網(wǎng)絡(luò)外向流量分類方法���、特征矩陣設(shè)計(jì)及監(jiān)測(cè)方法和系統(tǒng)的制作方法
【專利摘要】本發(fā)明涉及一種網(wǎng)絡(luò)外向流量分類方法、和一個(gè)用于識(shí)別流量特征的特征矩陣設(shè)計(jì)及流量特征提取方法和系統(tǒng)�,本發(fā)明在內(nèi)部網(wǎng)絡(luò)和互聯(lián)網(wǎng)接口處將從內(nèi)到外方向的網(wǎng)絡(luò)外向流量根據(jù)一個(gè)特定的方法進(jìn)行分類,在這個(gè)分類基礎(chǔ)上���,結(jié)合一系列仔細(xì)選擇的流量屬性�����,設(shè)計(jì)了一個(gè)外向流量類別特征矩陣����。通過(guò)首先計(jì)算出正常狀態(tài)下網(wǎng)絡(luò)流量的特征,然后依據(jù)這一特征矩陣將監(jiān)測(cè)到的流量和基線進(jìn)行比較��,我們可以快速地判斷特定流量是否符合正常外向流量的特征�����,哪些方面呈現(xiàn)異常�,需要進(jìn)一步聚焦檢查,以便判斷其是否可能是源于內(nèi)部威脅的高風(fēng)險(xiǎn)流量。
【專利說(shuō)明】網(wǎng)絡(luò)外向流量分類方法、特征矩陣設(shè)計(jì)及監(jiān)測(cè)方法和系統(tǒng)
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及計(jì)算機(jī)網(wǎng)絡(luò)【技術(shù)領(lǐng)域】�,特別是一種網(wǎng)絡(luò)外向流量分類及特征提取方法。
【背景技術(shù)】
[0002]為了讓一般技術(shù)人員更好的理解本發(fā)明,下面對(duì)本領(lǐng)域的一些公知技術(shù)進(jìn)行簡(jiǎn)單介紹:
[0003]計(jì)算機(jī)網(wǎng)絡(luò):通過(guò)標(biāo)準(zhǔn)化的或者業(yè)界通用的方式��,將計(jì)算機(jī)通過(guò)網(wǎng)絡(luò)線聯(lián)在一起,使彼此可以相互傳輸數(shù)據(jù);目前最常見(jiàn)的是采用TCP/IP傳輸協(xié)議的計(jì)算機(jī)網(wǎng)絡(luò)���;計(jì)算網(wǎng)絡(luò)分為面向機(jī)構(gòu)內(nèi)部的私有網(wǎng)絡(luò)(或企業(yè)專網(wǎng)),和面向所有人的公共網(wǎng)絡(luò),二者之間通常是由機(jī)構(gòu)部署的防火墻設(shè)備來(lái)隔離,這種隔離是邏輯上的隔離,物理上網(wǎng)絡(luò)還是聯(lián)通的�。
[0004]公共互聯(lián)網(wǎng):公共互聯(lián)網(wǎng)是指對(duì)大量外部用戶(人或機(jī)器)的訪問(wèn)不加特別限制的網(wǎng)絡(luò)�,比如面向公眾的網(wǎng)站。
[0005]網(wǎng)絡(luò)安全:因?yàn)槟承┬畔⑹且诒豢刂频臈l件下向部分用戶開(kāi)放�����,這些信息的價(jià)值依賴于其真實(shí)性����,因此多種技術(shù)手段被發(fā)明以便確保控制信息的傳播����、誰(shuí)能訪問(wèn)那些信息、信息不被未授權(quán)的人獲取�����、信息未被篡改等等��;這些手段統(tǒng)一被稱為網(wǎng)絡(luò)安全技術(shù)���。
