CN105812200B - 异常行为检测方法及装置 - Google Patents
异常行为检测方法及装置 Download PDFInfo
- Publication number
- CN105812200B CN105812200B CN201410854233.8A CN201410854233A CN105812200B CN 105812200 B CN105812200 B CN 105812200B CN 201410854233 A CN201410854233 A CN 201410854233A CN 105812200 B CN105812200 B CN 105812200B
- Authority
- CN
- China
- Prior art keywords
- data
- abnormal
- unit
- abnormal behaviour
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明实施例公开了一种异常行为检测方法及装置,所述方法包括:通过对业务***进行测试,建立异常行为模式库;采集网络中当前传输的数据,通过设定的分析算法,对所采集的数据与所述异常行为模式库中的数据进行比对,判断所采集的数据是否为异常数据;当确定所采集的数据为异常数据时,记录该异常数据;在所记录的某类型的异常数据超出设定阈值时,输出超出设定阈值的异常数据的告警信息。
Description
技术领域
本发明涉及网络数据检测技术,尤其涉及一种异常行为检测方法及装置。
背景技术
入侵检测(Intrusion Detection)是对网络中的入侵行为进行检测,通过收集和分析网络行为、安全日志、审计数据、其他网络上可以获得的信息以及计算机***中若干关键点的信息,检查网络或***中是否存在违反安全策略的行为和被攻击的迹象。目前,通过采集网络流量数据进行统计分析,按照时间序列,业务量变化规律等特点建立正常业务模型,设定正常规则阀值,一旦发现网络流量偏离正常曲线超过阀值的,就认定为异常。或者,通过采集主机和网络设备的日志进行统计分析和审计,按照时间序列和正常业务访问情况,梳理包含正常的日志内容和变化规律的白名单,或者正常业务行为模型,一旦出现日志白名单不包含的内容或者不符合正常业务行为模型就会被认定为异常。
目前的入侵检测中,数据采集来源主要是网络流量和***日志,其缺点在于这些数据只能体现出历史状况的规律,却无法真正贴合实际的业务。比如,一旦发现某些异常,原因一般都是不符合正常模型的规律,但是到底与业务有什么关系,影响了业务的哪些层面,是无法体现的。另外,按照时间序列建立的正常模型,在遇到突发型业务、无规律型业务的时候必然会出现误报的情况;在遇到业务逻辑流程特别复杂,攻击手段极为隐蔽的情况下,也很有可能出现漏报。
发明内容
本发明实施例为解决上述技术问题,提供一种异常行为检测方法及装置,通过与业务相关的数据采集,利用安全攻防的反向推导方式,通过检测相关数据的变化,来定位异常行为的出现。
本发明实施例的技术方案是这样实现的:
一种异常行为检测方法,通过对业务***进行测试,建立异常行为模式库;所述方法包括:
采集网络中当前传输的数据,通过设定的分析算法,对所采集的数据与所述异常行为模式库中的数据进行比对,判断所采集的数据是否为异常数据;
当确定所采集的数据为异常数据时,记录该异常数据;
在所记录的某类型的异常数据超出设定阈值时,输出超出设定阈值的异常数据的告警信息。
优选地,所述对业务***进行测试,包括:
向测试端口发送测试攻击报文,至少记录网络层面、数据层面、***层面、业务层面中相关数据的变化情况。
优选地,所述建立异常行为模式库,包括:
对网络中的业务***进行安全测试,记录所述业务***的数据变化;
根据预设的安全行为层次模型,建立所述数据与数据变化方式的对应关系;
根据所述安全行为层次模型将所述数据分层梳理,再为分层后的数据设置关联要素,所述关联要素将各分层后的数据关联形成异常行为模式库。
优选地,所述通过设定的分析算法,对所采集的数据与所述异常行为模式库中的数据进行比对,判断所采集的数据是否为异常数据,包括:
通过下式确定所采集的数据的风险值R:
其中,i的取值范围为1到n,n为安全行为
层次模型中的总层次数表;
Po(i)∈[0,1],Po(i)表示第i层的异常行为确定性指数,由频率f和行为匹配度c决定;
In(i)∈[0,1],In(i)表示第i层的异常行为影响指数,由数量q和行为匹配度c决定;
若关联因素能将i层与其他层关联,则k=1,否则k=0;
将风险值R大于设定阈值的所采集的数据确定为异常数据。
一种异常行为检测装置,包括:建立单元、采集单元、第一判断单元、记录单元、第二判断单元和输出单元,其中:
建立单元,用于通过对业务***进行测试,建立异常行为模式库;
采集单元,用于采集网络中当前传输的数据;
第一判断单元,用于通过设定的分析算法,对所采集的数据与所述异常行为模式库中的数据进行比对,判断所采集的数据是否为异常数据;当确定所采集的数据为异常数据时,触发记录单元;
