专利名称:一种基于nba的网络安全评估方法
技术领域:
本发明涉及网络安全领域;特别涉及针对网络异常和网络攻击的网络安全评估领 域;具体是指一种基于网络行为分析(NBA)的网络安全评估方法。
背景技术:
安全问题始终是互联网技术领域最受关注的问题之一。一个高效、可靠、稳定、安 全的网络环境是网络应用的根本保障,但随着Internet的发展,网络规模不断扩大,应用 领域不断扩展,由此而产生了各种安全问题和威胁。这些威胁不仅是来自于外部网络,如 Internet上各种可疑代码的入侵,很大一部分是来自于网络内部,如应用系统错误,网络内 部用户的误操作或者非法访问等。在应对网络威胁时,传统的入侵检测系统(IDS)通常只 针对外部网络,预防攻击时需要首先掌握攻击的特征,并需要持续的数据库维护和更新,不 能很好地适应高速网络,另外在预警方面误报率也偏高。这些安全问题给网络监控与分析 带来了挑战。网络监测和管理不仅要能够预防外部攻击,同时也应该能够主动找出网络内部的 异常,并且要能够快速发现攻击,并采取相应的安全措施。已有的研究工作主要集中在入侵 检测领域。传统的入侵防御系统解决方案通过串联通讯检测、特征检测和实时封锁等手段 保护你的网络环境。网络行为分析(NBA,Network Behavior Analysis)也称作网络行为 异常探测,是一种比较新的产品领域,利用被动观察和描述找出通讯高峰、不正常的应用和 违反政策的行为。网络行为分析解决方案观察你的网络内部发生了什么事情,把来自许多 点的流动数据结合在一起支持在线行为分析、关系描述、异常身份识别和人类辅助的“软接 触”补救措施。在应对网络攻击和威胁方面,NBA主要应用两种形式的分析行为(Behavior)方 式和策略(Policy)方式。基于行为的分析主要指当网络中某个系统、应用或用户的行为和 通常的情况不一致时,NBA系统辨别该未知行为是否是操作相关的威胁并登记该威胁。而 基于策略的分析则是检验网络中系统、应用或用户的当前行为是否符合相关策略,如访问 策略、使用策略或应用系统策略等。NBA系统可用来辨别出应用系统、用户或其他网络攻击 产生的问题,并可以进一步采取相应的对策。
发明内容
本发明提出了一种基于网络行为分析(NBA)的网络安全评估方法,该方法包括一 个基于流的网络行为分析模型,该模型将网络中的一个连接或独立的包看成一个流,通过 记录流经网络的所有流的属性来分析网络中每个主机的网络行为特征参数,并计算每个主 机的网络行为特征参数允许的最大阀值,从而可以构建整个网络的行为特征数据库。当网 络中某个主机的特征参数的值超出其最大阀值时,则可以判断网络出现了异常。基于流的网络行为分析模型原理如下网络监控的最小对象是流经网络的报文。这些报文有些是单独的UDP或ICMP包,有些则是属于某个连接(Connection)的TCP包。以太网中数据或文件正是基于这些TCP 连接或UDP包,如FTP服务。我们将任意两台主机之间的一次连接或一个UDP/ICMP包看作 一个流(Flow)。一个流用一维向量X = (X1, X2, ... , xp)进行表示,其中Xi (1彡i彡P)代表 流的不同属性,如传输开始时间、传输结束时间、源/目的IP、源/目的MAC、传输的总 字节数、平均传输速度、传输协议等。整个网络的行为可以看作是一系列的流的汇总,用
表示。对于任意一个主机,只要网络中的所有应用处于正常状态,用户的使用频率趋于 稳定,其网络状况在一定时期内遵循一定的模式。这反映在针对该主机的某些特征参数保 持相对稳定。网络行为分析的关键是找出能够区别网络正常行为和异常行为的特征。每个 主机的网络正常行为由一个对应的行为特征库表示,它包含一系列的特征参数。对每一项 特征参数,由Xi* Φ 1两个值进行表示,其中Xi是其标准参考值,Cj5i是一个阀值,当某个 特征参数的当前值超过其对应的阀值时,则可认为网络出现了异常。因此一个主机的行为特征库用两个向量A = U1, λ2, ... , λ 和Φ = (Cji1, φ2,...,φ,)进行表示,q是特征参数的数量。整个网络的特征库则表示为两个η维向量 矩阵(A1, A2,...,人乂和(Φπ Φ2,..