【技术实现步骤摘要】
一种隐蔽隧道攻击行为检测方法和装置
[0001]本专利技术涉及计算机
,特别是指一种隐蔽隧道攻击行为检测方法和装置。
技术介绍
[0002]在木马检测领域中,国内外研究者已提出了从各个角度、采用各种不同方法进行木马检测的方法。所有的木马检测方法总体上可以分为两类,一类是基于主机的木马检测方法,另一类是基于网络通信的木马检测方法。
[0003]基于主机的各种检测技术还存在一些不足,此外很难保证在整个网络中的每台计算机中部署主机检测系统。并且基于主机的检测方法通常对系统资源占用很大,影响用户对计算机的使用。如果有任何一台计算机不受这种技术的保护,那么恶意软件有可能从这台计算机扩散到整个网络。因此,基于网络行为的检测技术吸引了越来越多研究者的关注。
[0004]目前基于网络通信行为的检测技术通常需要先对数据包按通信会话分类,然后对所得网络通信会话进行分析,该技术基于木马通信行为与正常应用通信行为相比具有一定的行为差异,通过提取通信会话的统计特征,再结合各种分类或聚类机器学习方法,建立木马通信检测模型,从而对木
【技术保护点】
【技术特征摘要】 【专利技术属性】
1.一种隐蔽隧道攻击行为检测方法,其特征在于,包括:对于待识别的流量序列,将所述流量序列中的数据包输入隧道流量识别模型;通过所述隧道流量识别模型提取出所述数据包的属性特征,基于提取的所述属性特征识别出所述流量序列是否为隐蔽隧道攻击行为流量;其中,所述隧道流量识别模型是根据从正常流量,以及攻击型流量中获取的训练集的数据预先训练得到的。2.根据权利要求1所述的方法,其特征在于,所述隧道流量识别模型具体包括:卷积神经网络、循环神经网络,以及分类器;所述属性特征包括:空间特征、背景特征、握手特征、证书特征,以及时序特征,以及所述通过所述隧道流量识别模型提取出所述数据包的属性特征,基于提取的属性特征识别出所述流量序列是否为隐蔽隧道攻击行为流量,具体包括:通过所述卷积神经网络提取出所述数据包的空间特征、背景特征、握手特征以及证书特征;通过所述循环神经网络提取出所述数据包的时序特征;进而通过所述分类器对提取的空间特征、背景特征、握手特征、证书特征,以及时序特征进行检测,识别出所述流量序列是否为隐蔽隧道攻击行为流量。3.根据权利要求2所述的方法,其特征在于,所述卷积神经网络具体由卷积层、池化层和全连接层构成。4.根据权利要求2所述的方法,其特征在于,所述循环神经网络具体为长短时记忆循环神经网络。5.根据权利要求2
‑
技术研发人员:李祉岐,田峥,孙强,王利斌,孙毅臻,崔宇,田建伟,李宁,冯磊,尹琴,朱宏宇,吴雨希,宋洁,郭晨萌,李芳,
申请(专利权)人:国网信息通信产业集团有限公司国网湖南省电力有限公司国家电网有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。