对网络行为进行安全分析的方法和装置的制造方法
对网络行为进行安全分析的方法和装置的制造方法
【技术领域】
[0001]本发明涉及网络安全技术领域,尤其涉及一种对网络行为进行安全分析的方法和
目.0
【背景技术】
[0002]目前,我们已经身处信息时代,计算机和网络已经成为各类组织不可或缺的工具,信息成为组织赖以生存的重要资产,其价值与日俱增,与此同时也面临各种各样、越来越多的安全威胁。病毒破坏、黑客攻击、网络欺诈、重要信息资料丢失、信息系统瘫痪以及利用计算机网络实施的各种犯罪行为层出不穷、防不胜防。根据CSI/FBI的Computer Crime andSecurity Survey2010中的统计,50%的组织至少发生了一次信息安全事故。信息资产一旦遭到破坏,将给组织带来直接的经济损失,并导致组织的声誉和公众形象受到损害,使组织丧失市场机会和竞争力,甚至威胁组织的生存。因此,组织必须解决信息安全问题,有效保护信息资产。
[0003]目前,现有的网络行为安全分析技术的发展有三大方向,一是流量统计和阈值检测技术;二是源与目的主机可信性验证技术;三是分布与特征检测技术。上述现有的网络行为安全分析技术的缺点为:存在较大的误报率、不能全面检测异常流量攻击、特征检测性能不尚。
【发明内容】
[0004]本发明的实施例提供了一种对网络行为进行安全分析的方法和装置,以实现对网络行为进行有效的安全分析。
[0005]为了实现上述目的,本发明采取了如下技术方案。
[0006]根据本发明的一个方面,提供了一种对网络行为进行安全分析的方法,包括:
[0007]利用聚类算法对网络中的各种网络行为进行自学习得到网络行为秩序链,所述网络行为秩序链中包括各个安全的网络行为,每个网络行为中包括会话五元组;
[0008]判断待识别的网络行为是否存在于所述网络行为秩序链中,如果是,则确定所述待识别的网络行为是安全的;否则,通过设定的安全策略判断所述待识别的网络行为是否安全。
[0009]优选地,所述的方法还包括:
[0010]在网络结构秩序初始化阶段,根据先验知识得到可信域中的各个主机的IP地址和端口号,以及不可信域中的各个主机的IP地址和端口号,将可信域中的各个主机的IP地址和端口号保存到初始的白名单中,将不可信域中的各个主机的IP地址和端口号保存到初始的灰名单中,并且,设置初始的黑名单为空。
[0011]优选地,所述的利用聚类算法对网络中的各种网络行为进行自学习得到网络行为秩序链,所述网络行为秩序链中包括各个安全的网络行为,每个网络行为中包括会话五元组,包括:
[0012]从待聚类的所有网络主机中任意选择设定数量个对象作为初始聚类中心,以每个初始聚类中心为一簇,依次选取剩下的各个待聚类的网络主机,计算出待聚类的网络主机与各初始聚类中心之间的相似度,将待聚类的网络主机归纳于最小的组合距离对应的初始聚类中心所在的簇,依次类推,依次将所有待聚类的网络主机分别归纳于对应的簇中,完成第一轮网络主机聚类;
[0013]用各簇的均值元组代替当前簇的聚类中心,按照所述第一轮网络主机聚类的过程,进行第二轮的网络主机聚类,依次类推,每轮网络主机聚类结束后,用各簇的均值网络主机代替当前簇的聚类中心,并进行下一轮的网络主机聚类,直至最终所有网络主机所属的簇不再发生改变,则聚类结束;
[0014]在所述聚类过程结束以后,将各个簇的最终的聚类中心作为该簇中的所有网购主机的代表,一个网络行为中主要包括会话五元组,即源IP地址、目的IP地址、源端口、目的端口、协议号,所述各个簇的最终的聚类中心分别对应一个簇的最终的网络行为,运用关联分析算法关联多个网络行为形成一条网络行为秩序链。
[0015]优选地,所述的判断待识别的网络行为是否存在于所述网络行为秩序链中之前还包括:
[0016]针对待识别的网络行为,获取该网络行为中包括的会话五元组,即源IP地址、目的IP地址、源端口、目的端口、协议号,将网络行为中包括的源IP地址、目的IP地址与白名单、黑名单中的主机比较;
[0017]如果网络行为中包括的源IP地址、目的IP地址在白名单中,则确定该网络行为是安全的,放行该网络行为,流程结束;如果网络行为中包括的源IP地址、目的IP地址在黑名单中,则确定该网络行为是不安全的,阻断该网络行为,流程结束。
[0018]优选地,所述的判断待识别的网络行为是否存在于所述网络行为秩序链中,如果是,则确定所述待识别的网络行为是安全的;否则,通过设定的安全策略判断所述待识别的网络行为是否安全,包括:
[0019]将待识别的网络行为与网络行为秩序链中的网络行为进行比较,如果待识别的网络行为与网络行为秩序链中的网络行为相同,则确定该网络行为是安全的,放行该网络行为;
[0020]如果待识别的网络行为与网络行为秩序链中的网络行为不相同,则统计特定时间段内所述待识别的网络行为的个数,当该个数不大于预先设定的攻击阈值,则放行该网络行为,将该网络行为中的IP地址与端口号保存到灰名单中;当该个数大于预先设定的攻击阈值,则阻断该网络行为,将该网络行为中的IP地址与端口号保存到黑名单中。
[0021]根据本发明的另一个方面,提供了一种对网络行为进行安全分析的装置,包括:
[0022]网络行为秩序链获取模块,用于利用聚类算法对网络中的各种网络行为进行自学习得到网络行为秩序链,所述网络行为秩序链中包括各个安全的网络行为,每个网络行为中包括会话五元组;
[0023]网络行为安全分析模块,用于判断待识别的网络行为是否存在于所述网络行为秩序链中,如果是,则确定所述待识别的网络行为是安全的;否则,通过设定的安全策略判断所述待识别的网络行为是否安全。
[0024]优选地,所述的装置还包括:
[0025]主机白、灰和黑名单初始设置模块,用于在网络结构秩序初始化阶段,根据先验知识得到可信域中的各个主机的IP地址和端口号,以及不可信域中的各个主机的IP地址和端口号,将可信域中的各个主机的IP地址和端口号保存到初始的白名单中,将不可信域中的各个主机的IP地址和端口号保存到初始的灰名单中,并且,设置初始的黑名单为空。
[0026]优选地,所述的网络行为秩序链获取模块,具体用于从待聚类的所有网络主机中任意选择设定数量个对象作为初始聚类中心,以每个初始聚类中心为一簇,依次选取剩下的各个待聚类的网络主机,计算出待聚类的网络主机与各初始聚类中心之间的相似度,将待聚类的网络主机归纳于最小的组合距离对应的初始聚类中心所在的簇,依次类推,依次将所有待聚类的网络主机分别归纳于对应的簇中,完成第一轮网络主机聚类;
[0027]用各簇的均值元组代替当前簇的聚类中心,按照所述第一轮网络主机聚类的过程,进行第二轮的网络主机聚类,依次类推,每轮网络主机聚类结束后,用各簇的均值网络主机代替当前簇的聚类中心,并进行下一轮的网络主机聚类,直至最终所有网络主机所属的簇不再发生改变,则聚类结束;
[0028]在所述聚类过程结束以后,将各个簇的最终的聚类中心作为该簇中的所有网购主机的代表,一个网络行为中主要包括会话五元组,即源IP地址、目的IP地址、源端口、目的端口、协议号,所述各个簇的最终的聚类中心分别对应一个簇的最终的网络行为,运用关联分析算法关联多个网络行为形成一条网络行为秩序链。
[0029]优选地,所述的网络行为安全分析模块,还用于针对待识别的网络行为,首先获取该网络行为中包括的会话五元组,即源IP地址、目的IP地址、源端口、目的端口、协议号,将网络行为中包括的源IP地址、目的IP地址与白名单、黑名单中的主机比较;
