本發(fā)明涉及網(wǎng)絡(luò)安全檢測(cè),具體涉及一種網(wǎng)絡(luò)攻擊安全檢測(cè)方法�����。
背景技術(shù):
1�����、在當(dāng)今數(shù)字化高度發(fā)展的時(shí)代,網(wǎng)絡(luò)安全問題愈發(fā)嚴(yán)峻��,各種網(wǎng)絡(luò)攻擊手段層出不窮,對(duì)計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)的安全性構(gòu)成了極大威脅�����。傳統(tǒng)的網(wǎng)絡(luò)攻擊檢測(cè)方法主要側(cè)重于對(duì)網(wǎng)絡(luò)流量�、端口連接等宏觀層面的數(shù)據(jù)進(jìn)行分析,然而����,隨著攻擊者技術(shù)的不斷演進(jìn),許多攻擊行為在宏觀層面難以被有效察覺�����,這使得傳統(tǒng)檢測(cè)方式逐漸暴露出諸多局限性�����。
2����、一方面,宏觀層面的檢測(cè)難以精準(zhǔn)識(shí)別出內(nèi)部人員的異常操作行為���。例如���,企業(yè)內(nèi)部員工可能因被惡意軟件感染或受到社會(huì)工程學(xué)攻擊��,在無(wú)意識(shí)的情況下進(jìn)行一些異常的計(jì)算機(jī)操作��,這些操作從網(wǎng)絡(luò)流量等宏觀角度來(lái)看可能并不明顯�����,但卻可能對(duì)企業(yè)的敏感數(shù)據(jù)和關(guān)鍵系統(tǒng)造成嚴(yán)重?fù)p害。另一方面����,新型的網(wǎng)絡(luò)攻擊手段,如針對(duì)特定應(yīng)用程序的漏洞利用攻擊�����,往往通過(guò)模擬正常用戶行為來(lái)躲避傳統(tǒng)的宏觀檢測(cè)機(jī)制��。這些攻擊可能在微觀層面改變用戶的操作模式��,例如異常的鼠標(biāo)移動(dòng)軌跡���、點(diǎn)擊間隔時(shí)間以及鍵盤輸入節(jié)奏等�,但現(xiàn)有的基于宏觀數(shù)據(jù)的檢測(cè)方法無(wú)法捕捉到這些細(xì)微變化。
3����、此外,隨著云計(jì)算����、大數(shù)據(jù)等新技術(shù)的廣泛應(yīng)用,網(wǎng)絡(luò)環(huán)境變得更加復(fù)雜�����,數(shù)據(jù)量呈指數(shù)級(jí)增長(zhǎng)���,這進(jìn)一步加大了傳統(tǒng)網(wǎng)絡(luò)攻擊檢測(cè)方法的負(fù)擔(dān)�,使其難以在海量數(shù)據(jù)中快速準(zhǔn)確地識(shí)別出真正的安全威脅�����。因此����,迫切需要一種能夠深入到用戶微觀行為層面的網(wǎng)絡(luò)攻擊安全檢測(cè)方法��,以彌補(bǔ)傳統(tǒng)檢測(cè)手段的不足��,提高網(wǎng)絡(luò)安全防護(hù)的能力和水平��,及時(shí)有效地發(fā)現(xiàn)并應(yīng)對(duì)各種潛在的網(wǎng)絡(luò)攻擊行為��。
技術(shù)實(shí)現(xiàn)思路
1����、本發(fā)明的目的在于提供一種網(wǎng)絡(luò)攻擊安全檢測(cè)方法��,解決了背景技術(shù)中所提出的技術(shù)問題���。
2、本發(fā)明的目的可以通過(guò)以下技術(shù)方案實(shí)現(xiàn):
3����、一種網(wǎng)絡(luò)攻擊安全檢測(cè)方法,包括以下步驟:
4�、步驟一、微觀行為數(shù)據(jù)采集:
5��、采集用戶在計(jì)算機(jī)操作過(guò)程中的微觀行為數(shù)據(jù)��;其包括:鼠標(biāo)移動(dòng)軌跡、點(diǎn)擊間隔時(shí)間和鍵盤輸入節(jié)奏:
