于内置的业务识别引擎，对网络流量和网络协议进行深度分析，综合采用协议特征分析、特征匹配、服务端口解析、机器学习等多种技术，能够精准识别网内各类技术架构包括B/S类、C/S类、扫描类等类型的业务应用；应用台账，对网络流量通过应用识别技术生成应用台账，应用台账包括应用名称、源IP、源端口、目的IP、目的端口、应用类型、应用Title和时间等内容；业务应用白模型，结合应用台账，将生成的网络流量“标记数据”，按业务应用的方式进行匹配，生成业务应用白模型；白名单列表，将网络流量和业务应用白模型进行匹配，属于业务应用白模型的生成白名单列表数据，也可通过对可疑行为设置白名单策略，将可疑行为提取为白名单列表数据；可疑行为，将网络流量和业务应用白模型进行匹配，不属于业务应用白模型的生可疑行为数据，可疑行为数据包括源IP、目的IP、目的端口、时间等内容；风险行为。对于不可提取为白名单列表数据的可疑行为，自动归属为风险行为；僵尸应用。对应应用台账中长期不使用或很少使用的业务应用，将其标记为僵尸应用；黑名单策略，通过设置规则发现网内的风险行为，此类规则命名为黑名单策略。黑名称策略的设置包括：源IP地址即IP地址范围、源安全域、目的IP地即目的IP地范围、目的安全域、多个目的端口、协议、时间、报警级别等；黑名单策略风险行为，结合已生成的应用台账，通过设置黑名单策略，发现风险行为；边界访问控制策略，结合已生成的应用台账，将网络流量归属于业务应用，按业务应用的方式梳理，生成当前网络实际边界访问控制策略；重要资产白模型，通过已生成的应用台账，设置重要资产，通过对重要资产一段时间内的网络流量的学习，生成重要资产白模型；重要资产风险为，通过对重要资产网络流量的学习，将超出重要资产白模型范围的行为归属为重要资产风险行为。

如图2、图3所示，应用识别流程如下：

1、会话连接为http请求，即模型一

2、判断会话连接是否符合署级应用特征：

①Title包含署级应用特征库里的title特征；

②url包含署级应用特征库里的url特征；

#满足①和②其中一个条件，则确认为署级应用，结束；

#否则进入步骤3；

3、判断会话连接是否符合模型二：

①Title包含“系统、平台、模块、网站、项目、海关”等字样；

#满足条件，则符合模型二特征，进入步骤4；

#否则进入步骤5；

4、判断会话连接是否符合模型二应用特征：

①Title包含应用底账的应用名称前10个字或整合后应用名称；

②url与应用底账的应用访问url一致；

③符合关键字特征：title全中文且后两个字为‘系统’或‘平台’；

#满足①和②其中一个条件，则确认应用，结束；

#只满足条件③，则确认应用，应用级别为‘未定义’，结束；

#三个条件都不满足，则视为未知应用并且需人工确认，结束；

5、判断会话连接是否符合模型三：

①一天内访问源IP个数至少有可设置的5个；

②一天内会话连接数量至少有可设置的100条；

#同时满足①和②两个条件，则符合模型三特征，进入步骤6；

#否则视为非应用，结束；

6、判断会话连接是否符合模型三应用特征：

①url与应用访问url一致；

#满足条件则确认应用，结束；

#否则视为未知应用并且需要人工确定，结束。

需要说明的是：

①Title匹配时，先去除各种符号，字母转大写，再进行匹配，确保不受符号和大小写影响；

②url匹配时，去掉？符号及其后的参数，去掉末尾的/符号，确保不受参数及/符号影响；

③已确认的应用信息，当其title或url为空，则再有新连接时会更新新的title或url。

如图4所示，对图4中专有名词的解释如下：网络流量是指通过交换机端口镜像获取的网络镜像流量数据，本发明分析的网络流量是基于会话的网络流量；暗数据是指系统通过抓包程序，对网络流量数据通过抽取、转换、加载，形成暗数据；标记数据是指对暗数据进行特征化形成的标记数据。如根据协议类型，将按数据分为TCP协议数据和UDP协议数据；业务应用白模型，结合应用台账，将生成的网络流量“标记数据”，按业务应用的方式进行匹配，生成业务应用白模型；白名单列表，将网络流量和业务应用白模型进行匹配，属于业务应用白模型的生成白名单列表数据，也可通过对可疑行为设置白名单策略，将可疑行为提取为白名单列表数据；白名单列表数据包括源IP、源端口、目的IP、目的端口、时间等内容；可疑行为，将网络流量和业务应用白模型进行匹配，不属于业务应用白模型的生可疑行为数据。可疑行为数据包括：源IP、目的IP、目的端口、时间等内容；风险行为，对于不可提取为白名单列表数据的可疑行为，自动归属为风险行为。

