[发明专利]一种基于流量白名单的异常流量检测方法

说明书

本发明公开了一种基于流量白名单的异常流量检测方法，具体包括以下步骤：S1：模拟测试期间：S1‑1：新建任务模板，定义合规通信规则集合，S1‑2：监听模拟测试期间网络流量，建立流量白名单，S2：基于模拟测试期间建立的流量白名单，在网络实际运行过程中，捕获网络数据包，从数据包中分析提取出网络八元组信息，对实时捕获的每一条网络流量进行比较判断，发现实际网络流量中隐存的异常流量；可以判定网络会话是正常的，还是来自于异常的网络行为。

技术领域

本发明涉及一种检测方法，具体是一种基于流量白名单的异常流量检测方法。

背景技术

当前，针对网络面临的安全威胁，包括病毒、木马、垃圾邮件等，常用的防护方法包括黑名单技术、白名单技术和行为检测技术等。

行为检测技术是通过检查代码的特征和规律来评估代码的风险，签名和基于异常行为的安全机制也属于行为安全技术的一种。根据其行为模式被认为可能构成威胁的某些文件和程序将被阻止。对于那些没有被归类为“好”或“坏”的程序或者文件，则可以采用行为安全技术，该技术是发现新威胁(在发生攻击之前)的有效但不完美的方法。

黑名单是一种防止已知恶意程序运行或者防止已知垃圾邮件发送者和其他不受欢迎的发件人向用户发送邮件的简单有效的方法，更新黑名单可以通过更新服务器来快速实现，大多数防病毒程序使用的就是黑名单技术来阻止已知威胁，垃圾邮件过滤器往往需要依赖于黑名单技术。黑名单技术只在某些应用中能够发挥良好作用，并且要确保黑名单内容的准确性和完整性。

白名单技术的宗旨是不阻止某些特定的事物，它采用了与黑名单技术相反的做法，利用一份“已知为良好”的实体(程序、电子邮件地址、域名、网址)名单，阻止不在名单中的事物在网络中运行。

白名单技术的优点是：没有必要运行必须不断更新的防病毒软件，任何不在名单上的对象将被阻止运行；系统能够免受零日攻击。白名单技术相对简单，能够有效控制进入网络或者机器上运行的程序，而名单上之外的实体都不能运行或者通过。当单独使用白名单技术时，它能够非常有效地阻止恶意软件和垃圾邮件，但是同样也可能会阻止合法代码的运行和合法邮件的通过。在商业环境中，当在计算机上运行代码时，纯粹的白名单技术是最安全的解决方案。

目前，大多数的系统和软件都应用了黑白名单技术，杀毒软件、防火墙、操作系统、邮件系统、应用软件等，凡是涉及到系统控制方面几乎都应用了黑白名单技术。黑名单启用后，被列入到黑名单的对象(如邮件、病毒、IP地址等)将不能通过，黑名单以外的对象都能通过；白名单启用后，只有在白名单中的对象(如邮件、病毒、IP地址等)才能通过，白名单以外的对象都不能通过。

白名单技术的准入控制特点为受控网络的安全防护提供了新的方法。受控网络是指在网络通信过程中，专门制订了网络通信规范，对其入网终端、可以安装的应用程序及网络会话等均设定了相关要求，以确保网络在预定的模式下运行的一种互联网络。基于受控网络的控制特点，可以建立其网络流量白名单，依此发现网络实际运行过程中因病毒、蠕虫、木马及恶意违规操作等引起的异常流量，实现对网络异常行为的准确发现和定位。

白名单的相关定义：

传统的网络会话一般由网络五元组定义，即：

{源IP，源端口，目的IP，目的端口，传输层协议}

但在受控网络环境下，仅通过定义网络五元组还不足以确定网络会话是否合规，还需要辅助以其它相关元素确定会话的合规性。为此，我们在网络五元组的基础上增加网络层协议、应用层协议及流速阈值三个元素建立网络八元组，依此来定义流量白名单的规则。

流量白名单定义如下：

定义1：流量白名单：由网络八元组构成，即：

{源IP，源端口，目的IP，目的端口，网络层协议，传输层协议，应用层协议，流速阈值}