一種基于移動(dòng)代理的網(wǎng)絡(luò)主機(jī)異常事件檢測(cè)方法
【技術(shù)領(lǐng)域】
[0001 ]本發(fā)明屬于互聯(lián)網(wǎng)主機(jī)系統(tǒng)安全技術(shù)領(lǐng)域���,更具體地,設(shè)及一種基于移動(dòng)代理的 網(wǎng)絡(luò)主機(jī)信息采集與異常事件檢測(cè)方法����。
【背景技術(shù)】
[0002] 隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展,網(wǎng)絡(luò)的管理問題愈加嚴(yán)重���。當(dāng)前局域網(wǎng)面臨著系統(tǒng)架構(gòu) 不合理�、內(nèi)網(wǎng)軟硬件資源管理不透明�����、內(nèi)網(wǎng)服務(wù)器壓力過大��、病毒木馬的肆虐傳播等諸多問 題����,運(yùn)些也是網(wǎng)絡(luò)管理過程中急需解決的問題。而對(duì)網(wǎng)絡(luò)中的主機(jī)系統(tǒng)進(jìn)行安全檢測(cè)是解 決運(yùn)些問題的第一步�。當(dāng)前的網(wǎng)絡(luò)主機(jī)系統(tǒng)安全檢測(cè)方法包括基于主機(jī)的入侵檢測(cè)和基于 行為的安全檢測(cè)兩種方法,基于主機(jī)的入侵檢測(cè)根據(jù)主機(jī)系統(tǒng)的系統(tǒng)日志和審計(jì)記錄來進(jìn) 行檢測(cè)分析����,通常在要受保護(hù)的主機(jī)上有專口的檢測(cè)代理��,通過對(duì)系統(tǒng)日志和審計(jì)記錄不 間斷地監(jiān)視和分析來發(fā)現(xiàn)攻擊�����?�;谛袨榈陌踩珯z測(cè)根據(jù)使用者的行為或資源使用狀況來 判斷是否存在入侵����。將攻擊視為不同于正常的行為���,通過識(shí)別任何違反正常的行為檢測(cè)入 侵。W上兩種方法都需要對(duì)網(wǎng)絡(luò)中的主機(jī)信息進(jìn)行收集����,包括CPU運(yùn)行狀態(tài)、10狀態(tài)����、內(nèi)存占 用、網(wǎng)絡(luò)帶寬等���,且運(yùn)些信息的準(zhǔn)確采集對(duì)檢測(cè)結(jié)果的準(zhǔn)確性具有重要影響�。
[0003] 現(xiàn)今幾乎所有的網(wǎng)絡(luò)設(shè)備都提供了 SNMP或WMI的模塊供管理員監(jiān)測(cè)數(shù)據(jù)���,管理范 圍廣而且簡(jiǎn)單易于實(shí)現(xiàn)����,所W為多數(shù)網(wǎng)絡(luò)管理系統(tǒng)所廣泛采用���。主流應(yīng)用為基于SNMP和WMI 的信息采集方式���,管理端向被管端的SNMP或WMI代理發(fā)出采集命令�,通過輪詢的方式來進(jìn)行 信息獲取���,而運(yùn)種方式無法獲取較細(xì)粒度的主機(jī)信息,也不適用于需要實(shí)時(shí)監(jiān)測(cè)的應(yīng)用場(chǎng) 景��。而分布式的主機(jī)采集需要在每個(gè)主機(jī)節(jié)點(diǎn)上部署數(shù)據(jù)采集代理�,并將運(yùn)些數(shù)據(jù)發(fā)送給 數(shù)據(jù)分析服務(wù)器進(jìn)行異常判斷。運(yùn)種架構(gòu)往往具有單點(diǎn)脆弱性�,一旦中央數(shù)據(jù)處理器出現(xiàn) 故障,則系統(tǒng)將無法正常運(yùn)行;此外���,運(yùn)一架構(gòu)的主機(jī)入侵檢測(cè)系統(tǒng)的所需要傳輸?shù)臄?shù)據(jù)量 大�����,易導(dǎo)致網(wǎng)絡(luò)通信過載;最后���,由于數(shù)據(jù)分析和檢測(cè)均有中央服務(wù)器執(zhí)行,因此運(yùn)種架構(gòu) 的安全控制策略實(shí)施的實(shí)時(shí)性也比較差��。隨著網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大和對(duì)服務(wù)質(zhì)量要求的提 高�,集中式系統(tǒng)具有效率低���,擴(kuò)展性差的缺點(diǎn),中央服務(wù)器極易成為系統(tǒng)瓶頸�����,嚴(yán)重影響安 全監(jiān)控和分析系統(tǒng)的效率�����。特別在網(wǎng)絡(luò)帶寬有限的情況下����,運(yùn)種分布式的檢測(cè)系統(tǒng)需要傳 輸大量的數(shù)據(jù)到中央服務(wù)器,會(huì)加重網(wǎng)絡(luò)傳輸負(fù)荷�,產(chǎn)生網(wǎng)絡(luò)擁塞,影響整個(gè)網(wǎng)絡(luò)的正常運(yùn) 行���。
