CN117395070A

CN117395070A - 一种基于流量特征的异常流量检测方法

Info

Publication number: CN117395070A
Application number: CN202311530543.XA
Authority: CN
Inventors: 周波; 王勇; 王宏韬; 韩凯飞; 陈新兴
Original assignee: National Computer Network and Information Security Management Center
Current assignee: National Computer Network and Information Security Management Center
Priority date: 2023-11-16
Filing date: 2023-11-16
Publication date: 2024-01-12
Anticipated expiration: 2043-11-16
Also published as: CN117395070B

Abstract

本发明涉及异常流量检测技术领域，公开了一种基于流量特征的异常流量检测方法，首先统计业务服务器单位时间内的业务流量大小，具体包括比特每秒bps和包每秒pps，将业务流量进行流量特征解析，并生成对应的流量特征日志；再对所有业务流量的流量特征进行统计，按照一个固定的时间范围统计维度为源IP和目的IP，统计后使用pattern‑defeating quicksort算法对源IP和目的IP进行排序并取TopK；将流量特征日志与对应的TopK的源IP和目的IP进行关联，将关联的结果生成结果日志；通过移动平均算法或指数加权移动平均算法，使用单位时间内的流量大小数据生成对应的基线。本发明提供更全面的网络安全分析，有助于识别复杂的威胁和攻击，准确性高、可伸缩性大。

Description

一种基于流量特征的异常流量检测方法

技术领域

本发明涉及异常流量检测技术领域，具体为一种基于流量特征的异常流量检测方法。

背景技术

随着互联网的不断发展以及商业活动的蓬勃发展，网络和业务领域也在迅速演化，网络安全领域也正经历着不断演变和挑战，与日俱增的数字化依赖带来了新的威胁和挑战。随着业务系统的流量不断增加，面临网络攻击的风险增大，造成业务系统崩溃、宕机的可能性加大。

现有的对异常流量进行检测的技术包括基于规则的检测：规则引擎使用预定义规则和模式匹配来识别异常流量。这些规则可以捕获已知的攻击特征，例如SQL注入、跨站点脚本(XSS)等。

深度包检测：这种方法分析数据包中的内容，以查找潜在的攻击模式。它通常用于检测应用层攻击，如应用层防火墙。

机器学习：机器学习技术使用历史数据来训练模型，然后根据这些模型来识别异常流量。这可以包括监督学习、无监督学习和深度学习方法。

1.基于规则的检测的缺点：

有限的适用性：深度包基于规则的检测通常侧重于特定的攻击模式或协议规则。这意味着它可能无法有效地应对新兴的威胁或未知的攻击模式。

高误报率：由于规则是基于静态的特征和签名定义的，因此可能会导致高误报率。正常的网络流量变化或新的协议特征可能被错误地标记为异常。

维护成本高：保持规则库的最新状态需要不断的维护工作。每当出现新的攻击或协议变化时，规则必须相应地进行更新。这需要专业知识和时间。

规避攻击：攻击者可以学习和分析深度包基于规则的检测规则，并采取措施规避这些规则，以确保其攻击不被检测到。

性能开销：深度包基于规则的检测需要在每个数据包上执行多个规则的匹配，这可能会对网络性能产生一定的开销，特别是在高流量网络中。

复杂性：维护和管理大规模规则库的复杂性会随着规则数量的增加而增加，这可能会导致管理困难。

局限性：基于规则的检测通常是一种静态方法，无法适应动态网络环境和演化的威胁。它难以适应变化频繁的攻击模式

2.基于深度包检测的缺点：

计算密集性：深度包检测需要分析每个数据包的内容，这对网络流量生成大量的计算需求。这可能需要大量的计算资源，尤其在高流量网络中。

延迟：由于深度包检测涉及分析数据包中的内容，可能会引入一定的延迟。这在需要低延迟的应用中可能不太适用，如实时音视频传输。

隐私问题：深度包检测可以涉及访问和分析通信内容，这引发了一些隐私和法律问题。对用户通信内容的分析可能需要合规性措施。

加密通信问题：对于加密通信，如使用TLS/SSL加密的数据包，深度包检测通常无法解密或分析通信内容。这可能限制了其能力来检测潜在的威胁。

特定协议依赖性：深度包检测通常依赖于深入了解协议规范，以识别异常。如果存在新的或不常见的协议，检测可能会受到限制。

攻击者逃避技术：攻击者可以采取各种技术来规避深度包检测，包括伪装、数据包分段和混淆等方法。

3.基于机器学习检测的缺点：

数据不平衡问题：网络中的异常流量通常比正常流量稀有，这导致了类别不平衡的问题。机器学习算法在面对不平衡数据时可能倾向于将大多数样本归类为正常，从而降低了异常检测的效力。