[0006]網(wǎng)絡(luò)監(jiān)控:因?yàn)榫W(wǎng)絡(luò)安全技術(shù)并非萬(wàn)能和牢不可破,在使用過(guò)程中需要不斷地觀察��,以便確認(rèn)其使用方式正確,使用效果被達(dá)到�����;這種觀察是通過(guò)網(wǎng)絡(luò)監(jiān)控來(lái)實(shí)現(xiàn)的��,通常是對(duì)經(jīng)過(guò)某一個(gè)或多個(gè)網(wǎng)絡(luò)結(jié)點(diǎn)的網(wǎng)絡(luò)流量進(jìn)行分析����,來(lái)得到相關(guān)結(jié)論。因此網(wǎng)絡(luò)監(jiān)控是發(fā)現(xiàn)各種問(wèn)題和異常的有效手段����。
[0007]網(wǎng)絡(luò)流量特征:幾乎所有網(wǎng)絡(luò)監(jiān)控技術(shù)都要從大量的流量數(shù)據(jù)中識(shí)別出哪些屬于異常的,哪些屬于可疑的并需要進(jìn)一步分析的�。這種識(shí)別往往是基于某種對(duì)正常和非正常流量的判別準(zhǔn)則。這些判別準(zhǔn)則通常是基于對(duì)流量特征的捕捉���,這種特征分為正常流量的特征和異常流量的特征����。因此流量特征的準(zhǔn)確性極大地影響了識(shí)別的準(zhǔn)確性��。
[0008]現(xiàn)有的技術(shù)用到網(wǎng)絡(luò)流量的各種特征��,主要包括:網(wǎng)絡(luò)病毒特征(VirusSignature):早期的網(wǎng)絡(luò)病毒具有自我復(fù)制和傳播的功能,因此具有比較明顯的特征�����,這些特征成為了防病毒廠商制作防病毒工具的主要依據(jù)�。任何防病毒產(chǎn)品都需要不斷地更新其病毒特征庫(kù),否則它就無(wú)法及時(shí)發(fā)現(xiàn)最新的病毒����。網(wǎng)絡(luò)外部攻擊特征(External AttackPattern):當(dāng)一個(gè)系統(tǒng)受到來(lái)自于公共互聯(lián)網(wǎng)的攻擊時(shí),其攻擊是有其特征的�����,比如�����,經(jīng)常會(huì)采用常用的攻擊方式的組合:掃描開(kāi)放的端口��,采用字典式攻擊猜測(cè)密碼等���。網(wǎng)絡(luò)內(nèi)部攻擊特征(Internal Attack Pattern):因?yàn)閮?nèi)部用戶對(duì)系統(tǒng)的了解往往更多�����、更詳細(xì),其攻擊方式通常更有針對(duì)性�����,因此也有其特征���。使用模式(Usage Pattern):除了攻擊行為以夕卜,正常的用戶使用也有其特征�。比如,常去訪問(wèn)的站點(diǎn)���,訪問(wèn)的時(shí)間��,下載的流量����,連接的時(shí)長(zhǎng)����,以及常去的娛樂(lè)網(wǎng)站,購(gòu)物網(wǎng)站等等��。
[0009]隨著信息化的普及���,越來(lái)越多的單位由于缺乏經(jīng)費(fèi)和專業(yè)的信息安全人才��,導(dǎo)致其網(wǎng)絡(luò)成為信息安全的薄弱環(huán)節(jié)���,甚至是安全事件的重災(zāi)區(qū)�。常年被黑客用各種自動(dòng)化的攻擊方式侵?jǐn)_���,而在被攻擊甚至被攻陷后他們往往并不知道���,使其被攻陷的系統(tǒng)成為黑客進(jìn)行其它進(jìn)一步攻擊的跳板,或者是肉機(jī)網(wǎng)絡(luò)(botnet)的一部分��。
[0010]現(xiàn)有技術(shù)的主要缺點(diǎn)是無(wú)法及時(shí)地發(fā)現(xiàn)隱性攻擊及其后果���。由于近年來(lái)網(wǎng)絡(luò)攻擊的方式已經(jīng)從明顯的��、破壞性的攻擊轉(zhuǎn)向隱藏的��、偷盜性的攻擊���。基于病毒特征的防病毒技術(shù)對(duì)外部隱藏式攻擊的防范效果越來(lái)越差,大量被攻擊甚至被攻陷的系統(tǒng)其實(shí)沒(méi)有明顯的跡象?���,F(xiàn)有的技術(shù)多是分析從外部到內(nèi)部的流量,以發(fā)現(xiàn)攻擊行為��。如果沒(méi)有被發(fā)現(xiàn)的攻擊已經(jīng)進(jìn)入了網(wǎng)絡(luò)內(nèi)部���,則從進(jìn)入的流量很難再發(fā)現(xiàn)已經(jīng)成功的攻擊的跡象了。
