[发明专利]基于业务模型的异常流量检测系统及方法

说明书

本发明的实施例中公开了基于业务模型的异常流量检测系统及方法。该系统包括：数据采集及解析装置，用于目标网络端口的原目标流量数据的采集及解析；第一数据检测装置，用于根据预置的流量信息白名单和流量信息黑名单对解析后的目标流量数据进行过滤，将原目标流量数据中与流量信息白名单和流量信息黑名单均不匹配的第一流量数据发送到第二数据检测装置；第二数据检测装置，用于根据预置的流量攻击分析模块对第一流量数据进行流量攻击判断，识别出第一流量数据中的异常流量数据。该方法及系统能够有效解决现有异常流量检测方法中所存在的检测滞后、检测成本及检测能力有限的问题。

技术领域

本发明涉及网络安全技术领域，具体涉及基于业务模型的异常流量检测系统及方法。

背景技术

随着网络规模的日益扩大和承载业务种类的逐渐增多，Intemet的发展给人们带来了巨大方便。但是，这些也使网络中出现各种异常的机会大大增加，给网络监测带来了更大的挑战。网络流量异常分析是网络监测中的关键部分，能够准确、及时地检测出异常对提高网络的可用性和可靠性具有非常重要的意义。

目前的异常流量监测基于特征库。由于每种标识的攻击都具有一个特征，通过捕获网络上的数据包，通过其与特征库比对，分析其是否具有已知的攻击模式，以此来检测正在发生的攻击，或者确定网络中是否已经发生了某种攻击，比如防病毒软件和IDS。基于特征库的异常检测方式，其效率取决于定期更新特征库，且对于0-day攻击无能为力。基于特征库检验方法的特点，虽然识别精度高和对流量进行准确的分类，但是存在很多问题，主要包括：

1.对于新异常的检测具有滞后性，未升级特征库，无法检测新的异常；

2.对加密流量的检测能力非常有限；

3.算法性能与payload(有效载荷)特征的复杂度有关，随着异常流量的种类的增加以及payload特征的复杂度，其检测代价高、算法性能差；

4.成本过高，由于基于payload特征的异常流量检测分析要分析每一个通过网络数据包，随着网络的增长，必然成为网络的瓶颈，需不断提升异常的性能才能解决。

发明内容

本发明实施例提供一种能够克服上述问题或者至少能够部分地解决上述问题的基于业务模型的异常流量检测系统及方法。

本发明的一个实施例中提供了一种基于业务模型的异常流量检测系统，其特征在于，包括：数据采集及解析装置，用于目标网络端口的原目标流量数据的采集及解析；第一数据检测装置，用于根据预置的流量信息白名单和流量信息黑名单对所述解析后的目标流量数据进行过滤，将原目标流量数据中与流量信息白名单和流量信息黑名单均不匹配的第一流量数据发送到第二数据检测装置；第二数据检测装置，用于根据预置的流量攻击分析模块对所述第一流量数据进行流量攻击判断，识别出第一流量数据中的异常流量数据。

本发明实施例中还提供了一种异常流量检测方法，包括：采集目标网络端口的原目标流量数据并解析；根据预置的流量信息白名单和流量信息黑名单对所述解析后的目标流量数据进行过滤，过滤出原目标流量数据中与流量信息白名单和流量信息黑名单均不匹配的第一流量数据；根据预置的流量攻击分析模块对所述第一流量数据进行流量攻击判断，识别出第一流量数据中的异常流量数据。

本发明实施例中所提供的基于业务模型系统及方法，摒弃了之前IDS的基于特征库的异常流量检测，加入了基于流量行为特征的异常检测方式，不仅在安全功能和网络性能方面提高了效率，还增加了对于未知特征流量的异常检测和加密的流量的检测。进一步，本发明增加了防火墙审核，提高了边界网络防火墙防护的能力。

附图说明

通过阅读以下参照附图对非限制性实施例所作的详细描述，本发明的其它特征、目的和优点将会变得更明显，其中，相同或相似的附图标记表示相同或相似的特征。