误报率高：机器学习模型在检测异常时可能会产生误报，即错误地将正常流量标记为异常。这可能导致安全团队需要投入时间和资源来验证警报，增加了负担。

概念漂移：网络环境和攻击者的策略不断变化，这可能导致模型失效。机器学习模型通常需要不断更新以适应新的威胁。

需要大量数据：机器学习模型通常需要大量的训练数据来建立准确的模型。在某些情况下，这可能需要收集并存储大量的流量数据，需要大量的存储和计算资源。

复杂性：机器学习模型通常较复杂，需要专业知识来训练和调优。这可能对网络安全团队提出了额外的技能和资源需求。

解释性：某些机器学习模型的工作原理较为复杂，难以理解和解释。这可能导致难以确定为什么某个流量被标记为异常。

针对上述问题，所以需要一种基于流量特征的异常流量检测方法。

发明内容

本发明的目的在于提供一种基于流量特征的异常流量检测方法。本发明根据流量特征识别的方法适应性强，不依赖于特定规则或已知攻击签名，而是根据实际流量的特征进行分析，因此具有更高的适应性。它可以检测未知的威胁和新型攻击模式。占用计算资源少、实时性高，特征流量提取和分析可以在实时流量中进行，使其适用于实时威胁检测和迅速采取行动以应对潜在威胁的情况。通过分析多种特征，如源/目标IP地址、端口、协议、数据包大小等，可以提供更全面的网络安全分析，有助于识别复杂的威胁和攻击，准确性高、可伸缩性大。

本发明是这样实现的：

本发明提供一种基于流量特征的异常流量检测方法，具体按以下步骤执行：

S₁:首先统计业务服务器单位时间内的业务流量大小，具体包括比特每秒bps和包每秒pps，将业务流量进行流量特征解析，并生成对应的流量特征日志；具体包括每个流量包的源IP、目的IP、源端口、目的端口、传输层协议类型、应用层协议类型。

S₂:对所有业务流量的流量特征进行统计，按照一个固定的时间范围统计维度为源IP和目的IP，统计后使用pattern-defeating quicksort算法对源IP和目的IP进行排序并取TopK；

S₃:将流量特征日志与对应的TopK的源IP和目的IP进行关联，将关联的结果生成结果日志；

S₄:通过移动平均算法或指数加权移动平均算法，使用单位时间内的流量大小数据生成对应的基线；移动平均算法或指数加权移动平均算法计算出的Y为对应时间点下的基线，具体步骤如下；

S_4.1:如式(1)；

其中，t为参照的历史数据的数据集的时间范围，X为在单位时间t按照相同的时间点将数据对齐得到对应的数据集，x1,x2...xn为数据集X同一时间下对应的时间序列的值；m为对齐后每个数据集的大小；

S_4.2:将数据集X中的数据通过式(2)得到的Vt则为对应时间点下的基线；

V_t＝βV_t-1+(1-β)θ_t 式(2)

其中θt为某一时刻真实值，Vt为某一时刻指数移动平均值，Vt-1为上一时刻指数移动平均值，根据经验确定权重因子β。

S₅:根据经验选择简单移动平均算法或指数加权移动平均算法计算出基线数据后，定义阈值范围的下限为a％，上限为b％，根据生成的基线计算具体异常值的范围；设定正常值下限为x*(1-a％)，上限为x*(1+b％)，即实时数据y满足x*(1-a％)<y<x*(1+b％)，实时业务流量数据曲线通过与基线和阈值范围计算后的值进行对比，当在实时的值在阈值区间外则判断流量指标出现异常。

S₆:当流量指标出现异常时，查询对应时间段的结果日志，将在对应时间段内TopK的源IP、目的IP的分布方式和通联关系和通过上述算法生成的源IP、目的IP的分布方式和通联关系的基线比较，判断是否为异常流量。

进一步，统计单位时间内的业务流量大小包括各业务服务器中网卡的业务流量，具体通过数据捕获模块完成，步骤S₂通过特征解析模块进行流量包的解析，步骤S₃-S₅通过分析关联模块进行，步骤S₆通过异常判别模块进行异常流量判别，通过对结果日志的分析判断是否属于异常流量。

