【技術實現步驟摘要】
本專利技術涉及網絡安全的,尤其涉及一種基于流量特征分析的橫向威脅檢測方法及系統。
技術介紹
1、網絡橫向移動特指黑客突破安全防護,在網絡內部對目標信息系統進行探測、掃描、攻擊入侵等過程,主要包含windows、linux、網絡、數據庫等多個異構環境。現如今網絡攻擊者可以在網絡中橫向移動的目的有以下四點:攻擊者獲取了域內的高級權限或在域間執行特權提升,最終將達到可以完全控制整個網絡;攻擊者為了橫向移動而深入研究目標環境,可以了解目標的防御能力,知道攻擊在何時、何地會被發現,然后提前躲避或利用這些防御機制;攻擊者可以獲取更多計算機并進行信息搜集和傳遞;攻擊者尋找最有價值的資產,網絡橫向移動可以擴大目標網絡的范圍,攻擊者在網絡中可以擴大搜索范圍。
2、橫向移動攻擊嚴重威脅網絡安全,給企業和用戶帶來巨大損失,傳統安全解決方案雖然能夠發現部分風險,但是在檢測和防御高級、持續的威脅方面存在難度。流量分析是檢測網絡橫向移動威脅的重要手段,但流量分析應用于橫向威脅方面的局限性也很明顯:為了有效檢測威脅,需要收集復雜的流量特征,如多協議、多維度數據源、多流量特征等信息;由于網絡環境中的流量數據量巨大,很難從海量的流量中提取有效的威脅特征。
3、與傳統的基于流量的威脅檢測系統相似,橫向威脅檢測系統也需要解決數據源過多、數據復雜、數據價值低的難題。然而,傳統的基于數據的威脅檢測策略側重于對已知攻擊模式的檢測,難以應對在復雜的內部網絡環境中多變的未知威脅,且在橫向威脅檢測中對多數據源、多種類特性的分析關注不足。橫向威脅檢測在數據
技術實現思路
1、本專利技術的目的在于提供一種基于流量特征分析的橫向威脅檢測方法及系統,以解決現有技術無法有效解決橫向威脅的問題。
2、為實現上述專利技術目的之一,本專利技術一實施方式提供一種基于流量特征分析的橫向威脅檢測方法,所述方法包括:
3、實時采集網絡流量,通過深度包檢測提取網絡流量的特征;
4、對所述網絡流量特征進行聚類分析,并基于所述聚類分析結果構建異常檢測模型;
5、使用所述異常檢測模型識別流量中的異常行為,并對檢測到的威脅行為進行評估。
6、作為本專利技術一實施方式的進一步改進,所述方法還包括,所述“實時采集網絡流量,通過深度包檢測提取網絡流量的特征”包括,
7、通過基于數據鉤子的細粒度流量采集方法,實時捕獲網絡中的流量數據,構建流量數據集;
8、對所述流量數據集的流量數據進行深度包檢測提取網絡流量的特征。
9、作為本專利技術一實施方式的進一步改進,所述方法還包括,所述“對所述網絡流量特征進行聚類分析,并基于所述聚類分析結果構建異常檢測模型”包括,
10、采用k-means算法,對所述網絡流量的特征進行聚類分析,生成初步聚類結果;所述初步聚類結果用于初步篩選和分類網絡流量,分析可能存在的橫向威脅行為特征;
11、所述異常檢測模型的構建步驟包括,
12、基于所述初步聚類結果,從采集的流量數據集中提取出數據樣本;
13、基于從所述流量數據集中提取的時間、流量和網絡特征,對所述數據樣本進行多維特征分析,生成用于聚類和異常檢測的樣本特征向量;
14、對所述數據樣本采用隨機過采樣策略,使正常樣本數和異常樣本數在數量上一致;
15、通過聚類分析識別經隨機過采樣的數據樣本中的潛在異常模式,并輸出異常分數。
16、作為本專利技術一實施方式的進一步改進,所述方法還包括,所述“基于所述網絡流量數據集中提取的時間、流量和網絡特征,對所述數據樣本進行多維特征分析,生成用于聚類和異常檢測的樣本特征向量”包括,
17、基于所述數據樣本的時間特征、流量特征和網絡特征,進行特征分類和維度劃分;
18、結合已知的橫向威脅行為模式,對每一類特征進行關聯分析和提取,生成包含多維屬性的特征向量,用于后續聚類分析和異常檢測。
19、作為本專利技術一實施方式的進一步改進,所述方法還包括,所述采用隨機過采樣策略包括,
20、使用smote算法來預處理數據集,使正常樣本數和異常樣本數在數量上趨于一致;
21、所述smote算法包括,
22、選擇一個與異常樣本相似的正樣本,確定所述異常樣本以及與所述異常樣本相似的正樣本在數據空間中的最近鄰;
23、基于所述最近鄰,并使用所述異常樣本及其最相似的多個正樣本得出線性插值,生成新的異常樣本。
