【技术实现步骤摘要】
一种基于进程行为分析的恶意加密信道检测方法
[0001]本专利技术涉及一种基于进程行为分析的恶意加密信道检测方法,属于信息安全建设/网络安全
技术介绍
[0002]随着网络技术的快速发展,互联网已经在军事、经济、教育、生活等各个领域都广泛应用。然而,在互联网给我们的生活带来各种便利的同时,也带来了各种安全问题,各种计算机病毒,蠕虫等恶意软件的数量和种类也在快速增多,为互联网用户的安全带来了巨大挑战。为了保护传输的数据,加密传输已经成为现有广泛应用的方式。Cisco的调查显示,仅2016—2017年,加密流量就增多了90%以上,超过50%以上的流量都是加密流量。采用加密传输有益于保护普通用户的隐私,然而这给了恶意应用开发者可乘之机,他们开始大量使用加密通讯协议建立加密信道实施攻击。
[0003]Cisco预测到2021年,将有70%的恶意软件借助加密信道来传递恶意软件、实施远程控制及数据泄露等恶意行为;由于当前最主要的加密信道均采用TLS协议实现,因而如何检测借助TLS建立的恶意加密信道已成为当代入侵检测领域...
【技术保护点】
【技术特征摘要】
1.一种基于进程行为分析的恶意加密信道检测方法,其特征在于,包括步骤如下:步骤1:加密会话流量数据采集与进程归类;具体包括:1.1:加密流量数据采集;1.2:加密流量数据预处理;1.3:进程归类;步骤2:进程文件加密通讯行为特征树建构;具体是指:求取加密会话的元特征、TCP段负载长度序列特征以及SSL消息状态转换特征,并建构加密会话的元特征即IP层、TCP段负载长度序列特征即TCP层以及SSL消息状态转换特征即SSL记录层的三层次特征树;步骤3:基于特征树的异常检测;具体包括:3.1:采集正常加密通讯行为数据;3.2:正常加密通讯行为基准建构;3.3:目标PEF加密通讯行为模型建构;3.4:特征树间相异度计算;3.5:基于阈值的异常检测。2.根据权利要求1所述的一种基于进程行为分析的恶意加密信道检测方法,其特征在于,加密流量数据采集,具体是指:通过在目标终端上安装Wireshark网络封包分析工具,按天为时间窗口捕获所有TCP协议流量,并通过提取目标端口等于443号的TCP流量得到TLS协议流量,并进一步命名保存为Host_TLS_Date.pcap文件,其中,Host字段表示终端标识,Date字段表示采集流量文件的日期;加密流量数据预处理,具体是指:将所采集的TLS协议流量按照所属会话进行归类;归类方法是:1.2.1:基于网络通讯四元组作为标准,聚合四元组数据相同的IP数据包为同一个会话,会话标识采用四元组方式,即(srcIP,dstIP,srcPort,dstPort),作为相应的主键索引;1.2.2:去除错误连接,先根据SYN包与FIN包的对应关系,去除TCP连接中未完成三次握手或两次断开的不完整会话;再根据数据包中TCP协议序列号去除重传数据包;1.2.3:所属同一个会话主键的IP数据包,进一步根据TCP协议头部的序列号字段Seq顺序重新排列,使得排序后的数据包反映正确的TLS通信序列;最终从Host_Date.pcap文件中预处理得到加密会话流量数据Host_Date_Session.csv文件,其每行的格式为:[srcIP,dstIP,srcPort,dstPort],Session_Time,Session_Data;其中,Session_Data表示从Host_Date.pcap文件中提取的对应会话的流量数据,Session_Time表示从Host_Date.pcap文件中基于会话的客户端发出的第一个SYN包的时间,到客户端响应服务端FIN请求的ACK包间的时间的差值中计算得到的会话持续时间,四元组[srcIP,dstIP,srcPort,dstPort]作为数据表的主键,标识不同的会话。3.根据权利要求2所述的一种基于进程行为分析的恶意加密信道检测方法,其特征在于,进程归类,具体是指:将终端捕获的加密会话流量数据Host_Date_Session.csv与同时段终端上的进程信息相互关联,建立由进程文件、通讯进程与相应会话流量的映射关系;经过进程归类后,所得加密会话流量数据Host_Date_Session.csv已根据PEF
