專利名稱:網(wǎng)絡(luò)異常性指數(shù)定量計(jì)算方法和系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)安全領(lǐng)域��,特別涉及網(wǎng)絡(luò)異常性指數(shù)的定量計(jì)算方法和系統(tǒng)����。
背景技術(shù):
隨著信息化技術(shù)和互聯(lián)網(wǎng)技術(shù)的快速發(fā)展,針對網(wǎng)絡(luò)信息系統(tǒng)的惡意攻擊變得越 來越多樣化和復(fù)雜化����,這些安全事件極大地威脅了我國的國家安全和人民生活,也給廣大 企業(yè)造成了嚴(yán)重的損失��,網(wǎng)絡(luò)安全形勢日趨嚴(yán)峻���,由此�����,網(wǎng)絡(luò)安全態(tài)勢監(jiān)測�����、評(píng)估和趨勢預(yù) 測等技術(shù)逐漸成為人們研究的熱點(diǎn)��。而網(wǎng)絡(luò)安全指數(shù)及指數(shù)體系作為上述技術(shù)的研究基礎(chǔ) 和技術(shù)手段具有重要的理論意義和實(shí)際價(jià)值�,尤其是用于反映宏觀網(wǎng)絡(luò)安全態(tài)勢的指數(shù)體 系研究。從所反映的網(wǎng)絡(luò)安全特性角度看����,網(wǎng)絡(luò)安全指數(shù)可分為可用性指數(shù)、異常性指數(shù)��、 有效性指數(shù)等�,其中的異常性指數(shù)是指用于反映由安全威脅或攻擊所引起的網(wǎng)絡(luò)通信數(shù)據(jù) 特征異常程度的一類指數(shù)����。由此可見,異常性指數(shù)對測度和反映網(wǎng)絡(luò)宏觀異常性具有重要 意義��,本申請僅圍繞著網(wǎng)絡(luò)異常性指數(shù)展開討論�����。在現(xiàn)有技術(shù)中����,尚不存在與網(wǎng)絡(luò)異常性指數(shù)計(jì)算相關(guān)的方法���。但有對網(wǎng)絡(luò)中的異 常事件進(jìn)行檢測的方法。這些網(wǎng)絡(luò)異常檢測方法選取網(wǎng)絡(luò)中的某些數(shù)據(jù)特征并對這些數(shù)據(jù) 特征進(jìn)行檢測或計(jì)算�����,從而得到網(wǎng)絡(luò)是否存在異常的結(jié)論����。雖然網(wǎng)絡(luò)異常檢測方法在執(zhí)行 過程中所采用的數(shù)據(jù)特征能夠在一定程度上反映網(wǎng)絡(luò)中的異常情況,但由于現(xiàn)有的網(wǎng)絡(luò)異 常檢測方法通常針對某一或某些特定類型的異常事件�����,其重點(diǎn)在于如何利用有限個(gè)數(shù)的網(wǎng) 絡(luò)數(shù)據(jù)特征盡可能準(zhǔn)確地檢測出網(wǎng)絡(luò)中的異常事件���,因此所選取的數(shù)據(jù)特征必然具有局限 性���,只能夠反映網(wǎng)絡(luò)的微觀安全態(tài)勢,無法反映網(wǎng)絡(luò)的宏觀安全態(tài)勢���。
發(fā)明內(nèi)容
本發(fā)明的目的是克服現(xiàn)有的網(wǎng)絡(luò)異常檢測方法只能夠反映網(wǎng)絡(luò)的微觀安全態(tài)勢��, 無法反映網(wǎng)絡(luò)的宏觀安全態(tài)勢的缺陷����,從而提供一種對網(wǎng)絡(luò)的整體安全性加以檢測的方法。為了實(shí)現(xiàn)上述目的����,本發(fā)明提供了 一種網(wǎng)絡(luò)異常性指數(shù)定量計(jì)算方法,包括步驟1)����、在待監(jiān)測網(wǎng)絡(luò)中選擇一定數(shù)量的路由器節(jié)點(diǎn)作為數(shù)據(jù)的采集點(diǎn),并設(shè)置 用于采集數(shù)據(jù)的基期和報(bào)告期���;步驟2)���、在各個(gè)數(shù)據(jù)采集點(diǎn)上做數(shù)據(jù)采集���,得到包含有源IP地址�、目的IP地址���、源 端口�����、目的端口�、協(xié)議類型、流開始時(shí)間�、流結(jié)束時(shí)間、包數(shù)�����、字節(jié)數(shù)�、TCP標(biāo)記在內(nèi)的相關(guān)信 息;步驟3)���、統(tǒng)計(jì)和計(jì)算步驟2)中所采集的數(shù)據(jù)���,得到關(guān)于待監(jiān)測網(wǎng)絡(luò)中網(wǎng)絡(luò)數(shù)據(jù)流 量、協(xié)議成分��、IP與端口分布以及行為模式的指標(biāo)���;步驟4)�、將當(dāng)前時(shí)刻計(jì)算得到的指標(biāo)與基期內(nèi)計(jì)算的相應(yīng)指標(biāo)相結(jié)合�,計(jì)算用于 表示待監(jiān)測網(wǎng)絡(luò)異常程度的網(wǎng)絡(luò)異常性指數(shù)。
上述技術(shù)方案中,在所述的步驟4)中��,所述的計(jì)算用于表示待監(jiān)測網(wǎng)絡(luò)異常程度 的網(wǎng)絡(luò)異常性指數(shù)包括計(jì)算待監(jiān)測網(wǎng)絡(luò)中用于表示網(wǎng)絡(luò)數(shù)據(jù)在數(shù)量上的變化程度��、在比例上的變化程 度����、在統(tǒng)計(jì)分布上的變化程度以及在行為模式上的變化程度的指數(shù),結(jié)合這些指數(shù)計(jì)算所 述網(wǎng)絡(luò)異常性指數(shù)�����。上述技術(shù)方案中���,在所述的步驟3)中�����,還要計(jì)算待監(jiān)測網(wǎng)絡(luò)中與網(wǎng)絡(luò)數(shù)據(jù)相似性 程度有關(guān)的指標(biāo)�;在所述的步驟4)中��,所述的計(jì)算用于表示待監(jiān)測網(wǎng)絡(luò)異常程度的網(wǎng)絡(luò)異 常性指數(shù)還包括計(jì)算待監(jiān)測網(wǎng)絡(luò)中用于表示網(wǎng)絡(luò)數(shù)據(jù)相似性程度的指數(shù)��,利用該指數(shù)以及所述用 于表示網(wǎng)絡(luò)數(shù)據(jù)在數(shù)量上的變化程度�、在比例上的變化程度���、在統(tǒng)計(jì)分布上的變化程度以 及在行為模式上的變化程度的指數(shù)來計(jì)算用于表示待監(jiān)測網(wǎng)絡(luò)異常程度的網(wǎng)絡(luò)異常性指數(shù)���。上述技術(shù)方案中��,所述的用于表示網(wǎng)絡(luò)數(shù)據(jù)在數(shù)量上的變化程度���、在比例上的變 化程度����、在統(tǒng)計(jì)分布上的變化程度以及在行為模式上的變化程度的指數(shù)包括基指數(shù)與層指 數(shù)��;所述基指數(shù)由所述指標(biāo)計(jì)算得到�����,所述層指數(shù)由所述基指數(shù)計(jì)算得到�����,根據(jù)所述層指數(shù) 計(jì)算所述的網(wǎng)絡(luò)異常性指數(shù)�;其中,在對所述基指數(shù)與層指數(shù)做逐層計(jì)算時(shí)��,具有相關(guān)性的層指數(shù)或基指數(shù)應(yīng)取最大 值,然后將所有不相關(guān)的層指數(shù)或基指數(shù)進(jìn)行累加從而計(jì)算出上一級(jí)指數(shù)�。上述技術(shù)方案中,所述的用于表示網(wǎng)絡(luò)數(shù)據(jù)在數(shù)量上的變化程度�、在比例上的變 化程度、在統(tǒng)計(jì)分布上的變化程度����、在行為模式上的變化程度以及網(wǎng)絡(luò)數(shù)據(jù)相似性程度的 指數(shù)包括基指數(shù)與層指數(shù);所述基指數(shù)由所述指標(biāo)計(jì)算得到�����,所述層指數(shù)由所述基指數(shù)計(jì) 算得到�,根據(jù)所述層指數(shù)計(jì)算所述的網(wǎng)絡(luò)異常性指數(shù);其中����,在對所述基指數(shù)與層指數(shù)做逐層計(jì)算時(shí),具有相關(guān)性的層指數(shù)或基指數(shù)應(yīng)取最大 值��,然后將所有不相關(guān)的層指數(shù)或基指數(shù)進(jìn)行累加從而計(jì)算出上一級(jí)指數(shù)���。上述技術(shù)方案中�,在所述的步驟3)中��,所述指標(biāo)包括網(wǎng)絡(luò)流量指標(biāo)����、包速率指標(biāo)、 TCP協(xié)議成分指標(biāo)����、UDP協(xié)議成分指標(biāo)、ICMP協(xié)議成分指標(biāo)��、TCP_SYN成分指標(biāo)�、TCP_RST成 分指標(biāo)、流平均包長分布指標(biāo)�����、源IP分布指標(biāo)��、源端口分布指標(biāo)���、目的IP分布指標(biāo)��、目的端 口分布指標(biāo)����、同源IP同目的端口模式指標(biāo)、同源IP同目的IP模式指標(biāo)�����、不同源IP同目的 IP模式指標(biāo)�、網(wǎng)絡(luò)節(jié)點(diǎn)數(shù)指標(biāo)。上述技術(shù)方案中����,在所述的步驟4)中,所述的用于表示網(wǎng)絡(luò)數(shù)據(jù)在數(shù)量上的變化 程度的指數(shù)根據(jù)所述網(wǎng)絡(luò)流量指標(biāo)和包速率指標(biāo)計(jì)算生成�����。上述技術(shù)方案中�,所述的用于表示網(wǎng)絡(luò)數(shù)據(jù)在數(shù)量上的變化程度的指數(shù)為數(shù)量特 征指數(shù),所述的數(shù)量特征指數(shù)的值通過對流量指數(shù)與包速率指數(shù)取較大值得到�����;其中�,所述的流量指數(shù)通過下列公式計(jì)算得到
Tt {net) / T1 (net)
一 =麗標(biāo)/場 I "丨沖 ^ -^= r))其中,TI (net)表示流量指數(shù)�,Tt (net)表示網(wǎng)絡(luò)流量指標(biāo),Nt (net)表示網(wǎng)絡(luò)節(jié)點(diǎn) 數(shù)指標(biāo)�����,r表示報(bào)告期,b表示基期���;
所述的包速率指數(shù)通過下列公式計(jì)算得到
P. (net) / P (net)<formula>formula see original document page 10</formula>
其中,PI (net)表示包速率指數(shù)�,Pt (net)表示網(wǎng)絡(luò)包速率指標(biāo)。上述技術(shù)方案中�����,所述的用于表示網(wǎng)絡(luò)數(shù)據(jù)在比例上的變化程度的指數(shù)根據(jù)TCP 協(xié)議成分指標(biāo)�、UDP協(xié)議成分指標(biāo)、ICMP協(xié)議成分指標(biāo)����、TCP_SYN成分指標(biāo)、TCP_RST成分指 標(biāo)計(jì)算得到�����。上述技術(shù)方案中��,所述的用于表示網(wǎng)絡(luò)數(shù)據(jù)在比例上的變化程度的指數(shù)為成分特 征指數(shù)���;所述成分特征指數(shù)的值為ICMP協(xié)議成分指數(shù)��、TCP協(xié)議成分指數(shù)����、UDP協(xié)議成分指 數(shù)三者中的較大值與TCP_SYN成分指數(shù)、TCP_RST成分指數(shù)兩者中的較大值的和��;其中�,所述的ICMP協(xié)議成分指數(shù)通過下列公式計(jì)算得到
ICN1 {net) /ICN1 (net) ICI(net) = max{ ‘二)丨 ^I (A =r,t2=b)v {tx =b,t2= r)}其中,ICI (net)表示ICMP協(xié)議成分指數(shù)�,ICNt (net)表示ICMP協(xié)議成分指標(biāo), Nt (net)表示網(wǎng)絡(luò)節(jié)點(diǎn)數(shù)指標(biāo)����,r表示報(bào)告期,b表示基期���;TCP協(xié)議成分指數(shù)通過下列公式計(jì)算得到