24、作為本專利技術一實施方式的進一步改進,所述方法還包括,所述“通過聚類分析識別經隨機過采樣的數據樣本中的潛在異常模式”包括,
25、在所述經隨機過采樣的數據樣本的特征空間中隨機選擇多個初始中心點,以及基于所述多個初始中心點對應的多個初始聚類類群;
26、采用mini-batch?k-means算法,從所述經隨機過采樣的數據樣本中隨機選擇一個子集作為mini-batch子集,開始聚類過程;
27、計算所述mini-batch子集中每個數據點到所述多個初始中心點的距離;
28、根據所述距離將mini-batch子集的數據點分配給最近的所述多個初始中心點,形成對應的多個臨時聚類類群;
29、計算每個臨時聚類類群中所有數據點的特征向量的平均值,選取對應的多個臨時聚類中心點;
30、再次隨機選擇一個mini-batch子集迭代更新所述多個臨時聚類中心點,直到中心點的變化趨于穩定,達到收斂條件;
31、在迭代完成后,輸出最終聚類結果以識別潛在的異常模式;所述最終聚類結果包括多個最終聚類中心點以及所述多個最終聚類中心點所屬的聚類類群。
32、作為本專利技術一實施方式的進一步改進,所述方法還包括,所述輸出異常分數包括,
33、聚合所述最終聚類結果的異常分數,表示為:
34、
35、其中,n為當前mini-batch數據點與聚類中心點的距離小于或等于預設閾值的頻率,m為當前mini-batch數據點與聚類中心點的距離大于所述預設閾值的頻率,min為聚類過程中正常數據點的最小距離,max為聚類過程中正常數據點的最大距離;
36、
37、其中,score′為經修正的異常分數,x為當前數據點與其最近聚類中心點的距離,maxdistance為在聚類過程中所有數據點中到其聚類中心點的最大距離;
38、scotefinal=score′×normality
39、其中,scotefinal為最終異常分數,normality為聚類中心點的權重,經歸一化處理使scorefinal在0到1之間;當scorefinal大于預設閾值時,判定為異常威脅。
40、為實現上述專利技術目的之一,本專利技術一實施方式提供一種基于流量特征分析的橫向威脅檢測系本文檔來自技高網...
【技術保護點】
1.一種基于流量特征分析的橫向威脅檢測方法,其特征在于:包括,
2.根據權利要求1所述的基于流量特征分析的橫向威脅檢測方法,其特征在于:所述“實時采集網絡流量,通過深度包檢測提取網絡流量的特征”包括,
3.根據權利要求2所述的基于流量特征分析的橫向威脅檢測方法,其特征在于:所述“對所述網絡流量特征進行聚類分析,并基于所述聚類分析結果構建異常檢測模型”包括,
4.根據權利要求3所述的基于流量特征分析的橫向威脅檢測方法,其特征在于:所述“基于所述網絡流量數據集中提取的時間、流量和網絡特征,對所述數據樣本進行多維特征分析,生成用于聚類和異常檢測的樣本特征向量”包括,
5.根據權利要求4所述的基于流量特征分析的橫向威脅檢測方法,其特征在于:所述采用隨機過采樣策略包括,
6.根據權利要求5所述的基于流量特征分析的橫向威脅檢測方法,其特征在于:所述“通過聚類分析識別經隨機過采樣的數據樣本中的潛在異常模式”的步驟包括,
7.根據權利要求6所述的基于流量特征分析的橫向威脅檢測方法,其特征在于:所述輸出異常分數包括,
<...【技術特征摘要】
1.一種基于流量特征分析的橫向威脅檢測方法,其特征在于:包括,
2.根據權利要求1所述的基于流量特征分析的橫向威脅檢測方法,其特征在于:所述“實時采集網絡流量,通過深度包檢測提取網絡流量的特征”包括,
3.根據權利要求2所述的基于流量特征分析的橫向威脅檢測方法,其特征在于:所述“對所述網絡流量特征進行聚類分析,并基于所述聚類分析結果構建異常檢測模型”包括,
4.根據權利要求3所述的基于流量特征分析的橫向威脅檢測方法,其特征在于:所述“基于所述網絡流量數據集中提取的時間、流量和網絡特征,對所述數據樣本進行多維特征分析,生成用于聚類和異常檢測的樣本特征向量”包括,
5.根據權利要求4所述的基于流量特征分析的橫向威脅檢測方法,其特征在于:所述采用隨機過采樣策略包括,
6.根據權...
【專利技術屬性】
技術研發人員:鮑全松,范亮凱,譚航,馬玥,
申請(專利權)人:江蘇省未來網絡創新研究院,
類型:發明
國別省市:
還沒有人留言評論。發表了對其他瀏覽者有用的留言會獲得科技券。