具有隐私保护功能的分布式异常流量检测方法与系统

摘要

本发明公开了一种具有隐私保护功能的分布式异常流量检测方法与系统。该检测方法包括参与方处理步骤、代理方加密步骤、异常检测步骤、代理方解密步骤和公布攻击事件步骤；该检测系统包括参与方模块、代理方模块以及异常流量分析与发布中心模块。本发明可以有效的解决参与方网络数据流隐私保护问题，从而鼓励大众参与到检测系统中来，进而扩大检测范围，有效的提高了分布式攻击的检测率，并同时具有检测已知的和未知的分布式异常流量攻击的。

说明书

技术领域

本发明涉及信息安全领域，尤其涉及一种具有隐私保护功能的分布式异常流量检测方法与系统。

背景技术

 分布式异常流量攻击，是指一种基于分布式流量攻击（如分布式拒绝服务、扫描等）的大规模协作攻击方式。它借助于客户/服务器、点到点技术等，将多台僵尸机整合成一个受控的大规模僵尸网络，利用该僵尸网络作为攻击平台，实现对一个或多个目标的异常流量攻击。通常可以将分布式异常流量攻击分为两部分：攻击者与受控端。攻击者通过某种方式进入僵尸网络中，向受控端发送攻击命令，并控制整个攻击过程。受控端，即僵尸机，当一台正常的计算机被攻击者控制后即成为僵尸机并加入到僵尸网络中，僵尸机会定期或不定期与攻击者联系并获取攻击者的攻击指令，对指定的目标发起异常流量攻击。

目前针对异常流量的检测技术可以分为基于特征码的异常检测技术和基于数值的异常检测技术两大类。

基于特征码的网络异常流量检测技术的实现过程是：捕获网络数据包通过分析应用层、传输层或网络层的网络流量特征，与已知的网络异常流量特征库的特征码进行比对，如果比对成功则说明网络流量中存在异常，否则为正常网络流量；基于特征码的网络异常流量检测技术的具体实现可以采用检测应用层、传输层或网络层单个的网络流量检测，也可以采用跨层检测，即检测应用层、传输层和网络层的组合网络流量特征进行检测。采用基于特征码的异常流量检测技术的好处是误报率小，缺点是不具备检测新的未知异常流量攻击的能力，仅当其特征库中事先保存有危险网络数据流特征码的情况下才能检测到已知的异常攻击事件。

基于数值的异常检测技术将网络行为分为正常网络行为和异常网络行为两类，首先通过建立正常行为模型，然后将提取到的网络行为特征也与已建立的正常行为模型进行比对。比对的结果如果超过一个事先给定的阈值，则检测到异常网络流量，否则说明网络数据量为正常网络流量。常见的基于数值的异常检测方法主要包括：基于统计异常检测法、基于机器学习的异常检测方法、基于数据挖掘的异常检测法和基于神经网络的异常检测法等。异常检测方法的正常行为模型的建立需要获取网络行为特征，然后在采用相应的方法进行建立，如统计模型中常用的测量测度包括审计事件的数量、间隔时间、资源消耗等。

针对分布式异常流量攻击，传统的基于数值的异常检测技术主要存在检测能力差的缺点。网络异常流量攻击主要由攻击者通过控制大规模的受控端（僵尸机）发起，由于互联网自身的无国界特性，使得受控端的分布非常广泛，如不同的网络运营商，甚至于不同的国家。而目前检测网络异常流量通常采用各自为政的方式，即各单位单独建设自己的网络流量异常检测系统，无法应对当前的网络异常流量攻击的大范围性和大规模性，直接的结果是目前互联网上的异常流量攻击大量存在。因此，迫切需要一种有针对性的能够大范围，大规模实现信息收集和异常检测的方法。

为实现对大规模分布式异常流量攻击的检测，最有效的方法是各单位协作应对异常流量攻击。通过搜集各个单位主机的网络行为信息，可实现对大范围内异常网络流量的检测。传统的信息收集方法以直接共享网络行为信息为基础，将原始数据暴露于各个主机之间。随着分布式系统规模的增大，会涉及到大量不同地域、不同单位的主机。而现实中不同单位并不愿意将自己被攻击的信息如攻击时间、攻击次数、攻击源IP、目标IP，以及系统崩溃时间之类的敏感信息共享出来。因此，若没有对网络数据流隐私的有效保护，就鲜有参与方愿意加入，这样大范围、大规模的异常流量攻击检测就难以在现实中有效的得到实现。