TCN1 (net) ITCNt {net) TCI(net) = max{ 乂'二) j N 二) I(,=r,t2=b)vO1 =b,t2=r)}其中�����,TCI (net)表示TCP協(xié)議成分指數(shù)���,TCNt (net)表示TCP協(xié)議成分指標(biāo)�;UDP協(xié)議成分指數(shù)通過下列公式計(jì)算得到
<formula>formula see original document page 10</formula>其中����,UCI (net)表示UDP協(xié)議成分指數(shù),UCNt (nett)表示UDP協(xié)議成分指標(biāo)��;TCP_SYN成分指數(shù)通過下列公式計(jì)算得到
SCN1 (net) /SCN1 (net) SCI(net) = max{ ^ 二) j ^ 二) | (t, ^r,t2=b)w { λ =b,t2=r)}其中�,SCI (net)表示TCP_SYN成分指數(shù)�����,SCNt (net)表示TCP_SYN成分指標(biāo)����;TCP_RST成分指數(shù)通過下列公式計(jì)算得到
<formula>formula see original document page 10</formula>其中,RCI (net)表示TCP_RST成分指數(shù)���,RCNt (net)表示TCP_RST成分指標(biāo)���。上述技術(shù)方案中,在所述的步驟3)中��,所述指標(biāo)還包括端口成分指標(biāo)����;所述的用于表示網(wǎng)絡(luò)數(shù)據(jù)在比例上的變化程度的指數(shù)為成分特征指數(shù)�����;所述成分特征指數(shù)的值為ICMP協(xié)議成分指數(shù)�����、TCP協(xié)議成分指數(shù)�、UDP協(xié)議成分指數(shù)三者中的較大值 與TCP_SYN成分指數(shù)��、TCP_RST成分指數(shù)兩者中的較大值���,以及端口成分指數(shù)的和�;其中���,
所述端口成分指數(shù)OCI通過下列公式計(jì)算得到
<formula>formula see original document page 11</formula>其中���,OCNt(Iiett) (t = r V b)表示端口成分指標(biāo),Nt (net)表示網(wǎng)絡(luò)節(jié)點(diǎn)數(shù)指標(biāo)����, r表示報(bào)告期�,b表示基期���;所述端口成分指標(biāo)通過下列公式計(jì)算得到
OCN,{net) = Y u OCNt(J) = Y t max{°N'^ \ j = \,...,m} (t = rvb)
1����、 J ^-^iesubnetcnet1 v 7 ^^iesubnetQnelK(y) 1 Jvy其中�����,將216個(gè)端口號(hào)分成m段�����,0NtJ(i)表示屬于第j段端口內(nèi)的包數(shù)指標(biāo)�����;所述的ICMP協(xié)議成分指數(shù)通過下列公式計(jì)算得到
ICN1 {net) IlCNt {net) ICIi.net) = max{ ‘‘ / ‘��; | (tx =r,t2=b)^ (t, =b,�����、二 r)} TVq \nei) j i\^ ynet)其中����,ICI (net)表示ICMP協(xié)議成分指數(shù),ICNt (net)表示ICMP協(xié)議成分指標(biāo)�����;TCP協(xié)議成分指數(shù)通過下列公式計(jì)算得到
TCNt (net) /TCNt (net) TCI(net) = mox{——^- / ——^~-1 (L =r,t2=b)v (L =b,L = r)} N,{net) / Nh{net)'��、2其中����,TCI (net)表示TCP協(xié)議成分指數(shù),TCNt (net)表示TCP協(xié)議成分指標(biāo)��;UDP協(xié)議成分指數(shù)通過下列公式計(jì)算得到
UCN1 (net) /UCNt {net) UCI(net) = max{ �; / 2 I ^ = r,t2 =b)v (t] =b,t2= r)} TVf丨(net) j Fs^ (Jiet) 其中,UCI (net)表示UDP協(xié)議成分指數(shù)��,UCNt (net)表示UDP協(xié)議成分指標(biāo)���;TCP_SYN成分指數(shù)通過下列公式計(jì)算得到
SCN1 (net) /SCNi (net) μ— ΦΓ/ ΦΓΜ m��、二仏其中�,SCI (net)表示TCP_SYN成分指數(shù),SCNt (net)表示TCP_SYN成分指標(biāo)��;TCP_RST成分指數(shù)通過下列公式計(jì)算得到 RCN1 (net) /RCNt (net) 肥幹隱=料=柄其中����,RCI (net)表示TCP_RST成分指數(shù),RCNt (net)表示TCP_RST成分指標(biāo)���。OCNt�����、Uet���、'^^Jiesubmt^nel ^^^t (O ^^Ji^subnet^net^^ 丨乂 1,···5^^ if f b)其中�,將216個(gè)端口號(hào)分成m段,0NtJ⑴表示屬于第j段端口內(nèi)的包數(shù)指標(biāo)上述技術(shù)方案中��,所述的用于表示網(wǎng)絡(luò)數(shù)據(jù)在統(tǒng)計(jì)分布上的變化程度的指數(shù)根據(jù) 流平均包長分布指標(biāo)�����、源IP分布指標(biāo)�����、源端口分布指標(biāo)���、目的IP分布指標(biāo)�����、目的端口分布指 標(biāo)計(jì)算得到�����。上述技術(shù)方案中�,所述的用于表示網(wǎng)絡(luò)數(shù)據(jù)在統(tǒng)計(jì)分布上的變化程度的指數(shù)為分 布特征指數(shù)�;所述分布特征指數(shù)的值由源IP分布指數(shù)、目的IP分布指數(shù)兩者的較大值加上 源端口分布指數(shù)���、目的端口分布指數(shù)兩者的較大值再加上流平均包長分布指數(shù)得到�����;其中�,所述的流平均包長分布指數(shù)通過下列公式計(jì)算得到
ALN1 (net) /ALN1 (net) 釋 薩^r/^r k^ 令 c其中���,ALI (net)表示流平均包長分布指數(shù)�,ALNt (net)表示流平均包長分布指標(biāo), Nt (net)表示網(wǎng)絡(luò)節(jié)點(diǎn)數(shù)指標(biāo)����,r表示報(bào)告期,b表示基期�����;源IP分布指數(shù)通過下列公式計(jì)算得到
SIN1 (net) /SIN1 (net) SH(net) = max{ ‘����;、/ / '廣 / | =r,t2=b)v (t, =b,t2= r)}
",丨 ^et) / Nh (net)其中�,Sll(net)表示源IP分布指數(shù),SINt (net)表示源IP分布指標(biāo)�;目的IP分布
指數(shù)通過下列公式計(jì)算得到
DIN1 (net) /DINt (net) DIIinet) = max{——^~- / ——^~-1 (L =r,t2 =b)v (t, =b,L = r)} Nh{net) / Nh{net),2‘2其中�����,DII (net)表示目的IP分布指數(shù)����,DINt (net)表示目的IP分布指標(biāo);源端口
分布指數(shù)通過下列公式計(jì)算得到
SPN1 (net) /SPN1 (net)
j=仏=料 * =")}其中����,SPI(net)表示源端口分布指數(shù),SPNt (net)表示源端口分布指標(biāo)�����;目的端口
分布指數(shù)通過下列公式計(jì)算得到
DPN1 (net) /DPN1 (net)
DPI{mt) = —^τ / " φτ 丨( ι =r�����,f)ν =b,h= r))其中����,DPI(net)表示目的端口分布指數(shù),DPNt (net)表示目的端口分布指標(biāo)�。上述技術(shù)方案中,所述的用于表示網(wǎng)絡(luò)數(shù)據(jù)在行為模式上的變化程度的指數(shù)上述技術(shù)方案中���,所述的用于表示網(wǎng)絡(luò)數(shù)據(jù)在行為模式上的變化程度的指數(shù)為模 式特征指數(shù)�����;所述模式特征指數(shù)的值為同源IP同目的端口模式指數(shù)�、同源IP同目的IP模 式指數(shù)、不同源IP同目的IP模式指數(shù)的和����;其中,
所述同源IP同目的端口模式指數(shù)通過下列公式計(jì)算得到
STPNt (net) /STPNt (net) STPI(net) = max{ �����、�、J / Λ | (^1 =r,t2^b)v (t, ^bJ2= r)} K1 (net) / Nh{net、其中���,STPI (net)表示同源IP同目的端口模式指數(shù)���,SIPNt (net)表示同源IP同目 的端口模式指標(biāo),Nt (net)表示網(wǎng)絡(luò)節(jié)點(diǎn)數(shù)指標(biāo)����,r表示報(bào)告期,b表示基期�;所述同源IP同目的IP模式指數(shù)通過下列公式計(jì)算得到
SDPN1 (net) /SDPN1 (net) SDPI{net) = max{ ;‘ / 廣 | (t, ^r,t2=b)v (tx =b,t2= r)} Nlt (net) / NtJjiet)其中��,SDPI (net)表示同源IP同目的IP模式指數(shù)�,SDPNt (net)表示同源IP同目 的IP模式指標(biāo)���;所述不同源IP同目的IP模式指數(shù)通過下列公式計(jì)算得到
DDPN1 (net) I DDPNt (net) 廁―啉 =b^ =���。}其中��,DDPI (net)表示不同源IP同目的IP模式指數(shù)����,DDPNt (net)表示不同源IP 同目的IP模式指標(biāo)�����。上述技術(shù)方案中����,在所述的步驟3)中,所述指標(biāo)還包括流量相似性指標(biāo)���、包速率 相似性指標(biāo)�����、包長相似性指標(biāo)�;在所述步驟4)中,用于表示網(wǎng)絡(luò)數(shù)據(jù)相似性程度的指數(shù)為 相似性特征指數(shù)����,所述相似性特征指數(shù)的值通過對流量相似性指數(shù)、包速率相似性指數(shù)��、包 長相似性指數(shù)求最大值得到�;所述流量相似性指數(shù)通過下列公式計(jì)算得到
TSNt (net) /TSN. (net) TSUnet) = max{——^“- / ————| ( , = r,t2 =b)v O1 =b,t2 = r)} (net) / Nh (net)其中,TSI (net)表示流量特征性指數(shù)����,TSNt (net)表示流量相似性指標(biāo),Nt (net)表 示網(wǎng)絡(luò)節(jié)點(diǎn)數(shù)指標(biāo)���,r表示報(bào)告期����,b表示基期����;所述包速率相似性指數(shù)通過下列公式計(jì)算得到
PRSN1 (net) /PRSNt (net) PRSI{net) = max{ 1 / 2 I 仏=r’t2 =b)v (t, = b,t2 = r)}其中,PRSI (net)表示包速率相似性指數(shù)��,PRSNt (net)表示包速率相似性指標(biāo);所述包長相似性指數(shù)通過下列公式計(jì)算得到
PLSNt {net) I PLSNt {net)
PLSI{net) 二 應(yīng){-^~- /-^~- ] (t, 二 = ν (^1 =b,t2 = r)}