记录单元,用于记录该异常数据;
第二判断单元,用于判断所述记录单元所记录的某类型的异常数据是否超出设定阈值,超出设定阈值时触发输出单元;
输出单元,用于输出超出设定阈值的异常数据的告警信息。
优选地,所述建立单元,还用于向测试端口发送测试攻击报文,至少记录网络层面、数据层面、***层面、业务层面中相关数据的变化情况。
优选地,所述建立单元,还用于对网络中的业务***进行安全测试,记录所述业务***的数据变化;根据预设的安全行为层次模型,建立所述数据与数据变化方式的对应关系;根据所述安全行为层次模型将所述数据分层梳理,再为分层后的数据设置关联要素,所述关联要素将各分层后的数据关联形成异常行为模式库。
优选地,所述第一判断单元,还用于通过下式确定所采集的数据的风险值R:
其中,i的取值范围为1到n,n为安全行为
层次模型中的总层次数表;
Po(i)∈[0,1],Po(i)表示第i层的异常行为确定性指数,由频率f和行为匹配度c决定;
In(i)∈[0,1],In(i)表示第i层的异常行为影响指数,由数量q和行为匹配度c决定;
若关联因素能将i层与其他层关联,则k=1,否则k=0;
将风险值R大于设定阈值的所采集的数据确定为异常数据。
本发明实施例中,首先采集网络中当前传输的数据,通过设定的分析算法,对所采集的数据与所述异常行为模式库中的数据进行比对,判断所采集的数据是否为异常数据;当确定所采集的数据为异常数据时,记录该异常数据;在所记录的某类型的异常数据超出设定阈值时,输出超出设定阈值的异常数据的告警信息。本发明实施例通过多种与业务相关的数据采集,利用安全攻防的反向推导方式,真正的贴合了业务的特征,通过检测相关数据的变化,能够准确定位异常行为的出现。本发明实施例与业务贴合紧密,能够真正反映出攻击对于业务的具体影响,因此,对于高级持续性业务威胁能够进行有效的检测。本发明实施例适用于所有类型的网络服务,尤其是通信和移动互联网相关的服务类型。
附图说明
图1为本发明实施例的异常行为检测方法的流程图;
图2为本发明实施例的异常行为检测方法的业务模型示意图;
图3为本发明实施例的异常行为模式库的生成示意图;
图4为本发明实施例的异常行为检测装置的组成结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,以下举实施例并参照附图,对本发明进一步详细说明。
图1为本发明实施例的异常行为检测方法的流程图,如图1所示,本示例的异常行为检测方法包括以下步骤:
步骤101,通过对业务***进行测试,建立异常行为模式库。
本发明实施例中,通过对网络***中的业务***进行相关测试,来建立异常行为模式库。其中,业务是指向用户提供服务的一种载体,比如对于电信运营商来说,短信就是其一种主营业务,这种业务不是独立存在的,必须依托于电信网络和短信***,才能够给用户提供服务。类似地,彩信、WLAN、WAP、DNS等都是不同的业务。
本发明实施例中,建立异常行为模式库包括:对业务***进行测试,即是向测试端口发送测试攻击报文,至少记录网络层面、数据层面、***层面、业务层面中相关数据的变化情况。
对网络中的业务***进行安全测试,记录所述业务***的数据变化;
根据预设的安全行为层次模型,建立所述数据与数据变化方式的对应关系;
根据所述安全行为层次模型将所述数据分层梳理,再为分层后的数据设置关联要素,所述关联要素将各分层后的数据关联形成异常行为模式库。
步骤102,采集网络中当前传输的数据,通过设定的分析算法,对所采集的数据与所述异常行为模式库中的数据进行比对,判断所采集的数据是否为异常数据。
本发明实施例中,可通过下式确定所采集的数据的风险值R:
其中,i的取值范围为1到n,n为安全行为
层次模型中的总层次数表;
Po(i)∈[0,1],Po(i)表示第i层的异常行为确定性指数,由频率f和行为匹配度c决定;
In(i)∈[0,1],In(i)表示第i层的异常行为影响指数,由数量q和行为匹配度c决定;
若关联因素能将i层与其他层关联,则k=1,否则k=0;
将风险值R大于设定阈值的所采集的数据确定为异常数据。
步骤103,当确定所采集的数据为异常数据时,记录该异常数据。
本发明实施例中,当确定所采集的数据为异常数据,对该所采集的异常数据进行记录。
步骤104,在所记录的某类型的异常数据超出设定阈值时,输出超出设定阈值的异常数据的告警信息。
当统计出某类型的异常数据超出预定数量后,将该类数据作为异常数据输出,通知用户作出相应防范。
以下通过具体示例,进一步阐明本发明实施例的技术方案的实质。
图2为本发明实施例的异常行为检测方法的业务模型示意图,图中的业务模型是按照移动互联网的端管云架构设计,目前移动通信网和互联网等均符合该模型。异常行为检测***包含四个模块,功能简要描述如下:
采集模块与网管连接,分别从网管和业务服务器两部分采集数据,从网络和业务分层的角度上看,包含了网络安全数据、数据安全数据、***安全数据、应用安全数据和业务安全数据。
