基于主机出入度的网络异常行为检测方法
【专利摘要】本发明公开了一种基于主机出入度的检测网络异常行为的方法,从全新的角度提出了一种主机属性判定,攻击检测方法,在技术难度较低,资源耗用较小的情况下能够实现一定量种类的网络行为检测,异常行为监测。首先定义度、出度和入度;其中,度是四元组连接的数量;出度是指主机向其他主机发出的四元组连接的数量;入度是指主机接收其他主机的四元组连接的数量;该方法根据主机的出入度比例是否超出已知范围,以实现网络异常行为的检测;不同业务主机的出入度比例范围不同。
【专利说明】基于主机出入度的网络异常行为检测方法
【技术领域】
[0001]本发明涉及网络异常检测技术,尤其涉及一种基于主机出入度的检测网络异常行为的方法。
【背景技术】
[0002]在当前的网络安全行业,针对网络攻击检测、P2P流量净化等领域,目前均采用传统的包检测技术(DPI)技术进行协议识别从而进行流量甄别,即使较新的DFI技术,依旧是着眼于微观的一条流一条流的进行协议识别检测。
[0003]而随着各种协议加密的普及,在网络安全攻防中各种伪造模仿协议的涌现,包和流特征越来越难以被有效提取和识别。
【发明内容】
[0004]有鉴于此,本发明提供了一种基于主机出入度的检测网络异常行为的方法,避免了包检测带来的上述问题。
[0005]为了解决上述技术问题,本发明是这样实现的:
[0006]首先定义度、出度和入度;其中,度是四元组连接的数量;出度是指主机向其他主机发出的四元组连接的数量;入度是指主机接收其他主机的四元组连接的数量;
[0007]该方法根据主机的出入度比例是否超出已知范围,以实现网络异常行为的检测;不同业务主机的出入度比例范围不同。
[0008]该方法具体包括如下步骤:
[0009]步骤一、针对各种业务类型,获取在正常情况下单位时间内出入度比值范围;
[0010]步骤二、进行网络行为检测时,对线上每个IP地址的主机的出、入连接进行检测,记录每一条连接是出还是入,以及建立连接的时间;
[0011]步骤三、实时统计每个IP地址的主机单位时间段内的出度、入度,进而得到出入度比值,并与步骤一获得的各种业务类型的出入度比值范围进行比对,从而识别出各个IP地址的主机所提供的业务类型,并记录;
[0012]步骤四、在后续针对每一个IP地址的主机单位时间出度、入度的跟踪比对中,当某一单位时间内,某一主机的出入度比值超出了已经判定和记录的该主机业务类型对应的出入度比值范围,但是该出入度比值符合步骤一获得的其他业务类型的出入度比值范围,则认为该主机业务类型发生了变化,进行记录更新;
[0013]当某一主机出入度比值发生突变,且不符合步骤一获得的任何一种业务类型的出入度比值范围时,报警,提醒该主机发生了异常行为,可能受到了攻击。
[0014]优选地,所述步骤一为:收集各种业务类型的主机,并在网络中运行,跟踪主机的出度和入度,通过开源机器学习算法获得每种业务类型的主机在正常情况下,单位时间内出度与入度的比值范围。
[0015]优选地,步骤一中,每类业务类型的主机均收集多个,采用同一业务类型的多个主机的出度和入度的平均值,获得所述比值范围。
[0016]优选地,步骤二采用网络数据包检测分析系统,对线上每个IP地址的主机的出、入连接进行检测。
[0017]有益效果:
[0018]本发明基于主机出入度检测网络行为,从全新的角度提出了一种主机属性判定,攻击检测方法,在技术难度较低,资源耗用较小的情况下能够实现一定量种类的网络行为检测,异常行为监测。
【具体实施方式】
[0019]下面举实施例,对本发明进行详细描述。
[0020]大数的网络异常检测算法都是在计算机网络的整体拓扑结构的基础上进行的研究与分析,却很少考虑到单个主机的出入度与网络异常之间的关系。根据计算机网络的通信原理,以及一些网络异常的传播原理,例如蠕虫病毒,首先本 申请人:猜想计算机网络异常行为与主机的出、入度存在某种关系。通过实验发现,某些网络异常与主机的出、入度之间确实存在某种数学规律。在此基础上,提出了一种基于“主机出入度”的网络异常行为检测方法,该方法在相对宏观的角度,针对主机,检测IP地址的出度、入度,甄别主机的工作性质从而粗略的分析该主机收发流量的应用类型以及业务类型的突变识别。
