一种基于网络运行安全的计算机系统检测方法与流程

本发明涉及计算机安全领域，尤其是一种基于网络运行安全的计算机系统检测方法。

背景技术：

1、本发明的目的就在于为了解决上述提出的问题，而提出一种计算机网络运行安全入侵检测系统，将计算机网络与对应用户进行特征轮廓搭建，提高计算机网络的运行效率以及对应用户的使用质量，同时根据搭建的特征轮廓有利于提高安全入侵检测的准确性，间接保护用户的数据同时降低计算机网络的故障风险；将计算机网络内安全参考阈值进行设定控制，防止阈值过大导致漏警率增加，同时防止阈值过小导致虚警率过高，准确的控制安全参考阈值有利于提高计算机网络的安全检测力度，增强计算机网络的工作效率；通过计算机网络入侵模拟判断计算机网络内各个部位异常运行时影响的参数，从而提高网络入侵的检测力度，同时能够加强网络入侵后的维护进度。随着对信息安全的需求越来越高，网络运行安全技术的发展得到了广泛的关注。为了防止攻击者或者黑客的攻击，现有技术中采用了蜜罐技术。其中，蜜罐技术是一种对攻击者进行欺骗的技术，例如，通过布置一些作为诱饵的网络服务或信息，诱使攻击者对它们实施攻击，从而对攻击行为进行捕获和分析，以便于对攻击者进行追踪和标记等。各种网络攻击和威胁层出不穷，传统的安全防御手段已经无法满足现代网络的需求；时间序列的异常点是用户(或系统)产生的不符合预期时间序列行为模式的数据。检测和发现时间序列的异常点，可以辅助用户(或系统)有效的发现ddos攻击、部分数据泄露等未知威胁，提供有效的决策支持，能够更准确地识别网络威胁行为，提高了网络运行安全的水平。

2、因此，有必要提供一种基于网络运行安全的计算机系统检测方法，来解决上述现有技术中的不足。

技术实现思路

1、本部分的目的在于概述本发明的实施例的一些方面以及简要介绍一些较佳实施例，在本部分以及本技术的说明书摘要和发明名称中可能会做些简化或省略以避免使本部分、说明书摘要和发明名称的目的模糊，而这种简化或省略不能用于限制本发明的范围。

2、因此，本发明所要解决的技术问题是检测计算机网络系统中的潜在安全威胁的问题。

3、为解决上述技术问题，本发明提供如下技术方案：一种基于网络运行安全的计算机系统检测方法，其特征在于，包括服务器，其服务器连接有特征轮廓搭建单元，用于将计算机网络与对应用户进行特征轮廓搭建，获取到计算机的网络特征轮廓和用户特征轮廓，且在计算机网络内网络特征轮廓与各个用户的用户特征轮廓均适配，且网络特征轮廓针对不同的用户特征轮廓，其网络特征轮廓不相同；

4、还包括：特征提取和威胁检测两个阶段，并且在威胁检测阶段引入了时间因子，以提高威胁检测的准确性；本算法根据探针上送到神探服务器平台的周期同步类流量统计数据，面向syn、http、udp和icmp洪水攻击进行时间序列建模和异常检测，本算法运行于神探系统的算法集群模块；

5、参考阈值设定控制单元，用于将计算机网络内安全参考阈值进行设定控制，将各个用户对应用户特征轮廓与对应网络特征轮廓完成搭建后，将匹配合格的用户特征轮廓和网络特征轮廓形成运行闭环，将运行闭环进行分析并生成阈值重设定信号和阈值满足信号，并将发送至服务器；试入侵预警分析单元，用于将当前计算机网络进行入侵模拟，通过计算机网络入侵模拟判断计算机网络内各个部位异常运行时影响的参数，通过分析生成网络运行安全策略、入侵标签以及实时入侵类型，并将其发送至服务器；实时入侵检测单元，用于将实时运行的计算机网络进行实时入侵检测，通过分析将网络运行参数进行维护和预警；

6、在目标攻击设备对目标虚拟应用程序进行攻击的过程中，检测该目标攻击设备是否识别出该目标虚拟应用程序运行于虚拟计算机，其中，该目标虚拟应用程序基于模拟目标应用程序的业务逻辑生成；若检测到目标攻击设备识别出所述目标虚拟应用程序运行于虚拟计算机，则从第一目标数据库中获取目标历史数据，其中，该目标历史数据在每一次判定该目标虚拟应用程序被识别出运行于虚拟计算机时生成；基于目标历史数据，确定目标虚拟应用程序在下一次被攻击时是否会被识别出运行于虚拟计算机；若确定目标虚拟应用程序会被识别出运行于虚拟计算机，则通过目标物理计算机运行该目标虚拟应用程序，其中，该目标物理计算机为网络运行安全防护平台或与该网络运行安全防护平台关联的其它网络设备。