6���、步驟二���、微觀行為特征提取:
7���、對(duì)采集的原始微觀行為數(shù)據(jù)進(jìn)行特征提取處理�,并得出微觀行為特征指標(biāo)��;
8�、微觀行為特征指標(biāo)包含鼠標(biāo)移動(dòng)軌跡熵變特征、點(diǎn)擊間隔時(shí)間熵變特征和鍵盤輸入節(jié)奏熵變特征�����;
9�����、步驟三�����、異常行為檢測(cè):
10、通過(guò)對(duì)提取的微觀行為特征進(jìn)行比較分析�,判斷用戶行為是否異常;其中��,比較分析方式包含:?jiǎn)尉S度異常檢測(cè)和多維度聯(lián)合檢測(cè)��;單維度異常檢測(cè)指代為:分別對(duì)鼠標(biāo)移動(dòng)軌跡熵變特征��、點(diǎn)擊間隔時(shí)間熵變特征和鍵盤輸入節(jié)奏熵變特征進(jìn)行獨(dú)立檢測(cè)���,并根據(jù)結(jié)果觸發(fā)單維度告警�;多維度聯(lián)合檢測(cè)方式如下:綜合考慮當(dāng)前的鼠標(biāo)移動(dòng)軌跡熵變特征�����、點(diǎn)擊間隔時(shí)間熵變特征和鍵盤輸入節(jié)奏熵變特征�,計(jì)算綜合異常評(píng)分��;當(dāng)綜合異常評(píng)分大于預(yù)設(shè)的檢測(cè)閾值��,則說(shuō)明用戶行為在多個(gè)維度上同時(shí)出現(xiàn)異常�,觸發(fā)全局告警;
11�、步驟四��、威脅等級(jí)評(píng)估:
12��、根據(jù)異常行為檢測(cè)的結(jié)果�����,進(jìn)行威脅等級(jí)評(píng)估�����,并采取對(duì)應(yīng)預(yù)設(shè)的響應(yīng)策略�����。
13�、作為本發(fā)明進(jìn)一步的方案:鼠標(biāo)移動(dòng)軌跡指代為記錄鼠標(biāo)在屏幕上的坐標(biāo)序列��;點(diǎn)擊間隔時(shí)間指代為記錄兩次連續(xù)點(diǎn)擊的時(shí)間差�����,具體為:每次鼠標(biāo)點(diǎn)擊操作時(shí)���,計(jì)算機(jī)系統(tǒng)會(huì)產(chǎn)生對(duì)應(yīng)的時(shí)間戳��,通過(guò)獲取相鄰兩次點(diǎn)擊的時(shí)間戳并計(jì)算差值���,即可得到點(diǎn)擊間隔時(shí)間����;鍵盤輸入節(jié)奏指代為記錄鍵盤按鍵之間的時(shí)間間隔序列��;具體為:當(dāng)用戶在鍵盤上進(jìn)行按鍵操作時(shí)����,計(jì)算機(jī)系統(tǒng)會(huì)記錄每個(gè)按鍵按下和彈起的時(shí)間,通過(guò)計(jì)算相鄰按鍵操作的時(shí)間差����,就能獲取鍵盤輸入節(jié)奏數(shù)據(jù)。
14�、作為本發(fā)明進(jìn)一步的方案:鼠標(biāo)移動(dòng)軌跡熵變特征的特征提取處理方式如下:
15、stepk1.1�����、軌跡速度:
16����、通過(guò):計(jì)算相鄰坐標(biāo)點(diǎn)之間的移動(dòng)速度vj,j+1����;
17、式中�,(xj,yj)為鼠標(biāo)在屏幕上的坐標(biāo)序列,j=1�、2、……n�;
18、其中����,相鄰坐標(biāo)點(diǎn)之間的移動(dòng)速度用于衡量鼠標(biāo)在移動(dòng)過(guò)程中的速度變化情況;
19��、(xj,yj)和(xj+1,yj+1)是相鄰兩個(gè)鼠標(biāo)坐標(biāo)點(diǎn)�,tcj,j+1是這兩個(gè)坐標(biāo)點(diǎn)對(duì)應(yīng)的時(shí)間間隔��;
