方法实现各个体系和库的动态更新,更好地实现对各个行为库的构建和动态维护。
【附图说明】
[0046] 图1是本发明提供的一种基于多级策略的自适应边界异常检测方法流程图。
【具体实施方式】
[0047] 下面结合附图对本发明的【具体实施方式】作进一步的详细说明。
[0048] 为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例 中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是 本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员 在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
[0049] 本发明提供了一种基于多级策略的自适应边界异常检测方法,如图1所示,包括:
[0050] (1)以正常运行状态下各时间段网络流量的峰值和谷值为采集依据,获取设备的 日志信息和网络流数据;
[0051] (2)根据所述网络流数据的报文类型,构建所述网络流数据的指标正常运行状态 下的基准线,并判断所述网络流数据是否存在异常;
[0052] (3)将存在异常的网络流数据和其对应的日志信息采用HASH算法进行存储;
[0053] (4)构建正常网络行为库和异常网络行为库,并对所述存在异常的网络流数据进 行匹配;
[0054] (5)采用BP神经网络方法对所述步骤(4)中无法匹配的网络流数据进行分析,判断 所述无法匹配的网络流数据的网络行为。
[0055]具体的,结合智能电网信息安全边界网络的部署方式,基于关键设备软硬件负载 均衡的集群方式,本发明提供的实施例可以采用基于多agent的软硬件组合的采集方式,对 关键产品和运行于信息内外网间的基础网络设施设置采集点,根据应用系统正常运行的网 络流数据包大小动态设置采样频率,采用粗细粒度相结合的采集方法,使得数据采集全面, 并且在数据流很大时处理速度快且不影响网络边界各设备性能,所述步骤(1)包括:
[0056] (1-1)设置采样误差率error,并根据所述采样误差率的计算公式确定所述网络流 数据的特定数据报文数c,公式为:
[0057] error < 1.96*( l/c)1/2 (1)
[0058] (1-2)根据所述网络流数据的特定数据报文数c,调节所述网络流数据的采样频率 f,使所述采样频率f满足:
[0059] f*N> c (2)
[0060] 式(2)中,N为每秒经过的所述网络流数据的数据报文总数。
[0061] 所述步骤(2)包括:
[0062] (2-1)以所述网络流数据的报文类型为一级关键字,采用均值法构建所述网络流 数据的指标正常运行状态下的基准线,公式为:
[0064]式(3)中,^为历史时刻中第i时刻所述网络流数据的指标值,η为总历史时刻,b为 历史时刻内所述网络流数据的指标的均值;
[0065] (2-2)制定异常告警值S,公式为:
[0067] 式(4)中,yi为待测时刻内第i时刻所述网络流数据的指标值,N为总待测时刻;
[0068] (2-3)当卜_13|<3时颅1^不存在异常,当卜-13|>5,则7存在异常。
[0069] 其中,所述网络流数据的指标值包括:源地址、目的地址、端口信息、单包字节数、 连接数和流量值。
[0070] 在根据所述网络流数据的报文类型,构建所述网络流数据的指标正常运行状态下 的基准线,并判断所述网络流数据是否存在异常之后,所述步骤(3)采用HASH算法实现对数 据源信息的再存储,读取网络流文件和日志文件,根据网络行为事件的基本特征值,提取关 键字特征信息,如通信协议类型、源IP地址、目的IP地址、源端口、目的端口、数据包、字节 数、时间戳等,对各字段进行特征融合,构建新的数据流结构,形成新的网络行为事件。以η 重特征值为存储标准,同时为避免事件的重复存储,构建HASH函数及多级HASH表,对网络流 进行多次HASH计算得到索引值,将网络行为事件存储在对应的HASH表中。包括:
[0071] (3-1)创建2级哈希表;
[0072] (3-2)读取网络事件中所述存在异常的网络流数据的特征值;
[0073] (3-3)调用所述哈希表的单向散列函数,输入m个类型值和所述特征值,获取索引 值Ij,
[0074] (3-4)根据所述网络事件对应的索引值I」,将所述网络事件存储至所述2级哈希表 中。
[0075] 其中,所述类型值为1至m。
[0076] 例如:
[0077] a.创建一个2级哈希表;
[0078] b.读取网络数据流信息,并提取1个网络行为事件的基本特征值;
[0079] c.将该网络行为事件基本特征值和3个类型值Hl、H2和H3作为输入参数,调用哈希 的单向散列函数,得出索引值IhIdPI3;
[0080] d.根据索引值I1,查找一级哈希表,若索引值置为空,则将该网络行为事件与 索引值I2和I3存储于索引值I1位置;若该索引位置显示已存储有事件,则分别继续比较I 2和 I3值,若均相等则判断比较的两个网络行为事件是同一网络行为事件则继续读取数据流; 若I2值相等,I 3值不等,则将I2作为下一级哈希表的索引,将网络行为事件存储于该哈希表 值对应位置;若I 3值相等,I2值不等,则将I3作为下一级另一个哈希表的索引,将网络行为事 件存储于该哈希表值对应位置;
[0081] e.继续读取网络流数据,重复步骤a-d;
[0082] 所述步骤(4)包括:
[0083] (4-1)基于专家知识和机器学习两者结合的方法构建所述异常网络行为库和正常 网络行为库;
[0084] (4-2)根据所述异常网络行为库和正常网络行为库,对所述存在异常的网络流数 据进行匹配,并将无法匹配的网络流数据标记为未知网络行为。
[0085]其中,专家知识方法,即分析现有已知的常见网络异常行为特征,通过产生式规则 方法描述网络行为事件,以〈动作>〈协议类型>〈源地址>〈源端口 >〈方向操作符>〈目标地址〉 〈目标端口 X数据包大小〉的格式定义规则以构建异常网络行为库。常见网络异常特征行 为,如端口扫描,同一个源地址访问不同的目的地址或端口;拒绝服务攻击,网络带宽和系 统资源消耗很大,无法响应其他服务;flood攻击,大量异常的报文发向服务器,如TCP flood攻击,协议类型为6,数据流大小为40字节;ICMP flood攻击,协议类型为1,单个数据 流字节达218M字节等;ping of death,ICMP ECHO包字节数超过64KB;land,相同的源地址 和目的地址以及单个源地址检测等。
[0086]基于机器学习的构建方法,通过对所有网络行为进行学习分析,对已被认定为异 常网络行为的事件进行特征提取,基于网络行为事件各个特征项以规则表示方式存储到异 常网络行为库。正常网络行为库采用机器学习方法获取并分析各类正常网络行为以构建行 为库。
[0087]所述步骤(5)包括:
[0088] (5-1)设定神经网络权值和各神经元阈值;
[0089] (5-2)以历史网络流数据的平均流量、网络行为、病毒类型、资源消耗、时间戳为学 习样本,若网络行为为正常,则所述学习样本的期望值为1,若网络行为为异常,则所述学习 样本的期望值为〇;
[0090] (5-3)以所述步骤(4)中无法匹配的网络流数据的平均流量、网络行为、病毒类型、 资源消耗、时间戳为输入向量,输出结果经归一化处理介于(〇,1)之间,构建BP神经网络模 型;当输出结果为0.5至