本發(fā)明涉及大數(shù)據(jù)分析領(lǐng)域。

背景技術(shù)：

目前，幾乎所有傳統(tǒng)安全產(chǎn)品都依賴基于特征庫(kù)比對(duì)的原理，該理論的根本局限性在于所依賴的特征庫(kù)只能收集已知攻擊的特征，對(duì)于未知的，或者復(fù)雜度高、持續(xù)時(shí)間長(zhǎng)的網(wǎng)絡(luò)攻擊無(wú)能為力。

而基于大數(shù)據(jù)分析技術(shù)的攻擊防御完全不需要特征庫(kù)，而是通過(guò)構(gòu)建一個(gè)動(dòng)態(tài)自適應(yīng)的流量安全數(shù)學(xué)模型，實(shí)時(shí)監(jiān)測(cè)幾十種流量安全參數(shù)構(gòu)成的網(wǎng)絡(luò)行為異常指數(shù)系統(tǒng)，實(shí)時(shí)監(jiān)測(cè)和防御各種潛藏的網(wǎng)絡(luò)攻擊，徹底擺脫了對(duì)已知攻擊特征庫(kù)的依賴。

然而，目前的基于大數(shù)據(jù)分析技術(shù)的攻擊防御僅僅是一種概念，很多方面亟待完善，尤其需要一種基于風(fēng)險(xiǎn)量化的安全大數(shù)據(jù)分析方法。

技術(shù)實(shí)現(xiàn)要素：

本發(fā)明的目的在于提供一種基于風(fēng)險(xiǎn)量化的安全大數(shù)據(jù)分析方法，以解決上文所述問(wèn)題。

本發(fā)明提供的一種基于風(fēng)險(xiǎn)量化的安全大數(shù)據(jù)分析方法，包括：

a、對(duì)大流量數(shù)據(jù)的統(tǒng)計(jì)分析和學(xué)習(xí)，統(tǒng)計(jì)出多個(gè)流量安全參數(shù)；

b、分析各參數(shù)之間的相關(guān)性，進(jìn)而構(gòu)建動(dòng)態(tài)自適應(yīng)的安全基線模型。

優(yōu)選地，步驟a包括：

通過(guò)統(tǒng)計(jì)分析過(guò)去數(shù)月甚至數(shù)年的流量數(shù)據(jù)，統(tǒng)計(jì)出數(shù)十個(gè)流量安全參數(shù)。

優(yōu)選地，通過(guò)統(tǒng)計(jì)分析過(guò)去數(shù)月甚至數(shù)年的流量數(shù)據(jù)，統(tǒng)計(jì)出數(shù)十個(gè)流量安全參數(shù)，包括：

對(duì)歷史流量進(jìn)行周期性采樣，統(tǒng)計(jì)出數(shù)十個(gè)行為安全指數(shù)進(jìn)行統(tǒng)計(jì)分析。

其中，所述統(tǒng)計(jì)分析包括以下至少一種：網(wǎng)絡(luò)分析、用戶分析、業(yè)務(wù)分析，以及自定義統(tǒng)計(jì)分析。

優(yōu)選地，步驟b包括：

建立一個(gè)流量安全基線t0，并根據(jù)時(shí)間t和流量數(shù)據(jù)形成自適應(yīng)的流量安全基線：t0(t)＝ф[p10(t),p20(t),…pn0(t)]，其中，p為反映網(wǎng)絡(luò)流量異常的行為安全指數(shù)；

通過(guò)行為安全指數(shù)與其安全基線之間的實(shí)時(shí)比對(duì)，生成網(wǎng)絡(luò)安全行為異常指數(shù)δ(t):