如图5所示，对图5中专有名词的解释如下：会话连接，网络流量访问的会话连接；应用识别，基于内置的业务识别引擎，对网络流量和网络协议进行深度分析，综合采用协议特征分析、特征匹配、服务端口解析、机器学习等多种技术，能够精准识别网内各类技术架构包括B/S类、C/S类、扫描类等类型的业务应用；应用台账，对网络流量通过应用识别技术生成应用台账，应用台账包括：应用名称、源IP、源端口、目的IP、目的端口、应用类型、应用Title和时间等内容；僵尸应用，对应应用台账中长期不使用或很少使用的业务应用，将其标记为僵尸应用；黑名单策略，通过设置规则发现网内的风险行为，此类规则命名为黑名单策略。黑名称策略的设置包括：源IP地址即IP地址范围、源安全域、目的IP地即目的IP地范围、目的安全域、目的端口即多个目的端口、协议、时间、报警级别等；黑名单策略风险行为，结合已生成的应用台账，通过设置黑名单策略，发现风险行为。

如图6所示，对图6中专有名词的解释如下：网络流量是指通过交换机端口镜像获取的网络镜像流量数据；本发明分析的网络流量是基于会话的网络流量；暗数据是指系统通过抓包程序，对网络流量数据通过抽取、转换、加载，形成暗数据；标记数据是指对暗数据进行特征化形成的标记数据，如根据协议类型，将按数据分为TCP协议数据和UDP协议数据；会话连接，网络流量访问的会话连接；应用识别，基于内置的业务识别引擎，对网络流量和网络协议进行深度分析，综合采用协议特征分析、特征匹配、服务端口解析、机器学习等多种技术，能够精准识别网内各类技术架构包括B/S类、C/S类、扫描类等类型的业务应用；应用台账，对网络流量通过应用识别技术生成应用台账，应用台账包括：应用名称、源IP、源端口、目的IP、目的端口、应用类型、应用Title和时间等内容；重要资产白模型，通过已生成的应用台账，设置重要资产，通过对重要资产一段时间内的网络流量的学习，生成重要资产白模型；重要资产风险为通过对重要资产网络流量的学习，将超出重要资产白模型范围的行为归属为重要资产风险行为。

如图7所示，对图7中专有名词的解释如下：网络流量是指通过交换机端口镜像获取的网络镜像流量数据；本发明分析的网络流量是基于会话的网络流量；暗数据是指系统通过抓包程序，对网络流量数据通过抽取、转换、加载，形成暗数据；标记数据是指对暗数据进行特征化形成的标记数据，如根据协议类型，将按数据分为TCP协议数据和UDP协议数据；会话连接，网络流量访问的会话连接；应用识别，基于内置的业务识别引擎，对网络流量和网络协议进行深度分析，综合采用协议特征分析、特征匹配、服务端口解析、机器学习等多种技术，能够精准识别网内各类技术架构包括B/S类、C/S类、扫描类等类型的业务应用；应用台账，对网络流量通过应用识别技术生成应用台账，应用台账包括：应用名称、源IP、源端口、目的IP、目的端口、应用类型、应用Title和时间等内容；边界访问控制策略，结合已生成的应用台账，将网络流量归属于业务应用，按业务应用的方式梳理，生成当前网络实际边界访问控制策略。

