程黑白名單和流量特征匹配的檢測方法的具體流程圖����;
[0036] 圖4是本發(fā)明提出的多源信息融合異常檢測方法的算法流程圖。
【具體實施方式】
[0037] 為了使本發(fā)明的目的����、技術(shù)方案及優(yōu)點更加清楚明白,W下結(jié)合附圖及實施例�,對 本發(fā)明進行進一步詳細說明。應當理解����,此處所描述的具體實施例僅僅用w解釋本發(fā)明,并 不用于限定本發(fā)明���。此外���,下面所描述的本發(fā)明各個實施方式中所設及到的技術(shù)特征只要 彼此之間未構(gòu)成沖突就可W相互組合。
[0038] 參照圖1����,首先獲取敏感主機列表��,隨后從中選擇一個敏感主機����,并向敏感主機派 送數(shù)據(jù)采集代理�����,根據(jù)圖2所示流程圖采集包括CPU利用率���、硬盤10�����、內(nèi)存利用率、網(wǎng)絡數(shù)據(jù) W及進程等相關(guān)信息�,并將運些信息每隔5秒鐘采樣一次并寫入數(shù)據(jù)庫,將流量數(shù)據(jù)信息5 秒內(nèi)的數(shù)據(jù)按照化tFlow模型匯聚為網(wǎng)絡流信息并存入數(shù)據(jù)庫����。
[0039] 隨后,派遣檢測代理到敏感主機����,首先根據(jù)進程黑白名單判斷是否存在異常進程����, 如果存在異常進程��,則判定為異常主機����。若不存在,則根據(jù)預先設定的網(wǎng)絡流規(guī)則判斷是否 存在網(wǎng)絡流量異常�,若存在,則判定為異常主機����。并將所檢測到的異常主機存入異常主機列 表,將不存在異常的主機從敏感主機列表中刪除��。其中進程黑白名單和流量異常規(guī)則均為 可添加����。基于進程黑白名單和流量特征匹配的檢測方法的具體結(jié)構(gòu)框如圖3所示�。
[0040] 接著,采取多源信息融合的思想,綜合衡量CPU利用率�、內(nèi)存利用率、硬盤10���、進程 信息W及網(wǎng)絡流量等多源信息��,進而實現(xiàn)異常檢測���。多源信息融合異常檢測方法的算法流 程如圖4所示。首先根據(jù)所采集到的信息構(gòu)建特征向量���,并采用PCA進行降維和主要特征提 取���,隨后將提取到的特征送入到訓練好的BP神經(jīng)網(wǎng)絡檢測模型,進而實現(xiàn)網(wǎng)絡異常檢測���。將 收集到的主機數(shù)據(jù)信息共包括11種屬性�����,其中CPU利用率占據(jù)一個維度、硬盤10占據(jù)兩個維 度����、內(nèi)存占用率占用一個維度�����、進程數(shù)量占據(jù)一個維度���、流量的出入數(shù)據(jù)量占用兩個維度、 進出的目的IP地址數(shù)量���、目的端口數(shù)量等個占據(jù)兩個維度�����。將其分別表示為^1��,^2-^11����?���??W用一個η X 11的矩陣來表示,其中η為記錄的條數(shù)����。用矩陣Xnxi康示�����,即:
[0041]
[0042] 其中����,XU表示第j個流量屬性在第i條樣本上的觀察值����。為提取主要屬性并降低后 續(xù)識別算法的復雜度,隨后采用目前廣泛應用的數(shù)據(jù)降維技術(shù):主成分分析方法 (Principal Component Analysis ,PCA)實現(xiàn)主要特征的提取����。將特征矩陣X的協(xié)方差矩陣 定義為
[0043]
[0044] 其4
為均值向量。
[0045] (λι,ι?ι) , (λ2,1?2),…��,(λιι,ι?ιι)是協(xié)方差矩陣的特征值和對應的特征向量對���,其中 特征值滿足λ? >λ2 >…>λιι�。通過方差貢獻率α來衡量不同特征值和特征向量在重構(gòu)原始 空間時的重要性:
[0046]