δ(t)＝t(t)-t0(t)；

網(wǎng)絡(luò)安全行為異常指數(shù)之間根據(jù)邏輯相關(guān)性進(jìn)行加權(quán)計(jì)算，構(gòu)建流量安全模型s:

s(t)＝ψ[δ(t)]＝ψ{ф[p1(t),p2(t),…pn(t)]-ф

[p10(t),p20(t),…pn0(t)]}；

其中，設(shè)置流量安全模型決斷閾值s0,超出s0的部分為不安全流量。

由上可以看出，本發(fā)明通過(guò)對(duì)大流量數(shù)據(jù)的統(tǒng)計(jì)分析和學(xué)習(xí)，統(tǒng)計(jì)出多個(gè)流量安全參數(shù)，并分析各參數(shù)之間的相關(guān)性，進(jìn)而構(gòu)建動(dòng)態(tài)自適應(yīng)的安全基線模型，實(shí)現(xiàn)了一種基于風(fēng)險(xiǎn)量化的安全大數(shù)據(jù)分析，進(jìn)而為基于大數(shù)據(jù)分析技術(shù)的攻擊防御提供了可靠的依據(jù)，使基于大數(shù)據(jù)分析技術(shù)的攻擊防御可根據(jù)各安全參數(shù)之間的相互影響波動(dòng)，就能夠比較容易地檢測(cè)出持續(xù)時(shí)間長(zhǎng)、短期內(nèi)無(wú)異常的復(fù)雜持續(xù)性攻擊行為。

附圖說(shuō)明

圖1為本發(fā)明的基于風(fēng)險(xiǎn)量化的安全大數(shù)據(jù)分析方法的流程；

圖2為根據(jù)本發(fā)明方法構(gòu)建的動(dòng)態(tài)自適應(yīng)的安全基線模型的曲線圖。

具體實(shí)施方式

本發(fā)明提供的基于風(fēng)險(xiǎn)量化的安全大數(shù)據(jù)分析方法包括以下步驟：

步驟100：對(duì)大流量數(shù)據(jù)的統(tǒng)計(jì)分析和學(xué)習(xí)，統(tǒng)計(jì)出多個(gè)流量安全參數(shù)。

在一些實(shí)施例中，可以通過(guò)統(tǒng)計(jì)分析過(guò)去數(shù)月甚至數(shù)年的流量數(shù)據(jù)，統(tǒng)計(jì)出數(shù)十個(gè)流量安全參數(shù)。

舉例來(lái)說(shuō)，智能檢測(cè)引擎通過(guò)對(duì)歷史流量進(jìn)行周期性采樣，并計(jì)算數(shù)十個(gè)行為安全指數(shù)進(jìn)行統(tǒng)計(jì)分析，包括網(wǎng)絡(luò)、用戶分析、業(yè)務(wù)分析，自定義統(tǒng)計(jì)分析等：

網(wǎng)絡(luò)

網(wǎng)絡(luò)是為了讓用戶快速了解當(dāng)前網(wǎng)絡(luò)的使用情況，網(wǎng)絡(luò)分成6個(gè)部分：全局流量、端口流量計(jì)及協(xié)議餅圖、端口會(huì)話數(shù)量及協(xié)議餅圖、端口會(huì)話新建及協(xié)議餅圖、端口的主機(jī)數(shù)量、端口的topn的服務(wù)，全局流量支持28個(gè)用戶端的流量x-y折線圖，分成in、out、all。