发明内容

针对现有技术的不足，本发明的第一目的是提供一种具有隐私保护功能的分布式异常流量检测方法。针对现有技术的不足，本发明的另一目的是提供一种具有隐私保护功能的分布式异常流量检测系统。

本发明的第一目的是通过以下技术方案实现的：

一种具有隐私保护功能的分布式异常流量检测方法，包括以下步骤：

S1，参与方处理步骤：参与方发现网络异常流量攻击可疑事件，对包含该可疑事件信息的原始报文进行初次加密，得到初次加密报文，将该初次加密报文发送到代理方；

S2，代理方加密步骤：代理方对初次加密报文进行再次加密，将再次加密报文发送到异常流量分析与发布中心；

S3，异常检测步骤：异常流量分析与发布中心对再次加密报文进行解密，利用得到的初次加密报文，根据预设的全局异常流量检测模型进行检测，判断是否为一次异常流量攻击事件，若是则将初次加密报文中的需解密部分发回代理方，要求代理方解密；

S4，代理方解密步骤：代理方对初次加密报文中的需解密部分进行解密，将解密结果发回异常流量分析与发布中心；

S5，公布攻击事件步骤：异常流量分析与发布中心得到解密结果后，将该次异常流量攻击事件进行公开发布。

根据本发明的一个优选的实施例，所述参与方处理步骤可进一步具体为：

S11，参与方捕获网络数据包；

S12，参与方根据本地异常数据流量检测策略发现网络数据流量可疑事件；

S13，将该可疑事件的相关信息写入原始报文，原始报文的格式为该次可疑事件的关键字与该关键词的对应值的二元组；

S14，对关键字分别按消息摘要函数和基于密钥的代理方公钥进行加密，结合对应值的明文，得到初次加密报文；

S15，将初次加密报文发送到代理方。

二元组的采用可以让异常流量分析与发布中心使用基于特征码或者基于数值的网络异常流量检测方法，从而能同时检测已知的和未知的异常流量攻击事件。消息摘要函数加密用于数据传输的校验，能够保证数据的完整性，防止因通信错误导致的后续错误。公钥加密算法安全性高，管理密码简单，便于互联网的传播。从而既能够满足异常流量分析与发布中心的检测需要，又能够很好的保护参与方隐私。

根据本发明的另一个优选的实施例，所述代理方加密步骤可进一步具体为：对初次加密报文按异常流量分析与发布中心的公钥进行加密，得到再次加密报文，将再次加密报文发送到异常流量分析与发布中心。公钥加密算法安全性高，管理密码简单，便于互联网的传播。

根据本发明的又一个优选的实施例，所述代理方解密步骤可进一步具体为：对初次加密报文中的需解密部分用代理方的私钥进行解密，将解密结果发回异常流量分析与发布中心。公钥加解密算法安全性高，管理密码简单，便于互联网的传播。

根据本发明的再一个优选的实施例，所述异常检测步骤中所用的全局异常流量模型为基于特征码或基于数值的异常流量检测模型。这样异常流量分析与发布中心能同时检测已知和未知的异常流量攻击事件，适用范围广，检测能力强。

根据本发明的还一个优选的实施例，加密与解密过程所用的公钥加解密算法为RSA算法。Rivest-Shamir-Adleman (RSA) 加密算法是目前应用最广泛的公钥加密算法，以它的三位发明者的名字命名。RSA 算法的安全性高，并且能够进行数字签名和密钥交换运算，特别适用于通过互联网传送的数据。

   本发明的另一目的是通过以下技术方案实现的：

一种具有隐私保护功能的分布式异常流量检测系统，包括参与方模块、代理方模块以及异常流量分析与发布中心模块；

至少一个所述参与方模块与所述代理方模块相连接，该参与方模块依据本地异常数据流量检测策略发现网络数据流量可疑事件，并将内含该可疑事件相关信息的原始报文进行初次加密，得到初次加密报文，最后将该初次加密报文发送到代理方模块；