【發(fā)明內(nèi)容】
[0011]本發(fā)明的目的是提供一種網(wǎng)絡(luò)外向流量分類方法��,能有利于網(wǎng)絡(luò)外向流量特征的提取����。
[0012]本發(fā)明采用以下方案實(shí)現(xiàn):一種網(wǎng)絡(luò)外向流量分類方法,其特征在于:根據(jù)外向流量的源頭類型���、外向流量傳輸?shù)膶?duì)象類型��、應(yīng)用類別���、角色和業(yè)務(wù)相關(guān)性這五個(gè)要素將流量進(jìn)行分類;并按照以下方式分為四類:
[0013]第一類:外向流量的源頭為系統(tǒng)���、流量對(duì)象為系統(tǒng)����、應(yīng)用為B2B、源頭角色為客戶端�、;業(yè)務(wù)相關(guān)性為相關(guān)���;
[0014]第二類:外向流量的源頭為系統(tǒng)���、流量對(duì)象為系統(tǒng)、應(yīng)用為B2B�����、源頭角色為服務(wù)器�、;業(yè)務(wù)相關(guān)性為相關(guān)��;
[0015]第三類:外向流量的源頭為系統(tǒng)�、流量對(duì)象為用戶、應(yīng)用為B2C ;源頭角色為服務(wù)器����、����;業(yè)務(wù)相關(guān)性為相關(guān)���;
[0016]第四類:外向流量的源頭為用戶��;外向流量傳輸?shù)膶?duì)象為系統(tǒng)��、應(yīng)用為B2C�����、源頭角色為客戶端、業(yè)務(wù)相關(guān)性為相關(guān)�����;
[0017]其中B2B:機(jī)構(gòu)對(duì)機(jī)構(gòu)��;B2B/C:B2B操作中的客戶端���;B2B/S:B2B操作中的服務(wù)器端�;B2C:機(jī)構(gòu)對(duì)個(gè)人�;B2C/S:B2C操作中的服務(wù)器端����;B2C/C:B2C操作中的客戶端���;P2P:端對(duì)端���。
[0018]此外,本發(fā)明還提供一種根據(jù)上述網(wǎng)絡(luò)外向流量分類方法的特征矩陣設(shè)計(jì)��,其特征在于:提供五個(gè)屬性包括:
[0019]網(wǎng)絡(luò)屬性:目的地址/端口��、源地址/端口�、時(shí)間、應(yīng)用類型�����、協(xié)議類型�����、數(shù)據(jù)量��;
[0020]系統(tǒng)屬性:數(shù)據(jù)來(lái)源的系統(tǒng)�、數(shù)據(jù)來(lái)源的應(yīng)用��、數(shù)據(jù)產(chǎn)生的驅(qū)動(dòng)者���、數(shù)據(jù)目的系統(tǒng)、數(shù)據(jù)目的應(yīng)用��;
[0021]用戶屬性:數(shù)據(jù)來(lái)源的系統(tǒng)使用者及身份����、數(shù)據(jù)來(lái)源的應(yīng)用使用者及身份;數(shù)據(jù)來(lái)源的網(wǎng)絡(luò)登錄身份��;
[0022]安全屬性:是否來(lái)自于具有訪問(wèn)控制的系統(tǒng)��;是否來(lái)自于具有訪問(wèn)控制的應(yīng)用�;是否來(lái)自于被隔離的網(wǎng)段��;是否來(lái)自于只有內(nèi)網(wǎng)可以訪問(wèn)的系統(tǒng)��;是否來(lái)自于不允許訪問(wèn)外網(wǎng)的系統(tǒng)或應(yīng)用���;是否有其它內(nèi)網(wǎng)系統(tǒng)直接連接在流量來(lái)源的系統(tǒng)���;數(shù)據(jù)源系統(tǒng)是否有最新的補(bǔ)丁��、是否做過(guò)安全加固��;目的地址是否屬于黑名單��;目的地址是否屬于允許的�����、但被認(rèn)為是高風(fēng)險(xiǎn)的地址�����;目的地址是否有過(guò)可以行為�;