[0030]如果网络行为中包括的源IP地址、目的IP地址在白名单中,则确定该网络行为是安全的,放行该网络行为,流程结束;如果网络行为中包括的源IP地址、目的IP地址在黑名单中,则确定该网络行 为是不安全的,阻断该网络行为,流程结束。
[0031]优选地,所述的网络行为安全分析模块,具体用于将待识别的网络行为与网络行为秩序链中的网络行为进行比较,如果待识别的网络行为与网络行为秩序链中的网络行为相同,则确定该网络行为是安全的,放行该网络行为;
[0032]如果待识别的网络行为与网络行为秩序链中的网络行为不相同,则统计特定时间段内所述待识别的网络行为的个数,当该个数不大于预先设定的攻击阈值,则放行该网络行为,将该网络行为中的IP地址与端口号保存到灰名单中;当该个数大于预先设定的攻击阈值,则阻断该网络行为,将该网络行为中的IP地址与端口号保存到黑名单中。
[0033]由上述本发明的实施例提供的技术方案可以看出,本发明实施例通过利用聚类算法对网络中的各种网络行为进行自学习得到网络行为秩序链,提供了一种基于网络秩序的网络行为安全分析的方法及装置,使得能够有效地验证出网络行为是安全或者非安全的,能够有效地检测出网络攻击行为,以保证网络应用的安全性与可靠性,给网络用户一个安全、可靠的网络应用环境。
[0034]本发明附加的方面和优点将在下面的描述中部分给出,这些将从下面的描述中变得明显,或通过本发明的实践了解到。
【附图说明】
[0035]为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
[0036]图1为本发明实施例提供的一种对网络行为进行安全分析的方法的实现原理示意图;
[0037]图2为本发明实施例提供的一种对网络行为进行安全分析的方法的处理流程图;
[0038]图3本发明实施例提供的一种对网络行为进行安全分析的装置的应用场景示意图;
[0039]图4为本发明实施例提供的一种对网络行为进行安全分析的装置的具体实现结构图,图中,网络行为秩序链获取模块41,网络行为安全分析模块42和主机白、灰和黑名单初始设置模块43。
【具体实施方式】
[0040]下面详细描述本发明的实施方式,所述实施方式的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施方式是示例性的,仅用于解释本发明,而不能解释为对本发明的限制。
[0041]本技术领域技术人员可以理解,除非特意声明,这里使用的单数形式“一”、“一个”、“所述”和“该”也可包括复数形式。应该进一步理解的是,本发明的说明书中使用的措辞“包括”是指存在所述特征、整数、步骤、操作、元件和/或组件,但是并不排除存在或添加一个或多个其他特征、整数、步骤、操作、元件、组件和/或它们的组。应该理解,当我们称元件被“连接”或“耦接”到另一元件时,它可以直接连接或耦接到其他元件,或者也可以存在中间元件。此外,这里使用的“连接”或“耦接”可以包括无线连接或耦接。这里使用的措辞“和/或”包括一个或更多个相关联的列出项的任一单元和全部组合。
[0042]本技术领域技术人员可以理解,除非另外定义,这里使用的所有术语(包括技术术语和科学术语)具有与本发明所属领域中的普通技术人员的一般理解相同的意义。还应该理解的是,诸如通用字典中定义的那些术语应该被理解为具有与现有技术的上下文中的意义一致的意义,并且除非像这里一样定义,不会用理想化或过于正式的含义来解释。
[0043]为便于对本发明实施例的理解,下面将结合附图以几个具体实施例为例做进一步的解释说明,且各个实施例并不构成对本发明实施例的限定。
[0044]实施例一
[0045]本发明实施例基于聚类算法的网络秩序构建技术、基于关联分析算法的网络秩序链构建技术、黑白灰名单技术对网络行为进行安全分析,克服了以上三大方向的方法中存在的缺点,能够防御各种网络攻击行为。
[0046]本发明实施例提供的一种对网络行为进行安全分析的方法的实现原理示意图如图1所示,具体处理流程如图2所示,包括如下的处理步骤:
[0047]步骤S210:设置网络主机的初始的白名单、灰名单和黑名单。
[0048]在网络结构秩序初始化阶段,根据大量的先验知识得到安全的可信域中的各个主机的IP地址和端口号,以及不可信域中的各个主机的IP地址和端口号。然后,将安全的各个主机的IP地址和端口号保存到初始的白名单中,将不可信域中的各个主机的IP地址和端口号保存到初始的灰名单中。并且,设置初始的黑名单为空,黑名单中的主机的IP地址和端口号是不安全的,是需要阻断的。
[0049]上述白名单、灰名单和黑名单构成网络秩序结构模型。
[0050]步骤S220:利用k-means聚类算法对网络中的各种网络行为进行自学习得到网络行为秩序,运用关联分析算法关联多个网络行为秩序形成一条完整的网络行为秩序链。
[0051]运用k-means聚类算法聚合网络行为秩序,k-means聚类算法的工作过程为:首先,选取每天的网络行为次数大于设定的阈值(比如5)的主机作为待聚类的主机,从待聚类的所有网络主机中任意选择k个对象作为初始聚类中心,以每个初始聚类中心为一簇,依次选取剩下的各个待聚类的网络主机,计算出待聚类的网络主机与各初始聚类中心之间的相似度,将待聚类的网络主机归纳于最小的组合距离对应的初始聚类中心所在的簇,依次类推,依次将所有待聚类的网络主机分别归纳于对应的簇中,完成第一轮网络主机聚类。
[0052]用各簇的均值元组代替当前簇的聚类中心,按照所述第一轮网络主机聚类的过程,进行第二轮的网络主机聚类,依次类推,每轮网络主机聚类结束后,用各簇的均值网络主机代替当前簇的聚类中心,并进行下一轮的网络主机聚类,直至最终所有网络主机所属的簇不再发生改变,则聚类结束;
[0053]两个网络主机X,Y之间的相似度的计算公式如下:
[0054]sim(x, y) = (a+d/ (a+b+c+d)
[0055]其中 X = {xl,,,xi,,,xn},y = {yl,,,yi,,,yn},a = Σ xi*yi,b = Σ yi*(l_xi),c=E xi* (1-yi),d = Σ (l~xi)氺(1-yi),(i = 1,.2,.n)。
[0056]xi为在一个时间窗内网络主机X的第i端口的流量统计值,X为在一个时间窗内网络主机X所有端口的流量统计序列为在一个时间窗内网络主机Y的第i端口的流量统计值,y为在一个时间窗内网络主机Y所有端口的流量统计序列,η为网络主机X,Y的主机端口总数。比如网络主机X在60秒内80端口的流量统计值为6000个。
[0057]本领域技术人员应能理解上述网络主机之间的相似度的计算方法仅为举例,其他现有的或今后可能出现的输入框应用类型如可适用于本发明实施例,也应包含在本发明保护范围以内,并在此以引用方式包含于此。
[0058]在上述聚类过程结束以后,将各个簇的最终的聚类中心作为该簇中的所有网购主机的代表。一个网络行为中主要包括会话五元组,即源IP地址、目的IP地址、源端口、目的端口、协议号,上述各个簇的最终的聚类中心分别对应一个簇的最终的网络行为。然后,运用关联分析算法关联多个网络行为形成一条完整的网络行为秩序链,多个网络行为秩序链构成网络行为秩序模型。
[0059]白名单里包含主机IP地址与秩序链信息,在对多个IP依次进行网络行为安全性验证时,如果多个IP地址都在白名单中,也属于同一个秩序链,那么这些IP地址的可信度就会增加。
[0060]上述网络秩序结构模型和网络行为秩序模型构成网络秩序模型。
[0061]步骤S230:利用白名单和黑名单对待识别的网络行为进行初步的安全验证。