至少一个所述代理方模块与所述异常流量分析与发布中心模块相连接，该代理方模块对所述初次加密报文进行再次加密后得到再次加密报文，并将该再次加密报文发送到异常流量分析与发布中心模块；该代理方模块还接收来自异常流量分析与发布中心模块的初次加密报文中的需解密部分，代理方模块将该需解密部分解密后将解密结果发回异常流量分析与发布中心模块；

所述异常流量分析与发布中心模块对再次加密报文进行解密得到初次加密报文，利用初次加密报文按照预设的全局异常流量模型判断所述网络数据流量可疑事件是否确为一次全局的异常流量攻击事件，若是则将该初次加密报文中的需解密部分发回代理方模块，要求代理方模块进行解密，接收到反馈回来的解密结果后，将该次异常流量攻击事件进行公开发布。

根据本发明的一个优选的实施例，所述原始报文为包含可疑事件特征的关键字以及该关键字的对应值组成的二元组；所述常流量分析与发布中心模块中的全局异常流量模型为基于特征码或基于数值的异常流量检测模型。这样可以让异常流量分析与发布中心使用基于特征码或者基于数值的网络异常流量检测方法，从而能同时检测已知和未知的异常流量攻击事件，适用范围广，检测能力强。

根据本发明的另一个优选的实施例，所述初次加密报文为，对原始报文关键字分别用消息摘要函数和基于密钥的代理方模块的公钥进行加密作为加密部分，保留关键字的对应值明文作为明文部分的半加密数据包；所述再次加密报文为，对初次加密报文用异常流量分析与发布中心模块的公钥进行加密得到的全加密数据包。对关键字用消息摘要函数进行加密，用于参与方模块、代理方模块与异常流量分析与发布中心模块之间数据传输的校验。互联网数据通信之间的校验能够保证数据的完整性，防止因通信错误导致的后续错误。公钥加密算法安全性高，管理密码简单，便于互联网的传播。从而既能够满足异常流量分析与发布中心的检测需要，又能够很好的保护参与方隐私。

根据本发明的又一个优选的实施例，加密与解密过程所用的公钥加解密算法为RSA算法。RSA 算法的安全性高，并且能够进行数字签名和密钥交换运算，特别适用于通过互联网传送的数据。

本发明的有益效果在于：

（1）对于具有隐私保护功能的分布式异常流量检测方法而言，由于采用了参与方处理步骤、代理方加密步骤、异常检测步骤、代理方解密步骤和公布攻击事件五个相对独立的步骤，使参与方、代理方、异常流量分析与发布中心三者能相对分开，从而让大范围内的分布式异常流量检测得到实现。同时在参与方处理步骤、代理方加密步骤、异常检测步骤、代理方解密步骤这四个步骤中均使用了加密和解密方法，既能够满足异常流量分析与发布中心的检测需要，又能够很好的保护参与方隐私，从而鼓励更多的参与方加入其中，使大规模的分布式异常流量检测得到有效的实现。

（2）对于具有隐私保护功能的分布式异常流量检测系统而言，由于采用了分布于不同地方的多个参与方连接到一个代理方，再由多个这样的代理方将各地的信息汇总到异常流量分析与发布中心这样的结构，故能处理大范围内发生的异常流量攻击事件，具有对大范围内异常流量攻击的针对性，检测能力强。同时在参与方、代理方和异常流量分析与发布中心之间的网络传输中合理的运用了加密解密算法，一方面能够使异常流量分析与发布中心有效的检测出异常流量攻击事件，另一方面又有效的保护了参与方的隐私，从而鼓励更多的参与方加入进来，使大规模的分布式异常流量检测能够有效实现。

附图说明

图1为本发明的分布式异常流量攻击示意图。

图2为本发明的具有隐私保护功能的分布式异常流量检测方法的步骤示意图。

图3为本发明的具有隐私保护功能的分布式异常流量检测系统的模块示意图。

图4为本发明的参与方处理步骤流程图。

图5为本发明的设备结构示意图。

具体实施方式

本说明书中公开的所有特征，或公开的所有方法或过程中的步骤，除了互相排斥的特征和/或步骤以外，均可以以任何方式组合。

本说明书（包括任何附加权利要求、摘要和附图）中公开的任一特征，除非特别叙述，均可被其他等效或具有类似目的的替代特征加以替换。即，除非特别叙述，每个特征只是一系列等效或类似特征中的一个例子而已。