例如,对于网络原始流量,一般采用分光或者镜像的方式来采集。分光是指在网络链路中安装分光器,从物理上将光分离,将较弱的一路光作为旁路提取出来作为分析使用;镜像是指从交换机上,通过配置将某个端口A的流量完全复制一份到端口B,这样通过在端口B上接入分析***就可以分析到相关的流量。对于设备日志,一般采用syslog方式来采集。Syslog被称为***日志或***记录,是一种用来在互联网协议(TCP/IP)的网络中传递记录档讯息的标准。对于***上的专有数据,一般采用远程登录的方式来采集,如telnet、ssh等。这种方式是利用脚本技术,模拟维护人员登入***去执行预定好的一系列命令,从而获得***的输出。
异常行为分析模块。将采集模块的数据与异常行为模式库中的数据进行比对,通过分析算法计算分析出是否存在异常行为。
异常行为模式库。通过一系列方法建立的模式库,其中包含一系列的行为描述性数据,一旦某些行为匹配到相关数据,则说明符合了某种异常行为的模式。
展示和告警模块。针对异常行为分析模块的结果,将超过阀值的分析结果展示出来并发送告警。
图3为本发明实施例的异常行为模式库的生成示意图,如图3所示,以下阐明本发明是如何建立异常行为模式库的:
1.利用各种方式对业务***进行安全测试。方式包含但不限于:安全评估、渗透测试、曾发生的安全事件分析结果、安全运维经验、安全应急演练、经分析可能发生在该业务***的安全攻击等。
以SYN Flood这种较为普遍的DDOS安全攻击测试为例:
A利用网络技术向B发起大量针对80端口的TCP连接消息(SYN),但是在收到B的确认消息(SYN+ACK)后,不向A反馈确认消息(ACK)。实际上,就是向B发起了SYN Flood攻击测试。此时B会由于不能收到ACK消息,而出现半连接的情况,大量的半连接就会消耗掉B的很多资源,从而使其不能提供稳定的服务。
登录***B,通过netstat命令查看网络连接情况,如下图显示有大量SYN_RECEIVED半连接情况。而在没有该攻击时,相关连接都是出于LISTEN或者ESTABLISHED状态,因此可以说,该攻击导致网络连接状态发生了明显的变化。
这样,一个安全测试就完成了。这个测试可以让安全管理人员,在发现某主机上出现大量SYN_RECEIVED半连接情况时,判断出现了SYN Flood安全攻击事件。
这种测试实例比较简单,所以可以比较清楚的说明如何从关键数据的变化来判断异常行为的发生。但是对于比较复杂的安全异常行为,或安全攻击行为等,单纯的从某一种关键数据的变化就来推断可能发生的安全攻击,就会出现很多误报,因此这种复杂的安全异常行为经常会导致一系列的数据变化,而这些变化之间存在各种关联关系,只有将所有变化的数据按照攻击的逻辑进行关联后,才能使得异常行为检测的准确性大大提升。
2.观察记录业务***的关键数据变化。
业务是指向用户提供服务的一种载体,比如对于电信运营商来说,短信就是其一种主营业务,这种业务不是独立存在的,必须依托于电信网络和短信***,才能够给用户提供服务。类似的,彩信,WLAN,WAP,DNS等都是不同的业务。
这些数据选取原则是:选取涉及到核心业务的CIA特性(机密性、完整性、可用性)的相关数据,包括网络、数据、***、应用和业务层的所有相关数据。
这里的变化主要***发生的异常变化,如:未被授权的改变、超出正常幅度的波动、与已知问题或风险相匹配的变化等等。
3.以实测的关键数据变化为基础,结合安全行为层次模型,建立关键数据的全集和详细变化方式。
这里以一种较为复杂的业务层安全事件,即基于WAP***的恶意订购行为为例,这种安全攻击可以使攻击者在不被授权的情况下,仿冒其他用户订购某些业务,从而使得这些业务的提供商获得商业利益,攻击者可以从中提成,从而形成利益链条。
当发生这种攻击时,可以发现以下一系列的关键数据发生变化:
(1)网络层面
通过netstat-an|grep LISTEN命令查看,发现处于LISTEN状态的端口明显增多,由之前的十余个,变为三十多个。发现与本机连接的IP地址都是192.168.100.100。
反馈报文样例如下:
(2)数据层面
通过more passwd发现该配置文件中,账户信息比之前多出一个hack账号。数据样例如下:
root:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:/sbin login
daemon:x:2:2:daemon:/sbin:/sbin login
hack:x:2:2:daemon:/sbin:/sbin login
desktop:x:80:80:desktop:ar b/menu/kde:/sbin login
通过more syslog.conf发现用户登录auth日志那一行被注销。数据样例如下:
*.notice;*.err;*.warn/usr/adm/syserr.log
*.debug/usr/adm/syslog
*.info/usr/spool/mqueue/sys.log
#auth.*/usr/adm/security
(3)***层面
