[发明专利]网络外向流量分类方法、特征矩阵设计及监测方法和系统

说明书

技术领域

本发明涉及计算机网络技术领域，特别是一种网络外向流量分类及特征提取方法。 

背景技术

为了让一般技术人员更好的理解本发明，下面对本领域的一些公知技术进行简单介绍： 

计算机网络：通过标准化的或者业界通用的方式，将计算机通过网络线联在一起，使彼此可以相互传输数据；目前最常见的是采用TCP/IP传输协议的计算机网络；计算网络分为面向机构内部的私有网络（或企业专网），和面向所有人的公共网络，二者之间通常是由机构部署的防火墙设备来隔离，这种隔离是逻辑上的隔离，物理上网络还是联通的。 

公共互联网：公共互联网是指对大量外部用户（人或机器）的访问不加特别限制的网络，比如面向公众的网站。 

网络安全：因为某些信息是要在被控制的条件下向部分用户开放，这些信息的价值依赖于其真实性，因此多种技术手段被发明以便确保控制信息的传播、谁能访问那些信息、信息不被未授权的人获取、信息未被篡改等等；这些手段统一被称为网络安全技术。 

网络监控：因为网络安全技术并非万能和牢不可破，在使用过程中需要不断地观察，以便确认其使用方式正确，使用效果被达到；这种观察是通过网络监控来实现的，通常是对经过某一个或多个网络结点的网络流量进行分析，来得到相关结论。因此网络监控是发现各种问题和异常的有效手段。 

网络流量特征：几乎所有网络监控技术都要从大量的流量数据中识别出哪些属于异常的，哪些属于可疑的并需要进一步分析的。这种识别往往是基于某种对正常和非正常流量的判别准则。这些判别准则通常是基于对流量特征的捕捉，这种特征分为正常流量的特征和异常流量的特征。因此流量特征的准确性极大地影响了识别的准确性。 

现有的技术用到网络流量的各种特征，主要包括：网络病毒特征(Virus Signature)：早期的网络病毒具有自我复制和传播的功能，因此具有比较明显的特征，这些特征成为了防病毒厂商制作防病毒工具的主要依据。任何防病毒产品都需要不断地更新其病毒特征库，否则它就无法及时发现最新的病毒。网络外部攻击特征(External Attack Pattern)：当一个系统受到来自于公共互联网的攻击时，其攻击是有其特征的，比如，经常会采用常用的攻击方式的组合：扫描开放的端口，采用字典式攻击猜测密码等。网络内部攻击特征(Internal Attack Pattern)：因为内部用户对系统的了解往往更多、更详细，其攻击方式通常更有针对性，因此也有其特征。使用模式(Usage Pattern)：除了攻击行为以外，正常的用户使用也有其特征。 比如，常去访问的站点，访问的时间，下载的流量，连接的时长，以及常去的娱乐网站，购物网站等等。 

随着信息化的普及，越来越多的单位由于缺乏经费和专业的信息安全人才，导致其网络成为信息安全的薄弱环节，甚至是安全事件的重灾区。常年被黑客用各种自动化的攻击方式侵扰，而在被攻击甚至被攻陷后他们往往并不知道，使其被攻陷的系统成为黑客进行其它进一步攻击的跳板，或者是肉机网络(botnet)的一部分。 

现有技术的主要缺点是无法及时地发现隐性攻击及其后果。由于近年来网络攻击的方式已经从明显的、破坏性的攻击转向隐藏的、偷盗性的攻击。基于病毒特征的防病毒技术对外部隐藏式攻击的防范效果越来越差，大量被攻击甚至被攻陷的系统其实没有明显的迹象。现有的技术多是分析从外部到内部的流量，以发现攻击行为。如果没有被发现的攻击已经进入了网络内部，则从进入的流量很难再发现已经成功的攻击的迹象了。 

发明内容

本发明的目的是提供一种网络外向流量分类方法，能有利于网络外向流量特征的提取。 

本发明采用以下方案实现：一种网络外向流量分类方法，其特征在于：根据外向流量的源头类型、外向流量传输的对象类型、应用类别、角色和业务相关性这五个要素将流量进行分类；并按照以下方式分为四类： 

第一类：外向流量的源头为系统、流量对象为系统、应用为B2B、源头角色为客户端、；业务相关性为相关； 

第二类：外向流量的源头为系统、流量对象为系统、应用为B2B、源头角色为服务器、；业务相关性为相关； 

第三类：外向流量的源头为系统、流量对象为用户、应用为B2C；源头角色为服务器、；业务相关性为相关； 

第四类：外向流量的源头为用户；外向流量传输的对象为系统、应用为B2C、源头角色为客户端、业务相关性为相关；