一种网络攻击异常检测方法_2

行为模型；
[0046] 步骤5:基于正常行为模型对其他网络行为特征值进行检测，判断是否出现异常网 络行为；
[0047] 在进行异常网络行为检测的同时，根据新的正常网络行为特征值对所述正常行为 模型进行更新。
[0048] 如图1所示，在一个具体实施例中，步骤1中的流量数据采集设备包括应用层流量 数据采集设备及网络层流量数据采集设备。
[0049] 相应的，步骤4进一步包括:分别确定正常的应用层网络行为特征值及正常的网络 层网络行为特征值，基于正常的应用层网络行为特征值的集合建立应用层正常行为模型； 基于正常的网络层网络行为特征值的集合建立网络层正常行为模型。
[0050] 步骤5进一步包括:基于应用层正常行为模型对其他应用层网络行为特征值进行 检测，判断是否出现异常网络行为;基于网络层正常行为模型对其他网络层网络行为特征 值进行检测，判断是否出现异常网络行为。
[0051] 若应用层与网络层均检测到异常网络行为时则断定该事件为异常并告警;如果应 用层与网络层中只有一个检测到异常网络行为时则将该事件标定为可疑事件。
[0052] 现在详细介绍各个步骤的实施细节。
[0053] 其中，步骤1的实施细节包括：
[0054] 如图2,在网络流量的汇聚节点部署采集设备为其异常检测分析提供原始网络流 量数据。根据部署地点不同，分为应用层及网络层两种类型的流量采集设备，即HTTP流量采 集探针和化tf low流量采集设备。Netf low流量采集设备部署在路由器旁，通过镜像口抓取 网络包来采集跨网段的流量数据。HTTP流量采集探针部署在Web服务器上收集HTTP流量。
[0055] 步骤2的实施细节：
[0056] 针对Web攻击的异常检测，本发明采用在应用层和网络层数据流分别提取异常行 为特征，主要包括：
[0057] 在应用层上提取的HTTP行为特征包括但不限于：耗时、数据包数目、请求方法 Request-URI、Request-URI特征值、Content-Length、状态代码、行为类别、行为频度等特 征。
[0058] 在网络层上提取的行为特征包括但不限于数据包的个数、字节的个数、端口，IP地 址和TCP标记的赌W及直方图、每个流(flow)持续的时间和包大小的直方图等特征。
[0059] 步骤3的实施细节
[0060] 为了消除数据量纲和量级的影响，在进行数据降维前进行标准化。针对一部分数 值型数据，如HTTP数据流的耗时、数据包数目、行为频度等W及化tflow数据流中的数据包 个数、字节个数、每个流(flow)持续的时间等，采用最大值-最小值标准化方法进行标准化； 而对于一部分二值数据，如行为类别等直接采用0或1表示;对于仅表示属性类别的数据，如 请求方法、状态代码等，首先对所有状态进行编号，然后再采用最大值-最小值标准化方法 进行标准化。
[0061] 针对一条HTTP数据记录中包含的属性项较多且有些属性只是其标识作用，为了提 高数据处理效率，需要对数据集进行降维，即从特征集中提取出最关键的有利于检测的特 征，删除对检测结果影响不大的特征。
[0062] 为了提高检测的准确性，在其他实施例中，在对数据标准化之后，对数据进行主成 分分析得到各主成分分量的特征值、贡献率和累计贡献率，从属性项中提取出一些贡献率 较大的综合因子，并根据贡献率大小对属性项设置权重。
[0063] 步骤4的实施细节
[0064] 首先通过现有的较成熟的异常检测算法对前述步骤提取到的网络行为特征值进 行检测，并经过人工标定获取一个精确标定的小的正常网络行为特征值的数据集合，分别 为应用层数据集和网络层数据集。
[0065] 针对应用层数据集的正常行为建模，本实施例中利用K-means聚类算法获取数据 集的k个聚类及其中屯、，运k个聚类作为HTTP行为的正常行为分类。
[0066] 针对网络层数据集，计算数据集中各个样本特征值向量中相同位置元素的均值， 将均值作为样本分布均值向量的同位置的元素，得到均值向量[61,62,…，ek]，将其作为总 体分布的估计，k为特征值的维度。如将各个样本特征值向量中的第1个元素进行求均值，将 该均值作为样本分布均值向量的第1个元素，依次类推。
[0067] 考虑到正常的网络行为会随着时间的变化而发生变化，因此需要对正常的网络行 为模型进行更新，W提高检测准确度。
[0068] 本实施例中，针对应用层正常网络行为模型是运样更新的。
[0069] 对新确定的正常的应用层网络行为特征值进行距离度量。本实施例采用欧几里德 公式对特征值进行距离度量，其计算公式如下：
L 0071 J 式中，[Wl , W2，. . .，Wm]为权值，[Xil , Xi2，. . .，Xim]为第i 个聚类的中屯、，[Xjl， ...，Xjm]为新的正常的应用层网络行为特征值，m为应用层网络行为特征值的维度。
[0072] 按照欧几里德距离公式，计算该特征值与所有聚类的聚类中屯、的距离，记录距离 最小的聚类C及其距离dMin;若dMin大于预设的聚类半径，则新创建一个聚类C'，若dMin小于预 设的聚类半径，则将该特征值划分到聚类C中，并重新计算C的聚类中屯、。
[0073] 针对网络层网络行为模型是运样更新的。