·,Φη)τ,其中η表示主机的数量。网络监控从分析报文开始,识别出每个流,并获取流的相关属性,再通过进一步机 器学习算法和统计分析算法计算各项特征参数,并与特征库基准值进行比较,从而实现对 网络异常的监控。当网络异常发生时,网络行为会随之改变,相关特征参数也会发生变化。 对于单位时间内流经该主机的所有流,我们通过分析统计分别得出每个特征参数的当前值 (λ' λ‘ 2,...,λ',),若其中某一项特征参数λ‘ 1超过预先为该参数设定的阀值 Φ ,则表示网络可能出现了异常。如端口频繁的非法扫描可能导致流数量概率密度分布的 变化,非法访问某些资源或服务可能导致某个协议类型流量分布明显增加。构建网络行为特征库的原理如下本发明提出的特征库构建方法是基于概率统计学。对某一个特征参数λ ρ设样本 空间为Uil Xi2... Xik),则Xi为所有样本的期望,
,其中Pik 为Xik的概率,而Φ 表示参数Xi允许出现的最大波动幅度,通常由c^zmaxUik)获得, 但在初始化参数过程中,由于样本空间中可能有极少数样本为不规律异常的情况,因此,可 通过计算Xi在置信度为99. 9% (可根据情况调节)情况下允许出现的最大幅度。对网络进行监测的前提是首先构建整个网络的特征库,即初始化所有的λ i和 Φ 0构建一个网络行为特征库包括如下几个步骤步骤一、采集网络上所有流的信息通过部署于网络上各个节点的流数据采集设备,将采集到的所有主机的流的信息 汇总到异常监控服务器。步骤二、分析流数据,计算特征参数异常监控和安全评估系统分析采集回来的流数据,并根据机器学习算法和概率统 计学原理计算出每个主机每个特征参数的基准值。步骤三、持续观察网络,计算特征参数的阀值
异常监控和安全评估系统持续监控网络的情况,获得每个主机每个特征参数基准 值的样本空间,并计算每个特征参数的阀值。
图1是一个网络流的示意图。图2是网络行为特征参数异常判断原理图。图3是构建单个主机网络行为特征库的流程图。图4是本发明的应用系统的架构图。
具体实施例方式下面结合附图对本发明方法进行说明参见图1所示,11是客户端,12是服务器端。当11访问12时,在11和12直接会 建立一个连接,每个连接我们都看作是一个流(Flow),由13表示。13可能是一次连接,也 可以是一个独立的UDP或ICMP包。图2是网络行为特征参数异常判断原理图。23代表网络中某一个主机的特征参数 Ai的阀值Φ” 21是网络中所有主机的特征参数的阀值函数。22代表某一主机的特征参 数的值超出了阀值,意味着该主机发生了网络异常。图3是构建单个主机网络行为特征库的流程图。31通过流数据采集设备获取流经某一主机的所有流的数据32将流的数据汇总到异常监控数据库33计算该主机网络特征参数的值34形成该主机特征参数的样本空间35计算该主机特征参数的阀值36将该主机特征参数的阀值存储到网络行为特征库构建整个网络的网络行为特征库即是构建每个主机的网络行为特征库。图4是本发明的应用系统的架构图。401流数据采集设备410异常监控服务器411流数据分析模块412实时监控模块413策略控制模块414构建行为特征库模块420网络行为特征数据库421单个主机的行为特征库本发明的应用系统可主要分为3个部分,即401,410和420。401是流数据采集设备,通常部署于路由器上,从而可以监控流经网络的所有流的 信息。410是异常监控服务器,420是网络行为特征数据库。构建网络行为特征库时,401将采集的数据汇总后发送给411,411和414模块共同 协作,计算每个主机的每个特征参数的阀值,并将所有阀值信息存储到网络行为特征数据库中。网络实时监控时,401将采集的数据汇总后发送给410,410的流数据分析模块411 将对流数据进行分析和处理,或的流的相关属性。412实时监控流的属性,实时计算特征参 数的值,并比较网络行为特征数据库,若发现异常,立即调用413策略控制模块,执行相应 的应对策略。系统可定期重建整个网络行为特征库,以适应网络物理结构的变化以及网络行为 规律的变化。
权利要求