具体实施例1为交换机端口镜像的配置，如下所示为H3C交换机配置端口镜像示例。

配置步骤：

配置方法1、以太网端口视图下配置端口镜像

1)创建端口镜像组

<H3C-7500>system-view

[H3C-7500]mirroring-group 1 local

2)进入镜像目的端口的以太网端口视图

[H3C-7500]interface GigabitEthernet 1/0/2

3)定义当前端口为镜像目的端口

[H3C-7500-GigabitEthernet1/0/2]mirroring-group 1 monitor-port

4)进入镜像源端口的以太网端口视图

[H3C-7500]interface GigabitEthernet 1/0/1

5)配置镜像源端口，同时指定被镜像报文的方向

[H3C-7500-GigabitEthernet1/0/1]mirroring-group 1 mirroring-port both

配置方法2、系统视图下配置端口镜像

1)创建端口镜像组

<H3C-7500>system-view

[H3C-7500]mirroring-group 1 local

2)配置镜像目的端口

[H3C-7500]mirroring-group 1 monitor-port GigabitEthernet 1/0/2

3)配置镜像源端口，同时指定被镜像报文的方向

[H3C-7500]mirroring-group 1 mirroring-porr GigabitEthernet 1/0/1 both

具体实施例2为华为交换机配置端口镜像示例，如下所示为以太网端口视图下配置端口镜像。

1)创建端口镜像组

<SWITCH>system-view

[SWITCH]mirroring-group 1 local

2)进入镜像目的端口的以太网端口视图

[SWITCH]interface GigabitEthernet 1/0/2

3)定义当前端口为镜像目的端口

[SWITCH-GigabitEthernet1/0/2]mirroring-group 1 monitor-port

4)进入镜像源端口的以太网端口视图

[SWITCH]interface GigabitEthernet 1/0/1

5)配置镜像源端口，同时指定被镜像报文的方向

[SWITCH-GigabitEthemet1/0/1]mirroring-group 1 mirroring-port both

配置方法2.系统视图下配置端口镜像

1)创建端口镜像组

<SWITCH>system-view

[SWITCH]mirroring-group 1 local

2)配置镜像目的端口

[SWITCH]mirroring-group 1 monitor-port GigabitEthernet 1/0/2

3)配置镜像源端口，同时指定被镜像报文的方向

如图8所示，业务应用的识别具体为：基于内置的业务识别引擎，对网络流量和网络协议进行深度分析，综合采用协议特征分析、特征匹配、服务端口解析、机器学习等多种技术，能够精准识别网内各类技术架构的业务应用系统。实现动态识别应用系统，简化应用梳理过程，形成动态精准的业务应用系统台帐。

僵尸应用的识别具体为：通过业务应用的识别，发现网内的僵尸应用即长期不使用或很少使用的应用系统。对于网内的僵尸应用建议关闭系统，防止此类安全维护级别较低的应用系统，被攻击者作为跳板，威胁到整个网络的安全。

如图9所示，结合业务应用设置黑名单策略发现风险行为具体为：

1、通过业务应用的识别，实现动态识别应用系统，形成精准的业务应用系统台帐。由于清晰的掌握了每台服务器上应用系统的情况，对于应用系统的重要性、安全防护级别、网络连接、开放端口和应用数据等会有一个比较清晰的认知。方便针对不同的业务应用设置不同的黑名单策略。

2、在应用识别的基础上，通过违规策略设置黑名单策略的方式，发现网络流量风险行为，可对违规运维、非法外联、使用黑名单端口、使用高危端口、使用不安全协议、非法访问数据库、非法访问业务系统、违规使用软件等数十种类型的风险行为进行监测预警。

例如：已知系统为视频应用服务器，可设置网内摄像头、录像机、视频存储类服务器之外的IP地址访问视频应用服务器为风险行为。

例如：已知系统为DNS服务器，可设置访问DNS固定服务器端口之外的行为为风险行为。

例如：已经系统为内网服务器，可设置内网服务器访问外部网络为违规外联行为；外部网络访问内网服务器为非法访问业务应用行为。

3、黑名称策略的设置包括：源IP地址即IP地址范围、源安全域、目的IP地即目的IP地范围、目的安全域、目的端口即多个目的端口、协议、时间、报警级别等。

结合业务应用设置重要资产发现重要资产风险行为具体为：

1、由于已经掌握了全面、清晰的业务应用台账，对于哪些业务应用属于重要应用一清二楚。可设置网内的重要业务应用为重要资产，对其网络访问行为、访问端口、网络流量等进行白模型构建。对超出白模型范围的网络访问行为进行风险行为监测。