通过history命令发现操作日志数量条目比之前变少了。变少的地方最后一条日志是vi bash_history,操作者为hack。
(4)应用层面
通过tomcat的tomcat-users.conf中内容发生变化,操作者为hack。
通过tomcat服务的日志文件access_log发现异常上传文件upload的操作。
(5)业务层面
通过connect localhost:8080命令发现***主机上的8080端口打开并且可以用于connect这个业务处理命令的调用,与之前无法调用形成了变化。
通过md5sum wapgateway.jar命令,发现业务关键程序的md5值发生变化,说明该文件被人篡改或者替换了。
4.将所有关键数据按照安全行为层次模型分层梳理,再分别设置关联要素将各个层面的内容进行关联。
由于单个数据变化的导致原因非常多,因此不能仅通过单一的数据变化就判断发生某种安全攻击,这样会导致大量的误报。所以需要将所有变化按照不同的层面进行关联,关联匹配的层面越多,则判断结果的准确性越强。
以前述步骤3点中所示的例子为例,分别以IP地址和账号来进行关联:
(1)从网络层面可以发现192.168.100.100这个IP地址导致了网络连接异常。
(2)从***层面可以发现192.168.100.100这个IP地址登录的日志,登录账号为hack。
(3)从数据层面可以发现hack这个账号修改了***日志的配置文件。
(4)从应用层面可以发现hack这个账号修改了tomcat的应用配置,导致该应用可以从客户端上传脚本文件。从应用层发现有用户利用了该安全问题,上传了异常木马脚本。
(5)从业务层面发现hack这个账号打开了8080端口,并且对关键业务程序进行了修改。
综上所述,通过IP和账号名称,就将一系列的关键数据变化关联起来了,完全符合发生恶意订购安全事件所导致的一系列变化,从而可以从整体上准确的判断出恶意订购这种异常行为确实发生了。
安全行为层次模型:是指可以覆盖到所有与业务安全相关的数据的层次划分模型,包含但不限于网络、数据、***、应用和业务这五个层面。
5.将所有数据进行整合梳理和归类分层,关联要素确认形成异常行为模式库,如上图所示。由安全行为层次模型、关键数据变化规律和关联要素三部分共同组成异常行为模式库。
(1)整合梳理
此步骤重点是整合,由于安全攻击类型众多,因此需要在已知范围内做出大量测试,然后结合之前发生过的安全事件分析,整合出一个关键数据的全集。
比如,按照上述恶意订购的示意,则需要整合网络连接数据(netstat),***账号配置文件数据(passwd),***日志配置数据(syslog.conf),***操作日志数据(history),应用配置数据(tomcat-users.conf),应用访问日志数据(access_log),特定业务端口数据(connect 8080),关键业务处理程序数据(md5sum wapgateway.jar)。
这些数据的整合就形成了针对恶意订购这类安全攻击的一个数据全集,相应的,针对其它攻击,也是利用相同的方式,但是会形成不同其它数据集合。
(2)归类分层
按照异常行为模式库的模型,根据各类关键数据的特点,将上一步整合梳理的数据按照不同层面进行归类:
网络层:网络连接数据(netstat)
数据层:***账号配置文件数据(passwd),***日志配置数据(syslog.conf)
***层:***操作日志数据(history)
应用层:应用配置数据(tomcat-users.conf),应用访问日志数据(access_log)
业务层:特定业务端口数据(connect 8080),关键业务处理程序数据(md5sumwapgateway.jar)
关联要素确认
网络层:IP地址和端口号
数据层:账号名称
***层:IP地址和账号名称
应用层:账号名称
业务层:账号名称
这样,针对每一种安全攻击,都会有一系列不同层面的关键数据特征变化可以与之关联,通过这种方式,就能非常准确的对于异常安全行为进行准确的检测。将所有已知的检测方法集合到一起就形成了异常行为模式库。异常行为模式库的每一行都是针对某一个层面的某个关键数据变化特征进行的描述,反映了该层面中某种关键数据在安全攻击时的异常变化情况,也说明了可以根据什么因素与其它层面进行关联。在实际的异常行为检测过程中,实时检测数据一旦根据关联要素同时匹配了不同层面的不同特征,则可以计算出具体的检测结果。
上述的安全行为层次模型只是目前总结出的最佳实践,事实上可以根据具体情况加入更多的层面,如终端层面、无线层面等等。同理,关键数据变化规律中选取的关键数据,也不限于这些,也应当是可以根据具体情况而变得更多或者减少。
根据上述处理,形成了一个异常行为模式库的示例如下表1所示:
表1
表1中分别从网络和***层面描述了两种异常行为,说明了异常行为的特征,形式和判断标准等一系列内容。事实上,这两种异常行为均是围绕业务为核心而设计的,如业务不需要远程接入内网维护,业务不需要超过2小时还无法完成的维护操作等等。
