亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

一種服務器網絡行為描述方法

文檔序號:9352724閱讀:630來源:國知局
一種服務器網絡行為描述方法
【技術領域】
[0001] 本發(fā)明涉及網絡異常流量檢測行為描述方法,特別是一種基于流量結構穩(wěn)定性的 服務器網絡行為描述方法。
【背景技術】
[0002] 服務器通常作為IT系統(tǒng)中的核心設備提供網絡服務,因此服務器的安全防護顯 得尤為重要;針對服務器網絡安全防護問題,根據防護手段特點可主要分為以下三類:(1) 基于網絡邊界部署入侵檢測系統(tǒng)、防火墻等防護設備;(2)基于服務器日志關聯(lián)分析與挖 掘;(3)對服務器進行流量分析。
[0003] 目前,對服務器安全防護的主要手段是在網絡邊界部署IDS、IPS、防火墻等邊界 設備,對進出服務器的流量進行檢測和過濾;Snort是目前最常用的一個輕量級網絡入侵 檢測系統(tǒng),通常以基于規(guī)則的方式對特定網絡攻擊的流量特點進行描述,當數據包或流量 符合某條規(guī)則,則產生一條告警;此外也有許多基于Snort進行改進的入侵檢測模型,比如 將基于特征值的多模式匹配算法應用到Snort的檢測引擎模塊中、結合多種防護設備(如 IPTABLES等)聯(lián)動的入侵防御系統(tǒng)等。
[0004] 基于日志的服務器安全檢測主要通過數據挖掘、模式識別、關聯(lián)分析等方法對服 務器日志信息進行全方位的分析,從而檢測服務器面臨的攻擊和潛在的威脅;比如,對服務 器事件進行時間分布統(tǒng)計、周期模式挖掘和孤立點分析,從而用于服務器異常事件的檢測; 以日志分析為基礎、結合關聯(lián)規(guī)則與聯(lián)動技術對安全事件進行檢測等。
[0005] 從流量分析角度檢測服務器網絡異常,根據流量分析方法,可主要分為基于統(tǒng)計 分析、信號處理、數據挖掘、機器學習等網絡流量異常檢測;比如,基于流量自相似統(tǒng)計特性 的異常流量檢測模型;基于小波分析的網絡流量異常檢測方法;基于數據挖掘算法抽取流 量特征并實現入侵檢測;基于貝葉斯網絡與時間序列分析的異常流量檢測方法;基于神經 網絡的網絡流量檢測方法等。
[0006] 當前入侵檢測的主要做法主要都是基于誤用檢測的思路,針對特定的網絡攻擊特 點,編寫特定的流量檢測模式,然后將采集的流量數據與已知攻擊模式進行比對。其原理如 圖1所示,根據對已知的攻擊或入侵的特征做出確定性的描述,形成相應的規(guī)則并匯總成 一個特征庫。檢測時,將網絡采集的數據與特征庫中的已知攻擊和入侵特征規(guī)則進行一一 比對,如果發(fā)現與特征庫的規(guī)則匹配,則報告為入侵,作入侵響應處理;反之則報告為正常 數據,流量正常通過。
[0007] 誤用檢測通過建立攻擊樣本描述每一種攻擊的特殊模式來檢測異常,該方法能準 確檢測已知的攻擊或入侵,并且可提供詳細的攻擊類型和說明,是目前入侵檢測商用產品 中使用的主要方法。該檢測方式與計算機病毒的檢測方式類似,其查全率完全依賴于規(guī)則 庫的覆蓋范圍,一旦攻擊者修改攻擊特征模式來隱藏自己的行為,這種檢測方法就顯得無 能為力,因此對新型攻擊或入侵的檢測效果很差,會產生較高的漏報率;出現新的攻擊手段 時,需要把新的規(guī)則和檢測方法加入特征庫,因此需要不斷更新和維護特征庫;此外,為了 對多種攻擊進行檢測,系統(tǒng)需要維護一個龐大的攻擊模式庫,檢測時必須與模式庫中的規(guī) 則一一匹配,因此系統(tǒng)代價較高。
[0008] 當前入侵檢測的主要做法都是基于誤用檢測的思路,針對特定的網絡攻擊特點, 編寫特定的流量檢測模式,然后將采集的流量數據與已知攻擊模式進行匹配;基于流量異 常特征的檢測方法的缺點是,必須針對每種攻擊編寫對應的規(guī)則才能檢測出異常,然而隨 著網絡及應用環(huán)境日趨復雜,原有策略難以檢測出層出不窮的新型網絡攻擊,而且在不同 應用場景下,對網絡異常的界定更是存在許多分歧,因此基于異常特征的檢測方法適應性 及擴展性日益難以滿足防護需求。

