本發(fā)明涉及一種檢測方法，具體是一種基于流量白名單的異常流量檢測方法。

背景技術(shù)：

當(dāng)前，針對網(wǎng)絡(luò)面臨的安全威脅，包括病毒、木馬、垃圾郵件等，常用的防護(hù)方法包括黑名單技術(shù)、白名單技術(shù)和行為檢測技術(shù)等。

行為檢測技術(shù)是通過檢查代碼的特征和規(guī)律來評估代碼的風(fēng)險(xiǎn)，簽名和基于異常行為的安全機(jī)制也屬于行為安全技術(shù)的一種。根據(jù)其行為模式被認(rèn)為可能構(gòu)成威脅的某些文件和程序?qū)⒈蛔柚?。對于那些沒有被歸類為“好”或“壞”的程序或者文件，則可以采用行為安全技術(shù)，該技術(shù)是發(fā)現(xiàn)新威脅(在發(fā)生攻擊之前)的有效但不完美的方法。

黑名單是一種防止已知惡意程序運(yùn)行或者防止已知垃圾郵件發(fā)送者和其他不受歡迎的發(fā)件人向用戶發(fā)送郵件的簡單有效的方法，更新黑名單可以通過更新服務(wù)器來快速實(shí)現(xiàn)，大多數(shù)防病毒程序使用的就是黑名單技術(shù)來阻止已知威脅，垃圾郵件過濾器往往需要依賴于黑名單技術(shù)。黑名單技術(shù)只在某些應(yīng)用中能夠發(fā)揮良好作用，并且要確保黑名單內(nèi)容的準(zhǔn)確性和完整性。

白名單技術(shù)的宗旨是不阻止某些特定的事物，它采用了與黑名單技術(shù)相反的做法，利用一份“已知為良好”的實(shí)體(程序、電子郵件地址、域名、網(wǎng)址)名單，阻止不在名單中的事物在網(wǎng)絡(luò)中運(yùn)行。

白名單技術(shù)的優(yōu)點(diǎn)是：沒有必要運(yùn)行必須不斷更新的防病毒軟件，任何不在名單上的對象將被阻止運(yùn)行；系統(tǒng)能夠免受零日攻擊。白名單技術(shù)相對簡單，能夠有效控制進(jìn)入網(wǎng)絡(luò)或者機(jī)器上運(yùn)行的程序，而名單上之外的實(shí)體都不能運(yùn)行或者通過。當(dāng)單獨(dú)使用白名單技術(shù)時(shí)，它能夠非常有效地阻止惡意軟件和垃圾郵件，但是同樣也可能會阻止合法代碼的運(yùn)行和合法郵件的通過。在商業(yè)環(huán)境中，當(dāng)在計(jì)算機(jī)上運(yùn)行代碼時(shí)，純粹的白名單技術(shù)是最安全的解決方案。

目前，大多數(shù)的系統(tǒng)和軟件都應(yīng)用了黑白名單技術(shù)，殺毒軟件、防火墻、操作系統(tǒng)、郵件系統(tǒng)、應(yīng)用軟件等，凡是涉及到系統(tǒng)控制方面幾乎都應(yīng)用了黑白名單技術(shù)。黑名單啟用后，被列入到黑名單的對象(如郵件、病毒、IP地址等)將不能通過，黑名單以外的對象都能通過；白名單啟用后，只有在白名單中的對象(如郵件、病毒、IP地址等)才能通過，白名單以外的對象都不能通過。

白名單技術(shù)的準(zhǔn)入控制特點(diǎn)為受控網(wǎng)絡(luò)的安全防護(hù)提供了新的方法。受控網(wǎng)絡(luò)是指在網(wǎng)絡(luò)通信過程中，專門制訂了網(wǎng)絡(luò)通信規(guī)范，對其入網(wǎng)終端、可以安裝的應(yīng)用程序及網(wǎng)絡(luò)會話等均設(shè)定了相關(guān)要求，以確保網(wǎng)絡(luò)在預(yù)定的模式下運(yùn)行的一種互聯(lián)網(wǎng)絡(luò)?；谑芸鼐W(wǎng)絡(luò)的控制特點(diǎn)，可以建立其網(wǎng)絡(luò)流量白名單，依此發(fā)現(xiàn)網(wǎng)絡(luò)實(shí)際運(yùn)行過程中因病毒、蠕蟲、木馬及惡意違規(guī)操作等引起的異常流量，實(shí)現(xiàn)對網(wǎng)絡(luò)異常行為的準(zhǔn)確發(fā)現(xiàn)和定位。