NliCnet) / Nl2(net)其中���,PLSI (net)表示包長相似性指數(shù)����,PLSNt (net)表示包長相似性指標(biāo)�。上述技術(shù)方案中����,在所述的步驟4)中,所述的基期內(nèi)計(jì)算的相應(yīng)指標(biāo)通過步驟2)��、步驟3)計(jì)算得到�。本發(fā)明還提供了一種網(wǎng)絡(luò)異常性指數(shù)定量計(jì)算系統(tǒng),包括數(shù)據(jù)采集點(diǎn)設(shè)置模塊���、數(shù)據(jù)采集模塊�、指標(biāo)計(jì)算模塊以及指數(shù)計(jì)算模塊���;其中���,所述的數(shù)據(jù)采集點(diǎn)設(shè)置模塊用于在待監(jiān)測網(wǎng)絡(luò)中選擇一定數(shù)量的路由器節(jié)點(diǎn)作 為數(shù)據(jù)的采集點(diǎn),并設(shè)置用于采集數(shù)據(jù)的基期和報(bào)告期;所述的數(shù)據(jù)采集模塊用于在各個(gè)數(shù)據(jù)采集點(diǎn)上做數(shù)據(jù)采集����,得到包含有源IP地 址、目的IP地址���、源端口���、目的端口、協(xié)議類型����、流開始時(shí)間、流結(jié)束時(shí)間���、包數(shù)����、字節(jié)數(shù)�、TCP 標(biāo)記在內(nèi)的相關(guān)信息;所述的指標(biāo)計(jì)算模塊用于統(tǒng)計(jì)和計(jì)算所述數(shù)據(jù)采集模塊中所采集的數(shù)據(jù)���,得到關(guān) 于待監(jiān)測網(wǎng)絡(luò)中網(wǎng)絡(luò)數(shù)據(jù)流量���、協(xié)議成分����、IP與端口分布以及行為模式的指標(biāo)�����;所述的指數(shù)計(jì)算模塊用于將當(dāng)前時(shí)刻計(jì)算得到的指標(biāo)與基期內(nèi)計(jì)算的相應(yīng)指標(biāo) 相結(jié)合���,計(jì)算用于表示待監(jiān)測網(wǎng)絡(luò)異常程度的網(wǎng)絡(luò)異常性指數(shù)。本發(fā)明的優(yōu)點(diǎn)在于本發(fā)明能夠及時(shí)有效地反映典型網(wǎng)絡(luò)安全事件對網(wǎng)絡(luò)安全 態(tài)勢產(chǎn)生的影響��,且通過指數(shù)的對比和計(jì)算能夠評(píng)價(jià)和度量不同安全事件對網(wǎng)絡(luò)的不同影 響�。
圖1為本發(fā)明的網(wǎng)絡(luò)異常性指數(shù)定量計(jì)算方法的流程圖;圖2為在一個(gè)實(shí)驗(yàn)中群體性訪問下的網(wǎng)絡(luò)異常性指數(shù)與正常情況下網(wǎng)絡(luò)異常性 指數(shù)的對比示意圖�����;圖3為在一個(gè)實(shí)驗(yàn)中同步洪泛攻擊下的網(wǎng)絡(luò)異常性指數(shù)與正常情況下網(wǎng)絡(luò)異常 性指數(shù)的對比示意圖��;圖4為在一個(gè)實(shí)驗(yàn)中UDP分布式拒絕服務(wù)攻擊下的網(wǎng)絡(luò)異常性指數(shù)與正常情況下 網(wǎng)絡(luò)異常性指數(shù)的對比示意圖��;圖5為在一個(gè)實(shí)驗(yàn)中蠕蟲傳播下的網(wǎng)絡(luò)異常性指數(shù)與正常情況下網(wǎng)絡(luò)異常性指 數(shù)的對比示意圖��;圖6為在一個(gè)實(shí)驗(yàn)中垂直掃描下下的網(wǎng)絡(luò)異常性指數(shù)與正常情況下網(wǎng)絡(luò)異常性 指數(shù)的對比示意圖。
具體實(shí)施例方式在對本發(fā)明做詳細(xì)說明之前����,下面首先對本發(fā)明中所涉及的相關(guān)概念加以說明。定義1 網(wǎng)絡(luò)運(yùn)行安全指標(biāo)(Network Operation Security Indicator)�,是指能夠 反映網(wǎng)絡(luò)信息系統(tǒng)運(yùn)行安全態(tài)勢的網(wǎng)絡(luò)數(shù)據(jù)特征的概念和數(shù)量,本申請中可簡稱為安全指 標(biāo)或指標(biāo)��。網(wǎng)絡(luò)運(yùn)行安全指標(biāo)用于反映和度量網(wǎng)絡(luò)信息系統(tǒng)在運(yùn)行過程中的安全狀態(tài)及其 趨勢�����。例如���,流量指標(biāo)主要從網(wǎng)絡(luò)流量這一數(shù)據(jù)特征上反映網(wǎng)絡(luò)安全態(tài)勢���,IP分布指標(biāo)主 要從IP地址分布規(guī)律這一數(shù)據(jù)特征上反映網(wǎng)絡(luò)安全態(tài)勢。定義2網(wǎng)絡(luò)運(yùn)行安全指數(shù)(Network Operation Security Index)�����,是指能夠反映 網(wǎng)絡(luò)信息系統(tǒng)運(yùn)行安全態(tài)勢的網(wǎng)絡(luò)數(shù)據(jù)特征變化程度的相對數(shù)��,本申請中可簡稱為安全指 數(shù)或指數(shù)����。網(wǎng)絡(luò)運(yùn)行安全指數(shù)用于反映和度量網(wǎng)絡(luò)信息系統(tǒng)在運(yùn)行過程中安全態(tài)勢的變化量�����。以上述流量特征為例,流量指數(shù)主要從網(wǎng)絡(luò)流量的變化程度上來反映網(wǎng)絡(luò)安全態(tài)勢的變化���。
從安全指數(shù)與安全指標(biāo)的概念可知���,安全指數(shù)是安全指標(biāo)在數(shù)量上的變化程度的 一種相對數(shù),可作為一種測度方法�����,對不同質(zhì)的現(xiàn)象數(shù)據(jù)在量上的變化進(jìn)行綜合計(jì)算和度 量,因此,安全指數(shù)可用于反映不能直接相加的復(fù)雜數(shù)據(jù)特征現(xiàn)象的綜合變化程度���。定義3基期(Base Period)和報(bào)告期(Importing Period)�。一個(gè)安全指數(shù)通?��??由其對應(yīng)指標(biāo)在一個(gè)基準(zhǔn)時(shí)期的指標(biāo)數(shù)量和當(dāng)前考察時(shí)期的指標(biāo)數(shù)量計(jì)算而得,其中�����,我 們將所選定的基準(zhǔn)時(shí)期稱為基期���,將當(dāng)前考察時(shí)期稱為報(bào)告期。一般地����,可選取網(wǎng)絡(luò)相對穩(wěn) 定和安全的時(shí)期作為基期。定義4網(wǎng)絡(luò)異常性指數(shù)(Network aBnormalism Index, NBI)�����,是指用于反映由安 全威脅或攻擊所引起的網(wǎng)絡(luò)通信數(shù)據(jù)特征異常程度的一類指數(shù)����,主要包括數(shù)量特征指數(shù)、 成分特征指數(shù)����、分布特征指數(shù)和模式特征指數(shù)�����,在某些情況下還可以包括相似性特征指數(shù)����。 例如網(wǎng)絡(luò)流量指數(shù)�、TCP (Transmission Control Protocol,傳輸控制協(xié)議)協(xié)議成分指數(shù)��、 源IPdnternet Protocol�,互聯(lián)網(wǎng)協(xié)議)分布指數(shù)、目的端口分布指數(shù)等���。定義5 數(shù)量特征指數(shù)(Quantitative Characteristics Index�,QCI)���,是指用于反 映網(wǎng)絡(luò)數(shù)據(jù)在數(shù)量特征上的變化程度的一類指數(shù),如流量指數(shù)等��。定義6 成分特征指數(shù)(Composition Characteristics Index��,CCI)����,是指用于反 映同度量因素下網(wǎng)絡(luò)數(shù)據(jù)在比例特征上的變化程度的一類指數(shù)�,如協(xié)議成分指數(shù)等����。定義7 分布特征指數(shù)(Distribution Characteristics Index,DCI)����,是指用于反 映網(wǎng)絡(luò)數(shù)據(jù)在統(tǒng)計(jì)分布特征上的變化程度的一類指數(shù),如IP分布指數(shù)等�����。定義8模式特征指數(shù)(Pattern Characteristics Index�,PCI),是指用于反映網(wǎng) 絡(luò)數(shù)據(jù)在行為模式特征上的變化程度的一類指數(shù)�,如同源IP同目的IP模式指數(shù)等。定義9 相似性特征指數(shù)(siMilarity Characteristics Index�,MCI),是指用于反 映同度量因素下網(wǎng)絡(luò)數(shù)據(jù)在相似性特征上的變化程度的一類指數(shù)�����,如流量相似性指數(shù)等����。在對本發(fā)明中的概念做上述統(tǒng)一說明后��,下面結(jié)合附圖和具體實(shí)施方式
對本發(fā)明 加以說明���。如圖1所示,在對諸如互聯(lián)網(wǎng)的待監(jiān)測網(wǎng)絡(luò)的異常性指數(shù)進(jìn)行計(jì)算的過程中��,首 先需要在待監(jiān)測網(wǎng)絡(luò)中選擇一定數(shù)量的路由器節(jié)點(diǎn)作為數(shù)據(jù)的采集點(diǎn)���,并初始化相應(yīng)的參 數(shù)(步驟101)���。待監(jiān)測網(wǎng)絡(luò)中的所有網(wǎng)絡(luò)節(jié)點(diǎn)形成的集合記為net,所有數(shù)據(jù)采集點(diǎn)形成的 集合記為subnet���。由于異常性指數(shù)的計(jì)算涉及到基期與報(bào)告期���,因此還要設(shè)置基期與報(bào)告 期的具體時(shí)間,例如�����,用b表示基期����,用r表示報(bào)告期,基期b可設(shè)置為某一天的每個(gè)小時(shí)���, 報(bào)告期r為后續(xù)每一天的每個(gè)相對應(yīng)的小時(shí)�����。此外���,由于待監(jiān)測網(wǎng)絡(luò)中可能有多種類型的 模式,因此還要設(shè)置模式指標(biāo)參數(shù)P的大小����,如P為20?��?紤]到對所監(jiān)測網(wǎng)絡(luò)的網(wǎng)絡(luò)異常 性指數(shù)的計(jì)算需要多次重復(fù)�����,因此還要在各個(gè)計(jì)算過程間設(shè)置間隔時(shí)間s�,如s為60分鐘。 上述各個(gè)參數(shù)都會(huì)在下文中用到����。在待監(jiān)測網(wǎng)絡(luò)中設(shè)定數(shù)據(jù)采集點(diǎn)后,就可以開始對待監(jiān)測網(wǎng)絡(luò)做相關(guān)數(shù)據(jù)的采 集��。在采集時(shí)��,為了減少數(shù)據(jù)的采集量��,方便后續(xù)可用性指數(shù)的實(shí)時(shí)計(jì)算�,在一個(gè)優(yōu)選實(shí)施 例中,數(shù)據(jù)采集的實(shí)現(xiàn)并沒有采用基于原始報(bào)文的數(shù)據(jù)采集方法��,而是采用基于流的數(shù)據(jù) 采集方法(基于流的數(shù)據(jù)采集方法也被稱為流技術(shù))��。當(dāng)前具有代表性的流技術(shù)主要包括InMon> HP 禾口 Foundry Networks 等公司的 sFlow, Cisco 公司的 NetFlow, Juniper 公司的 J-Flow�����,華為公司的NetStream等�����。本申請可采用上述現(xiàn)有技術(shù)中的任何一種�。但無論是 上述何種流技術(shù)��,其處理過程都大致相同��,包括首先對流經(jīng)路由器等網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)數(shù)據(jù) 按預(yù)定策略進(jìn)行采樣;然后對采樣獲取到的IP數(shù)據(jù)報(bào)文按各自不同的流記錄對象進(jìn)行相 應(yīng)的數(shù)據(jù)統(tǒng)計(jì)���,并形成各自不同格式的流記錄����;最后��,路由器等網(wǎng)絡(luò)設(shè)備將生成的流記錄發(fā) 送給相關(guān)流處理設(shè)備進(jìn)行后續(xù)的記錄和分析����。