本发明实施例中,异常行为分析模块对采集模块采集到的关键数据进行实时监控,一旦发现符合异常行为模式库的变化,就相应的进行分析和判断,对于风险值高于阀值的情况进行告警。
风险值计算原理如下:
Risk(R)=Possibility(P)*Influence(I)*Relevance(Re),即风险值(R)=可能性(P)*影响(I)*关联性(Re)
计算公式:
n代表安全行为层次模型中的总层次数;i从1到n取值,表示具体层次;其中,
Po(i)∈[0,1]代表第i层的异常行为确定指数,由频率f和行为匹配度c决定。含义是层面越深,则业务实际受影响的可能性越大(如业务已经受到影响则说明核心风险已经发生,而网络层受到影响核心业务未必会受到影响),频率越高,匹配度越高则可能性越大。
In(i)∈[0,1]代表第i层的异常行为影响指数,由数量q和具体行为匹配度c决定。含义是层面越浅,则影响范围越大(如网络层可能影响多个***),整体数量越大则影响越大,匹配度越高影响越大。
通过对应的关联因素与其它层i层关联上,则k=1,否则k=0。因此意思是与其他层面关联越多,则整体风险
越高。
本发明实施例通过多种与业务相关的数据采集,利用安全攻防的反向推导方式,真正的贴合了业务的特征,通过检测相关数据的变化,能够准确定位异常行为的出现。本发明实施例与业务贴合紧密,能够真正反映出攻击对于业务的具体影响,因此,对于高级持续性业务威胁能够进行有效的检测。本发明实施例适用于所有类型的网络服务,尤其是通信和移动互联网相关的服务类型。
图4为本发明实施例的异常行为检测装置的组成结构示意图,如图4所示,本发明实施例的异常行为检测装置包括:建立单元40、采集单元41、第一判断单元42、记录单元43、第二判断单元44和输出单元45,其中:
建立单元40,用于通过对业务***进行测试,建立异常行为模式库;
采集单元41,用于采集网络中当前传输的数据;
第一判断单元42,用于通过设定的分析算法,对所采集的数据与所述异常行为模式库中的数据进行比对,判断所采集的数据是否为异常数据;当确定所采集的数据为异常数据时,触发记录单元43;
记录单元43,用于记录该异常数据;
第二判断单元44,用于判断所述记录单元所记录的某类型的异常数据是否超出设定阈值,超出设定阈值时触发输出单元;
输出单元45,用于输出超出设定阈值的异常数据的告警信息。
本发明实施例中,所述建立单元40,还用于向测试端口发送测试攻击报文,至少记录网络层面、数据层面、***层面、业务层面中相关数据的变化情况。
本发明实施例中,所述建立单元40,还用于对网络中的业务***进行安全测试,记录所述业务***的数据变化;根据预设的安全行为层次模型,建立所述数据与数据变化方式的对应关系;根据所述安全行为层次模型将所述数据分层梳理,再为分层后的数据设置关联要素,所述关联要素将各分层后的数据关联形成异常行为模式库。
本发明实施例中,所述第一判断单元42,还用于通过下式确定所采集的数据的风险值R:
其中,i的取值范围为1到n,n为安全行为
层次模型中的总层次数表;
Po(i)∈[0,1],Po(i)表示第i层的异常行为确定性指数,由频率f和行为匹配度c决定;
In(i)∈[0,1],In(i)表示第i层的异常行为影响指数,由数量q和行为匹配度c决定;
若关联因素能将i层与其他层关联,则k=1,否则k=0;
将风险值R大于设定阈值的所采集的数据确定为异常数据。
本发明实施例通过多种与业务相关的数据采集,利用安全攻防的反向推导方式,真正的贴合了业务的特征,通过检测相关数据的变化,能够准确定位异常行为的出现。本发明实施例与业务贴合紧密,能够真正反映出攻击对于业务的具体影响,因此,对于高级持续性业务威胁能够进行有效的检测。本发明实施例适用于所有类型的网络服务,尤其是通信和移动互联网相关的服务类型。
本领域技术人员应当理解,图4中所示的异常行为检测装置中的各处理单元的实现功能可参照前述异常行为检测方法及其实施例的相关描述而理解。本领域技术人员应当理解,图4所示的异常行为检测装置中各处理单元的功能可通过运行于处理器上的程序而实现,也可通过具体的逻辑电路而实现。
本发明实施例所记载的技术方案之间,在不冲突的情况下,可以任意组合。
在本发明所提供的几个实施例中,应该理解到,所揭露的方法、装置和电子设备,可以通过其它的方式实现。以上所描述的设备实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,如:多个单元或组件可以结合,或可以集成到另一个***,或一些特征可以忽略,或不执行。另外,所显示或讨论的各组成部分相互之间的耦合、或直接耦合、或通信连接可以是通过一些接口,设备或单元的间接耦合或通信连接,可以是电性的、机械的或其它形式的。
上述作为分离部件说明的单元可以是、或也可以不是物理上分开的,作为单元显示的部件可以是、或也可以不是物理单元,即可以位于一个地方,也可以分布到多个网络单元上;可以根据实际的需要选择其中的部分或全部单元来实现本实施例方案的目的。