用戶分析

用戶分析是針對(duì)用戶行為進(jìn)行的詳細(xì)分析，了解用戶行為，合理設(shè)定各種配置，用戶分析包括：

●基于用戶的流量分析

●基于用戶的會(huì)話數(shù)量分析

●基于用戶的會(huì)話新建速度分析

●基于用戶的協(xié)議分布分析

topn分析等

●業(yè)務(wù)分析

●業(yè)務(wù)分析主要是針對(duì)服務(wù)器，包括：

●指定服務(wù)器的流量分析

●指定服務(wù)器的會(huì)話數(shù)量分析

●指定服務(wù)器的會(huì)話新建速度分析

●指定服務(wù)器的協(xié)議分布分析

●指定服務(wù)器的topn分析

步驟200：分析各參數(shù)之間的相關(guān)性，進(jìn)而構(gòu)建動(dòng)態(tài)自適應(yīng)的安全基線模型。

在實(shí)際網(wǎng)絡(luò)流量學(xué)習(xí)過(guò)程中，并結(jié)合用戶業(yè)務(wù)白環(huán)境(需要結(jié)合用戶信息安全策略和業(yè)務(wù)特點(diǎn)構(gòu)建)，建立一個(gè)流量安全基線t0，并根據(jù)時(shí)間t和流量數(shù)據(jù)進(jìn)行不斷的智能學(xué)習(xí)和動(dòng)態(tài)調(diào)整，形成自適應(yīng)的流量安全基線：t0(t)＝ф[p10(t),p20(t),…pn0(t)]。

在實(shí)際網(wǎng)絡(luò)中，無(wú)論任何網(wǎng)絡(luò)攻擊行為都伴隨著一定的網(wǎng)絡(luò)流量異常，如不常被使用的服務(wù)端口突然被開啟訪問(wèn)、服務(wù)器數(shù)據(jù)的異常逆向流動(dòng)、用戶連接的異常劇烈波動(dòng)等等，這些異常本質(zhì)上都會(huì)通過(guò)我們的行為安全指數(shù)p表現(xiàn)出來(lái)，通過(guò)行為安全指數(shù)與其安全基線之間的實(shí)時(shí)比對(duì)，可以生成網(wǎng)絡(luò)安全行為異常指數(shù)δ(t):

δ(t)＝t(t)-t0(t)

網(wǎng)絡(luò)安全行為異常指數(shù)之間根據(jù)邏輯相關(guān)性進(jìn)行加權(quán)計(jì)算，就構(gòu)建起一個(gè)系統(tǒng)性的流量安全模型s:

s(t)＝ψ[δ(t)]＝ψ{ф[p1(t),p2(t),…pn(t)]-ф

[p10(t),p20(t),…pn0(t)]}

其中，設(shè)置流量安全模型決斷閾值s0,超出s0的部分為不安全流量。

如圖2所示，紅色陰影部分的流量的行為異常指數(shù)超出了決斷閾值，被系統(tǒng)識(shí)別為潛在的攻擊流量。同時(shí)，系統(tǒng)會(huì)根據(jù)流量模型自動(dòng)調(diào)節(jié)決斷閾值以適應(yīng)不同的網(wǎng)絡(luò)環(huán)境，從而智能識(shí)別潛在的網(wǎng)絡(luò)攻擊。

技術(shù)特征：

技術(shù)總結(jié)
本發(fā)明提供了一種基于風(fēng)險(xiǎn)量化的安全大數(shù)據(jù)分析方法，包括：A、對(duì)大流量數(shù)據(jù)的統(tǒng)計(jì)分析和學(xué)習(xí)，統(tǒng)計(jì)出多個(gè)流量安全參數(shù)；B、分析各參數(shù)之間的相關(guān)性，進(jìn)而構(gòu)建動(dòng)態(tài)自適應(yīng)的安全基線模型。本發(fā)明實(shí)現(xiàn)了一種基于風(fēng)險(xiǎn)量化的安全大數(shù)據(jù)分析，進(jìn)而為基于大數(shù)據(jù)分析技術(shù)的攻擊防御提供了可靠的依據(jù)，使基于大數(shù)據(jù)分析技術(shù)的攻擊防御可根據(jù)各安全參數(shù)之間的相互影響波動(dòng)，就能夠比較容易地檢測(cè)出持續(xù)時(shí)間長(zhǎng)、短期內(nèi)無(wú)異常的復(fù)雜持續(xù)性攻擊行為。

技術(shù)研發(fā)人員：田新遠(yuǎn)
受保護(hù)的技術(shù)使用者：北京華清信安科技有限公司
技術(shù)研發(fā)日：2017.07.18
技術(shù)公布日：2017.10.13