面向持续连接的恶意木马细粒度行为早期精准识别方法技术

本发明专利技术提供了一种面向持续连接的恶意木马细粒度行为早期精准识别方法，具体步骤包括：提取持续连接的加密恶意木马细粒度攻击行为流量的数据包长度序列、方向序列和时间序列，输入到细粒度行为段分割模块以精准识别攻击行为段分割点；对包含完整行为段的数据包序列重新还原为TLS Fragment，选择前n个TLS Fragment并分别提取m个稳定特征组成[n

【技术实现步骤摘要】
面向持续连接的恶意木马细粒度行为早期精准识别方法


[0001]本专利技术属于网络空间安全
，涉及一种面向持续连接的恶意木马细粒度行为早期精准识别方法。

技术介绍

[0002]随着加密技术的发展，越来越多的恶意木马使用TLS/SSL等加密协议以掩盖本身的恶意细粒度攻击动作，如窃取用户信息、窥探用户界面等。加密技术在给网络攻击者提供数据安全和攻击掩护的同时，也给我国对网络空间的安全监管带来了新的挑战。因此，如何在具备网络动态性、攻击模式隐蔽的加密流量环境下进行恶意木马攻击行为精细化识别，成为当前国际研究的热点问题。
[0003]与识别恶意木马类型相比，恶意木马细粒度攻击行为识别更加具有挑战性。大多恶意木马由不同的攻击者用独特的注入方式和通信编码所制作并散播，因此不同的恶意木马流量在通信早期可能就具备较为明显的分类特征。然而同一个恶意木马内部的细粒度攻击行为则可能使用同一种通信模式，细粒度行为执行过程中大多都表现为攻击者和受害者的数据交互，难以提取具有区分度的流量特征。同时，动态网络性的环境给这项细粒度识别工作带来困难。
[0004]国内外近些年对恶意木马细粒度攻击行为识别问题大多集中在安全日志事件分析、攻击API序列匹配等延迟识别方式，仅能在恶意木马执行完攻击行为后进行识别，难以在早期针对性地部署安全方案。加密流量分析也逐渐被应用于细粒度行为识别研究，这类方法主要提取攻击行为执行时产生的加密流量特征，包括流时空特征或数据包混合特征。上述方法可以得到较为精准的细粒度行为识别结果，但是现有的方法存在如下主要问题：(1)对于持续连接的恶意木马，仅简单使用流时空特征无法做到行为识别，因为单条流中包含多个连续的攻击行为产生的数据包序列；(2)在具备网络动态性的环境中，难以在行为执行早期对细粒度攻击行为提取稳定且具有区分度的早期细粒度行为特征，无法做到细粒度攻击行为的早期精准识别。
[0005]因此，为了对持续连接的恶意木马细粒度攻击行为实现早期精准识别，本专利技术对持续连接的恶意木马细粒度攻击行为流量的行为分割点进行识别，以完整获取细粒度行为段，对包含细粒度行为段的数据包序列还原TLS Fragment，并提取n
‑
TLS Fragment早期稳定且具备区分度的特征，基于1D
‑
CNN神经网络实现恶意木马细粒度攻击行为的早期精准识别。