另外,在本发明各实施例中的各功能单元可以全部集成在一个处理单元中,也可以是各单元分别单独作为一个单元,也可以两个或两个以上单元集成在一个单元中;上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加应用功能单元的形式实现。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:移动存储设备、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
或者,本发明实施例上述集成的单元如果以应用功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明实施例的技术方案本质上或者说对现有技术做出贡献的部分可以以应用产品的形式体现出来,该计算机应用产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机、服务器、或者网络设备等)执行本发明各个实施例所述方法的全部或部分。而前述的存储介质包括:移动存储设备、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
本发明的保护范围并不局限于此,熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。
Claims (4)
1.一种异常行为检测方法,其特征在于,通过对业务***进行测试,建立异常行为模式库;所述方法包括:
采集网络中当前传输的数据,通过设定的分析算法,对所采集的数据与所述异常行为模式库中的数据进行比对,判断所采集的数据是否为异常数据;其中,
通过下式确定所采集的数据的风险值R:
其中,i的取值范围为1到n,n为安全行为层次模型中的总层次数;
Poi(f,c)∈[0,1],Poi(f,c)表示第i层的异常行为确定性指数,由频率f和行为匹配度c决定;
Ini(q,c)∈[0,1],Ini(q,c)表示第i层的异常行为影响指数,由数量q和行为匹配度c决定;
若关联因素能将i层与其他层关联,则k=1,否则k=0;
将风险值R大于设定阈值的所采集的数据确定为异常数据;
当确定所采集的数据为异常数据时,记录该异常数据;
在所记录的某类型的异常数据超出设定阈值时,输出超出设定阈值的异常数据的告警信息;
其中,所述建立异常行为模式库,包括:
对网络中的业务***进行安全测试,记录所述业务***的数据变化;
根据预设的安全行为层次模型,建立所述数据与数据变化方式的对应关系;
根据所述安全行为层次模型将所述数据分层梳理,再为分层后的数据设置关联要素,所述关联要素将各分层后的数据关联形成异常行为模式库。
2.根据权利要求1所述的方法,其特征在于,所述对业务***进行测试,包括:
向测试端口发送测试攻击报文,至少记录网络层面、数据层面、***层面、业务层面中相关数据的变化情况。
3.一种异常行为检测装置,其特征在于,所述装置包括:建立单元、采集单元、第一判断单元、记录单元、第二判断单元和输出单元,其中:
建立单元,用于对网络中的业务***进行安全测试,记录所述业务***的数据变化;根据预设的安全行为层次模型,建立所述数据与数据变化方式的对应关系;根据所述安全行为层次模型将所述数据分层梳理,再为分层后的数据设置关联要素,所述关联要素将各分层后的数据关联形成异常行为模式库;
采集单元,用于采集网络中当前传输的数据;
第一判断单元,用于通过设定的分析算法,对所采集的数据与所述异常行为模式库中的数据进行比对,判断所采集的数据是否为异常数据;当确定所采集的数据为异常数据时,触发记录单元;还用于通过下式确定所采集的数据的风险值R:
其中,i的取值范围为1到n,n为安全行为层次模型中的总层次数;
Poi(f,c)∈[0,1],Poi(f,c)表示第i层的异常行为确定性指数,由频率f和行为匹配度c决定;
Ini(q,c)∈[0,1],Ini(q,c)表示第i层的异常行为影响指数,由数量q和行为匹配度c决定;
若关联因素能将i层与其他层关联,则k=1,否则k=0;
将风险值R大于设定阈值的所采集的数据确定为异常数据;
记录单元,用于记录该异常数据;
第二判断单元,用于判断所述记录单元所记录的某类型的异常数据是否超出设定阈值,超出设定阈值时触发输出单元;
输出单元,用于输出超出设定阈值的异常数据的告警信息。
4.根据权利要求3所述的装置,其特征在于,所述建立单元,还用于向测试端口发送测试攻击报文,至少记录网络层面、数据层面、***层面、业务层面中相关数据的变化情况。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410854233.8A CN105812200B (zh) | 2014-12-31 | 2014-12-31 | 异常行为检测方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410854233.8A CN105812200B (zh) | 2014-12-31 | 2014-12-31 | 异常行为检测方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN105812200A CN105812200A (zh) | 2016-07-27 |
