[发明专利]一种基于业务流的异常检测方法及系统

说明书

本发明属于网络空间安全领域，公开了一种基于业务流的异常检测方法及系统，通过对业务流进行监测，基于业务系统其源IP地址、目的IP地址、源端口、目的端口、协议类型、时间等要素，从业务协议角度分析其是否存在异常；基于当前业务事件之间的时间间隔和业务活动中某些部分的执行频次，从业务性能角度分析其是否存在异常；从业务逻辑角度出发，基于正常的业务过程逻辑结构构建出业务逻辑矩阵，分析当前业务事件的发生顺序是否存在异常。本发明弥补传统安全防护措施的不足，检测出传统技术手段无法发现的安全问题，加强安全防护的内控，防止内部人员违规行为的发生，对现有安全防护体系形成有力的补充和完善。

技术领域

本发明属于网络空间安全领域，尤其涉及一种基于业务流的异常检测方法及系统。

背景技术

目前，业内常用的现有技术是这样的：

随着网络攻击技术不断发展，攻击手段愈趋复杂、攻击规模愈趋扩大，而现有安全防护体系强调外防，传统的基于规则、攻击特征的入侵检测、防火墙等安全保障措施在检测未知威胁和监测内部人员违规行为方面的效果很不理想。越来越多的攻击者在发起攻击时，首先会测试是否可以绕过目标网络的安全检测，利用一些新型的攻击手段，如零日威胁、高级逃避技术、多阶段攻击、APT攻击等。由于它们绕过了传统安全机制，因此往往会造成更大的破坏。因此，对未知威胁的检测需采取全新的技术思路。

为提高工作效率，越来越多的企业和组织开始采用各类业务系统来完成业务活动。通常大部分提供服务的业务系统都有着清晰的业务逻辑，其中包括了访问的发起方、应答方、使用的协议和端口等。在通常情况下，业务的访问时间、访问者、访问数据量等数据都是存在一定规律性的，这也为基于业务逻辑来进行攻击检测提供了现实基础。通过对实际业务的状态检测来判断当前网络是否遭受了攻击或者病毒入侵，也成为目前网络安全研究的热点和重点。专利201710721647.7以业务网络中的实际流量为基础，基于贝叶斯网络架构估计流量矩阵；将网络探针分布式部署到不同的网络节点，利用流量矩阵进行网络异常检测。专利201710060652.8首先采集存储预定时间段内的网络流量并针对每一用户对网络层的IP五元组信息，传输层的连接频率、上行数据量或者下行数据量，应用层的统一资源定位符或者请求频率，业务层的请求类型等要素进行建模；然后在系统运行过程中将每个用户的实际操作行为与预建立的正常行为轮廓进行对比来检测流量异常。杨大路等首先以生产网络中的实际流量为基础，通过流量自学习方法建立初步的可信业务流模型；然后对网络中的流量进行实时监测，并将监测到的数据与模型进行对比实现对未知威胁的发现。段谟意提出了一种人工蚁群算法与聚类相结合的状态检测算法DASA，这种算法根据SKETCH方法和Hash函数建立了业务流异常状态模型。谢逸等为了有效描述用户高层访问并实现异常检测，采用了隐半马尔可夫模型描述Web用户浏览行为的随机变化过程。

现有的通用技术方案都是通过流量本身的不同维度来发现网络流量存在异常，与特定业务系统是没有逻辑关系的。随着Internet规模越来越大，网络的安全问题日益突出，通过对实际业务流的状态检测来判断当前网络是否遭受了攻击或者病毒入侵，也成为目前网络安全研究的热点和重点。目前采用的方法都是从全流量中提取出业务相关流量，然后基于业务系统的相关信息如访问的时间、发起方、应答方、使用的协议和端口、连接频率、上下行数据流量等给业务系统或每个业务使用者建立业务执行的正常基线；然后在系统运行过程中将业务实际流量以及每个业务使用者的流量与预建立的正常基线进行对比，以发现异常。

综上所述，现有技术存在的问题是：