一种网络安全流量入侵检测方法和系统与流程
本发明涉及网络流量安全技术领域,尤其是一种网络安全流量入侵检测方法和系统。
背景技术:
物联网设备已经通过各类电子设备走入了千家万户,特别是涉及到视频监控和网络信息传输,均需要在互联网中传播数据,在发送数据包的流程中,由于控制层上的服务器会大幅度吞吐数据,因此对于不法分子而言,经由大量传输无用数据包采取撞库或非法输入大量入侵流量,导致服务器荷载增加以及数据错误,皆会导致服务器因受到数据入侵攻击引起流量安全隐患。
现有的针对于网络流量的检测一般经由snortids体系模块处理,然而针对于原始数据包的分析,一般都会产生检测方式单一,洁净数据源难以获得,导致误警率高等现象,特别是由于流量攻击频率较大的情况下,则会导致在时间段内的报警数量过多,再加上误警率高的现象,将进一步增加管理员对于报警信息的处理复杂程度,从而漏掉较为关键的有用信息,严重时则会造成物理设备受到外界不法流量接管,最终导致财产损失。
技术实现要素:
本发明提出了一种网络安全流量入侵检测方法和系统,以解决上文提到的现有技术的缺陷。
在一个方面,本发明提出了一种网络安全流量入侵检测方法,该方法包括以下步骤:
s1:根据网络中的正常运行流程,抓取并统计网络中的目标安全流量的特征编码,根据统计得到的所述目标安全流量的特征编码对所述目标安全流量进行储存得到基础安全网络流量行程记录;
s2:将所述基础安全网络流量行程记录作为原始备份记录,依据预先设置的snort规则对接收到的目标流量进行入侵检测,判断所述目标流量是否为异常流量,并针对所述异常流量触发识别报警;
s3:依据预先设置的snort规则判断所述异常流量是否为误识别流量,若是,则消除所述识别报警并执行s4,若否,执行s5;
s4:建立白名单识别库,管理员后台判断所述目标流量是否属于安全网络流量,若是,则将所述目标流量加入所述白名单识别库中,若否,则执行s5;
s5:将所述异常流量置入自适应入侵响应和入侵防御中,并提取所述异常流量的特征编码,根据所述特征编码建立黑名单识别库。
以上方法通过对异常流量的分类设定,在离线状态下传输基础纯洁的数据包,并形成单独识别库,其单独识别库呈离线状态,每一次在比对时皆主要从单独识别库中提取相应信息,并将诊断为异常流量按照流程步骤分类,通过提取数据包特征编码的形式,按照误警报数据、白名单数据和黑名单数据分类,并且均单独形成数据集合。
在具体的实施例中,所述特征编码包括:时间、流量吞吐量和数据包加密策略。
在具体的实施例中,所述根据统计得到的所述目标安全流量的特征编码对所述目标安全流量进行储存得到基础安全网络流量行程记录,具体包括:
针对所述目标安全流量的特征编码建立时间序列预测模型,按照时间序列对所述目标安全流量进行排列,并储存为基础安全网络流量行程记录;
将所述基础安全网络流量行程记录和所述时间序列预测模型构建为离线的流量统计数据库。
在具体的实施例中,所述白名单识别库的建立按照管理员后台的接入进行直接设置,且所述白名单识别库中的流量数据按照时间顺序排列。
在具体的实施例中,所述s2具体包括:
根据所述原始备份记录,按照时间序列建立snortids模块;
监听网络数据包,对网络进行分析;
用相应的插件来检查所述目标流量的原始数据包,判断所述原始数据包中的包括端口扫描和ip碎片在内的行为;
依据预先设置的snort规则检查所述原始数据包,当所述原始数据包中的内容与所述snort规则中的任意一条相匹配,判断所述原始数据包为异常流量,并触发识别报警,将所述识别报警传送给日志文件。
在具体的实施例中,所述snort规则具体包括:对所述目标流量的原始数据包按照规则头进行规则动作、协议、源信息和目的信息过程检验。
在具体的实施例中,所述s3具体包括:
判断所述规则头所检测的目标流量内容,并与所述基础安全网络流量行程记录比较源信息并进行目的信息过程检验,按照预先设定的用于判断安全网络流量的阈值,判断所述异常流量是否为误识别流量。
在具体的实施例中,所述s4具体包括:
设定时间范围,并根据所述时间范围进行读秒,同时提醒管理员处理所述目标流量;
管理员在所述时间范围内对所述目标流量进行实时在线处理,当管理员将所述目标流量处理为安全网络流量时,提取所述目标流量的特征编码,记录于所述白名单识别库内;
若后续接收到的目标流量的特征编码在所述白名单识别库中已存在,则不再提醒管理员对该目标流量进行处理;
若读秒完毕后无管理员对所述目标流量进行处理,执行s5。
本发明中白名单识别库所形成的报警信息为读秒设置,报警操作为管理员主动操作。
在具体的实施例中,所述s5具体包括:
对所有异常流量进行聚类分析分类为若干个聚类条目,将每个聚类条目的特征编码与所述黑名单识别库内所保存的特征编码进行对比;