[0023]業(yè)務(wù)屬性:流量來(lái)源系統(tǒng)所屬的部門(mén)����、目的地址業(yè)務(wù)相關(guān)性;
[0024]然后將任意一類別的流量與所述五個(gè)屬性進(jìn)行組合�����,以形成以類別為列��,屬性為行的特征矩陣���。
[0025]本發(fā)明的另一目的是提供一種基于上述特征矩陣的網(wǎng)絡(luò)外向流量監(jiān)測(cè)方法�,其特征在于包括以下步驟:
[0026]步驟SOl:在外向流量正常的情況下,構(gòu)建特征矩陣作為比對(duì)數(shù)據(jù)����;
[0027]步驟S02:將互聯(lián)網(wǎng)出口作為外向流量的截獲點(diǎn),采用常用的鏡像方式��,將所有的外向流量復(fù)制并存放到一個(gè)監(jiān)控系統(tǒng)上��;
[0028]步驟S03:對(duì)監(jiān)控系統(tǒng)上的外向流量進(jìn)行所述分類����,并構(gòu)建特征矩陣;
[0029]步驟S04:將步驟S03構(gòu)建的特征矩陣與所述步驟SOl作為比對(duì)數(shù)據(jù)的特征矩陣進(jìn)行比對(duì)�,任何偏離特征的流量,則被認(rèn)為是可疑流量�����。
[0030]本發(fā)明的再一目的是提供一種基于上述特征矩陣的網(wǎng)絡(luò)外向流量監(jiān)測(cè)系統(tǒng)���,其特征在于包括:
[0031]第一個(gè)子系統(tǒng)主要是由外向流量分類引擎和特征矩陣生成引擎及若干個(gè)信息庫(kù)組成;所述外向流量分類引擎根據(jù)所述分類方法將流量監(jiān)測(cè)數(shù)據(jù)進(jìn)行分類�����;所述特征矩陣生成引擎根據(jù)所述特征矩陣生成方法將由外向流量分類引擎分類的流量生成特征矩陣;
[0032]第二個(gè)子系統(tǒng)�,即特征捕捉子系統(tǒng),是對(duì)實(shí)際流量數(shù)據(jù)的特征進(jìn)行掃描��,計(jì)算其特征矩陣���,然后與正常流量的特征進(jìn)行比較�����,判斷外向流量是否存在異常����。
[0033]本發(fā)明設(shè)計(jì)了一套外向流量的分類方法���,使網(wǎng)絡(luò)管理人員可以更細(xì)致地監(jiān)測(cè)起流量的各種大小和比例�����;還設(shè)計(jì)了一個(gè)用于提取綜合流量特征的矩陣�,給網(wǎng)絡(luò)管理人員提供了比較流量的有效方法。而且根據(jù)上述的方法提出了流量監(jiān)測(cè)方法及系統(tǒng)���,不僅高效����,而且保證的網(wǎng)絡(luò)系統(tǒng)的安全�,具有較好的使用價(jià)值。
【專利附圖】
【附圖說(shuō)明】
[0034]圖1是本發(fā)明分類示意圖�����。
[0035]圖2是本發(fā)明網(wǎng)絡(luò)接口示意圖���。
[0036]圖3是本發(fā)明第一子系統(tǒng)原理示意圖���。
[0037]圖4是本發(fā)明第二子系統(tǒng)原理示意圖。
【具體實(shí)施方式】
[0038]下面結(jié)合附圖及實(shí)施例對(duì)本發(fā)明做進(jìn)一步說(shuō)明����。
