CN115102746B

CN115102746B - 一种基于行为体积的主机行为在线异常检测方法

Info

Publication number: CN115102746B
Application number: CN202210686965.5A
Authority: CN
Inventors: 李露; 黄鹂声; 张锋军; 石凯; 汪文勇; 翟圣杰; 赵官凌; 鲁蒙娜
Original assignee: University of Electronic Science and Technology of China
Current assignee: University of Electronic Science and Technology of China
Priority date: 2022-06-16
Filing date: 2022-06-16
Publication date: 2023-04-14
Anticipated expiration: 2042-06-16
Also published as: CN115102746A

Abstract

本申请属于网络空间安全领域，具体是一种基于行为体积的主机行为在线异常检测方法。本发明分为两个阶段，在学习阶段，首先从流量中采集主机的多维行为特征，得到多组特征出入比，其次以特征出入比集合为参数计算每个网络主机的行为体积，通过连续周期内的流量采集以及多次行为体积计算得到主机行为体积集合，以此确定每个主机的行为体积的阈值；在异常检测阶段，首先对某个时间窗口内的主机行为体积进行实时计算，其次将主机行为体积与学习阶段获得的阈值进行对比，超过或低于阈值则输出该主机行为异常告警记录。针对每个主机计算行为体积，并以体积阈值为条件进行异常检测，能够一次性检测多个特征的异常，而不需要针对每个特征进行单独检测。

Description

一种基于行为体积的主机行为在线异常检测方法

技术领域

本申请属于网络空间安全领域，具体是用于对主机行为在线异常进行检测并发出告警的一种基于行为体积的主机行为在线异常检测方法。

背景技术

网络主机的行为异常检测是网络安全、网络管理领域的重要课题。多种原因可能导致主机的行为异常，例如：木马病毒可能导致主机网络访问行为的异常，网络链路的不稳定或拓扑结构的变化可能导致主机行为特征的重大变化，遭受DDoS攻击可能导致网络服务器被访问次数的异常，等等。网络流量异常检测是发现网络攻击的重要手段，因此，针对网络主机的行为异常检测，对于保障网络安全、发现恶意攻击、检测网络故障等具有重要意义。

异常检测的方法各种各样，所有这些的思想都是:异常的数据对象是不寻常的，或者在某些方面与其他对象不一致。根据检索，目前常见的网络主机行为异常流量的检测方法有以下几种。

(1)基于数据挖掘的异常检测。通过采集大量的网络流量数据，采用抽样选取特定目标数据，对数据进行预处理及变换，然后应用数据挖掘算法，如分类、聚类分析、序列分析等，总结入侵行为的规律，从而建立起比较完备的规则库，进而通过一定的判断规则，对流量数据中的异常进行检测。

(2)基于数字信号处理的异常检测。对于非稳定的信号，利用小波变换等数字信号处理技术通过对一个指标的全部采样值进行分析，将其拆分为不同的分量，通过计算不同分量的方差，来按照一定的概率发现指标异常。通过分析不同的尺度下逼近信号和细节信号，可以方便的从中检测到异常流量。

(3)基于机器学习的异常检测。通过对输入信息的学习，构造输入和输出的关系模型，通过自动学习与更新，可以准确的表达非线性关系。当有新的输入进入时，可以良好的预测输出的情况。因此对于下一时间节点预测的错误概率一定程度上可以反过来代表该时间节点的行为异常程度。

上述的方法各有优点，都可以在一定程度上检测网络主机行为的异常，但是均存在不同程度的时间和空间复杂度高的问题，如下：

(1)基于数据挖掘的异常检测方法需要累计大量的高维特征数据样本，然后对不同维度特征的样本数据进行统计和分析，除此，流量异常检测***通常把整体流量作为处理对象,但由于流量特征维度高,因此导致流量异常检测***计算复杂度高；

(2)基于数字信号处理的异常检测方法需要对多维度行为特征数据的原始时间序列进行分解，有较多的冗余数据参与到处理过程中，其分析维度和时间空间复杂度更高，随着数据的增加，计算的复杂度可能呈指数型增长，极大的制约了流量异常检测的发展；

(3)基于机器学习的异常检测方法需要对高维原始时间序列进行分别预测，或针对多维特征构造训练集并开展离线机器学习，随着流量特征维数以及噪声数据的增加，基于传统机器学习的流量异常检测方法面临流量特征提取准确性、鲁棒性差等问题，在一定程度上降低了流量攻击检测性能。

综上，现有算法存在时间空间复杂度高、检测不及时等问题，无法满足实时、轻量级的异常检测需求。同时，现有异常检测大多基于单个行为特征进行单独异常检测和告警，较少对多个特征进行混合异常检测。