[0062]针对待识别的网络行为,首先获取该网络行为中包括的会话五元 组,即源IP地址、目的IP地址、源端口、目的端口、协议号。然后,将网络行为中包括的源IP地址、目的IP地址与白名单、黑名单中的主机比较。
[0063]如果网络行为中包括的源IP地址、目的IP地址在白名单中,则确定该网络行为是安全的,放行该网络行为,流程结束。
[0064]如果网络行为中包括的源IP地址、目的IP地址在黑名单中,则确定该网络行为是不安全的,阻断该网络行为,流程结束。
[0065]如果网络行为中包括的源IP地址、目的IP地址不在白名单和黑名单中,则执行步骤 S240。
[0066]步骤S240:利用网络行为秩序链对待识别的网络行为进行进一步的安全验证。
[0067]将待识别的网络行为与网络行为秩序链中的网络行为进行比较,如果待识别的网络行为与网络行为秩序链中的网络行为相同,则确定该网络行为是安全的,放行该网络行为,流程结束。
[0068]如果待识别的网络行为与网络行为秩序链中的网络行为不相同,则统计特定时间段内所述待识别的网络行为的个数,当该个数不大于预先设定的攻击阈值,则放行该网络行为,将该网络行为中的IP地址与端口号保存到灰名单中;当该个数大于预先设定的攻击阈值,则阻断该网络行为,将该网络行为中的IP地址与端口号保存到黑名单中。
[0069]实施例二
[0070]该实施例提供了一种对网络行为进行安全分析的装置的应用场景示意图如图3所示,在因特网中包括路由器和核心交换机等,路由器可以传送和路由网络流量,局域网通过核心交换机连接到因特网,局域网中包括汇聚层与接入层交换机、PC、移动终端,可以将终端接入网络,交流与共享信息。本发明实施例的基于网络秩序的网络行为安全分析装置连接到核心交换机的镜像口,用于获得网络数据包,分析网络流量行为,检测网络攻击。
[0071]上述对网络行为进行安全分析的装置的具体实现结构如图4所示,具体可以包括如下的模块:
[0072]网络行为秩序链获取模块41,用于利用聚类算法对网络中的各种网络行为进行自学习得到网络行为秩序链,所述网络行为秩序链中包括各个安全的网络行为,每个网络行为中包括会话五元组;
[0073]网络行为安全分析模块42,用于判断待识别的网络行为是否存在于所述网络行为秩序链中,如果是,则确定所述待识别的网络行为是安全的;否则,通过设定的安全策略判断所述待识别的网络行为是否安全。
[0074]所述的装置还包括:
[0075]主机白、灰和黑名单初始设置模块43,用于在网络结构秩序初始化阶段,根据先验知识得到可信域中的各个主机的IP地址和端口号,以及不可信域中的各个主机的IP地址和端口号,将可信域中的各个主机的IP地址和端口号保存到初始的白名单中,将不可信域中的各个主机的IP地址和端口号保存到初始的灰名单中,并且,设置初始的黑名单为空。
[0076]进一步地,所述的网络行为秩序链获取模块41,具体用于从待聚类的所有网络主机中任意选择设定数量个对象作为初始聚类中心,以每个初始聚类中心为一簇,依次选取剩下的各个待聚类的网络主机,计算出待聚类的网络主机与各初始聚类中心之间的相似度,将待聚类的网络主机归纳于最小的组合距离对应的初始聚类中心所在的簇,依次类推,依次将所有待聚类的网络主机分别归纳于对应的簇中,完成第一轮网络主机聚类;
[0077]用各簇的均值元组代替当前簇的聚类中心,按照所述第一轮网络主机聚类的过程,进行第二轮的网络主机聚类,依次类推,每轮网络主机聚类结束后,用各簇的均值网络主机代替当前簇的聚类中心,并进行下一轮的网络主机聚类,直至最终所有网络主机所属的簇不再发生改变,则聚类结束;
[0078]在所述聚类过程结束以后,将各个簇的最终的聚类中心作为该簇中的所有网购主机的代表,一个网络行为中主要包括会话五元组,即源IP地址、目的IP地址、源端口、目的端口、协议号,所述各个簇的最终的聚类中心分别对应一个簇的最终的网络行为,运用关联分析算法关联多个网络行为形成一条网络行为秩序链。
[0079]所述的网络行为安全分析模块,还用于针对待识别的网络行为,首先获取该网络行为中包括的会话五元组,即源IP地址、目的IP地址、源端口、目的端口、协议号,将网络行为中包括的源IP地址、目的IP地址与白名单、黑名单中的主机比较;
[0080]如果网络行为中包括的源IP地址、目的IP地址在白名单中,则确定该网络行为是安全的,放行该网络行为,流程结束;如果网络行为中包括的源IP地址、目的IP地址在黑名单中,则确定该网络行为是不安全的,阻断该网络行为,流程结束。
[0081]进一步地,所述的网络行为安全分析模块43,具体用于将待识别的网络行为与网络行为秩序链中的网络行为进行比较,如果待识别的网络行为与网络行为秩序链中的网络行为相同,则确定该网络行为是安全的,放行该网络行为;
[0082]如果待识别的网络行为与网络行为秩序链中的网络行为不相同,则统计特定时间段内所述待识别的网络行为的个数,当该个数不大于预先设定的攻击阈值,则放行该网络行为,将该网络行为中的IP地址与端口号保存到灰名单中;当该个数大于预先设定的攻击阈值,则阻断该网络行为,将该网络行为中的IP地址与端口号保存到黑名单中。
[0083]用本发明实施例的装置进行对网络行为进行安全分析的具体过程与前述方法实施例类似,此处不再赘述。
[0084]综上所述,本发明实施例通过利用聚类算法对网络中的各种网络行为进行自学习得到网络行为秩序链,提供了一种基于网络秩序的网络行为安全分析的方法及装置,使得能够有效地验证出网络行为是安全或者非安全的,能够有效、全面地检测出异常流量攻击等网络攻击行为,检测误报率低,以保证网络应用的安全性与可靠性,给网络用户一个安全、可靠的网络应用环境。
[0085]运用本发明,由以前基于签名与流量异常的网络攻击检测转变为基于正常网络行为秩序的网络攻击检测,可以检测DDoS、扫描攻击、APT与未知黑客攻击,而不需要提前获得攻击签名,进行攻击签名的及时升级,以改变一直以来虽然部署大量网络安全设备,依然会受到黑客攻击的尴尬局面。
[0086]本领域普通技术人员可以理解:附图只是一个实施例的示意图,附图中的模块或流程并不一定是实施本发明所必须的。
[0087]通过以上的实施方式的描述可知,本领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中,如R0M/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例或者实施例的某些部分所述的方法。
[0088]本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于装置或系统实施例而言,由于其基本相似于方法实施例,所以描述得比较简单,相关之处参见方法实施例的部分说明即可。以上所描述的装置及系统实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
[0089]以上所述,仅为本发明较佳的【具体实施方式】,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求的保护范围为准。
【主权项】
