一種網(wǎng)絡(luò)攻擊檢測方法及裝置的制造方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域,尤其涉及一種網(wǎng)絡(luò)攻擊檢測方法及裝置。
【背景技術(shù)】
[0002] 隨著網(wǎng)絡(luò)規(guī)模的迅速擴大,網(wǎng)絡(luò)安全問題變得越來越嚴(yán)峻,網(wǎng)絡(luò)上的各種攻擊層 出不窮,因此網(wǎng)絡(luò)攻擊檢測技術(shù)越來越重要。
[0003] 常采用的網(wǎng)絡(luò)攻擊檢測方法為:確定產(chǎn)生網(wǎng)絡(luò)攻擊時,將攻擊報文、攻擊字符串以 及攻擊過程中的其它特征確定為攻擊特征標(biāo)志,并存儲下來。當(dāng)檢測到任一攻擊特征標(biāo)志 時,產(chǎn)生一次告警,從而提示運維人員網(wǎng)絡(luò)存在危險。
[0004] 這種網(wǎng)絡(luò)攻擊檢測方法每檢測到一個攻擊特征標(biāo)示就產(chǎn)生一次告警,而在用戶進 行網(wǎng)絡(luò)操作過程中可能會檢測到大量的攻擊特征標(biāo)志,這就會產(chǎn)生大量的告警,并且某些 告警的可能并不是因為受到真正的網(wǎng)絡(luò)攻擊,從而影響告警有效率,產(chǎn)生漏檢或者誤檢的 概率較大。
【發(fā)明內(nèi)容】
[0005] 本發(fā)明提供一種網(wǎng)絡(luò)攻擊檢測方法及裝置,用以解決現(xiàn)有技術(shù)的網(wǎng)絡(luò)攻擊檢測方 案存在的影響告警有效率,產(chǎn)生漏檢或者誤檢的概率較大的問題。
[0006] 一種網(wǎng)絡(luò)攻擊檢測方法,包括:
[0007] 在預(yù)設(shè)時間段內(nèi)獲取預(yù)設(shè)用戶的行為特征參數(shù)以及所述預(yù)設(shè)用戶的入侵防護告 警次數(shù);
[0008] 根據(jù)預(yù)先建立的基準(zhǔn)用戶模型中每個基準(zhǔn)用戶的行為特征參數(shù)和所述預(yù)設(shè)用戶 的行為特征參數(shù),計算所述預(yù)設(shè)用戶與每個基準(zhǔn)用戶的偏離度,所述預(yù)先建立的基準(zhǔn)用戶 模型與所述預(yù)設(shè)用戶對應(yīng),所述偏離度用于表示兩個用戶的行為特征參數(shù)的相似度;
[0009] 確定所述預(yù)設(shè)用戶與每個基準(zhǔn)用戶的偏離度中的最小偏離度;
[0010] 根據(jù)所述入侵防護告警次數(shù)與所述最小偏離度的加權(quán)求和結(jié)果,針對所述預(yù)設(shè)用 戶產(chǎn)生網(wǎng)絡(luò)攻擊告警。
[0011] 所述方法中,所述行為特征參數(shù)包括在預(yù)設(shè)時間段內(nèi)的網(wǎng)絡(luò)流量總值、在預(yù)設(shè)時 間段內(nèi)的會話持續(xù)時長平均值、在預(yù)設(shè)時間段內(nèi)開啟過的應(yīng)用總個數(shù)、在預(yù)設(shè)時間段內(nèi)新 建會話總個數(shù)以及在預(yù)設(shè)時間段內(nèi)新建會話頻率。
[0012] 本發(fā)明實施例中的各個行為特征參數(shù)均可表現(xiàn)出預(yù)設(shè)用戶進行網(wǎng)絡(luò)操作時的行 為特征,從而根據(jù)其行為特征判斷是否針對其產(chǎn)生網(wǎng)絡(luò)告警。
[0013] 所述方法中,根據(jù)所述入侵防護告警次數(shù)與所述最小偏離度的加權(quán)求和結(jié)果,針 對所述預(yù)設(shè)用戶產(chǎn)生網(wǎng)絡(luò)攻擊告警,具體包括:
[0014] 確定所述入侵防護告警次數(shù)與所述最小偏離度的加權(quán)求和結(jié)果大于預(yù)設(shè)偏離度 門限時,針對所述預(yù)設(shè)用戶產(chǎn)生網(wǎng)絡(luò)攻擊告警。
