本发明涉及网络安全硬件的环境监测技术领域,尤其涉及一种网络安全硬件系统运行环境威胁感知方法。
背景技术:
随着互联网技术的高速发展,网络结构日趋复杂,网络环境交叉渗透,网络攻击纷繁多样。层出不穷的网络安全事件给社会带来巨大的经济损失和严重的社会影响。为应对目前网络中越来越多的威胁,当前市场上出现了入侵检测系统、入侵防御系统、杀毒软件、防火墙等多样化的网络安全产品,但是这些产品具有以下局限性:无法满足高速网络的发展:面对较大实时的网络数据,很难满足精准检测的要求,而满足精确检测要求的产品效率较低或需要消耗大量的系统资源。
目前国内网络威胁监测分析技术主要侧重病毒监测防护及威胁监测防护方面,通过使用一主一备的网络设备工作模式或用户终端设备加软硬件保护的方式,将病毒扫描、威胁检测及网络检测功能集中,这类产品对少量设备监测还可以应付,但对于大流量、大容量数据环境下,便会出现误差或产生不可靠的情况。
为此,本发明提出一种网络安全硬件系统运行环境威胁感知方法。
技术实现要素:
本发明的目的是为了解决现有技术中存在的缺点,而提出的一种网络安全硬件系统运行环境威胁感知方法。
为了实现上述目的,本发明采用了如下技术方案:
一种网络安全硬件系统运行环境威胁感知方法,包括以下步骤,
s1,首先将该网络安全硬件系统与第三方网络设备系统进行连接;
s2,接收来自该第三方网络设备系统的信息流netflow数据;
s3,对获得的所述netflow数据进行流量过滤、流量聚合和特征提取;
s4,对经过所述流量过滤、所述流量聚合和所述特征提取操作后的所述netflow数据使用gbrt提升树算法和adaboost算法进行威胁检测;
当检测结果异常时,获取异常时间片和异常信息流检测结果;
对检测到的异常信息流检测结果进行统计分析,自动获得攻击类型;
s5,显示统计分析结果以及该异常信息流检测结果。
优选的,接收来自该第三方网络设备系统的信息流netflow数据,包括:对于支持发送netflow的该第三方网络设备系统,以用户数据包协议udp包的方式接收所述第三方网络设备系统发送的所述netflow数据。
优选的,对获得的所述netflow数据进行流量过滤,包括:为采集的所述netflow数据以源ip、目的ip、源端口、目的端口、应用协议的组合为会话特征创建一个会话,并为创建的每一个所述会话分配一个会话身份标记id,在内存中创建以所述会话id为主键的哈希表。
优选的,所述对所述netflow数据进行特征提取,包括:对获得的所述netflow数据进行分析,获得单个会话连接的源ip、目的ip、源端口、目的端口、协议、持续时间、包字节数、总字节数。
优选的,获得单个会话连接的源ip、目的ip包括:提取过去一段时间内连接同一个源ip的目的ip数和过去一段时间内连接同一个目的ip的源ip数,以及同一个源ip和同一个目的ip之间的连接数。
优选的,所述方法还包括:当来自该第三方网络设备系统的信息流异常时,发出报警信息;其中,对经过所述流量过滤、所述流量聚合和所述特征提取操作后的所述netflow数据使用gbrt提升树算法和adaboost算法进行威胁检测,包括:实时捕获来自该第三方网络设备系统的网络流量数据包,将一定时间片长度内捕获到的数据包以该时间片命名;对该时间片进行概要信息的记录;根据概要信息提取时间片网络流数据特征,形成特征文件;利用gbrt提升树算法对特征文件进行检测,得到异常时间片;基于包的异常时间片和相邻时间片,对异常时间片结合相邻时间片进行流重组;判断是否能提取出该异常时间片的流;如果能够提取出该异常时间片的流,进行该异常时间片的流特征提取和流特征选择,形成流特征文件。
优选的,对经过所述流量过滤、所述流量聚合和所述特征提取操作后的所述netflow数据使用gbrt提升树算法和adaboost算法进行威胁检测,还包括:如果不能够提取出该异常时间片的流,重新进行流重组;利用adaboost算法对流特征文件进行异常检测;将检测结果融合得到异常流数据检测结果。
