本发明专利技术提供一种基于远程桌面加密网络流量模式差异的用户行为检测方法及系统,其步骤包括:获取远程桌面客户端到远程桌面服务端的网络流量,并将所述网络流量分割成独立的网络流;将每一条所述的网络流分割成若干个流尖峰,并根据每个流尖峰的包长序列和包到达时间序列获取向量化后的数据集;将所述数据集送入用户行为检测模型,获取远程桌面客户端的粗粒度行为与细粒度动作。本发明专利技术无需对加密流量进行解密,只需利用流量的包长序列和到达时间序列提取统计特征,即可实现对用户的粗粒度行为与细粒度动作的检测。
A method and system of user behavior detection based on the difference of network traffic mode of remote desktop encryption
【技术实现步骤摘要】
一种基于远程桌面加密网络流量模式差异的用户行为检测方法及系统
本专利技术属于网络安全领域,尤其涉及一种基于远程桌面加密网络流量模式差异的用户行为检测方法及系统。
技术介绍
远程桌面是通过互联网远程控制其它计算机的一种技术,该技术在远程办公、远程协助、远程管理等领域得到广泛应用。典型的远程桌面软件会捕获用户在客户端下发的控制指令,然后将控制指令发往受控主机;受控主机执行命令后将图形化结果交互式地反馈给客户端。这种实时交互式的工作模式在给用户带来便利的同时,也导致严重的隐私泄露问题。为了防止用户行为隐私的泄露,远程桌面开发商会加密客户端与受控主机之机的网络通信流量。侧信道隐私泄露攻击是指从加密系统的物理实现中获取隐私信息而非暴力破解密文。近些年来,加密流量的侧信道隐私泄露话题已引起学术界和工业界的重视。D.Song提出基于击键行为的SSH侧信道攻击方法,D.Brumley提出使用时间攻击提取OPENSSL私钥的方法,H.Li观察到攻击者可以通过加密视频流推断出用户在家的日常行为。与此同时,加密流量分类技术也得到巨大的发展,一方面以基于机器学习方法为代表的新型加密流量分类方法取得了目前最好的分类效果,另外一方面基于网络流量尖峰的统计特征也越来越得到重视。不管是侧信道泄露还是加密流量的分类问题,目前主流方法都是基于不同行为的流量模式存在差异这一基本假设来展开。尽管有很多研究侧信道和加密流量分类的工作,但是这些工作极少关注远程桌面加密流量上的用户行为隐私泄露问题。R.Altschaffel提出一种基于统计特征区分TeamViewer的文件传输、语音会议、视频会议、文字聊天以及常规会话网络流量的机器学习方法,但是该工作的缺点在于其研究的五类动作粒度过粗,而且文件传输、语音会议、视频会议、文字聊天这四类动作与远程桌面的关系不大,因为这四类动作基本不涉及使用鼠标、键盘去操纵远程主机的场景;而且他们的方法高度依赖于所选取的远程桌面软件(TeamViewer),对于其它远程桌面流量上行为识别效果缺少实验论证,因而缺乏普遍性。
技术实现思路
本专利技术提出一种基于远程桌面加密网络流量模式差异的用户行为检测方法及系统,其在远程桌面网络流量已经被加密的情况下,仍能检测不同操作行为所产生的网络流量在流量模式上的差异性。为达到上述目的,本专利技术采用如下的技术方案:一种基于远程桌面加密网络流量模式差异的用户行为检测方法,其步骤包括:1)获取远程桌面客户端到远程桌面服务端的网络流量,并将所述网络流量分割成独立的网络流;2)将每一条所述的网络流分割成若干个流尖峰,并根据每个流尖峰的包长序列和包到达时间序列获取向量化后的数据集;3)将所述数据集送入用户行为检测模型,获取远程桌面客户端的粗粒度行为与细粒度动作。进一步地,将所述流量按照五元组分割成彼此独立的网络流。进一步地,所述五元组包括源IP地址、源端口号、目的IP地址、目的端口号、协议类型。进一步地,所述流尖峰是指同一条网络流中相邻的若干数据包,且所述数据包的到达时间间隔都小于阈值。进一步地,根据所述样本流尖峰的包长序列和包到达时间序列,建立多维度统计特征。进一步地,将所述数据集经过归一化的处理后,送入至用户行为检测模型。进一步地,所述用户行为检测模型的构建过程,包括以下步骤:1)获取远程桌面客户端到远程桌面服务端的带有标签的样本网络流量,并将所述样本网络流量分割成独立的网络流;2)将每一条所述的样本网络流分割成若干个样本流尖峰,并根据每个样本流尖峰的包长序列和包到达时间序列获取向量化后的样本数据集;3)将所述样本数据集送入机器学习分类器进行训练,得到用户行为检测模型。进一步地,所述机器学习分类器包括逻辑回归分类器、支持向量机分类器、梯度提升树分类器与随机森林分类器。进一步地,所述粗粒度行为包括阅读文档、编辑文档、观看视频、安装软件、浏览视频,所述细粒度动作包括使用Word2007、Excel2007、Notepad++、Notepad编辑文档。