恶意加密网络流量识别的习得的简况制造技术

用于识别与经由网络传送的恶意软件组件相关联的恶意加密网络流量的方法，该方法包括：针对恶意程序，定义网络流量的在恶意程序的网络传送中按预定义偏移发生的多个连续字节的部分；提取用于恶意程序的多个相异网络连接中的每一个的网络流量的定义的部分；评估每个提取的部分中的每个字节的度量；将矩阵数据结构的每个提取部分表示为像素的图像，其中，每个像素对应于提取部分的字节；基于提取部分的图像来训练神经网络，使得后续网络流量可以被神经网络分类，以基于为表示后续网络流量的定义的部分生成的图像来识别与恶意程序相关联的恶意网络流量。

A brief introduction to the acquisition of malicious encrypted network traffic recognition

A method for identification of malicious software components and transmitted through the network associated malicious encryption of network traffic, the method includes: for malware, according to multiple consecutive bytes of the predefined offset part definition of network traffic in the network transmission of malicious programs; extraction is used to define a plurality of different network connections in the malicious program each part of the network traffic measurement; each byte of each extracted part of the assessment; each matrix data structure to extract part of said pixel image, where each pixel to byte extraction part; based on the extracted portion of the image to train the neural network, the network traffic can be neural network classification, based on the said part of the image formation of the definition of subsequent network traffic to identify malicious programs associated with evil Italy network traffic.

【技术实现步骤摘要】
【国外来华专利技术】恶意加密网络流量识别的习得的简况
本专利技术涉及对恶意网络传送的检测。具体来说，本专利技术涉及改进的恶意网络流量检测。
技术介绍
恶意软件(也称为计算机恶意代码或恶意程序)是意图对一个或更多个计算机系统正常直接或非直接伤害的软件。这样的伤害可以表现为：对整个或部分计算机系统的操作的破坏或阻止；访问私有的、敏感的、安全的和/或机密的数据、软件和/或计算设施的资源；或者施行违法的、不合法的或欺骗行为。恶意程序特别包括：计算机病毒、蠕虫、僵尸网络、木马、间谍软件、广告软件、黑客程序、键盘记录器、拨号器、恶意浏览器扩展程序或插件以及流氓安全软件。恶意程序扩散可以通过很多方式发生。恶意程序可以作为电子邮件的一部分(诸如附件或嵌入)来传送。另选地，恶意程序可以伪装为真正的软件、或者与真正的软件一起或在真正的软件内嵌入、附加、或者另外地传送。一些恶意程序能够经由存储设备(诸如可移除的、移动式或便携式存储，包括存储卡、硬盘驱动器、记忆棒等)或者经由共享的或网络附加的存储来传播。恶意程序还可以通过计算机网络连接(诸如互联网)经由网站或者其他网络设施或资源来传送。恶意程序可以通过利用计算机系统中的漏洞(诸如软件或硬件组件中的漏洞，所述软件或硬件组件包括软件应用、浏览器、操作系统、设备驱动器、或者联网、接口或存储硬件)来传播。漏洞可以是计算机系统(诸如计算机、操作系统、已连接的计算机的网络、或者一个或多个软件组件(诸如应用))中的弱点。这样的弱点可以表现为软件代码中的缺陷、错误或故障，其呈现可利用的安全弱点。这样的弱点的示例是缓冲超限漏洞，其中，以一种形式，被设计为在存储器的区域中存储数据的接口允许调用程序提供比能容纳在存储器的可执行区域中的数据多的数据。额外的数据可以覆写存储在存储器中的可执行代码，并且因此这样的弱点可以允许恶意可执行代码存储在存储器的可执行区域内。这样的恶意可执行代码的示例称为“溢出代码(shellcode)”，其可以用来通过例如计算机系统中的执行、安装和/或资源重配置来利用漏洞。这样的弱点一旦被利用就可以引导更大程度利用目标系统的过程。恶意程序对计算机系统的操作和/或安全的影响导致需要识别计算机系统中的恶意程序，以便实施保护性和/或补救性措施。通过对目标系统中的漏洞的利用，通过网络连接(诸如互联网)传播或传送的恶意程序可以特别难以检测。很多系统参照恶意程序“特征码(signature)”的字典来监控在文件系统中存储或接收的文件。特征码可以是与已知恶意程序相关联的数据的模式(pattern)。这样的方法需要接收已知恶意程序，并且易受恶意程序中细微变化的影响，所述细微变化可以致使恶意程序鉴于已存储的特征码不可检测。其它系统监控软件的行为来识别可疑行为以便检测潜在的恶意程序。因此，这样的系统在事后检测恶意程序感染，并且易受恶意程序中的变化及被专门设计为最小化可疑行为的恶意程序(诸如设计为举止像真正的软件一样的恶意程序)的影响。恶意程序检测的另选方法是检测与通过网络连接传播或传染的恶意程序相关联的网络流量。这样的网络流量可以认为是作为由计算机系统接收到的或发生在计算机系统之间的网络传送的一部分存在的恶意网络流量，诸如由在计算机系统上已安装的、正在安装的、或正在为安装而传送的恶意程序软件引起的流量。传统的恶意流量检测机制依赖于包括网路流量拦截和分析、或网络连接摘要在内的技术，所述网络连接摘要技术可以确定网络连接的关键特征(诸如源地址和目的地地址、源端口和目的地端口以及协议(称为流量表征5元组))。这样的设施由诸如NetFlow(思科)或YetAnotherFlowmeter(YAF)技术来提供。利用这些方法，恶意程序传送的检测依赖于网络流量的分析(或流量的摘要)以识别恶意流量的已知特征，诸如已知的服务器地址、协议和/或端口组合。这样的方法效用有限，因为并不能够在不还使用工具(诸如BotHunter)通过深度分组检测(DPI)来参照网络流量的分组的内容的情况下总是从非恶意流量中区分恶意流量。BotHunter使用DPI来搜索网络流量中的特定模式以检测与已知恶意程序相关联的可执行的下载或特征码串。然而，在恶意网络流量加密的情况下，DPI是无效的。论文“DetectingEncryptedBotnetTraffic”(Zhang等人，ComputerComunicationsWorkshops(INFOCOMWKSHPS)，2013)确认了在存在加密流量时诸如BotHunter的检测系统如何显著遭受降低达几乎50％的检测速率。Zhang等人描述了使用BotHunter来检测加密恶意流量的方法。Zhang等人的方法在以下前提下工作，即，至少一个高熵流连同BotHunter检测的其它特征的存在是加密恶意流量的可靠检测器。在信息理论中，熵是随机变量的不确定性程度的量度(“Entropy”，R.L.DobrushinV.V.Prelov,EncyclopediaofMathematics,Springer,2002,ISBN1402006098)。在“AMathematicalTheoryofCommunication”(C.E.Shannon,TheBellSystemTechnicalJournal,Vol.27,pp.379–423,623–656,July,October,1948)中详细定义了并且从如统计力学中定义的熵量度中推导了熵计算和信息源的熵的理论基础。Zhang描述了网络传送中的分组的熵的估计量度。超过阈值的传送的熵的估计被定义为“高熵”，并且对高熵流的识别有助于加密恶意流量的检测。Zhang以高熵流的检测作为恶意网络流量的指示器为前提。加密的网络流量还作为非恶意应用的一部分出现(诸如来自真正的和/或授权的软件应用的为了安全目的而加密的流量)。因此，检测和响应高熵流是有问题的，其中非恶意流量可被错误地识别为潜在恶意流量。论文“DetectingSubvertedCryptographicProtocolsbyEntropyChecking”(J.Olivain和J.Goubault-Larrecq,2006)描述了基于计算流的熵来检测攻击的方法。Olivain等人的方法针对加密协议上未加扰的流量的检测作为检测潜在恶意流量的方式。具体来说，Olivain等人观察加密的网络流量的熵的量度将如何趋向于随机源的熵，使得在网络流量由字符(如来自256字节的字母的字节)构成的情况下，加密的网络流量的熵趋向于每字节8比特。在此基础上，Olivain等人提出了恶意流量检测的方法，所述方法基于趋向于随机源的熵的可接受的熵的量度的范围，使得将不始终以这种方式趋向的流量识别为未加扰的和恶意的。Olivain等人确认了他们的技术的相当多的缺点，其可以被自身加密的恶意流量反抗。这是因为加密的恶意流量也将呈现出趋向于随机源的熵的熵，并且因此变得不可与非恶意加密流量区分。Bestuzhev强调了恶意程序能够以加密形式发送，导致现有的自动恶意程序检测系统不正确地工作((Bestuzhev,2010,www.securelist.com/en/blog/208193235/Steganography_or_encryption_i本文档来自技高网...