下面，结合附图对本发明的技术方案做详细的说明。

如图1所示，为本发明的分布式异常流量攻击示意图。当一台正常的计算机被攻击者控制后即成为僵尸机。攻击者将多台僵尸机整合成一个受控的大规模僵尸网络，利用该僵尸网络作为攻击平台，实现对一个或多个目标的异常流量攻击。

如图2、图3、图4所示，为本发明的具有隐私保护功能的分布式异常流量检测方法的步骤示意图与具有隐私保护功能的分布式异常流量检测系统的模块示意图以及参与方处理步骤流程图。

该检测方法包括参与方处理步骤、代理方加密步骤、异常检测步骤、代理方解密步骤和公布攻击事件五个步骤；该检测系统由参与方模块101、代理方模块102以及异常流量分析与发布中心模块103组成；至少一个所述参与方模块101与所述代理方模块102相连接，至少一个所述代理方模块102与所述异常流量分析与发布中心模块103相连接。

根据本发明一个优选的实施例，一次完整的异常流量检测过程如下：

参与方捕获网络数据包后，根据本地异常数据流量检测策略判断该网络数据包是否指向一次网络数据流量可疑事件。若否，则不为任何行为；若是，则将该可疑事件的相关信息写入原始报文，原始报文的格式为该次可疑事件的关键字与该关键词的对应值的二元组                                                ，k为关键字，可以是基于特征码的任意组合，但至少包含一个特征码；v为对应值，可以是异常检测所需的数值，如攻击次数、频率等，的任意组合，但至少包含一个数值；i为参与方的编号。对关键字k_i分别按消息摘要函数进行加密得到和按基于密钥的代理方公钥P_PBK进行加密得到，结合对应值的明文v_i，得到初次加密报文<,,v_i>。最后参与方将初次加密报文<,,v_i>发送到代理方。

代理方对初次加密报文<,,v_i>按异常流量分析与发布中心的公钥C_PBK进行加密，得到再次加密报文<，，>,而后代理方将该再次加密报文发送到异常流量分析与发布中心。

异常流量分析与发布中心用该中心私钥C_PRK解密，，和，得到初次加密报文<,,v_i>。异常流量分析与发布中心用从各代理接收的<,,v_i>按照基于数值的异常流量检测模型进行分布式全局异常流量检测。若当前的异常流量检测模型超过了一个预设的阈值，则认为检测到网络异常流量攻击，然后将满足网络异常流量攻击的初次加密报文中的需解密部分部分发送回代理方，要求代理方解密；若该检测模型未超过预设的阈值，则放弃该初次加密报文，本次流程结束。

代理方将异常流量分析与发布中心发来的用代理的私钥P_PRK进行解密,得到关键字明文k_i。而后代理方将解密后的关键字明文k_i发回到异常流量分析与发布中心。

异常流量分析与发布中心得到k_i后，与先前得到的v_i合并成原始报文，而后将该次网络异常流量攻击事件及其相关信息进行公开发布。

    上述过程中，消息摘要函数加密部分用于参与方、代理方与异常流量分析与发布中心之间数据传输的校验；所用的公钥加解密算法为RSA算法。

根据本发明的另一个实施例，可以选择保留原始报文中关键字明文，而将对应值进行加密，作为初次加密报文；在异常流量分析与发布中心按基于特征码的异常流量检测模型进行检测。

根据本发明的又一个实施例，加密解密算法可以不采用非对称的公钥加密算法，而选用对称密钥算法，如DES（Data Encryption Standard）数据加密标准等。

根据本发明的再一个实施例，公钥加解密算法，可以选用DSA(Digital Signature Algorithm) 数字签名算法。

如图5所示，为本发明的设备结构示意图。参与方为单位服务器或个人电脑等，多个参与方连接到远程的作为代理方的代理设备上，多个代理设备再连接到异常流量分析与发布设备。由此可以完成远程大范围内大规模的信息收集和异常流量检测功能。

本发明并不局限于前述的具体实施方式。本发明扩展到任何在本说明书中披露的新特征或任何新的组合，以及披露的任一新的方法或过程的步骤或任何新的组合。