本發(fā)明涉及信息安全,尤其涉及一種基于ε機(jī)的行為異常檢測(cè)方法和系統(tǒng)。
背景技術(shù):
1、隨著互聯(lián)網(wǎng)時(shí)代的發(fā)展,內(nèi)部威脅、零日漏洞和dos攻擊等攻擊行為日益增加,網(wǎng)絡(luò)安全變得越來(lái)越重要。入侵檢測(cè)系統(tǒng)(ids)是一種積極主動(dòng)的安全防護(hù)技術(shù),通過對(duì)網(wǎng)絡(luò)進(jìn)行實(shí)時(shí)監(jiān)視,能夠有效感知網(wǎng)絡(luò)攻擊,為安全管理人員提供響應(yīng)決策。當(dāng)前,入侵檢測(cè)在軍事、醫(yī)療、交通、物聯(lián)網(wǎng)安全、工業(yè)控制系統(tǒng)等領(lǐng)域均有廣泛應(yīng)用。
2、入侵檢測(cè)系統(tǒng)是監(jiān)視和分析網(wǎng)絡(luò)通信的系統(tǒng),通過主動(dòng)響應(yīng)來(lái)識(shí)別異常行為?;诋惓5木W(wǎng)絡(luò)入侵檢測(cè)(anomaly-based?network?intrusion?detection?system,anids)是在網(wǎng)絡(luò)流量中監(jiān)測(cè)發(fā)現(xiàn)不符合預(yù)期正常行為的異常模式,當(dāng)檢測(cè)行為與正常行為偏離較大時(shí),發(fā)出告警信息。anids由于不依賴固定簽名進(jìn)行檢測(cè),能夠抵御零日攻擊和簽名混淆。然而,由于網(wǎng)絡(luò)流量的多樣性,這往往導(dǎo)致anids出現(xiàn)較高的假陽(yáng)性率。而且容積率高,很難找到正常和異常配置文件之間的邊界以進(jìn)行入侵檢測(cè)。此外,anids容易受到模仿攻擊,即攻擊者修改攻擊特征,使其與良性特征相似,缺乏對(duì)未知流量和行為的檢測(cè)能力。
3、基于此,需要一種新的解決方案。
技術(shù)實(shí)現(xiàn)思路
1、本發(fā)明的主要目的在于針對(duì)當(dāng)前網(wǎng)絡(luò)空間安全領(lǐng)域基于異常的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)對(duì)未知流量和行為的檢測(cè)能力的不足,提供一種基于ε機(jī)的行為異常檢測(cè)方法和系統(tǒng),通過融合工作流狀態(tài)機(jī)、ε機(jī)等方法,發(fā)現(xiàn)隱含的行為模式,從而能夠?qū)ο到y(tǒng)中隱含的未知流量和異常行為進(jìn)行檢測(cè),滿足網(wǎng)絡(luò)空間安全防護(hù)需要。
2、為實(shí)現(xiàn)上述目的,本發(fā)明提供一種基于ε機(jī)的行為異常檢測(cè)方法,包括:
3、基于系統(tǒng)業(yè)務(wù)行為的工作流程構(gòu)建工作流有限狀態(tài)機(jī);
4、基于檢測(cè)得到的系統(tǒng)業(yè)務(wù)操作行為數(shù)據(jù)和所述工作流有限狀態(tài)機(jī),利用因果態(tài)分割重構(gòu)算法,構(gòu)建系統(tǒng)ε機(jī);
5、通過異常度閾值,對(duì)不同序列數(shù)據(jù)得到的系統(tǒng)ε機(jī)的狀態(tài)向量進(jìn)行異常度計(jì)算,判定狀態(tài)向量對(duì)應(yīng)的隱含行為模式是否正常。
