本技术实施例涉及网络安全,尤其涉及一种网络异常监测方法、装置及电子设备。
背景技术:
1、云服务提供商会产生庞大的网络流量,为了保证网络服务的持续性和安全性,需要对网络流量进行监测,如识别网络攻击行为。
2、相关技术中,基于样本分析提取的netflow(一种数据交换方式)特征进行网络攻击行为监测。
3、然而,netflow中没有附带其通信的有效载荷,所提取的特征属于弱特征,复杂攻击模式的识别能力较差,特征匹配的准确率和召回率低,难以为云服务提供商提供全面的安全保障。
技术实现思路
1、本技术实施例提供了一种网络异常监测方法、装置及电子设备,用以提高网络异常监测中特征匹配的准确率和召回率。
2、第一方面,本技术实施例提供了第一种网络异常监测方法,该方法包括:
3、将第一待测流量的时间序列特征与样本时间特征进行匹配;其中,所述第一待测流量为待测网络互连的协议(internet protocol,ip)在恶意端口通信产生的流量;所述样本时间特征为在恶意样本ip渗透测试过程中所产生的第一样本流量中提取的特征;以及,
4、将第二待测流量的空间序列特征与样本空间特征进行匹配;其中,所述第二待测流量为所述待测ip与多个可疑恶意设备通信产生的流量;所述样本空间特征为样本恶意设备对应的第二样本流量中提取的特征,所述样本恶意设备为所述恶意样本ip的受害样本对应的一跳邻居设备;
5、根据匹配结果确定所述待测ip是否存在异常。
6、上述方案,由于渗透测试过程会随着时间变化而进入不同的阶段,会随时间产生有逻辑关联的流量,因此从时间维度提取多个相关的弱特征,得到的时间序列特征为强特征(时间逻辑相关性);由于在同一恶意组织渗透场景下,不同设备产生的网络行为存在相似性,因此从空间维度提取多个设备相关的弱特征,得到的空间序列特征为强特征(空间逻辑相关性);结合这两方面进行特征匹配,解决了基于单设备、单样本特征提取而产生的局限性,增强了对复杂攻击模式的识别能力,提升了异常ip的识别准确率和召回率,从而为云服务提供商提供全面的安全保障。
7、一些可选的实施方式中,根据匹配结果确定所述待测ip是否存在异常,包括:
8、若所述时间序列特征与所述样本时间特征之间的相似度达到第一相似阈值,且所述空间序列特征与所述样本空间特征之间的相似度达到第二相似阈值,则确定待测ip为异常攻击ip。
9、一些可选的实施方式中,将第一待测流量的时间序列特征与样本时间特征进行匹配之前,还包括:
10、对网络ip进行资产测绘,确定所述网路ip中的白名单ip;
11、对所述白名单ip进行可用性检测,确定所述白名单ip中的稳定ip;
12、将所述待测ip中除所述稳定ip之外的其他ip,确定为待测ip。
13、一些可选的实施方式中,对所述白名单ip进行可用性检测,确定所述白名单ip中的稳定ip,包括:
14、针对任一白名单ip,若所述白名单ip通过通信多样性检测、设备交互性检测、通信完整性检测以及通信合规性检测,则将所述白名单ip确定为稳定ip。
15、一些可选的实施方式中,通过以下方式进行设备交互性检测:
16、确定在当前监测周期内所述白名单ip在服务端口上的问题数据与回答数据之间的比值;
17、若在当前监测周期的比值与历史问答比值之间的偏差小于第一偏差,则确定所述白名单ip通过交互性检测;其中,所述历史问答比值为历史周期内所述白名单ip在服务端口上的问题数据与回答数据之间的比值。
18、一些可选的实施方式中,通过以下方式进行通信合规性检测:
19、确定在当前监测周期内所述白名单ip在服务端口上针对目标问题的回答数据包所对应的复杂程度;
20、若在当前监测周期的复杂程度与历史复杂程度之间的偏差小于第二偏差,则确定所述白名单ip通过通信合规性检测;其中,所述历史复杂程度为历史周期内所述白名单ip在服务端口上针对所述目标问题的回答数据包所对应的复杂程度。
21、一些可选的实施方式中,还包括:
22、针对任一待测ip,若所述待测ip未通过非常用端口检测、自相关性检测、无效性检测以及收敛性检测,则将所述待测ip确定为第一扫描ip;以及
23、基于五元组规则,确定所述待测ip中的第二扫描ip。
24、一些可选的实施方式中,通过以下方式进行自相关性检测:
25、使用多个步长分别对所述待测ip的待测流量进行分割,得到各步长对应的分割数据;
26、若各步长对应的分割数据的自相关值均未达到预设阈值,则确定所述待测ip通过自相关性检测。
27、第二方面,本技术实施例提供了第一种网络异常监测装置,该装置包括:
28、特征匹配模块,用于将第一待测流量的时间序列特征与样本时间特征进行匹配;其中,所述第一待测流量为待测ip在恶意端口通信产生的流量;所述样本时间特征为在恶意样本ip渗透测试过程中所产生的第一样本流量中提取的特征;以及,
29、所述特征匹配模块,还用于将第二待测流量的空间序列特征与样本空间特征进行匹配;其中,所述第二待测流量为所述待测ip与多个可疑恶意设备通信产生的流量;所述样本空间特征为样本恶意设备对应的第二样本流量中提取的特征,所述样本恶意设备为所述恶意样本ip的受害样本对应的一跳邻居设备;
30、所述特征匹配模块,还用于根据匹配结果确定所述待测ip是否存在异常。
31、一些可选的实施方式中,所述特征匹配模块,具体用于:
32、若所述时间序列特征与所述样本时间特征之间的相似度达到第一相似阈值,且所述空间序列特征与所述样本空间特征之间的相似度达到第二相似阈值,则确定待测ip为异常攻击ip。
33、一些可选的实施方式中,还包括服务发现模块,用于:
34、在所述特征匹配模块将第一待测流量的时间序列特征与样本时间特征进行匹配之前,对网络ip进行资产测绘,确定所述网路ip中的白名单ip;
35、对所述白名单ip进行可用性检测,确定所述白名单ip中的稳定ip;
36、将所述待测ip中除所述稳定ip之外的其他ip,确定为待测ip。
37、一些可选的实施方式中,所述服务发现模块,具体用于:
38、针对任一白名单ip,若所述白名单ip通过通信多样性检测、设备交互性检测、通信完整性检测以及通信合规性检测,则将所述白名单ip确定为稳定ip。
39、一些可选的实施方式中,所述服务发现模块通过以下方式进行设备交互性检测:
40、确定在当前监测周期内所述白名单ip在服务端口上的问题数据与回答数据之间的比值;
41、若在当前监测周期的比值与历史问答比值之间的偏差小于第一偏差,则确定所述白名单ip通过交互性检测;其中,所述历史问答比值为历史周期内所述白名单ip在服务端口上的问题数据与回答数据之间的比值。
42、一些可选的实施方式中,所述服务发现模块通过以下方式进行通信合规性检测:
43、确定在当前监测周期内所述白名单ip在服务端口上针对目标问题的回答数据包所对应的复杂程度;
44、若在当前监测周期的复杂程度与历史复杂程度之间的偏差小于第二偏差,则确定所述白名单ip通过通信合规性检测;其中,所述历史复杂程度为历史周期内所述白名单ip在服务端口上针对所述目标问题的回答数据包所对应的复杂程度。
45、一些可选的实施方式中,还包括扫描发现模块,用于:
46、针对任一待测ip,若所述待测ip未通过非常用端口检测、自相关性检测、无效性检测以及收敛性检测,则将所述待测ip确定为第一扫描ip;以及
47、基于五元组规则,确定所述待测ip中的第二扫描ip。
48、一些可选的实施方式中,所述扫描发现模块通过以下方式进行自相关性检测:
49、使用多个步长分别对所述待测ip的待测流量进行分割,得到各步长对应的分割数据;
50、若各步长对应的分割数据的自相关值均未达到预设阈值,则确定所述待测ip通过自相关性检测。
51、第三方面,本技术实施例提供一种电子设备,包括至少一个处理器以及至少一个存储器,其中,所述存储器存储有计算机程序,当所述程序被所述处理器执行时,使得所述处理器执行上述第一方面任一所述的网络异常监测方法。
52、第四方面,本技术实施例提供一种计算机可读存储介质,其存储有可由处理器执行的计算机程序,当所述程序在所述处理器上运行时,使得所述处理器执行上述第一方面任一所述的网络异常监测方法。
1.一种网络异常监测方法,其特征在于,该方法包括:
2.如权利要求1所述的方法,其特征在于,根据匹配结果确定所述待测ip是否存在异常,包括:
3.如权利要求1所述的方法,其特征在于,将第一待测流量的时间序列特征与样本时间特征进行匹配之前,还包括:
4.如权利要求3所述的方法,其特征在于,对所述白名单ip进行可用性检测,确定所述白名单ip中的稳定ip,包括:
5.如权利要求4所述的方法,其特征在于,通过以下方式进行设备交互性检测:
6.如权利要求4所述的方法,其特征在于,通过以下方式进行通信合规性检测:
7.如权利要求1~6任一所述的方法,其特征在于,还包括:
8.如权利要求7所述的方法,其特征在于,通过以下方式进行自相关性检测:
9.一种网络异常监测装置,其特征在于,该装置包括:
10.一种电子设备,其特征在于,包括至少一个处理器以及至少一个存储器,其中,所述存储器存储有计算机程序,当所述程序被所述处理器执行时,使得所述处理器执行如权利要求1至8任一所述的方法。
