一种基于多级策略的自适应边界异常检测方法
【技术领域】
[0001] 本发明涉及信息网络安全领域,具体涉及一种基于多级策略的自适应边界异常检 测方法。
【背景技术】
[0002] 随着计算机、互联网、信息通信和控制等技术的飞速发展,移动应用、智能终端等 产业链的创新形成,云计算、物联网和大数据等新技术的不断涌现,网络安全威胁和安全问 题随之而来。针对网络环境各基础网络设备的脆弱点,黑客们的恶意攻击、病毒木马的肆意 泛滥,网络设备成为攻击的跳板,使得重要信息系统瘫痪,数据被窃。各类安全事件屡见不 鲜,安全现状令人堪忧,信息安全防护面临巨大挑战。根据国家互联网应急中心公布的 《2014年中国互联网网络安全报告》,国家信息安全漏洞共享平台新增漏洞数量年均增长率 在15%_25%,涉及重要行业和政府部门的高危漏洞事件增多,基础应用或通用软硬件漏洞 风险凸显。2014年我国多家知名电商、快递公司、招聘网站、考试报名网站等发生数据泄露 事件,网站数据和个人信息泄露仍呈高发态势。"匿名者"等黑客组织对我国政府部门和重 要企事业单位网站的攻击依然频繁,出现了向网站中植入钓鱼页面、针对性地实施拒绝服 务攻击、窃取网站数据等情况。
[0003] 电网信息安全是国家网络安全的重要环节,关乎国家安全和国民经济的发展。随 着智能电网的不断建设,信息内外网边界交互日益频繁,遭受攻击的可能性不断增加,恶意 攻击难以发现,安全状态无法估计,因此,对信息内外网边界进行监控和管理,发现网络边 界异常情况,追溯攻击本源,已成为急需解决的问题。
[0004] 目前网络边界异常情况基本是基于网络异常流量检测的方法,归纳起来有三类: 基于流量阈值、基于数据包特征以及基于网络带宽轮廓线的检测。基于流量大小的检测一 般采用基于阈值的检测方法,需要手动设置阈值,无法根据网络运行流量的波峰和波谷自 行调整阈值,缺乏智能化的动态更新,且只对流量进行监控;基于数据包特征的检测,找出 符合特征的数据包,这种方式需要提前知道每一种异常流量的特征,新型异常数据包特征 无法被检出;网络带宽轮廓线的检测,通过对网络运行时的数据包进行流量、端口和连接数 等情况的分析,建立正常状态下的参数基准范围或是以周期为单位构建正常运行曲线,对 于超出设定阈值或是不在正常曲线范围的行为,即判断存在异常,以此认定边界的异常行 为,此方法缺乏科学全面的告警机制,无法识别实际攻击类别。现有的边界异常检测方法主 要集中于对网络异常流的分析,其阈值基准的确定存在主观性,数据分析源和提取的特征 值比较片面,漏报率和误报率较高,不能全面、准确地对边界状态异常进行检测。
【发明内容】
[0005] 针对现有技术的不足,本发明提供一种基于多级策略的自适应边界异常检测方 法,采用层层递进的判别方式,实现对边界异常行为的检测,降低异常检测的误报率和漏报 率。
[0006] 本发明的目的是采用下述技术方案实现的:
[0007] 一种基于多级策略的自适应边界异常检测方法,其改进之处在于,包括:
[0008] (1)以正常运行状态下各时间段网络流量的峰值和谷值为采集依据,获取设备的 日志信息和网络流数据;
[0009] (2)根据所述网络流数据的报文类型,构建所述网络流数据的指标正常运行状态 下的基准线,并判断所述网络流数据是否存在异常;
[0010] (3)将存在异常的网络流数据和其对应的日志信息采用HASH算法进行存储;
[0011] (4)构建正常网络行为库和异常网络行为库,并对所述存在异常的网络流数据进 行匹配;
[0012] (5)采用BP神经网络方法对所述步骤(4)中无法匹配的网络流数据进行分析,判断 所述无法匹配的网络流数据的网络行为。