【技术保护点】
一种用于识别恶意加密网络流量的方法，所述恶意加密网络流量与经由网络传送的恶意程序组件相关联，所述方法包括：针对所述恶意程序，定义网络流量的包括在所述恶意程序的网络传送中按预定义偏移发生的多个连续字节的部分；提取用于所述恶意程序的多个相异网络连接中的每一个的网络流量的所定义的部分；评估每个提取部分中的每个字节的度量；将矩阵数据结构的每个提取部分表示为像素的图像，其中，每个像素对应于所述提取部分的字节；基于所述提取部分的所述图像来训练神经网络，使得后续网络流量能够被所述神经网络分类，以基于为表示所述后续网络流量的所定义的部分生成的图像来识别与所述恶意程序相关联的恶意网络流量。

【技术特征摘要】
【国外来华专利技术】2015.03.17 EP 15275068.31.一种用于识别恶意加密网络流量的方法，所述恶意加密网络流量与经由网络传送的恶意程序组件相关联，所述方法包括：针对所述恶意程序，定义网络流量的包括在所述恶意程序的网络传送中按预定义偏移发生的多个连续字节的部分；提取用于所述恶意程序的多个相异网络连接中的每一个的网络流量的所定义的部分；评估每个提取部分中的每个字节的度量；将矩阵数据结构的每个提取部分表示为像素的图像，其中，每个像素对应于所述提取部分的字节；基于所述提取部分的所述图像来训练神经网络，使得后续网络流量能够被所述神经网络分类，以基于为表示所述后续网络流量的所定义的部分生成的图像来识别与所述恶意程序相关联的恶意网络流量。2.根据权利要求1所述的方法，其中，所述度量是傅里叶变换系数。3.根据权利要求1所述的方法，其中，所述度量是作为字节的不确定性程度的量度的熵的量度。4.根据任一前述权利要求所述的方法，其中，网络流量的所定义的部分是所述网络流量的子集，所述子集在传输协议握手之后并且直到一预定端点。5.根据权利要求4所述的方法，其中，所述预定端点被选择为对应于网络流量的应用协议连接建立部分的结束。6.根据权利要求1到5中任一项所述的方法，该方法还包括：响应于识别到恶意网络流量，触发保护性组件相对于所述恶意加密网络流量保护所述网络连接的端点。7.根据权利要求6所述的方法，其中，所述保护性组件能够工作为进行以下中的一项或更多项：终止所述网络连接；发起针对...

【专利技术属性】
技术研发人员：F·艾尔莫萨，B·阿兹维恩，G·卡洛斯，
申请(专利权)人：英国电讯有限公司，
类型：发明
国别省市：英国,GB