一种大流量环境下主机网络异常行为检测及分类方法
【技术领域】
[0001] 本发明属于互联网技术领域,更具体地,设及一种大流量环境下主机网络异常行 为检测及分类方法。
【背景技术】
[0002] 随着互联网飞速向前发展,网络新技术不断出现,网络带宽不断提高,网络安全问 题也日益多样化。网络攻击新技术的攻击行为更加隐蔽,并且对安全的危害性也越来越大。 同时,网络带宽的提高导致网络上承载的业务种类日趋多样化,从而增加了网络出现故障 和性能问题的概率。网络用户也更加注重网络服务质量。该就要求出现网络异常的时候, 能够尽快的检测到异常并对其分析处理后完成对异常的排除,从而保证网络可W正常的提 供服务。
[0003] 由于互联网开放的特点,各种网络协议和应用软件设计上层出不穷的漏洞W及用 户水平的参差不齐,造成目前网络的安全性无法得到保证。各种漏洞给黑客入侵和网络病 毒传播造成了许多可乘之机,使得互联网中充斥着各种扫描和攻击流量,会使网络性能出 现异常,影响网络的正常服务和用户使用,严重时可能造成网络擁痕。
[0004] 常见的会引起网络通讯异常的用户行为主要有W下几种:
[0005] 1、网络扫描;
[0006] 网络扫描作为一种常见的网络异常数据流,是黑客在为下一步的网络入侵进行踩 点准备,收集各种攻击目标的信息,包括在线主机ip地址和其开放的监听端口等。网络扫 描在一般情况下对目标网络中所有的地址进行扫描,来确定目标网络中的活跃主机,W及 活跃主机所开启的端口。该种行为具有明显的特征:短时间内同一个源IP访问同一个目标 IP的不同端口或者大量不同的目标IP,并且一般情况下目标IP地址还具有连续的特征。由 于在找到合适的入侵目标前,扫描时一项必须且漫长的过程,所W互联网内往往充斥了该 些流量,不仅影响网络通讯质量,更是一种严重的安全威胁。
[0007] 2、DoSA)DoS攻击;
[000引DoS值enialofService)攻击是指通过尽可能的消耗攻击目标资源的方法,使目 标计算机或网络无法提供正常服务,甚至彻底崩溃的一种攻击方法。该种攻击并不会对网 络设备和主机造成入侵,仅仅是消耗该些设备或主机的服务资源,包括CPU处理性能、网络 带宽、内存等。理论上无论目标计算机的内存容量多大、处理速度多快、网络带宽速度多高 都无法避免该种攻击。
[0009]DDoS(DistributedDenialOfService)攻击又把DoS攻击向前发展了一大步。 黑客首先在己经成功被其入侵和控制的高带宽主机上安装DoS攻击程序。该些被控制的主 机被称为愧備机,数目可能是成百上千,也有可能上万台。愧備机上的DoS攻击程序受到中 央控制中屯、的命令的控制,当中央攻击控制中屯、向愧備机发送启动DoS程序进行攻击时, 所有愧備机向特定的目标主机发送尽可能多的网络访问请求,从而形成一股DoS洪流对目 标系统造成冲击。而被攻击的目标系统由于资源的耗尽,无法及时处理正常的访问,甚至会 出现系统崩溃擁痕的情况。
[0010] 3、蠕虫传播;
[0011] 网络蠕虫是一种智能化、自动化,综合网络攻击、密码学和计算机病毒技术,无须 计算机使用者干预即可运行的攻击程序或代码,其会扫描和攻击网络上存在系统漏洞的主 机,通过网络从一台主机传播到另外一台主机。蠕虫病毒主要的破坏方式是大量的复制自 身,然后在网络中传播,严重的占用有限的网络资源,最终引起整个网络的擁痕,使用户不 能通过网络进行正常的工作。每一次蠕虫病毒的爆发都会给全球经济造成巨大损失,因此 其危害性是十分巨大的。
