一种基于熵和支持向量机的高级持续性威胁的检测方法技术

本发明专利技术公开了一种基于熵和支持向量机的高级持续性威胁的检测方法，涉及信息安全技术领域。本发明专利技术在整理原始流量数据包之后，通过数据统计，计算局域网内流量信息的熵值进而提取新的特征向量，再使用支持向量机训练建立机器学习模型，最终达到检测高级持续性威胁的目的。本发明专利技术的优点是通过将连续的流量数据分段，将海量数据划分成数量级更小的流量段，进而能够很快地进行分类训练和检测。同时，将检测具体的恶意流量转化为检测包含恶意流量的流量段，极大地简化的数据的处理和减小了误报率。

【技术实现步骤摘要】
一种基于熵和支持向量机的高级持续性威胁的检测方法
本专利技术涉及信息安全
，尤其涉及一种检测高级持续性威胁的方法。
技术介绍
在过去的十几年中，全球互联网高速发展。同时，网络攻击也层出不穷，在攻击的数量和手段上都在不断发展。2010年，臭名昭著的网络攻击震网(Stuxnet)被安全研究人员发现并披露了大量的攻击细节。自此以后，高级持续性威胁(AdvancedPersistentThreats,APT)不断地出现在人们的视野。APT是一种长期的，针对特定目标高度定制化的网络攻击手段。由于其攻击行为特征多样，攻击方式层出不穷，因此传统的基于模式匹配的检测方式难以发挥有效的作用。近年来，已经有了许多关于APT检测的工作。针对APT攻击，许多安全厂商和研究人员给出了多种解决方案。“传统特征匹配”、“黑白名单”等技术都无法有效发现未知的APT攻击。因此，XuWang等人研究了许多APT攻击案例后提出，针对APT攻击中的通信阶段来检测是否存在命令与控制行为及其产生的流量，方案发现命令控制行为访问的目标地址之间的关联性相比较正常流量中的地址关联性有很大的不同之处，方案通过检测计算各个访问地址本文档来自技高网...

【技术保护点】
1.一种基于熵和支持向量机的高级持续性威胁的检测方法，其特征在于，包括如下步骤：a)在局域网中心交换机上记录流量数据，采集流量信息，流量信息包括但不限于数据包的源、目的地址，源、目的端口，字节数，时间戳；b)将采集保存的数据通过网络封包分析还原成数据流，保存数据流的若干个特征信息；c)设定一个时间段t，将步骤b)所得数据划分成n个时间间隔为t的样本，分别计算各个样本的若干个特征信息的熵值形成新的数据特征向量；d)以步骤c)中所得数据特征向量作为输入，通过机器学习来训练建立能够识别带有异常流量的模型，直至训练模型的评估指标达到指定阈值；e)使用步骤d)所得模型对任意一段时间间隔t内的流量进行分类...

【技术特征摘要】
1.一种基于熵和支持向量机的高级持续性威胁的检测方法，其特征在于，包括如下步骤：a)在局域网中心交换机上记录流量数据，采集流量信息，流量信息包括但不限于数据包的源、目的地址，源、目的端口，字节数，时间戳；b)将采集保存的数据通过网络封包分析还原成数据流，保存数据流的若干个特征信息；c)设定一个时间段t，将步骤b)所得数据划分成n个时间间隔为t的样本，分别计算各个样本的若干个特征信息的熵值形成新的数据特征向量；d)以步骤c)中所得数据特征向量作为输入，通过机器学习来训练建立能够识别带有异常流量的模型，直至训练模型的评估指标达到指定阈值；e)使用步骤d)所得模型对任意一段时间间隔t内的流量进行分类，从而判断这段流量中是否存在异常的数据流。2.根据权利要求1所述的一种基于熵和支持向量机的高级持续性威胁的检测方法，其特征在于，步骤b中，所述特征信息包括传输字节数，传输数据包个数和数据流的持续时间。3.根据权利要求1所述的一种基于熵和支持向量机的高级持续性威胁的检测方法，其特征在于，步骤b中，所述采集保存的数据包括正常流量数据样本和异常流量数据样本，其中正常流量数据样本来自于步骤a中收集的流量数据，异常流量数据样本来自公开的MilaParkour贡献的Contagio恶意软件数据库。4.根据权利要求1所述的一种基于熵和支持向量机的高级持续性威胁的检测方法，其特征在于，步骤c中，所述时间段t在100Mbps的网络中取10秒，处理数...

【专利技术属性】
技术研发人员：谭佳雨，王箭，
申请(专利权)人：南京航空航天大学，
类型：发明
国别省市：江苏,32