[0047] 通常選取α含80%��。滿足上式的m值對應的特征向量構(gòu)成一個特征子空間��,它繼承 了原始數(shù)據(jù)集的主要特征,而余下的11-m維特征屬性主要包含著噪聲�����。隨后�,采用Ξ成BP神 經(jīng)網(wǎng)絡識別模型��,即將通過PCA算法提取后的特征屬性曰門i = 1����,2,3)作為神經(jīng)網(wǎng)絡的輸入���, 輸出層為1個節(jié)點�����,共有4種取值����,分別對應要識別的病毒�����、端口掃描、網(wǎng)絡掃描�����、DOS等4種網(wǎng) 絡惡意應用���。若存在上述攻擊����,則判定為異常主機���,并將所檢測到的異常主機存入異常主機 列表�����,將不存在異常的主機從敏感主機列表中刪除��。
[004引根據(jù)Ξ種方法所檢測到的異常主機列表���,通知管理員對他們進行詳細的安全檢 查,在沒有實施安全檢查之前����,對列表中主機采取動態(tài)隔離的管控措施限制其網(wǎng)絡連接��。具 體策略為可W每隔60秒對該主機的網(wǎng)絡連接阻斷60秒����,在保證運些異常主機有網(wǎng)絡訪問的 同時���,也降低其對其他主機的安全威脅。
[0049]本領域的技術(shù)人員容易理解�,W上所述僅為本發(fā)明的較佳實施例而已,并不用W 限制本發(fā)明��,凡在本發(fā)明的精神和原則之內(nèi)所作的任何修改���、等同替換和改進等�����,均應包含 在本發(fā)明的保護范圍之內(nèi)�����。
【主權(quán)項】
1. 一種基于移動代理的網(wǎng)絡主機異常事件檢測方法����,其特征在于,所述方法包括如下 步驟: (1) 根據(jù)網(wǎng)絡安全監(jiān)控系統(tǒng)的報警結(jié)果�,獲得網(wǎng)絡中的敏感主機并存入敏感主機列表, 并當定時器超時后觸發(fā)更新事件�����,對敏感主機列表進行更新�����; (2) 根據(jù)敏感主機列表�,派遣數(shù)據(jù)采集移動代理到敏感主機,實現(xiàn)特征數(shù)據(jù)的采集����,所 述特征數(shù)據(jù)包括CHJ利用率、硬盤10����、主機網(wǎng)絡流量、系統(tǒng)進程���、內(nèi)存利用率�����; (3) 利用進程黑白名單���、流量特征匹配��、多源特征融合分析層次遞進的檢測方法�����,判斷 所述敏感主機列表中的目標主機是否存在異常事件; (4) 如果目標主機不存在異常事件�����,則觸發(fā)更新事件�����,刪除敏感主機列表中對應的目標 主機;如果存在異常事件����,則發(fā)送通知管理員對目標主機進行詳細檢測的指令,并根據(jù)檢查 結(jié)果更新敏感主機列表�����。2. 根據(jù)權(quán)利要求1所述的基于移動代理的網(wǎng)絡主機異常事件檢測方法,其特征在于����,在 管理員對該目標主機進行安全檢查之前,采用動態(tài)隔離的方法管理目標主機的網(wǎng)絡連接��, 降低其對網(wǎng)絡中其他主機的威脅�。3. 根據(jù)權(quán)利要求1或2所述的基于移動代理的網(wǎng)絡主機異常事件檢測方法,其特征在 于���,所述步驟(2)中采集CPU利用率具體為: 派遣CPU使用情況采集代理到敏感主機���,按預設的CPU利用率采集周期采集CPU使用情 況數(shù)據(jù),并將所采集到的CHJ使用情況數(shù)據(jù)存儲到本地數(shù)據(jù)庫�����。4. 根據(jù)權(quán)利要求1或2所述的基于移動代理的網(wǎng)絡主機異常事件檢測方法����,其特征在 于,所述步驟(2)中采集內(nèi)存利用率具體為: 派遣內(nèi)存使用情況采集代理到敏感主機���,按預設的內(nèi)存利用率采集周期采集內(nèi)存使用 情況數(shù)據(jù)�����,并將所采集到的內(nèi)存使用情況數(shù)據(jù)存儲到本地數(shù)據(jù)庫����。5. 根據(jù)權(quán)利要求1或2所述的基于移動代理的網(wǎng)絡主機異常事件檢測方法,其特征在 于�,所述步驟(2)中采集系統(tǒng)進程具體為: 派遣進程信息采集移動代理到敏感主機,按預設的進程采集周期采集主機目前存在的 進程�����,并將所采集到的進程存儲到本地數(shù)據(jù)庫���。6. 