→
PID
→
Session关联建立了相应的流量数据库文件PEF_PID_Session.csv,其中每行的PID由同行第一列的PEF建立,最后一列为该PID建立的加密会话流量数据;保存PEF_PID_Session.csv至检测过程结束:若判定正常,则将PEF_PID_Session.csv添加到正常加密通讯行为数据库Normal_ET_Data中,重新计算更新已有正常模型。4.根据权利要求3所述的一种基于进程行为分析的恶意加密信道检测方法,其特征在于,将终端捕获的加密会话流量数据Host_Date_Session.csv与同时段终端上的进程信息相互关联,具体是指:借助第三方流量监控工具,直接根据监控工具呈现的流量数据,提取网络连接的IP地址与端口号关联对应的进程号PID,并进一步找到对应的进程文件PEF,从而将对应会话的加密流量数据归类到对应进程文件创建的进程标识PID中;或者,将终端捕获的加密会话流量数据Host_Date_Session.csv与同时段终端上的进程信息相互关联,具体是指:安装运行netstat命令获取网络连接信息,并由IP地址与端口号关联到进程PID,进一步安装运行tasklist命令获取当前进程详细信息,由PID追溯到对应的进程文件PEF,同样建立由进程文件、通讯进程与相应会话流量的映射关系。5.根据权利要求1所述的一种基于进程行为分析的恶意加密信道检测方法,其特征在于,求取加密会话的元特征,具体包括步骤如下:元特征分为四个维度,包括:当天进程文件建立加密会话中发送/接收的总IP数据包个数;当天进程文件建立加密会话中发送/接收的总IP数据包负载字节数;当天进程文件建立加密会话中发送/接收的IP数据包速率;当天进程文件建立加密会话中发送/接收的IP数据包负载字节速率;其中,IP数据包负载指的是IP头部字段中,采用[Total Length]字段的数值减去[Header Length]字段的数值;发送/接收的IP数据包速率V
Packet
、发送/接收的IP数据包负载字节速率V
Bytes
的求取公式分别如式(1a)、式(1b)所示:式分别如式(1a)、式(1b)所示:式(1a)、式(1b)中,Packet_Counts是指当天所有加密会话发送/接收的数据包总数,Sesstion_Time_Total是指当天加密会话总持续时间;Bytes
Counts
是指当天所有加密会话发送/接收的数据包负载长度之和;对四类加密会话流元特征,分别计算最大值Max、最小值Min、平均值Mean与标准差Std四项统计数值,最终对于某天某个进程文件的所有加密会话流提取下述共计32个元特征:发送的总IP数据包个数的最大值Max、最小值Min、平均值Mean与标准差Std;接收的总IP数据包个数的最大值Max、最小值Min、平均值Mean与标准差Std;发送的总IP数据包负载字节数的最大值Max、最小值Min、平均值Mean与标准差Std;接收的总IP数据包负载字节数的最大值Max、最小值Min、平均值Mean与标准差Std;发送的IP数据包速率的最大值Max、最小值
Min、平均值Mean与标准差Std;接收的IP数据包速率的最大值Max、最小值Min、平均值Mean与标准差Std;发送的IP数据包负载字节速率的最大值Max、最小值Min、平均值Mean与标准差Std;接收的IP数据包负载字节速率的最大值Max、最小值Min、平均值Mean与标准差Std。6.根据权利要求1所述的一种基于进程行为分析的恶意加密信道检测方法,其特征在于,求取TCP段负载长度序列特征,具体包括步骤如下:选定某段时间内,某个网络进程文件PEF,针对该时间段内其建立的所有通信进程集合{PID
i
,i=1,2...,P}与其建立的加密会话集合{Session
ij
,i=1,2...P,j=1,2..S
i
},P为PEF当天建立的通讯进程总数,S
i
为PID
i
创建的加密会总数,执行下述操作:2.1:提取所有加密会话的有向段负载长度序列2.1.1:针对PID
i
创建的每个加密会话Session
ij