[0021]为了更好地叙述和理解发明,下面给出“度”、“入度”和“出度”的定义。
[0022]度,是四元组连接数,四元组由源IP+源端口号+目的IP+目的端口号组成。
[0023]出度,是指主机向其他主机发出的四元组连接数。
[0024]入度,是指主机接收其他主机的四元组连接数。
[0025]目前,网络攻击和入侵的主要方法通常有4种:
[0026]方法1、嗅探器和扫描嗅探器是利用计算机的网络接口截获目的地为其它计算机的数据报文的一种技术。网络嗅探器通过被动地监听网络通信、分析数据来非法获得用户名、口令等重要信息。扫描是指针对系统漏洞,对系统和网络的遍历搜寻行为。
[0027]由于漏洞的普遍存在,使得扫描手段经常会被隐蔽地恶意使用,通过探测系统或网络的有用信息,作为实施下一步攻击的前奏。
[0028]方法2、利用传输协议中的漏洞发动攻击,攻击者利用一些传输协议在制定过程中存在的漏洞,通过恶意地请求资源导致服务超载,造成目标系统无法正常工作或瘫痪,从而完成攻击。如基于TCP/IP协议中“三次握手”的漏洞发动的SYN Flooding攻击;通过发送大量的垃圾数据包耗尽接收端资源从而导致系统瘫痪的ICMP Flooding、NullstreamFlooding 攻击等。
[0029]方法3、利用操作系统中的某些应用服务漏洞发起攻击由于操作系统中的某些应用服务在边界条件、资源释放、函数指针等方面存在设计不当或缺乏限制,因而造成了应用服务漏洞。攻击者正是利用这些漏洞对操作系统进行攻击,从而达到入侵系统或导致系统崩溃的目的。如微软的MS08-067远程溢出漏洞,就是由于Windows系统的Server在处理特定RPC请求时存在缓冲区溢出漏洞,导致远程攻击者可以通过发送恶意的RPC请求触发这个溢出,然后通过执行恶意代码完全入侵用户系统,并获取对系统的控制权,造成重要信息失窃以及系统崩溃等严重后果。
[0030]方法4、通过木马程序进行入侵或发动攻击木马是一种基于远程控制的黑客工具,其具有隐蔽性和非授权性的特点。当木马程序被成功非法植入到目标主机中后,受害机就成为了黑客控制的傀儡主机,而黑客则成了超级用户,他可以通过木马程序来收集系统中他所需要的一切重要信息,如口令、帐号、密码等。同时,黑客还可以远程控制傀儡主机对别的主机发动攻击,网络中常见的DDoS攻击就是大量傀儡主机在接到黑客发出的攻击命令后,同时向被攻击主机发送大量的服务请求数据包,从而导致被攻击主机崩溃。
[0031]从上述四种常用的网络攻击和入侵的方法可见,这四种方法都与主机出入度有关系:
[0032]方法1,在扫描寻找目标节点时,要对网络进行遍历搜寻,该主机的出度肯定会突然变大,因为该主机会在短时间内对多台不同的计算机进行扫描。同样,入度也会瞬间增大,因为会有多条信息反馈回来;而对于被入侵或被攻击的主机而言,该主机的入度也可能瞬间增大,因为每个主机都有很多不同的端口,而不同端口提供的服务不同且漏洞也不同,因此所有的端口都可能被扫描,根据本文中“度”的定义,不同端口属于不同的度,因此入度可能会瞬间增大。
[0033]方法2,是以方法I为基础,因为执行该方法时,首先要找到确定的目标节点,而这目标节点往往都是通过扫描大量主机得到的,所以也会扫描其他主机。
[0034]方法3,在攻击的时候,也可能导致度的变化,因为寻找漏洞的时候,需要大量的扫描,在这期间也会引起度的巨大变化。
[0035]方法4,将其他主机变成傀儡机时,往往利用傀儡机进行一些非法操作,例如继续培植新的傀儡机的僵尸病毒,这时候,也会导致度的变化。
[0036]综上所述,一般具有某一相对单一功能的主机,其出度入度在一定时间段内,会具有一定范围的比例关系,每种业务主机,其出度入度的比例关系是不同的,而当主机发起或受到上述攻击类型时,该比例关系会有瞬间有较大幅度变化。
[0037]基于上述分析,本发明提供的基于主机出入度的检测网络异常行为的方法具体如下:
[0038]步骤一、针对各种业务类型,获取在正常情况下单位时间内出入度比值范围。
[0039]本步骤中,收集一定数量的各种业务类型的主机,如家用电脑,网站服务器,下载服务器、⑶N节点,P2P服务器,令各种业务类型的主机在网络中运行,跟踪其出度和入度,通过开源机器学习算法,获得每种业务类型的主机在正常情况下,单位时间内出度与入度的比值范围。
[0040]其中,每类业务类型的主机可以均收集多个,采用同一业务类型的多个主机的出度和入度的平均值,获得所述比值范围。
[0041]步骤二、进行网络行为检测时,使用传统的网络数据包检测分析系统,对线上每个IP地址的主机的出、入连接进行检测,记录每一条连接是出还是入,以及建立连接的时间,以日志的形式汇总到数据库。
[0042]步骤三、在数据库中,实时对每个IP地址的主机单位时间段内的出度、入度进行统计,进而得到出入度比值,并与之前获得的各类业务的出入度比值范围进行比对,从而识别出各个IP地址的主机的所提供的业务类型,也就是流量种类的粗识别,并记录。
[0043]步骤四、在后续针对每一个IP地址的主机单位时间出度、入度的跟踪比对中,当某一单位时间内,某一主机的出入度比值超出了已经判定和记录的该主机业务类型对应的出入度比值范围,但是该出入度比值符合已经收集到的其他业务类型的出入度比值范围,则记录日志认为该主机业务类型发生了变化,进行记录更新。
[0044]当某一主机出入度比值发生突变,且不符合事先已经收集的任何一种业务类型的出入度比值范围的时候,则报警,提醒该主机发生了异常行为,可能受到了攻击。
[0045]综上所述,以上仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
【权利要求】
1.一种基于主机出入度的检测网络异常行为的方法,其特征在于,定义度、出度和入度;其中,度是四元组连接的数量;出度是指主机向其他主机发出的四元组连接的数量;入度是指主机接收其他主机的四元组连接的数量; 该方法根据主机的出入度比例是否超出已知范围,以实现网络异常行为的检测;不同业务主机的出入度比例范围不同。
2.如权利要求1所述的方法,其特征在于,该方法具体包括如下步骤: 步骤一、针对各种业务类型,获取在正常情况下单位时间内出入度比值范围; 步骤二、进行网络行为检测时,对线上每个IP地址的主机的出、入连接进行检测,记录每一条连接是出还是入,以及建立连接的时间; 步骤三、实时统计每个IP地址的主机单位时间段内的出度、入度,进而得到出入度比值,并与步骤一获得的各种业务类型的出入度比值范围进行比对,从而识别出各个IP地址的主机所提供的业务类型,并记录; 步骤四、在后续针对每一个IP地址的主机单位时间出度、入度的跟踪比对中,当某一单位时间内,某一主机的出入度比值超出了已经判定和记录的该主机业务类型对应的出入度比值范围,但是该出入度比值符合步骤一获得的其他业务类型的出入度比值范围,则认为该主机业务类型发生了变化,进行记录更新; 当某一主机出入度比值发生突变,且不符合步骤一获得的任何一种业务类型的出入度比值范围时,报警,提醒该主机发生了异常行为,可能受到了攻击。
3.如权利要求2所述的方法,其特征在于,所述步骤一为:收集各种业务类型的主机,并在网络中运行,跟踪主机的出度和入度,通过开源机器学习算法获得每种业务类型的主机在正常情况下,单位时间内出度与入度的比值范围。
4.如权利要求3所述的方法,其特征在于,步骤一中,每类业务类型的主机均收集多个,采用同一业务类型的多个主机的出度和入度的平均值,获得所述比值范围。
5.如权利要求2所述的方法,其特征在于,步骤二采用网络数据包检测分析系统,对线上每个IP地址的主机的出、入连接进行检测。
【文档编号】H04L12/26GK104135474SQ201410343212
【公开日】2014年11月5日 申请日期:2014年7月18日 优先权日:2014年7月18日
【发明者】贺欣, 刘刚, 王大伟, 刘永强, 王秀文, 杜大帅, 张慧, 李城龙, 贺龙涛 申请人:国家计算机网络与信息安全管理中心