在數(shù)據(jù)采集過程中,利用基于流的數(shù)據(jù)采集技術(shù)在選定的采集點(diǎn)集合subnet中 的每個(gè)路由器節(jié)點(diǎn)上獲取流數(shù)據(jù)����,并進(jìn)行流協(xié)議還原,從而得到包括源/目的IP地址�����、源/ 目的端口�����、協(xié)議類型、流開始/結(jié)束時(shí)間��、包數(shù)�、字節(jié)數(shù)、TCP標(biāo)記在內(nèi)的流數(shù)據(jù)的相關(guān)信息 (也被稱為流記錄)(步驟102)���。與基于原始報(bào)文的數(shù)據(jù)采集方法需要處理采集點(diǎn)上通過的 所有數(shù)據(jù)相比��,基于流的數(shù)據(jù)采集方法只需要對采集點(diǎn)上通過的數(shù)據(jù)做采樣即可���,明顯減 小了數(shù)據(jù)采集量,有利于異常性指數(shù)的實(shí)時(shí)計(jì)算����。需要說明的是,無論是基期還是報(bào)告期��, 數(shù)據(jù)相關(guān)信息的采集過程相同�����。雖然在上述優(yōu)選實(shí)施例中��,采用了基于流的數(shù)據(jù)采集方法, 但本領(lǐng)域技術(shù)人員也可以采用基于原始報(bào)文的數(shù)據(jù)采集方法��,無論何種數(shù)據(jù)采集方法都不 影響后續(xù)的數(shù)據(jù)處理�����。但正如上文所述�����,基于原始報(bào)文的數(shù)據(jù)采集方法在數(shù)據(jù)采集的實(shí)時(shí) 性上有所不足�。在經(jīng)過一段時(shí)間的數(shù)據(jù)采集后�����,如數(shù)據(jù)采集時(shí)間達(dá)到了 S���,則對前段時(shí)間中所采集 數(shù)據(jù)進(jìn)行指標(biāo)統(tǒng)計(jì)和計(jì)算(步驟103)�?��?紤]到網(wǎng)絡(luò)異常性指數(shù)計(jì)算的需要�,所要統(tǒng)計(jì)和計(jì) 算的指標(biāo)包括網(wǎng)絡(luò)流量�、包速率��、TCP協(xié)議成分�、UDP(User Datagram Protocol�����,用戶數(shù)據(jù)包 協(xié)議)協(xié)議成分�、ICMP(Internet Control Message Protocol,互聯(lián)網(wǎng)控制報(bào)文協(xié)議)協(xié) 議成分�、TCP_SYN成分、TCP_RST成分����、流平均包長分布、源IP分布�、源端口分布、目的IP分 布���、目的端口分布����、同源IP同目的端口模式����、同源IP同目的IP模式����、不同源IP同目的IP 模式���、網(wǎng)絡(luò)節(jié)點(diǎn)數(shù)等����。下面依次對上述指標(biāo)的計(jì)算公式予以說明���。所述網(wǎng)絡(luò)流量指標(biāo)(Network Traffic Indicator, Τ)的計(jì)算方法如下面的公式
(1)所示其中,net表示網(wǎng)絡(luò)對象��,即由路由器組成的網(wǎng)絡(luò)節(jié)點(diǎn)集合�,subnet為網(wǎng)絡(luò)對象 net的子集,表示在指數(shù)計(jì)算中所選取的網(wǎng)絡(luò)節(jié)點(diǎn)(即流數(shù)據(jù)采集點(diǎn))的集合��,i表示所選 取的網(wǎng)絡(luò)節(jié)點(diǎn)����;Tt(i)表示t時(shí)期節(jié)點(diǎn)i的網(wǎng)絡(luò)流量指標(biāo),單位為bps (bits per second)���; t = r Vb,r表示報(bào)告期�,b表示基期,V表示或��。根據(jù)前文所述s時(shí)間內(nèi)各個(gè)路由器節(jié)點(diǎn) 的流記錄字節(jié)數(shù)累加和的統(tǒng)計(jì)結(jié)果易計(jì)算Tt (i)��。所述網(wǎng)絡(luò)包速率指標(biāo)(Network Packet Rate Indicator, P)的計(jì)算方法如公式
(2)所示
PAnet) = Y t R(i) (t = rvb)(2)
1 κ 7 ^iesubneiQnei ‘v y vJ其中���,Pt⑴表示t時(shí)期節(jié)點(diǎn)i的網(wǎng)絡(luò)包速率指標(biāo)�,單位為pps (packets persecond)�;根據(jù)前文所述s時(shí)間內(nèi)各個(gè)路由器節(jié)點(diǎn)的流記錄包數(shù)累加和的統(tǒng)計(jì)結(jié)果易計(jì)
算Pt⑴。
所述TCP協(xié)議成分指標(biāo)(TCP Composition Indicator�����,TCN)的計(jì)算方法如公式
(3)所示
TCNl(Jiet) = Y t TCN1(J) = Y , ^^ {t = rwb) ( 3 )
‘v , L·^ i&subnetQ.net1 v 7 L·^ iesubnet^nei ^p (y)其中��,TCt (i)表示t時(shí)期節(jié)點(diǎn)i的TCP包數(shù)指標(biāo)�����,APt (i)表示t時(shí)期節(jié)點(diǎn)i的總 包數(shù)指標(biāo)��。所述UDP協(xié)議成分指標(biāo)(UDP Composition Indicator�,UCN)的計(jì)算方法如公式
(4)所示
UCN 人 net): Y t UCN1(I) = Y λ URM. {t = rwb) (4)
t v J L·^ iGsubnelQtiel1 v y — iesubnetcnet其中,UDt(i)表示t時(shí)期節(jié)點(diǎn)i的UDP包數(shù)指標(biāo)。所述ICMP協(xié)議成分指標(biāo)(ICMP Composition Indicator�,ICN)的計(jì)算方法如公式
(5)所示
ICN ,(net) ^Y h ICN1(I) = Y h ^^ (t^rvb) (5)
‘v y L·^ iesubnetcnei1 v / L·^ i^subnetcnei Apv'其中,IMt (i)表示t時(shí)期節(jié)點(diǎn)i的ICMP包數(shù)指標(biāo)����。所述TCP_SYN 成分指標(biāo)(TCP_SYN Composition Indicator, SCN)的計(jì)算方法如公
式(6)所示
SCN,(net) = Y , SCN,(i) ^Y k(t = r ν b) ( 6 )
‘、 / L·^ i&subnetcnei1 v 7iesubnei^nei J1Q (f) x‘其中���,TSt(i)表示t時(shí)期節(jié)點(diǎn)i的TCP_SYN(標(biāo)記位只為SYN的TCP包)包數(shù)指 標(biāo)����。所述TCP_RST 成分指標(biāo)(TCP_RST Composition Indicator, RCN)的計(jì)算方法如公
式(7)所示
RCNAnet) = Y , RCN1(I) = Y ,(t = rwb) ( 7 )
‘v J JLu iesubnet^nei1 v ‘‘ I^subnetQnei rJ1^J (y) x其中�����,TRt⑴表示t時(shí)期節(jié)點(diǎn)i的TCP_RST(標(biāo)記位只為RST的TCP包)包數(shù)指 標(biāo)�。所述流平均包長分布指標(biāo)(Flow Average Packet Length Distributionlndicator, ALN)的計(jì)算方法如公式(8)所示
ALNXnet) = Y k ALNt(J)
1 v y /LmdiesubnelQnei1 v /<formula>formula see original document page 18</formula>其中�,ALjJi) (j = 1 η)表示在t時(shí)期節(jié)點(diǎn)i的具有相同平均包長的流數(shù)指標(biāo), η為不同平均包長的個(gè)數(shù)�����。本申請采用已公開的信息熵的方法來計(jì)算所述分布指標(biāo)��。所述源IP 分布指標(biāo)(Source IP Distribution Indicator, SIN)的計(jì)算方法如公
式(9)所示<formula>formula see original document page 18</formula><formula>formula see original document page 18</formula>
其中��,SIjt (i)表示在t時(shí)期節(jié)點(diǎn)i的具有相同源IP地址的流數(shù)指標(biāo)。所述目的IP 分布指標(biāo)(Destination IP Distribution Indicator, DIN)的計(jì)算 方法如公式(10)所示<formula>formula see original document page 18</formula>
其中��,DIjt(i)表示在t時(shí)期節(jié)點(diǎn)i的具有相同目的IP地址的流數(shù)指標(biāo)�。所述源端口分布指標(biāo)(SourcePort Distribution Indicator, SPN)的計(jì)算方法
如公式(11)所示 <formula>formula see original document page 18</formula>其中,SPjt (i)表示在t時(shí)期節(jié)點(diǎn)i的具有相同源端口的流數(shù)指標(biāo)�����。所述目的端 口分布 旨標(biāo)(Destination Port Distribution Indicator����,DPN)的計(jì)
算方法如公式(12)所示
<formula>formula see original document page 18</formula>
<formula>formula see original document page 19</formula>其中,DP#(i)表示在t時(shí)期節(jié)點(diǎn)i的具有相同目的端口的流數(shù)指標(biāo)�。所述同源IP同目的端口模式指標(biāo)(SIP-DPORT Pattern Indicator, STPN)的計(jì)算 方法如公式(13)所示
<formula>formula see original document page 19</formula>
其中,具有相同源IP地址和相同目的端口的流屬于同一個(gè)模式����,STPJt(i)表示在 t時(shí)期節(jié)點(diǎn)i流數(shù)為第j多的模式的流數(shù)指標(biāo)。該模式一般用于度量水平掃描行為��。所述同源IP同目的IP模式指標(biāo)(SIP-DIP Pattern Indicator, SDPN)的計(jì)算方 法如公式(14)所示<formula>formula see original document page 19</formula>
其中����,具有相同源IP地址和相同目的IP地址的流屬于同一個(gè)模式,SDPjt⑴表示 在t時(shí)期節(jié)點(diǎn)i流數(shù)為第j多的模式的流數(shù)指標(biāo)。該模式一般用于度量垂直掃描行為�����。所述不同源IP同目的IP模式指標(biāo)(DSIP-DIP Pattern Indicator, DDPN)的計(jì)算
方法如公式(15)所示
<formula>formula see original document page 19</formula>
其中�����,具有不同源IP地址和相同目的IP地址的流屬于同一個(gè)模式�,DDPjt (i)表示 在t時(shí)期節(jié)點(diǎn)i流數(shù)為第j多的模式的流數(shù)指標(biāo)。該模式一般用于度量分布式拒絕服務(wù)攻 擊行為�。所述網(wǎng)絡(luò)節(jié)點(diǎn)數(shù)指標(biāo)計(jì)算方法如公式(16)所示<formula>formula see original document page 19</formula>
