一种基于大数据关联的网络攻击检测方法技术

本发明专利技术提出了一种基于大数据关联的网络攻击检测方法，该方法包括：对历史木马程序进行大数据挖掘分析，挖掘历史木马程序的频繁邻接情节，由历史木马程序的频繁邻接情节构成频繁情节知识库；将目标程序的邻接情节与频繁情节知识库中的历史木马程序的频繁邻接情节进行对比匹配，若匹配上，则判定所述目标程序为木马程序；若未匹配上，则采用朴素贝叶斯算法判断所述目标程序是否为木马程序；当判定目标程序为木马程序时，根据目标程序的邻接情节后缀事件，预测目标程序后续攻击行为。本发明专利技术可以提高对未知木马程序的检测率，并对木马程序提供有效的控制手段。

【技术实现步骤摘要】

本专利技术涉及互联网安全
，尤其涉及一种基于大数据关联的网络攻击检测方法。
技术介绍
随着网络技术的不断发展，网络开始大规模的覆盖人们日常生活、工作、学习等各个领域。在享受网络带来的巨大便利的同时，人们也面临着严重的安全威胁。木马(Trojan)程序作为一种攻击工具，被用来窃取用户各种账号、机密文件、隐私信息等重要信息，从而为攻击者谋取利益，严重威胁着互联网用户的隐私和数据安全。目前，主流的木马程序检测技术有以下两种：特征码检测技术和基于木马程序行为特征检测技术。基于特征码的木马程序检测方法：分析已知木马程序和被感染的系统文件，总结归纳出木马程序特征码，并构造木马程序特征库。所述木马程序特征是通过分析木马在目标程序中运行时进程名称、木马原始文件及生成文件的特征字符串、启动加载的方式、生成的文件名、文件大小及所在目录、使用的固定端口等信息得出。当判断目标程序是否为木马程序时，将目标程序的特征码与木马程序特征库中的特征码进行对比，如果特征码匹配，则目标程序判定为木马程序。基于行为特征的木马程序检测方法：通过木马程序特有的行为特征来判断木马程序的一种方法。该方法主要是通过对木马程序长期的观察、分析、研究和归纳，提取出木马程序的通适性行为特征，而这些通适性行为特征在正常程序中不常出现。通过监视程序运行时的行为，当发现木马程序行为特征时，系统就会发出可疑木马程序报警，并采取木马程序处理措施。主要的木马行为特征有：对可执行文件做写入操作、盗用截流系统中断、病毒程序与宿主程序切换、写引导扇区或执行格式化磁盘、修改注册表、修改启动项、修改文件关联、注册为系统服务、创建网络通信通道、常用端口服用、打开不常用端口等可疑行为。通常基于特征码的木马程序检测方法与基于行为特征的木马程序检测方法均是通过对比已知木马程序特征，以识别木马程序，对已知木马程序具有较高的检测准确率，误报率较低。但是上述两种方法无法有效识别未知木马程序，缺乏对未知木马程序的有效控制手段。
技术实现思路
本专利技术要解决的技术问题是，提供一种基于大数据关联的网络攻击检测方法，提高对未知木马程序的检测准确率。本专利技术采用的技术方案是，所述基于大数据关联的网络攻击检测方法，包括：步骤一，对历史木马程序进行大数据挖掘分析，挖掘历史木马程序的频繁邻接情节，由历史木马程序的频繁邻接情节构成频繁情节知识库；步骤二，将目标程序的邻接情节与频繁情节知识库中的历史木马程序的频繁邻接情节进行对比匹配，若匹配上，则判定所述目标程序为木马程序；若未匹配上，则采用朴素贝叶斯算法判断所述目标程序是否为木马程序；步骤三，当判定目标程序为木马程序时，根据目标程序的邻接情节后缀事件，预测目标程序后续攻击行为。进一步的，步骤一，具体包括：分析每一个历史木马程序在不同时段的活动行为特征，所述活动行为特征包含历史木马程序活动行为特征向量S和历史木马程序事件序列K；S＝[(a1,t1),(a2,t2),…(ai,ti),…(an,tn)]；K＝[a1,a2,…ai,…an]；其中，ai是历史木马程序在ti时段的活动行为特征；按照时间的先后顺序从前往后排列各时段出现的顺序如下：t1，t2，……，tn；变量i的取值范围：1≤i≤n；n为木马程序的事件序列长度；将所有历史木马程序事件序列K存入数据库，形成历史木马程序事件序列库；对历史木马程序事件序列库中的所有历史木马程序事件序列K通过自动机进行频繁邻接情节挖掘，由历史木马程序的频繁邻接情节构成频繁情节知识库。进一步的，其特征在于，所述对历史木马程序事件序列库中的所有历史木马程序事件序列K通过自动机进行频繁邻接情节挖掘，由历史木马程序的频繁邻接情节构成频繁情节知识库，具体包括：从历史木马程序事件序列库中的所有历史木马程序事件序列K通过自动机挖掘出长度为j的频繁邻接情节集合Ej；依此类推，按照挖掘长度为j的频繁邻接情节集合Ej的方法挖掘长度从2至M的频繁邻接情节集合，并由长度从2至M的范围内各长度的频繁邻接情节集合构成频繁情节知识库；在任一程序中依次发生的事件称为邻接情节；变量j的取值范围为：2≤j≤M；M是历史木马程序事件序列K的最长邻接情节长度。进一步的，所述自动机挖掘出长度为j的邻接情节集合Ej，具体包括：将所述历史木马程序事件序列库中任意两个历史木马程序事件序列K拆解为两个长度为j的邻接情节集合，对两个邻接情节集合中长度为j的邻接情节进行对比匹配，当邻接情节完全匹配时，匹配的邻接情节为自动机挖掘出的长度为j的邻接情节，并对长度为j的邻接情节出现次数加1；当邻接情节的出现次数不小于支持度阈值时，将邻接情节放入长度为j的频繁邻接情节集合Ej中；当邻接情节的出现次数小于支持度阈值时，不将邻接情节放入长度为j的频繁邻接情节集合Ej中；进一步的，步骤二，具体包括：对目标程序进行最长邻接情节挖掘，生成目标程序邻接情节em；em＝[b1,b2,…bi,…,bm]；其中，bi为目标程序依次发生的活动行为特征；变量i的取值范围为：1≤i≤m；m为目标程序的事件序列长度；将目标程序邻接情节em与频繁邻接情节知识库中的频繁邻接情节进行对比，若目标程序邻接情节em与频繁邻接情节知识库中的频繁邻接情节匹配，则判定目标程序为木马程序；若目标程序邻接情节em与频繁邻接情节知识库中的频繁邻接情节不匹配，则采用朴素贝叶斯算法判断所述目标程序是否为木马程序。进一步的，所述采用朴素贝叶斯算法判断所述目标程序是否为木马程序，具体包括：B1：设置随机变量分类集C；C＝{正常程序，不确定程序，木马程序本文档来自技高网...