一种基于NBA的网络安全评估方法,包括基于流的网络行为分析模型和构建网络行为特征库流程,其特性在于所述基于流的网络行为分析模型包括如下特性,(1)一个流(Flow)可能是一次连接,也可以是一个独立的UDP或ICMP包;(2)一个流用一维向量X=(x1,x2,...,xp)进行表示,其中xi(1≤i≤p)代表流的不同属性;(3)对于任意一个主机,只要网络中的所有应用处于正常状态,用户的使用频率趋于稳定,其网络状况在一定时期内遵循一定的模式。这反映在针对该主机的某些特征参数保持相对稳定;(4)每一项特征参数,由λi和φi两个值进行表示,其中λi是其标准参考值,φi是一个阀值,当某个特征参数的当前值超过其对应的阀值时,则可认为网络出现了异常;(5)一个主机的网络行为特征库用两个向量Λ=(λ1,λ2,...,λq)和Φ=(φ1,φ2,...,φq)进行表示,q是特征参数的数量。整个网络的特征库则表示为两个n维向量矩阵(Λ1,Λ2,...,Λn)T和(Φ1,Φ2,...,Φn)T,其中n表示主机的数量;(6)网络监控从分析报文开始,识别出每个流,并获取流的相关属性,再通过进一步机器学习算法和统计分析算法计算各项特征参数,并与特征库基准值进行比较,从而实现对网络异常的监控;所述构建网络行为特征库流程包括如下步骤,步骤一、采集网络上所有流的信息通过部署于网络上各个节点的流数据采集设备,将采集到的所有主机的流的信息汇总到异常监控服务器;步骤二、分析流数据,计算特征参数异常监控系统分析采集回来的流数据,并根据机器学习算法和概率统计学原理计算出每个主机每个特征参数的基准值;步骤三、持续观察网络,计算特征参数的阀值异常监控系统持续监控网络的情况,获得每个主机每个特征参数基准值的样本空间,并计算每个特征参数的阀值。
2.根据权利要求1所述的方法,其特征在于网络行为特征库构建方法是基于概率统 计学,对某一个特征参数Xi,设样本空间为 则Xi为所有样本的期望, 即為^ Xi ^ E(Ki)= YdAikPik,其中pik为Xik的概率,而φ,表示参数λ ,允许出现的最大波 动幅度,Φ i可通过计算Xi在置信度为99. 9% (可根据情况调节)情况下允许出现的最大 幅度。
3.根据权利要求1所述的方法,其特征在于一个流所包含的属性包括传输开始时间、 传输结束时间、源/目的IP、源/目的MAC、传输的总字节数、平均传输速度、传输协议等。
4.根据权利要求1所述的方法,其特征在于整个网络的行为特征库是每个主机行为 特征库的汇总。
5.根据权利要求1或4所述的方法,其特征在于每个主机行为特征库包括该主机每 个特征参数的基准值和允许的阀值。
6.根据权利要求1所述的方法,其特征在于判断某一个主机是否出现异常,是判断该 主机是否有特征参数超出了允许的阀值。
7.根据权利要求1所述的方法,其特征在于网络行为特征数据库随着时间的变化而 有所变化。
8.根据权利要求1所述的方法,其特征在于所建议的基于行为分析的安全评估系统 包括流数据采集设备、网络异常实时监控服务器和网络行为特征数据库三个部分。
9.根据权利要求1或8所述的方法,其特征在于所建议的基于行为分析的安全评估 系统的网络异常实时监控服务器主要包含流数据分析模块、实时监控模块、策略控制模块 和构建行为特征库模块。
10.根据权利要求1或8所述的方法,其特征在于所建议的基于行为分析的安全评估 系统能够适应网络的物理变化或用户使用习惯的变化,并及时更新网络行为特征数据库。
全文摘要
本发明公开了一种基于NBA的网络安全评估方法。该方法将网络中的一个连接或独立的包看成一个流,通过记录流经网络的所有流的属性来分析网络中每个主机的网络行为特征参数,并计算每个主机的网络行为特征参数允许的最大阀值,从而可以构建整个网络的行为特征数据库。当网络中某个主机的特征参数的值超出其最大阀值时,则可以判断网络出现了异常。本发明涉及网络异常和网络攻击等网络安全监控领域,可以弥补传统的入侵检测系统的不足,具有广阔的应用前景。
文档编号H04L9/36GK101882997SQ20091005050
公开日2010年11月10日 申请日期2009年5月4日 优先权日2009年5月4日
发明者周竹娟, 陈尚斌 申请人:上海庆青网络信息科技有限公司