判斷當(dāng)前計(jì)算的指標(biāo)所在的數(shù)據(jù)采集時(shí)間段屬于基期還是報(bào)告期,如果是基期����, 則將計(jì)算所得到的各個(gè)指標(biāo)保存在指標(biāo)指數(shù)庫中,如果是報(bào)告期�,則要利用上述指標(biāo)計(jì)算 網(wǎng)絡(luò)異常性指數(shù),并將計(jì)算得到的網(wǎng)絡(luò)異常性指數(shù)保存到指標(biāo)指數(shù)庫中(步驟104)�。在前文中已經(jīng)提到,網(wǎng)絡(luò)異常性指數(shù)是指用于反映由安全威脅或攻擊所引起的網(wǎng) 絡(luò)通信數(shù)據(jù)特征異常程度的一類指數(shù)��,它是對所監(jiān)測網(wǎng)絡(luò)的安全性的總體評(píng)價(jià)����,因此,網(wǎng)絡(luò) 異常性指數(shù)不是所監(jiān)測網(wǎng)絡(luò)中某一方面數(shù)據(jù)特征的異常程度的反映�,而是多項(xiàng)數(shù)據(jù)特征的 異常程度的全面反映。在本實(shí)施例中����,網(wǎng)絡(luò)異常性指數(shù)包括數(shù)量特征指數(shù)、成分特征指數(shù)�、 分布特征指數(shù)以及模式特征指數(shù)。關(guān)于數(shù)量特征指數(shù)����、成分特征指數(shù)、分布特征指數(shù)��、模式 特征指數(shù)的概念在前文中已經(jīng)有詳細(xì)說明���,下面就如何計(jì)算這些指數(shù)予以說明��。所述網(wǎng)絡(luò)異常性指數(shù)的計(jì)算方法如公式(17)所示
NBI(net) = QCI(net)+CCI(net)+DCI(net)+PCI (net)(17)其中�,QCI (net)為數(shù)量特征指數(shù)����,CCI (net)為成分特征指數(shù),DCI (net)為分布特 征指數(shù)���,PCI (net)為模式特征指數(shù)���。所述數(shù)量特征指數(shù)的計(jì)算公式如公式(18)所示QCI (net) = max {Tl (net), PI (net)}(18)其中����,TI(net)為流量指數(shù)(Traffic Index, Tl)����,PI (net)為包速率指數(shù)(Packet Rate Index, PI),其計(jì)算公式分別如下面的公式(19)和(20)所示�����,max表示取最大值函 數(shù)����。由于流量指數(shù)與包速率指數(shù)存在一定程度的關(guān)聯(lián)性,因此�,我們用這兩個(gè)指數(shù)的較大值 來計(jì)算數(shù)量特征指數(shù)。
<formula>formula see original document page 20</formula>
<formula>formula see original document page 20</formula>在上述公式(19)中����,網(wǎng)絡(luò)流量指標(biāo)Tt (net)指標(biāo)包括兩個(gè)值,一個(gè)是在基期內(nèi)的 網(wǎng)絡(luò)流量指標(biāo)�����,一個(gè)是在報(bào)告期內(nèi)的網(wǎng)絡(luò)流量指標(biāo)����。在前文中已經(jīng)提到,基期內(nèi)的網(wǎng)絡(luò)流量 指標(biāo)的具體取值已經(jīng)保存在指標(biāo)指數(shù)庫內(nèi)����,因此可以直接使用。而報(bào)告期為當(dāng)前時(shí)刻��,因此 可以利用前面的公式⑴計(jì)算報(bào)告期內(nèi)的網(wǎng)絡(luò)流量指標(biāo)��。公式(19)中的網(wǎng)絡(luò)節(jié)點(diǎn)數(shù)指標(biāo) Nt(net)的值的獲取同樣如此�。在公式(20)和下面的公式中相關(guān)指標(biāo)的獲取同樣如此,因 此不在下文中重復(fù)說明�����。所述成分特征指數(shù)的計(jì)算公式如公式(21)所示CCI (net) = max {ICI (net) , TCI (net) , UCI (net)} +max {SCI (net) , RCI (net)} (21)其中�,ICI(net)為 ICMP 協(xié)議成分指數(shù)(ICMP Composition Index, ICI),TCI (net) 為 TCP 協(xié)議成分指數(shù)(TCP Composition Index, TCI), UCI (net)為 UDP 協(xié)議成分指數(shù)(UDP Composition Index, UCI)�,SCI (net)為 TCP_SYN 成分指數(shù)(TCP_SYN Composition Index, SCI), RCI (net)為 TCP_RST 成分指數(shù)(TCP_RST Composition Index, RCI),其計(jì)算公式分 別如公式(22) (26)所示���。在相同報(bào)文數(shù)的前提下��,由于TCP�����、UDP�、ICMP協(xié)議之間,以及 TCP_SYN報(bào)文與TCP_RST報(bào)文之間都存在一定程度的關(guān)聯(lián)性����,因此分別采用取大值的方法
進(jìn)行指數(shù)的綜合計(jì)算。
<formula>formula see original document page 20</formula>
<formula>formula see original document page 20</formula><formula>formula see original document page 21</formula>所述分布特征指數(shù)的計(jì)算公式如公式(27)所示DCI (net) = ALI(net)+max{SII (net)�,DII(net)}+max{SPI (net),DPI (net)} (27)其中�,ALI (net)表示流平均包長分布指數(shù)(Flow Average Packet LengthDistribution Index, ALI), SII (net)表示源 IP 分布指數(shù)(Source IP DistributionIndex,SII) ,DII (net)表示目的 IP分布 皆數(shù)(Destination IP Distribution Index,DII)�,SPI (net)表示源端口分布指數(shù)(Source Port Distribution Index, SPI), DPI (net)表示目的端口分布指數(shù)(Destination Port Distribution Index, DPI)�����,這些指
數(shù)的計(jì)算公式分別如下面的公式(28) 公式(32)所示��。
<formula>formula see original document page 21</formula>所述模式特征指數(shù)的計(jì)算公式如公式(33)所示PCI (net) = STPI (net) +SDPI (net) +DDPI (net)(33)其中�,STPI(net)為同源 IP 同目的端口模式指數(shù)(SIP-DP0RT Patternlndex�����, STPI)��,SDPI (net)為同源 IP 同目的 IP 模式指數(shù)(SIP-DIP Pattern Index, SDPI), DDPI (net)為不同源IP同目的IP模式指數(shù)(DSIP-DIP Pattern Index���,DDPI)��,其計(jì)算公式 分別如公式(34) 公式(36)所示��。
<formula>formula see original document page 22</formula>
<formula>formula see original document page 22</formula>
<formula>formula see original document page 22</formula>通過對上述網(wǎng)絡(luò)異常性指數(shù)的計(jì)算可以發(fā)現(xiàn)1�、如果選取網(wǎng)絡(luò)正常行為的一個(gè)具有代表性的時(shí)期作為基期��,那么網(wǎng)絡(luò)異常性指 數(shù)的大小就可以反映出網(wǎng)絡(luò)異常性的變化程度����,即能夠刻畫出網(wǎng)絡(luò)在異常性上的安全態(tài) 勢;2�、如果以基期的網(wǎng)絡(luò)行為作為統(tǒng)一的評(píng)價(jià)標(biāo)準(zhǔn),網(wǎng)絡(luò)異常性指數(shù)就能夠度量和評(píng) 價(jià)不同安全事件對網(wǎng)絡(luò)異常性的安全影響���;3����、網(wǎng)絡(luò)異常性指數(shù)能夠從宏觀上反映網(wǎng)絡(luò)的異常性隨時(shí)間的演化和發(fā)展趨勢。在上面的實(shí)施例中��,網(wǎng)絡(luò)異常性指數(shù)包括數(shù)量特征指數(shù)�����、成分特征指數(shù)�、分布特征 指數(shù)以及模式特征指數(shù),這些指數(shù)可被稱為層指數(shù)����,層指數(shù)由下一級(jí)基指數(shù)計(jì)算得到,如數(shù) 量特征指數(shù)由流量指數(shù)TI (net)和包速率指數(shù)PI (net)計(jì)算得到�����,而基指數(shù)又是由各個(gè)指 標(biāo)計(jì)算得到的���。也就是說�����,網(wǎng)絡(luò)異常性指數(shù)是由多層指數(shù)體系逐層計(jì)算得到的���,該體系按照 從低到高的順序包括指標(biāo)�、基指數(shù)��、層指數(shù)����、網(wǎng)絡(luò)異常性指數(shù)�。在其他實(shí)施例中,該體系中的 層指數(shù)或基指數(shù)的數(shù)量可以擴(kuò)展或減小��,例如���,在本實(shí)施例中還可以增加相似性特征層指 數(shù)��,相似性特征層指數(shù)可由流量相似性基指數(shù)�、包速率相似性基指數(shù)和包長相似性基指數(shù) 計(jì)算生成�。將相似性特征層指數(shù)與前面所提到的數(shù)量特征層指數(shù)、成分特征層指數(shù)���、分布特 征層指數(shù)以及模式特征層指數(shù)相結(jié)合����,生成所述的網(wǎng)絡(luò)異常性指數(shù)。又如���,在本實(shí)施例中還 可以為成分特征層指數(shù)增加端口成分基指數(shù)�,再如����,網(wǎng)絡(luò)異常性指數(shù)可用直推式層指數(shù)和 歸納式層指數(shù)計(jì)算等。但無論層指數(shù)或基指數(shù)的數(shù)量如何變化����,在對指數(shù)做逐層計(jì)算時(shí),應(yīng) 當(dāng)遵循如下原則具有相關(guān)性的層指數(shù)或基指數(shù)應(yīng)取最大值�,然后將所有不相關(guān)的層指數(shù) 或基指數(shù)進(jìn)行累加從而計(jì)算出上一級(jí)指數(shù)。上文中所提到的相似性特征指數(shù)的計(jì)算公式如公式(37)所示 MCI (net) = max {TSI (net)�����,PRSI (net)����,PLSI (net)}
(37)其中,TSI(net)為流量相似性指數(shù)(Traffic Similarity Index,TSI),PRSI (net) 為包速率相似性指數(shù)(Packet Rate Similarity Index�,PRSI)�����,PLSI (net)為包長相似性指 數(shù)(Packet Length Similarity Index���,PLSI),其計(jì)算公式分別如公式(38) (40)
<formula>formula see original document page 22</formula>PRSI(net) = max{
PRSNh {net)
Nhinet) !