【技术保护点】
一种基于大数据关联的网络攻击检测方法，其特征在于，包括：步骤一，对历史木马程序进行大数据挖掘分析，挖掘历史木马程序的频繁邻接情节，由历史木马程序的频繁邻接情节构成频繁情节知识库；步骤二，将目标程序的邻接情节与频繁情节知识库中的历史木马程序的频繁邻接情节进行对比匹配，若匹配上，则判定所述目标程序为木马程序；若未匹配上，则采用朴素贝叶斯算法判断所述目标程序是否为木马程序；步骤三，当判定目标程序为木马程序时，根据目标程序的邻接情节后缀事件，预测目标程序后续攻击行为。

【技术特征摘要】
1.一种基于大数据关联的网络攻击检测方法，其特征在于，包括：
步骤一，对历史木马程序进行大数据挖掘分析，挖掘历史木马程序的频繁邻接情节，由历史木马程序的频繁邻接情节构成频繁情节知识库；
步骤二，将目标程序的邻接情节与频繁情节知识库中的历史木马程序的频繁邻接情节进行对比匹配，若匹配上，则判定所述目标程序为木马程序；若未匹配上，则采用朴素贝叶斯算法判断所述目标程序是否为木马程序；
步骤三，当判定目标程序为木马程序时，根据目标程序的邻接情节后缀事件，预测目标程序后续攻击行为。
2.根据权利要求1所述的基于大数据关联的网络攻击检测方法，其特征在于，步骤一，具体包括：
分析每一个历史木马程序在不同时段的活动行为特征，所述活动行为特征包含历史木马程序活动行为特征向量S和历史木马程序事件序列K；
S＝[(a1,t1),(a2,t2),…(ai,ti),…(an,tn)]；
K＝[a1,a2,…ai,…an]；
其中，ai是历史木马程序在ti时段的活动行为特征；
按照时间的先后顺序从前往后排列各时段出现的顺序如下：t1，t2，……，tn；
变量i的取值范围：1≤i≤n；
n为木马程序的事件序列长度；
将所有历史木马程序事件序列K存入数据库，形成历史木马程序事件序列库；
对历史木马程序事件序列库中的所有历史木马程序事件序列K通过自动机进行频繁邻接情节挖掘，由历史木马程序的频繁邻接情节构成频繁情节知识库。
3.根据权利要求2所述的基于大数据关联的网络攻击检测方法，其特征在于，所述对历史木马程序事件序列库中的所有历史木马程序事件序列K通过自动机进行频繁邻接情节挖掘，由历史木马程序的频繁邻接情节构成频繁情节知识库，具体包括：
从历史木马程序事件序列库中的所有历史木马程序事件序列K通过自动机挖掘出长度为j的频繁邻接情节集合Ej；
依此类推，按照挖掘长度为j的频繁邻接情节集合Ej的方法挖...

【专利技术属性】
技术研发人员：焦栋，敖乃翔，王辰，王德勇，徐心毅，郭静，
申请(专利权)人：中国电子科技集团公司电子科学研究院，
类型：发明
国别省市：北京;11