【發(fā)明內容】

[0009] 本發(fā)明提供一種服務器網絡行為描述方法。
[0010] 本發(fā)明采用的技術方案是:一種服務器網絡行為描述方法,包括以下步驟:
[0011] (1)通過數據包嗅探模塊獲取出入服務器的流量信息;
[0012] (2)通過流量屬性抽取與計算模塊將流量信息根據流量屬性進行抽取,按時間窗 口對各流量屬性對應流量進行統(tǒng)計,構成歷史數據;
[0013] (3)通過與歷史數據實時交互的系統(tǒng)參數學習模塊對獲取的歷史數據進行計算, 得到基于流量結構穩(wěn)定性的系統(tǒng)參數;
[0014] (4)根據系統(tǒng)參數和歷史數據構建動態(tài)正常流量輪廓;
[0015] (5)根據當前流量信息,構建當前流量結構;
[0016] (6)將正常流量輪廓和當前流量結構用差異性度量的方法比較,根據差異值大小 判斷網絡是否正常。
[0017] 作為優(yōu)選,所述系統(tǒng)參數學習模塊的計算步驟如下:
[0018] A、以時間窗口為單位獲取流量結構屬性值,表示當前時間窗口的流量結構,得到 基于時間窗口的流量結構樣本;
[0019] B、剔除流量結構樣本中的異常值,獲得正常流量結構樣本;
[0020] C、根據正常流量結構樣本,分別統(tǒng)計各流量屬性的標準差0和平均值ii,計算對 應屬性的變異系數c v:
[0021]
[0022] D、計算對應屬性的穩(wěn)定系數a (n):
[0023]
[0024] E、得到基于穩(wěn)定系數的系統(tǒng)參數。
[0025] 作為優(yōu)選,所述步驟B基于格拉布斯準則對樣本進行異常值剔除。
[0026] 作為優(yōu)選,所述流量結構采用可視化的餅圖表示,每個扇形表示流量的一種屬性, 第n個屬性對應扇形的角度0 (n)計算方法如下:
[0027]
[0028] 將數據進行歸一化處理,正常流量輪廓作為基準餅圖,當前流量結構作為比較餅 圖,兩個餅圖對應扇形的面積差為偏離度的衡量值。
[0029] 本發(fā)明的有益效果是:
[0030] (1)本發(fā)明基于正常流量穩(wěn)定性,對異常流量進行檢測,對新型網絡攻擊檢測準確 度高,降低網絡攻擊的漏報率;
[0031] (2)本發(fā)明以可視化的餅圖對流量結構進行描述,結果更加直觀和可靠;
[0032] (3)本發(fā)明構建動態(tài)的流量結構,充分考慮當前流量規(guī)模及特點。
【附圖說明】
[0033] 圖1為本發(fā)明流程圖。
[0034] 圖2為本發(fā)明基本原理示意圖。
[0035] 圖3為本發(fā)明中流量結構基準示意圖。
[0036] 圖4為本發(fā)明結構流量示意圖。
[0037] 圖5為本發(fā)明差異性度量示意圖。
[0038] 圖6為本發(fā)明流量結構屬性中標志位熵的緩慢變化特性及周期性。
[0039] 圖7為本發(fā)明流量結構屬性中平均包長的緩慢變化特性及周期新。
[0040] 圖8為基于誤用檢測的技術方案原理圖。
[0041] 圖9為SYN包比例流量屬性的統(tǒng)計結果。
[0042] 圖10為IP信息熵流量屬性的統(tǒng)計結果。
[0043] 圖11為IP相關性流量屬性的統(tǒng)計結果。
[0044] 圖12為TTL流量屬性的統(tǒng)計結果。
[0045] 圖13為郵件服務器服務端口分布。
[0046] 圖14為郵件服務器協(xié)議分布。
[0047] 圖15為郵件服務器數據包長分布。
[0048] 圖16為郵件服務器數據包訪問情況分布。
【具體實施方式】
[0049] 下面結合附圖和具體實施例對本發(fā)明做進一步說明。
[0050] 一種服務器網絡行為描述方法,包括以下步驟:
[0051] (1)通過數據包嗅探模塊獲取出入服務器的流量信息;
[0052] (2)通過流量屬性抽取與計算模塊將流量信息根據流量屬性進行抽取,按時間窗 口對各流量屬性對應流量進行統(tǒng)計,構成歷史數據;
[005
當前第1頁1 2 3 
網友詢問留言 已有0條留言
  • 還沒有人留言評論。精彩留言會獲得點贊!
1