[发明专利]一种异常网络连接的检测方法及系统

摘要

本发明涉及一种异常网络连接的检测方法及系统，所述方法包括以下步骤：基于信息系统网络连接样本建立信息系统业务访问模型；所述信息系统业务访问模型包括客户端正常行为模型、服务器正常行为模型和客户端业务访问模式模型；基于所述信息系统业务访问模型识别异常网络连接。所述方法及系统充分利用了任何高级复杂攻击在攻击过程中都将表现为各种类型异常网络连接的特征以及异常检测方法的优点,可以不依赖于传统高级攻击检测中的网络流量攻击特征和恶意代码分析等技术，通过检测出各种异常网络连接，并以异常网络连接为突破点，通过与其它网络安全情报信息进行关联分析，从而可能检测出各种已知和未知的高级复杂攻击。

主权项

1.一种异常网络连接的检测方法，其特征在于，包括以下步骤：步骤S1、基于信息系统网络连接样本建立信息系统业务访问模型；所述信息系统业务访问模型包括客户端正常行为模型、服务器正常行为模型和客户端业务访问模式模型；步骤S2、基于所述信息系统业务访问模型识别异常网络连接；所述步骤S1进一步包括：步骤S1.1基于网络连接样本基本信息对信息系统中各客户端的网络配置信息进行建模，建立所述客户端正常行为模型；步骤S1.2基于网络连接样本基本信息对信息系统中各服务器的网络配置信息进行建模，建立服务器的网络配置信息模型；基于已标识网络连接类别的网络连接样本，确定用来实现网络连接类型分类的分类特征，建立服务器所支撑业务的网络连接类型分类模型；所述服务器的网络配置信息模型与服务器所支撑业务的网络连接类型分类模型共同构成所述服务器正常行为模型；步骤S1.3基于信息系统中所有客户端访问业务时所表现出来的固定网络访问模式进行建模，建立客户端业务访问模式模型；所述步骤S1.3进一步包括以下步骤：步骤S1.3.1提取指定客户端的每个网络连接样本中指定客户端所连接的服务器端IP地址信息，构造指定客户端的完整网络连接有向图；其中，所述完整网络连接有向图由所有表示从客户端到服务器端的对应网络连接的有向边构成，有向边的起始节点表示客户端，有向边的终止节点表示服务器；步骤1.3.2获取每条有向边所指向的服务器，并获取该服务器所支撑业务的网络连接类型分类模型，对有向边所代表的网络连接类型进行预测，并在有向边上标识出所预测出的网络连接类型；步骤1.3.3按照时间片划分方法对标识了网络连接类型的的完整网络连接有向图进行拆分；步骤1.3.4对拆分得到的时间片网络连接有向图进行简化，得到指定客户端的简化后的时间片网络连接有向图；步骤1.3.5通过对指定客户端的简化后的时间片网络连接有向图进行聚类，识别出该客户端在不同时间片表现出来的各种业务访问固定模式，建立客户端业务访问模式模型。