[0074] 将确定为正常的新的网络层网络行为特征值加入到原有的网络层正常网络行为 特征值集合中，重新计算该集合的样本分布均值，从而得到更新后的网络层正常行为模型。
[0075] 正常的新的网络行为特征值可W是人工判决得到，也可W采用已有的成熟的检测 算法判决得到，也可W是正常行为模型本身检测得到的。
[0076] 步骤5的实施细节
[0077] 在异常检测阶段，针对应用层网络行为特征值，计算其与应用层正常行为模型中 所有聚类中屯、的距离，如果该特征值与各个聚类中屯、的距离值中的最小值都大于预先设定 的阔值，则判断该事件为异常。
[0078] 同时，针对网络层网络行为特征值，使用Pearson方检验计算^值判断该特征值
[di，d2,…，dk]是否与样本均值[61，62,…，ek]同分布:计算;= 对2/e,，判断在给定 /=1 置信水平a的前提下，X是否大于^(〇)，若大于则说明存在异常。
[0079] 本发明并不局限于前述的【具体实施方式】。本发明扩展到任何在本说明书中披露的 新特征或任何新的组合，W及披露的任一新的方法或过程的步骤或任何新的组合。
【主权项】
1. 一种网络攻击异常检测方法，其特征在于，包括： 步骤1:在网络流量汇聚节点部署流量数据采集设备； 步骤2:从采集到的流量数据中提取网络行为特征值； 步骤3:对网络行为特征值降维及标准化； 步骤4:确定正常的网络行为特征值，基于正常的网络行为特征值的集合建立正常行为 模型； 步骤5:基于正常行为模型对其他网络行为特征值进行检测，判断是否出现异常网络行 为； 在进行异常网络行为检测的同时，根据新的正常网络行为特征值对所述正常行为模型 进行更新。2. 根据权利要求1所述的一种网络攻击异常检测方法，其特征在于， 步骤1中，流量数据采集设备包括应用层流量数据采集设备及网络层流量数据采集设 备； 步骤4:分别确定正常的应用层网络行为特征值及正常的网络层网络行为特征值，基于 正常的应用层网络行为特征值的集合建立应用层正常行为模型;基于正常的网络层网络行 为特征值的集合建立网络层正常行为模型； 步骤5:基于应用层正常行为模型对其他应用层网络行为特征值进行检测，判断是否出 现异常网络行为;基于网络层正常行为模型对其他网络层网络行为特征值进行检测，判断 是否出现异常网络行为； 若应用层与网络层均检测到异常网络行为时则断定该事件为异常并告警;如果应用层 与网络层中只有一个检测到异常网络行为时则将该事件标定为可疑事件。3. 根据权利要求2所述的一种网络攻击异常检测方法，其特征在于，对于从应用层流量 数据提取的网络行为特征值：步骤4确定正常的应用层网络行为特征值的集合，利用K- means聚类算法将集合中的特征值分为若干聚类，并确定运些聚类的中屯、。4. 根据权利要求3所述的一种网络攻击异常检测算法，其特征在于，逐一计算其他的应 用层网络行为特征值与所述各个聚类中屯、的距离，当该应用层网络行为特征值到各个聚类 中屯、的最小值大于设定的阔值，则认为该应用层网络行为特征值为异常。5. 根据权利要求3或4所述的一种网络攻击异常检测方法，其特征在于，进行异常网络 行为检测的同时，将确定为正常的新的应用层网络行为特征值加入到原有的应用层正常网 络行为特征值集合中，利用K-means聚类算法将应用层正常网络行为特征值重新分为若干 聚类，并重新确定运些聚类的中屯、从而得到更新后的应用层正常行为模型。6. 根据权利要求2所述的一种网络攻击异常检测方法，其特征在于，对于从网络层流量 数据提取的网络行为特征值:步骤4确定正常的网络层网络行为特征值的集合，计算集合中 样本分布的均值[61，62，...61^]，4为网络层网络行为特征值的维度。7. 根据权利要求6所述的一种网络攻击异常检测算法，其特征在于，逐一计算其他的网 络层网络行为特征值[di，d2, . . .dk]是否与所述样本分布的均值[ei，e2, . . .ek]同分布:计算判断X2是否大于Χ2(α)，α为预设的置信水平，若大于则认为该网络层网 络行为特征值为异常。8.根据权利要求6或7所述的一种网络攻击异常检测方法，其特征在于，进行异常网络 行为检测的同时，将确定为正常的新的网络层网络行为特征值加入到原有的网络层正常网 络行为特征值集合中，重新计算该集合的样本分布均值，从而得到更新后的网络层正常行 为模型。
【专利摘要】本发明公开了一种网络攻击异常检测方法，涉及信息安全技术领域，本发明技术要点：步骤1：在网络流量汇聚节点部署流量数据采集设备；步骤2：从采集到的流量数据中提取网络行为特征值；步骤3：对网络行为特征值进行降维及标准化；步骤4：确定正常的网络行为特征值，基于正常的网络行为特征值的集合建立正常行为模型；步骤5：基于正常行为模型对其他网络行为特征值进行检测，判断是否出现异常网络行为；在进行异常网络行为检测的同时，根据新的正常网络行为特征值对所述正常行为模型进行更新。
【IPC分类】H04L29/06
【公开号】CN105553998
【申请号】CN201510976440
【发明人】刘方, 饶志宏, 徐锐
【申请人】中国电子科技集团公司第三十研究所
【公开日】2016年5月4日
【申请日】2015年12月23日