[0039]本實(shí)施例提供一種網(wǎng)絡(luò)外向流量分類方法,其特征在于:根據(jù)外向流量的源頭(或內(nèi)部驅(qū)動(dòng)者)類型(該類型可以是系統(tǒng)或用戶���,即外向流量是系統(tǒng)發(fā)出的還是用戶發(fā)出的)�����、外向流量傳輸?shù)膶?duì)象(外部關(guān)聯(lián)者)類型(該類型可以是系統(tǒng)或用戶)�����、應(yīng)用類別(其是指B2B���、B2C、P2P中的哪一類)�、角色(客戶端還是服務(wù)器)和業(yè)務(wù)相關(guān)性這
[0040]五個(gè)要素將流量進(jìn)行分類。分類方法如下表所示:
[0041]
【權(quán)利要求】
1.一種網(wǎng)絡(luò)外向流量分類方法���,其特征在于:根據(jù)外向流量的源頭類型�����、外向流量傳輸?shù)膶?duì)象類型����、應(yīng)用類別�����、角色和業(yè)務(wù)相關(guān)性這五個(gè)要素將流量進(jìn)行分類;并按照以下方式分為四類: 第一類:外向流量的源頭為系統(tǒng)��、流量對(duì)象為系統(tǒng)�、應(yīng)用為B2B、源頭角色為客戶端����、業(yè)務(wù)相關(guān)性為相關(guān); 第二類:外向流量的源頭為系統(tǒng)����、流量對(duì)象為系統(tǒng)、應(yīng)用為B2B��、源頭角色為服務(wù)器�����、業(yè)務(wù)相關(guān)性為相關(guān)�����; 第三類:外向流量的源頭為系統(tǒng)�、流量對(duì)象為用戶、應(yīng)用為B2C�、源頭角色為服務(wù)器�、業(yè)務(wù)相關(guān)性為相關(guān)����; 第四類:外向流量的源頭為用戶���;外向流量傳輸?shù)膶?duì)象為系統(tǒng)�、應(yīng)用為B2C��、源頭角色為客戶端�����、業(yè)務(wù)相關(guān)性為相關(guān)�����; 其中B2B:機(jī)構(gòu)對(duì)機(jī)構(gòu)��;B2B/C:B2B操作中的客戶端�����;B2B/S:B2B操作中的服務(wù)器端��;B2C:機(jī)構(gòu)對(duì)個(gè)人;B2C/S:B2C操作中的服務(wù)器端��;B2C/C:B2C操作中的客戶端����;P2P:端對(duì)端。
2.根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)外向流量分類方法�����,其特征在于:所述類別還包括: 第五類:外向流量的源頭為用戶�;外向流量傳輸?shù)膶?duì)象為系統(tǒng)、應(yīng)用為B2C���、源頭角色為客戶端��、業(yè)務(wù)相關(guān)性為不相關(guān)�����; 第六類:外向流量的源頭為用戶�����、外向流量傳輸?shù)膶?duì)象為用戶���、應(yīng)用為P2P���、源頭角色為對(duì)等端、業(yè)務(wù)相關(guān)性為相關(guān)�; 第七類:外向流量的源頭為用戶、外向流量傳輸?shù)膶?duì)象為用戶���、應(yīng)用為P2P、源頭角色為對(duì)等端��、業(yè)務(wù)相關(guān)性為不相關(guān)���。
3.一種基于權(quán)利要求1所述網(wǎng)絡(luò)外向流量分類方法的特征矩陣設(shè)計(jì)���,其特征在于:提供五個(gè)屬性包括: 網(wǎng)絡(luò)屬性:目的地址/端口、源地址/端口����、時(shí)間、應(yīng)用類型����、協(xié)議類型����、數(shù)據(jù)量�; 系統(tǒng)屬性:數(shù)據(jù)來(lái)源的系統(tǒng)、數(shù)據(jù)來(lái)源的應(yīng)用��、數(shù)據(jù)產(chǎn)生的驅(qū)動(dòng)者�、數(shù)據(jù)目的系統(tǒng)、數(shù)據(jù)目的應(yīng)用��; 