,去除无效数据包即[TCP Segment Len]字段数值等于0的数据包,剩余的数据包标记为Session
ij
的有效数据包;2.1.2:从Session
ij
的有效数据包中选择前CntS
ij
个,得到子序列Seg_SubSeq
ij
,其中CntS
ij
为Session
ij
中去除无效数据包后,剩余数据包个数的一半与整数CntST的最小值;2.1.3:从Seg_SubSeq
ij
中每个数据包的TCP协议头部读取[TCP Payload]字段数值,并根据数据传输方向添加+或
‑
,其中+可省略,+表示内部向外部传输数据,
‑
表示内部接收到外部发送的数据;通过步骤2.1,针对进程文件PEF创建的所有{PID
i
,i=1,2,3..P}关联的加密会话集合{Session
ij
,i=1,2..P,j=1,2..S
i
},得到任一加密会话Session
ij
的TCP有向段负载序列集合{DSPS
ij
}2.2:K阶子序列及权重计算2.2.1:设定k=1,2...K,其中K为预设值,K用于为需要统计比较的连续负载子序列的长度或子序列阶数;2.2.2:统计该PEF建立的所有{PID
i
}对应的{Session
ij
}中提取的{DSPS
ij
}中,任一连续k阶子序列SubSeq
kt
在所有{Session
ij,t
}中出现的总次数Cnt_SubSeq
kt
,然后与{Session
ij
}中的会话总数Cnt_Session相除计算得到该k阶子序列SubSeq
kt
在相关加密会话中的出现频率,并定义为该k阶连续子序列的权重Weight
kt
;2.2.3:通过步骤2.2.2,遍历{DSPS
ij
}中所有k阶子序列,计算其权重,得到最终PEF在第k个分支上的k阶子序列上的权重特征,对于特定的k阶分支SegPayload
k
而言,其分支特征形式为:(SubSeq
k1
,Weight
k1
),(SubSeq
k2
,Weight
k2
),...,(SubSeq
kCnt_k
,Weight
kCnt_k
),Cnt_k表示进程文件的{DSPS
ij
}中所有k阶子序列总数;子序列权重Weight
kq
通过统计{DSPS
ij
}中每个SubSeq
kq
出现的次数,然后计算其所占会话总数Cnt_Session比例求得,具体求取公式如式(2)所示:2.2.4:按照k=1,2...K的顺序,逐个计算k阶子序列的权重,并最终得到PEF的TCP段负载长度序列特征,PEF的TCP段负载长度序列特征以树结构组织展现;进一步优选的,CntST=50;K=5。7.根据权利要求6所述的一种基于进程行为分析的恶意加密信道检测方法,其特征在
于,求取SSL消息状态转换特征,具体是指:2.3.1:针对特定进程文件的通讯进程{PID
i
}关联的加密会话集合{Session
ij
},提取TLS协议部分中的[Content Type],并按顺序记录得到SSL消息状态序列SSL_State_Seq
ij
;2.3.2:重复步骤2.3.1,得到当天PEF的所有加密会话{Session
ij
}的SSL消息状态序列集合{SSL_State_Seq
ij
};2.3.3:根据{SSL_State_Seq
ij
}计算对应的Markov转换概率矩阵,其方法为:以12个SSL记录状态作为行和列,建立12
×
12的方阵Matrix_SSL={TP
ij
,i=0,2...11,j=0,2..11};TP
ij
表示{SSL_State_Seq
ij
}中,CT
i
之后紧接着出现CT
j
状态的概率,该概率通过计算[CT
i
,CT
j
]在所有的[CT
i
,CT
*
]的状态二阶子列中出现的频率得到,求取公式如式(3)所示:其中CT
*
表示任意12个SSL记录状态之一,Cnt([CT
i
,CT
t
])表示统计状态序列[CT
i
,CT
t
]在{Sessio...
【专利技术属性】
技术研发人员:杨光,付勇,王继志,赵大伟,陈丽娟,陈振娅,杨美红,吴晓明,王英龙,
申请(专利权)人:山东省计算中心国家超级计算济南中心,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。