一种基于攻击范式的互联网异常行为检测方法与系统与流程

本发明涉及一种基于攻击范式的互联网异常行为检测方法与系统，属于网络安全技术领域。

背景技术：

互联网彻底改变人们传统的工作与生活方式，使人们无需等待、无需远行，就可以进行获取信息、沟通、购物、支付与娱乐，同时，大量黑客在互联网空间中穿越，进出终端、路由器、服务器，进行控制或窃取信息，这些网络攻击行为影响了用户的上网体验、严重影响了人们对互联网应用的安全感，使得人们在网上冲浪的过程中时刻担心着个人隐私是否会被泄漏。

互联网异常行为检测技术的发展有三个方向，一是流量统计和阈值检测技术；二是源与目的主机可信性验证技术；三是分布与特征技术。

对于这三个方向的技术，它们的优点是技术比较成熟，能够比较有效地检测网络异常行为；缺陷是存在较大的误报率或漏报率、并且无法确定攻击路径。

技术实现要素：

为了克服现有技术的不足,本发明提供一种基于攻击范式的互联网异常行为检测方法与系统。

一种基于攻击范式的互联网异常行为检测方法，包括以下步骤：

步骤A、基于有限状态机创建攻击范式库；

步骤B、基于异常行为创建网络节点信誉库；

步骤C、基于攻击范式库与节点信誉库检测网络攻击。

一种基于攻击范式的互联网异常行为检测系统，包括创建攻击范式库模块、创建网络节点信誉库模块与检测网络攻击模块，

创建攻击范式库模块创建跳板攻击范式、中间人攻击范式与水坑攻击范式；

创建网络节点信誉库模块包括判定网络节点类型、创建网络节点信誉库；

检测网络攻击模块包括基于有限状态机匹配与基于节点信誉库判定。

本发明的优点是使得能够快速检测网络异常行为，快速精确地定位互联网攻击路径，以保证互联网应用的安全性，给网络用户一个安全的互联网应用环境。

附图说明

当结合附图考虑时，通过参照下面的详细描述，能够更完整更好地理解本发明以及容易得知其中许多伴随的优点，但此处所说明的附图用来提供对本发明的进一步理解，构成本发明的一部分，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定，如图其中：

图1是基于攻击范式的互联网异常行为检测系统的组网示意图；

图2是本发明方法的系统结构示意图；

图3是本发明方法的主流程图；

图4是本发明方法判定网络节点类型的流程图；

图5是本发明方法创建网络节点信誉库的流程图。

下面结合附图和实施例对本发明进一步说明。

具体实施方式

显然，本领域技术人员基于本发明的宗旨所做的许多修改和变化属于本发明的保护范围。

本技术领域技术人员可以理解，除非特意声明，这里使用的单数形式“一”、“一个”、“所述”和“该”也可包括复数形式。应该进一步理解的是，本说明书中使用的措辞“包括”是指存在所述特征、整数、步骤、操作、元件和/或组件，但是并不排除存在或添加一个或多个其他特征、整数、步骤、操作、元件、组件和/或它们的组。应该理解，当称元件、组件被“连接”到另一元件、组件时，它可以直接连接到其他元件或者组件，或者也可以存在中间元件或者组件。这里使用的措辞“和/或”包括一个或更多个相关联的列出项的任一单元和全部组合。

本技术领域技术人员可以理解，除非另外定义，这里使用的所有术语(包括技术术语和科学术语)具有与本发明所属领域中的普通技术人员的一般理解相同的意义。

为便于对本发明实施例的理解，下面将做进一步的解释说明，且各个实施例并不构成对本发明实施例的限定。

实施例1：如图1、图2、图3、图4及图5所示，

一种基于攻击范式的互联网异常行为检测方法，包括以下步骤：

步骤A、基于有限状态机创建攻击范式库；

步骤B、基于异常行为创建网络节点信誉库；

步骤C、基于攻击范式库与节点信誉库检测网络攻击。

所述步骤A包括：

步骤A1、创建跳板攻击范式有限状态机表达式；

步骤A2、创建中间人攻击范式有限状态机表达式；

步骤A3、创建水坑攻击范式有限状态机表达式。

基于攻击范式检测互联网异常行为所需的有限状态机表达式信息包括：状态集、IP地址与攻击动作。

优选地，所述步骤B包括：

步骤B1、基于进出流量比值判断网络节点类型；

步骤B2、基于节点类型与进出包的大小判断网络节点异常行为；

步骤B3、基于异常行为创建网络节点信誉库。

网络节点信誉库信息包括：IP地址、节点类型、进流量统计值与出流量统计值。

优选地，所述步骤C包括：

步骤C1、基于有限状态机判定潜在攻击路径；

步骤C2、基于节点信誉库确认攻击路径。

一种基于攻击范式的互联网异常行为检测系统，包括创建攻击范式库模块、创建网络节点信誉库模块与检测网络攻击模块，

创建攻击范式库模块创建跳板攻击范式、中间人攻击范式与水坑攻击范式；

创建网络节点信誉库模块包括判定网络节点类型、创建网络节点信誉库；

检测网络攻击模块包括基于有限状态机匹配与基于节点信誉库判定。

实施例2：如图1、图2、图3、图4及图5所示，一种基于攻击范式的互联网异常行为检测方法与系统，使得能够快速精确地定位互联网攻击路径，以保证互联网应用的安全性，给网络用户一个安全的互联网应用环境。

一种基于攻击范式的互联网异常行为检测方法，含有以下步骤；

创建攻击范式库步骤，包括创建跳板攻击范式、创建中间人攻击范式与创建水坑攻击范式；

创建网络节点信誉库步骤，包括判定网络节点类型、创建网络节点信誉库；

检测网络攻击步骤，包括基于有限状态机匹配与基于节点信誉库判定。

如图1所示，一种基于攻击范式的互联网异常行为检测系统，其中，

云平台包括交换机、虚拟服务器、虚拟防火墙、互联网应用服务、远程登录网络服务；

基于攻击范式的互联网异常行为检测系统，用于创建攻击范式、判定网络节点类型、创建节点信誉库、检测互联网攻击路径；

互联网包括路由器与交换机，可以传送和路由网络流量。

实施例3：如图1、图2、图3、图4及图5所示，对本发明方法的系统结构进行详细说明。

一种基于攻击范式的互联网异常行为检测系统，包括创建攻击范式库模块，包括创建跳板攻击范式、创建中间人攻击范式与创建水坑攻击范式；

创建网络节点信誉库模块，包括判定网络节点类型、创建网络节点信誉库；

检测网络攻击模块，包括基于有限状态机匹配与基于节点信誉库判定。

为了使本技术领域的人员更好地理解本发明，下面结合图3所示的流程图对本发明进行进一步的详细说明。

一种基于攻击范式的互联网异常行为检测方法，包括以下步骤：

步骤301：基于有限状态机构建跳板攻击范式；

步骤302：基于有限状态机构建中间人攻击范式；

步骤303：基于有限状态机构建水坑攻击范式；

步骤304：基于进出流量比值判断网络节点类型；

步骤305：基于节点类型与进出包的大小判断网络节点异常行为；

步骤306：基于异常行为构建网络节点信誉库。

步骤307：基于有限状态机判定潜在攻击路径；

步骤308：基于节点信誉库确认攻击路径。

下面结合图4所示的流程图对本发明进行进一步的详细说明。

一种基于攻击范式的互联网异常行为检测方法，所述步骤B1中包括以下步骤：

步骤401：以小时为周期，统计网络节点的进出流量；

步骤402：判断进流量是否等于出流量，若不是，转入步骤403；若是，判定为管节点，转入步骤404；

步骤403：判断进流量是否大于出流量，若是，判定为端节点，否则判定为云节点，转入步骤404；

步骤404：将节点IP地址与节点类型存入节点类型库中。

下面结合图5所示的流程图对本发明作进一步的详细说明。一种基于攻击范式的互联网异常行为检测方法，所述步骤B中包括以下步骤：

步骤601：捕获进出HTTP包长于500字节或其它IP包长于100字节的网络节点IP地址；

步骤602：判断网络节点是否是端节点，且出HTTP包长于500字节或其它IP包长于100字节，若是，转入步骤604；若不是，转入步骤603；

步骤603：判断网络节点是否是代理节点，若是，转入步骤604；若不是，则结束程序；

步骤604：将网络异常行为节点放入信誉库中。

如上所述，对本发明的实施例进行了详细地说明，但是只要实质上没有脱离本发明的发明点及效果可以有很多的变形，这对本领域的技术人员来说是显而易见的。因此，这样的变形例也全部包含在本发明的保护范围之内。