[发明专利]一种网络攻击异常检测方法

说明书

本发明公开了一种网络攻击异常检测方法，涉及信息安全技术领域，本发明技术要点：步骤1：在网络流量汇聚节点部署流量数据采集设备；步骤2：从采集到的流量数据中提取网络行为特征值；步骤3：对网络行为特征值进行降维及标准化；步骤4：确定正常的网络行为特征值，基于正常的网络行为特征值的集合建立正常行为模型；步骤5：基于正常行为模型对其他网络行为特征值进行检测，判断是否出现异常网络行为；在进行异常网络行为检测的同时，根据新的正常网络行为特征值对所述正常行为模型进行更新。

技术领域

本发明涉及信息安全技术领域，尤其是一种基于行为特征的网络异常行为检测方法。

背景技术

在互联网迅速普及当中，人们在感受网络所带来的便利的同时，也面临着各种各样的进攻和威胁：机密泄漏、数据丢失、网络滥用、身份冒用、非法入侵等。网络与系统存在的漏洞给攻击者带来了可乘之机，随着计算机技术的不断发展，新的攻击层出不穷，给政府、银行甚至军事系统带来了极大的损失。据最新的一项统计表明，在美国因数据泄露所引发的安全事故平均带来的经济损失达到700多万美元。网络空间安全已上升到国家安全甚至是军事安全层面，最大程度地保护网络和信息系统的安全已成为当今一个非常重要非常迫切的任务。

在网络入侵检测中，行为建模与异常检测是重要的技术手段。异常检测建立系统、用户、网络或应用等正常行为模型，当待检测的行为在一定程度上偏离该模型，则认为存在异常。在网络流量监测中，行为建模与异常检测不仅可以及时发现网络攻击行为，还能探测到非法行为，如超大文件的P2P传送。同时，与误用检测相比，异常检测不仅能检测出已知的网络攻击行为，还能探测到未知的或变种的网络攻击。

在互联网应用中，基于web的应用不断增长。与此同时，与web有关的漏洞也与日俱增。Cenzic公司最新的调查报告显示，在2010年大约50％的网络漏洞来自于Web，73％的网络管理员承认曾经遭受过Web攻击。拒绝服务攻击(Dos)、网络扫描、网络蠕虫等大型攻击给关键系统及整个网络的正常使用带来极大的危害。因此，基于Web的攻击检测变得尤其重要。同时，大数据时代的到来，我们面临的是高速的并且不断进化的海量数据流，如何从海里数据流中找到网络攻击行为的蛛丝马迹也是一个难题。

在异常检测方面，早期的异常检测主要是通过监听系统日志，如CPU使用率、用户连接时间、访问的文件等，来实现对系统和用户行为的建模。Schonlau等人使用用户的命令序列来检测内部的伪装攻击行为并发布了他们的数据。近10年来很多异常检测方法都已用于该命令序列数据，如Oka等人使用EigenCo-Occurrence Matrix(ECM)检测内部攻击。中科院翟起滨教授带领的团队里面Markov模型进行异常行为检测。北京邮电大学的王伟教授带领的团队基于命令序列数据成果应用了非负矩阵分解、主成分分析等方法来检测攻击，并取得了较好的检测效果。同时，对网络行为建模以检测网络异常也得到了广泛的应用。Heberlein等人第一次直接将网络数据包作为信息源检测入侵。Lee等人从DARPA提供的网络数据中提取了41个特征并建立网络入侵检测模型，这些特征集被发布为KDD’1999CUP数据，并一度成为了网络入侵检测的研究中应用最广的标准数据集之一。国内中科院李洋等人使用基于直推信度机的最近邻方法在KDD’1999数据上进行网络入侵检测。南京邮电大学的徐冲等人集成改进的BP神经网络算法和支持向量机并将其应用于KDD’1999网络数据以检测入侵。

在对Web攻击检测方面，2003年Kruegel等人首次使用HTTP数据流来检测基于Web的攻击。他们通过分析客户端的查询及其参数，使用6种不同的统计方法来检测潜在的异常或攻击行为。Ingham等人收集了一些HTTP攻击，并基于Kruegel工作的基础上比较了几种Web攻击检测方法。Song等人基于n-gram方法，利用混合Markov模型来识别Web攻击。