[0015] 本發(fā)明實施例,當(dāng)入侵防護告警次數(shù)與所述最小偏離度的加權(quán)求和結(jié)果比預(yù)設(shè)偏 離度門限大時,說明該預(yù)設(shè)用戶為入侵者或者已被入侵者入侵的可能性很大,此時要針對 該預(yù)設(shè)用戶產(chǎn)生網(wǎng)絡(luò)攻擊告警并發(fā)出告警。
[0016] 所述方法中,所述預(yù)設(shè)用戶采用如下方式確定:
[0017] 確定在所述預(yù)設(shè)時間段內(nèi)進行網(wǎng)絡(luò)操作的用戶的入侵防護告警平均值和網(wǎng)絡(luò)流 量平均值;
[0018] 根據(jù)預(yù)設(shè)的入侵防護告警平均值與入侵防護權(quán)值的映射關(guān)系,確定所述預(yù)設(shè)時間 段內(nèi)用戶的入侵防護告警平均值對應(yīng)的入侵防護告警權(quán)值;
[0019] 根據(jù)預(yù)設(shè)的網(wǎng)絡(luò)流量平均值與網(wǎng)絡(luò)流量權(quán)值的映射關(guān)系,確定所述預(yù)設(shè)時間段內(nèi) 用戶的網(wǎng)絡(luò)流量平均值對應(yīng)的網(wǎng)絡(luò)流量權(quán)值;
[0020] 根據(jù)所述確定的入侵防護告警權(quán)值、確定的網(wǎng)絡(luò)流量權(quán)值以及第一類用戶中每個 用戶對應(yīng)的資產(chǎn)重要程度,計算第一類用戶中各個用戶的危險系數(shù);
[0021] 將危險系數(shù)大于預(yù)設(shè)危險閾值的用戶確定為預(yù)設(shè)用戶;
[0022] 其中,第一類用戶包括在所述預(yù)設(shè)時間段內(nèi)入侵防護告警次數(shù)大于預(yù)設(shè)告警閾值 的用戶以及在所述預(yù)設(shè)時間段內(nèi)網(wǎng)絡(luò)流量大于預(yù)設(shè)流量閾值的用戶。
[0023] 本發(fā)明實施例針對進行網(wǎng)絡(luò)操作的用戶的網(wǎng)絡(luò)流量平均值、入侵防護告警平均值 以及第一類用戶的資產(chǎn)重要程度,確定了預(yù)設(shè)用戶,從而達到了對特定用戶進行網(wǎng)絡(luò)攻擊 檢測的目的。
[0024] 所述方法中,所述基準(zhǔn)用戶模型采用如下方式建立:
[0025] 對在所述預(yù)設(shè)時間段內(nèi)進行網(wǎng)絡(luò)操作的歷史用戶進行分類;
[0026] 針對得到的每一類歷史用戶,從該類歷史用戶中選取K個歷史用戶,K為自然數(shù);
[0027] 將所述K個歷史用戶的行為特征參數(shù)作為K-means聚類算法的K個初始質(zhì)點;
[0028] 利用K-means聚類算法對所述K個初始質(zhì)點進行設(shè)定數(shù)目次迭代,得到K個待校 正質(zhì)點;
[0029] 對所述K個待校正質(zhì)點進行方向校正,得到K個校正后質(zhì)點;
[0030] 利用所述K-means聚類算法對所述K個校正后質(zhì)點進行設(shè)定數(shù)目次迭代,得到K 個實際質(zhì)點;
[0031] 將所述K個實際質(zhì)點確定為K個基準(zhǔn)用戶,并將所述K個基準(zhǔn)用戶作為該類歷史 用戶的基準(zhǔn)用戶模型。
[0032] 本發(fā)明實施例,對現(xiàn)有的K-Means算法進行了優(yōu)化,從而不僅減小了計算量而且 能夠使得到的基準(zhǔn)用戶模型更加準(zhǔn)確。
[0033] 所述方法中,對在所述預(yù)設(shè)時間段內(nèi)進行網(wǎng)絡(luò)操作的歷史用戶進行分類,具體包 括:
[0034] 根據(jù)在所述預(yù)設(shè)時間段內(nèi)進行網(wǎng)絡(luò)操作的歷史用戶的IP地址所屬的IP地址段, 將屬于同一 IP地址段的歷史用戶劃分到同一類中。
