[发明专利]具有隐私保护功能的分布式异常流量检测方法与系统

说明书

技术领域

本发明涉及信息安全领域，尤其涉及一种具有隐私保护功能的分布式异常流量检测方法与系统。

背景技术

 分布式异常流量攻击，是指一种基于分布式流量攻击（如分布式拒绝服务、扫描等）的大规模协作攻击方式。它借助于客户/服务器、点到点技术等，将多台僵尸机整合成一个受控的大规模僵尸网络，利用该僵尸网络作为攻击平台，实现对一个或多个目标的异常流量攻击。通常可以将分布式异常流量攻击分为两部分：攻击者与受控端。攻击者通过某种方式进入僵尸网络中，向受控端发送攻击命令，并控制整个攻击过程。受控端，即僵尸机，当一台正常的计算机被攻击者控制后即成为僵尸机并加入到僵尸网络中，僵尸机会定期或不定期与攻击者联系并获取攻击者的攻击指令，对指定的目标发起异常流量攻击。

目前针对异常流量的检测技术可以分为基于特征码的异常检测技术和基于数值的异常检测技术两大类。

基于特征码的网络异常流量检测技术的实现过程是：捕获网络数据包通过分析应用层、传输层或网络层的网络流量特征，与已知的网络异常流量特征库的特征码进行比对，如果比对成功则说明网络流量中存在异常，否则为正常网络流量；基于特征码的网络异常流量检测技术的具体实现可以采用检测应用层、传输层或网络层单个的网络流量检测，也可以采用跨层检测，即检测应用层、传输层和网络层的组合网络流量特征进行检测。采用基于特征码的异常流量检测技术的好处是误报率小，缺点是不具备检测新的未知异常流量攻击的能力，仅当其特征库中事先保存有危险网络数据流特征码的情况下才能检测到已知的异常攻击事件。

基于数值的异常检测技术将网络行为分为正常网络行为和异常网络行为两类，首先通过建立正常行为模型，然后将提取到的网络行为特征也与已建立的正常行为模型进行比对。比对的结果如果超过一个事先给定的阈值，则检测到异常网络流量，否则说明网络数据量为正常网络流量。常见的基于数值的异常检测方法主要包括：基于统计异常检测法、基于机器学习的异常检测方法、基于数据挖掘的异常检测法和基于神经网络的异常检测法等。异常检测方法的正常行为模型的建立需要获取网络行为特征，然后在采用相应的方法进行建立，如统计模型中常用的测量测度包括审计事件的数量、间隔时间、资源消耗等。

针对分布式异常流量攻击，传统的基于数值的异常检测技术主要存在检测能力差的缺点。网络异常流量攻击主要由攻击者通过控制大规模的受控端（僵尸机）发起，由于互联网自身的无国界特性，使得受控端的分布非常广泛，如不同的网络运营商，甚至于不同的国家。而目前检测网络异常流量通常采用各自为政的方式，即各单位单独建设自己的网络流量异常检测系统，无法应对当前的网络异常流量攻击的大范围性和大规模性，直接的结果是目前互联网上的异常流量攻击大量存在。因此，迫切需要一种有针对性的能够大范围，大规模实现信息收集和异常检测的方法。

为实现对大规模分布式异常流量攻击的检测，最有效的方法是各单位协作应对异常流量攻击。通过搜集各个单位主机的网络行为信息，可实现对大范围内异常网络流量的检测。传统的信息收集方法以直接共享网络行为信息为基础，将原始数据暴露于各个主机之间。随着分布式系统规模的增大，会涉及到大量不同地域、不同单位的主机。而现实中不同单位并不愿意将自己被攻击的信息如攻击时间、攻击次数、攻击源IP、目标IP，以及系统崩溃时间之类的敏感信息共享出来。因此，若没有对网络数据流隐私的有效保护，就鲜有参与方愿意加入，这样大范围、大规模的异常流量攻击检测就难以在现实中有效的得到实现。

发明内容

针对现有技术的不足，本发明的第一目的是提供一种具有隐私保护功能的分布式异常流量检测方法。针对现有技术的不足，本发明的另一目的是提供一种具有隐私保护功能的分布式异常流量检测系统。

本发明的第一目的是通过以下技术方案实现的：

一种具有隐私保护功能的分布式异常流量检测方法，包括以下步骤：

S1，参与方处理步骤：参与方发现网络异常流量攻击可疑事件，对包含该可疑事件信息的原始报文进行初次加密，得到初次加密报文，将该初次加密报文发送到代理方；

S2，代理方加密步骤：代理方对初次加密报文进行再次加密，将再次加密报文发送到异常流量分析与发布中心；

S3，异常检测步骤：异常流量分析与发布中心对再次加密报文进行解密，利用得到的初次加密报文，根据预设的全局异常流量检测模型进行检测，判断是否为一次异常流量攻击事件，若是则将初次加密报文中的需解密部分发回代理方，要求代理方解密；