CN105812200B true CN105812200B (zh) | 2019-09-13 |
Family
ID=56464958
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201410854233.8A Active CN105812200B (zh) | 2014-12-31 | 2014-12-31 | 异常行为检测方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN105812200B (zh) |
Families Citing this family (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106411659A (zh) * | 2016-11-29 | 2017-02-15 | 福建中金在线信息科技有限公司 | 一种业务数据监测方法及装置 |
CN106774248B (zh) * | 2016-12-08 | 2019-10-22 | 北京立思辰新技术有限公司 | 一种基于下位机的行为模式安全防护方法 |
CN108268886B (zh) * | 2017-01-04 | 2020-10-30 | ***通信集团四川有限公司 | 用于识别外挂操作的方法及*** |
CN108306846B (zh) * | 2017-01-13 | 2020-11-24 | ***通信集团公司 | 一种网络访问异常检测方法及*** |
CN106789352A (zh) * | 2017-01-25 | 2017-05-31 | 北京兰云科技有限公司 | 一种网络异常流量检测方法和装置 |
CN107395461A (zh) * | 2017-08-29 | 2017-11-24 | 深信服科技股份有限公司 | 一种基于访问关系的安全状态表示方法及*** |
CN109815725B (zh) * | 2017-11-20 | 2020-12-25 | 北京金融资产交易所有限公司 | 一种实现数据安全处理的***和方法 |
CN108255667B (zh) * | 2017-12-27 | 2021-07-06 | 创新先进技术有限公司 | 一种业务监测方法、装置以及电子设备 |
CN111148105B (zh) * | 2018-11-02 | 2022-07-29 | 华为技术有限公司 | 类别信息的确定方法及装置 |
CN109547295A (zh) * | 2018-12-27 | 2019-03-29 | 湖南宸睿通信科技有限公司 | 一种通讯网络的在线修复平台及其修复方法 |
CN111092900B (zh) * | 2019-12-24 | 2022-04-05 | 北京北信源软件股份有限公司 | 服务器异常连接和扫描行为的监控方法和装置 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101370008A (zh) * | 2007-08-13 | 2009-02-18 | 杭州安恒信息技术有限公司 | Sql注入web攻击的实时入侵检测*** |
CN102355375A (zh) * | 2011-06-28 | 2012-02-15 | 电子科技大学 | 具有隐私保护功能的分布式异常流量检测方法与*** |
CN102915027A (zh) * | 2012-11-16 | 2013-02-06 | 武汉钢铁(集团)公司 | 一种基于模式识别技术构建的高炉冶炼专家***及其方法 |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2006090354A1 (en) * | 2005-02-27 | 2006-08-31 | Insight Solutions Ltd. | Detection of misuse of a database |
CN1949720A (zh) * | 2006-09-08 | 2007-04-18 | 中山大学 | 一种分布式网络入侵检测*** |
US8280905B2 (en) * | 2007-12-21 | 2012-10-02 | Georgetown University | Automated forensic document signatures |
CN101572691B (zh) * | 2008-04-30 | 2013-10-02 | 华为技术有限公司 | 一种入侵检测方法、***和装置 |
CN101826994B (zh) * | 2010-02-04 | 2012-07-04 | 蓝盾信息安全技术股份有限公司 | 一种获取入侵源主机信息的方法及装置 |