[0035] 所述方法中,對在所述預(yù)設(shè)時間段內(nèi)進行網(wǎng)絡(luò)操作的歷史用戶進行分類,具體包 括:
[0036] 采集各個進行網(wǎng)絡(luò)操作的歷史用戶在所述預(yù)設(shè)時間段內(nèi)產(chǎn)生的日志,所述日志內(nèi) 容包括網(wǎng)絡(luò)流量、開啟的應(yīng)用個數(shù)以及會話連接數(shù);
[0037] 針對每個所述歷史用戶,根據(jù)采集到的該歷史用戶的日志統(tǒng)計該歷史用戶在預(yù)設(shè) 時間段內(nèi)的網(wǎng)絡(luò)總流量、開啟的應(yīng)用總個數(shù)以及總會話連接數(shù);
[0038] 根據(jù)該歷史用戶在預(yù)設(shè)時間段內(nèi)的網(wǎng)絡(luò)總流量、開啟的應(yīng)用總個數(shù)以及總會話連 接數(shù)的加權(quán)求和結(jié)果,對該歷史用戶進行分類。
[0039] 本發(fā)明實施例的分類方式,根據(jù)在預(yù)設(shè)時間段內(nèi)進行網(wǎng)絡(luò)操作的歷史用戶的活躍 程度,對歷史用戶進行分類。
[0040] 所述方法中,根據(jù)該歷史用戶在預(yù)設(shè)時間段內(nèi)的網(wǎng)絡(luò)總流量、開啟的應(yīng)用總個數(shù) 以及總會話連接數(shù)的加權(quán)求和結(jié)果,對該歷史用戶進行分類,具體包括:
[0041] 確定該歷史用戶在預(yù)設(shè)時間段內(nèi)的網(wǎng)絡(luò)總流量、開啟的應(yīng)用總個數(shù)以及總會話連 接數(shù)的加權(quán)求和結(jié)果大于第一設(shè)定閾值時,確定該歷史用戶為的高活躍用戶;
[0042] 確定該歷史用戶在預(yù)設(shè)時間段內(nèi)的網(wǎng)絡(luò)總流量、開啟的應(yīng)用總個數(shù)以及總會話連 接數(shù)的加權(quán)求和結(jié)果小于第二設(shè)定閾值時,確定該歷史用戶為的低活躍用戶,所述第一設(shè) 定閾值大于所述第二設(shè)定閾值。
[0043] 本發(fā)明實施例的分類方式,根據(jù)在預(yù)設(shè)時間段內(nèi)進行網(wǎng)絡(luò)操作的歷史用戶的活躍 程度,將歷史用戶分為高活躍用戶和低活躍用戶。
[0044] 所述方法中,對所述K個待校正質(zhì)點進行方向校正,得到K個校正后質(zhì)點,具體包 括:
[0045] 針對每個所述待校正質(zhì)點,以該待校正之間為中心確定一區(qū)間半徑;
[0046] 確定在所述區(qū)間半徑內(nèi)的第二類歷史用戶以及每個所述第二類歷史用戶對應(yīng)的 行為特征參數(shù);
[0047] 針對該待校正質(zhì)點中的每個行為特征參數(shù),采用預(yù)設(shè)公式對該行為特征參數(shù)進行 校正;
[0048] 將校正后的行為特征參數(shù)對應(yīng)的質(zhì)點確定為校正后質(zhì)點;
[0049] 所述預(yù)設(shè)公式如下:
[0051] 其中,?1表示校正后的第i個行為特征參數(shù),h i表示待校正質(zhì)點中第i個行為特 征參數(shù),M表示第二類歷史用戶中的歷史用戶個數(shù),h_表示M個歷史用戶中第i個行為參 數(shù)的最大值,a表示第二類歷史用戶中各歷史用戶的第i個行為特參數(shù)中比I ll大的第i個 行為特征參數(shù)的個數(shù)減去比Ii1小的第i個行為特征參數(shù)的個數(shù)所得的結(jié)果。
[0052] 本發(fā)明實施例,提供了一種對待校正質(zhì)點進行方向校正的方法,將校正后質(zhì)點作 為基準(zhǔn)用戶能夠使最終的網(wǎng)絡(luò)攻擊檢測結(jié)果更加可靠。
[0053] 本發(fā)明還提供一種網(wǎng)絡(luò)攻擊檢測裝置,包括:
[0054] 獲取單元,用于在預(yù)設(shè)時間段內(nèi)獲取預(yù)設(shè)用戶的行為特征參數(shù)以及所述預(yù)設(shè)用戶 的入侵防護告警次數(shù);
[0055] 計算單元,用于根據(jù)預(yù)先建立的基準(zhǔn)用戶模型中每個基準(zhǔn)用戶的行為特征參數(shù)和 所述預(yù)設(shè)用戶的行為特征參數(shù),計算所述預(yù)設(shè)用戶與每個基準(zhǔn)用戶的偏離度,所述預(yù)先建 立的基準(zhǔn)用戶模型與所述預(yù)設(shè)用戶對應(yīng),所述偏離度用于表示兩個用戶的行為特征參數(shù)的 相似度;
[0056] 確定單元,用于確定所述預(yù)設(shè)用戶與每個基準(zhǔn)用戶的偏離度中的最小偏離度;
[0057] 告警單元,用于根據(jù)所述入侵防護告警次數(shù)與所述最小偏離度的加權(quán)求和結(jié)果, 針對所述預(yù)設(shè)用戶產(chǎn)生網(wǎng)絡(luò)攻擊告警。
[0058] 所述裝置,所述行為特征參數(shù)包括在預(yù)設(shè)時間段內(nèi)的網(wǎng)絡(luò)流量總值、在預(yù)設(shè)時間 段內(nèi)的會話持續(xù)時長平均值、在預(yù)設(shè)時間段內(nèi)開啟過的應(yīng)用總個數(shù)、在預(yù)設(shè)時間段內(nèi)新建 會話總個數(shù)以及在預(yù)設(shè)時間段內(nèi)新建會話頻率。
[0059] 所述裝置中,所述告警單元具體用于:
[0060] 確定所述入侵防護告警次數(shù)與所述最小偏離度的加權(quán)求和結(jié)果大于預(yù)設(shè)偏離度 門限時,針對所述預(yù)設(shè)用戶產(chǎn)生網(wǎng)絡(luò)攻擊告警。
[0061] 所述裝置中,所述計算單元還用于采用如下方式確定所述預(yù)設(shè)用戶:
[0062] 確定在所述預(yù)設(shè)時間段內(nèi)進行網(wǎng)絡(luò)操作的用戶的入侵防護告警平均值和網(wǎng)絡(luò)流 量平均值;
[0063] 根據(jù)預(yù)設(shè)的入侵防護告警平均值與入侵防護權(quán)值的映射關(guān)系,確定所述預(yù)設(shè)時間 段內(nèi)用戶的入侵防護告警平均值對應(yīng)的入侵防護告警權(quán)值;
[0064] 根據(jù)預(yù)設(shè)的網(wǎng)絡(luò)流量平均值與網(wǎng)絡(luò)流量權(quán)值的映射關(guān)系,確定所述預(yù)設(shè)時間段內(nèi) 用戶的網(wǎng)絡(luò)流量平均值對應(yīng)的網(wǎng)絡(luò)流量權(quán)值;
[0065] 根據(jù)所述確定的入侵防護告警權(quán)值、確定的網(wǎng)絡(luò)流量權(quán)值以及第一類用戶中每個 用戶對應(yīng)的資產(chǎn)重要程度,計算第一類用戶中各個用戶的危險系數(shù);
[0066] 將危險系數(shù)大于預(yù)設(shè)危險閾值的用戶確定為預(yù)設(shè)用戶;
[0067] 其中,第一類用戶包括在所述預(yù)設(shè)時間段內(nèi)入侵防護告警次數(shù)大于預(yù)設(shè)告警閾值 的用戶以及在所述預(yù)設(shè)時間段內(nèi)網(wǎng)絡(luò)流量大于預(yù)設(shè)流量閾值的用戶。
[0068] 所述裝置中,所述計算單元還用于采用如下方式建立所述基準(zhǔn)用戶模型:
[0069] 對在所述預(yù)設(shè)時間段內(nèi)進行網(wǎng)絡(luò)操作的歷史用戶進行分類;
[0070] 針對得到的每一類歷史用戶,從該類歷史用戶中選取K個歷史用戶,K為自然數(shù);
[0071] 將所述K個歷史用戶的行為特征參數(shù)作為K-means聚類算法的K個初始質(zhì)點;
[0072] 利用K-means聚類算法對所述K個初始質(zhì)點進行設(shè)定數(shù)目次迭代,得到K個待校 正質(zhì)點;
[