【技术实现步骤摘要】
本专利技术涉及网络安全,具体涉及一种基于网络通信相似度的应用软件异常行为检测方法及系统。
技术介绍
1、软件通信行为异常检测是网络安全领域的一项重要技术。随着信息技术的飞速发展,网络攻击手段不断演进,安全威胁持续泛化,传统的网络安全防护手段已然无法满足日趋急迫的网络安全保护需求。基于访问授权的安全防护系统极易被新型攻击绕过,基于特征检测的安全防护系统需要规则的持续迭代升级,传统的网络安全防护手段在难以及时有效防护新型攻击,且缺少未知攻击感知预期。因此,研究如何引入自动化和智能化的方法检测网络中的异常行为,及时发现新型或未知攻击成为了当前网络安全领域研究的热点问题之一。
2、人工智能和机器学习技术的革新,促使软件通信行为异常检测领域呈现出一些新的研究趋势。例如,利用深度学习算法对大规模软件流量数据进行分析和建模,因可覆盖计算空间倍增大大缩短了检测时间,及时性与有效性达到可实用范畴;基于机器学习的基线行为建模,提升了异常检测发现的准确性;行为分析与模式识别相结合的行为异常分析系统,在提升异常检测智能化和适用性的同时,大大提高了检...
【技术保护点】
1.一种基于网络通信相似度的应用软件异常行为检测方法,其特征在于,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,所述根据数据包特征进行数据包分组,并将每组数据包构建为一条软件行为链,包括:
3.根据权利要求2所述的方法,其特征在于,所述根据软件签名、协议类型、源地址、源端口、目的地址、目的端口以及有效载荷进行数据包分组,包括:
4.根据权利要求1所述的方法,其特征在于,所述生成每一软件行为链的描述行为链统计特征的特征向量,包括:
5.根据权利要求1或4所述的方法,其特征在于,所述行为链统计特征包括:向量维度、...
【技术特征摘要】
1.一种基于网络通信相似度的应用软件异常行为检测方法,其特征在于,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,所述根据数据包特征进行数据包分组,并将每组数据包构建为一条软件行为链,包括:
3.根据权利要求2所述的方法,其特征在于,所述根据软件签名、协议类型、源地址、源端口、目的地址、目的端口以及有效载荷进行数据包分组,包括:
4.根据权利要求1所述的方法,其特征在于,所述生成每一软件行为链的描述行为链统计特征的特征向量,包括:
5.根据权利要求1或4所述的方法,其特征在于,所述行为链统计特征包括:向量维度、平均值、标准差、中位数、中位数绝对偏差、偏度、峰度和马式距离。
6.根据权利要求1所述的方法,其特征在于,所述基线模型基...
【专利技术属性】
技术研发人员:罗彩云,张海霞,陈志飞,周邵文,彭媛媛,金俊峰,刘祥宾,
申请(专利权)人:中国科学院软件研究所,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。