【技术实现步骤摘要】
本专利技术涉及流量检测,具体涉及一种基于特征规则的恶意流量检测方法。
技术介绍
1、随着网络技术的不断发展和应用,在促进社会发展和进步的同时,各类网络安全攻击也带来了大量的经济损失。为了能快速检测出网络中的攻击事件,及时预警阻断攻击,避免网络攻击带来的经济损失,各类网络安全检测产品目前通常采用前置特征规则恶意流量检测引擎识别出少量可疑攻击流量,再配合机器学习引擎等后置检测引擎,来精准发现网络流量中的攻击行为。
2、现有特征规则恶意流量检测引擎通常有如下两种实现方式:
3、第一种基于恶意流量的指纹特征,生成对应的正则或者特征字符串规则,借助hyperscan将所有规则与流量负载进行匹配检测。
4、第二种采用固定增加端口+单个子特征等预过滤的方式,过滤掉部分检测规则,以减少实际规则检测的数量,来提升检测引擎的性能,如suricata等开源引擎。
5、这两种方式通常存在如下缺点:
6、预过滤模式过于单一。仅能从选项特则中选择一个选项特征作为过滤条件,导致其它检测性能很高的选项特征无法参与预过滤,大大降低了预过滤的效果。且过滤模式固定。一旦规则编译、检测后,规则过滤模块无论性能高低,都不会再实时调整,无法最大限度的发挥预过滤模块优势。
技术实现思路
1、针对现有技术存在的不足,本专利技术的目的在于提供一种基于特征规则的恶意流量检测方法。
2、为了实现上述目的,本专利技术提供如下技术方案:
3、一种基于特征规
4、将恶意流量检测特征规则逐条提取进行格式校验,并提取相关规则选项信息;
5、依据相关规则选项信息构建规则分治链,将相同分治链路径的规则,构建规则分组;
6、依据规则分组,选取各条规则的部分规则选项,构建对应分组的多模集约图;
7、依据所述多模集约图,构建各条规则的精准检测链;
8、将网络流量深度解码后提取的待检测数据,输入所述规则分治链中,查找对应的所述多模集约图,再根据所述多模集约图的检测结果,输入到对应的精准检测链中,得到检测结果;
9、选取检测结果中符合特征规则的流量,输入后置检测引擎,进一步识别检测。
10、在本专利技术中,优选的,所述选项特征为恶意流量所包含的指纹特征,同一条规则包含多个选项特征。
11、在本专利技术中,优选的,所述规则分治链按照目的端口分治组、协议分治组、检测方向分治组的顺序构成。
12、在本专利技术中,优选的,所述目的端口分治组将端口全部的取值展开为数组,建立若干个端口数组。
13、在本专利技术中,优选的,所述协议分治组将协议全部的取值展开为数组,建立若干个协议数组。
14、在本专利技术中,优选的,所述构建规则分组具体包括:
15、根据各个分治组要求,依次提取各条规则的的目的端口、协议、检测方向三个数据源作为分治信息,并按照各个分治组的要求,根据提取的分治信息找到对应各个分治组的位置,构成对应规则的分治链;
16、将相同分治链路径上的各条规则,组合构建成对应的规则分组。
17、在本专利技术中,优选的,构建多模集约图具体包括:
18、在同一规则分组中,根据不同种类规则选项的置信度,挑选若干个规则选项,作为构建多模集约图的初步规则选项来源;
19、根据同一规则分组中,各条规则挑选的规则选项,进行规则选项使用频度统计,挑选出使用频度最多的两类规则选项,作为构建多模集约图的数据来源;
20、根据选定的两类规则选项,各条规则挑选对应的选项,放入多模集约图,多模集约图根据各条规则提取选项信息,生成对应的规则位图集。
21、在本专利技术中,优选的,规则选项的置信度为根据实际恶意流量使用的指纹频度,给各类规则选项设置不同的置信度值,构成规则选项置信度表。
22、在本专利技术中,优选的,所述构建各条规则的精准检测链具体步骤为将每条规则的各个规则选项按照置信度排序后,依次放入精准检测链表中,构成精准检测链。
23、在本专利技术中,优选的,得到检测结果具体步骤包括:
24、对网络流量进行深度解码,提取待检测数据;
25、对待检测数据依次经过分治链、多模集约图、精准检测链,得到最终的规则检测结果。
26、与现有技术相比,本专利技术的有益效果是:
27、本专利技术的方法应用在网络安全监测等需要对网络数据进行攻击检测、预警和阻断的系统中,提高了前置基于特征规则的恶意流量检测引擎的检测性能,解决因前置基于特征规则的检测引擎性能不足,引起的网络安全产品检测效果不佳的问题,达到了及时发现可疑流量、更加快速剔除正常流量的效果。
本文档来自技高网...【技术保护点】
1.一种基于特征规则的恶意流量检测方法,其特征在于,具体包括步骤:
2.根据权利要求1所述的一种基于特征规则的恶意流量检测方法,其特征在于,所述选项特征为恶意流量所包含的指纹特征,同一条规则包含多个选项特征。
3.根据权利要求2所述的一种基于特征规则的恶意流量检测方法,其特征在于,所述规则分治链按照目的端口分治组、协议分治组、检测方向分治组的顺序构成。
4.根据权利要求3所述的一种基于特征规则的恶意流量检测方法,其特征在于,所述目的端口分治组将端口全部的取值展开为数组,建立若干个端口数组。
5.根据权利要求3所述的一种基于特征规则的恶意流量检测方法,其特征在于,所述协议分治组将协议全部的取值展开为数组,建立若干个协议数组。
6.根据权利要求3所述的一种基于特征规则的恶意流量检测方法,其特征在于,所述构建规则分组具体包括:
7.根据权利要求1所述的一种基于特征规则的恶意流量检测方法,其特征在于,构建多模集约图具体包括:
8.根据权利要求7所述的一种基于特征规则的恶意流量检测方法,其特征在于,规则选项
9.根据权利要求1所述的一种基于特征规则的恶意流量检测方法,其特征在于,所述构建各条规则的精准检测链具体步骤包为将每条规则的各个规则选项按照置信度排序后,依次放入精准检测链表中,构成精准检测链。
10.根据权利要求1所述的一种基于特征规则的恶意流量检测方法,其特征在于,得到检测结果具体步骤包括:
...【技术特征摘要】
1.一种基于特征规则的恶意流量检测方法,其特征在于,具体包括步骤:
2.根据权利要求1所述的一种基于特征规则的恶意流量检测方法,其特征在于,所述选项特征为恶意流量所包含的指纹特征,同一条规则包含多个选项特征。
3.根据权利要求2所述的一种基于特征规则的恶意流量检测方法,其特征在于,所述规则分治链按照目的端口分治组、协议分治组、检测方向分治组的顺序构成。
4.根据权利要求3所述的一种基于特征规则的恶意流量检测方法,其特征在于,所述目的端口分治组将端口全部的取值展开为数组,建立若干个端口数组。
5.根据权利要求3所述的一种基于特征规则的恶意流量检测方法,其特征在于,所述协议分治组将协议全部的取值展开为数组,建立若干个协议数组。
6.根据权利要求...
【专利技术属性】
技术研发人员:高勇,马金刚,孙连军,李春辉,范海斌,赵鹏,
申请(专利权)人:北京浩瀚深度信息技术股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。