用戶屬性:數(shù)據(jù)來(lái)源的系統(tǒng)使用者及身份��、數(shù)據(jù)來(lái)源的應(yīng)用使用者及身份�;數(shù)據(jù)來(lái)源的網(wǎng)絡(luò)登錄身份; 安全屬性:是否來(lái)自于具有訪問(wèn)控制的系統(tǒng)�����;是否來(lái)自于具有訪問(wèn)控制的應(yīng)用�;是否來(lái)自于被隔離的網(wǎng)段;是否來(lái)自于只有內(nèi)網(wǎng)可以訪問(wèn)的系統(tǒng)����;是否來(lái)自于不允許訪問(wèn)外網(wǎng)的系統(tǒng)或應(yīng)用;是否有其它內(nèi)網(wǎng)系統(tǒng)直接連接在流量來(lái)源的系統(tǒng)����;數(shù)據(jù)源系統(tǒng)是否有最新的補(bǔ)丁��、是否做過(guò)安全加固�;目的地址是否屬于黑名單�;目的地址是否屬于允許的、但被認(rèn)為是高風(fēng)險(xiǎn)的地址���;目的地址是否有過(guò)可以行為�; 業(yè)務(wù)屬性:流量來(lái)源系統(tǒng)所屬的部門(mén)�����、目的地址業(yè)務(wù)相關(guān)性��; 然后將任意一類別的流量與所述五個(gè)屬性進(jìn)行組合�����,以形成以類別為列�,屬性為行的特征矩陣�。
4.一種基于權(quán)利要求3所述特 征矩陣的網(wǎng)絡(luò)外向流量監(jiān)測(cè)方法,其特征在于包括以下步驟: 步驟SOl:在外向流量正常的情況下��,構(gòu)建特征矩陣作為比對(duì)數(shù)據(jù);步驟S02:將互聯(lián)網(wǎng)出口作為外向流量的截獲點(diǎn)�����,采用常用的鏡像方式����,將所有的外向流量復(fù)制并存放到一個(gè)監(jiān)控系統(tǒng)上; 步驟S03:對(duì)監(jiān)控系統(tǒng)上的外向流量進(jìn)行所述分類����,并構(gòu)建特征矩陣; 步驟S04:將步驟S03構(gòu)建的特征矩陣與所述步驟SOl作為比對(duì)數(shù)據(jù)的特征矩陣進(jìn)行比對(duì)���,任何偏離特征的流量����,則被認(rèn)為是可疑流量��。
5.一種基于權(quán)利要求3所述特征矩陣的網(wǎng)絡(luò)外向流量監(jiān)測(cè)系統(tǒng)����,其特征在于包括: 第一個(gè)子系統(tǒng)主要是由外向流量分類引擎和特征矩陣生成引擎及若干個(gè)信息庫(kù)組成;所述外向流量分類引擎根據(jù)所述分類方法將流量監(jiān)測(cè)數(shù)據(jù)進(jìn)行分類;所述特征矩陣生成引擎根據(jù)所述特征矩陣生成方法將由外向流量分類引擎分類的流量生成特征矩陣���; 第二個(gè)子系統(tǒng)�����,即特征捕捉子系統(tǒng)�����,是對(duì)實(shí)際流量數(shù)據(jù)的特征進(jìn)行掃描����,計(jì)算其特征矩陣����,然后與正常流量的特征進(jìn)行比較��,判斷外向流量是否存在異常�。
6.根據(jù)權(quán)利要求5所述的網(wǎng)絡(luò)外向流量監(jiān)測(cè)系統(tǒng),其特征在于:所述流量監(jiān)測(cè)數(shù)據(jù)是由交換機(jī)鏡像端口將外向流量數(shù)據(jù)進(jìn)行存儲(chǔ)獲得��。
【文檔編號(hào)】H04L12/26GK103595585SQ201310563026
【公開(kāi)日】2014年2月19日 申請(qǐng)日期:2013年11月12日 優(yōu)先權(quán)日:2013年11月12日
【發(fā)明者】王杰, 顧長(zhǎng)富, 范志強(qiáng) 申請(qǐng)人:揚(yáng)州廣陵高新技術(shù)創(chuàng)業(yè)服務(wù)中心