1.一种对网络行为进行安全分析的方法,其特征在于,包括: 利 用聚类算法对网络中的各种网络行为进行自学习得到网络行为秩序链,所述网络行为秩序链中包括各个安全的网络行为,每个网络行为中包括会话五元组; 判断待识别的网络行为是否存在于所述网络行为秩序链中,如果是,则确定所述待识别的网络行为是安全的;否则,通过设定的安全策略判断所述待识别的网络行为是否安全。2.根据权利要求1所述的对网络行为进行安全分析的方法,其特征在于,所述的方法还包括: 在网络结构秩序初始化阶段,根据先验知识得到可信域中的各个主机的IP地址和端口号,以及不可信域中的各个主机的IP地址和端口号,将可信域中的各个主机的IP地址和端口号保存到初始的白名单中,将不可信域中的各个主机的IP地址和端口号保存到初始的灰名单中,并且,设置初始的黑名单为空。3.根据权利要求2所述的对网络行为进行安全分析的方法,其特征在于,所述的利用聚类算法对网络中的各种网络行为进行自学习得到网络行为秩序链,所述网络行为秩序链中包括各个安全的网络行为,每个网络行为中包括会话五元组,包括: 从待聚类的所有网络主机中任意选择设定数量个对象作为初始聚类中心,以每个初始聚类中心为一簇,依次选取剩下的各个待聚类的网络主机,计算出待聚类的网络主机与各初始聚类中心之间的相似度,将待聚类的网络主机归纳于最小的组合距离对应的初始聚类中心所在的簇,依次类推,依次将所有待聚类的网络主机分别归纳于对应的簇中,完成第一轮网络主机聚类; 用各簇的均值元组代替当前簇的聚类中心,按照所述第一轮网络主机聚类的过程,进行第二轮的网络主机聚类,依次类推,每轮网络主机聚类结束后,用各簇的均值网络主机代替当前簇的聚类中心,并进行下一轮的网络主机聚类,直至最终所有网络主机所属的簇不再发生改变,则聚类结束; 在所述聚类过程结束以后,将各个簇的最终的聚类中心作为该簇中的所有网购主机的代表,一个网络行为中主要包括会话五元组,即源IP地址、目的IP地址、源端口、目的端口、协议号,所述各个簇的最终的聚类中心分别对应一个簇的最终的网络行为,运用关联分析算法关联多个网络行为形成一条网络行为秩序链。4.根据权利要求3所述的对网络行为进行安全分析的方法,其特征在于,所述的判断待识别的网络行为是否存在于所述网络行为秩序链中之前还包括: 针对待识别的网络行为,获取该网络行为中包括的会话五元组,即源IP地址、目的IP地址、源端口、目的端口、协议号,将网络行为中包括的源IP地址、目的IP地址与白名单、黑名单中的主机比较; 如果网络行为中包括的源IP地址、目的IP地址在白名单中,则确定该网络行为是安全的,放行该网络行为,流程结束;如果网络行为中包括的源IP地址、目的IP地址在黑名单中,则确定该网络行为是不安全的,阻断该网络行为,流程结束。5.根据权利要求4所述的对网络行为进行安全分析的方法,其特征在于,所述的判断待识别的网络行为是否存在于所述网络行为秩序链中,如果是,则确定所述待识别的网络行为是安全的;否则,通过设定的安全策略判断所述待识别的网络行为是否安全,包括: 将待识别的网络行为与网络行为秩序链中的网络行为进行比较,如果待识别的网络行为与网络行为秩序链中的网络行为相同,则确定该网络行为是安全的,放行该网络行为; 如果待识别的网络行为与网络行为秩序链中的网络行为不相同,则统计特定时间段内所述待识别的网络行为的个数,当该个数不大于预先设定的攻击阈值,则放行该网络行为,将该网络行为中的IP地址与端口号保存到灰名单中;当该个数大于预先设定的攻击阈值,则阻断该网络行为,将该网络行为中的IP地址与端口号保存到黑名单中。6.一种对网络行为进行安全分析的装置,其特征在于,包括: 网络行为秩序链获取模块,用于利用聚类算法对网络中的各种网络行为进行自学习得到网络行为秩序链,所述网络行为秩序链中包括各个安全的网络行为,每个网络行为中包括会话五元组; 网络行为安全分析模块,用于判断待识别的网络行为是否存在于所述网络行为秩序链中,如果是,则确定所述待识别的网络行为是安全的;否则,通过设定的安全策略判断所述待识别的网络行为是否安全。7.根据权利要求6所述的对网络行为进行安全分析的装置,其特征在于,所述的装置还包括: 主机白、灰和黑名单初始设置模块,用于在网络结构秩序初始化阶段,根据先验知识得到可信域中的各个主机的IP地址和端口号,以及不可信域中的各个主机的IP地址和端口号,将可信域中的各个主机的IP地址和端口号保存到初始的白名单中,将不可信域中的各个主机的IP地址和端口号保存到初始的灰名单中,并且,设置初始的黑名单为空。8.根据权利要求7所述的对网络行为进行安全分析的装置,其特征在于: 所述的网络行为秩序链获取模块,具体用于从待聚类的所有网络主机中任意选择设定数量个对象作为初始聚类中心,以每个初始聚类中心为一簇,依次选取剩下的各个待聚类的网络主机,计算出待聚类的网络主机与各初始聚类中心之间的相似度,将待聚类的网络主机归纳于最小的组合距离对应的初始聚类中心所在的簇,依次类推,依次将所有待聚类的网络主机分别归纳于对应的簇中,完成第一轮网络主机聚类; 用各簇的均值元组代替当前簇的聚类中心,按照所述第一轮网络主机聚类的过程,进行第二轮的网络主机聚类,依次类推,每轮网络主机聚类结束后,用各簇的均值网络主机代替当前簇的聚类中心,并进行下一轮的网络主机聚类,直至最终所有网络主机所属的簇不再发生改变,则聚类结束; 在所述聚类过程结束以后,将各个簇的最终的聚类中心作为该簇中的所有网购主机的代表,一个网络行为中主要包括会话五元组,即源IP地址、目的IP地址、源端口、目的端口、协议号,所述各个簇的最终的聚类中心分别对应一个簇的最终的网络行为,运用关联分析算法关联多个网络行为形成一条网络行为秩序链。9.根据权利要求8所述的对网络行为进行安全分析的装置,其特征在于: 所述的网络行为安全分析模块,还用于针对待识别的网络行为,首先获取该网络行为中包括的会话五元组,即源IP地址、目的IP地址、源端口、目的端口、协议号,将网络行为中包括的源IP地址、目的IP地址与白名单、黑名单中的主机比较; 如果网络行为中包括的源IP地址、目的IP地址在白名单中,则确定该网络行为是安全的,放行该网络行为,流程结束;如果网络行为中包括的源IP地址、目的IP地址在黑名单中,则确定该网络行为是不安全的,阻断该网络行为,流程结束。10.根据权利要求9所述的对网络行为进行安全分析的装置,其特征在于: 所述的网络行为安全分析模块,具体用于将待识别的网络行为与网络行为秩序链中的网络行为进行比较,如果待识别的网络行为与网络行为秩序链中的网络行为相同,则确定该网络行为是安全的,放行该网络行为; 如果待识别的网络行为与网络行为秩序链中的网络行为不相同,则统计特定时间段内所述待识别的网络行为的个数,当该个数不大于预先设定的攻击阈值,则放行该网络行为,将该网络行为中的IP地址与端口号保存到灰名单中;当该个数大于预先设定的攻击阈值,则阻断该网络行为,将该网络行为中的IP地址与端口号保存到黑名单中。
【专利摘要】本发明实施例提供了一种对网络行为进行安全分析的方法和装置。该方法主要包括:利用聚类算法对网络中的各种网络行为进行自学习得到网络行为秩序链,所述网络行为秩序链中包括各个安全的网络行为,每个网络行为中包括会话五元组;判断待识别的网络行为是否存在于所述网络行为秩序链中,如果是,则确定所述待识别的网络行为是安全的;否则,通过设定的安全策略判断所述待识别的网络行为是否安全。本发明实施例提供了一种基于网络秩序的网络行为安全分析的方法及装置,使得能够有效地验证出网络行为是安全或者非安全的,能够有效地检测出网络攻击行为,以保证网络应用的安全性与可靠性,给网络用户一个安全、可靠的网络应用环境。
【IPC分类】H04L29/06
【公开号】CN104901971
【申请号】CN201510351270
【发明人】张洁
【申请人】北京东方棱镜科技有限公司
【公开日】2015年9月9日