7、在计算机网络与用户进行通讯连接时，将其通讯过程进行分析，根据用户登录至计算机网络的执行操作进行分析，若用户对应执行操作频率超过执行频率阈值，则将对应执行操作标记为计入执行；若用户对应执行操作频率未超过执行频率阈值，则将对应执行操作标记为非计入执行；将通讯过程中用户的计入执行以执行顺序汇总，构建用户特征轮廓，并采集到用户特征轮廓内计入执行的执行特征，执行特征表示为用户登录至计算机网络后对应执行操作的频率、耗时；用户特征轮廓表示为用户对应计入执行通过执行顺序组合后的浏览流程，且包括各个计入执行的执行特征；根据对应用户特征轮廓执行时，计算机网络内响应操作进行分析，若计算机网络内响应操作的出现概率超过概率阈值，则将对应响应操作标记为计入响应；若计算机网络内响应操作的出现概率未超过概率阈值，则将对应响应操作标记为非计入响应；根据用户特征轮廓顺序，将计算机网络对应的计入响应进行排序，并将对应顺序的计入响应的响应特征进行采集，在响应特征完成采集后构建网络特征轮廓，响应特征表示为计算机网络针对用户执行操作的响应时长、通过率；

8、本算法还可以分解为时间序列线性回归建模、时间序列rcf建模和时间序列检测三个模块。

9、作为本发明所述基于网络运行安全的计算机系统检测方法的一种优选方案，检测所述目标攻击设备是否停止对所述目标虚拟应用程序进行攻击；若检测到所述目标攻击设备已经停止对所述目标虚拟应用程序进行攻击，则获取该目标攻击设备的目标攻击行为数据，其中，该目标攻击行为数据基于该目标攻击设备对该目标虚拟应用程序的全部网络攻击行为产生；通过第一目标线程对所述目标攻击行为数据进行解析处理，得到第一解析结果，其中，该第一解析结果包括所述目标攻击设备对所述目标虚拟应用程序进行的网络攻击行为的至少一个目标攻击行为类型信息；通过第二目标线程基于第一个所述目标攻击行为类型信息生成攻击事件请求信息，并基于该攻击事件请求信息在第二目标数据库中查找到至少一个目标攻击事件信息，其中，每一个所述目标攻击事件信息对应的攻击事件至少基于该第一个目标攻击行为类型信息对应的网络攻击行为构成，且该第二目标数据库中包括多个攻击事件信息，每一个所述攻击事件信息对应的攻击事件至少基于一个网络攻击行为构成；针对每一个所述目标攻击事件信息，获取构成该目标攻击事件信息对应的攻击事件的全部网络攻击行为对应的全部攻击行为类型信息，形成该目标攻击事件信息对应的攻击行为类型信息集合；确定每一个所述攻击行为类型信息集合包括的全部攻击行为类型信息与所述目标攻击行为类型信息之间的关系；若每一个所述攻击行为类型信息集合包括的全部攻击行为类型信息与所述目标攻击行为类型信息之间都属于第一目标关系，则在所述网络运行安全防护平台的目标缓存中查找历史攻击数据，其中，该第一目标关系为所述攻击行为类型信息集合包括的全部攻击行为类型信息属于多个所述目标攻击行为类型信息中的部分，且该历史攻击数据基于历史上所述目标攻击设备或其它设备对所述目标虚拟应用程序进行的网络攻击行为产生；

10、根据硬件设备和网络设备的模拟故障设置故障时间段，采集到故障时间段内实时网络运行参数对应数值浮动时刻以及对应数值浮动频率，将对应数值浮动频率超过浮动频率阈值的实时网络运行参数类型设置入侵标签，并将对应入侵标签与实时入侵类型进行绑定，并将其发送至服务器；将带有入侵标签的实时网络运行参数标记为影响参数，根据影响参数对计算机网络的合格参数进行筛分，将完成筛分后的合格参数标记为网络运行安全策略，并将网络运行安全策略发送至服务器；网络运行安全策略表示为网络运行参数的合格阈值范围。

