[发明专利]基于滑动窗口群的网络异常流量检测方法及装置

说明书

本发明涉及一种基于滑动窗口群的网络异常流量检测方法及装置，采集检测时间段Tsubgt;Z/subgt;内的网络流量数据，将所述网络流量数据按照时序切割成多个数据单元，所述每个数据单元与1个基本时间窗口相对应，各个基本时间窗口的时间长度Tsubgt;0/subgt;相同；将基本时间窗口划分成多个类型，数据单元相应划分为多个类型；计算每个所述数据单元的网络流量特征值；设置多个滑动时间窗口；针对检测时间段Tsubgt;Z/subgt;内的网络流量数据，将所述多个滑动时间窗口同步按时序进行滑动；计算各滑动窗口内网络流量特征值，进行网络异常流量检测。本发明能够有效检测时空分布碎片化的异常网络流量。

技术领域

本发明涉及一种基于滑动窗口群的网络异常流量检测方法及装置。

背景技术

在现有的安全防护体系中，主要包括防火墙系统、防病毒系统、入侵检测系统和安全审计系统等。这些系统构建了较好的安全基础，但是，这样的安全防御体系只是构建了基础的安全架构，实现了被动的攻击响应，并不能应对高级持续性威胁(APT,AdvancedPersist Threat)，整个网络信息系统检测攻击、响应攻击的能力存在不足。APT攻击是一种高级的持续性的威胁攻击，也称为定向威胁攻击，它是由某些组织对特定对象展开的持续有效的攻击活动。这种攻击活动具有极强的隐蔽性和针对性，时间跨度非常大，通过受感染的移动介质、供应链和社会工程学等多种手段实施先进的、持久的、隐蔽的威胁和攻击。

当攻击者成功进入目标系统后，通常采取隐藏策略进入休眠状态，待时机成熟时，才利用时间间隙与外部服务器进行信息交互。这种交互具有碎片化的特点，交互信息在较大的时空范围内展开，从而使得基于单点时间或短时间窗口的实时检测技术，以及基于网络会话的检测技术均难以成功检测出APT攻击。

APT攻击的主要目的包括两个方面，一是获取高价值机密信息，另一方面是占用或破坏目标资产。由于攻击目标的高度敏感性，APT攻击不同于一般的病毒和木马攻击，其攻击过程通常包括以下七个步骤：定向情报收集、攻击载荷部署、渗透入侵、命令与控制信道建立与通信、横向移动、数据回传和撤出。

通过分析APT攻击的目标和过程，可以看到APT攻击具有以下特点：

高危性：APT攻击主要针对高价值的资产，或者高敏感性的资产，涉及政府、企业等核心关键组织，以及金融、能源、军工等国计民生的重要领域。

隐蔽性：攻击者利用社会工程学、系统漏洞等高级技术手段对目标资产发起攻击，能够逃避安全防护系统的检测，以隐蔽方式侵入目标资产。

持续性：攻击者渗透进入目标资产后，通过安插后门、植入代码等技术手段驻留在目标资产中，从而达到长期控制目标资产的目的。

扩散性：攻击者在目标资产中长期潜伏，能够不断寻找时机，逐步扩大攻击和渗透范围，对目标资产形成广泛而深入的威胁。

与本发明最相关的现有技术是发明名称为“一种网络流量异常检测方法及系统”专利(申请号：CN201010619810.7)，该专利设计了一个单一的滑动窗口，并统计窗口内的比特速率和流速率，根据比特速率和流速率的统计值建立流量模型。进行检测时，将窗口在网络流量数据上按时间方向滑动，当检测到窗口内的比特速率或流速率异常时，确定异常网络流量。

为了达到隐蔽攻击的目的，APT攻击行为会在数月甚至数年内展开，使得攻击行为在时间上碎片化；另外，当实施具体的攻击步骤时，也会尽量在不同的终端或服务器上进行，以期在空间上将攻击行为碎片化。因此，需要发明新的网络攻击检测手段，以应对APT等定向网络攻击行为时空碎片化所带来的挑战。分析APT的攻击过程可以发现，在攻击的渗透入侵阶段、命令与控制信道建立与通信阶段、横向移动阶段和数据回传等阶段，主要依靠计算机网络完成信息交互、数据分发与汇聚等操作。