优选的,所述异常流数据检测结果包括:攻击类型、攻击源、攻击目标和攻击发生的时间。
本发明提出的一种网络安全硬件系统运行环境威胁感知方法,通过信息流捕获技术能够精准捕获网络中数据流量,减少资源消耗;基于异常时间片和信息流的多粒度异常检测能够精准检测网络威胁;通过威胁分析能自动分析提取攻击类型;对网络威胁能够及时做出预警。
具体实施方式
下面将对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。
实施例一
本发明提出的一种网络安全硬件系统运行环境威胁感知方法,包括以下步骤,
s1,首先将该网络安全硬件系统与第三方网络设备系统进行连接;
s2,接收来自该第三方网络设备系统的信息流netflow数据;
s3,对获得的netflow数据进行流量过滤、流量聚合和特征提取;
s4,对经过流量过滤、流量聚合和特征提取操作后的netflow数据使用gbrt提升树算法和adaboost算法进行威胁检测;
当检测结果异常时,获取异常时间片和异常信息流检测结果;
对检测到的异常信息流检测结果进行统计分析,自动获得攻击类型;
s5,显示统计分析结果以及该异常信息流检测结果。
本发明中,接收来自该第三方网络设备系统的信息流netflow数据,包括:对于支持发送netflow的该第三方网络设备系统,以用户数据包协议udp包的方式接收第三方网络设备系统发送的netflow数据,对获得的netflow数据进行流量过滤,包括:为采集的netflow数据以源ip、目的ip、源端口、目的端口、应用协议的组合为会话特征创建一个会话,并为创建的每一个会话分配一个会话身份标记id,在内存中创建以会话id为主键的哈希表,对netflow数据进行特征提取,包括:对获得的netflow数据进行分析,获得单个会话连接的源ip、目的ip、源端口、目的端口、协议、持续时间、包字节数、总字节数,获得单个会话连接的源ip、目的ip包括:提取过去一段时间内连接同一个源ip的目的ip数和过去一段时间内连接同一个目的ip的源ip数,以及同一个源ip和同一个目的ip之间的连接数。
实施例二
方法还包括:当来自该第三方网络设备系统的信息流异常时,发出报警信息;其中,对经过流量过滤、流量聚合和特征提取操作后的netflow数据使用gbrt提升树算法和adaboost算法进行威胁检测,包括:实时捕获来自该第三方网络设备系统的网络流量数据包,将一定时间片长度内捕获到的数据包以该时间片命名;对该时间片进行概要信息的记录;根据概要信息提取时间片网络流数据特征,形成特征文件;利用gbrt提升树算法对特征文件进行检测,得到异常时间片;基于包的异常时间片和相邻时间片,对异常时间片结合相邻时间片进行流重组;判断是否能提取出该异常时间片的流;如果能够提取出该异常时间片的流,进行该异常时间片的流特征提取和流特征选择,形成流特征文件,对经过流量过滤、流量聚合和特征提取操作后的netflow数据使用gbrt提升树算法和adaboost算法进行威胁检测,还包括:如果不能够提取出该异常时间片的流,重新进行流重组;利用adaboost算法对流特征文件进行异常检测;将检测结果融合得到异常流数据检测结果,异常流数据检测结果包括:攻击类型、攻击源、攻击目标和攻击发生的时间。
本发明提出的一种网络安全硬件系统运行环境威胁感知方法,通过信息流捕获技术能够精准捕获网络中数据流量,减少资源消耗;基于异常时间片和信息流的多粒度异常检测能够精准检测网络威胁;通过威胁分析能自动分析提取攻击类型;对网络威胁能够及时做出预警。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,根据本发明的技术方案及其发明构思加以等同替换或改变,都应涵盖在本发明的保护范围之内。