一种恶意周期行为检测方法技术

本发明专利技术公开了一种恶意周期行为检测方法，包括以下步骤:步骤一：获取流量数据：从网络流量采集设备或流量数据存储服务器中获取网络通信流量数据；步骤二：处理流量数据：对步骤一获取的流量数据进行白名单过滤处理，对不满足白名单的流量数据按照行为筛选方式进行筛选，得到同类行为发生时间数据并进行升序排列，再计算行为间隔序列，并对行为间隔序列进行分窗处理，得到检测对象的多窗口间隔序列数据；步骤三：基于“高适应性最优间隔单元算法”对多窗口间隔序列分别进行恶意周期行为检测，每个检测对象将得到多个检测窗口的检测结果，步骤四：将步骤三检测对象的总恶意度和总恶意率两个指标作为最终检测结果，输出至恶意行为告警与响应系统。与响应系统。与响应系统。

【技术实现步骤摘要】
一种恶意周期行为检测方法


[0001]本专利技术涉及信息安全
，具体涉及一种恶意周期行为检测方法。

技术介绍

[0002]在信息安全领域，周期行为(Beaconing)指网络设备之间具有固定周期，或具有规律性动态周期的通信行为。良性周期行为对信息系统、网络安全没有威胁，例如操作系统、杀毒软件定期向服务器请求更新，时间校准服务的自动校准行为等。恶性周期行为对信息安全威胁很大，最典型的恶性周期行为存在于命令和控制(C&C)攻击场景：被C&C攻陷的感染机通常会有规律地向控制机发起通信，以便于感知哪些感染机是活动且受控的；此外，一些低频率攻击，如低速拒绝服务攻击、低频口令爆破攻击等，也符合恶性周期行为的特征。
[0003]在大流量的复杂网络环境中，这种恶性周期行为更容易隐藏；另一方面，新型攻击通常采用更多干扰技术，严重削弱传统方法对恶意周期行为的检测效果。因此，亟需一种更为有效的恶意周期行为检测方法，以此提升发现网络威胁的能力、保障信息安全。
[0004]一类基于时序的方法，大多存在抗干扰性、鲁棒性低、漏报率高的不足，实际网络环境中，当设备下线造成请求周期中断，或恶意程序主动中断、休眠，或其他服务器刻意在其恶意行为的周期中加入随机扰动时，现有方法漏报率显著增加，例如：
[0005]公布号为CN106850647B的专利公开了一种基于DNS请求周期性的恶意域名检测算法，该方法首先将DNS请求记录处理成柱状图数据，用Jeffrey散度算法计算相似性，当相似性低于阈值时判定为周期行为时判定为恶意域名，该方法存在鲁棒性低、漏报率高的不足。
[0006]公布号为CN108347447B的专利公开了一种基于周期性通讯行为分析的P2P僵尸网络检测方法，该方法主要原理是：先将访问时间戳序列升序排列，再求其一阶差分，再求一阶差分序列的变异系数，当该变异系数小于阈值时数据量被判定为周期性数据流，产生周期性数据流的主机为僵尸机，因此该方法同样存在鲁棒性低、漏报率高的不足。
[0007]另一类基于机器学习的检测方法，非常依赖已采集的恶意行为的样本数据，且关键算法大多属于“黑箱模型”。应对新型攻击时，旧样本失效，检测结果不理想，这类方法存在成本高、可解释性差，且准确率、漏报率不稳定的不足。