【申请日】2015年6月23日
【技术领域】
[0001]本发明涉及网络安全技术领域,尤其涉及一种对网络行为进行安全分析的方法和
目.0
【背景技术】
[0002]目前,我们已经身处信息时代,计算机和网络已经成为各类组织不可或缺的工具,信息成为组织赖以生存的重要资产,其价值与日俱增,与此同时也面临各种各样、越来越多的安全威胁。病毒破坏、黑客攻击、网络欺诈、重要信息资料丢失、信息系统瘫痪以及利用计算机网络实施的各种犯罪行为层出不穷、防不胜防。根据CSI/FBI的Computer Crime andSecurity Survey2010中的统计,50%的组织至少发生了一次信息安全事故。信息资产一旦遭到破坏,将给组织带来直接的经济损失,并导致组织的声誉和公众形象受到损害,使组织丧失市场机会和竞争力,甚至威胁组织的生存。因此,组织必须解决信息安全问题,有效保护信息资产。
[0003]目前,现有的网络行为安全分析技术的发展有三大方向,一是流量统计和阈值检测技术;二是源与目的主机可信性验证技术;三是分布与特征检测技术。上述现有的网络行为安全分析技术的缺点为:存在较大的误报率、不能全面检测异常流量攻击、特征检测性能不尚。
【发明内容】
[0004]本发明的实施例提供了一种对网络行为进行安全分析的方法和装置,以实现对网络行为进行有效的安全分析。
[0005]为了实现上述目的,本发明采取了如下技术方案。
[0006]根据本发明的一个方面,提供了一种对网络行为进行安全分析的方法,包括:
[0007]利用聚类算法对网络中的各种网络行为进行自学习得到网络行为秩序链,所述网络行为秩序链中包括各个安全的网络行为,每个网络行为中包括会话五元组;
[0008]判断待识别的网络行为是否存在于所述网络行为秩序链中,如果是,则确定所述待识别的网络行为是安全的;否则,通过设定的安全策略判断所述待识别的网络行为是否安全。
[0009]优选地,所述的方法还包括:
[0010]在网络结构秩序初始化阶段,根据先验知识得到可信域中的各个主机的IP地址和端口号,以及不可信域中的各个主机的IP地址和端口号,将可信域中的各个主机的IP地址和端口号保存到初始的白名单中,将不可信域中的各个主机的IP地址和端口号保存到初始的灰名单中,并且,设置初始的黑名单为空。
[0011]优选地,所述的利用聚类算法对网络中的各种网络行为进行自学习得到网络行为秩序链,所述网络行为秩序链中包括各个安全的网络行为,每个网络行为中包括会话五元组,包括:
[0012]从待聚类的所有网络主机中任意选择设定数量个对象作为初始聚类中心,以每个初始聚类中心为一簇,依次选取剩下的各个待聚类的网络主机,计算出待聚类的网络主机与各初始聚类中心之间的相似度,将待聚类的网络主机归纳于最小的组合距离对应的初始聚类中心所在的簇,依次类推,依次将所有待聚类的网络主机分别归纳于对应的簇中,完成第一轮网络主机聚类;
[0013]用各簇的均值元组代替当前簇的聚类中心,按照所述第一轮网络主机聚类的过程,进行第二轮的网络主机聚类,依次类推,每轮网络主机聚类结束后,用各簇的均值网络主机代替当前簇的聚类中心,并进行下一轮的网络主机聚类,直至最终所有网络主机所属的簇不再发生改变,则聚类结束;
[0014]在所述聚类过程结束以后,将各个簇的最终的聚类中心作为该簇中的所有网购主机的代表,一个网络行为中主要包括会话五元组,即源IP地址、目的IP地址、源端口、目的端口、协议号,所述各个簇的最终的聚类中心分别对应一个簇的最终的网络行为,运用关联分析算法关联多个网络行为形成一条网络行为秩序链。
[0015]优选地,所述的判断待识别的网络行为是否存在于所述网络行为秩序链中之前还包括:
[0016]针对待识别的网络行为,获取该网络行为中包括的会话五元组,即源IP地址、目的IP地址、源端口、目的端口、协议号,将网络行为中包括的源IP地址、目的IP地址与白名单、黑名单中的主机比较;
[0017]如果网络行为中包括的源IP地址、目的IP地址在白名单中,则确定该网络行为是安全的,放行该网络行为,流程结束;如果网络行为中包括的源IP地址、目的IP地址在黑名单中,则确定该网络行为是不安全的,阻断该网络行为,流程结束。
[0018]优选地,所述的判断待识别的网络行为是否存在于所述网络行为秩序链中,如果是,则确定所述待识别的网络行为是安全的;否则,通过设定的安全策略判断所述待识别的网络行为是否安全,包括:
[0019]将待识别的网络行为与网络行为秩序链中的网络行为进行比较,如果待识别的网络行为与网络行为秩序链中的网络行为相同,则确定该网络行为是安全的,放行该网络行为;
[0020]如果待识别的网络行为与网络行为秩序链中的网络行为不相同,则统计特定时间段内所述待识别的网络行为的个数,当该个数不大于预先设定的攻击阈值,则放行该网络行为,将该网络行为中的IP地址与端口号保存到灰名单中;当该个数大于预先设定的攻击阈值,则阻断该网络行为,将该网络行为中的IP地址与端口号保存到黑名单中。
[0021]根据本发明的另一个方面,提供了一种对网络行为进行安全分析的装置,包括:
[0022]网络行为秩序链获取模块,用于利用聚类算法对网络中的各种网络行为进行自学习得到网络行为秩序链,所述网络行为秩序链中包括各个安全的网络行为,每个网络行为中包括会话五元组;
[0023]网络行为安全分析模块,用于判断待识别的网络行为是否存在于所述网络行为秩序链中,如果是,则确定所述待识别的网络行为是安全的;否则,通过设定的安全策略判断所述待识别的网络行为是否安全。
[0024]优选地,所述的装置还包括:
[0025]主机白、灰和黑名单初始设置模块,用于在网络结构秩序初始化阶段,根据先验知识得到可信域中的各个主机的IP地址和端口号,以及不可信域中的各个主机的IP地址和端口号,将可信域中的各个主机的IP地址和端口号保存到初始的白名单中,将不可信域中的各个主机的IP地址和端口号保存到初始的灰名单中,并且,设置初始的黑名单为空。
[0026]优选地,所述的网络行为秩序链获取模块,具体用于从待聚类的所有网络主机中任意选择设定数量个对象作为初始聚类中心,以每个初始聚类中心为一簇,依次选取剩下的各个待聚类的网络主机,计算出待聚类的网络主机与各初始聚类中心之间的相似度,将待聚类的网络主机归纳于最小的组合距离对应的初始聚类中心所在的簇,依次类推,依次将所有待聚类的网络主机分别归纳于对应的簇中,完成第一轮网络主机聚类;
[0027]用各簇的均值元组代替当前簇的聚类中心,按照所述第一轮网络主机聚类的过程,进行第二轮的网络主机聚类,依次类推,每轮网络主机聚类结束后,用各簇的均值网络主机代替当前簇的聚类中心,并进行下一轮的网络主机聚类,直至最终所有网络主机所属的簇不再发生改变,则聚类结束;
[0028]在所述聚类过程结束以后,将各个簇的最终的聚类中心作为该簇中的所有网购主机的代表,一个网络行为中主要包括会话五元组,即源IP地址、目的IP地址、源端口、目的端口、协议号,所述各个簇的最终的聚类中心分别对应一个簇的最终的网络行为,运用关联分析算法关联多个网络行为形成一条网络行为秩序链。
[0029]优选地,所述的网络行为安全分析模块,还用于针对待识别的网络行为,首先获取该网络行为中包括的会话五元组,即源IP地址、目的IP地址、源端口、目的端口、协议号,将网络行为中包括的源IP地址、目的IP地址与白名单、黑名单中的主机比较;
[0030]如果网络行为中包括的源IP地址、目的IP地址在白名单中,则确定该网络行为是安全的,放行该网络行为,流程结束;如果网络行为中包括的源IP地址、目的IP地址在黑名单中,则确定该网络行 为是不安全的,阻断该网络行为,流程结束。