[0004] 綜上所述�����,現(xiàn)存的網(wǎng)絡(luò)主機(jī)信息采集與異常事件檢測(cè)方法具有實(shí)時(shí)性差�����、單點(diǎn)脆 弱性明顯�����、效率低下等缺點(diǎn)�。而隨著當(dāng)前互聯(lián)網(wǎng)規(guī)模的不斷擴(kuò)大,運(yùn)些缺陷將越來越明顯�。 因此�,亟需一種能夠適用于大規(guī)模網(wǎng)絡(luò)、輕量級(jí)且高效的主機(jī)異常事件檢測(cè)方法����。
【發(fā)明內(nèi)容】
[0005] 本發(fā)明的目的在于解決現(xiàn)有主機(jī)數(shù)據(jù)采集與分析系統(tǒng)效率和可維護(hù)性較低并且 不能根據(jù)檢測(cè)結(jié)果實(shí)現(xiàn)主機(jī)管理的問題,提供一種新的基于移動(dòng)代理的主機(jī)異常事件檢測(cè) 方法��。
[0006] 移動(dòng)代理作為一種新興的計(jì)算機(jī)架構(gòu)體系�����,所具有的智能性���、協(xié)作性��、跨平臺(tái)性等 特征使其在大規(guī)模����、分布式、跨平臺(tái)的應(yīng)用中具有巨大優(yōu)勢(shì)�。利用移動(dòng)代理所具有的運(yùn)些優(yōu) 異特性,結(jié)合入侵檢測(cè)系統(tǒng)的特點(diǎn)�����,非常容易構(gòu)造基于移動(dòng)代理的分布式入侵檢測(cè)系統(tǒng)�。運(yùn) 是因?yàn)椋悄苄允谴淼母咎匦?��,盡管移動(dòng)代理不能直接改進(jìn)檢測(cè)技術(shù)�����,但是可W改變技 術(shù)的應(yīng)用形式���,它可W自主地決定是要遷移到別處,還是留在本地主機(jī)�,從而提高了入侵檢 測(cè)系統(tǒng)的效率和有效性。移動(dòng)代理技術(shù)的發(fā)展和應(yīng)用為克服目前入侵防御系統(tǒng)本質(zhì)上的缺 陷提供了可能性��。通過把移動(dòng)代理技術(shù)應(yīng)用于入侵檢測(cè)機(jī)制,可實(shí)現(xiàn)哪里有入侵哪里就有 檢測(cè)的系統(tǒng)架構(gòu)模型���,不僅能實(shí)現(xiàn)全網(wǎng)絡(luò)范圍內(nèi)的入侵檢測(cè)功能��,具有良好的可移植性而 且對(duì)網(wǎng)絡(luò)系統(tǒng)和主機(jī)的資源占用也比較低���,減少了出現(xiàn)網(wǎng)絡(luò)瓶頸的可能性。運(yùn)種分布式的 檢測(cè)系統(tǒng)把相當(dāng)大的工作量移交給客戶端軟件或代理服務(wù)器���,共同協(xié)調(diào)完成管理工作�。減 輕了中央服務(wù)器的工作負(fù)擔(dān)����,提高了系統(tǒng)的實(shí)時(shí)性和工作效率�。
[0007] 本發(fā)明提出的一種基于移動(dòng)代理的網(wǎng)絡(luò)主機(jī)異常事件檢測(cè)方法包括如下步驟:
[0008] (1)根據(jù)網(wǎng)絡(luò)安全監(jiān)控系統(tǒng)的報(bào)警結(jié)果,獲得網(wǎng)絡(luò)中的敏感主機(jī)并存入敏感主機(jī) 列表���,并當(dāng)定時(shí)器超時(shí)后觸發(fā)更新事件�����,對(duì)敏感主機(jī)列表進(jìn)行更新�;
