對網(wǎng)絡(luò)行為進(jìn)行安全分析的方法和裝置的制造方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域����,尤其涉及一種對網(wǎng)絡(luò)行為進(jìn)行安全分析的方法和
目.0
【背景技術(shù)】
[0002]目前��,我們已經(jīng)身處信息時代����,計算機(jī)和網(wǎng)絡(luò)已經(jīng)成為各類組織不可或缺的工具����,信息成為組織賴以生存的重要資產(chǎn),其價值與日俱增���,與此同時也面臨各種各樣��、越來越多的安全威脅��。病毒破壞��、黑客攻擊���、網(wǎng)絡(luò)欺詐、重要信息資料丟失��、信息系統(tǒng)癱瘓以及利用計算機(jī)網(wǎng)絡(luò)實施的各種犯罪行為層出不窮�、防不勝防。根據(jù)CSI/FBI的Computer Crime andSecurity Survey2010中的統(tǒng)計��,50%的組織至少發(fā)生了一次信息安全事故�。信息資產(chǎn)一旦遭到破壞,將給組織帶來直接的經(jīng)濟(jì)損失�,并導(dǎo)致組織的聲譽(yù)和公眾形象受到損害,使組織喪失市場機(jī)會和競爭力�,甚至威脅組織的生存。因此����,組織必須解決信息安全問題,有效保護(hù)信息資產(chǎn)�。
[0003]目前,現(xiàn)有的網(wǎng)絡(luò)行為安全分析技術(shù)的發(fā)展有三大方向�����,一是流量統(tǒng)計和閾值檢測技術(shù)���;二是源與目的主機(jī)可信性驗證技術(shù)���;三是分布與特征檢測技術(shù)。上述現(xiàn)有的網(wǎng)絡(luò)行為安全分析技術(shù)的缺點為:存在較大的誤報率��、不能全面檢測異常流量攻擊、特征檢測性能不尚��。
【發(fā)明內(nèi)容】
[0004]本發(fā)明的實施例提供了一種對網(wǎng)絡(luò)行為進(jìn)行安全分析的方法和裝置����,以實現(xiàn)對網(wǎng)絡(luò)行為進(jìn)行有效的安全分析。
[0005]為了實現(xiàn)上述目的�����,本發(fā)明采取了如下技術(shù)方案��。
[0006]根據(jù)本發(fā)明的一個方面��,提供了一種對網(wǎng)絡(luò)行為進(jìn)行安全分析的方法�����,包括:
[0007]利用聚類算法對網(wǎng)絡(luò)中的各種網(wǎng)絡(luò)行為進(jìn)行自學(xué)習(xí)得到網(wǎng)絡(luò)行為秩序鏈�,所述網(wǎng)絡(luò)行為秩序鏈中包括各個安全的網(wǎng)絡(luò)行為,每個網(wǎng)絡(luò)行為中包括會話五元組����;
[0008]判斷待識別的網(wǎng)絡(luò)行為是否存在于所述網(wǎng)絡(luò)行為秩序鏈中,如果是,則確定所述待識別的網(wǎng)絡(luò)行為是安全的�;否則,通過設(shè)定的安全策略判斷所述待識別的網(wǎng)絡(luò)行為是否安全�。
[0009]優(yōu)選地,所述的方法還包括:
[0010]在網(wǎng)絡(luò)結(jié)構(gòu)秩序初始化階段�,根據(jù)先驗知識得到可信域中的各個主機(jī)的IP地址和端口號�,以及不可信域中的各個主機(jī)的IP地址和端口號,將可信域中的各個主機(jī)的IP地址和端口號保存到初始的白名單中��,將不可信域中的各個主機(jī)的IP地址和端口號保存到初始的灰名單中���,并且���,設(shè)置初始的黑名單為空。
[0011]優(yōu)選地�,所述的利用聚類算法對網(wǎng)絡(luò)中的各種網(wǎng)絡(luò)行為進(jìn)行自學(xué)習(xí)得到網(wǎng)絡(luò)行為秩序鏈,所述網(wǎng)絡(luò)行為秩序鏈中包括各個安全的網(wǎng)絡(luò)行為�,每個網(wǎng)絡(luò)行為中包括會話五元組,包括:
[0012]從待聚類的所有網(wǎng)絡(luò)主機(jī)中任意選擇設(shè)定數(shù)量個對象作為初始聚類中心���,以每個初始聚類中心為一簇����,依次選取剩下的各個待聚類的網(wǎng)絡(luò)主機(jī),計算出待聚類的網(wǎng)絡(luò)主機(jī)與各初始聚類中心之間的相似度��,將待聚類的網(wǎng)絡(luò)主機(jī)歸納于最小的組合距離對應(yīng)的初始聚類中心所在的簇���,依次類推�,依次將所有待聚類的網(wǎng)絡(luò)主機(jī)分別歸納于對應(yīng)的簇中���,完成第一輪網(wǎng)絡(luò)主機(jī)聚類�;
[0013]用各簇的均值元組代替當(dāng)前簇的聚類中心�����,按照所述第一輪網(wǎng)絡(luò)主機(jī)聚類的過程����,進(jìn)行第二輪的網(wǎng)絡(luò)主機(jī)聚類,依次類推����,每輪網(wǎng)絡(luò)主機(jī)聚類結(jié)束后,用各簇的均值網(wǎng)絡(luò)主機(jī)代替當(dāng)前簇的聚類中心�,并進(jìn)行下一輪的網(wǎng)絡(luò)主機(jī)聚類,直至最終所有網(wǎng)絡(luò)主機(jī)所屬的簇不再發(fā)生改變���,則聚類結(jié)束�;
[0014]在所述聚類過程結(jié)束以后,將各個簇的最終的聚類中心作為該簇中的所有網(wǎng)購主機(jī)的代表����,一個網(wǎng)絡(luò)行為中主要包括會話五元組,即源IP地址�、目的IP地址、源端口�、目的端口��、協(xié)議號���,所述各個簇的最終的聚類中心分別對應(yīng)一個簇的最終的網(wǎng)絡(luò)行為�����,運(yùn)用關(guān)聯(lián)分析算法關(guān)聯(lián)多個網(wǎng)絡(luò)行為形成一條網(wǎng)絡(luò)行為秩序鏈�����。
[0015]優(yōu)選地����,所述的判斷待識別的網(wǎng)絡(luò)行為是否存在于所述網(wǎng)絡(luò)行為秩序鏈中之前還包括:
[0016]針對待識別的網(wǎng)絡(luò)行為,獲取該網(wǎng)絡(luò)行為中包括的會話五元組����,即源IP地址、目的IP地址�����、源端口���、目的端口�����、協(xié)議號�,將網(wǎng)絡(luò)行為中包括的源IP地址�����、目的IP地址與白名單����、黑名單中的主機(jī)比較;
[0017]如果網(wǎng)絡(luò)行為中包括的源IP地址�����、目的IP地址在白名單中,則確定該網(wǎng)絡(luò)行為是安全的��,放行該網(wǎng)絡(luò)行為��,流程結(jié)束���;如果網(wǎng)絡(luò)行為中包括的源IP地址���、目的IP地址在黑名單中,則確定該網(wǎng)絡(luò)行為是不安全的����,阻斷該網(wǎng)絡(luò)行為�,流程結(jié)束。
[0018]優(yōu)選地�,所述的判斷待識別的網(wǎng)絡(luò)行為是否存在于所述網(wǎng)絡(luò)行為秩序鏈中,如果是�����,則確定所述待識別的網(wǎng)絡(luò)行為是安全的����;否則����,通過設(shè)定的安全策略判斷所述待識別的網(wǎng)絡(luò)行為是否安全�,包括:
[0019]將待識別的網(wǎng)絡(luò)行為與網(wǎng)絡(luò)行為秩序鏈中的網(wǎng)絡(luò)行為進(jìn)行比較,如果待識別的網(wǎng)絡(luò)行為與網(wǎng)絡(luò)行為秩序鏈中的網(wǎng)絡(luò)行為相同��,則確定該網(wǎng)絡(luò)行為是安全的�����,放行該網(wǎng)絡(luò)行為�����;
[0020]如果待識別的網(wǎng)絡(luò)行為與網(wǎng)絡(luò)行為秩序鏈中的網(wǎng)絡(luò)行為不相同��,則統(tǒng)計特定時間段內(nèi)所述待識別的網(wǎng)絡(luò)行為的個數(shù)��,當(dāng)該個數(shù)不大于預(yù)先設(shè)定的攻擊閾值�,則放行該網(wǎng)絡(luò)行為,將該網(wǎng)絡(luò)行為中的IP地址與端口號保存到灰名單中����;當(dāng)該個數(shù)大于預(yù)先設(shè)定的攻擊閾值�����,則阻斷該網(wǎng)絡(luò)行為���,將該網(wǎng)絡(luò)行為中的IP地址與端口號保存到黑名單中。
[0021]根據(jù)本發(fā)明的另一個方面��,提供了一種對網(wǎng)絡(luò)行為進(jìn)行安全分析的裝置��,包括:
[0022]網(wǎng)絡(luò)行為秩序鏈獲取模塊�,用于利用聚類算法對網(wǎng)絡(luò)中的各種網(wǎng)絡(luò)行為進(jìn)行自學(xué)習(xí)得到網(wǎng)絡(luò)行為秩序鏈,所述網(wǎng)絡(luò)行為秩序鏈中包括各個安全的網(wǎng)絡(luò)行為�����,每個網(wǎng)絡(luò)行為中包括會話五元組��;
[0023]網(wǎng)絡(luò)行為安全分析模塊�����,用于判斷待識別的網(wǎng)絡(luò)行為是否存在于所述網(wǎng)絡(luò)行為秩序鏈中���,如果是��,則確定所述待識別的網(wǎng)絡(luò)行為是安全的���;否則,通過設(shè)定的安全策略判斷所述待識別的網(wǎng)絡(luò)行為是否安全����。
[0024]優(yōu)選地,所述的裝置還包括:
[0025]主機(jī)白��、灰和黑名單初始設(shè)置模塊���,用于在網(wǎng)絡(luò)結(jié)構(gòu)秩序初始化階段���,根據(jù)先驗知識得到可信域中的各個主機(jī)的IP地址和端口號,以及不可信域中的各個主機(jī)的IP地址和端口號����,將可信域中的各個主機(jī)的IP地址和端口號保存到初始的白名單中,將不可信域中的各個主機(jī)的IP地址和端口號保存到初始的灰名單中���,并且���,設(shè)置初始的黑名單為空�����。
[0026]優(yōu)選地���,所述的網(wǎng)絡(luò)行為秩序鏈獲取模塊,具體用于從待聚類的所有網(wǎng)絡(luò)主機(jī)中任意選擇設(shè)定數(shù)量個對象作為初始聚類中心���,以每個初始聚類中心為一簇��,依次選取剩下的各個待聚類的網(wǎng)絡(luò)主機(jī)����,計算出待聚類的網(wǎng)絡(luò)主機(jī)與各初始聚類中心之間的相似度����,將待聚類的網(wǎng)絡(luò)主機(jī)歸納于最小的組合距離對應(yīng)的初始聚類中心所在的簇,依次類推�����,依次將所有待聚類的網(wǎng)絡(luò)主機(jī)分別歸納于對應(yīng)的簇中����,完成第一輪網(wǎng)絡(luò)主機(jī)聚類;
[0027]用各簇的均值元組代替當(dāng)前簇的聚類中心�,按照所述第一輪網(wǎng)絡(luò)主機(jī)聚類的過程,進(jìn)行第二輪的網(wǎng)絡(luò)主機(jī)聚類��,依次類推�,每輪網(wǎng)絡(luò)主機(jī)聚類結(jié)束后,用各簇的均值網(wǎng)絡(luò)主機(jī)代替當(dāng)前簇的聚類中心���,并進(jìn)行下一輪的網(wǎng)絡(luò)主機(jī)聚類����,直至最終所有網(wǎng)絡(luò)主機(jī)所屬的簇不再發(fā)生改變�����,則聚類結(jié)束�;
[0028]在所述聚類過程結(jié)束以后,將各個簇的最終的聚類中心作為該簇中的所有網(wǎng)購主機(jī)的代表�,一個網(wǎng)絡(luò)行為中主要包括會話五元組,即源IP地址�、目的IP地址、源端口����、目的端口���、協(xié)議號,所述各個簇的最終的聚類中心分別對應(yīng)一個簇的最終的網(wǎng)絡(luò)行為����,運(yùn)用關(guān)聯(lián)分析算法關(guān)聯(lián)多個網(wǎng)絡(luò)行為形成一條網(wǎng)絡(luò)行為秩序鏈。
[0029]優(yōu)選地��,所述的網(wǎng)絡(luò)行為安全分析模塊��,還用于針對待識別的網(wǎng)絡(luò)行為��,首先獲取該網(wǎng)絡(luò)行為中包括的會話五元組���,即源IP地址���、目的IP地址、源端口���、目的端口��、協(xié)議號��,將網(wǎng)絡(luò)行為中包括的源IP地址�、目的IP地址與白名單�����、黑名單中的主機(jī)比較���;
[0030]如果網(wǎng)絡(luò)行為中包括的源IP地址��、目的IP地址在白名單中����,則確定該網(wǎng)絡(luò)行為是安全的�����,放行該網(wǎng)絡(luò)行為��,流程結(jié)束�����;如果網(wǎng)絡(luò)行為中包括的源IP地址�����、目的IP地址在黑名單中,則確定該網(wǎng)絡(luò)行