20�����、同時(shí)將所有相鄰坐標(biāo)點(diǎn)之間的移動(dòng)速度vj,j+1組成移動(dòng)速度序列�;
21、stepk1.2���、速度波動(dòng)熵:
22����、首先通過(guò):
23�、計(jì)算每個(gè)移動(dòng)速度vj,j+1在移動(dòng)速度序列中的概率p(vg=[j��,j+1])��,即每個(gè)速度值占移動(dòng)速度序列總和的比例��;
24�����、式中���,vz指代為移動(dòng)速度序列中所有移動(dòng)速度的總和���,n指代為鼠標(biāo)坐標(biāo)點(diǎn)的數(shù)量;
25、接著根據(jù)熵的計(jì)算公式:
26�����、
27�、計(jì)算出速度波動(dòng)熵ev�;
28、其中�����,速度波動(dòng)熵越大����,說(shuō)明鼠標(biāo)移動(dòng)速度的離散程度越高,即速度變化越不規(guī)則�;
29、其中���,速度波動(dòng)熵ev即為鼠標(biāo)移動(dòng)軌跡熵變特征����。
30��、作為本發(fā)明進(jìn)一步的方案:點(diǎn)擊間隔時(shí)間熵變特征的特征提取處理方式如下:
31、stepk2.1����、點(diǎn)擊間隔穩(wěn)定性:
32、通過(guò):
33����、計(jì)算點(diǎn)擊間隔的標(biāo)準(zhǔn)差wt;
34��、式中���,tci�����,i+1=ti+1-ti��,ti指代為第i次鼠標(biāo)點(diǎn)擊操作的時(shí)間戳����,tci����,i+1為第i次和第i+1次鼠標(biāo)點(diǎn)擊操作的點(diǎn)擊間隔時(shí)間���,i=1、2����、……v�,v表示鼠標(biāo)點(diǎn)擊操作的次數(shù),tcp為點(diǎn)擊間隔時(shí)間的平均值���;
35����、其中��,標(biāo)準(zhǔn)差用于衡量多次鼠標(biāo)點(diǎn)擊操作的點(diǎn)擊間隔時(shí)間是否穩(wěn)定��,標(biāo)準(zhǔn)差越小����,說(shuō)明點(diǎn)擊間隔時(shí)間越穩(wěn)定;
36�、stepk2.2、點(diǎn)擊間隔突變檢測(cè):
37�、首先通過(guò):tccf�,f+1=tcf+1=[i+1����,i+2]-tcf=[i,i+1]��;
38�、計(jì)算出相鄰點(diǎn)擊間隔的差值tccf,f+1��;
39�����、隨之將相鄰點(diǎn)擊間隔的差值tccf��,f+1與預(yù)先設(shè)定的差值閾值ccy進(jìn)行比較:
40���、當(dāng)tccf���,f+1>ccy,則判定相鄰兩次鼠標(biāo)點(diǎn)擊操作的點(diǎn)擊間隔發(fā)生了突變���;
41����、接著從所有相鄰點(diǎn)擊間隔的差值tccf,f+1中����,獲取tccf,f+1>ccy時(shí)的次數(shù)���,并將其標(biāo)記為cm����;
42��、然后通過(guò):
43�����、計(jì)算出所有相鄰點(diǎn)擊間隔的突變比例tbb��;
44��、其中�����,突變比例用于衡量點(diǎn)擊間隔時(shí)間的變化是否異常��,突變比例越高�����,說(shuō)明點(diǎn)擊間隔時(shí)間的變化越異常�����;
45�、其中,所有相鄰點(diǎn)擊間隔的突變比例tbb即為點(diǎn)擊間隔時(shí)間熵變特征��。
46���、作為本發(fā)明進(jìn)一步的方案:鍵盤輸入節(jié)奏熵變特征的特征提取處理方式如下:
47����、stepk3.1��、按鍵節(jié)奏一致性:
48���、通過(guò):
49����、計(jì)算鍵盤按鍵之間對(duì)應(yīng)時(shí)間間隔的變異系數(shù)by;
50�����、式中�����,sjq為鍵盤按鍵之間的時(shí)間間隔序列���,q=1�、2���、……k,k指代為鍵盤按鍵對(duì)應(yīng)時(shí)間間隔的次數(shù)�;sjp和sjb分別指代為鍵盤按鍵之間對(duì)應(yīng)時(shí)間間隔序列的平均值和標(biāo)準(zhǔn)差;
51����、其中,變異系數(shù)用于衡量按鍵間隔時(shí)間的一致性�,變異系數(shù)越小���,說(shuō)明按鍵節(jié)奏越一致;
52����、stepk3.2、異常按鍵檢測(cè):
53���、為了檢測(cè)是否存在異常長(zhǎng)間隔或短間隔按鍵����,
54����、獲取預(yù)先設(shè)定兩個(gè)異常按鍵判斷閾值amin和amax;
55�����、其中��,異常按鍵判斷閾值用于檢測(cè)是否存在異常長(zhǎng)間隔或短間隔按鍵���;
56��、將鍵盤按鍵之間對(duì)應(yīng)時(shí)間間隔sjq分別與異常按鍵判斷閾值amin和amax進(jìn)行比較:
57�、若sjq<amin或sjq>amax,則認(rèn)為該按鍵為異常按鍵��;
58�����、隨之統(tǒng)計(jì)在所有鍵盤按鍵中����,統(tǒng)計(jì)異常按鍵的數(shù)量,并將其標(biāo)記為aj�;
59、之后通過(guò):
60��、然后通過(guò):
61����、計(jì)算出異常按鍵比例yab�����;
62、其中���,異常按鍵比例用于衡量鍵盤輸入節(jié)奏是否異常���,異常按鍵比例越高,說(shuō)明鍵盤輸入節(jié)奏越異常�����;
63��、其中�����,鍵盤按鍵之間對(duì)應(yīng)時(shí)間間隔的變異系數(shù)by即為鍵盤輸入節(jié)奏熵變特征���。
64�����、作為本發(fā)明進(jìn)一步的方案:?jiǎn)尉S度異常檢測(cè)方式具體為:
65�、對(duì)于鼠標(biāo)移動(dòng)軌跡熵變特征����,若速度波動(dòng)熵ev>evz�,則判定鼠標(biāo)移動(dòng)軌跡出現(xiàn)異常�,觸發(fā)單維度告警;
66�����、其中��,evz為依據(jù)鼠標(biāo)移動(dòng)軌跡熵變特征預(yù)先設(shè)定的檢測(cè)閾值��;
67���、對(duì)于點(diǎn)擊間隔時(shí)間熵變特征�,若點(diǎn)擊間隔的突變比例tbb>tbz�����,則判定點(diǎn)擊間隔時(shí)間出現(xiàn)異常��,觸發(fā)單維度告警��;
68�、其中,tbz為依據(jù)點(diǎn)擊間隔時(shí)間熵變特征預(yù)先設(shè)定的檢測(cè)閾值���;
69�����、對(duì)于鍵盤輸入節(jié)奏熵變特征�����,若鍵盤按鍵之間對(duì)應(yīng)時(shí)間間隔的變異系數(shù)by>byz��,則判定鍵盤輸入節(jié)奏出現(xiàn)異常���,觸發(fā)單維度告警;
70����、其中,byz為依據(jù)鍵盤輸入節(jié)奏熵變特征預(yù)先設(shè)定的檢測(cè)閾值�。
71、作為本發(fā)明進(jìn)一步的方案:綜合異常評(píng)分的計(jì)算方式如下:
72�、獲取計(jì)算機(jī)在正常操作過(guò)程中的多個(gè)歷史窗口的微觀行為數(shù)據(jù),并依據(jù)微觀行為特征提取步驟計(jì)算出多個(gè)歷史窗口的鼠標(biāo)移動(dòng)軌跡熵變特征���、點(diǎn)擊間隔時(shí)間熵變特征和鍵盤輸入節(jié)奏熵變特征�;
73、隨之從多個(gè)歷史窗口的歷史鼠標(biāo)移動(dòng)軌跡熵變特征��、點(diǎn)擊間隔時(shí)間熵變特征和鍵盤輸入節(jié)奏熵變特征分別獲取其中的特征最大值和特征最小值��;
74��、然后結(jié)合各個(gè)多個(gè)歷史窗口的熵變特征中的特征最大值和特征最小值���,對(duì)鼠標(biāo)移動(dòng)軌跡熵變特征���、點(diǎn)擊間隔時(shí)間熵變特征和鍵盤輸入節(jié)奏熵變特征進(jìn)行歸一化處理;
75����、歸一化處理公式為:
76、式中�,gy0為當(dāng)前的鼠標(biāo)移動(dòng)軌跡熵變特征、點(diǎn)擊間隔時(shí)間熵變特征和鍵盤輸入節(jié)奏熵變特征的變量�,且gy0={tbb、by���、yab}�,gy1為歸一化處理后當(dāng)前的鼠標(biāo)移動(dòng)軌跡熵變特征、點(diǎn)擊間隔時(shí)間熵變特征和鍵盤輸入節(jié)奏熵變特征的變量�,并將其記為gy1={tbb1��、by1�、yab1},gymax和gymin指代為多個(gè)歷史窗口的鼠標(biāo)移動(dòng)軌跡熵變特征����、點(diǎn)擊間隔時(shí)間熵變特征和鍵盤輸入節(jié)奏熵變特征中特征最大值和特征最小值的變量;
77�����、之后通過(guò):zhp=β1×tbb1+β2×by1+β3×yab1�;
78、計(jì)算出綜合異常評(píng)分zhp���。
79����、作為本發(fā)明進(jìn)一步的方案:威脅等級(jí)評(píng)估方式如下:
80�、當(dāng)僅出現(xiàn)單維度告警,且未出現(xiàn)全局告警��,同時(shí)且綜合異常評(píng)分未超過(guò)檢測(cè)閾值之間的差值大于對(duì)應(yīng)預(yù)設(shè)的評(píng)分差值閾值時(shí),時(shí)����,判定為低風(fēng)險(xiǎn);
81�����、當(dāng)出現(xiàn)單維度異常���,且綜合異常評(píng)分未超過(guò)檢測(cè)閾值�,同時(shí)綜合異常評(píng)分未超過(guò)檢測(cè)閾值之間的差值小于等于對(duì)應(yīng)預(yù)設(shè)的評(píng)分差值閾值時(shí)���,判定為中風(fēng)險(xiǎn)����;
82���、當(dāng)出現(xiàn)多個(gè)單維度異常�,同時(shí)出現(xiàn)全局告警時(shí)�,判定為高風(fēng)險(xiǎn)。
83���、本發(fā)明的有益效果:
84�����、多維度行為數(shù)據(jù)采集與分析:通過(guò)采集鼠標(biāo)移動(dòng)軌跡���、點(diǎn)擊間隔時(shí)間、鍵盤輸入節(jié)奏等微觀行為數(shù)據(jù)����,并從多個(gè)維度進(jìn)行特征提取和異常檢測(cè),能夠更全面�����、細(xì)致地捕捉用戶行為特征�,相較于單一維度的檢測(cè)方式,大大提高了檢測(cè)的準(zhǔn)確性和可靠性�����,減少漏報(bào)和誤報(bào)的可能性���。
85��、鼠標(biāo)移動(dòng)軌跡熵變特征:通過(guò)計(jì)算軌跡速度和速度波動(dòng)熵�,能夠準(zhǔn)確反映鼠標(biāo)移動(dòng)速度的變化規(guī)律和離散程度,從而有效識(shí)別鼠標(biāo)移動(dòng)軌跡的異常情況�����。例如����,速度波動(dòng)熵越大表明鼠標(biāo)移動(dòng)速度變化越不規(guī)則,可能暗示存在異常操作����。