[0013] 优选的,所述步骤(1)包括:
[0014] (1-1)设置采样误差率error,并根据所述采样误差率的计算公式确定所述网络流 数据的特定数据报文数c,公式为:
[0015] error < 1.96*( l/c)1/2 (1)
[0016] (1-2)根据所述网络流数据的特定数据报文数c,调节所述网络流数据的采样频率 f,使所述采样频率f满足:
[0017] f*N>c (2)
[0018] 式(2)中,N为每秒经过的所述网络流数据的数据报文总数。
[0019] 优选的,所述步骤(2)包括:
[0020] (2-1)以所述网络流数据的报文类型为一级关键字,采用均值法构建所述网络流 数据的指标正常运行状态下的基准线,公式为:
[0022]式⑶中,^为历史时刻中第i时刻所述网络流数据的指标值,η为总历史时刻,b为 历史时刻内所述网络流数据的指标的均值;
[0023] (2-2)制定异常告警值S,公式为:
[0025] 式(4)中,71为待测时刻内第i时刻所述网络流数据的指标值,N为总待测时刻;
[0026] (2-3)当卜_13|<3时,则71不存在异常,当卜-13|>5,则 7存在异常。
[0027] 进一步的,所述网络流数据的指标值包括:源地址、目的地址、端口信息、单包字节 数、连接数和流量值。
[0028]优选的,所述步骤(3)包括:
[0029] (3-1)创建2级哈希表;
[0030] (3-2)读取网络事件中所述存在异常的网络流数据的特征值;
[0031] (3-3)调用所述哈希表的单向散列函数,输入m个类型值和所述特征值,获取索引 值Ij,je[l,m];
[0032] (3-4)根据所述网络事件对应的索引值I」,将所述网络事件存储至所述2级哈希表 中。
[0033]优选的,所述步骤(4)包括:
[0034] (4-1)基于专家知识和机器学习两者结合的方法构建所述异常网络行为库和正常 网络行为库;
[0035] (4-2)根据所述异常网络行为库和正常网络行为库,对所述存在异常的网络流数 据进行匹配,并将无法匹配的网络流数据标记为未知网络行为。
[0036]优选的,所述步骤(5)包括:
[0037] (5-1)设定神经网络权值和各神经元阈值;
[0038] (5-2)以历史网络流数据的平均流量、网络行为、病毒类型、资源消耗、时间戳为学 习样本,若网络行为为正常,则所述学习样本的期望值为1,若网络行为为异常,则所述学习 样本的期望值为〇;
[0039] (5-3)以所述步骤(4)中无法匹配的网络流数据的平均流量、网络行为、病毒类型、 资源消耗、时间戳为输入向量,输出结果经归一化处理介于(〇,1)之间,构建BP神经网络模 型;当输出结果为0.5至1时,则所述步骤(4)中无法匹配的网络流数据为正常网络行为,当 输出结果为〇至〇. 5时,则所述步骤(4)中无法匹配的网络流数据为异常网络行为;
[0040] (5-4)根据所述期望值和输出结果确定均方根误差值;
[0041] (5-5)采用附加动量和自适应学习速率结合的方法修正所述神经网络权值和各神 经元阈值。
[0042] 与最接近的现有技术相比,本发明具有的有益效果:
[0043] (1)本发明提供的一种于多级策略的自适应边界异常检测方法,采用层层递进的 判别方式,通过对基线、异常网络行为库以及神经网络模型的动态反馈更新,完善网络异常 行为的分析模型,实现对边界异常行为的检测,降低异常检测的误报率和漏报率;
[0044] (2)本发明提供的一种于多级策略的自适应边界异常检测方法,运用网络部署的 基础网络设备,无需增加额外设备;
[0045] (3)本发明提供的一种于多级策略的自适应边界异常检测方法,采用自适应反馈