例如：通过业务应用识别功能发现网内的邮件服务器。将邮件服务器设置为监控的重要资产。通过智能学习形成邮件服务器的访问关系、访问端口和访问流量的白模型，对超出邮件服务器访问关系、访问端口和访问流量白模型范围的风险行为报警。

2、重要资产的风险属性包括：流量方向的选择包括进出总流量、进方向的流量、出方向的流量等类型、源IP、源端口、目的IP、目的端口、协议、时间等。

如图10所示，结合业务应用梳理边界访问控制策略具体为：

以网内的业务应用模型为基础，结合日常工作中网络建设、管理、运维等操作特征和习惯，依据实实在在的网络现状和网络流量，对网络内跨安全域或者跨网络的网络连接行为进行聚类分析，实现在系统运行过程中完成边界策略的生成工作，同时能够对边界策略进行跟踪校验，发现僵尸策略、过期策略、过宽策略等，保证边界策略真实、精细、准确。

(1)策略生成规则配置：将策略生成规则的配置功能开放给用户，用户可以依据实际需求，按业务应用、安全域和目的IP地址等灵活的设置多种梳理策略，配置各个策略间的优先级，满足复杂多变的策略梳理和生成需求。

(2)边界策略生成：以业务应用、安全域和目的IP地址等为中心，精确无误的梳理出哪些IP、哪些设备、哪些网域对各个业务应用系统、安全域或目的地址进行了访问和连接。将网络流量中针对业务应用的访问关系进行收敛和抽象。

(3)策略有效性校验：边界策略生成后，对所有网络连接行为进行精准解析匹配，符合梳理策略的网络连接“归堆”存放，不符合任何策略的单独列示，从而依据真实访问关系检验梳理策略的有效性。按照设置-检验-优化的步骤，经过多次迭代，直至生成准确无误的边界安全策略。

(4)边界访问控制策略包括：策略名称、源地址、目的地址、目的端口、目的安全域、梳理方式、版本、时间等。

以上所述，仅为本发明较佳的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明披露的技术范围内，根据本发明的技术方案及其发明构思加以等同替换或改变，都应涵盖在本发明的保护范围之内。

Claims (6)

1.一种结合业务应用的网络风险行为分析方法，其特征在于，其包括：

S1：基于业务识别引擎，采用应用自动识别技术识别出各类技术架构的业务应用，所述自动识别技术为对网络流量和网络协议进行分析，综合采用协议特征分析、特征匹配、服务端口解析、机器学习技术，精准识别网内包括B/S类、C/S类、扫描类技术架构的业务应用；

S2：所述应用自动识别技术将所识别出的业务应用集成至业务应用台账；所述业务应用台账包括白名单策略以及业务应用白模型，所述白名单策略包括业务应用与业务应用的特征信息，所述业务应用白模型为业务应用与特征信息的所属关系；

S3：基于端口镜像的流量采集技术采用大数据分析方法对网络流量通过抽取、转换、加载和特征化处理，生成特征化网络流量数据；所述对网络流量数据进行抽取、转换、加载的步骤为：依据http、tcp、udp协议规范解析网络流量数据，运用redis内存数据库进行归一化和格式化转换，运用数据持久化组件将数据存储于大数据中心，加载分析时运用MapReduce技术将待分析数据以<key，value>的格式加载至内存数据库；

S4：将所述特征化网络流量数据和业务应用白模型进行试配，符合业务应用白模型的特征化网络流量数据归属白名单列表，不符合业务应用白模型的特征化网络流量数据归属为可疑行为；

S5：人工干预并判断可疑行为符合业务应用的特征信息时，将所述可疑行为手动提取为白名单策略、补充至业务应用白模型并加入至白名单列表；人工干预并判断可疑行为不符合业务应用的特征信息时，将所述可疑行为归属为风险行为；

S6：根据业务应用台账设置黑名单策略，所述黑名单策略为不符合所述白名单策略及业务应用白模型的风险行为，对于符合黑名单策略的网络流量数据归属为黑名单策略风险行为，所述黑名单策略包括：源IP地址、源安全域、目的IP地址、目的安全域、目的端口、协议、时间、报警级别；