一种基于远程桌面加密网络流量模式差异的用户行为检测系统,包括:1)网络流量采集模块,用以获取远程桌面客户端到远程桌面服务端的网络流量,并将所述网络流量分割成独立的网络流;2)网络流量特征提取模块,用以将每一条所述的网络流分割成若干个流尖峰,并根据每个流尖峰的包长序列和包到达时间序列获取向量化后的数据集;3)用户行为检测模块,用以将所述数据集送入用户行为检测模型,获取远程桌面客户端的粗粒度行为与细粒度动作。与现有技术相比,本专利技术具有如下优点:1、被动采集远程桌面客户端与服务端之间的通信流量,整个流量采集、行为检测过程对远程桌面用户来说是透明的。2、无需对加密流量进行解密,只需利用流量的包长序列和到达时间序列提取统计特征即可实现对用户行为的检测。这些统计特征可以很好的表示远程桌面场景加密流量的模式,保证使用较少的特征能够充分的表示模式变化。3、利用不同用户行为的流量模式差异性,可以以较高的准确率和较低的假阴率检测用户的行为类别。4、本方法不仅可以检测用户的操作远程桌面时的粗粒度行为,例如阅读文档、编辑文档等行为,而且可以检测出诸如编辑文档所使用的具体编辑工具等细粒度动作。本方法具有较强的可扩展性,支持用户自定义行为类别。用户只需采集目标行为的带标签流量,然后使用本方法重新训练模型即可。附图说明图1远程桌面加密流量用户行为检测基本框图。图2不同时间阈值对行为识别准确率的影响的示意图。具体实施方式为了使本专利技术的目的、技术方案及优点更加清晰,下面通过具体实施例和附图对本专利技术进行进一步详细阐述。应当理解,此处所描述的具体实施例仅用以解释本专利技术,并不用于限定本专利技术。本专利技术公开了一种基于远程桌面加密网络流量模式差异的用户行为检测方法,其用户行为检测基本框图如图1所示。采集不同用户在不同操作行为下的远程桌面加密视频流量,我们通过若干台安装Window10和Window7的本地计算机,若干安装WindowsServer2012和WindowsServer2016的云虚拟专用服务器(VirtualPrivateServer,VPS),一个路由器,多款常见远程桌面软件搭建一个实验环境;其中本地计算机充当远程桌面客户端,它们通过路由器访问互联网进而访问阿里云VPS;阿里云VPS则充当远程桌面中的受控主机,即远程桌面服务端;我们在路由器的一个镜像端口获取远程桌面客户端到远程桌面服务端的网络流量。不同志愿者在本地计算机安装特定的远程桌面客户端软件,并通过在该软件上持续执行特定动作(这些动作由粗粒度和细粒度动作组成,其中粗粒度动作包括阅读文档、编辑文档、观看视频、安装软件、浏览视频,细粒度动作包括使用Word2007、Excel2007、Notepad++、Notepad编辑文档)来远程控制阿里云VPS,每次每个动作持续时间本文档来自技高网...
【技术保护点】
1.一种基于远程桌面加密网络流量模式差异的用户行为检测方法,其步骤包括:/n1)获取远程桌面客户端到远程桌面服务端的网络流量,并将所述网络流量分割成独立的网络流;/n2)将每一条所述的网络流分割成若干个流尖峰,并根据每个流尖峰的包长序列和包到达时间序列获取向量化后的数据集;/n3)将所述数据集送入用户行为检测模型,获取远程桌面客户端的粗粒度行为与细粒度动作。/n
【技术特征摘要】
1.一种基于远程桌面加密网络流量模式差异的用户行为检测方法,其步骤包括:
1)获取远程桌面客户端到远程桌面服务端的网络流量,并将所述网络流量分割成独立的网络流;
2)将每一条所述的网络流分割成若干个流尖峰,并根据每个流尖峰的包长序列和包到达时间序列获取向量化后的数据集;
3)将所述数据集送入用户行为检测模型,获取远程桌面客户端的粗粒度行为与细粒度动作。
2.如权利要求1所述的方法,其特征在于,将所述流量按照五元组分割成彼此独立的网络流。
3.如权利要求2所述的方法,其特征在于,所述五元组包括源IP地址、源端口号、目的IP地址、目的端口号、协议类型。
4.如权利要求1所述的方法,其特征在于,所述流尖峰是指同一条网络流中相邻的若干数据包,且所述数据包的到达时间间隔都小于阈值。
5.如权利要求1所述的方法,其特征在于,根据所述样本流尖峰的包长序列和包到达时间序列,建立多维度统计特征。
6.如权利要求1所述的方法,其特征在于,将所述数据集经过归一化的处理后,送入至用户行为检测模型。
7.如权利要求1所述的方法,其特征在于,所述用户行为检测模型的构建过程,包括以下步骤:
1)获取远程桌面...
【专利技术属性】
技术研发人员:石俊峥,刘梦严,蒋明昊,宋嘉莹,李镇,熊刚,苟高鹏,崔明鑫,
申请(专利权)人:中国科学院信息工程研究所,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。