[发明专利]基于主机网络行为的异常检测方法和装置

说明书

本发明公开了一种基于主机网络行为的异常检测方法和装置。其中，该方法包括：根据历史异常网络行为，采集至少一个主机中每个主机的网络行为数据；对网络行为数据进行多维度分析，得到每个主机在至少一个维度中各维度上的维度数据；确定维度数据中的异常维度数据；针对每个主机，将异常维度数据与预定义规则进行匹配，确定是否发生异常网络行为，并在确定发生异常网络行为的情况下，确定异常维度数据对应的异常网络行为，其中，预定义规则用于根据异常维度数据确定是否发生异常网络行为以及在确定发生异常网络行为的情况下，确定异常维度数据对应的异常网络行为。本发明解决了现有技术中一些异常无法通过单会话/连接检测的技术问题。

技术领域

本发明涉及互联网领域，具体而言，涉及一种基于主机网络行为的异常检测方法和装置。

背景技术

在企业或校园网络中，通常会有比较明显的边界。防火墙/UTM通常会作为边界防护设备，连通内网和外网(广域网)，同时也保护内网中的主机和服务器，阻止外部到内部的非法访问和攻击，同时也对内网中的主机和服务器进行适当的隔离，以及防止内部主机对服务器进行非法访问。图1为现有技术中的网络拓扑结构图，具体的，可以表示比较典型的企业或者高校的网络，如图1所示，其中Internet表示外网，LAN1表示内部网络1，10.100.31.0/24表示内部网络1的地址，LAN2表示内部网络2，10.100.32.0/24表示内部网络2的地址，DMZ表示服务器网络，10.100.1.0/24表示服务器网络的地址，服务器网络可以用来部署各种企业内的服务，可以被内部主机访问，也可能被来自Internet的主机访问；Firewall表示防火墙，用来将各个内部网络和外部网络连接起来，阻止外部到内部网络的非法访问，以及根据需求限制内部网络之间的访问。

在如图1所示的典型网络中，防火墙一方面作为Internet的接入点，一方面承担着不同网络(区域)的隔离作用，保护着内部主机和服务器。现有技术中防火墙为了实现对内网主机和服务器的保护，利用多样化的技术来针对不同的安全问题提供解决方案，比较常用的第一个方案为基于IP报文三、四层的包过滤方式实现对内网主机和服务器的保护，OSI网络模型中将整个网络分为七层，分别是物理层、链路层、网络层、传输层、会话层、展示层、应用层。目前的Internet是一种基于IP网络的实现，也即网络层为IP网络；对于传输层，常用的协议包括TCP、UDP、ICMP等，而TCP、UDP为目前网络应用中绝大部分应用所使用的协议。例如最常用的Web服务、邮件服务、FTP服务都是基于TCP协议，大量的移动应用也是基于TCP协议；TFTP、DNS以及一些及时通讯软件会使用UDP协议。所以通过对IP地址和TCP/UDP端口进行过滤，就可以解决许多的服务的访问控制问题，这也是防火墙最基本的策略功能。对于图1，例如想允许LAN1访问DMZ网络的Web服务(Web服务使用TCP 80端口)，但是禁止LAN1访问DMZ的SMTP服务(SMTP服务使用TCP 25端口)，可以通过类似如下表的策略来进行：