技术实现思路

[0008]本专利技术的目的在于提供一种恶意周期行为检测方法，应用场景广泛灵活、可以检测新型高级攻击：适用于多种复杂的攻击检测场景，如命令与控制攻击检测场景、低速拒绝服务攻击检测场景、DNS恶意域名检测场景、大规模流量数据的恶意攻击检测场景、基于加密协议攻击的检测场景等，还在于能够降低检测成本、提高准确度、降低漏报率和提高可解释性。
[0009]本专利技术的目的可以通过以下技术方案实现：
[0010]一种恶意周期行为检测方法，包括以下步骤:
[0011]步骤一：获取流量数据：从网络流量采集设备或流量数据存储服务器中获取网络
通信流量数据；
[0012]步骤二：处理流量数据：对步骤一获取的流量数据进行白名单过滤处理，对不满足白名单的流量数据按照行为筛选方式进行筛选，得到同类行为发生时间数据并进行升序排列，再计算行为间隔序列，并对行为间隔序列进行分窗处理，得到检测对象的多窗口间隔序列数据；
[0013]步骤三：基于“高适应性最优间隔单元算法”对多窗口间隔序列分别进行恶意周期行为检测，每个检测对象将得到多个检测窗口的检测结果，检测结果包括总恶意度、总恶意率和周期；
[0014]步骤四：将步骤三检测对象的总恶意度和总恶意率两个指标作为最终检测结果，输出至恶意行为告警与响应系统。
[0015]作为本专利技术进一步的方案：步骤一中，所述流量数据包含的主要字段包括客户端IP、服务端IP和行为发生时间。
[0016]作为本专利技术进一步的方案：步骤二中，行为筛选方式在不同应用场景中，包括多种筛选方式，如：
[0017]客户端IP+服务端IP+应用层协议；
[0018]客户端IP+服务端IP+应用层协议+应用层会话持续时间小于X秒；
[0019]客户端IP+应用层协议+应用层会话总流量小于等于Y比特；
[0020]应用层协议+应用层登录用户名+应用层登录失败；
[0021]客户端IP+其他协议层行为；
[0022]其中，X和Y是根据待检测协议历史数据计算得到的经验阈值。
[0023]作为本专利技术进一步的方案：步骤二中，行为间隔序列的计算方法是通过计算后一个行为时间点距离上一个行为时间点的时间差，即得到行为间隔时间。
[0024]作为本专利技术进一步的方案：步骤二中，检测对象的多窗口间隔序列数据的获取为设置2个分窗参数：窗口大小window_size和分窗步长window_step，按照每window_size个间隔元素划分一次窗口，再向前滑动window_step个间隔元素再次划分一次窗口，直到最后所剩间隔元素不足窗口大小时停止；
[0025]其中，window_size、window_step均为正整数。
[0026]作为本专利技术进一步的方案：步骤三中，总恶意度为多个窗口的“恶意度”的均值计算得到；
[0027]总恶意率为多个窗口的“是否恶意”的恶意比例计算得到。
[0028]作为本专利技术进一步的方案：步骤三中，高适应性最优间隔单元算法的步骤如下：
[0029]K1：输入：待检测的单个间隔序列series、下界系数L、上界系数U、搜索步数用step_size、标准化系数N；
[0030]K2：计算多个参数：搜索下界lower、搜索上界upper、计算搜索步长step；计算离散搜索范围search_scope；
[0031]其中，lower＝min(series)*L，其中min表示求序列series的最小值；
[0032]upper＝median(series)*U，其中median表示求序列series的中位数；
[0033]step＝(upper
‑
lower)/step_size；
[0034]search_scope＝range(lower,upper,step)；
[0035]其中，range表示从lower开始，每隔step长度取1个搜索点，直到upper为止，总共得到step_size个搜索点；
[0036]K3：计算离散搜索范围中每个搜索点“损失值”，得到损失值序列Cost；
[0037]K4：计算周期UNIT和恶意度anomaly；
[0038]其中，周期：
[0039]恶意度：
[0040]求Cost中最小值时其下标i的取值，用imin表示，N为输入的标准化系数，RL1为损失函数；
[0041]K5：通过经验阈值法或统计学方法或机器学习方法确定恶意度阈值T；
[0042]K6：判断检测对象是否恶意anomaly_binar本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种恶意周期行为检测方法，其特征在于，包括以下步骤:步骤一：获取流量数据：从网络流量采集设备或流量数据存储服务器中获取网络通信流量数据；步骤二：处理流量数据：对步骤一获取的流量数据进行白名单过滤处理，对不满足白名单的流量数据按照行为筛选方式进行筛选，得到同类行为发生时间数据并进行升序排列，再计算行为间隔序列，并对行为间隔序列进行分窗处理，得到检测对象的多窗口间隔序列数据；步骤三：基于“高适应性最优间隔单元算法”对多窗口间隔序列分别进行恶意周期行为检测，每个检测对象将得到多个检测窗口的检测结果，检测结果包括总恶意度、总恶意率和周期；步骤四：将步骤三检测对象的总恶意度和总恶意率两个指标作为最终检测结果，输出至恶意行为告警与响应系统。2.根据权利要求1所述的一种恶意周期行为检测方法,其特征在于，步骤一中，所述流量数据包含的主要字段包括客户端IP、服务端IP和行为发生时间。3.根据权利要求1所述的一种恶意周期行为检测方法,其特征在于，步骤二中，行为筛选方式在不同应用场景中，包括多种筛选方式，如：客户端IP+服务端IP+应用层协议；客户端IP+服务端IP+应用层协议+应用层会话持续时间小于X秒；客户端IP+应用层协议+应用层会话总流量小于等于Y比特；应用层协议+应用层登录用户名+应用层登录失败；客户端IP+其他协议层行为；其中，X和Y是根据待检测协议历史数据计算得到的经验阈值。4.根据权利要求1所述的一种恶意周期行为检测方法,其特征在于，步骤二中，行为间隔序列的计算方法是通过计算后一个行为时间点距离上一个行为时间点的时间差，即得到行为间隔时间。5.根据权利要求1所述的一种恶意周期行为检测方法,其特征在于，步骤二中，检测对象的多窗口间隔序列数据的获取为设置2个分窗参数：窗口大小window_size和分窗步长window_step，按照每window_size个间隔元素划分一次窗口，再向前滑动window_step个间隔元素再次划分一次窗口，直到最后所剩间隔元素不足窗口大小时停止；其中，window_size、window_step均为正整数。6.根据权利要求1所述的一种恶意周期行为检测方法,其特征在于，步骤三中，总恶意度为多个窗口的“恶意度”的均值计算得到；总恶意率为多个窗口的“是否恶意”的恶意比例计算得到。7.根据...

【专利技术属性】
技术研发人员：邹凯，陈凯枫，
申请(专利权)人：广州天懋信息系统股份有限公司，
类型：发明
国别省市：