[发明专利]一种服务器网络行为描述方法

说明书

技术领域

本发明涉及网络异常流量检测行为描述方法，特别是一种基于流量结构稳定性的服务器网络行为描述方法。

背景技术

服务器通常作为IT系统中的核心设备提供网络服务，因此服务器的安全防护显得尤为重要；针对服务器网络安全防护问题，根据防护手段特点可主要分为以下三类：(1)基于网络边界部署入侵检测系统、防火墙等防护设备；(2)基于服务器日志关联分析与挖掘；(3)对服务器进行流量分析。

目前，对服务器安全防护的主要手段是在网络边界部署IDS、IPS、防火墙等边界设备，对进出服务器的流量进行检测和过滤；Snort是目前最常用的一个轻量级网络入侵检测系统，通常以基于规则的方式对特定网络攻击的流量特点进行描述，当数据包或流量符合某条规则，则产生一条告警；此外也有许多基于Snort进行改进的入侵检测模型，比如将基于特征值的多模式匹配算法应用到Snort的检测引擎模块中、结合多种防护设备(如IPTABLES等)联动的入侵防御系统等。

基于日志的服务器安全检测主要通过数据挖掘、模式识别、关联分析等方法对服务器日志信息进行全方位的分析，从而检测服务器面临的攻击和潜在的威胁；比如，对服务器事件进行时间分布统计、周期模式挖掘和孤立点分析，从而用于服务器异常事件的检测；以日志分析为基础、结合关联规则与联动技术对安全事件进行检测等。

从流量分析角度检测服务器网络异常，根据流量分析方法，可主要分为基于统计分析、信号处理、数据挖掘、机器学习等网络流量异常检测；比如，基于流量自相似统计特性的异常流量检测模型；基于小波分析的网络流量异常检测方法；基于数据挖掘算法抽取流量特征并实现入侵检测；基于贝叶斯网络与时间序列分析的异常流量检测方法；基于神经网络的网络流量检测方法等。

当前入侵检测的主要做法主要都是基于误用检测的思路，针对特定的网络攻击特点，编写特定的流量检测模式，然后将采集的流量数据与已知攻击模式进行比对。其原理如图1所示，根据对已知的攻击或入侵的特征做出确定性的描述，形成相应的规则并汇总成一个特征库。检测时，将网络采集的数据与特征库中的已知攻击和入侵特征规则进行一一比对，如果发现与特征库的规则匹配，则报告为入侵，作入侵响应处理；反之则报告为正常数据，流量正常通过。

误用检测通过建立攻击样本描述每一种攻击的特殊模式来检测异常，该方法能准确检测已知的攻击或入侵，并且可提供详细的攻击类型和说明，是目前入侵检测商用产品中使用的主要方法。该检测方式与计算机病毒的检测方式类似，其查全率完全依赖于规则库的覆盖范围，一旦攻击者修改攻击特征模式来隐藏自己的行为，这种检测方法就显得无能为力，因此对新型攻击或入侵的检测效果很差，会产生较高的漏报率；出现新的攻击手段时，需要把新的规则和检测方法加入特征库，因此需要不断更新和维护特征库；此外，为了对多种攻击进行检测，系统需要维护一个庞大的攻击模式库，检测时必须与模式库中的规则一一匹配，因此系统代价较高。

当前入侵检测的主要做法都是基于误用检测的思路，针对特定的网络攻击特点，编写特定的流量检测模式，然后将采集的流量数据与已知攻击模式进行匹配；基于流量异常特征的检测方法的缺点是，必须针对每种攻击编写对应的规则才能检测出异常，然而随着网络及应用环境日趋复杂，原有策略难以检测出层出不穷的新型网络攻击，而且在不同应用场景下，对网络异常的界定更是存在许多分歧，因此基于异常特征的检测方法适应性及扩展性日益难以满足防护需求。

发明内容

本发明提供一种服务器网络行为描述方法。

本发明采用的技术方案是：一种服务器网络行为描述方法，包括以下步骤：

(1)通过数据包嗅探模块获取出入服务器的流量信息；

(2)通过流量属性抽取与计算模块将流量信息根据流量属性进行抽取，按时间窗口对各流量属性对应流量进行统计，构成历史数据；

(3)通过与历史数据实时交互的系统参数学习模块对获取的历史数据进行计算，得到基于流量结构稳定性的系统参数；

(4)根据系统参数和历史数据构建动态正常流量轮廓；

(5)根据当前流量信息，构建当前流量结构；

(6)将正常流量轮廓和当前流量结构用差异性度量的方法比较，根据差异值大小判断网络是否正常。

作为优选，所述系统参数学习模块的计算步骤如下：

A、以时间窗口为单位获取流量结构属性值，表示当前时间窗口的流量结构，得到基于时间窗口的流量结构样本；

B、剔除流量结构样本中的异常值，获得正常流量结构样本；