[0031]优选地,所述的网络行为安全分析模块,具体用于将待识别的网络行为与网络行为秩序链中的网络行为进行比较,如果待识别的网络行为与网络行为秩序链中的网络行为相同,则确定该网络行为是安全的,放行该网络行为;
[0032]如果待识别的网络行为与网络行为秩序链中的网络行为不相同,则统计特定时间段内所述待识别的网络行为的个数,当该个数不大于预先设定的攻击阈值,则放行该网络行为,将该网络行为中的IP地址与端口号保存到灰名单中;当该个数大于预先设定的攻击阈值,则阻断该网络行为,将该网络行为中的IP地址与端口号保存到黑名单中。
[0033]由上述本发明的实施例提供的技术方案可以看出,本发明实施例通过利用聚类算法对网络中的各种网络行为进行自学习得到网络行为秩序链,提供了一种基于网络秩序的网络行为安全分析的方法及装置,使得能够有效地验证出网络行为是安全或者非安全的,能够有效地检测出网络攻击行为,以保证网络应用的安全性与可靠性,给网络用户一个安全、可靠的网络应用环境。
[0034]本发明附加的方面和优点将在下面的描述中部分给出,这些将从下面的描述中变得明显,或通过本发明的实践了解到。
【附图说明】
[0035]为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
[0036]图1为本发明实施例提供的一种对网络行为进行安全分析的方法的实现原理示意图;
[0037]图2为本发明实施例提供的一种对网络行为进行安全分析的方法的处理流程图;
[0038]图3本发明实施例提供的一种对网络行为进行安全分析的装置的应用场景示意图;
[0039]图4为本发明实施例提供的一种对网络行为进行安全分析的装置的具体实现结构图,图中,网络行为秩序链获取模块41,网络行为安全分析模块42和主机白、灰和黑名单初始设置模块43。
【具体实施方式】
[0040]下面详细描述本发明的实施方式,所述实施方式的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施方式是示例性的,仅用于解释本发明,而不能解释为对本发明的限制。
[0041]本技术领域技术人员可以理解,除非特意声明,这里使用的单数形式“一”、“一个”、“所述”和“该”也可包括复数形式。应该进一步理解的是,本发明的说明书中使用的措辞“包括”是指存在所述特征、整数、步骤、操作、元件和/或组件,但是并不排除存在或添加一个或多个其他特征、整数、步骤、操作、元件、组件和/或它们的组。应该理解,当我们称元件被“连接”或“耦接”到另一元件时,它可以直接连接或耦接到其他元件,或者也可以存在中间元件。此外,这里使用的“连接”或“耦接”可以包括无线连接或耦接。这里使用的措辞“和/或”包括一个或更多个相关联的列出项的任一单元和全部组合。
[0042]本技术领域技术人员可以理解,除非另外定义,这里使用的所有术语(包括技术术语和科学术语)具有与本发明所属领域中的普通技术人员的一般理解相同的意义。还应该理解的是,诸如通用字典中定义的那些术语应该被理解为具有与现有技术的上下文中的意义一致的意义,并且除非像这里一样定义,不会用理想化或过于正式的含义来解释。
[0043]为便于对本发明实施例的理解,下面将结合附图以几个具体实施例为例做进一步的解释说明,且各个实施例并不构成对本发明实施例的限定。
[0044]实施例一
[0045]本发明实施例基于聚类算法的网络秩序构建技术、基于关联分析算法的网络秩序链构建技术、黑白灰名单技术对网络行为进行安全分析,克服了以上三大方向的方法中存在的缺点,能够防御各种网络攻击行为。
[0046]本发明实施例提供的一种对网络行为进行安全分析的方法的实现原理示意图如图1所示,具体处理流程如图2所示,包括如下的处理步骤:
[0047]步骤S210:设置网络主机的初始的白名单、灰名单和黑名单。
[0048]在网络结构秩序初始化阶段,根据大量的先验知识得到安全的可信域中的各个主机的IP地址和端口号,以及不可信域中的各个主机的IP地址和端口号。然后,将安全的各个主机的IP地址和端口号保存到初始的白名单中,将不可信域中的各个主机的IP地址和端口号保存到初始的灰名单中。并且,设置初始的黑名单为空,黑名单中的主机的IP地址和端口号是不安全的,是需要阻断的。
[0049]上述白名单、灰名单和黑名单构成网络秩序结构模型。
[0050]步骤S220:利用k-means聚类算法对网络中的各种网络行为进行自学习得到网络行为秩序,运用关联分析算法关联多个网络行为秩序形成一条完整的网络行为秩序链。
[0051]运用k-means聚类算法聚合网络行为秩序,k-means聚类算法的工作过程为:首先,选取每天的网络行为次数大于设定的阈值(比如5)的主机作为待聚类的主机,从待聚类的所有网络主机中任意选择k个对象作为初始聚类中心,以每个初始聚类中心为一簇,依次选取剩下的各个待聚类的网络主机,计算出待聚类的网络主机与各初始聚类中心之间的相似度,将待聚类的网络主机归纳于最小的组合距离对应的初始聚类中心所在的簇,依次类推,依次将所有待聚类的网络主机分别归纳于对应的簇中,完成第一轮网络主机聚类。
[0052]用各簇的均值元组代替当前簇的聚类中心,按照所述第一轮网络主机聚类的过程,进行第二轮的网络主机聚类,依次类推,每轮网络主机聚类结束后,用各簇的均值网络主机代替当前簇的聚类中心,并进行下一轮的网络主机聚类,直至最终所有网络主机所属的簇不再发生改变,则聚类结束;
[0053]两个网络主机X,Y之间的相似度的计算公式如下:
[0054]sim(x, y) = (a+d/ (a+b+c+d)
[0055]其中 X = {xl,,,xi,,,xn},y = {yl,,,yi,,,yn},a = Σ xi*yi,b = Σ yi*(l_xi),c=E xi* (1-yi),d = Σ (l~xi)氺(1-yi),(i = 1,.2,.n)。
[0056]xi为在一个时间窗内网络主机X的第i端口的流量统计值,X为在一个时间窗内网络主机X所有端口的流量统计序列为在一个时间窗内网络主机Y的第i端口的流量统计值,y为在一个时间窗内网络主机Y所有端口的流量统计序列,η为网络主机X,Y的主机端口总数。比如网络主机X在60秒内80端口的流量统计值为6000个。
[0057]本领域技术人员应能理解上述网络主机之间的相似度的计算方法仅为举例,其他现有的或今后可能出现的输入框应用类型如可适用于本发明实施例,也应包含在本发明保护范围以内,并在此以引用方式包含于此。
[0058]在上述聚类过程结束以后,将各个簇的最终的聚类中心作为该簇中的所有网购主机的代表。一个网络行为中主要包括会话五元组,即源IP地址、目的IP地址、源端口、目的端口、协议号,上述各个簇的最终的聚类中心分别对应一个簇的最终的网络行为。然后,运用关联分析算法关联多个网络行为形成一条完整的网络行为秩序链,多个网络行为秩序链构成网络行为秩序模型。
[0059]白名单里包含主机IP地址与秩序链信息,在对多个IP依次进行网络行为安全性验证时,如果多个IP地址都在白名单中,也属于同一个秩序链,那么这些IP地址的可信度就会增加。
[0060]上述网络秩序结构模型和网络行为秩序模型构成网络秩序模型。
[0061]步骤S230:利用白名单和黑名单对待识别的网络行为进行初步的安全验证。