S7：根据业务应用台账设置边界访问控制策略，首先将策略生成规则的配置功能向用户开放，用户依据实际需求，按业务应用、安全域和目的IP地址设置多种策略，配置各个策略间的优先级；其次以业务应用、安全域和目的IP地址为中心，梳理出IP地址、设备、网域对各个业务应用、安全域或目的地址的访问关系，将网络流量中针对业务应用的访问关系进行收敛和抽象并生成用户自定义的边界访问控制策略；对所有网络连接行为进行精准解析匹配，符合边界访问控制策略的网络连接行为进行“归堆”存放，不符合任何边界访问控制策略的网络连接行为单独列示，按照设置-检验-优化的步骤，经过多次迭代，直至生成准确无误的边界访问控制策略；所述边界访问控制策略包括：策略名称、源IP地址、目的IP地址、目的端口、目的安全域、梳理方式、版本、时间。

2.根据权利要求1所述结合业务应用的网络风险行为分析方法，其特征在于，所述业务应用的特征信息包括源IP地址、源端口、目的IP地址、目的端口、时间。

3.根据权利要求1所述结合业务应用的网络风险行为分析方法，其特征在于，业务应用台账中与网络流量数据匹配次数少于一定数量的业务应用被识别为僵尸应用。

4.根据权利要求1所述结合业务应用的网络风险行为分析方法，其特征在于，根据业务应用台账构建重要资产白模型，所述重要资产白模型为人为设定重要资产的业务应用与特征信息的所属关系，对于超出重要资产白模型的网络流量数据归属为重要资产风险行为并进行重要资产风险行为监控，所述重要资产的特征信息包括：流量方向的选择即进出总流量、进方向的流量、出方向的流量类型、源IP地址、源端口、目的IP地址、目的端口、协议、时间。

5.根据权利要求1所述结合业务应用的网络风险行为分析方法，其特征在于，所述协议特征分析方法的步骤包括：

S1：会话连接为http请求时，所识别的业务应用暂定为模型一；

S2：判断所述会话连接是否符合署级应用特征，即包括两个条件：第一个条件为Title包含署级应用特征库里的title特征，第二个条件为url包含署级应用特征库里的url特征；如果满足上述任意一个条件，所识别的业务应用确认为署级应用，结束，否则进入S3：

S3：判断会话连接是否符合模型二，即如果Title包含“系统、平台、模块、网站、项目、海关”字样，则符合模型二特征，进入S4，否则进入S5；

S4：判断会话连接是否符合模型二应用特征，即包括三个条件：第一个条件为Title包含应用底账的应用名称前10个字或整合后应用名称，第二个条件为url与应用底账的应用访问url一致，第三个条件为符合title全中文且后两个字为‘系统’或‘平台’的关键字特征；如果满足第一个条件和第二个条件中的任意一个条件，则确认应用，结束；如果仅满足第三个条件，则确认应用，应用级别为‘未定义’，结束；如果三个条件都不满足，则视为未知应用并且需要人工确认，结束；

S5：判断会话连接是否符合模型三，即包括两个条件：第一个条件为一天内访问源IP地址个数至少有可设置的5个，第二个条件为一天内会话连接数量至少有可设置的100条；如果同时满足两个条件，则符合模型三特征，进入S6，否则视为非应用，结束；

S6：判断会话连接是否符合模型三应用特征，即包括一个条件：url与应用访问url一致；如果满足所述条件则确认应用，结束，否则视为未知应用并且需要人工确定，结束。

6.根据权利要求1所述结合业务应用的网络风险行为分析方法，其特征在于，所述基于端口镜像的流量采集技术的步骤包括：

S1：通过网络设备设置要复制流量的源端口，源端口可为一个或多个；

S2：通过网络设备设置要复制流量的目的端口；

S3：通过网络设备的端口镜像功能，将源端口的流量数据复制到目的端口上；

S4：网络设备的目的端口通过网线连接物联终端的行为分析装置上的镜像端口；

S5：物联终端的行为分析装置上安装抓包程序，通过抓包程序采集镜像端口的数据流量。

Images