根據(jù)權(quán)利要求1或2所述的基于移動代理的網(wǎng)絡主機異常事件檢測方法,其特征在 于��,所述步驟(2)中采集網(wǎng)絡流量具體為: 派遣網(wǎng)絡流量采集移動代理到敏感主機��,按預設的網(wǎng)絡數(shù)據(jù)采集周期采集網(wǎng)絡流量數(shù) 據(jù)���,并將網(wǎng)絡流量數(shù)據(jù)按照NetFlow模型匯聚�����,形成網(wǎng)絡流數(shù)據(jù)存儲到本地數(shù)據(jù)庫����。7. 根據(jù)權(quán)利要求1或2所述的基于移動代理的網(wǎng)絡主機異常事件檢測方法,其特征在 于�,所述步驟(3)具體包括: (3.1) 根據(jù)所采集的進程信息,采用進程黑白名單匹配方法判斷是否存在非法進程���,如 果存在非法進程�,則判定該敏感主機為異常主機����,將其添加入異常主機列表;否則轉(zhuǎn)步驟 (3.2)��; (3.2) 根據(jù)所收集的網(wǎng)絡流量數(shù)據(jù)構(gòu)建NetFlow網(wǎng)絡流模型���,并根據(jù)所構(gòu)建的規(guī)則庫判 斷敏感主機是否存在異常����,若存在則判定該敏感主機為異常主機�,并將其加入異常主機列 表;否在轉(zhuǎn)步驟(3.3); (3.3) 根據(jù)所收集到的主機數(shù)據(jù)���,按照時間片構(gòu)建敏感主機數(shù)據(jù)特征向量,首先采用 PCA方法對主機數(shù)據(jù)特征向量進行降維分析�,提取其主要特征;并送入訓練好的BP三層神經(jīng) 網(wǎng)絡識別模型,根據(jù)識別結(jié)果判定敏感主機是否是異常主機����,如是則添加進異常主機列表。8. 根據(jù)權(quán)利要求7所述的基于移動代理的網(wǎng)絡主機異常事件檢測方法��,其特征在于�����,所 述步驟(3.2)中的規(guī)則庫具體為: 規(guī)則1:單位時間內(nèi)����,目的端口相同的網(wǎng)絡流數(shù)量大于20條; 規(guī)則2:單位時間內(nèi)����,目的地址相同的網(wǎng)絡流數(shù)量大于20條�����; 規(guī)則3:單位時間內(nèi),存在某網(wǎng)絡流其承載的數(shù)據(jù)包個數(shù)大于3000個���。9. 根據(jù)權(quán)利要求1或2所述的基于移動代理的網(wǎng)絡主機異常事件檢測方法�,其特征在 于����,所述步驟(4)具體為: (4.1) 根據(jù)異常檢測結(jié)果,如果敏感主機不存在異常行為�,則將其從敏感主機列表刪 除; (4.2) 根據(jù)異常檢測結(jié)果����,如果敏感主機存在異常行為,則采用動態(tài)隔離方法動態(tài)阻斷 異常主機的網(wǎng)絡訪問���,隔離策略為以預設時間為時間段間斷隔離其網(wǎng)絡接入��,直至管理員 對其進行了安全檢查��。
【專利摘要】本發(fā)明公開了一種基于移動代理的網(wǎng)絡主機異常事件檢測方法�����,根據(jù)監(jiān)控系統(tǒng)的檢測結(jié)果����,派遣主機數(shù)據(jù)采集與分析移動代理到敏感主機,執(zhí)行數(shù)據(jù)采集和安全分析任務���。首先通過移動代理采集目標主機中包括CPU利用率�、硬盤IO����、網(wǎng)絡流量、系統(tǒng)進程��、內(nèi)存利用率等主機資源信息����。采用黑白名單方法判斷是否存在非法進程,采用NetFlow模型提取流量特征并和正常模式比較判斷是否存在異常流量,采用多源信息融合方法對主機信息進行融合分析判斷是否存在異常�����。根據(jù)分析結(jié)果��,對異常主機采取動態(tài)隔離的管控策略����,降低其對其他網(wǎng)絡主機的安全威脅。本發(fā)明所提出的主機數(shù)據(jù)收集和異常行為檢測方法簡單高效��,數(shù)據(jù)采集和分析任務量較小���,可以實時在線應用����。
【IPC分類】H04L29/06
【公開號】CN105491055
【申請?zhí)枴緾N201510989171
【發(fā)明人】張劍, 童言, 吳琪
【申請人】中國船舶重工集團公司第七〇九研究所
【公開日】2016年4月13日
【申請日】2015年12月24日