进一步，本发明提供一种计算机可读存储介质，存储介质存储有计算机程序，所述计算机程序被主控制器执行时实现如上述中的任一项所述的方法。

与现有技术相比，本发明的有益效果是：

1、根据流量特征识别的方法适应性强，不依赖于特定规则或已知攻击签名，而是根据实际流量的特征进行分析，因此具有更高的适应性。它可以检测未知的威胁和新型攻击模式。占用计算资源少、实时性高，特征流量提取和分析可以在实时流量中进行，使其适用于实时威胁检测和迅速采取行动以应对潜在威胁的情况。通过分析多种特征，如源/目标IP地址、端口、协议、数据包大小等，可以提供更全面的网络安全分析，有助于识别复杂的威胁和攻击，准确性高、可伸缩性大。

附图说明

为了更清楚地说明本发明实施方式的技术方案，下面将对实施方式中所需要使用的附图作简单地介绍，理解，以下附图仅示出了本发明的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还根据这些附图获得其他相关的附图。

图1是本发明的整体方法流程图；

图2是本发明的系统模块图。

具体实施方式

为使本发明实施方式的目的、技术方案和优点更加清楚，下面将结合本发明实施方式中的附图，对本发明实施方式中的技术方案进行清楚、完整地描述，显然，所描述的实施方式是本发明一部分实施方式，而不是全部的实施方式。基于本发明中的实施方式，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施方式，都属于本发明保护的范围。因此，以下对在附图中提供的本发明的实施方式的详细描述并非旨在限制要求保护的本发明的范围，而是仅仅表示本发明的选定实施方式。基于本发明中的实施方式，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施方式，都属于本发明保护的范围。

请参阅图1-2，一种基于流量特征的异常流量检测方法，具体按以下步骤执行：

具体按以下步骤执行：

S₄:通过移动平均算法或指数加权移动平均算法，使用单位时间内的流量大小数据生成对应的基线；移动平均算法或指数加权移动平均算法计算出的Y为对应时间点下的基线具体步骤如下；

S_4.1:如式(1)；

V_t＝βV_t-1+(1-β)θ_t 式(2)

本实施例中，统计单位时间内的业务流量大小包括各业务服务器中网卡的业务流量，具体通过数据捕获模块完成，步骤S₂通过特征解析模块进行流量包的解析，步骤S₃-S₅通过分析关联模块进行，步骤S₆通过异常判别模块进行异常流量判别，通过对结果日志的分析判断是否属于异常流量。

本实施例中，本发明提供一种计算机可读存储介质，存储介质存储有计算机程序，所述计算机程序被主控制器执行时实现如上述中的任一项所述的方法。

以上所述仅为本发明的优选实施方式而已，并不用于限制本发明，对于本领域的技术人员来说，本发明有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims

1.一种基于流量特征的异常流量检测方法，其特征在于：具体按以下步骤执行：

S₁:首先统计业务服务器单位时间内的业务流量大小，具体包括比特每秒bps和包每秒pps，将业务流量进行流量特征解析，并生成对应的流量特征日志；

S₄:通过移动平均算法或指数加权移动平均算法，使用单位时间内的流量大小数据生成对应的基线；

S₅:根据经验选择简单移动平均算法或指数加权移动平均算法计算出基线数据后，定义阈值范围的下限为a％，上限为b％，根据生成的基线计算具体异常值的范围；

2.根据权利要求1所述的一种基于流量特征的异常流量检测方法，其特征在于，在步骤S₁中，将业务流量进行流量特征解析具体解析出每个流量包的源IP、目的IP、源端口、目的端口、传输层协议类型、应用层协议类型。

3.根据权利要求1所述的一种基于流量特征的异常流量检测方法，其特征在于：在步骤S₄中，移动平均算法或指数加权移动平均算法计算出的Y为对应时间点下的基线具体步骤如下；

S_4.1:如式(1)；

V_t＝βV_t-1+(1-β)θ_t 式(2)

4.根据权利要求1所述的一种基于流量特征的异常流量检测方法，其特征在于，在步骤S₅中，设定正常值下限为x*(1-a％)，上限为x*(1+b％)，即实时数据y满足x*(1-a％)<y<x*(1+b％)，实时业务流量数据曲线通过与基线和阈值范围计算后的值进行对比，当在实时的值在阈值区间外则判断流量指标出现异常。

5.根据权利要求1所述的一种基于流量特征的异常流量检测方法，其特征在于，在步骤S₁中，统计单位时间内的业务流量大小包括各业务服务器中网卡的业务流量，具体通过数据捕获模块完成，步骤S₂通过特征解析模块进行流量包的解析，步骤S₃-S₅通过分析关联模块进行，步骤S₆通过异常判别模块进行异常流量判别，通过对结果日志的分析判断是否属于异常流量。

6.一种计算机可读存储介质，存储介质存储有计算机程序，其特征在于，所述计算机程序被主控制器执行时实现如上述权利要求1-5中的任一项所述的方法。