技术实现思路

[0006]为了加强对网络空间安全的监管，实现对动态网络流量环境下的恶意木马细粒度攻击行为的精准识别，本专利技术提出了一种面向持续连接的恶意木马细粒度行为早期精准识别方法。针对持续连接的加密恶意木马细粒度攻击行为流量，分别提取数据包长度序列、方向序列和时间序列，输入到细粒度行为段分割模块以精准识别攻击行为段分割点，对包含
完整行为段的数据包序列重新还原为TLS Fragment，选择前n个TLS Fragment并分别提取m个稳定特征组成[n
×
m,1]维序列特征向量，最后将n
‑
TLS Fragment稳定特征序列输入到1D
‑
CNN分类器中进行训练，以识别细粒度攻击行为。
[0007]为了达到上述目的，本专利技术提供如下技术方案：
[0008]一种面向持续连接的恶意木马细粒度行为早期精准识别方法，包括如下步骤：
[0009](1)对持续连接的加密恶意木马细粒度攻击行为流量分别提取数据包长度序列、数据包方向序列以及数据包时间戳序列，输入到细粒度行为段分割模块以精准识别攻击行为段分割点；
[0010](2)根据步骤(1)中识别的分割点提取细粒度攻击行为段，将包含行为段的数据包序列重新还原为TLS Fragment序列，选择前n个TLS Fragment作为细粒度攻击行为的早期样本；
[0011](3)将步骤(2)中的n
‑
TLS Fragment提取m个统计特征，组成[n
×
m,1]维特征向量作为细粒度攻击行为的早期识别指纹；
[0012](4)将步骤(3)中的n
‑
TLS Fragment稳定特征向量输入到1D
‑
CNN神经网络中训练；
[0013](5)训练合适的轮次后输出基于n
‑
TLS Fragment稳定特征的细粒度攻击行为早期识别模型，以精准识别加密恶意木马的细粒度攻击行为类别。
[0014]进一步地，所述步骤(1)具体包括如下子步骤：
[0015](1.1)捕获(T1～T
N
)时间间隔内的加密恶意木马细粒度攻击行为流量F(T1,T
N
)＝
[0016]{frag1,frag2,frag3,..,frag
N
}，其中frag
N
表示包含第N个攻击行为段的数据包序列，F表示五元组相同的单条流。持续连接的恶意木马单个加密流F中，包含N个连续且未被分离的细粒度攻击行为数据包序列；
[0017](1.2)基于滑动窗口算法分别提取上述连续攻击行为流量F的数据包长度序列{tcp_len1,tcp_len2,..,tcp_len
M
}，数据包方向序列{d1,d2,..,d
M
}，数据包时间戳序列{T1,T2,..,T
M
}，其中tcp_len
M
表示第M个数据包的tcp长度，T
M
表示第M个数据包的到达时间戳。其中数据包方向定义为：
[0018][0019](1.3)分别计算滑动窗口两侧(S
L
,S
R
)的数据包长度
‑
方向
‑
时间戳概率分布，并基于相对熵(Kullback
–
Leibler，K
‑
L)算法对上述概率分布计算窗口内K
‑
L散度值。以步距t移动滑动窗口并依次计算窗口内的K
‑
L散度值，得到连续细粒度攻击行为流量F的相似度序列；
[0020](1.4)基于分段三次埃尔米特插值算法对K
‑
L散度值序列进行插值优化，通过设置K
‑
L阈值去除部分干扰值，并保存极大值所在的数据包索引和时间戳；
[0021](1.5)步骤(1.4)得到的索引值和时间戳所对应的数据包即为连续细粒度攻击行为段的分割点，通过伪分割点融合算法精准实现行为段分割。
[0022]进一步地，所述步骤(1.2)中，滑动窗口大小为L(数据包数量)，窗口中点将窗口内的一段连续的数据包序列分为左右两部分(S
L
,S
R
)。
[0023]进一步地，所述步骤(1.3)具体包括如下子步骤：
[0024](1.3.1)分别计算滑动窗口两侧的数据包长度序列CDF离散概率分布
数据包方向序列CDF离散概率分布以及数据包时间戳序列CDF离散概本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种面向持续连接的恶意木马细粒度行为早期精准识别方法，其特征在于，包括如下步骤：(1)对持续连接的加密恶意木马细粒度攻击行为流量分别提取数据包长度序列、数据包方向序列以及数据包时间戳序列，输入到细粒度行为段分割模块以精准识别攻击行为段分割点；(2)根据步骤(1)中识别的分割点提取细粒度攻击行为段，将包含行为段的数据包序列重新还原为TLS Fragment序列，选择前n个TLS Fragment作为细粒度攻击行为的早期样本；(3)将步骤(2)中的n
