一种服务器网络行为描述方法
【技术领域】
[0001] 本发明涉及网络异常流量检测行为描述方法,特别是一种基于流量结构稳定性的 服务器网络行为描述方法。
【背景技术】
[0002] 服务器通常作为IT系统中的核心设备提供网络服务,因此服务器的安全防护显 得尤为重要;针对服务器网络安全防护问题,根据防护手段特点可主要分为以下三类:(1) 基于网络边界部署入侵检测系统、防火墙等防护设备;(2)基于服务器日志关联分析与挖 掘;(3)对服务器进行流量分析。
[0003] 目前,对服务器安全防护的主要手段是在网络边界部署IDS、IPS、防火墙等边界 设备,对进出服务器的流量进行检测和过滤;Snort是目前最常用的一个轻量级网络入侵 检测系统,通常以基于规则的方式对特定网络攻击的流量特点进行描述,当数据包或流量 符合某条规则,则产生一条告警;此外也有许多基于Snort进行改进的入侵检测模型,比如 将基于特征值的多模式匹配算法应用到Snort的检测引擎模块中、结合多种防护设备(如 IPTABLES等)联动的入侵防御系统等。
[0004] 基于日志的服务器安全检测主要通过数据挖掘、模式识别、关联分析等方法对服 务器日志信息进行全方位的分析,从而检测服务器面临的攻击和潜在的威胁;比如,对服务 器事件进行时间分布统计、周期模式挖掘和孤立点分析,从而用于服务器异常事件的检测; 以日志分析为基础、结合关联规则与联动技术对安全事件进行检测等。
[0005] 从流量分析角度检测服务器网络异常,根据流量分析方法,可主要分为基于统计 分析、信号处理、数据挖掘、机器学习等网络流量异常检测;比如,基于流量自相似统计特性 的异常流量检测模型;基于小波分析的网络流量异常检测方法;基于数据挖掘算法抽取流 量特征并实现入侵检测;基于贝叶斯网络与时间序列分析的异常流量检测方法;基于神经 网络的网络流量检测方法等。
[0006] 当前入侵检测的主要做法主要都是基于误用检测的思路,针对特定的网络攻击特 点,编写特定的流量检测模式,然后将采集的流量数据与已知攻击模式进行比对。其原理如 图1所示,根据对已知的攻击或入侵的特征做出确定性的描述,形成相应的规则并汇总成 一个特征库。检测时,将网络采集的数据与特征库中的已知攻击和入侵特征规则进行一一 比对,如果发现与特征库的规则匹配,则报告为入侵,作入侵响应处理;反之则报告为正常 数据,流量正常通过。
[0007] 误用检测通过建立攻击样本描述每一种攻击的特殊模式来检测异常,该方法能准 确检测已知的攻击或入侵,并且可提供详细的攻击类型和说明,是目前入侵检测商用产品 中使用的主要方法。该检测方式与计算机病毒的检测方式类似,其查全率完全依赖于规则 库的覆盖范围,一旦攻击者修改攻击特征模式来隐藏自己的行为,这种检测方法就显得无 能为力,因此对新型攻击或入侵的检测效果很差,会产生较高的漏报率;出现新的攻击手段 时,需要把新的规则和检测方法加入特征库,因此需要不断更新和维护特征库;此外,为了 对多种攻击进行检测,系统需要维护一个庞大的攻击模式库,检测时必须与模式库中的规 则一一匹配,因此系统代价较高。
[0008] 当前入侵检测的主要做法都是基于误用检测的思路,针对特定的网络攻击特点, 编写特定的流量检测模式,然后将采集的流量数据与已知攻击模式进行匹配;基于流量异 常特征的检测方法的缺点是,必须针对每种攻击编写对应的规则才能检测出异常,然而随 着网络及应用环境日趋复杂,原有策略难以检测出层出不穷的新型网络攻击,而且在不同 应用场景下,对网络异常的界定更是存在许多分歧,因此基于异常特征的检测方法适应性 及扩展性日益难以满足防护需求。
【发明内容】
[0009] 本发明提供一种服务器网络行为描述方法。
[0010] 本发明采用的技术方案是:一种服务器网络行为描述方法,包括以下步骤:
[0011] (1)通过数据包嗅探模块获取出入服务器的流量信息;
[0012] (2)通过流量属性抽取与计算模块将流量信息根据流量属性进行抽取,按时间窗 口对各流量属性对应流量进行统计,构成历史数据;
[0013] (3)通过与历史数据实时交互的系统参数学习模块对获取的历史数据进行计算, 得到基于流量结构稳定性的系统参数;
[0014] (4)根据系统参数和历史数据构建动态正常流量轮廓;
[0015] (5)根据当前流量信息,构建当前流量结构;
[0016] (6)将正常流量轮廓和当前流量结构用差异性度量的方法比较,根据差异值大小 判断网络是否正常。
[0017] 作为优选,所述系统参数学习模块的计算步骤如下:
[0018] A、以时间窗口为单位获取流量结构属性值,表示当前时间窗口的流量结构,得到 基于时间窗口的流量结构样本;
[0019] B、剔除流量结构样本中的异常值,获得正常流量结构样本;
[0020] C、根据正常流量结构样本,分别统计各流量属性的标准差0和平均值ii,计算对 应属性的变异系数c v:
[0021]
[0022] D、计算对应属性的稳定系数a (n):
[0023]
[0024] E、得到基于稳定系数的系统参数。
[0025] 作为优选,所述步骤B基于格拉布斯准则对样本进行异常值剔除。
[0026] 作为优选,所述流量结构采用可视化的饼图表示,每个扇形表示流量的一种属性, 第n个属性对应扇形的角度0 (n)计算方法如下:
[0027]
[0028] 将数据进行归一化处理,正常流量轮廓作为基准饼图,当前流量结构作为比较饼 图,两个饼图对应扇形的面积差为偏离度的衡量值。
[0029] 本发明的有益效果是:
[0030] (1)本发明基于正常流量稳定性,对异常流量进行检测,对新型网络攻击检测准确 度高,降低网络攻击的漏报率;
[0031] (2)本发明以可视化的饼图对流量结构进行描述,结果更加直观和可靠;
[0032] (3)本发明构建动态的流量结构,充分考虑当前流量规模及特点。
【附图说明】
[0033] 图1为本发明流程图。
[0034] 图2为本发明基本原理示意图。
[0035] 图3为本发明中流量结构基准示意图。
[0036] 图4为本发明结构流量示意图。
[0037] 图5为本发明差异性度量示意图。
[0038] 图6为本发明流量结构属性中标志位熵的缓慢变化特性及周期性。
[0039] 图7为本发明流量结构属性中平均包长的缓慢变化特性及周期新。
[0040] 图8为基于误用检测的技术方案原理图。
[0041] 图9为SYN包比例流量属性的统计结果。
[0042] 图10为IP信息熵流量属性的统计结果。
[0043] 图11为IP相关性流量属性的统计结果。
[0044] 图12为TTL流量属性的统计结果。
[0045] 图13为邮件服务器服务端口分布。
[0046] 图14为邮件服务器协议分布。
[0047] 图15为邮件服务器数据包长分布。
[0048] 图16为邮件服务器数据包访问情况分布。
【具体实施方式】
[0049] 下面结合附图和具体实施例对本发明做进一步说明。
[0050] 一种服务器网络行为描述方法,包括以下步骤:
[0051] (1)通过数据包嗅探模块获取出入服务器的流量信息;
[0052] (2)通过流量属性抽取与计算模块将流量信息根据流量属性进行抽取,按时间窗 口对各流量属性对应流量进行统计,构成历史数据;
[005