6、在本發(fā)明提供的基于ε機(jī)的行為異常檢測(cè)方法中,檢測(cè)系統(tǒng)業(yè)務(wù)操作行為產(chǎn)生的時(shí)間序列數(shù)據(jù);
7、基于所述工作流有限狀態(tài)機(jī),對(duì)所述時(shí)間序列數(shù)據(jù)利用小波空間法進(jìn)行時(shí)間序列符號(hào)化,得到符號(hào)化序列;
8、將所述符號(hào)化序列等分成多個(gè)等長(zhǎng)子序列,對(duì)每個(gè)子序列進(jìn)行kolmogorov-smirnov檢驗(yàn),采用因果態(tài)分割重構(gòu)算法重構(gòu)每個(gè)序列的ε機(jī),并得到表達(dá)系統(tǒng)隱含模式的因果態(tài)集。
9、在本發(fā)明提供的基于ε機(jī)的行為異常檢測(cè)方法中,通過異常度閾值,對(duì)不同序列數(shù)據(jù)得到的系統(tǒng)ε機(jī)的狀態(tài)向量進(jìn)行異常度計(jì)算,判定狀態(tài)向量對(duì)應(yīng)的隱含行為模式是否正常的步驟包括:
10、提取每個(gè)因果態(tài)集的特征向量;
11、計(jì)算不同特征向量之間的異常度,在計(jì)算得到的異常度大于所述異常度閾值,則判定所述特征向量對(duì)應(yīng)的隱含行為模式存在異常。
12、在本發(fā)明提供的基于ε機(jī)的行為異常檢測(cè)方法中,通過計(jì)算特征向量之間的歐式距離和夾角來(lái)得到不同特征向量之間的異常度。
13、此外,為實(shí)現(xiàn)上述目的,本發(fā)明還提供一種基于ε機(jī)的行為異常檢測(cè)系統(tǒng),包括:
14、工作流有限狀態(tài)機(jī)構(gòu)建模塊,用于基于系統(tǒng)業(yè)務(wù)行為的工作流程構(gòu)建工作流有限狀態(tài)機(jī);
15、系統(tǒng)ε機(jī)構(gòu)建模塊,用于基于檢測(cè)得到的系統(tǒng)業(yè)務(wù)操作行為數(shù)據(jù)和所述工作流有限狀態(tài)機(jī),利用因果態(tài)分割重構(gòu)算法,構(gòu)建系統(tǒng)ε機(jī);
16、行為異常檢測(cè)模塊,用于通過異常度閾值,對(duì)不同序列數(shù)據(jù)得到的系統(tǒng)ε機(jī)的狀態(tài)向量進(jìn)行異常度計(jì)算,判定狀態(tài)向量對(duì)應(yīng)的隱含行為模式是否正常。
17、在本發(fā)明提供的基于ε機(jī)的行為異常檢測(cè)系統(tǒng)中,所述系統(tǒng)ε機(jī)構(gòu)建模塊包括:
18、數(shù)據(jù)獲取單元,用于檢測(cè)系統(tǒng)業(yè)務(wù)操作行為產(chǎn)生的時(shí)間序列數(shù)據(jù);
19、符號(hào)化處理單元,用于基于所述工作流有限狀態(tài)機(jī),對(duì)所述時(shí)間序列數(shù)據(jù)利用小波空間法進(jìn)行時(shí)間序列符號(hào)化,得到符號(hào)化序列,并將所述符號(hào)化序列等分成多個(gè)等長(zhǎng)子序列;
20、ε機(jī)重構(gòu)單元,用于對(duì)每個(gè)子序列進(jìn)行kolmogorov-smirnov檢驗(yàn),采用因果態(tài)分割重構(gòu)算法重構(gòu)每個(gè)序列的ε機(jī),并得到表達(dá)系統(tǒng)隱含模式的因果態(tài)集。
21、在本發(fā)明提供的基于ε機(jī)的行為異常檢測(cè)系統(tǒng)中,所述行為異常檢測(cè)模塊包括:
22、特征提取單元,用于提取每個(gè)因果態(tài)集的特征向量;
23、判斷單元,用于計(jì)算不同特征向量之間的異常度,在計(jì)算得到的異常度大于所述異常度閾值,則判定所述特征向量對(duì)應(yīng)的隱含行為模式存在異常。
24、在本發(fā)明提供的基于ε機(jī)的行為異常檢測(cè)系統(tǒng)中,通過計(jì)算特征向量之間的歐式距離和夾角來(lái)得到不同特征向量之間的異常度。
25、本發(fā)明還提供一種基于ε機(jī)的行為異常檢測(cè)裝置,包括處理器和存儲(chǔ)器,所述存儲(chǔ)器存儲(chǔ)有計(jì)算機(jī)程序,所述計(jì)算機(jī)程序被處理器執(zhí)行時(shí)實(shí)現(xiàn)如上所述的基于ε機(jī)的行為異常檢測(cè)方法的步驟。
26、本發(fā)明提供的基于ε機(jī)的行為異常檢測(cè)系統(tǒng)和方法具有以下有益效果:本發(fā)明基于系統(tǒng)業(yè)務(wù)行為的工作流程步驟構(gòu)建相應(yīng)工作流有限狀態(tài)機(jī),通過行為的有限狀態(tài)數(shù)據(jù)的檢測(cè)以及因果態(tài)分割重構(gòu)算法,構(gòu)建相應(yīng)的隱含模式發(fā)現(xiàn)ε機(jī),通過ε機(jī)對(duì)未知行為的隱含異常模式進(jìn)行檢測(cè),具有檢測(cè)精度高的特點(diǎn)以及動(dòng)態(tài)檢測(cè)能力。
1.一種基于ε機(jī)的行為異常檢測(cè)方法,其特征在于,包括以下步驟:
2.如權(quán)利要求1所述的基于ε機(jī)的行為異常檢測(cè)方法,其特征在于,基于檢測(cè)得到的業(yè)務(wù)工作流狀態(tài)數(shù)據(jù)和所述工作流有限狀態(tài)機(jī),利用因果態(tài)分割重構(gòu)算法,構(gòu)建系統(tǒng)ε機(jī)的步驟包括:
3.如權(quán)利要求2所述的基于ε機(jī)的行為異常檢測(cè)方法,其特征在于,通過異常度閾值,對(duì)不同序列數(shù)據(jù)得到的系統(tǒng)ε機(jī)的狀態(tài)向量進(jìn)行異常度計(jì)算,判定狀態(tài)向量對(duì)應(yīng)的隱含行為模式是否正常的步驟包括:
4.如權(quán)利要求3所述的基于ε機(jī)的行為異常檢測(cè)方法,其特征在于,通過計(jì)算特征向量之間的歐式距離和夾角來(lái)得到不同特征向量之間的異常度。
5.一種基于ε機(jī)的行為異常檢測(cè)系統(tǒng),其特征在于,包括以下步驟:
6.如權(quán)利要求5所述的基于ε機(jī)的行為異常檢測(cè)系統(tǒng),其特征在于,所述系統(tǒng)ε機(jī)構(gòu)建模塊包括包括:
7.如權(quán)利要求6所述的基于ε機(jī)的行為異常檢測(cè)系統(tǒng),其特征在于,所述行為異常檢測(cè)模塊包括:
8.如權(quán)利要求7所述的基于ε機(jī)的行為異常檢測(cè)系統(tǒng),其特征在于,通過計(jì)算特征向量之間的歐式距離和夾角來(lái)得到不同特征向量之間的異常度。
9.一種基于ε機(jī)的行為異常檢測(cè)裝置,其特征在于,包括處理器和存儲(chǔ)器,所述存儲(chǔ)器存儲(chǔ)有計(jì)算機(jī)程序,所述計(jì)算機(jī)程序被處理器執(zhí)行時(shí)實(shí)現(xiàn)如權(quán)利要求1至4中任一項(xiàng)的基于ε機(jī)的行為異常檢測(cè)方法的步驟。