CN102625312A (zh) * | 2012-04-25 | 2012-08-01 | 重庆邮电大学 | 基于分层入侵检测的传感网安全*** |
-
2014
- 2014-12-31 CN CN201410854233.8A patent/CN105812200B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101370008A (zh) * | 2007-08-13 | 2009-02-18 | 杭州安恒信息技术有限公司 | Sql注入web攻击的实时入侵检测*** |
CN102355375A (zh) * | 2011-06-28 | 2012-02-15 | 电子科技大学 | 具有隐私保护功能的分布式异常流量检测方法与*** |
CN102915027A (zh) * | 2012-11-16 | 2013-02-06 | 武汉钢铁(集团)公司 | 一种基于模式识别技术构建的高炉冶炼专家***及其方法 |
Also Published As
Publication number | Publication date |
---|---|
CN105812200A (zh) | 2016-07-27 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN105812200B (zh) | 异常行为检测方法及装置 | |
US11606373B2 (en) | Cyber threat defense system protecting email networks with machine learning models | |
CN112651006B (zh) | 一种电网安全态势感知*** | |
US20210273961A1 (en) | Apparatus and method for a cyber-threat defense system | |
CN103026345B (zh) | 用于事件监测优先级的动态多维模式 | |
CN109660526A (zh) | 一种应用于信息安全领域的大数据分析方法 | |
KR101883400B1 (ko) | 에이전트리스 방식의 보안취약점 점검 방법 및 시스템 | |
US9455999B2 (en) | Method and system for protective distribution system (PDS) and infrastructure protection and management | |
CN106131023A (zh) | 一种信息安全风险强力识别*** | |
CN107835982A (zh) | 用于在计算机网络中管理安全性的方法和设备 | |
Bryant et al. | Improving SIEM alert metadata aggregation with a novel kill-chain based classification model | |
CN108989296A (zh) | 一种物联网***安全综合评估***及方法 | |
CN113794276A (zh) | 一种基于人工智能的配电网终端安全行为监测***及方法 | |
KR20100118422A (ko) | 정보보안 증적 추적 시스템 및 방법 | |
EP2747365A1 (en) | Network security management | |
CN110460611A (zh) | 基于机器学习的全流量攻击检测技术 | |
CN112688971B (zh) | 功能损害型网络安全威胁识别装置及信息*** | |
CN114338171A (zh) | 一种黑产攻击检测方法和装置 | |
Bezas et al. | Comparative analysis of open source security information & event management systems (SIEMs) | |
Zhao et al. | Research of intrusion detection system based on neural networks | |
CN110378120A (zh) | 应用程序接口攻击检测方法、装置以及可读存储介质 | |
CN115396218A (zh) | 基于流量分析的企业api安全管控方法及*** | |
KR101137694B1 (ko) | 디도스 발생 탐지분석 및 표시를 위한 통합보안관리시스템 및 이에 의한 디도스 발생탐지분석 및 표시방법 | |
Vuppala et al. | Intrusion Detection & Prevention Systems-Sourcefire Snort | |
CN109547486A (zh) | 一种物联网网络层通信的监控分析方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |