【技术实现步骤摘要】
本专利技术涉及互联网安全
,尤其涉及一种基于大数据关联的网络攻击检测方法。
技术介绍
随着网络技术的不断发展,网络开始大规模的覆盖人们日常生活、工作、学习等各个领域。在享受网络带来的巨大便利的同时,人们也面临着严重的安全威胁。木马(Trojan)程序作为一种攻击工具,被用来窃取用户各种账号、机密文件、隐私信息等重要信息,从而为攻击者谋取利益,严重威胁着互联网用户的隐私和数据安全。目前,主流的木马程序检测技术有以下两种:特征码检测技术和基于木马程序行为特征检测技术。基于特征码的木马程序检测方法:分析已知木马程序和被感染的系统文件,总结归纳出木马程序特征码,并构造木马程序特征库。所述木马程序特征是通过分析木马在目标程序中运行时进程名称、木马原始文件及生成文件的特征字符串、启动加载的方式、生成的文件名、文件大小及所在目录、使用的固定端口等信息得出。当判断目标程序是否为木马程序时,将目标程序的特征码与木马程序特征库中的特征码进行对比,如果特征码匹配,则目标程序判定为木马程序。基于行为特征的木马程序检测方法:通过木马程序特有的行为特征来判断木马程序的一种方法。该方法主要是通过对木马程序长期的观察、分析、研究和归纳,提取出木马程序的通适性行为特征,而这些通适性行为特征在正常程序中不常出现。通过监视程序运行时的行为,当发现木马程序行为特征时,系统就会发出可疑木马程序报警,并采取木马 ...
【技术保护点】
一种基于大数据关联的网络攻击检测方法,其特征在于,包括:步骤一,对历史木马程序进行大数据挖掘分析,挖掘历史木马程序的频繁邻接情节,由历史木马程序的频繁邻接情节构成频繁情节知识库;步骤二,将目标程序的邻接情节与频繁情节知识库中的历史木马程序的频繁邻接情节进行对比匹配,若匹配上,则判定所述目标程序为木马程序;若未匹配上,则采用朴素贝叶斯算法判断所述目标程序是否为木马程序;步骤三,当判定目标程序为木马程序时,根据目标程序的邻接情节后缀事件,预测目标程序后续攻击行为。
【技术特征摘要】
1.一种基于大数据关联的网络攻击检测方法,其特征在于,包括:
步骤一,对历史木马程序进行大数据挖掘分析,挖掘历史木马程序的频繁邻接情节,由历史木马程序的频繁邻接情节构成频繁情节知识库;
步骤二,将目标程序的邻接情节与频繁情节知识库中的历史木马程序的频繁邻接情节进行对比匹配,若匹配上,则判定所述目标程序为木马程序;若未匹配上,则采用朴素贝叶斯算法判断所述目标程序是否为木马程序;
步骤三,当判定目标程序为木马程序时,根据目标程序的邻接情节后缀事件,预测目标程序后续攻击行为。
2.根据权利要求1所述的基于大数据关联的网络攻击检测方法,其特征在于,步骤一,具体包括:
分析每一个历史木马程序在不同时段的活动行为特征,所述活动行为特征包含历史木马程序活动行为特征向量S和历史木马程序事件序列K;
S=[(a1,t1),(a2,t2),…(ai,ti),…(an,tn)];
K=[a1,a2,…ai,…an];
其中,ai是历史木马程序在ti时段的活动行为特征;
按照时间的先后顺序从前往后排列各时段出现的顺序如下:t1,t2,……,tn;
变量i的取值范围:1≤i≤n;
n为木马程序的事件序列长度;
将所有历史木马程序事件序列K存入数据库,形成历史木马程序事件序列库;
对历史木马程序事件序列库中的所有历史木马程序事件序列K通过自动机进行频繁邻接情节挖掘,由历史木马程序的频繁邻接情节构成频繁情节知识库。
3.根据权利要求2所述的基于大数据关联的网络攻击检测方法,其特征在于,所述对历史木马程序事件序列库中的所有历史木马程序事件序列K通过自动机进行频繁邻接情节挖掘,由历史木马程序的频繁邻接情节构成频繁情节知识库,具体包括:
从历史木马程序事件序列库中的所有历史木马程序事件序列K通过自动机挖掘出长度为j的频繁邻接情节集合Ej;
依此类推,按照挖掘长度为j的频繁邻接情节集合Ej的方法挖...
【专利技术属性】
技术研发人员:焦栋,敖乃翔,王辰,王德勇,徐心毅,郭静,
申请(专利权)人:中国电子科技集团公司电子科学研究院,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。