发明内容

为解决现有技术中存在的下述问题：(1)现有算法存在时间空间复杂度高、检测不及时等问题，无法满足实时、轻量级的异常检测需求；(2)现有异常检测大多基于单个行为特征进行单独异常检测和告警，较少对多个特征进行混合异常检测；(3)现有检测方法大多基于对已有异常数据的统计学习，对未知异常的检出率较低。现在特别提出一种基于行为体积的主机行为在线异常检测方法。

本发明采用如下技术方案：

一种基于行为体积的主机行为在线异常检测方法，其特征在于，包括第一阶段和第二阶段；

第一阶段：学习阶段，首先从流量中采集主机的多维行为特征，得到多组特征出入比，其次以特征出入比集合为参数计算每个网络主机的行为体积，进一步通过连续周期内的流量采集以及多次行为体积计算得到主机行为体积集合，以此确定每个主机的行为体积的阈值；

第二阶段：异常检测阶段，首先对某个时间窗口内的主机行为体积进行实时计算，其次将主机行为体积与学习阶段获得的阈值进行对比，超过或低于阈值则输出该主机行为异常告警记录。

其中，所述第一阶段包括以下步骤：

步骤1、从流量中采集主机的多维行为特征出入比，在固定时间窗口T内，从网络流量中采集主机的行为特征，并将每个特征按照报文流入或流出方向，分为“输入特征”和“输出特征”，定义输入特征与输出特征的比值为“特征出入比”r；

步骤2、以特征出入比集合为参数计算每个网络主机的行为体积，将时间周期T内获得的某个主机的多个特征出入比相乘，获得该主机在时间周期T内的行为体积V，计算方法为V＝r₁×r₂×…×r_n，其中n为特征数量；

步骤3、通过连续多个时间周期T，可以得到多组特征出入比集合，分别对多组特征出入比集合进行计算，可以获得某个主机的多个行为体积计算结果，即V＝{V₁,V₂,…,V_m}，其中m为学习阶段的时间周期个数；

步骤4、确定主机的行为体积界限，取最大值的3倍为该主机的行为体积上界阈值，定义为Vmax＝3×max(V₁,V₂,…,V_m)，取最小值的0.3倍为该主机的行为体积下界阈值，定义为Vmin＝0.3×min(V₁,V₂,…,V_m)。

其中，所述第二阶段包括以下步骤：

S1、在每个与步骤1相同的时间周期T内，对某个时间窗口内的主机多维行为特征出入比、行为体积进行实时计算，计算过程分别与步骤1和步骤2过程相同，行为体积计算结果定义为Vt；

S2、对比Vt与Vmax，如果Vt>Vmax，则输出异常告警记录；

S3、对比Vt与Vmin，如果Vt<Vmin，则输出异常告警记录。

其中，所述步骤1包括以下步骤：

步骤1.1、针对“行为特征i”，首先捕获主机在时间周期T内从网络中输入的“行为特征i”报文，定义为“输入行为特征i”，再捕获主机在时间周期T内向网络输出的“行为特征i”报文，定义为“输出行为特征i”；

步骤1.2、令“输出行为特征i”加1，除以“输入行为特征i”加1，得到的比值定义为“行为特征i出入比”，即ri＝(i_out+1)/(i_in+1)，其中ri为行为特征i出入比，i_out为输出报文数量，i_in为输入报文数量；

步骤1.3、通过一个完整时间周期T的观测，可以采集到主机的多维行为特征，进而获得针对某个主机的多个特征出入比，定义为特征出入比集合R＝{r₁,r₂,…,r_n}，其中n为特征数量。

进一步地，行为特征具体包括IP入平均流量、IP出平均流量、TCP入平均流量、TCP出平均流量、UDP入平均流量、UDP出平均流量、TCP会话数、TCP主机数、平均每个TCP会话往来包数量、TCP会话平均入数据包长度和UDP会话平均出数据包长度。

本发明与现有技术相比，其有益效果表现在：

(1)高效性。针对每个主机计算行为体积，并以体积阈值为条件进行异常检测，能够一次性检测多个特征的异常，而不需要针对每个特征进行单独检测。

(2)提高检出率。以出入比为异常检测依据，由于网络异常往往表现为输出行为与输入行为的不匹配，因此与采用不区分输出输出特征的异常检测方法相比，本发明可以提高部分未知异常的检出率。

(3)时间和空间复杂度低。通过对流量数据特征提取，计算特征出入比与主机行为体积，该过程只涉及到乘方运算，不需要大量样本的统计，不需要机器学习过程，也不需要获得针对各类异常的训练集，时间和空间复杂度低。