若对比到相同的特征编码,将对应的异常流量直接反馈给自适应入侵响应和入侵防御;
若未对比到相同的特征编码,则判定对应的异常流量为新型入侵流量,根据该异常流量的数据包进行特征提取,将提取到的特征编码保存至所述黑名单识别库内,并同步响应自适应入侵响应和入侵防御;
对属于相同聚类条目的异常流量生成相似的入侵警报,并按照特征编码将属于相同聚类条目的异常流量折叠为同一种类型的流量数据。
本发明对于同一特征编码的警报进行折叠处理,从而进一步减少警报信息的数量。
根据本发明的第二方面,提出了一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被计算机处理器执行时实施上述方法。
根据本发明的第三方面,提出一种网络安全流量入侵检测系统,该系统包括:
基础安全网络流量统计模块:配置用于根据网络中的正常运行流程,抓取并统计网络中的目标安全流量的特征编码,根据统计得到的所述目标安全流量的特征编码对所述目标安全流量进行储存得到基础安全网络流量行程记录;
异常流量识别模块:配置用于将所述基础安全网络流量行程记录作为原始备份记录,依据预先设置的snort规则对接收到的目标流量进行入侵检测,判断所述目标流量是否为异常流量,并针对所述异常流量触发识别报警;
误识别检测模块:配置用于依据预先设置的snort规则判断所述异常流量是否为误识别流量,若是,则消除所述识别报警并执行白名单识别检测模块,若否,执行未知入侵流量识别模块;
白名单识别检测模块:配置用于建立白名单识别库,管理员后台判断所述目标流量是否属于安全网络流量,若是,则将所述目标流量加入所述白名单识别库中,若否,则执行未知入侵流量识别模块;
未知入侵流量识别模块:配置用于将所述异常流量置入自适应入侵响应和入侵防御中,并提取所述异常流量的特征编码,根据所述特征编码建立黑名单识别库。
本发明通过对异常流量的分类设定,在离线状态下传输基础纯洁的数据包,并形成单独识别库,其单独识别库呈离线状态,每一次在比对时皆主要从单独识别库中提取相应信息,并将诊断为异常流量按照流程步骤分类,通过提取数据包特征编码的形式,按照误警报数据、白名单数据和黑名单数据分类,并且均单独形成数据集合。
附图说明
包括附图以提供对实施例的进一步理解并且附图被并入本说明书中并且构成本说明书的一部分。附图图示了实施例并且与描述一起用于解释本发明的原理。将容易认识到其它实施例和实施例的很多预期优点,因为通过引用以下详细描述,它们变得被更好地理解。通过阅读参照以下附图所作的对非限制性实施例所作的详细描述,本申请的其它特征、目的和优点将会变得更明显:
图1是本申请可以应用于其中的示例性系统架构图;
图2是本发明的一个实施例的一种网络安全流量入侵检测方法的流程图;
图3是本发明的一个具体的实施例的snortids模块示意图;
图4是本发明的一个实施例的一种网络安全流量入侵检测系统的框架图;
图5是适于用来实现本申请实施例的电子设备的计算机系统的结构示意图。
具体实施方式
下面结合附图和实施例对本申请作进一步的详细说明。可以理解的是,此处所描述的具体实施例仅仅用于解释相关发明,而非对该发明的限定。另外还需要说明的是,为了便于描述,附图中仅示出了与有关发明相关的部分。
需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本申请。
图1示出了可以应用本申请实施例的一种网络安全流量入侵检测方法的示例性系统架构100。
如图1所示,系统架构100可以包括终端设备101、102、103,网络104和服务器105。网络104用以在终端设备101、102、103和服务器105之间提供通信链路的介质。网络104可以包括各种连接类型,例如有线、无线通信链路或者光纤电缆等等。
用户可以使用终端设备101、102、103通过网络104与服务器105交互,以接收或发送消息等。终端设备101、102、103上可以安装有各种应用,例如数据处理类应用、数据可视化类应用、网页浏览器应用等。
终端设备101、102、103可以是硬件,也可以是软件。当终端设备101、102、103为硬件时,可以是各种电子设备,包括但不限于智能手机、平板电脑、膝上型便携计算机和台式计算机等等。当终端设备101、102、103为软件时,可以安装在上述所列举的电子设备中。其可以实现成多个软件或软件模块(例如用来提供分布式服务的软件或软件模块),也可以实现成单个软件或软件模块。在此不做具体限定。
服务器105可以是提供各种服务的服务器,例如对终端设备101、102、103上展示的目标安全流量提供支持的后台信息处理服务器。后台信息处理服务器可以对获取的特征编码进行处理,并生成处理结果(例如基础安全网络流量行程记录)。