[0009] (2)根據(jù)敏感主機(jī)列表,派遣數(shù)據(jù)采集移動(dòng)代理到敏感主機(jī)�����,實(shí)現(xiàn)特征數(shù)據(jù)的采 集��,所述特征數(shù)據(jù)包括CPU利用率���、硬盤10��、網(wǎng)絡(luò)流量���、系統(tǒng)進(jìn)程、內(nèi)存利用率����;
[0010] (3)利用進(jìn)程黑白名單、流量特征匹配���、多源特征融合分析層次遞進(jìn)的檢測(cè)方法��, 判斷所述敏感主機(jī)列表中的目標(biāo)主機(jī)是否存在異常事件����;
[0011] (4)如果目標(biāo)主機(jī)不存在異常事件,則觸發(fā)更新事件���,刪除敏感主機(jī)列表中對(duì)應(yīng)的 目標(biāo)主機(jī);如果存在異常事件����,則發(fā)送通知管理員對(duì)目標(biāo)主機(jī)進(jìn)行詳細(xì)檢測(cè)的指令�����,并根據(jù) 檢查結(jié)果更新敏感主機(jī)列表�。
[0012] 本發(fā)明的一個(gè)實(shí)施例中,在管理員對(duì)該目標(biāo)主機(jī)進(jìn)行安全檢查之前����,采用動(dòng)態(tài)隔 離的方法管理目標(biāo)主機(jī)的網(wǎng)絡(luò)連接。
[0013] 本發(fā)明的一個(gè)實(shí)施例中��,所述步驟(2)中采集CPU利用率具體為:派遣CPU使用情況 采集代理到敏感主機(jī)�,按預(yù)設(shè)的CPU利用率采集周期采集CPU使用情況數(shù)據(jù)�����,并將所采集到 的CPU使用情況數(shù)據(jù)存儲(chǔ)到本地?cái)?shù)據(jù)庫(kù)���。
[0014] 本發(fā)明的一個(gè)實(shí)施例中��,所述步驟(2)中采集內(nèi)存利用率具體為:派遣內(nèi)存使用情 況采集代理到敏感主機(jī)����,按預(yù)設(shè)的內(nèi)存利用率采集周期采集內(nèi)存使用情況數(shù)據(jù),并將所采 集到的內(nèi)存使用情況數(shù)據(jù)存儲(chǔ)到本地?cái)?shù)據(jù)庫(kù)�����。
[0015] 本發(fā)明的一個(gè)實(shí)施例中�����,所述步驟(2)中采集系統(tǒng)進(jìn)程具體為:派遣進(jìn)程信息采集 移動(dòng)代理到敏感主機(jī)�,按預(yù)設(shè)的進(jìn)程采集周期采集主機(jī)目前存在的進(jìn)程,并將所采集到的 進(jìn)程存儲(chǔ)到本地?cái)?shù)據(jù)庫(kù)��。
[0016] 本發(fā)明的一個(gè)實(shí)施例中�,所述步驟(2)中采集網(wǎng)絡(luò)流量具體為:派遣網(wǎng)絡(luò)流量采集 移動(dòng)代理到敏感主機(jī),按預(yù)設(shè)的網(wǎng)絡(luò)數(shù)據(jù)采集周期采集網(wǎng)絡(luò)流量數(shù)據(jù)��,并將網(wǎng)絡(luò)流量數(shù)據(jù) 按照化tFlow模型匯聚�,形成網(wǎng)絡(luò)流數(shù)據(jù)存儲(chǔ)到本地?cái)?shù)據(jù)庫(kù)。
[0017] 本發(fā)明的一個(gè)實(shí)施例中���,所述步驟(3)具體包括:
[0018] (3.1)根據(jù)所采集的進(jìn)程信息�����,采用進(jìn)程黑白名單匹配方法判斷是否存在非法進(jìn) 程�,如果存在非法進(jìn)程,則判定該敏感主機(jī)為異常主機(jī)���,將其添加入異常主機(jī)列表;否則轉(zhuǎn) 步驟(3.2);
[0019] (3.2)根據(jù)所收集的網(wǎng)絡(luò)流量數(shù)據(jù)構(gòu)建化tFlow網(wǎng)絡(luò)流模型��,并根據(jù)所構(gòu)建的規(guī)則 庫(kù)判斷敏感主機(jī)是否存在異常���,若存在則判定該敏感主機(jī)為異常主機(jī),并將其加入異常主 機(jī)列表;否在轉(zhuǎn)步驟(3.3);