(4)兼容性强。针对每个主机制定行为体积阈值，可在很大程度上兼容不同类型主机的行为模式，与针对所有主机采用统一阈值的异常检测方法相比，可以减少误报率，事实上，由于互联网中各类主机的协议、角色不同，其行为模式具有较大个体差异，本发明可以学习不同主机的行为模式，针对主机个体的行为模式变化进行精确异常检测。

(5)延展性强。本发明除了针对上界阈值进行告警之外，还针对下界阈值进行了告警，这使得本发明能够发现常见安全异常检测不能发现的异常，例如，在主机遭受外部攻击时，本发明可能触发下界阈值异常告警。

附图说明

图1是本发明中两个阶段的技术流程示意图。

图2是本发明中第一阶段的流程示意图。

图3是本发明中第二阶段的流程示意图。

图4是本发明中主机多维行为特征的部分示意图。

具体实施方式

下面将结合附图及具体实施方式对本发明作进一步的描述。

实施例1

本发明将异常检测分为学习阶段和异常检测阶段。在学习阶段，首先从流量中采集主机的多维行为特征出入比，其次以特征出入比集合为参数计算每个网络主机的行为体积，进一步通过多次行为体积计算结果确定每个主机的行为体积的阈值；在异常检测阶段，首先对某个时间窗口内的主机行为体积进行实时计算，其次将主机行为体积与学习阶段获得的阈值进行对比，超过阈值则输出该主机行为异常告警记录。

主机行为特征：主机级别的行为特征关注主机间的连接模式，如与主机通信的所有流量，或与主机的某个IP和端口通信的所有流量；包括IP出入平均流量(bps)、TCP出入平均流量(bps)、UDP出入平均流量(bps)、TCP会话数、TCP主机数，等等。

网络流量采集：是监控网络流量的关键技术之一，为流量分析提供数据来源。使用专用网络设备(防火墙或流量分析***等)在一个时间周期内采集指定设备上的流量，并对相应所需指标进行筛选，以供后续分析使用。

输出特征集：在固定时间窗口T内，从网络流量中采集主机每个特征的流出数量，定义为out，得到输出特征集OUT＝{out₁,out₂,…,out_n}；

输入特征集：在固定时间窗口T内，从网络流量中采集主机每个特征的流入数量，定义为in，得到输入特征集IN＝{in₁,in₂,…,in_n}；

行为体积集：每个周期内能够得到一个行为体积Vi，在连续m个周期T内得到的m个行为体积，构成行为体积集V＝{V₁,V₂,…,V_m}；

一种基于行为体积的主机行为在线异常检测方法，其特征在于，包括第一阶段和第二阶段：

其中，所述第一阶段包括以下步骤：

步骤1、从流量中采集主机的多维行为特征出入比，在固定时间窗口T内，从网络流量中采集主机的行为特征，并将每个特征按照报文流入或流出方向，分为“输入特征”和“输出特征”，定义输入特征与输出特征的比值为“特征出入比”r；其计算方式具体步骤如下：

步骤2、以特征出入比集合为参数计算每个网络主机的行为体积，将时间周期T内获得的某个主机的多个特征出入比相乘，获得该主机在时间周期T内的行为体积V，计算方法为V＝r₁×r₂×…×r_n，其中n为特征数量。

其中，所述第二阶段包括以下步骤：

S1、在每个与步骤1相同的时间周期T内，对某个时间窗口内的主机多维行为特征出入比、行为体积进行实时计算，计算过程分别与步骤1和步骤2所述过程相同，行为体积计算结果定义为Vt；

S2、对比Vt与Vmax，如果Vt>Vmax，则输出异常告警记录；

S3、对比Vt与Vmin，如果Vt<Vmin，则输出异常告警记录。

实施例2

首先部署流量采集装置，可使用Sniffer、SNMP、NetFlow、SFlow等流量采集技术，通过对交换机、路由器、主机端口等不同网络设备的流量采集，记录协议类型、TCP/UDP、端口号、应用层协议，甚至URL信息等，为流量分析提供数据来源。然后对采集到的流量数据进行分析，得到多维主机行为特征，包括IP出入平均流量(bps)、TCP出入平均流量(bps)、UDP出入平均流量(bps)、TCP会话数、TCP主机数，等等。

第一阶段：

以“TCP报文数量”主机行为特征为例，首先捕获主机在T₁＝1min周期内的流量数据，解析得到“TCP报文数输出量”TCPout＝35080(bps)，以及“TCP报文数输入量”TCPin＝12712(bps),则特征出入比r₁＝(TCPout+1)/(TCPin+1)＝(35080+1)/(12712+1)≈2.76；

同理得到其他行为特征的特征出入比，如“IP报文数量”的特征出入比r₂＝(IPout+1)/(IPin+1)＝(35416+1)/(12712+1)≈2.79；以此类推，提取主机的多维行为特征，计算得到行为特征出入比集合R＝{2.76,2.79,…,2.45}；

以特征出入比集合为参数，根据主机的行为体积计算公式：V＝r₁×r₂×…×r_n，将时间周期T₁＝1min内获得的多个特征出入比相乘,获得该主机在T₁周期内的行为体积V＝2.76×2.79×…×2.45≈105.78；

通过连续m个周期T对网络主机进行流量采集，对每个周期T的流量数据做以上相同的操作，最后计算得到多个行为体积V＝{V₁,V₂,…,V_m}＝{105.78,105.7,…,102.4}；则该主机的行为体积上界阈值Vmax＝3×max(V₁,V₂,…,V_m)＝3×105.78＝317.34，该主机的行为体积下界阈值Vmin＝3×min(V₁,V₂,…,V_m)＝0.3×102.4＝30.72。

第二阶段：

在相同时间周期T＝1min内，对主机流量进行实时采集分析，得到多维行为特征数据{12712,35416,12712,35080,0,328,93,1,20,116,244,2,1,1,0,1240,0,0,0,0,0,0,0,0,0,0,186,186,0,0,0,0,0,0,3,2,2,2,0,1,88,0,0,6,0,0,0,0,0,1,1,1,1,1,0,1,0,0,0,0,86}，其特征部分含义如图4所示；

基于此，根据行为体积计算公式：V＝r₁×r₂×…×r_n＝(IP_OUTBPS+1)/(IP_INBPS+1)*(TCP_INBPS+1)/(TCP_OUTBPS+1)*(UDP_OUTBPS+1)/(UDP_INBPS+1)*(SYN_OUTCOUNT+1)/(SYN_INCOUNT+1)*(SYN_TO_PEERS+1)/(SYN_FROM_PEERS+1)*(RST_TO_PEERS+1)/(RST_FROM_PEERS+1)*(TCP_TO_PEERS+1)/(TCP_FROM_PEERS+1)*(UDP_TO_PEERS+1)/(UDP_FROM_PEERS+1)*(OTHERIP_TO_PEERS+1)/(OTHERIP_FROM_PEERS+1)*(DNS_TO_PEERS+1)/(DNS_FROM_PEERS+1)*(SYN_TO_PORT_PEERS+1)/(SYN_FROM_PORT_PEERS+1)*(DNS_QUERYS+1)/(DNS_ANSWERS+1)，计算实时的主机行为体积，得到Vt＝530.55；

对比Vt与Vmax，发现Vt大于行为体积上界阈值Vmax，则输出在线主机行为异常告警记录。

以上仅是本发明众多具体应用范围中的代表性实施例，对本发明的保护范围不构成任何限制。凡采用变换或是等效替换而形成的技术方案，均落在本发明权利保护范围之内。

Claims

1.一种基于行为体积的主机行为在线异常检测方法，其特征在于，包括第一阶段和第二阶段；

其中，在固定时间窗口T内，从网络流量中采集主机的行为特征，并将每个特征按照报文流入或流出方向，分为“输入特征”和“输出特征”，定义输入特征与输出特征的比值为“特征出入比”r；

将时间周期T内获得的某个主机的多个特征出入比相乘，获得该主机在时间周期T内的行为体积V，计算方法为V＝r₁×r₂×…×r_n，其中n为特征数量；

2.根据权利要求1所述的一种基于行为体积的主机行为在线异常检测方法，其特征在于，所述第一阶段包括以下步骤：

步骤1、从流量中采集主机的多维行为特征出入比，；

步骤2、以特征出入比集合为参数计算每个网络主机的行为体积；

3.根据权利要求2所述的一种基于行为体积的主机行为在线异常检测方法，其特征在于，所述第二阶段包括以下步骤：

S2、对比Vt与Vmax，如果Vt>Vmax，则输出异常告警记录；

S3、对比Vt与Vmin，如果Vt<Vmin，则输出异常告警记录。

4.根据权利要求2所述的一种基于行为体积的主机行为在线异常检测方法，其特征在于，所述步骤1包括以下步骤：

5.根据权利要求1所述的一种基于行为体积的主机行为在线异常检测方法，其特征在于，行为特征具体包括IP入平均流量、IP出平均流量、TCP入平均流量、TCP出平均流量、UDP入平均流量、UDP出平均流量、TCP会话数、TCP主机数、平均每个TCP会话往来包数量、TCP会话平均入数据包长度和UDP会话平均出数据包长度。