需要说明的是,本申请实施例所提供的方法可以由服务器105执行,也可以由终端设备101、102、103执行,相应的装置一般设置于服务器105中,也可以设置于终端设备101、102、103中。
需要说明的是,服务器可以是硬件,也可以是软件。当服务器为硬件时,可以实现成多个服务器组成的分布式服务器集群,也可以实现成单个服务器。当服务器为软件时,可以实现成多个软件或软件模块(例如用来提供分布式服务的软件或软件模块),也可以实现成单个软件或软件模块。在此不做具体限定。
应该理解,图1中的终端设备、网络和服务器的数目仅仅是示意性的。根据实现需要,可以具有任意数目的终端设备、网络和服务器。
根据本发明的一个实施例的一种网络安全流量入侵检测方法,图2示出了根据本发明的实施例的一种网络安全流量入侵检测方法的流程图。如图2所示,该方法包括以下步骤:
s201:根据网络中的正常运行流程,抓取并统计网络中的目标安全流量的特征编码,根据统计得到的所述目标安全流量的特征编码对所述目标安全流量进行储存得到基础安全网络流量行程记录。
在具体的实施例中,所述特征编码包括:时间、流量吞吐量和数据包加密策略。
在具体的实施例中,所述根据统计得到的所述目标安全流量的特征编码对所述目标安全流量进行储存得到基础安全网络流量行程记录,具体包括:
针对所述目标安全流量的特征编码建立时间序列预测模型,按照时间序列对所述目标安全流量进行排列,并储存为基础安全网络流量行程记录;
将所述基础安全网络流量行程记录和所述时间序列预测模型构建为离线的流量统计数据库。
s202:将所述基础安全网络流量行程记录作为原始备份记录,依据预先设置的snort规则对接收到的目标流量进行入侵检测,判断所述目标流量是否为异常流量,并针对所述异常流量触发识别报警。
在具体的实施例中,所述s202具体包括:
根据所述原始备份记录,按照时间序列建立snortids模块;
监听网络数据包,对网络进行分析;
用相应的插件来检查所述目标流量的原始数据包,判断所述原始数据包中的包括端口扫描和ip碎片在内的行为;
依据预先设置的snort规则检查所述原始数据包,当所述原始数据包中的内容与所述snort规则中的任意一条相匹配,判断所述原始数据包为异常流量,并触发识别报警,将所述识别报警传送给日志文件。
图3示出了本发明的一个具体的实施例的snortids模块示意图,如图,snortids模块300包含:
数据包嗅探模块301:负责监听网络数据包,对网络进行分析;
预处理模块302:该模块用相应的插件来检查原始数据包,从中发现原始数据的“行为”,如端口扫描,ip碎片等,数据包经过预处理后才传到检测模块303;
检测模块303:该模块是snort的核心模块;当数据包从预处理器送过来后,检测模块303依据预先设置的规则检查数据包,一旦发现数据包中的内容和某条规则相匹配,就通知报警/日志模块304;
报警/日志模块304:经检测模块303检查后的snort数据需要以某种方式输出,如果检测模块303中的某条规则被匹配,则会触发一条报警,这条报警信息会通过网络、unixsocket、windowspopup、snmp协议的trap命令传送给日志文件。
在具体的实施例中,所述snort规则具体包括:对所述目标流量的原始数据包按照规则头进行规则动作、协议、源信息和目的信息过程检验。
在具体的实施例中,按照规则头的规则动作、协议、源信息和目的信息过程检验,具体包括如下步骤:
(1)先判断规则头所检测的目标流量内容,并与基础安全网络流量行程记录比较源信息和目的信息过程检验,按照对安全网络流量设定的阈值,在超过阈值的情况下再次进一步增加阈值的百分比上线,以5-10%为设定基础,测定目标流量是否为误判断,若非误判断则直接进入下一步骤;
(2)按照报警/日志模块304,触发一条报警消息,此时报警消息为黄色报警消息,根据所设定的时间读秒时效,给与管理员的实时在线处理的时间,若管理员即时处理为安全网络流量时,则提取目标数据包的特征编码,记录于白名单识别库内,并在后续不再提醒,若读秒完毕后无管理员处理,即进入下一步骤;
(3)将所有非正常入侵流量聚类分析后,与黑名单识别库内所保存的特征编码对比,在特征编码相同情况下直接反馈自适应入侵响应和入侵防御,在黑名单识别库内没有相应特征编码时,则判定为检测出新型的入侵流量,先根据目标数据包进行特征提取,所提取后的特征编码保存至黑名单识别库内,并同步响应自适应入侵响应和入侵防御,且最终仅按照聚类分析后的条目形成相似入侵警报,并将其按特征编码折叠为同一种类。
s203:依据预先设置的snort规则判断所述异常流量是否为误识别流量,若是,则消除所述识别报警并执行s204,若否,执行s205。
在具体的实施例中,所述s203具体包括:
判断所述规则头所检测的目标流量内容,并与所述基础安全网络流量行程记录比较源信息并进行目的信息过程检验,按照预先设定的用于判断安全网络流量的阈值,判断所述异常流量是否为误识别流量。
s204:建立白名单识别库,管理员后台判断所述目标流量是否属于安全网络流量,若是,则将所述目标流量加入所述白名单识别库中,若否,则执行s205。
在具体的实施例中,所述白名单识别库的建立按照管理员后台的接入进行直接设置,且所述白名单识别库中的流量数据按照时间顺序排列。
在具体的实施例中,所述s204具体包括:
设定时间范围,并根据所述时间范围进行读秒,同时提醒管理员处理所述目标流量;
管理员在所述时间范围内对所述目标流量进行实时在线处理,当管理员将所述目标流量处理为安全网络流量时,提取所述目标流量的特征编码,记录于所述白名单识别库内;
若后续接收到的目标流量的特征编码在所述白名单识别库中已存在,则不再提醒管理员对该目标流量进行处理;
若读秒完毕后无管理员对所述目标流量进行处理,执行s205。
s205:将所述异常流量置入自适应入侵响应和入侵防御中,并提取所述异常流量的特征编码,根据所述特征编码建立黑名单识别库。
在具体的实施例中,所述s205具体包括:
对所有异常流量进行聚类分析分类为若干个聚类条目,将每个聚类条目的特征编码与所述黑名单识别库内所保存的特征编码进行对比;
若对比到相同的特征编码,将对应的异常流量直接反馈给自适应入侵响应和入侵防御;
若未对比到相同的特征编码,则判定对应的异常流量为新型入侵流量,根据该异常流量的数据包进行特征提取,将提取到的特征编码保存至所述黑名单识别库内,并同步响应自适应入侵响应和入侵防御;
对属于相同聚类条目的异常流量生成相似的入侵警报,并按照特征编码将属于相同聚类条目的异常流量折叠为同一种类型的流量数据。
图4示出了本发明的一个实施例的一种网络安全流量入侵检测系统的框架图。该系统包括基础安全网络流量统计模块401、异常流量识别模块402、误识别检测模块403、白名单识别检测模块404和未知入侵流量识别模块405。
在具体的实施例中,基础安全网络流量统计模块401被配置用于根据网络中的正常运行流程,抓取并统计网络中的目标安全流量的特征编码,根据统计得到的所述目标安全流量的特征编码对所述目标安全流量进行储存得到基础安全网络流量行程记录;
异常流量识别模块402被配置用于将所述基础安全网络流量行程记录作为原始备份记录,依据预先设置的snort规则对接收到的目标流量进行入侵检测,判断所述目标流量是否为异常流量,并针对所述异常流量触发识别报警;
误识别检测模块403被配置用于依据预先设置的snort规则判断所述异常流量是否为误识别流量,若是,则消除所述识别报警并执行白名单识别检测模块,若否,执行未知入侵流量识别模块;
白名单识别检测模块404被配置用于建立白名单识别库,管理员后台判断所述目标流量是否属于安全网络流量,若是,则将所述目标流量加入所述白名单识别库中,若否,则执行未知入侵流量识别模块;
未知入侵流量识别模块405被配置用于将所述异常流量置入自适应入侵响应和入侵防御中,并提取所述异常流量的特征编码,根据所述特征编码建立黑名单识别库。
本系统根据网络中的正常运行流程,抓取并统计网络中的目标安全流量的特征编码,得到基础安全网络流量行程记录;将所述基础安全网络流量行程记录作为原始备份记录,依据预先设置的snort规则对接收到的目标流量进行入侵检测,判断所述目标流量是否为异常流量,并针对所述异常流量触发识别报警;通过对异常流量的分类设定,在离线状态下传输基础纯洁的数据包,并形成单独识别库,在对异常流量进行比对时从单独识别库中提取相应信息,对异常流量进行分类,通过提取数据包特征编码的形式,按照误警报数据、白名单数据和黑名单数据分类,并且均单独形成数据集合。提升了入侵流量报警的正确率。
下面参考图5,其示出了适于用来实现本申请实施例的电子设备的计算机系统500的结构示意图。图5示出的电子设备仅仅是一个示例,不应对本申请实施例的功能和使用范围带来任何限制。
如图5所示,计算机系统500包括中央处理单元(cpu)501,其可以根据存储在只读存储器(rom)502中的程序或者从存储部分508加载到随机访问存储器(ram)503中的程序而执行各种适当的动作和处理。在ram503中,还存储有系统500操作所需的各种程序和数据。cpu501、rom502以及ram503通过总线504彼此相连。输入/输出(i/o)接口505也连接至总线504。
以下部件连接至i/o接口505:包括键盘、鼠标等的输入部分506;包括诸如液晶显示器(lcd)等以及扬声器等的输出部分507;包括硬盘等的存储部分508;以及包括诸如lan卡、调制解调器等的网络接口卡的通信部分509。通信部分509经由诸如因特网的网络执行通信处理。驱动器510也根据需要连接至i/o接口505。可拆卸介质511,诸如磁盘、光盘、磁光盘、半导体存储器等等,根据需要安装在驱动器510上,以便于从其上读出的计算机程序根据需要被安装入存储部分508。
特别地,根据本公开的实施例,上文参考流程图描述的过程可以被实现为计算机软件程序。例如,本公开的实施例包括一种计算机程序产品,其包括承载在计算机可读存储介质上的计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中,该计算机程序可以通过通信部分509从网络上被下载和安装,和/或从可拆卸介质511被安装。在该计算机程序被中央处理单元(cpu)501执行时,执行本申请的方法中限定的上述功能。需要说明的是,本申请所述的计算机可读存储介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(ram)、只读存储器(rom)、可擦式可编程只读存储器(eprom或闪存)、光纤、便携式紧凑磁盘只读存储器(cd-rom)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本申请中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本申请中,计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读存储介质,该计算机可读存储介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读存储介质上包含的程序代码可以用任何适当的介质传输,包括但不限于:无线、电线、光缆、rf等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言或其组合来编写用于执行本申请的操作的计算机程序代码,所述程序设计语言包括面向对象的程序设计语言—诸如java、smalltalk、c++,还包括常规的过程式程序设计语言—诸如“c”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络——包括局域网(lan)或广域网(wan)—连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。
附图中的流程图和框图,图示了按照本申请各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,该模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
描述于本申请实施例中所涉及到的模块可以通过软件的方式实现,也可以通过硬件的方式来实现。所描述的单元也可以设置在处理器中,并且这些单元的名称在某种情况下并不构成对该单元本身的限定。
本发明的实施例还涉及一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被计算机处理器执行时实施上文中的方法。该计算机程序包含用于执行流程图所示的方法的程序代码。需要说明的是,本申请的计算机可读介质可以是计算机可读信号介质或者计算机可读介质或者是上述两者的任意组合。
本发明根据网络中的正常运行流程,抓取并统计网络中的目标安全流量的特征编码,得到基础安全网络流量行程记录;将所述基础安全网络流量行程记录作为原始备份记录,依据预先设置的snort规则对接收到的目标流量进行入侵检测,判断所述目标流量是否为异常流量,并针对所述异常流量触发识别报警;通过对异常流量的分类设定,在离线状态下传输基础纯洁的数据包,并形成单独识别库,在对异常流量进行比对时从单独识别库中提取相应信息,对异常流量进行分类,通过提取数据包特征编码的形式,按照误警报数据、白名单数据和黑名单数据分类,并且均单独形成数据集合。提升了入侵流量报警的正确率。
以上描述仅为本申请的较佳实施例以及对所运用技术原理的说明。本领域技术人员应当理解,本申请中所涉及的发明范围,并不限于上述技术特征的特定组合而成的技术方案,同时也应涵盖在不脱离上述发明构思的情况下,由上述技术特征或其等同特征进行任意组合而形成的其它技术方案。例如上述特征与本申请中公开的(但不限于)具有类似功能的技术特征进行互相替换而形成的技术方案。
- 还没有人留言评论。精彩留言会获得点赞!