专利名称:网络异常行为检测方法及装置的制作方法
技术领域:
本发明实施例涉及网络技术领域,尤其涉及一种网络异常行为检测方法及装置。
背景技术:
随着网络的使用范围在日常生活中的日益广泛,网络信息安全的问题也愈发的重要。应用场景的多样性,使得现有的主要网络安全检测技术,如网络防火墙、入侵检测系统和网管软件等已经不能满足网络安全保障的要求。针对上述问题,网络异常行为检测的概念被提出来了,旨在监测专有网络(如企业内部网络)的不寻常事件或趋势,如果检测到一个不寻常事件或趋势,就生成显示威胁存在的警报。但是目前,现有技术中还没有一套系统、完整的网络异常行为检测方法,能够比较全面地检测出专有网络中各种异常行为。
发明内容
本发明实施例提供一种网络异常行为检测方法及装置,用以比较全面地检测出专有网络中各种异常行为。一方面,本发明实施例提供了一种网络异常行为检测方法,包括获取网络设备的历史日志数据;解析所述历史日志数据,生成历史网络行为数据;根据所述历史网络行为数据和规则模板,生成白名单、黑名单和基调规则;获取所述网络设备的当前日志数据;解析所述当前日志数据,生成当前网络行为数据;根据所述白名单对所述当前网络行为数据进行过滤,得到可疑行为数据;根据所述黑名单对所述可疑行为数据进行过滤,得到异常行为数据和未知行为数据;将所述未知行为数据与所述未知行为数据中行为人身份对应的基调规则比较,将超出所述基调规则的未知行为数据标识为异常行为数据;输出包括所述异常行为数据的告警信息。另一方面,本发明实施例提供了一种网络异常行为检测装置,包括第一获取模块,用于获取网络设备的历史日志数据;第一解析模块,用于解析所述历史日志数据,生成历史网络行为数据;生成模块,用于根据所述历史网络行为数据,生成白名单、黑名单和基调规则;第二获取模块,用于获取所述网络设备的当前日志数据;第二解析模块,用于解析所述当前日志数据,生成当前网络行为数据;第一过滤模块,用于根据所述白名单对所述当前网络行为数据进行过滤,得到可疑行为数据;
第二过滤模块,用于根据所述黑名单对所述可疑行为数据进行过滤,得到异常行为数据和未知行为数据;基调比较模块,用于将所述未知行为数据与所述未知行为数据中行为人身份对应的基调规则比较,将超出所述基调规则的未知行为数据标识为异常行为数据;告警模块,用于输出包括所述异常行为数据的告警信息。以上多个技术方案中至少一个技术方案具有如下优点或有益效果本发明实施例采用解析历史日志数据生成历史网络行为数据,根据历史网络行为数据和规则模板生成白名单、黑名单和基调规则,解析当前日志数据,生成当前网络行为数据,根据白名单、黑名单和基调规则依次对当前网络行为数据进行过滤、比较,确定异常行为数据的技术手段,可以比较全面地检测出专有网络中各种异常行为。
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。图1为本发明实施例一提供的一种网络异常行为检测方法的流程示意图;图2为本发明实施例二提供的一种网络异常行为检测装置的结构示意图。
具体实施例方式为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。图1为本发明实施例一提供的一种网络异常行为检测方法的流程示意图。如图1 所示,该方法包括
步骤101、获取网络设备的历史日志数据。举例来说,网络异常行为检测装置获取网络设备的历史日志数据。应用中,网络异常行为检测装置可以部署在专用的分析服务器中,和所述网络设备一同设置在专有网络中,比如设置在企业内部网络中。这里的网络设备可以是防火墙、应用服务器等设备。历史日志数据可以包括网络设备中保存的一段较长时间的日志数据,比如之前2个月的所有日志数据。步骤102、解析所述历史日志数据,生成历史网络行为数据。通常,每条日志数据(包括历史日志数据和当前日志数据)对应一个网络行为,每个网络行为可以有其属性数据来标识,网络行为的属性数据至少包括行为人身份(Identity)、发生时间(Time)、发生位置(Location)、行为方式(Means)、行为操作 (Action)、行为对象(Resource),含义分别如下1)行为人身份在信息技术(Information Technology,简称IT)系统中,表述身份的通常就是系统账号。这里的IT系统泛指专有网络中的计算机网络、服务器、打印机、电话等IT设备组成的系统。行为人身份可以指向单个的行为人,也可以指向一个行为人群组。2)发 生时间时间属性中包含两层概念,一个是行为发生的时刻,另一个是行为发生的频率。但频率是一个间接属性,无法从单个日志数据中直接提取。3)发生位置IT系统中网络行为的发生位置可以用IP地址、自动柜员机 (Automated Teller Machine,简称 ATM)终端号、销售终端(Point of Sale,简称P0S)终端号、业务终端编号来标识。4)行为方式即以什么渠道完成的操作。例如在IT系统中,常见的行为方式有 专用客户端软件、中间件(对数据库访问通常采用中间件)、命令行界面(Command-line Interface,简称CLI)、远程桌面等。5)行为操作也称为行为类型。行为操作大体可以分为交易操作(如转账、取现、 存款、支付)、数据库操作(如数据查询、数据更新)、文件操作(如下载、上传、修改等)三大类。6)行为对象也称为行为资源,即各种IT资源,如文件、数据库表、服务器主机、数据项等。有时需要对某些行为操作赋予两个行为对象取值,例如文件下载操作,不仅包括下载对象,还可以包括下载数量。本实施例中可以根据历史日志数据中的每条日志数据确定其对应的历史网络行为,生成标识该历史网络行为的历史网络行为数据,每条历史网络行为数据可以包括该历史网络行为的上述多个属性数据。具体地,步骤102可以包括解析所述历史日志数据中的每条日志数据,确定每条日志数据对应的历史网络行为的属性数据,所述属性数据包括行为人身份、发生时间、发生位置、行为方式、行为操作和行为对象;生成与所述每条日志数据对应的历史网络行为数据,所述历史网络行为数据包括所述历史网络行为的属性数据。步骤103、根据所述历史网络行为数据和规则模板,生成白名单、黑名单和基调规则。具体地,可以根据历史网络行为数据总结历史网络行为的规律,也就是说历史行为模式,然后根据用户的选择指令确定其中的白模式和黑模式,并根据用户选择的规则模板生成对应的白名单规则和黑名单规则,分别添加到白名单和黑名单中。其中,规则模板包括至少一个属性数据的标识,规则模板可以用来确定下述步骤中的过滤/检测规则。基于上述网络行为的6个属性数据,网络行为模型由6个对应的元素构成。检测规则可以单独针对其中的某一个或某几个,这样通过组合计算,可以罗列出全部可能的规则模板,共63种,部分如表1所示。其中V符号表示该规则模板检测所对应的元素,V符号表示任意,即该规则模板不检测所对应的元素。表权利要求
1.一种网络异常行为检测方法,其特征在于,包括 获取网络设备的历史日志数据;解析所述历史日志数据,生成历史网络行为数据; 根据所述历史网络行为数据和规则模板,生成白名单、黑名单和基调规则; 获取所述网络设备的当前日志数据; 解析所述当前日志数据,生成当前网络行为数据; 根据所述白名单对所述当前网络行为数据进行过滤,得到可疑行为数据; 根据所述黑名单对所述可疑行为数据进行过滤,得到异常行为数据和未知行为数据; 将所述未知行为数据与所述未知行为数据中行为人身份对应的基调规则比较,将超出所述基调规则的未知行为数据标识为异常行为数据; 输出包括所述异常行为数据的告警信息。
2.根据权利要求1所述的方法,其特征在于,所述解析所述历史日志数据,生成历史网络行为数据具体包括解析所述历史日志数据中的每条日志数据,确定每条日志数据对应的历史网络行为的属性数据,所述属性数据包括行为人身份、发生时间、发生位置、行为方式、行为操作和行为对象;生成与所述每条日志数据对应的历史网络行为数据,所述历史网络行为数据包括所述历史网络行为的属性数据;所述解析所述当前日志数据,生成当前网络行为数据具体包括 解析所述当前日志数据中的每条日志数据,确定每条日志数据对应的当前网络行为的属性数据;生成与所述每条日志数据对应的当前网络行为数据,所述当前网络行为数据包括所述当前网络行为的属性数据。
3.根据权利要求2所述的方法,其特征在于,所述根据所述历史网络行为数据和规则模板,生成白名单、黑名单具体包括基于所述属性数据中行为人身份、发生时间、发生位置、行为方式、行为操作、行为对象的任意组合,对所述历史网络行为数据进行统计分析,生成历史行为模式;根据第一选择指令从所述历史行为模式中选择至少一条作为白模式,并确定所述第一选择指令指定的第一规则模板,所述第一规则模板包括至少一个属性数据的标识;将所述至少一条白模式分别与所述第一规则模板匹配,生成至少一条白名单规则,添加到所述白名单,所述白名单规则包括与所述第一规则模板对应的所述至少一个属性数据;根据第二选择指令从所述历史行为模式中选择至少一条作为黑模式,并确定所述第二选择指令指定的第二规则模板,所述第二规则模板包括至少一个属性数据的标识;将所述至少一条黑模式分别与所述第二规则模板匹配,生成至少一条黑名单规则,添加到所述黑名单,所述黑名单规则包括与所述第二规则模板对应的所述至少一个属性数据。
4.根据权利要求3所述的方法,其特征在于,所述根据所述历史网络行为数据和规则模板,生成基调规则具体包括基于行为人身份,对所述历史网络行为数据进行统计分析和聚类分析,生成所述行为人身份对应的基调规则。
5.根据权利要求1-4中任一项所述的方法,其特征在于,还包括 周期性地或根据更新指令,更新所述历史网络行为数据;根据所述更新后的历史网络行为数据,更新所述基调规则。
6.一种网络异常行为检测装置,其特征在于,包括 第一获取模块,用于获取网络设备的历史日志数据;第一解析模块,用于解析所述历史日志数据,生成历史网络行为数据; 生成模块,用于根据所述历史网络行为数据,生成白名单、黑名单和基调规则; 第二获取模块,用于获取所述网络设备的当前日志数据; 第二解析模块,用于解析所述当前日志数据,生成当前网络行为数据; 第一过滤模块,用于根据所述白名单对所述当前网络行为数据进行过滤,得到可疑行为数据;第二过滤模块,用于根据所述黑名单对所述可疑行为数据进行过滤,得到异常行为数据和未知行为数据;基调比较模块,用于将所述未知行为数据与所述未知行为数据中行为人身份对应的基调规则比较,将超出所述基调规则的未知行为数据标识为异常行为数据; 告警模块,用于输出包括所述异常行为数据的告警信息。
7.根据权利要求6所述的装置,其特征在于,所述第一解析模块具体用于,解析所述历史日志数据中的每条日志数据,确定每条日志数据对应的历史网络行为的属性数据,所述属性数据包括行为人身份、发生时间、发生位置、行为方式、行为操作和行为对象;生成与所述每条日志数据对应的历史网络行为数据,所述历史网络行为数据包括所述历史网络行为的属性数据;所述第二解析模块具体用于,解析所述当前日志数据中的每条日志数据,确定每条日志数据对应的当前网络行为的属性数据;生成与所述每条日志数据对应的当前网络行为数据,所述当前网络行为数据包括所述当前网络行为的属性数据。
8.根据权利要求7所述的装置,其特征在于,所述生成模块具体用于,基于所述属性数据中行为人身份、发生时间、发生位置、行为方式、行为操作、行为对象的任意组合,对所述历史网络行为数据进行统计分析,生成历史行为模式;根据第一选择指令从所述历史行为模式中选择至少一条作为白模式,并确定所述第一选择指令指定的第一规则模板,所述第一规则模板包括至少一个属性数据的标识;将所述至少一条白模式分别与所述第一规则模板匹配,生成至少一条白名单规则,添加到所述白名单,所述白名单规则包括与所述第一规则模板对应的所述至少一个属性数据;根据第二选择指令从所述历史行为模式中选择至少一条作为黑模式,并确定所述第二选择指令指定的第二规则模板,所述第二规则模板包括至少一个属性数据的标识;将所述至少一条黑模式分别与所述第二规则模板匹配,生成至少一条黑名单规则,添加到所述黑名单,所述黑名单规则包括与所述第二规则模板对应的所述至少一个属性数据。
9.根据权利要求8所述的装置,其特征在于,所述生成模块还用于,基于行为人身份,对所述历史网络行为数据进行统计分析和聚类分析,生成所述行为人身份对应的基调规则。
10.根据权利要求6-9中任一项所述的装置,其特征在于,还包括更新模块,用于周期性地或根据更新指令,更新所述历史网络行为数据;根据所述更新后的历史网络行为数据,更新所述基调规则。
全文摘要
本发明提供一种网络异常行为检测方法及装置。方法包括获取网络设备的历史日志数据;解析所述历史日志数据,生成历史网络行为数据;根据所述历史网络行为数据和规则模板,生成白名单、黑名单和基调规则;获取所述网络设备的当前日志数据;解析所述当前日志数据,生成当前网络行为数据;根据所述白名单对所述当前网络行为数据进行过滤,得到可疑行为数据;根据所述黑名单对所述可疑行为数据进行过滤,得到异常行为数据和未知行为数据;将所述未知行为数据与所述未知行为数据中行为人身份对应的基调规则比较,将超出所述基调规则的未知行为数据标识为异常行为数据;输出包括所述异常行为数据的告警信息。
文档编号H04L12/24GK102413013SQ201110371820
公开日2012年4月11日 申请日期2011年11月21日 优先权日2011年11月21日
发明者王卫东 申请人:北京神州绿盟信息安全科技股份有限公司