白名單的相關(guān)定義：

傳統(tǒng)的網(wǎng)絡(luò)會話一般由網(wǎng)絡(luò)五元組定義，即：

{源IP，源端口，目的IP，目的端口，傳輸層協(xié)議}

但在受控網(wǎng)絡(luò)環(huán)境下，僅通過定義網(wǎng)絡(luò)五元組還不足以確定網(wǎng)絡(luò)會話是否合規(guī)，還需要輔助以其它相關(guān)元素確定會話的合規(guī)性。為此，我們在網(wǎng)絡(luò)五元組的基礎(chǔ)上增加網(wǎng)絡(luò)層協(xié)議、應(yīng)用層協(xié)議及流速閾值三個元素建立網(wǎng)絡(luò)八元組，依此來定義流量白名單的規(guī)則。

流量白名單定義如下：

定義1：流量白名單：由網(wǎng)絡(luò)八元組構(gòu)成，即：

{源IP，源端口，目的IP，目的端口，網(wǎng)絡(luò)層協(xié)議，傳輸層協(xié)議，應(yīng)用層協(xié)議，流速閾值}

在建立流量白名單過程中，需要針對其涵蓋的八個元素分別建立集合，實(shí)現(xiàn)對網(wǎng)絡(luò)會話的約束。對以上流量白名單八元組的定義分別如下：

定義2：源IP、目的IP：規(guī)范網(wǎng)絡(luò)實(shí)際運(yùn)行過程中允許接入網(wǎng)絡(luò)的所有終端的IP地址。如果不在此集合中，則證明該IP地址為違規(guī)接入終端。

定義3：源端口、目的端口：規(guī)范網(wǎng)絡(luò)實(shí)際運(yùn)行過程中可以建立網(wǎng)絡(luò)會話的通信端口。如果不在此集合中，則證明該網(wǎng)絡(luò)會話為異常流量。

定義4：網(wǎng)絡(luò)層協(xié)議：規(guī)范網(wǎng)絡(luò)實(shí)際運(yùn)行過程中網(wǎng)絡(luò)層可以運(yùn)行的通信協(xié)議。如果不在此集合中，則證明該網(wǎng)絡(luò)會話為異常流量。目前，通用的網(wǎng)絡(luò)層協(xié)議為IPV4，未來根據(jù)應(yīng)用發(fā)展需要會擴(kuò)展到IPV6。

定義5：傳輸層協(xié)議：規(guī)范網(wǎng)絡(luò)實(shí)際運(yùn)行過程中傳輸層可以運(yùn)行的通信協(xié)議。如果不在此集合中，則證明該網(wǎng)絡(luò)會話為異常流量。

定義6：應(yīng)用層協(xié)議：規(guī)范網(wǎng)絡(luò)實(shí)際運(yùn)行過程中應(yīng)用層可以運(yùn)行的通信協(xié)議。如果不在此集合中，則證明該網(wǎng)絡(luò)會話為異常流量。

定義7：流速閾值：規(guī)范網(wǎng)絡(luò)實(shí)際運(yùn)行過程中某個網(wǎng)絡(luò)會話流速的峰值。在受控網(wǎng)絡(luò)環(huán)境中，網(wǎng)絡(luò)業(yè)務(wù)一般按照預(yù)定的流速傳輸數(shù)據(jù)，如果超出流速峰值上限范圍，則證明該網(wǎng)絡(luò)會話為異常流量。其具體定義如下公式：

TrafficVelocity＝TrafficSum/(Time₂-Time₁)

即，從Time₁到Time₂這段時(shí)間內(nèi)傳輸數(shù)據(jù)的速度。

此外，在受控網(wǎng)絡(luò)中，通常存在一些專用的安管設(shè)備，用于對網(wǎng)絡(luò)中的接入設(shè)備進(jìn)行安全測試。比如為了測試一些網(wǎng)絡(luò)設(shè)備是否聯(lián)通，安管設(shè)備會對其進(jìn)行調(diào)試，此時(shí)安管設(shè)備會發(fā)送大量的ping包。一般情況下，入侵檢測系統(tǒng)會將這些現(xiàn)象定義為異常。所以，安管設(shè)備被誤檢的情況時(shí)有發(fā)生。

技術(shù)實(shí)現(xiàn)要素：

本發(fā)明的目的是提供一種基于流量白名單的異常流量檢測方法，可以判定網(wǎng)絡(luò)會話是正常的，還是來自于異常的網(wǎng)絡(luò)攻擊。

為實(shí)現(xiàn)上述目的，本發(fā)明采用的技術(shù)方案是：一種基于流量白名單的異常流量檢測方法，其特征在于，具體包括以下步驟：

S1：模擬測試期間：

S1-1：新建任務(wù)模板，定義合規(guī)通信規(guī)則集合，包括：網(wǎng)絡(luò)組織機(jī)構(gòu)集合入網(wǎng)主機(jī)集合特例設(shè)備集合通信協(xié)議集合通信協(xié)議層次對應(yīng)關(guān)系集合傳輸層端口集合流速閾值集合通過定義網(wǎng)絡(luò)八元組依次來定義流量白名單：

{源IP，源端口，目的IP，目的端口，網(wǎng)絡(luò)層協(xié)議，傳輸層協(xié)議，應(yīng)用層協(xié)議，會話流速閾值}；

S1-2：監(jiān)聽模擬測試期間網(wǎng)絡(luò)流量，包括：網(wǎng)絡(luò)組織機(jī)構(gòu)、通信協(xié)議、傳輸層端口規(guī)范、入網(wǎng)主機(jī)會話規(guī)范、通信協(xié)議對應(yīng)關(guān)系、入網(wǎng)主機(jī)規(guī)范、Ping會話規(guī)范、特例設(shè)備規(guī)范，依此建立流量白名單；

S2：基于模擬測試期間建立的流量白名單，在網(wǎng)絡(luò)實(shí)際運(yùn)行過程中，捕獲網(wǎng)絡(luò)數(shù)據(jù)包，分析提取出網(wǎng)絡(luò)八元組信息，對實(shí)時(shí)捕獲的每一條網(wǎng)絡(luò)流量進(jìn)行比較判斷，發(fā)現(xiàn)實(shí)際網(wǎng)絡(luò)流量中隱存的異常流量；

S2-1：捕獲一條網(wǎng)絡(luò)會話，提取網(wǎng)絡(luò)會話元素，包括：源主機(jī)SrcIP、源端口SrcPort、目的主機(jī)DstIP、目的端口DstPort、應(yīng)用層協(xié)議AppPtl、傳輸層協(xié)議TrpPtl、網(wǎng)絡(luò)層協(xié)議NtkPtl、流速閾值Threshold；

S2-2：將會話元素與已經(jīng)建立的流量白名單進(jìn)行匹配(采用并的關(guān)系，全部匹配){源IP，源端口，目的IP，目的端口，網(wǎng)絡(luò)層協(xié)議，傳輸層協(xié)議，應(yīng)用層協(xié)議，單向會話流速閾值}，若匹配結(jié)果為YES，執(zhí)行步驟S2-3，若匹配結(jié)果為NO，執(zhí)行步驟S2-4；

S2-3:對已建立的流量白名單集合進(jìn)行更新完善；

S2-4：將會話元素與已經(jīng)建立的流量白名單繼續(xù)進(jìn)行匹配

{源IP，源端口，目的IP，目的端口，網(wǎng)絡(luò)層協(xié)議，傳輸層協(xié)議，應(yīng)用層協(xié)議}，但會話閾值超限，若匹配結(jié)果為YES，執(zhí)行步驟S2-5，若匹配結(jié)果為NO，執(zhí)行步驟S2-6；

S2-5:建立會話灰名單；

S2-6：將會話元素與已經(jīng)建立的流量白名單再繼續(xù)進(jìn)行匹配；

{源IP，源端口，目的IP，目的端口，網(wǎng)絡(luò)層協(xié)議，傳輸層協(xié)議，應(yīng)用層協(xié)議}，若匹配結(jié)果為YES，執(zhí)行步驟S2-8，若匹配結(jié)果為NO，執(zhí)行步驟S2-7；

S2-7：建立會話黑名單；

S2-8：針對Ping會話，匹配{特例設(shè)備}針對發(fā)出Ping的設(shè)備，設(shè)定周期閾值，若匹配結(jié)果YES，執(zhí)行步驟S2-9，若匹配結(jié)果為NO，執(zhí)行步驟S2-10；

S2-9：正常，不報(bào)警；

S2-10：統(tǒng)計(jì)分析Ping特征，進(jìn)行異常判別，若為惡意，執(zhí)行步驟S2-7,若為異常，執(zhí)行步驟S2-5。

本發(fā)明的有益效果是：該檢測方法可以判定網(wǎng)絡(luò)會話是正常的，還是來自于異常的網(wǎng)絡(luò)攻擊，從而保證網(wǎng)絡(luò)的正常運(yùn)行。

附圖說明

圖1是本發(fā)明模擬測試期間流程圖，

圖2是本發(fā)明的網(wǎng)絡(luò)實(shí)際運(yùn)行期間流程圖，

具體實(shí)施方式

下面結(jié)合附圖對本發(fā)明作進(jìn)一步詳細(xì)說明。

如圖1至圖2所示，一種基于流量白名單的異常流量檢測方法，其特征在于，具體包括以下步驟：

S1：模擬測試期間：

S1-1：新建任務(wù)模板，定義合規(guī)通信規(guī)則集合，包括：網(wǎng)絡(luò)組織機(jī)構(gòu)集合入網(wǎng)主機(jī)集合特例設(shè)備集合通信協(xié)議集合通信協(xié)議層次對應(yīng)關(guān)系集合傳輸層端口集合流速閾值集合通過定義網(wǎng)絡(luò)八元組依次來定義流量白名單：

{源IP，源端口，目的IP，目的端口，網(wǎng)絡(luò)層協(xié)議，傳輸層協(xié)議，應(yīng)用層協(xié)議，會話流速閾值}；

S1-2：監(jiān)聽模擬測試期間網(wǎng)絡(luò)流量，包括：網(wǎng)絡(luò)組織機(jī)構(gòu)、通信協(xié)議、傳輸層端口規(guī)范、入網(wǎng)主機(jī)會話規(guī)范、通信協(xié)議對應(yīng)關(guān)系、入網(wǎng)主機(jī)規(guī)范、Ping會話規(guī)范、特例設(shè)備規(guī)范，依此建立流量白名單；

S2：基于模擬測試期間建立的流量白名單，在網(wǎng)絡(luò)實(shí)際運(yùn)行過程中，捕獲網(wǎng)絡(luò)數(shù)據(jù)包，分析提取網(wǎng)絡(luò)會話八元組信息，對實(shí)時(shí)捕獲的每一條網(wǎng)絡(luò)流量進(jìn)行比較判斷，發(fā)現(xiàn)實(shí)際網(wǎng)絡(luò)流量中隱存的異常流量；

S2-1：捕獲一條網(wǎng)絡(luò)會話，提取網(wǎng)絡(luò)會話元素，包括：源主機(jī)SrcIP、源端口SrcPort、目的主機(jī)DstIP、目的端口DstPort、應(yīng)用層協(xié)議AppPtl、傳輸層協(xié)議TrpPtl、網(wǎng)絡(luò)層協(xié)議NtkPtl、流速閾值Threshold；

S2-2：將會話元素與已經(jīng)建立的流量白名單進(jìn)行匹配(采用并的關(guān)系，全部匹配){源IP，源端口，目的IP，目的端口，網(wǎng)絡(luò)層協(xié)議，傳輸層協(xié)議，應(yīng)用層協(xié)議，單向會話流速閾值}，若匹配結(jié)果為YES，執(zhí)行步驟S2-3，若匹配結(jié)果為NO，執(zhí)行步驟S2-4；

S2-3:對已建立的流量白名單集合進(jìn)行更新完善；

S2-4：將會話元素與已經(jīng)建立的流量白名單繼續(xù)進(jìn)行匹配

{源IP，源端口，目的IP，目的端口，網(wǎng)絡(luò)層協(xié)議，傳輸層協(xié)議，應(yīng)用層協(xié)議}，但會話閾值超限，若匹配結(jié)果為YES，執(zhí)行步驟S2-5，若匹配結(jié)果為NO，執(zhí)行步驟S2-6；

S2-5:建立會話灰名單；

S2-6：將會話元素與已經(jīng)建立的流量白名單再繼續(xù)進(jìn)行匹配；

{源IP，源端口，目的IP，目的端口，網(wǎng)絡(luò)層協(xié)議，傳輸層協(xié)議，應(yīng)用層協(xié)議}，若匹配結(jié)果為YES，執(zhí)行步驟S2-8，若匹配結(jié)果為NO，執(zhí)行步驟S2-7；

S2-7：建立會話黑名單；

S2-8：針對Ping會話，匹配{特例設(shè)備}針對發(fā)出Ping的設(shè)備，設(shè)定周期閾值，若匹配結(jié)果YES，執(zhí)行步驟S2-9，若匹配結(jié)果為NO，執(zhí)行步驟S2-10；

S2-9：正常，不報(bào)警；

S2-10：統(tǒng)計(jì)分析Ping特征，進(jìn)行異常判別，若為惡意，執(zhí)行步驟S2-7,若為異常，執(zhí)行步驟S2-5。

工作時(shí)，基于流量白名單定義的網(wǎng)絡(luò)八元組，異常流量檢測算法設(shè)計(jì)如下：

(1)首先，定義合規(guī)通信規(guī)則集合，包括：

網(wǎng)絡(luò)組織機(jī)構(gòu)集合入網(wǎng)主機(jī)集合特例設(shè)備集合通信協(xié)議集合通信協(xié)議層次對應(yīng)關(guān)系集合傳輸層端口集合流速閾值集合

(2)捕獲網(wǎng)絡(luò)數(shù)據(jù)包，提取如下的網(wǎng)絡(luò)會話元素，包括：

源主機(jī)SrcIP、源端口SrcPort、目的主機(jī)DstIP、目的端口DstPort、應(yīng)用層協(xié)議AppPtl、傳輸層協(xié)議TrpPtl、網(wǎng)絡(luò)層協(xié)議NtkPtl、流速閾值Threshold；

(3)基于已經(jīng)建立的流量白名單進(jìn)行判斷，建立會話白名單集合灰名單和黑名單

異常流量檢測算法如下：