[0012] 网络用户异常行为是网络面临的一大威胁。所谓异常行为,顾名思义,是指与正常 行为相对应,由网络用户实施的对网络正常运行造成影响的行为,例如传播蠕虫、孤oS攻击 等。该些行为会造成网络服务质量急剧下降,网络负载加重甚至擁痕等后果。随着网络快 速发展,网络用户异常行为的新变种W及新行为层出不穷,其威胁也日益严重。因此无论是 加强对用户行为的管控,还是保障网络的正常运行,都要求能够对网络用户的异常行为实 施快速、准确的检测。用户网络异常行为检测技术可W作为合适的手段解决该个问题。尤 其是针对蠕虫传播早期阶段的检测,可W及时发现网络中感染了蠕虫的机器,并采取相应 处理,避免造成无法控制的危害。
[0013] 目前的网络异常检测技术和研究基本可分为W下几类:
[0014] 1、针对整体网络流量发现异常的研究和技术
[0015] 目前的网络异常检测研究几乎都属于此类,特点是W目标网络中某时刻的所有流 量整体做为检测目标,而检测结果一般为判定该时刻该网络是否发生了异常值oS攻击或 网络扫描)等。而该样的检测方法的局限性在于:
[0016] (1)由于检测目标过大,只有在发生足够大规模的攻击时才可能做出异常的判 定;
[0017] (2)由于检测目标过于复杂,常常使用复杂的数据挖掘和机器学习等算法来进行 分析,运算量大,在实时的网络环境和网络设备中难W实现;
[0018] (3)检测结果不够精细,无法给出异常的详细细节,例如:具体是哪些流量异常? 源目的IP地址、端口和协议是什么等?如果不能给出具体细节,就无法做出有效的拦截。
[0019] 2、基于阔值的简单检测技术
[0020] 该是目前各类网络和安全设备中使用最多的一类检测技术,特点是W单个IP(网 络用户)为分析对象,统计其在一段较短时间(通常为1秒)内发送的数据包数或者新建 的连接数是否超过预先设定的检测阔值来判断该IP是否出现了异常网络行为。该种检测 方法简单易于实现,可W识别一些典型的DoS攻击和网络扫描行为,但会对一些设及高速 下载或上传的网络应用(例如P2P和网络视频)造成误判,而对经过伪装的DDoS攻击和扫 描行为又会形成漏判。
【发明内容】
[0021] 针对现有技术的W上缺陷或改进需求,本发明提供一种大流量环境下主机网络异 常行为检测及分类方法,兼具准确性和实用性,使得可在各类网络设备中真正实现有效的 异常网络流量抑制功能,从而保证互联网的安全和有序。
[0022] 本发明提供一种大流量环境下主机网络异常行为检测及分类方法,包括W下步 骤:
[0023] 步骤1生成与维护网络连接表,所述网络连接表中的每个网络连接由源IP地址、 目的IP地址、源端口、目的端口、协议及时间信息唯一标识;
[0024] 步骤2实时Wnetflow数据格式将所述网络连接表发送到系统,所述系统获取一 定时间间隔的netflow数据后,解析所述netflow数据并建立当前的网络连接表副本,然后 开启新的线程遍历所述网络连接表,进行统计分析;
[0025] 步骤3在获得所述一定时间间隔的网络连接表副本后,采用哈希算法对所述网络 连接表副本进行处理,构建主机记录表存储主机信息;
[0026] 步骤4遍历所述主机记录表,读取其中网络连接总数的值,判断是否超过检测阔 值,如果未超过所述检测阔值则读取下一个主机记录,否则对该主机记录所有内容进行遍 历,统计目的IP总数和所有源端口及目的端口的分布,遍历完毕后,计算出该主机的源端 口滴、目的端口滴、源最大占比和目的最大占比;
[0027] 步骤5根据所述步骤4的计算结果判断该主机的异常行为类型。
[0028] 总体而言,通过本发明所构思的W上技术方案与现有技术相比,具有W下有益效 果:
[0029] 1、本发明利用计算机节点在进行网络扫描和DoS攻击行为时,并发连接数高,且 源