本發明涉及一種基于攻擊范式的互聯網異常行為檢測方法與系統，屬于網絡安全技術領域。

背景技術：

互聯網徹底改變人們傳統的工作與生活方式，使人們無需等待、無需遠行，就可以進行獲取信息、溝通、購物、支付與娛樂，同時，大量黑客在互聯網空間中穿越，進出終端、路由器、服務器，進行控制或竊取信息，這些網絡攻擊行為影響了用戶的上網體驗、嚴重影響了人們對互聯網應用的安全感，使得人們在網上沖浪的過程中時刻擔心著個人隱私是否會被泄漏。

互聯網異常行為檢測技術的發展有三個方向，一是流量統計和閾值檢測技術；二是源與目的主機可信性驗證技術；三是分布與特征技術。

對于這三個方向的技術，它們的優點是技術比較成熟，能夠比較有效地檢測網絡異常行為；缺陷是存在較大的誤報率或漏報率、并且無法確定攻擊路徑。

技術實現要素：

為了克服現有技術的不足,本發明提供一種基于攻擊范式的互聯網異常行為檢測方法與系統。

一種基于攻擊范式的互聯網異常行為檢測方法，包括以下步驟：

步驟A、基于有限狀態機創建攻擊范式庫；

步驟B、基于異常行為創建網絡節點信譽庫；

步驟C、基于攻擊范式庫與節點信譽庫檢測網絡攻擊。

一種基于攻擊范式的互聯網異常行為檢測系統，包括創建攻擊范式庫模塊、創建網絡節點信譽庫模塊與檢測網絡攻擊模塊，

創建攻擊范式庫模塊創建跳板攻擊范式、中間人攻擊范式與水坑攻擊范式；

創建網絡節點信譽庫模塊包括判定網絡節點類型、創建網絡節點信譽庫；

檢測網絡攻擊模塊包括基于有限狀態機匹配與基于節點信譽庫判定。

本發明的優點是使得能夠快速檢測網絡異常行為，快速精確地定位互聯網攻擊路徑，以保證互聯網應用的安全性，給網絡用戶一個安全的互聯網應用環境。

附圖說明

當結合附圖考慮時，通過參照下面的詳細描述，能夠更完整更好地理解本發明以及容易得知其中許多伴隨的優點，但此處所說明的附圖用來提供對本發明的進一步理解，構成本發明的一部分，本發明的示意性實施例及其說明用于解釋本發明，并不構成對本發明的不當限定，如圖其中：

圖1是基于攻擊范式的互聯網異常行為檢測系統的組網示意圖；

圖2是本發明方法的系統結構示意圖；

圖3是本發明方法的主流程圖；

圖4是本發明方法判定網絡節點類型的流程圖；

圖5是本發明方法創建網絡節點信譽庫的流程圖。

下面結合附圖和實施例對本發明進一步說明。

具體實施方式

顯然，本領域技術人員基于本發明的宗旨所做的許多修改和變化屬于本發明的保護范圍。

本技術領域技術人員可以理解，除非特意聲明，這里使用的單數形式“一”、“一個”、“所述”和“該”也可包括復數形式。應該進一步理解的是，本說明書中使用的措辭“包括”是指存在所述特征、整數、步驟、操作、元件和/或組件，但是并不排除存在或添加一個或多個其他特征、整數、步驟、操作、元件、組件和/或它們的組。應該理解，當稱元件、組件被“連接”到另一元件、組件時，它可以直接連接到其他元件或者組件，或者也可以存在中間元件或者組件。這里使用的措辭“和/或”包括一個或更多個相關聯的列出項的任一單元和全部組合。