[0062]针对待识别的网络行为,首先获取该网络行为中包括的会话五元 组,即源IP地址、目的IP地址、源端口、目的端口、协议号。然后,将网络行为中包括的源IP地址、目的IP地址与白名单、黑名单中的主机比较。
[0063]如果网络行为中包括的源IP地址、目的IP地址在白名单中,则确定该网络行为是安全的,放行该网络行为,流程结束。
[0064]如果网络行为中包括的源IP地址、目的IP地址在黑名单中,则确定该网络行为是不安全的,阻断该网络行为,流程结束。
[0065]如果网络行为中包括的源IP地址、目的IP地址不在白名单和黑名单中,则执行步骤 S240。
[0066]步骤S240:利用网络行为秩序链对待识别的网络行为进行进一步的安全验证。
[0067]将待识别的网络行为与网络行为秩序链中的网络行为进行比较,如果待识别的网络行为与网络行为秩序链中的网络行为相同,则确定该网络行为是安全的,放行该网络行为,流程结束。
[0068]如果待识别的网络行为与网络行为秩序链中的网络行为不相同,则统计特定时间段内所述待识别的网络行为的个数,当该个数不大于预先设定的攻击阈值,则放行该网络行为,将该网络行为中的IP地址与端口号保存到灰名单中;当该个数大于预先设定的攻击阈值,则阻断该网络行为,将该网络行为中的IP地址与端口号保存到黑名单中。
[0069]实施例二
[0070]该实施例提供了一种对网络行为进行安全分析的装置的应用场景示意图如图3所示,在因特网中包括路由器和核心交换机等,路由器可以传送和路由网络流量,局域网通过核心交换机连接到因特网,局域网中包括汇聚层与接入层交换机、PC、移动终端,可以将终端接入网络,交流与共享信息。本发明实施例的基于网络秩序的网络行为安全分析装置连接到核心交换机的镜像口,用于获得网络数据包,分析网络流量行为,检测网络攻击。
[0071]上述对网络行为进行安全分析的装置的具体实现结构如图4所示,具体可以包括如下的模块:
[0072]网络行为秩序链获取模块41,用于利用聚类算法对网络中的各种网络行为进行自学习得到网络行为秩序链,所述网络行为秩序链中包括各个安全的网络行为,每个网络行为中包括会话五元组;
[0073]网络行为安全分析模块42,用于判断待识别的网络行为是否存在于所述网络行为秩序链中,如果是,则确定所述待识别的网络行为是安全的;否则,通过设定的安全策略判断所述待识别的网络行为是否安全。
[0074]所述的装置还包括:
[0075]主机白、灰和黑名单初始设置模块43,用于在网络结构秩序初始化阶段,根据先验知识得到可信域中的各个主机的IP地址和端口号,以及不可信域中的各个主机的IP地址和端口号,将可信域中的各个主机的IP地址和端口号保存到初始的白名单中,将不可信域中的各个主机的IP地址和端口号保存到初始的灰名单中,并且,设置初始的黑名单为空。
[0076]进一步地,所述的网络行为秩序链获取模块41,具体用于从待聚类的所有网络主机中任意选择设定数量个对象作为初始聚类中心,以每个初始聚类中心为一簇,依次选取剩下的各个待聚类的网络主机,计算出待聚类的网络主机与各初始聚类中心之间的相似度,将待聚类的网络主机归纳于最小的组合距离对应的初始聚类中心所在的簇,依次类推,依次将所有待聚类的网络主机分别归纳于对应的簇中,完成第一轮网络主机聚类;
[0077]用各簇的均值元组代替当前簇的聚类中心,按照所述第一轮网络主机聚类的过程,进行第二轮的网络主机聚类,依次类推,每轮网络主机聚类结束后,用各簇的均值网络主机代替当前簇的聚类中心,并进行下一轮的网络主机聚类,直至最终所有网络主机所属的簇不再发生改变,则聚类结束;
[0078]在所述聚类过程结束以后,将各个簇的最终的聚类中心作为该簇中的所有网购主机的代表,一个网络行为中主要包括会话五元组,即源IP地址、目的IP地址、源端口、目的端口、协议号,所述各个簇的最终的聚类中心分别对应一个簇的最终的网络行为,运用关联分析算法关联多个网络行为形成一条网络行为秩序链。
[0079]所述的网络行为安全分析模块,还用于针对待识别的网络行为,首先获取该网络行为中包括的会话五元组,即源IP地址、目的IP地址、源端口、目的端口、协议号,将网络行为中包括的源IP地址、目的IP地址与白名单、黑名单中的主机比较;
[0080]如果网络行为中包括的源IP地址、目的IP地址在白名单中,则确定该网络行为是安全的,放行该网络行为,流程结束;如果网络行为中包括的源IP地址、目的IP地址在黑名单中,则确定该网络行为是不安全的,阻断该网络行为,流程结束。
[0081]进一步地,所述的网络行为安全分析模块43,具体用于将待识别的网络行为与网络行为秩序链中的网络行为进行比较,如果待识别的网络行为与网络行为秩序链中的网络行为相同,则确定该网络行为是安全的,放行该网络行为;
[0082]如果待识别的网络行为与网络行为秩序链中的网络行为不相同,则统计特定时间段内所述待识别的网络行为的个数,当该个数不大于预先设定的攻击阈值,则放行该网络行为,将该网络行为中的IP地址与端口号保存到灰名单中;当该个数大于预先设定的攻击阈值,则阻断该网络行为,将该网络行为中的IP地址与端口号保存到黑名单中。
[0083]用本发明实施例的装置进行对网络行为进行安全分析的具体过程与前述方法实施例类似,此处不再赘述。
[0084]综上所述,本发明实施例通过利用聚类算法对网络中的各种网络行为进行自学习得到网络行为秩序链,提供了一种基于网络秩序的网络行为安全分析的方法及装置,使得能够有效地验证出网络行为是安全或者非安全的,能够有效、全面地检测出异常流量攻击等网络攻击行为,检测误报率低,以保证网络应用的安全性与可靠性,给网络用户一个安全、可靠的网络应用环境。
[0085]运用本发明,由以前基于签名与流量异常的网络攻击检测转变为基于正常网络行为秩序的网络攻击检测,可以检测DDoS、扫描攻击、APT与未知黑客攻击,而不需要提前获得攻击签名,进行攻击签名的及时升级,以改变一直以来虽然部署大量网络安全设备,依然会受到黑客攻击的尴尬局面。
[0086]本领域普通技术人员可以理解:附图只是一个实施例的示意图,附图中的模块或流程并不一定是实施本发明所必须的。
[0087]通过以上的实施方式的描述可知,本领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中,如R0M/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例或者实施例的某些部分所述的方法。
[0088]本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于装置或系统实施例而言,由于其基本相似于方法实施例,所以描述得比较简单,相关之处参见方法实施例的部分说明即可。以上所描述的装置及系统实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
[0089]以上所述,仅为本发明较佳的【具体实施方式】,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求的保护范围为准。
【主权项】
1.一种对网络行为进行安全分析的方法,其特征在于,包括: 利 用聚类算法对网络中的各种网络行为进行自学习得到网络行为秩序链,所述网络行为秩序链中包括各个安全的网络行为,每个网络行为中包括会话五元组; 判断待识别的网络行为是否存在于所述网络行为秩序链中,如果是,则确定所述待识别的网络行为是安全的;否则,通过设定的安全策略判断所述待识别的网络行为是否安全。2.根据权利要求1所述的对网络行为进行安全分析的方法,其特征在于,所述的方法还包括: 在网络结构秩序初始化阶段,根据先验知识得到可信域中的各个主机的IP地址和端口号,以及不可信域中的各个主机的IP地址和端口号,将可信域中的各个主机的IP地址和端口号保存到初始的白名单中,将不可信域中的各个主机的IP地址和端口号保存到初始的灰名单中,并且,设置初始的黑名单为空。3.根据权利要求2所述的对网络行为进行安全分析的方法,其特征在于,所述的利用聚类算法对网络中的各种网络行为进行自学习得到网络行为秩序链,所述网络行为秩序链中包括各个安全的网络行为,每个网络行为中包括会话五元组,包括: 从待聚类的所有网络主机中任意选择设定数量个对象作为初始聚类中心,以每个初始聚类中心为一簇,依次选取剩下的各个待聚类的网络主机,计算出待聚类的网络主机与各初始聚类中心之间的相似度,将待聚类的网络主机归纳于最小的组合距离对应的初始聚类中心所在的簇,依次类推,依次将所有待聚类的网络主机分别归纳于对应的簇中,完成第一轮网络主机聚类; 用各簇的均值元组代替当前簇的聚类中心,按照所述第一轮网络主机聚类的过程,进行第二轮的网络主机聚类,依次类推,每轮网络主机聚类结束后,用各簇的均值网络主机代替当前簇的聚类中心,并进行下一轮的网络主机聚类,直至最终所有网络主机所属的簇不再发生改变,则聚类结束; 在所述聚类过程结束以后,将各个簇的最终的聚类中心作为该簇中的所有网购主机的代表,一个网络行为中主要包括会话五元组,即源IP地址、目的IP地址、源端口、目的端口、协议号,所述各个簇的最终的聚类中心分别对应一个簇的最终的网络行为,运用关联分析算法关联多个网络行为形成一条网络行为秩序链。4.根据权利要求3所述的对网络行为进行安全分析的方法,其特征在于,所述的判断待识别的网络行为是否存在于所述网络行为秩序链中之前还包括: 针对待识别的网络行为,获取该网络行为中包括的会话五元组,即源IP地址、目的IP地址、源端口、目的端口、协议号,将网络行为中包括的源IP地址、目的IP地址与白名单、黑名单中的主机比较; 如果网络行为中包括的源IP地址、目的IP地址在白名单中,则确定该网络行为是安全的,放行该网络行为,流程结束;如果网络行为中包括的源IP地址、目的IP地址在黑名单中,则确定该网络行为是不安全的,阻断该网络行为,流程结束。5.根据权利要求4所述的对网络行为进行安全分析的方法,其特征在于,所述的判断待识别的网络行为是否存在于所述网络行为秩序链中,如果是,则确定所述待识别的网络行为是安全的;否则,通过设定的安全策略判断所述待识别的网络行为是否安全,包括: 将待识别的网络行为与网络行为秩序链中的网络行为进行比较,如果待识别的网络行为与网络行为秩序链中的网络行为相同,则确定该网络行为是安全的,放行该网络行为; 如果待识别的网络行为与网络行为秩序链中的网络行为不相同,则统计特定时间段内所述待识别的网络行为的个数,当该个数不大于预先设定的攻击阈值,则放行该网络行为,将该网络行为中的IP地址与端口号保存到灰名单中;当该个数大于预先设定的攻击阈值,则阻断该网络行为,将该网络行为中的IP地址与端口号保存到黑名单中。6.一种对网络行为进行安全分析的装置,其特征在于,包括: 网络行为秩序链获取模块,用于利用聚类算法对网络中的各种网络行为进行自学习得到网络行为秩序链,所述网络行为秩序链中包括各个安全的网络行为,每个网络行为中包括会话五元组; 网络行为安全分析模块,用于判断待识别的网络行为是否存在于所述网络行为秩序链中,如果是,则确定所述待识别的网络行为是安全的;否则,通过设定的安全策略判断所述待识别的网络行为是否安全。7.根据权利要求6所述的对网络行为进行安全分析的装置,其特征在于,所述的装置还包括: 主机白、灰和黑名单初始设置模块,用于在网络结构秩序初始化阶段,根据先验知识得到可信域中的各个主机的IP地址和端口号,以及不可信域中的各个主机的IP地址和端口号,将可信域中的各个主机的IP地址和端口号保存到初始的白名单中,将不可信域中的各个主机的IP地址和端口号保存到初始的灰名单中,并且,设置初始的黑名单为空。8.根据权利要求7所述的对网络行为进行安全分析的装置,其特征在于: 所述的网络行为秩序链获取模块,具体用于从待聚类的所有网络主机中任意选择设定数量个对象作为初始聚类中心,以每个初始聚类中心为一簇,依次选取剩下的各个待聚类的网络主机,计算出待聚类的网络主机与各初始聚类中心之间的相似度,将待聚类的网络主机归纳于最小的组合距离对应的初始聚类中心所在的簇,依次类推,依次将所有待聚类的网络主机分别归纳于对应的簇中,完成第一轮网络主机聚类; 用各簇的均值元组代替当前簇的聚类中心,按照所述第一轮网络主机聚类的过程,进行第二轮的网络主机聚类,依次类推,每轮网络主机聚类结束后,用各簇的均值网络主机代替当前簇的聚类中心,并进行下一轮的网络主机聚类,直至最终所有网络主机所属的簇不再发生改变,则聚类结束; 在所述聚类过程结束以后,将各个簇的最终的聚类中心作为该簇中的所有网购主机的代表,一个网络行为中主要包括会话五元组,即源IP地址、目的IP地址、源端口、目的端口、协议号,所述各个簇的最终的聚类中心分别对应一个簇的最终的网络行为,运用关联分析算法关联多个网络行为形成一条网络行为秩序链。9.根据权利要求8所述的对网络行为进行安全分析的装置,其特征在于: 所述的网络行为安全分析模块,还用于针对待识别的网络行为,首先获取该网络行为中包括的会话五元组,即源IP地址、目的IP地址、源端口、目的端口、协议号,将网络行为中包括的源IP地址、目的IP地址与白名单、黑名单中的主机比较; 如果网络行为中包括的源IP地址、目的IP地址在白名单中,则确定该网络行为是安全的,放行该网络行为,流程结束;如果网络行为中包括的源IP地址、目的IP地址在黑名单中,则确定该网络行为是不安全的,阻断该网络行为,流程结束。10.根据权利要求9所述的对网络行为进行安全分析的装置,其特征在于: 所述的网络行为安全分析模块,具体用于将待识别的网络行为与网络行为秩序链中的网络行为进行比较,如果待识别的网络行为与网络行为秩序链中的网络行为相同,则确定该网络行为是安全的,放行该网络行为; 如果待识别的网络行为与网络行为秩序链中的网络行为不相同,则统计特定时间段内所述待识别的网络行为的个数,当该个数不大于预先设定的攻击阈值,则放行该网络行为,将该网络行为中的IP地址与端口号保存到灰名单中;当该个数大于预先设定的攻击阈值,则阻断该网络行为,将该网络行为中的IP地址与端口号保存到黑名单中。
【专利摘要】本发明实施例提供了一种对网络行为进行安全分析的方法和装置。该方法主要包括:利用聚类算法对网络中的各种网络行为进行自学习得到网络行为秩序链,所述网络行为秩序链中包括各个安全的网络行为,每个网络行为中包括会话五元组;判断待识别的网络行为是否存在于所述网络行为秩序链中,如果是,则确定所述待识别的网络行为是安全的;否则,通过设定的安全策略判断所述待识别的网络行为是否安全。本发明实施例提供了一种基于网络秩序的网络行为安全分析的方法及装置,使得能够有效地验证出网络行为是安全或者非安全的,能够有效地检测出网络攻击行为,以保证网络应用的安全性与可靠性,给网络用户一个安全、可靠的网络应用环境。
【IPC分类】H04L29/06
【公开号】CN104901971
【申请号】CN201510351270
【发明人】张洁
【申请人】北京东方棱镜科技有限公司
【公开日】2015年9月9日
【申请日】2015年6月23日
最新回复(0)