PLSNt {net)
PLSI(net) = max{-
Nt]{net)
'PRSN, (net),…����、
Ar ;2�����、I =r,t2=b)w =b,t2=r)}(39) Nh (net)
'PLSN. (net),…
1 \{t, =r,t2 =b)v(tx =b,t2=r)}(40)
Nh(net)其中�,TSNt(net)�,PRSNt(net),PLSNt(net)(t = r V b)分別表示在 t 時(shí)期�,網(wǎng)絡(luò)對 象net的流量相似性指標(biāo)、包速率相似性指標(biāo)���、包長相似性指標(biāo)�����,其具體計(jì)算方法可采用已 公開的技術(shù)���。上文中所提到的端口成分指數(shù)(pOrt Composition Index, 0CI)的計(jì)算公式如公 式(41)所示
OCN, (net) /OCN. (net),,,���、
OCI(net) = max{ ^ 丨、/ / xr ,�����、| ^r,t2=b)v (t, =b,t2=r)} (41) N,t (net) / Nh (net)其中���,0CNt(net) (t = r V b)表示在t時(shí)期��,網(wǎng)絡(luò)對象net的端口成分指標(biāo)�����,其計(jì) 算公式如公式(42)所示
OCN,(net) = y t OCNJi) = y ^ max{°N'^ \ j = \,...,m} (t = rvb) (42)
‘v J Z^i^subnet^net'����、J ^JiesubnelQnetv ^p^ (y) 1 J‘‘ v‘其中���,將216個(gè)端口號(hào)分成m段��,0NtJ(i)表示屬于第j段端口內(nèi)的包數(shù)指標(biāo)���,例如 當(dāng)m = 3時(shí)���,0 1024為第1段,1025 9999為第2段����,10000 65535為第3段。成分特征指數(shù)在增加了上述的端口成分指數(shù)以后��,在計(jì)算成分特征指數(shù)時(shí)�,只要 在原有計(jì)算方法的基礎(chǔ)上再加上端口成分指數(shù)的值就能夠得到包含有端口成分指數(shù)的成 分特征指數(shù)的值。在得到成分特征指數(shù)后��,按照前述實(shí)施例的相關(guān)描述�����,可以進(jìn)一步得到網(wǎng) 絡(luò)異常性指數(shù)�。根據(jù)上述的網(wǎng)絡(luò)異常性指數(shù)定量計(jì)算方法�,本發(fā)明還包括了一種網(wǎng)絡(luò)異常性指數(shù) 定量計(jì)算系統(tǒng),該系統(tǒng)包括數(shù)據(jù)采集點(diǎn)設(shè)置模塊��、數(shù)據(jù)采集模塊、指標(biāo)計(jì)算模塊以及指數(shù)計(jì) 算模塊�;其中,所述的數(shù)據(jù)采集點(diǎn)設(shè)置模塊用于在待監(jiān)測網(wǎng)絡(luò)中選擇一定數(shù)量的路由器節(jié)點(diǎn)作 為數(shù)據(jù)的采集點(diǎn)�,并設(shè)置用于采集數(shù)據(jù)的基期和報(bào)告期;所述的數(shù)據(jù)采集模塊用于在各個(gè)數(shù)據(jù)采集點(diǎn)上做數(shù)據(jù)采集�,得到包含有源IP地 址、目的IP地址�����、源端口�����、目的端口�����、協(xié)議類型���、流開始時(shí)間��、流結(jié)束時(shí)間�、包數(shù)�、字節(jié)數(shù)�、TCP 標(biāo)記在內(nèi)的相關(guān)信息����;所述的指標(biāo)計(jì)算模塊用于統(tǒng)計(jì)和計(jì)算所述數(shù)據(jù)采集模塊中所采集的數(shù)據(jù),得到關(guān) 于待監(jiān)測網(wǎng)絡(luò)中網(wǎng)絡(luò)數(shù)據(jù)流量�����、協(xié)議成分�����、IP與端口分布以及行為模式的指標(biāo)����;所述的指數(shù)計(jì)算模塊用于將當(dāng)前時(shí)刻計(jì)算得到的指標(biāo)與基期內(nèi)計(jì)算的相應(yīng)指標(biāo) 相結(jié)合,計(jì)算用于表示待監(jiān)測網(wǎng)絡(luò)異常程度的網(wǎng)絡(luò)異常性指數(shù)����。為了進(jìn)一步驗(yàn)證異常性指數(shù)定量計(jì)算方法的有效性和優(yōu)勢,我們分別針對正常行 為���、突發(fā)群體性(Crowd)訪問、UDP洪泛分布式拒絕服務(wù)攻擊(DDoS�����,Distributed Denial of Service)、同步洪泛分布式拒絕服務(wù)攻擊(SYNFlood DDoS)攻擊��、蠕蟲傳播����、垂直掃描等
236種典型情景設(shè)計(jì)了 6個(gè)應(yīng)用真實(shí)流數(shù)據(jù)的實(shí)驗(yàn)。實(shí)驗(yàn)環(huán)境如下采用曙光服務(wù)器�����,4個(gè)CPU(Dual_Core AMD Opteron, 2211MHz, 64bit) ,2GB 內(nèi)存�����,CentOS Linux 5. 264 位操作系統(tǒng)�。實(shí)驗(yàn)數(shù)據(jù)不失一般性,本實(shí)驗(yàn)采用NetFlow流數(shù)據(jù)����,選取某運(yùn)營商安徽省3個(gè)出 口路由器節(jié)點(diǎn)上2009-5-15至2009-5-21 —周的NetFlow流數(shù)據(jù)。參數(shù)設(shè)置令2009-5-15的每一小時(shí)為基期b����,2009-5-17的相應(yīng)時(shí)間段為報(bào)告期 r�����。為使實(shí)驗(yàn)更具說服力��,三個(gè)實(shí)驗(yàn)均選取b為基期��,實(shí)驗(yàn)2 6以2009-5-17的網(wǎng)絡(luò)流數(shù) 據(jù)為背景流量�。此外����,Nt (net) = 3 (t = r V b),s = 60�,p = 20。實(shí)驗(yàn)1正常行為情況下網(wǎng)絡(luò)異常性指數(shù)的計(jì)算實(shí)驗(yàn)結(jié)果如圖2所示�,正常情況下網(wǎng)絡(luò)異常性指數(shù)曲線呈直線狀態(tài),在10. 0左右��, 說明正常情況下網(wǎng)絡(luò)呈現(xiàn)高度自相似性���。實(shí)驗(yàn)2CroWd訪問情況下網(wǎng)絡(luò)異常性指數(shù)的計(jì)算為了與實(shí)驗(yàn)1進(jìn)行對比�,我們以17日(報(bào)告期)的流數(shù)據(jù)為背景流量����,在此流量 中融入構(gòu)造的Crowd訪問流量�。其中Crowd訪問流量的構(gòu)造方法符合其基本原理�����,具體方 法如下在插入時(shí)段內(nèi)每5條流添加10條訪問流��,其中訪問流的源IP地址為該環(huán)境下出現(xiàn) 過的真實(shí)IP地址�����,目的IP地址為此期間出現(xiàn)過的若干真實(shí)目的IP地址��,包數(shù)為1�����,字節(jié)數(shù) 為120��,其它信息與背景流數(shù)據(jù)一致��。不失一般性�,我們選取了 17日的7時(shí)���、9時(shí)���、11時(shí)三個(gè) 小時(shí)段作為插入段�,分別針對2個(gè)�����、1個(gè)和3個(gè)目的IP����。實(shí)驗(yàn)結(jié)果如圖2所示,通過與正常行為情況下的曲線對比可以看出Cr0Wd訪問發(fā) 生時(shí)段網(wǎng)絡(luò)異常性指數(shù)較網(wǎng)絡(luò)正常行為情況增加3倍左右���,約40. 0�����。實(shí)驗(yàn)3UDP Flood DDoS攻擊情況下網(wǎng)絡(luò)異常性指數(shù)的計(jì)算同理�����,為與其它實(shí)驗(yàn)進(jìn)行對比���,我們?nèi)砸?7日(報(bào)告期)的流數(shù)據(jù)為背景流量���,在 此流量中融入構(gòu)造的隨機(jī)偽造源地址的UDP DDoS攻擊流量,并將融合后的流數(shù)據(jù)作為報(bào)告 期的流數(shù)據(jù)�。需要指明的是,上述攻擊的構(gòu)造方法符合安全實(shí)踐中獲知的典型DDoS攻擊原 理�����,具體方法如下在插入時(shí)段內(nèi)每遇到1條UDP流則添加1條攻擊流��,其中攻擊流的源IP 地址隨機(jī)產(chǎn)生�,目的IP地址為此期間出現(xiàn)過的若干真實(shí)目的IP地址����,字節(jié)數(shù)為1500與該 UDP流的包數(shù)的乘積,其它信息與背景流數(shù)據(jù)一致�。不失一般性,我們選取了 17日的7時(shí)�、 9時(shí)、11時(shí)三個(gè)小時(shí)段作為插入時(shí)段����,分別針對2個(gè)、1個(gè)和3個(gè)目的IP�����。實(shí)驗(yàn)結(jié)果如圖3所示,通過與其它曲線對比可以看出UDP DDoS攻擊發(fā)生時(shí)段網(wǎng) 絡(luò)異常性指數(shù)較網(wǎng)絡(luò)正常行為情況增加2倍左右���,約30. 0�����。實(shí)驗(yàn)4SYN Flood DDoS攻擊情況下網(wǎng)絡(luò)異常性指數(shù)的計(jì)算同理����,為與其它實(shí)驗(yàn)進(jìn)行對比�,我們?nèi)砸?7日(報(bào)告期)的流數(shù)據(jù)為背景流量,在 此流量中融入構(gòu)造的隨機(jī)偽造源地址的SYN Flood DDoS攻擊流量���,并將融合后的流數(shù)據(jù)作 為報(bào)告期的流數(shù)據(jù)��。需要指明的是��,上述攻擊的構(gòu)造方法符合安全實(shí)踐中獲知的典型SYN Flood攻擊原理����,具體方法如下在插入時(shí)段內(nèi)每遇到1條TCP流則添加5條攻擊流���,其中 攻擊流的源IP地址隨機(jī)產(chǎn)生�����,目的IP地址為此期間出現(xiàn)過的若干真實(shí)目的IP地址�,包數(shù) 為1,字節(jié)數(shù)為100���,標(biāo)志位為SYN��,其它信息與背景流數(shù)據(jù)一致。不失一般性���,我們選取了 17日的7時(shí)�、9時(shí)�、11時(shí)三個(gè)小時(shí)段作為插入時(shí)段,分別針對2個(gè)�����、1個(gè)和3個(gè)目的IP��。實(shí)驗(yàn)結(jié)果如圖4所示�����,通過與其它曲線對比可以看出SYN Flood攻擊發(fā)生時(shí)段網(wǎng)絡(luò)異常性指數(shù)較網(wǎng)絡(luò)正常行為情況增加6倍以上,在70. 0以上��。實(shí)驗(yàn)5蠕蟲傳播情況下網(wǎng)絡(luò)異常性指數(shù)的計(jì)算同理�����,為與其它實(shí)驗(yàn)進(jìn)行對比�����,我們?nèi)砸?7日(報(bào)告期)的流數(shù)據(jù)為背景流量�����,在 此流量中融入構(gòu)造的蠕蟲傳播流量���,并將融合后的流數(shù)據(jù)作為報(bào)告期的流數(shù)據(jù)���。需要指明 的是,上述攻擊的構(gòu)造方法符合安全實(shí)踐中獲知的典型蠕蟲傳播原理����,具體方法如下在插 入時(shí)段內(nèi)每遇到1條TCP流則添加1條掃描流�����,其中掃描流的源IP地址為此期間出現(xiàn)過的 若干真實(shí)源IP地址���,目的IP地址隨機(jī)產(chǎn)生,包數(shù)為1���,字節(jié)數(shù)為100����,標(biāo)志位為SYN����,目的端 口為80����,其它信息與背景流數(shù)據(jù)一致。不失一般性�����,我們選取了 17日的7時(shí)2個(gè)源IP�、9時(shí) 1個(gè)源IP����、11時(shí)3個(gè)源IP進(jìn)行蠕蟲傳播����。實(shí)驗(yàn)結(jié)果如圖5所示,通過與其它曲線對比可以看出蠕蟲傳播發(fā)生時(shí)段網(wǎng)絡(luò)異 常性指數(shù)較網(wǎng)絡(luò)正常行為情況增加9倍左右��,約100. 0��。實(shí)驗(yàn)6垂直掃描情況下網(wǎng)絡(luò)異常性指數(shù)的計(jì)算同理�����,為與其它實(shí)驗(yàn)進(jìn)行對比����,我們?nèi)砸?7日(報(bào)告期)的流數(shù)據(jù)為背景流量,在 此流量中融入構(gòu)造的垂直掃描流量��,并將融合后的流數(shù)據(jù)作為報(bào)告期的流數(shù)據(jù)���。需要指明 的是���,上述攻擊的構(gòu)造方法符合安全實(shí)踐中獲知的典型垂直掃描原理��,具體方法如下在插 入時(shí)段內(nèi)每遇到1條TCP流則添加以該流的目的地址為被掃描目的地址�����,目的端口為常用 185個(gè)端口的185條掃描流�,其中掃描流的源IP地址為此期間出現(xiàn)過的若干真實(shí)源IP地 址����,包數(shù)為1,字節(jié)數(shù)為100���,標(biāo)志位為SYN�,源端口是2000到65535之間隨機(jī)產(chǎn)生�,其它信息 與背景流數(shù)據(jù)一致。不失一般性�����,我們選取了 17日的7時(shí)2個(gè)源IP�、9時(shí)1個(gè)源IP�����、11時(shí) 3個(gè)源IP進(jìn)行垂直掃描。實(shí)驗(yàn)結(jié)果如圖6所示��,通過與其它曲線對比可以看出垂直掃描發(fā)生時(shí)段網(wǎng)絡(luò)異 常性指數(shù)較網(wǎng)絡(luò)正常行為情況增加4倍以上���,在50. 0以上���。綜上所述,本發(fā)明提出的網(wǎng)絡(luò)可用性指數(shù)的定義及其定量計(jì)算方法能夠及時(shí)有效 地反映典型網(wǎng)絡(luò)安全事件對網(wǎng)絡(luò)安全態(tài)勢產(chǎn)生的影響���,且通過指數(shù)的對比和計(jì)算能夠評(píng)價(jià) 和度量不同安全事件對網(wǎng)絡(luò)的不同影響�����。最后所應(yīng)說明的是����,以上實(shí)施例僅用以說明本發(fā)明的技術(shù)方案而非限制���。盡管參 照實(shí)施例對本發(fā)明進(jìn)行了詳細(xì)說明�,本領(lǐng)域的普通技術(shù)人員應(yīng)當(dāng)理解����,對本發(fā)明的技術(shù)方 案進(jìn)行修改或者等同替換����,都不脫離本發(fā)明技術(shù)方案的精神和范圍�����,其均應(yīng)涵蓋在本發(fā)明 的權(quán)利要求范圍當(dāng)中����。