86、點(diǎn)擊間隔時(shí)間熵變特征:利用點(diǎn)擊間隔穩(wěn)定性和點(diǎn)擊間隔突變檢測(cè)�,從標(biāo)準(zhǔn)差衡量點(diǎn)擊間隔時(shí)間的穩(wěn)定性,以及突變比例判斷點(diǎn)擊間隔時(shí)間變化是否異常���,能夠精準(zhǔn)把握點(diǎn)擊間隔時(shí)間的異常情況����。標(biāo)準(zhǔn)差越小說(shuō)明點(diǎn)擊間隔時(shí)間越穩(wěn)定�,突變比例越高則說(shuō)明變化越異常,有助于及時(shí)發(fā)現(xiàn)異常點(diǎn)擊行為。
87��、鍵盤輸入節(jié)奏熵變特征:通過(guò)按鍵節(jié)奏一致性(變異系數(shù)衡量)和異常按鍵檢測(cè)��,能夠有效評(píng)估鍵盤輸入節(jié)奏是否異常����。變異系數(shù)越小表明按鍵節(jié)奏越一致,異常按鍵比例越高說(shuō)明鍵盤輸入節(jié)奏越異常�����,為檢測(cè)鍵盤輸入相關(guān)的異常行為提供了有力手段��。
88�、單維度異常檢測(cè):分別針對(duì)鼠標(biāo)移動(dòng)軌跡熵變特征��、點(diǎn)擊間隔時(shí)間熵變特征和鍵盤輸入節(jié)奏熵變特征進(jìn)行獨(dú)立檢測(cè)���,當(dāng)某個(gè)維度的特征值超過(guò)相應(yīng)預(yù)設(shè)閾值時(shí)觸發(fā)單維度告警�����,這種方式簡(jiǎn)單直接��,能夠快速發(fā)現(xiàn)單一維度上的異常行為��,為及時(shí)采取措施提供依據(jù)�。
89、多維度聯(lián)合檢測(cè):綜合考慮三個(gè)維度的微觀行為特征���,計(jì)算綜合異常評(píng)分�。通過(guò)對(duì)多個(gè)歷史窗口的微觀行為數(shù)據(jù)進(jìn)行分析��,獲取特征最大值和最小值進(jìn)行歸一化處理后計(jì)算綜合異常評(píng)分�����,當(dāng)評(píng)分大于預(yù)設(shè)檢測(cè)閾值時(shí)觸發(fā)全局告警���。這種方式能夠從整體上評(píng)估用戶行為在多個(gè)維度同時(shí)出現(xiàn)異常的情況�����,提高對(duì)復(fù)雜異常行為的檢測(cè)能力���。
90、合理的威脅等級(jí)評(píng)估與響應(yīng)策略:根據(jù)異常行為檢測(cè)結(jié)果進(jìn)行威脅等級(jí)評(píng)估����,分為低風(fēng)險(xiǎn)����、中風(fēng)險(xiǎn)和高風(fēng)險(xiǎn)�����。低風(fēng)險(xiǎn)對(duì)應(yīng)僅出現(xiàn)單維度告警且綜合異常評(píng)分與檢測(cè)閾值差值大于預(yù)設(shè)評(píng)分差值閾值的情況�;中風(fēng)險(xiǎn)為出現(xiàn)單維度異常且綜合異常評(píng)分與檢測(cè)閾值差值小于等于預(yù)設(shè)評(píng)分差值閾值;高風(fēng)險(xiǎn)是出現(xiàn)多個(gè)單維度異常且出現(xiàn)全局告警�。針對(duì)不同威脅等級(jí)采取對(duì)應(yīng)預(yù)設(shè)的響應(yīng)策略,能夠更有針對(duì)性地應(yīng)對(duì)不同程度的安全威脅���,提高網(wǎng)絡(luò)攻擊安全檢測(cè)的實(shí)用性和有效性��,保障計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)的安全穩(wěn)定運(yùn)行。