一种基于网络行为的木马检测方法技术
【技术实现步骤摘要】
一种基于网络行为的木马检测方法
本专利技术属于涉及网络安全
,更具体地说,涉及一种基于网络行为的木马检测方法。
技术介绍
随着网络的广泛应用与规模的发展壮大,网络资源共享与信息交流为人类工作和生活提供了极大的便利。基于TCP/IP架构的计算机网络是一个开放和自由的网络,提高网络信息服务灵活性的同时,也方便了黑客的入侵和攻击。从当前APT(AdvancedPersistentThreats,高级持续性威胁)流程中可以看到,木马仍然是攻击者用于渗透进目标网络,进行远程控制的首要手段。因此,对木马的网络行为进行检测是APT检测的一个重要环节。目前,针对木马的检测和防御的方法大致可以分为两大类:一类是基于主机的木马检测,该方法需要提前知道木马的文件特征值,建立木马检验特征库,在对木马进行检测时,将恶意软件特征值与特征库中木马进行特征对比。但是,因为木马特征库的建立存在滞后性,所以,这种方法不能检测到未知的木马程序,同时对一些现存的木马程序的变种,也难以实现有效检测;一类是基于网络的木马检测,该方法主要分为基于特征匹配的检测技术和基于协议分析的检测技术。其中,基于特征...
【技术保护点】
一种基于网络行为的木马检测方法,其特征在于,步骤如下:S1对网络数据包进行协议解析,识别出完整的数据包内容,对原始数据进行规范化预处理,用于特征提取;S2从基本、流量和内容三方面提取详细的特征;S3采用R‑SVM算法,根据各个特征的贡献度大小对提取出的大量数据特征进行降维处理,删除大量的冗余数据特征,然后根据筛选后的特征从原始数据集中提取,作为SVM分类器的训练集;S4采用组合核函数构建SVM分类器,并利用网格搜索对核函数参数进行参数寻优。
【技术特征摘要】
1.一种基于网络行为的木马检测方法,其特征在于,步骤如下:S1对网络数据包进行协议解析,识别出完整的数据包内容,对原始数据进行规范化预处理,用于特征提取;S2从基本、流量和内容三方面提取详细的特征;S3采用R-SVM算法,根据各个特征的贡献度大小对提取出的大量数据特征进行降维处理,删除大量的冗余数据特征,然后根据筛选后的特征从原始数据集中提取,作为SVM分类器的训练集;S4采用组合核函数构建SVM分类器,并利用网格搜索对核函数参数进行参数寻优。2.根据权利要求1所述的一种基于网络行为的木马检测方法,其特征在于,步骤S1的具体步骤为1.对数据包进行协议解析;2.离散型数据连续化;3.将连续型数据归一化。3.根据权利要求1所述的一种基于网络行为的木马检测方法,其特征...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。