[0020] (3.3)根據(jù)所收集到的主機(jī)數(shù)據(jù)����,按照時(shí)間片構(gòu)建敏感主機(jī)數(shù)據(jù)特征向量,首先采 用PCA方法對(duì)主機(jī)數(shù)據(jù)特征向量進(jìn)行降維分析����,提取其主要特征;并送入訓(xùn)練好的ΒΡΞ層神 經(jīng)網(wǎng)絡(luò)識(shí)別模型,根據(jù)識(shí)別結(jié)果判定敏感主機(jī)是否是異常主機(jī)���,如是則添加進(jìn)異常主機(jī)列 表����。
[0021] 本發(fā)明的一個(gè)實(shí)施例中���,所述步驟(3.2)中的規(guī)則庫(kù)具體為:
[0022] 規(guī)則1:單位時(shí)間內(nèi)���,目的端口相同的網(wǎng)絡(luò)流數(shù)量大于20條;
[0023] 規(guī)則2:單位時(shí)間內(nèi)��,目的地址相同的網(wǎng)絡(luò)流數(shù)量大于20條���;
[0024] 規(guī)則3:單位時(shí)間內(nèi)�,存在某網(wǎng)絡(luò)流其承載的數(shù)據(jù)包個(gè)數(shù)大于3000個(gè)���。
[0025] 本發(fā)明的一個(gè)實(shí)施例中�,所述步驟(4)具體為:
[0026] (4.1)根據(jù)異常檢測(cè)結(jié)果�,如果敏感主機(jī)不存在異常行為,則將其從敏感主機(jī)列表 刪除���;
[0027] (4.2)根據(jù)異常檢測(cè)結(jié)果�����,如果敏感主機(jī)存在異常行為�����,則采用動(dòng)態(tài)隔離方法動(dòng)態(tài) 阻斷異常主機(jī)的網(wǎng)絡(luò)訪問�,隔離策略為W預(yù)設(shè)時(shí)間為時(shí)間段間斷隔離其網(wǎng)絡(luò)接入,直至管 理員對(duì)其進(jìn)行了全面的安全檢查�。
[0028] 本發(fā)明所提出的基于移動(dòng)代理的網(wǎng)絡(luò)主機(jī)異常檢測(cè)方法,具有W下有益效果:
[0029] 1����、根據(jù)網(wǎng)絡(luò)安全監(jiān)控系統(tǒng)的檢測(cè)結(jié)果,構(gòu)建敏感主機(jī)列表����,僅僅向列表中的主機(jī) 派遣數(shù)據(jù)采集代理和數(shù)據(jù)分析代理。相對(duì)于傳統(tǒng)的主機(jī)數(shù)據(jù)收集方法�����,大大的降低了數(shù)據(jù) 采集的工作量�,可W實(shí)現(xiàn)實(shí)時(shí)在線應(yīng)用;
[0030] 2���、首先采用進(jìn)程黑白名單匹配和網(wǎng)絡(luò)流量特征匹配方法判斷主機(jī)是否存在異常 事件�����,判斷方法簡(jiǎn)單易于實(shí)施����,并且匹配規(guī)則可W根據(jù)管理員需求進(jìn)行實(shí)時(shí)更新�,降低了計(jì) 算量也節(jié)省了時(shí)間和系統(tǒng)開銷.
[0031] 3、多源信息融合的特征檢測(cè)方法中����,首先采用PCA進(jìn)行了數(shù)據(jù)將維和主要特征提 取,運(yùn)大大降低了后面神經(jīng)網(wǎng)絡(luò)的識(shí)別計(jì)算方法的復(fù)雜度�����,可W達(dá)到實(shí)時(shí)檢測(cè)的效果��;
[0032] 4�����、根據(jù)異常檢測(cè)結(jié)果�,對(duì)不同主機(jī)采取不同的管理策略。對(duì)于存在異常事件的主 機(jī),在管理員對(duì)其實(shí)施詳細(xì)的安全檢查W前�����,采用動(dòng)態(tài)隔離思想間斷隔離其網(wǎng)絡(luò)訪問�����,降低 對(duì)網(wǎng)絡(luò)中其他主機(jī)的危害的同時(shí)�����,也盡量的不影響主機(jī)正常的網(wǎng)絡(luò)通信����。對(duì)于不確定是否 存在異常事件的敏感主機(jī),將其從敏感主機(jī)列表刪除�。
【附圖說明】
[0033] 圖1是本發(fā)明基于移動(dòng)代理的網(wǎng)絡(luò)主機(jī)異常事件檢測(cè)方法的流程示意圖;
[0034] 圖2是圖1中基于移動(dòng)代理的數(shù)據(jù)采集具體流程圖���;
[0035] 圖3是圖1中基于進(jìn)