‑
TLS Fragment提取m个统计特征，组成[n
×
m,1]维特征向量作为细粒度攻击行为的早期识别指纹；(4)将步骤(3)中的n
‑
TLS Fragment稳定特征向量输入到1D
‑
CNN神经网络中训练；(5)训练合适的轮次后输出基于n
‑
TLS Fragment稳定特征的细粒度攻击行为早期识别模型，以精准识别加密恶意木马的细粒度攻击行为类别。2.根据权利要求1所述的面向持续连接的恶意木马细粒度行为早期精准识别方法，其特征在于，所述步骤(1)具体包括如下子步骤：(1.1)捕获(T1～T
N
)时间间隔内的加密恶意木马细粒度攻击行为流量F(T1,T
N
)＝{frag1,frag2,frag3,..,frag
N
}，其中frag
N
表示包含第N个攻击行为段的数据包序列，F表示五元组相同的单条流；持续连接的恶意木马单个加密流F中，包含N个连续且未被分离的细粒度攻击行为数据包序列；(1.2)基于滑动窗口算法分别提取上述连续攻击行为流量F的数据包长度序列{tcp_len1,tcp_len2,..,tcp_len
M
}，数据包方向序列{d1,d2,..,d
M
}，数据包时间戳序列{T1,T2,..,T
M
}，其中tcp_len
M
表示第M个数据包的tcp长度，T
M
表示第M个数据包的到达时间戳；其中数据包方向定义为：(1.3)分别计算滑动窗口两侧(S
L
,S
R
)的数据包长度
‑
方向
‑
时间戳概率分布，并基于相对熵K
‑
L算法对上述概率分布计算窗口内K
‑
L散度值；以步距t移动滑动窗口并依次计算窗口内的K
‑
L散度值，得到连续细粒度攻击行为流量F的相似度序列；(1.4)基于分段三次埃尔米特插值算法对K
‑
L散度值序列进行插值优化，通过设置K
‑
L阈值去除部分干扰值，并保存极大值所在的数据包索引和时间戳；(1.5)步骤(1.4)得到的索引值和时间戳所对应的数据包即为连续细粒度攻击行为段的分割点，通过伪分割点融合算法精准实现行为段分割。3.根据权利要求2所述的面向持续连接的恶意木马细粒度行为早期精准识别方法，其特征在于，步骤(1.2)中滑动窗口大小为L，即数据包数量，窗口中点将窗口内的一段连续的数据包序列分为左右两部分(S
L
,S
R
)。4.根据权利要求2所述的面向持续连接的恶意木马细粒度行为早期精准识别方法，其特征在于，所述步骤(1.3)具体包括如下子步骤：(1.3.1)分别计算滑动窗口两侧的数据包长度序列CDF离散概率分布数据包方向序列CDF离散概率分布以及数据包时间戳序列CDF离散概
率分布其中CDF离散概率分布计算方式如下：其中CDF离散概率分布计算方式如下：其中P代表泊松分布，S表示CDF离散概率分布；k
n
为第n个数据包的特征值，包括长度/方向/时间戳，λ为设置参数，e为欧拉数，x表示概率变量；(1.3.2)基于相对熵算法对上述概率分布分别计算K
‑
L散度值，以量化左右窗口S
L
,S
R
的数据包序列分布相似度；其计算方式如下所示：数据包序列分布相似度；其计算方式如下所示：数据包序列分布相似度；其计算方式如下所示：其中D(S
L
||S
R
)表示左右两侧窗口(S
L
,S
R
)的K
‑
L散度值，N表示窗口内的数据包数量；(1.3.3)综合考虑数据包长度、方向、时间戳三个维度的K
‑
L散度值，并计算滑动窗口两侧的相似度Sim(S
L
,S
R
)，其计算方式如下所示：其中i表示第i个滑动窗口；经过上式计算得到连续细粒度攻击行为段的相似度序列{Sim1,Sim2,..,Sim
n
}，n表示滑动窗口的数量。5.根据权利要求2所述的面向持续连接的恶意木马细粒度行为早期精准识别方法，其特征在于，步骤(1.4)中，对步骤(1.3)得到的连续细粒度攻击行为段的相似度序列{Sim1,Sim2,..,Sim
n
}进行插值优化处理，其插值计算方法如下所示：其中sim
x
表示第x个节点值，该节点满足sim
x
∈[Sim
k
‑1,Sim
k
]，Sim
k
表示第k个相似度值；s
k
(sim
x
)表示满足插值条件的三次多项式，其中，插值条件为两节点Sim
k
‑...

【专利技术属性】
技术研发人员：胡晓艳，朱成，程光，吴桦，
申请(专利权)人：江苏省未来网络创新研究院，
类型：发明
国别省市：