11、作为本发明所述基于网络运行安全的计算机系统检测方法的一种优选方案，所述特征提取阶段采用机器学习算法对数据进行特征提取；所述时间序列线性回归建模的步骤如下：(一)通过接口(1)将sparkstreaming每5分钟取出的一批netflow，先针对destip为内网资产为条件过滤，再以dstip为条件进行groupby，针对groupby对象sum其上行syn/synack、http上行报文bytes(back攻击)，udp上行报文bytes(udp洪水)和icmp上行报文bytes(ping of death攻击)，并取本批netflow中最晚的结束时间根据5分钟取整后作为时间戳；

12、(二)将处理流程1中得到的统计值及时间戳，以资产索引和时间戳构造二级字典，通过接口(2)累计到redis中，并删除资产时间戳超过24小时的统计值；

13、(三)资产线性回归建模。每当资产到达资产的时间序列建模时间，(时间周期为1小时)，从redis中读取该资产的不同统计值，构造时间序列；按照24小时为周期填充缺失日期，缺失值取0；针对时间序列，提取时间特征和自相关特征；

14、(四)使用sgdregressor进行建模，penalty采用l1，使用partial_fit方法进行在线增量建模；建立model序列化后，以资产索引、统计协议为二级字典，存入redis中；

15、(五)资产聚类线性回归建模。资产聚类时，从redis中通过接口(3)读取资产索引，取出该类资产的不同统计值，构造时间序列，使用sgdregressor进行建模，penalty采用l1，使用partial_fit方法进行在线增量建模；建立model序列化后，以资产索引、协议类型为二级字典，存入redis中。

16、作为本发明所述基于网络运行安全的计算机系统检测方法的一种优选方案，所述威胁检测阶段采用基于时间因子的威胁检测算法对特征向量进行分类预测；所述时间序列rcf建模的步骤如下：(一)通过接口(1)将sparkstreaming每5分钟取出的一批netflow，先针对destip为内网资产为条件过滤，再以dstip为条件进行groupby，针对groupby对象sum其syn会话数量、http上行报文bytes(back攻击)，udp上行报文bytes(udp洪水)和icmp上行报文bytes(ping of death攻击)，并取本批netflow中最晚的结束时间根据5分钟取整后作为时间戳；

17、(二)将处理流程1中得到的统计值及时间戳，以资产索引、协议类型构造二级字典，通过接口(2)累计到redis中，并删除资产时间戳超过24小时的统计值；

18、(三)资产rcf建模。每当资产到达资产的时间序列建模时间，(时间周期为1小时)，从redis中读取该资产的不同统计值，构造时间序列；按照24小时为周期填充缺失日期，缺失值取0；针对时间序列，使用滑动窗口进行切分，窗口大小w默认取12，滑动步长s默认取1；使用rcf进行建模，contamination默认取(1/

19、(7*24*12)＝0.0005)；建立model序列化后，以资产索引、统计协议、建模时间为三级字典，存入redis中，同时删除时间超过一个月的模型；

20、(四)资产聚类rcf建模。资产聚类时，从redis中通过接口(3)读取资产索引，取出该类资产的不同统计值，构造时间序列，按照24小时为周期填充缺失日期，缺失值取0；针对该类所有的时间序列，使用滑动窗口进行切分，窗口大小默认为12，滑动步长为1；使用rcf进行建模，contamination默认取(1/(7*24*12)

21、＝0.0005)；建立model序列化后，以资产索引、统计协议、建模时间为三级字典，存入redis中；同时删除时间超过一个月的模型。

22、作为本发明所述基于网络运行安全的计算机系统检测方法的一种优选方案，实时入侵检测单元的运行过程如下：将设置有入侵标签的网络运行参数作为优先监测参数，若优先监测参数对应数值未处于网络运行安全策略，则将对应优先监测参数对应的实时入侵类型作为当前入侵类型，并将当前入侵类型进行整顿的同时将当前入侵类型对应的影响参数进行控制；当优先监测参数对应数值处于网络运行安全策略时，若优先监测参数数值与网络运行安全策略内范围阈值差值缩短速度超过缩短速度阈值，则将对应优先监测参数作为实时预警参数，同时将优先监测参数对应入侵类型的影响参数进行监控。

23、作为本发明所述基于网络运行安全的计算机系统检测方法的一种优选方案，所述检测该目标攻击设备是否识别出该目标虚拟应用程序运行于虚拟计算机的步骤，还包括：若至少存在一个所述攻击行为类型信息集合包括的全部攻击行为类型信息与所述目标攻击行为类型信息之间不属于所述第一目标关系，则确定存在的一个所述攻击行为类型信息集合包括的全部攻击行为类型信息与所述目标攻击行为类型信息之间是否属于第二目标关系，其中，该第二目标关系为所述攻击行为类型信息集合包括的全部攻击行为类型信息与所述目标攻击行为类型信息相同；若存在的一个所述攻击行为类型信息集合包括的全部攻击行为类型信息与所述目标攻击行为类型信息之间属于所述第二目标关系，则确定所述目标攻击设备未识别出所述目标虚拟应用程序运行于虚拟计算机；若存在的一个所述攻击行为类型信息集合包括的全部攻击行为类型信息与所述目标攻击行为类型信息之间不属于所述第二目标关系，则确定所述目标攻击设备已经识别出所述目标虚拟应用程序运行于虚拟计算机。

24、作为本发明所述基于网络运行安全的计算机系统检测方法的一种优选方案，所述检测该目标攻击设备是否识别出该目标虚拟应用程序运行于虚拟计算机的步骤，还包括：若多个所述目标攻击行为类型信息不属于任一次对所述目标虚拟应用程序进行的网络攻击行为的所述历史攻击行为类型信息的部分，则确定所述目标攻击设备未识别出所述目标虚拟应用程序运行于虚拟计算机；

25、所述检测该目标攻击设备是否识别出该目标虚拟应用程序运行于虚拟计算机的步骤，还包括：若多个所述目标攻击行为类型信息不属于任一次对所述目标虚拟应用程序进行的网络攻击行为的所述历史攻击行为类型信息的部分，则基于多个所述目标攻击行为类型信息生成新的攻击事件信息；将所述新的攻击事件信息存储至所述第二目标数据库。

26、作为本发明所述基于网络运行安全的计算机系统检测方法的一种优选方案，当检测到威胁行为时，能够触发相应的安全策略；所述时间序列检测模块的步骤如下：(一)通过接口(1)将sparkstreaming每5分钟取出的一批netflow，先针对destip为内网资产为条件过滤，再以dstip为条件进行groupby，针对groupby对象sum其syn会话数量、http上行报文bytes(back攻击)，udp上行报文bytes(udp洪水)和icmp上行报文bytes(ping of death攻击)，并取本批netflow中最晚的结束时间根据5分钟取整后作为时间戳；

27、(二)将处理流程1中得到的统计值及时间戳，计算与时间序列线性回归的预测值的残差，计算累计残差均值，累计残差方差，一起通过接口(2)以资产索引和协议类型为二级字典记入redis中；

28、(三)计算该批次的统计是否超出10倍标准差，xi-xi□≥n*σ，n默认取10，计算分布概率，连同该批数据的统计值通过接口(2)，以资产索引和协议类型构造二级字典记入redis中，同时删除超过24小时的数据；

29、(四)将处理流程1中得到的统计值及时间戳，构造大小为w的滑动窗口，w默认取12；使用rcf模型进行检测，如果rcf模型报异常，同时滑动窗口中一个或多个数据的线性回归结果异常，通过接口(3)将告警信息写入es。

30、本发明的有益效果：收集网络设备的日志数据、流量数据以及其他安全数据；对收集到的数据进行预处理，数据清洗、格式转化等，以便后续的威胁检测算法处理；结合了netflow分析、时间序列分析方法、机器学习算法和安全防御措施，通过时间序列分析、趋势分析、周期分析和时序预测的功能，可以对网络系统中的潜在安全威胁进行快速识别和响应；能够根据历史数据分析和预测未来威胁，如果检测到威胁行为，则触发相应的安全策略，从而提高网络系统的安全性能，可以自适应地调整模型和算法参数，适应不同网络环境和威胁情况。将计算机网络与对应用户进行特征轮廓搭建，提高计算机网络的运行效率以及对应用户的使用质量，同时根据搭建的特征轮廓有利于提高安全入侵检测的准确性，间接保护用户的数据同时降低计算机网络的故障风险；

31、将计算机网络内安全参考阈值进行设定控制，防止阈值过大导致漏警率增加，同时防止阈值过小导致虚警率过高，准确的控制安全参考阈值有利于提高计算机网络的安全检测力度，增强计算机网络的工作效率；将实时运行的计算机网络进行实时入侵检测，提高计算机网络的入侵检测效率，同时针对性的入侵检测有利于降低检测强度。可以通过目标物理计算机运行目标虚拟应用程序，提高了目标虚拟应用程序被识别出的难度，可以改善由于将目标虚拟应用程序一直通过虚拟计算机运行而导致容易被识别出的问题，从而改善现有的网络运行安全技术中存在的防护效果较差的问题，并且，还可以避免直接通过目标物理计算机运行目标虚拟应用程序而存在成本较高的问题，具有较高的实用价值。