本技術領域技術人員可以理解，除非另外定義，這里使用的所有術語(包括技術術語和科學術語)具有與本發明所屬領域中的普通技術人員的一般理解相同的意義。

為便于對本發明實施例的理解，下面將做進一步的解釋說明，且各個實施例并不構成對本發明實施例的限定。

實施例1：如圖1、圖2、圖3、圖4及圖5所示，

一種基于攻擊范式的互聯網異常行為檢測方法，包括以下步驟：

步驟A、基于有限狀態機創建攻擊范式庫；

步驟B、基于異常行為創建網絡節點信譽庫；

步驟C、基于攻擊范式庫與節點信譽庫檢測網絡攻擊。

所述步驟A包括：

步驟A1、創建跳板攻擊范式有限狀態機表達式；

步驟A2、創建中間人攻擊范式有限狀態機表達式；

步驟A3、創建水坑攻擊范式有限狀態機表達式。

基于攻擊范式檢測互聯網異常行為所需的有限狀態機表達式信息包括：狀態集、IP地址與攻擊動作。

優選地，所述步驟B包括：

步驟B1、基于進出流量比值判斷網絡節點類型；

步驟B2、基于節點類型與進出包的大小判斷網絡節點異常行為；

步驟B3、基于異常行為創建網絡節點信譽庫。

網絡節點信譽庫信息包括：IP地址、節點類型、進流量統計值與出流量統計值。

優選地，所述步驟C包括：

步驟C1、基于有限狀態機判定潛在攻擊路徑；

步驟C2、基于節點信譽庫確認攻擊路徑。

一種基于攻擊范式的互聯網異常行為檢測系統，包括創建攻擊范式庫模塊、創建網絡節點信譽庫模塊與檢測網絡攻擊模塊，

創建攻擊范式庫模塊創建跳板攻擊范式、中間人攻擊范式與水坑攻擊范式；

創建網絡節點信譽庫模塊包括判定網絡節點類型、創建網絡節點信譽庫；

檢測網絡攻擊模塊包括基于有限狀態機匹配與基于節點信譽庫判定。

實施例2：如圖1、圖2、圖3、圖4及圖5所示，一種基于攻擊范式的互聯網異常行為檢測方法與系統，使得能夠快速精確地定位互聯網攻擊路徑，以保證互聯網應用的安全性，給網絡用戶一個安全的互聯網應用環境。

一種基于攻擊范式的互聯網異常行為檢測方法，含有以下步驟；

創建攻擊范式庫步驟，包括創建跳板攻擊范式、創建中間人攻擊范式與創建水坑攻擊范式；

創建網絡節點信譽庫步驟，包括判定網絡節點類型、創建網絡節點信譽庫；

檢測網絡攻擊步驟，包括基于有限狀態機匹配與基于節點信譽庫判定。

如圖1所示，一種基于攻擊范式的互聯網異常行為檢測系統，其中，

云平臺包括交換機、虛擬服務器、虛擬防火墻、互聯網應用服務、遠程登錄網絡服務；

基于攻擊范式的互聯網異常行為檢測系統，用于創建攻擊范式、判定網絡節點類型、創建節點信譽庫、檢測互聯網攻擊路徑；

互聯網包括路由器與交換機，可以傳送和路由網絡流量。

實施例3：如圖1、圖2、圖3、圖4及圖5所示，對本發明方法的系統結構進行詳細說明。

一種基于攻擊范式的互聯網異常行為檢測系統，包括創建攻擊范式庫模塊，包括創建跳板攻擊范式、創建中間人攻擊范式與創建水坑攻擊范式；

創建網絡節點信譽庫模塊，包括判定網絡節點類型、創建網絡節點信譽庫；

檢測網絡攻擊模塊，包括基于有限狀態機匹配與基于節點信譽庫判定。

為了使本技術領域的人員更好地理解本發明，下面結合圖3所示的流程圖對本發明進行進一步的詳細說明。

一種基于攻擊范式的互聯網異常行為檢測方法，包括以下步驟：

步驟301：基于有限狀態機構建跳板攻擊范式；

步驟302：基于有限狀態機構建中間人攻擊范式；

步驟303：基于有限狀態機構建水坑攻擊范式；

步驟304：基于進出流量比值判斷網絡節點類型；

步驟305：基于節點類型與進出包的大小判斷網絡節點異常行為；

步驟306：基于異常行為構建網絡節點信譽庫。

步驟307：基于有限狀態機判定潛在攻擊路徑；

步驟308：基于節點信譽庫確認攻擊路徑。

下面結合圖4所示的流程圖對本發明進行進一步的詳細說明。

一種基于攻擊范式的互聯網異常行為檢測方法，所述步驟B1中包括以下步驟：

步驟401：以小時為周期，統計網絡節點的進出流量；

步驟402：判斷進流量是否等于出流量，若不是，轉入步驟403；若是，判定為管節點，轉入步驟404；

步驟403：判斷進流量是否大于出流量，若是，判定為端節點，否則判定為云節點，轉入步驟404；

步驟404：將節點IP地址與節點類型存入節點類型庫中。

下面結合圖5所示的流程圖對本發明作進一步的詳細說明。一種基于攻擊范式的互聯網異常行為檢測方法，所述步驟B中包括以下步驟：

步驟601：捕獲進出HTTP包長于500字節或其它IP包長于100字節的網絡節點IP地址；

步驟602：判斷網絡節點是否是端節點，且出HTTP包長于500字節或其它IP包長于100字節，若是，轉入步驟604；若不是，轉入步驟603；

步驟603：判斷網絡節點是否是代理節點，若是，轉入步驟604；若不是，則結束程序；

步驟604：將網絡異常行為節點放入信譽庫中。

如上所述，對本發明的實施例進行了詳細地說明，但是只要實質上沒有脫離本發明的發明點及效果可以有很多的變形，這對本領域的技術人員來說是顯而易見的。因此，這樣的變形例也全部包含在本發明的保護范圍之內。