權(quán)利要求
一種網(wǎng)絡(luò)異常性指數(shù)定量計(jì)算方法,包括步驟1)�����、在待監(jiān)測網(wǎng)絡(luò)中選擇一定數(shù)量的路由器節(jié)點(diǎn)作為數(shù)據(jù)的采集點(diǎn)�,并設(shè)置用于采集數(shù)據(jù)的基期和報(bào)告期;步驟2)�、在各個(gè)數(shù)據(jù)采集點(diǎn)上做數(shù)據(jù)采集,得到包含有源IP地址�、目的IP地址、源端口�����、目的端口�、協(xié)議類型、流開始時(shí)間��、流結(jié)束時(shí)間�����、包數(shù)�、字節(jié)數(shù)、TCP標(biāo)記在內(nèi)的相關(guān)信息�����;步驟3)���、統(tǒng)計(jì)和計(jì)算步驟2)中所采集的數(shù)據(jù)���,得到關(guān)于待監(jiān)測網(wǎng)絡(luò)中網(wǎng)絡(luò)數(shù)據(jù)流量、協(xié)議成分��、IP與端口分布以及行為模式的指標(biāo)����;步驟4)��、將當(dāng)前時(shí)刻計(jì)算得到的指標(biāo)與基期內(nèi)計(jì)算的相應(yīng)指標(biāo)相結(jié)合���,計(jì)算用于表示待監(jiān)測網(wǎng)絡(luò)異常程度的網(wǎng)絡(luò)異常性指數(shù)。
2.根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)異常性指數(shù)定量計(jì)算方法���,其特征在于�����,在所述的步驟 4)中��,所述的計(jì)算用于表示待監(jiān)測網(wǎng)絡(luò)異常程度的網(wǎng)絡(luò)異常性指數(shù)包括計(jì)算待監(jiān)測網(wǎng)絡(luò)中用于表示網(wǎng)絡(luò)數(shù)據(jù)在數(shù)量上的變化程度��、在比例上的變化程度���、在 統(tǒng)計(jì)分布上的變化程度以及在行為模式上的變化程度的指數(shù),結(jié)合這些指數(shù)計(jì)算所述網(wǎng)絡(luò) 異常性指數(shù)���。
3.根據(jù)權(quán)利要求2所述的網(wǎng)絡(luò)異常性指數(shù)定量計(jì)算方法�,其特征在于��,在所述的步驟 3)中�,還要計(jì)算待監(jiān)測網(wǎng)絡(luò)中與網(wǎng)絡(luò)數(shù)據(jù)相似性程度有關(guān)的指標(biāo)����;在所述的步驟4)中��,所 述的計(jì)算用于表示待監(jiān)測網(wǎng)絡(luò)異常程度的網(wǎng)絡(luò)異常性指數(shù)還包括計(jì)算待監(jiān)測網(wǎng)絡(luò)中用于表示網(wǎng)絡(luò)數(shù)據(jù)相似性程度的指數(shù)����,利用該指數(shù)以及所述用于表 示網(wǎng)絡(luò)數(shù)據(jù)在數(shù)量上的變化程度����、在比例上的變化程度、在統(tǒng)計(jì)分布上的變化程度以及在 行為模式上的變化程度的指數(shù)來計(jì)算用于表示待監(jiān)測網(wǎng)絡(luò)異常程度的網(wǎng)絡(luò)異常性指數(shù)���。
4.根據(jù)權(quán)利要求2所述的網(wǎng)絡(luò)異常性指數(shù)定量計(jì)算方法����,其特征在于��,所述的用于表 示網(wǎng)絡(luò)數(shù)據(jù)在數(shù)量上的變化程度����、在比例上的變化程度、在統(tǒng)計(jì)分布上的變化程度以及在 行為模式上的變化程度的指數(shù)包括基指數(shù)與層指數(shù)�����;所述基指數(shù)由所述指標(biāo)計(jì)算得到,所 述層指數(shù)由所述基指數(shù)計(jì)算得到����,根據(jù)所述層指數(shù)計(jì)算所述的網(wǎng)絡(luò)異常性指數(shù);其中���,在對所述基指數(shù)與層指數(shù)做逐層計(jì)算時(shí)�,具有相關(guān)性的層指數(shù)或基指數(shù)應(yīng)取最大值���, 然后將所有不相關(guān)的層指數(shù)或基指數(shù)進(jìn)行累加從而計(jì)算出上一級(jí)指數(shù)���。
5.根據(jù)權(quán)利要求3所述的網(wǎng)絡(luò)異常性指數(shù)定量計(jì)算方法,其特征在于�����,所述的用于表 示網(wǎng)絡(luò)數(shù)據(jù)在數(shù)量上的變化程度�、在比例上的變化程度、在統(tǒng)計(jì)分布上的變化程度����、在行為 模式上的變化程度以及網(wǎng)絡(luò)數(shù)據(jù)相似性程度的指數(shù)包括基指數(shù)與層指數(shù)��;所述基指數(shù)由所 述指標(biāo)計(jì)算得到��,所述層指數(shù)由所述基指數(shù)計(jì)算得到���,根據(jù)所述層指數(shù)計(jì)算所述的網(wǎng)絡(luò)異 常性指數(shù);其中����,在對所述基指數(shù)與層指數(shù)做逐層計(jì)算時(shí)����,具有相關(guān)性的層指數(shù)或基指數(shù)應(yīng)取最大值, 然后將所有不相關(guān)的層指數(shù)或基指數(shù)進(jìn)行累加從而計(jì)算出上一級(jí)指數(shù)����。
6.根據(jù)權(quán)利要求2或3所述的網(wǎng)絡(luò)異常性指數(shù)定量計(jì)算方法,其特征在于�,在所述的步 驟3)中,所述指標(biāo)包括網(wǎng)絡(luò)流量指標(biāo)�、包速率指標(biāo)、TCP協(xié)議成分指標(biāo)����、UDP協(xié)議成分指標(biāo)�、 ICMP協(xié)議成分指標(biāo)�、TCP_SYN成分指標(biāo)、TCP_RST成分指標(biāo)����、流平均包長分布指標(biāo)、源IP分 布指標(biāo)�����、源端口分布指標(biāo)��、目的IP分布指標(biāo)��、目的端口分布指標(biāo)�����、同源IP同目的端口模式指 標(biāo)�����、同源IP同目的IP模式指標(biāo)���、不同源IP同目的IP模式指標(biāo)���、網(wǎng)絡(luò)節(jié)點(diǎn)數(shù)指標(biāo)��。
7.根據(jù)權(quán)利要求6所述的網(wǎng)絡(luò)異常性指數(shù)定量計(jì)算方法��,其特征在于����,在所述的步驟 4)中��,所述的用于表示網(wǎng)絡(luò)數(shù)據(jù)在數(shù)量上的變化程度的指數(shù)根據(jù)所述網(wǎng)絡(luò)流量指標(biāo)和包速 率指標(biāo)計(jì)算生成�。
8.根據(jù)權(quán)利要求7所述的網(wǎng)絡(luò)異常性指數(shù)定量計(jì)算方法���,其特征在于�,所述的用于表 示網(wǎng)絡(luò)數(shù)據(jù)在數(shù)量上的變化程度的指數(shù)為數(shù)量特征指數(shù)���,所述的數(shù)量特征指數(shù)的值通過對 流量指數(shù)與包速率指數(shù)取較大值得到���;其中,所述的流量指數(shù)通過下列公式計(jì)算得到<formula>formula see original document page 3</formula>其中�,TI (net)表示流量指數(shù),Tt(net)表示網(wǎng)絡(luò)流量指標(biāo),Nt (net)表示網(wǎng)絡(luò)節(jié)點(diǎn)數(shù)指 標(biāo)��,r表示報(bào)告期��,b表示基期����;所述的包速率指數(shù)通過下列公式計(jì)算得到<formula>formula see original document page 3</formula>其中,Pl(net)表示包速率指數(shù)�����,Pt (net)表示網(wǎng)絡(luò)包速率指標(biāo)���。
9.根據(jù)權(quán)利要求6所述的網(wǎng)絡(luò)異常性指數(shù)定量計(jì)算方法�,其特征在于����,所述的用于表 示網(wǎng)絡(luò)數(shù)據(jù)在比例上的變化程度的指數(shù)根據(jù)TCP協(xié)議成分指標(biāo)、UDP協(xié)議成分指標(biāo)�����、ICMP協(xié) 議成分指標(biāo)��、TCP_SYN成分指標(biāo)、TCP_RST成分指標(biāo)計(jì)算得到����。
10.根據(jù)權(quán)利要求9所述的網(wǎng)絡(luò)異常性指數(shù)定量計(jì)算方法,其特征在于���,所述的用于表 示網(wǎng)絡(luò)數(shù)據(jù)在比例上的變化程度的指數(shù)為成分特征指數(shù)����;所述成分特征指數(shù)的值為ICMP 協(xié)議成分指數(shù)�����、TCP協(xié)議成分指數(shù)���、UDP協(xié)議成分指數(shù)三者中的較大值與TCP_SYN成分指數(shù)、 TCP_RST成分指數(shù)兩者中的較大值的和���;其中���,所述的ICMP協(xié)議成分指數(shù)通過下列公式計(jì)算得到<formula>formula see original document page 3</formula>其中,ICI (net)表示ICMP協(xié)議成分指數(shù)���,ICNt(net)表示ICMP協(xié)議成分指標(biāo)��,Nt(net) 表示網(wǎng)絡(luò)節(jié)點(diǎn)數(shù)指標(biāo)����,r表示報(bào)告期,b表示基期�;TCP協(xié)議成分指數(shù)通過下列公式計(jì)算得到<formula>formula see original document page 3</formula>其中,TCI (net)表示TCP協(xié)議成分指數(shù)����,TCNt (net)表示TCP協(xié)議成分指標(biāo);UDP協(xié)議成分指數(shù)通過下列公式計(jì)算得到<formula>formula see original document page 3</formula>其中���,UCI (net)表示UDP協(xié)議成分指數(shù)��,UCNt (net)表示UDP協(xié)議成分指標(biāo)���;TCP_SYN成分指數(shù)通過下列公式計(jì)算得到<formula>formula see original document page 4</formula>其中,SCI (net)表示TCP_SYN成分指數(shù)���,SCNt (net)表示TCP_SYN成分指標(biāo)����; TCP_RST成分指數(shù)通過下列公式計(jì)算得到RCN, (net) / RCN, (net)RCI{net) = max{-^~- /-^~-1 (t, =b)v (L =b,t2 = r)}Nh{net) / Nh(net) 'Vl '22其中,RCI (net)表示TCP_RST成分指數(shù)�����,RCNt (net)表示TCP_RST成分指標(biāo)���。
11.根據(jù)權(quán)利要求6所述的網(wǎng)絡(luò)異常性指數(shù)定量計(jì)算方法�����,其特征在于��,在所述的步驟3)中�,所述指標(biāo)還包括端口成分指標(biāo)��;所述的用于表示網(wǎng)絡(luò)數(shù)據(jù)在比例上的變化程度的指數(shù)為成分特征指數(shù)����;所述成分特征指數(shù)的值為ICMP協(xié)議成分指數(shù)、TCP協(xié)議成分指數(shù)�����、UDP協(xié)議成分指數(shù)三者中的較大值與TCP_SYN成分指數(shù)��、TCP_RST成分指數(shù)兩者中的較大值�����,以及端口成分指數(shù)的和�;其中,所述端口成分指數(shù)0CI通過下列公式計(jì)算得到<formula>formula see original document page 4</formula>其中��,0CNt(net) (t = r V b)表示端口成分指標(biāo)����,Nt (net)表示網(wǎng)絡(luò)節(jié)點(diǎn)數(shù)指標(biāo),r表示 報(bào)告期�,b表示基期;所述端口成分指標(biāo)通過下列公式計(jì)算得到<formula>formula see original document page 4</formula>其中����,將216個(gè)端口號(hào)分成m段,0NtJ (i)表示屬于第j段端口內(nèi)的包數(shù)指標(biāo)���; 所述的ICMP協(xié)議成分指數(shù)通過下列公式計(jì)算得到ICN, {net) /ICNt (net)其中��,ICI (net)表示ICMP協(xié)議成分指數(shù)�,ICNt (net)表示ICMP協(xié)議成分指標(biāo)�����; TCP協(xié)議成分指數(shù)通過下列公式計(jì)算得到TCN, (net) /TCN, (net) TCI 一=隱1 仏==b) v =b,、=r)]其中��,TCI (net)表示TCP協(xié)議成分指數(shù)�,TCNt (net)表示TCP協(xié)議成分指標(biāo); UDP協(xié)議成分指數(shù)通過下列公式計(jì)算得到UCN, (net) /UCN, (net) UCI(net) = max{ ���?廣��、/ 2����、| {tx =r,t2=b)v {tx =b,t2=r)} Nt] (net) / Nh(net)其中�����,UCI (net)表示UDP協(xié)議成分指數(shù)�����,UCNt (net)表示UDP協(xié)議成分指標(biāo)��;TCP_SYN成分指數(shù)通過下列公式計(jì)算得到<formula>formula see original document page 4</formula>其中�,SCI (net)表示TCP_SYN成分指數(shù),SCNt (net)表示TCP_SYN成分指標(biāo)����;TCP_RST成分指數(shù)通過下列公式計(jì)算得到<formula>formula see original document page 5</formula>其中,RCI (net)表示TCP_RST成分指數(shù)���,RCNt (net)表示TCP_RST成分指標(biāo)����。 <formula>formula see original document page 5</formula> 其中�����,將216個(gè)端口號(hào)分成m段��,0NtJ (i)表示屬于第j段端口內(nèi)的包數(shù)指標(biāo)���。
12.根據(jù)權(quán)利要求6所述的網(wǎng)絡(luò)異常性指數(shù)定量計(jì)算方法�����,其特征在于��,所述的用于表 示網(wǎng)絡(luò)數(shù)據(jù)在統(tǒng)計(jì)分布上的變化程度的指數(shù)根據(jù)流平均包長分布指標(biāo)�����、源IP分布指標(biāo)��、源 端口分布指標(biāo)����、目的IP分布指標(biāo)、目的端口分布指標(biāo)計(jì)算得到�����。
13.根據(jù)權(quán)利要求12所述的網(wǎng)絡(luò)異常性指數(shù)定量計(jì)算方法����,其特征在于,所述的用于 表示網(wǎng)絡(luò)數(shù)據(jù)在統(tǒng)計(jì)分布上的變化程度的指數(shù)為分布特征指數(shù)�����;所述分布特征指數(shù)的值由 源IP分布指數(shù)����、目的IP分布指數(shù)兩者的較大值加上源端口分布指數(shù)、目的端口分布指數(shù)兩 者的較大值再加上流平均包長分布指數(shù)得到;其中�����,所述的流平均包長分布指數(shù)通過下列公式計(jì)算得到<formula>formula see original document page 5</formula>其中����,ALI (net)表示流平均包長分布指數(shù)����,ALNt(net)表示流平均包長分布指標(biāo), Nt(net)表示網(wǎng)絡(luò)節(jié)點(diǎn)數(shù)指標(biāo)����,r表示報(bào)告期,b表示基期�����; 源IP分布指數(shù)通過下列公式計(jì)算得到<formula>formula see original document page 5</formula>其中���,Sll(net)表示源IP分布指數(shù)���,SINt(net)表示源IP分布指標(biāo); 目的IP分布指數(shù)通過下列公式計(jì)算得到<formula>formula see original document page 5</formula>其中,Dll(net)表示目的IP分布指數(shù)�,DINt (net)表示目的IP分布指標(biāo); 源端口分布指數(shù)通過下列公式計(jì)算得到<formula>formula see original document page 5</formula>其中��,SPI (net)表示源端口分布指數(shù)�����,SPNt(net)表示源端口分布指標(biāo)���; 目的端口分布指數(shù)通過下列公式計(jì)算得到<formula>formula see original document page 5</formula>其中�,DPI(net)表示目的端口分布指數(shù)�,DPNt (net)表示目的端口分布指標(biāo)。
14.根據(jù)權(quán)利要求6所述的網(wǎng)絡(luò)異常性指數(shù)定量計(jì)算方法��,其特征在于���,所述的用于表 示網(wǎng)絡(luò)數(shù)據(jù)在行為模式上的變化程度的指數(shù)�����。
15.根據(jù)權(quán)利要求14所述的網(wǎng)絡(luò)異常性指數(shù)定量計(jì)算方法����,其特征在于,所述的用于 表示網(wǎng)絡(luò)數(shù)據(jù)在行為模式上的變化程度的指數(shù)為模式特征指數(shù)�����;所述模式特征指數(shù)的值為 同源IP同目的端口模式指數(shù)�����、同源IP同目的IP模式指數(shù)����、不同源IP同目的IP模式指數(shù) 的和����;其中,所述同源IP同目的端口模式指數(shù)通過下列公式計(jì)算得到STPN, (net) / STPN, (net) STPI(net) = max{ ‘ / 2 I (A =r,t2=b)v (t, =b,t2= r)}其中�,STPI(net)表示同源IP同目的端口模式指數(shù),STPNt (net)表示同源IP同目的端 口模式指標(biāo)���,Nt (net)表示網(wǎng)絡(luò)節(jié)點(diǎn)數(shù)指標(biāo)���,r表示報(bào)告期,b表示基期��; 所述同源IP同目的IP模式指數(shù)通過下列公式計(jì)算得到SDPN, (net) /SDPN, (net) SDPI{net) = max{ ‘ / 2 I itx ^r,t2=b)v (tx =b,t2= r)} 7V,丨 \ fiet) j\其中,SDPI (net)表示同源IP同目的IP模式指數(shù)�����,SDPNt (net)表示同源IP同目的IP 模式指標(biāo)�;所述不同源IP同目的IP模式指數(shù)通過下列公式計(jì)算得到<formula>formula see original document page 6</formula>其中,DDPI (net)表示不同源IP同目的IP模式指數(shù)����,DDPNt (net)表示不同源IP同目 的IP模式指標(biāo)。
16.根據(jù)權(quán)利要求6所述的網(wǎng)絡(luò)異常性指數(shù)定量計(jì)算方法��,其特征在于�����,在所述的步驟3)中,所述指標(biāo)還包括流量相似性指標(biāo)�����、包速率相似性指標(biāo)�、包長相似性指標(biāo);在所述步驟4)中,用于表示網(wǎng)絡(luò)數(shù)據(jù)相似性程度的指數(shù)為相似性特征指數(shù),所述相似性特征指數(shù)的值 通過對流量相似性指數(shù)、包速率相似性指數(shù)�����、包長相似性指數(shù)求最大值得到����;所述流量相似性指數(shù)通過下列公式計(jì)算得到<formula>formula see original document page 6</formula>其中��,TSI(net)表示流量特征性指數(shù)��,TSNt (net)表示流量相似性指標(biāo),Nt (net)表示網(wǎng) 絡(luò)節(jié)點(diǎn)數(shù)指標(biāo)���,r表示報(bào)告期����,b表示基期�����;所述包速率相似性指數(shù)通過下列公式計(jì)算得到<formula>formula see original document page 6</formula>其中��,PRSI (net)表示包速率相似性指數(shù),PRSNt (net)表示包速率相似性指標(biāo); 所述包長相似性指數(shù)通過下列公式計(jì)算得到<formula>formula see original document page 6</formula>其中�����,PLSI(net)表示包長相似性指數(shù)���,PLSNt(net)表示包長相似性指標(biāo)�。
17.根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)異常性指數(shù)定量計(jì)算方法��,其特征在于�,在所述的步驟 4)中��,所述的基期內(nèi)計(jì)算的相應(yīng)指標(biāo)通過步驟2)��、步驟3)計(jì)算得到。
18. —種網(wǎng)絡(luò)異常性指數(shù)定量計(jì)算系統(tǒng),其特征在于��,包括數(shù)據(jù)采集點(diǎn)設(shè)置模塊��、數(shù)據(jù) 采集模塊����、指標(biāo)計(jì)算模塊以及指數(shù)計(jì)算模塊;其中�,所述的數(shù)據(jù)采集點(diǎn)設(shè)置模塊用于在待監(jiān)測網(wǎng)絡(luò)中選擇一定數(shù)量的路由器節(jié)點(diǎn)作為數(shù) 據(jù)的采集點(diǎn)���,并設(shè)置用于采集數(shù)據(jù)的基期和報(bào)告期;所述的數(shù)據(jù)采集模塊用于在各個(gè)數(shù)據(jù)采集點(diǎn)上做數(shù)據(jù)采集,得到包含有源IP地址、目 的IP地址����、源端口��、目的端口、協(xié)議類型�����、流開始時(shí)間����、流結(jié)束時(shí)間�、包數(shù)��、字節(jié)數(shù)�、TCP標(biāo)記 在內(nèi)的相關(guān)信息����;所述的指標(biāo)計(jì)算模塊用于統(tǒng)計(jì)和計(jì)算所述數(shù)據(jù)采集模塊中所采集的數(shù)據(jù),得到關(guān)于待 監(jiān)測網(wǎng)絡(luò)中網(wǎng)絡(luò)數(shù)據(jù)流量��、協(xié)議成分�����、IP與端口分布以及行為模式的指標(biāo);所述的指數(shù)計(jì)算模塊用于將當(dāng)前時(shí)刻計(jì)算得到的指標(biāo)與基期內(nèi)計(jì)算的相應(yīng)指標(biāo)相結(jié) 合�,計(jì)算用于表示待監(jiān)測網(wǎng)絡(luò)異常程度的網(wǎng)絡(luò)異常性指數(shù)����。
全文摘要
本發(fā)明提供一種網(wǎng)絡(luò)異常性指數(shù)定量計(jì)算方法,包括在待監(jiān)測網(wǎng)絡(luò)中選擇一定數(shù)量的路由器節(jié)點(diǎn)作為數(shù)據(jù)的采集點(diǎn)�����,并設(shè)置用于采集數(shù)據(jù)的基期和報(bào)告期���;在各個(gè)數(shù)據(jù)采集點(diǎn)上做數(shù)據(jù)采集��,得到包含有源IP地址���、目的IP地址、源端口�、目的端口���、協(xié)議類型、流開始時(shí)間、流結(jié)束時(shí)間����、包數(shù)、字節(jié)數(shù)�、TCP標(biāo)記在內(nèi)的相關(guān)信息���;統(tǒng)計(jì)和計(jì)算所采集的數(shù)據(jù)�����,得到關(guān)于待監(jiān)測網(wǎng)絡(luò)中網(wǎng)絡(luò)數(shù)據(jù)流量���、協(xié)議成分、IP與端口分布以及行為模式的指標(biāo);將當(dāng)前時(shí)刻計(jì)算得到的指標(biāo)與基期內(nèi)計(jì)算的相應(yīng)指標(biāo)相結(jié)合����,計(jì)算用于表示待監(jiān)測網(wǎng)絡(luò)異常程度的網(wǎng)絡(luò)異常性指數(shù)。本發(fā)明能夠及時(shí)有效地反映典型網(wǎng)絡(luò)安全事件對網(wǎng)絡(luò)安全態(tài)勢產(chǎn)生的影響�����。
文檔編號(hào)H04L29/06GK101808017SQ20101013566
公開日2010年8月18日 申請日期2010年3月26日 優(yōu)先權(quán)日2010年3月26日
發(fā)明者云曉春, 張永錚, 焦緒錄, 賀彥宏, 郭莉 申請人:中國科學(xué)院計(jì)算技術(shù)研究所