CN104519031B - 一种用于恶意网络行为检测的方法和装置 - Google Patents

一种用于恶意网络行为检测的方法和装置 Download PDF

Info

Publication number
CN104519031B
CN104519031B CN201310461795.1A CN201310461795A CN104519031B CN 104519031 B CN104519031 B CN 104519031B CN 201310461795 A CN201310461795 A CN 201310461795A CN 104519031 B CN104519031 B CN 104519031B
Authority
CN
China
Prior art keywords
behavior
network
classification
detected
correlation degree
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201310461795.1A
Other languages
English (en)
Other versions
CN104519031A (zh
Inventor
郭代飞
隋爱芬
林冠洲
郭涛
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens AG
Original Assignee
Siemens AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG filed Critical Siemens AG
Priority to CN201310461795.1A priority Critical patent/CN104519031B/zh
Publication of CN104519031A publication Critical patent/CN104519031A/zh
Application granted granted Critical
Publication of CN104519031B publication Critical patent/CN104519031B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/28Databases characterised by their database models, e.g. relational or object models
    • G06F16/284Relational databases
    • G06F16/285Clustering or classification
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1483Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Databases & Information Systems (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明涉及一种用于恶意网络行为检测的方法和装置,该装置包括:计算模块,用于根据多个行为类别各自的特征参数,计算待检测的网络行为与所述多个行为类别的每一个的相关程度值,得到多个相关程度值,其中,所述多个行为类别包括正常行为类别和至少一个恶意行为类别,所述多个行为类别各自的特征参数预先利用已知的恶意网络行为和正常网络行为作为训练样本训练得到;以及,确定模块,用于根据所述多个相关程度值中的最大相关程度值是所述待检测的网络行为与所述正常行为类别的相关程度值还是所述待检测的网络行为与所述至少一个恶意行为类别的其中之一的相关程度值,确定所述待检测的行为属于正常网络行为或恶意网络行为。利用该方法和装置,能够提高对恶意网络行为检测的准确性。

Description

一种用于恶意网络行为检测的方法和装置
技术领域
本发明涉及网络安全领域,尤其涉及一种用于恶意网络行为检测的方法和装置。
背景技术
随着移动通信技术的进步,移动互联网得到了广泛发展。随之而来地,也出现了许多针对移动互联网的网络攻击,这对移动互联网和移动终端产生了极大的威胁。
传统上,使用基于签名的匹配技术来检测移动互联网中的恶意网络行为。然而,恶意网络行为并不是固定不变的,通常攻击者会对恶意网络行为做一些小的改变从而产生多态和变形的恶意网络行为,但是,使用基于签名的匹配技术并不能有效检测多态和变形的恶意网络行为。
为此,人们提出了许多数据挖掘技术来检测多态和变形的恶意网络行为。虽然相对于基于签名的匹配技术,目前的数据挖掘技术能够更为有效地检测多态和变形的恶意网络行为,但是检测的准确性仍然不够高,时常会出现误检的情形。
发明内容
考虑到现有技术的上述问题,本发明实施例提出一种用于恶意网络行为检测的方法和装置,其能够提高对恶意网络行为检测的准确性。
按照本发明实施例的一种用于恶意网络行为检测的方法,包括:根据多个行为类别各自的特征参数,计算待检测的网络行为与所述多个行为类别的每一个的相关程度值,得到多个相关程度值,其中,所述多个行为类别包括正常行为类别和至少一个恶意行为类别,所述多个行为类别各自的特征参数预先利用已知的恶意网络行为和正常网络行为作为训练样本训练得到;以及,根据所述多个相关程度值中的最大相关程度值是所述待检测的网络行为与所述正常行为类别的相关程度值还是所述待检测的网络行为与所述至少一个恶意行为类别的其中之一的相关程度值,确定所述待检测的行为属于正常网络行为或恶意网络行为。
其中,所述方法还包括:根据所述待检测的网络行为的行为特点,判定所述待检测的网络行为所属的行为种类;以及,从分别对应于不同的行为种类的多个行为识别模型中,选择与所判定的行为种类对应的行为识别模型,其中,所述多个行为识别模型的每一个包括所述多个行为类别各自的特征参数,其中,所述计算进一步包括:根据所选择的行为识别模型所包括的所述多个行为类别各自的特征参数,计算所述待检测的行为与所述多个行为类别的每一个的相关程度值,得到所述多个相关程度值。
其中,所述方法还包括:将作为所述训练样本的所述已知的恶意网络行为和正常网络行为划分为多个行为组,其中每一个行为组中的网络行为属于相同的行为种类;利用聚类算法将所述多个行为组中的每一个行为组所包括的网络行为聚类为多个子行为组,每一个子行为组所包括的网络行为属于所述多个行为类别的其中一个;以及,利用多分类器训练算法分别对所述多个行为组中的每一个行为组所包括的各个子行为组中的网络行为进行训练,得到所述多个行为识别模型。
其中,所述待检测的网络行为被确定所属的行为与所述待检测的网络行为实际所属的行为不相同,以及,所述方法还包括:计算所述多个相关程度值中除了所述最大相关程度值之外的其它相关程度值的乘积;检查所述最大相关程度值与所计算的乘积的比值是否大于指定阈值;以及,如果检查结果为肯定,则利用增量学习算法使用所述待检测的网络行为进行自学习训练,以更新所述多个行为识别模型。
其中,所述行为种类包括传播行为、远程控制行为、攻击行为。
按照本发明实施例的一种用于恶意网络行为检测的装置,包括:计算模块,用于根据多个行为类别各自的特征参数,计算待检测的网络行为与所述多个行为类别的每一个的相关程度值,得到多个相关程度值,其中,所述多个行为类别包括正常行为类别和至少一个恶意行为类别,所述多个行为类别各自的特征参数预先利用已知的恶意网络行为和正常网络行为作为训练样本训练得到;以及,确定模块,用于根据所述多个相关程度值中的最大相关程度值是所述待检测的网络行为与所述正常行为类别的相关程度值还是所述待检测的网络行为与所述至少一个恶意行为类别的其中之一的相关程度值,确定所述待检测的行为属于正常网络行为或恶意网络行为。
其中,所述装置还包括:判定模块,用于根据所述待检测的网络行为的行为特点,判定所述待检测的网络行为所属的行为种类;以及,选择模块,用于从分别对应于不同的行为种类的多个行为识别模型中,选择与所判定的行为种类对应的行为识别模型,其中,所述多个行为识别模型的每一个包括所述多个行为类别各自的特征参数,其中,所述计算模块进一步用于:根据所选择的行为识别模型所包括的所述多个行为类别各自的特征参数,计算所述待检测的行为与所述多个行为类别的每一个的相关程度值,得到所述多个相关程度值。
其中,所述装置还包括:划分模块,用于将作为所述训练样本的所述已知的恶意网络行为和正常网络行为划分为多个行为组,其中每一个行为组中的网络行为属于相同的行为种类;聚类模块,用于利用聚类算法将所述多个行为组中的每一个行为组所包括的网络行为聚类为多个子行为组,每一个子行为组所包括的网络行为属于所述多个行为类别的其中一个;以及,训练模块,用于利用多分类器训练算法分别对所述多个行为组中的每一个行为组所包括的各个子行为组中的网络行为进行训练,得到所述多个行为识别模型。
其中,所述待检测的网络行为被确定所属的行为与所述待检测的网络行为实际所属的行为不相同,以及,所述装置还包括:
相乘模块,用于计算所述多个相关程度值中除了所述最大相关程度值之外的其它相关程度值的乘积;检查模块,用于检查所述最大相关程度值与所计算的乘积的比值是否大于指定阈值;以及,更新模块,用于如果检查结果为肯定,则利用增量学习算法使用所述待检测的网络行为进行自学习训练,以更新所述多个行为识别模型。
从上面的描述可以看出,本发明实施例的方案将网络行为的类别划分为包括正常行为类别和若干恶意行为类别在内的两个以上行为类别,而不是如现有技术那样的将网络行为的类别仅划分为正常行为类别和恶意行为类别的两个行为类别。网络行为类别划分越细,就能减少不同类别的行为之间的干扰,对待检测的行为的检测越准确,因此,与现有技术相比,本发明实施例的方案能够提高对恶意网络行为检测的准确性。
附图说明
本发明的其它特征、特点、优点和益处通过以下结合附图的详细描述将变得更加显而易见。
图1示出了按照本发明一个实施例的多分类器训练过程的示意图。
图2示出了按照本发明一个实施例的行为分析过程的示意图。
图3示出了按照本发明一个实施例的自学习过程的示意图。
图4示出了按照本发明一个实施例的用于恶意网络行为检测的装置的示意图。
图5示出了按照本发明一个实施例的用于恶意网络行为检测的设备的示意图。
具体实施方式
下面,将结合附图详细本发明的各个实施例。
在本发明的实施例中,使用数据元组X={x1,x2,...,xk}(k为整数)来表征网络行为,其中,x1,x2,...,xk分别用于描述网络行为的不同特征属性,其可以基于与网络行为相关的分组取得。例如,x1,x2,...,xk可以是与网络行为相关的分组的TCP/IP头和应用层协议头中的关键字段、与网络行为相关的分组的统计学信息(例如,频次)和与网络行为相关的分组的主体部分中的关键字等。与网络行为相关的分组可以从移动终端、移动互联网中的网关设备(例如,通用分组无线服务技术(GPRS)***中的网关GPRS支持节点(GGSN)或GPRS服务支持节点(SGSN)等)或移动互联网中的数据传输接口(例如,GGSN与SGSN之间的Gn接口等)等处捕获。每一个网络行为使用一个数据元组X来表示。
按照本发明一个实施例的用于恶意网络行为检测的方法包括多分类器训练过程、行为分析过程和自学习过程,这些过程可以在任何设备上实现。
现在参见图1,其示出了按照本发明一个实施例的多分类器训练过程的示意图。在执行本实施例的多分类器训练过程之前,需要收集足够数量的已知的恶意网络行为和正常网络行为作为训练样本D。
如图1所示,在方框100,根据网络行为的不同行为特点,将训练样本D划分为三个行为组D1、D2、D3。其中,行为组D1、D2、D3各自所包括的行为分别属于传播行为、远程控制行为和攻击行为这三种行为种类。
其中,传播行为是指但不局限于以下行为:恶意或合法的程序被放置在网站上,包含有指向该恶意或合法的程序的网络链接的短消息被发送给移动终端以使得用户使用该网络链接(例如经由HTTP协议、FTP协议或电子邮件)从网站上下载该恶意或合法的软件,以及通过彩信主动向目标用户发送恶意程序等。
远程控制行为是指但不局限于以下行为:移动终端连接移动互联网中的服务器以更新或下载合法或恶意的程序、下载攻击目标信息及攻击指令等。
攻击行为是指但不局限于以下行为:移动终端经由例如SMS、MMS、蓝牙或移动互联网等各种通信通道访问其它移动终端。恶意的攻击行为包括隐私盗窃、隐私传播、访问收费的增值业务、自动联系其他移动终端、消费、针对其它终端或网络的DoS或DDoS攻击等。
在方框110,使用聚类算法将行为组D1、D2、D3的每一个行为组所包括的行为聚类为m+1(m为大于零的整数)个子行为组,每一个子行为组所包括的行为属于m+1个行为类别的其中一个。该m+1个行为类别包括正常行为类别C0和m个恶意行为类别C1、C2、...、Cm。这里,每一个恶意行为类别例如可以是属于相似恶意程序的行为或属于同一恶意程序家族的相似恶意行为等。
在聚类之后,行为组D1包括子行为组D1 0、D1 1、D1 2、...、D1 m,它们各自所包括的行为分别属于行为类别C0、C1、C2、...、Cm;行为组D2包括子行为组D2 0、D2 1、D2 2、...、D2 m,它们各自所包括的行为分别属于行为类别C0、C1、C2、...、Cm;以及,行为组D3包括子行为组D3 0、D3 1、D3 2、...、D3 m,它们各自所包括的行为分别属于行为类别C0、C1、C2、...、Cm。这里,每一个行为种类所包括的行为都被划分为相同数量的行为类别,即m+1个行为类别,然而,本发明并不局限于此,在本发明的其它一些实施例中,各个行为种类所包括的行为被划分的行为类别的数量可以各不相同。
这里,聚类算法可以是但不局限于利用代表点聚类算法(CURE:Clustering usingRepresentatives)、平衡迭代削减聚类算法法(BIRCH)、基于密度的聚类算法(DBSCAN)、K-means聚类算法、K-medoids HFC聚类算法、K-pototypes算法、随机搜索聚类算法(CLARANS)、自动子空间聚类算法(CLIQUE9)等。
在方框120,使用多分类器训练算法来对行为组D1、D2、D3的每一个行为组中的各个子行为组所包括的行为进行训练,得到三个分别对应于传播行为、远程控制行为和攻击行为的行为识别模型M1、M2和M3,其中,行为识别模型M1、M2和M3中的每一个包括行为类别C0、C1、C2、...、Cm各自的特征参数。其中,每一个行为类型的特征参数用于描述属于该行为类型的行为的特性。这里,多分类器训练算法可以是但不局限于多分类器朴素贝叶斯算法、多类型支持向量机(SVM:Support Vector Machine)算法、决策树、K最近邻算法(KNN)、向量空间模型法(VSM)、神经网络分类算法等。
下面,以多分类器朴素贝叶斯算法为例详细说明如何取得行为识别模型M1、M2和M3。
多分类器朴素贝叶斯算法利用以下等式(1)来计算待检测的网络行为XD={x1 D,x2 D,...,xk D}属于行为类别Ci(i=0,1,2,...,m)的概率P(Ci|XD)。
如果P(Cf|XD)=max{P(C1|XD),P(C2|XD),...,P(Cm|XD)},则判定网络行为XD属于行为类别Cf
由于P(XD)对所有行为类别Ci都是相同的,因此,为了方便计算,可以认为P(Ci|XD)=P(XD|Ci)P(Ci)。
通常,网络行为X的各个特征属性x1,x2,...,xk相互独立,因此,P(XD|Ci)P(Ci)可以用以下等式(2)来计算。
为了计算P(x1 D|Ci)、P(x2 D|Ci)、...、P(xk D|Ci),可以将网络行为X的每一个特征属性xj(j=1,2,...,k)划分为多个取值区间x’j 1、x’j 2、...、x’j z,z为整数且z>1(注意,X的特征属性x1,x2,...,xk各自所划分的取值区间的个数可以相同或不同),并预先利用训练样本计算得到P(x’j 1|Ci)、P(x’j 2|Ci)、...、P(x’j z|Ci)和P(Ci)。利用训练样本来计算得到P(x’j 1|Ci)、P(x’j 2|Ci)、...、P(x’j z|Ci)和P(Ci)对于本领域技术人员而言是公知,这里不再赘述。
由于当待检测的网络行为XD的特征属性xj D的取值位于取值区间x’j u(1<=u<=z)时,P(xj D|Ci)=P(x’j u|Ci),因此,P(XD|Ci)P(Ci)可以利用以下等式(3)来计算得到。
综上所述,P(Ci|XD)可以利用以下等式(4)来计算。
在等式(4)中,x’j u是待检测的网络行为XD的特征属性xj D的取值所位于的取值区间。
其中,P(Ci|XD)就是待检测的网络行为XD与行为类别Ci的相关程度值,P(x’j 1|Ci)、P(x’j 2|Ci)、...、P(x’j z|Ci)和P(Ci)就是行为类别Ci的特征参数。
本领域技术人员应当理解,如果使用与多分类器朴素贝叶斯算法不同的其它多分类器训练算法,则待检测的网络行为XD与行为类别Ci的相关程度值可以不是概率P(Ci|XD),例如,可以是待检测的网络行为XD与行为类别Ci的距离作为待检测的网络行为XD与行为类别Ci的相关程度值,在这种情况下,待检测的网络行为XD与行为类别Ci的距离越近,待检测的网络行为XD与行为类别Ci越相关。
对于行为识别模型M1,使用行为组D1中的子行为组D1 0、D1 1、D1 2、...、D1 m所包括的行为作为训练样本,计算得到行为识别模型M1中的行为类别C0、C1、C2、...、Cm各自的特征参数。
对于行为识别模型M2,使用行为组D2中的子行为组D2 0、D2 1、D2 2、...、D2 m所包括的行为作为训练样本,计算得到行为识别模型M2中的行为类别C0、C1、C2、...、Cm各自的特征参数。
对于行为识别模型M3,使用行为组D3中的子行为组D3 0、D3 1、D3 2、...、D3 m所包括的行为作为训练样本,计算得到行为识别模型M3中的行为类别C0、C1、C2、...、Cm各自的特征参数。
现在参见图2,其示出了按照本发明一个实施例的行为分析过程的示意图。本实施例的行为分析过程用于分析待检测的网络行为Xd={x1 d,x2 d,...,xk d}是恶意网络行为还是正常网络行为。
如图2所示,在方框200,检查待检测的网络行为Xd是否包括在白名单列表中。其中,白名单列表记录了合法的网络行为。如果待检测的网络行为Xd包括在白名单列表中,则表明待检测的网络行为Xd是正常网络行为。
如果方框200的检查结果为肯定,即:待检测的网络行为Xd包括在白名单列表中,则待检测的网络行为Xd是正常网络行为,流程结束。
在方框204,如果方框200的检查结果为否定,即:待检测的网络行为Xd未包括在白名单列表中,则利用基于签名的病毒扫描方法来检查待检测的网络行为Xd是否是恶意网络行为。
如果方框204的检查结果为肯定,即:检查发现待检测的网络行为Xd是恶意网络行为,则流程结束。
在方框208,如果方框204的检查结果为否定,即:检查发现待检测的网络行为Xd不是恶意网络行为,则根据待检测的网络行为Xd的行为特点,确定待检测的网络行为Xd所属的行为种类。这里,行为种类可以是传播行为、远程控制行为或攻击行为。
在方框212,选择与待检测的网络行为Xd所属的行为种类对应的行为识别模型。其中,如果待检测的网络行为Xd所属的行为种类是传播行为,则选择行为识别模型M1;如果待检测的网络行为Xd所属的行为种类是远程控制行为,则选择行为识别模型M2;以及,如果待检测的网络行为Xd所属的行为种类是攻击行为,则选择行为识别模型M3。
在方框216,基于所选择的行为识别模型中的行为类别C0、C1、C2、...、Cm各自的特征参数,计算待检测的网络行为Xd分别属于行为类别C0、C1、C2、...、Cm的相关程度值,得到多个相关程度值。其中,C0是正常行为类别,而C1、C2、...、Cm是恶意行为类别。
这里,如果所选择的行为识别模型中的行为类别C0、C1、C2、...、Cm各自的特征参数是利用多分类器朴素贝叶斯算法训练得到的,则可以利用前述等式(4)来计算待检测的网络行为Xd分别与行为类别C0、C1、C2、...、Cm的相关程度值。
在方框220,从该多个相关程度值中检索出最大相关程度值。
在方框224,根据该最大相关程度值是待检测的网络行为Xd与行为类别C0的相关程度值还是待检测的网络行为Xd与恶意行为类别C1、C2、...、Cm的其中之一的相关程度值,确定待检测的网络行为Xd属于正常网络行为还是恶意网络行为。其中,如果该最大相关程度值是待检测的网络行为Xd与行为类别C0的相关程度值,则确定待检测的网络行为Xd是正常网络行为,以及,如果该最大相关程度值是待检测的网络行为Xd与恶意行为类别C1、C2、...、Cm的其中之一的相关程度值,则确定待检测的网络行为Xd是恶意网络行为。
现在参见图3,其示出了按照本发明一个实施例的自学习过程的示意图。如图3所示,在方框300,根据网络行为XE的行为特点,确定网络行为XE所属的行为类别。这里,行为类别可以是传播行为、远程控制行为或攻击行为。网络行为XE是已知的基于白名单列表确定的正常网络行为或基于签名的病毒扫描方法确定的恶意网络行为,即网络行为XE实际属于正常网络行为或恶意网络行为。
在方框304,选择与网络行为XE所属的行为种类对应的行为识别模型。其中,如果网络行为XE所属的行为种类是传播行为,则选择行为识别模型M1;如果网络行为XE所属的行为种类是远程控制行为,则选择行为识别模型M2;以及,如果网络行为XE所属的行为种类是攻击行为,则选择行为识别模型M3。
在方框308,基于所选择的行为识别模型中的行为类别C0、C1、C2、...、Cm各自的特征参数,计算网络行为XE分别与行为类别C0、C1、C2、...、Cm的相关程度值,得到多个相关程度值G。其中,C0是正常行为类别,而C1、C2、...、Cm是恶意行为类别。
在方框312,从该多个相关程度值G中检索出最大相关程度值Gmax
在方框316,根据该最大相关程度值Gmax是网络行为XE与行为类别C0的相关程度值还是网络行为XE与恶意行为类别C1、C2、...、Cm的其中之一的相关程度值,确定网络行为XE属于正常网络行为还是恶意网络行为。
在方框320,判断网络行为XE在方框316中被确定所属的行为与网络行为XE实际所属的行为是否相同。
如果方框320的判断结果为肯定,即网络行为XE被确定所属的行为与网络行为XE实际所属的行为相同,则流程结束。
在方框324,如果方框320的判断结果为否定,即网络行为XE被确定所属的行为与网络行为XE实际所属的行为不相同,则计算该多个相关程度值G中除了该最大相关程度值Gmax之外的剩余相关程度值的乘积CJ。
在方框328,计算该最大相关程度值Gmax与乘积CJ的比值R
在方框332,判断该比值R是否大于指定阈值Th。
如果方框332的判断结果为否定,即该比值R不大于指定阈值Th,则流程结束。
在方框336,如果方框332的判断结果为肯定,即该比值R大于指定阈值Th,则利用增量学习算法使用网络行为XE进行自学习训练,以更新行为识别模型M1、M2和M3。增量学习算法可以是但不局限于朴素贝叶斯增量学习算法。由于利用增量学习算法使用网络行为XE进行自学习训练以更新行为识别模型M1、M2和M3对本领域技术人员而言是公知,在此不再赘述。
从以上描述可以看出,本发明实施例的方案将网络行为的类别划分为包括正常行为类别和若干恶意行为类别在内的两个以上行为类别,而不是如现有技术那样的将网络行为的类别仅划分为正常行为类别和恶意行为类别的两个行为类别。网络行为类别划分越细,就能减少不同类别的行为之间的干扰,对待检测的行为的检测越准确,因此,本发明实施例的方案能够提高对恶意网络行为检测的准确性。
此外,本发明实施例的方案还将网络行为划分为不同行为种类,这也能就能减少不同种类的行为之间的相互干扰,从而也能提高检测准确性。
其它变型
本领域技术人员应当理解,虽然在上面的实施例中,行为种类是传播行为、远程控制行为和攻击行为,然而,本发明并不局限于此。在本发明的其它一些实施例中,行为种类也可以是传播行为、远程控制行为和攻击行为的其中两个,或者,行为种类也可以在包括传播行为、远程控制行为和攻击行为中的一个、两个或所有之外,还包括其它形式的行为种类。或者,由于传播行为、远程控制行为和攻击行为各自所包括的行为可以分为多个种类子类,因此,也可以将传播行为、远程控制行为和攻击行为各自所包括的行为种类子类作为行为种类看待,从而可以将行为分为更多的行为种类。
本领域技术人员应当理解,虽然在上面的实施例中,将网络行为划分为不同的行为种类,并建立与不同的行为种类对应的行为识别模型,然而,本发明并不局限于此。在本发明的其它一些实施例中,也可以不将网络行为划分为多个不同的行为种类从而建立多个行为识别模型,而是只建立一个行为识别模型,该行为识别模型包括各个行为类别各自的特征参数。
本领域技术人员应当理解,虽然在上面的实施例中,行为分析过程包括使用白名单列表和基于签名的病毒扫描方法来检查待检测的网络行为是否是恶意网络行为的操作,然而,本发明并不局限于此。在本发明的其它一些实施例中,行为分析过程也可以不包括使用白名单列表和/或基于签名的病毒扫描方法来检查待检测的网络行为是否是恶意网络行为的操作。本领域技术人员应当理解,虽然在上面的实施例中,用于恶意网络行为检测的方法包括多分类器训练过程以获取行为识别模型,然而,本发明并不局限于此。在本发明的其它一些实施例中,用于恶意网络行为检测的方法也可以不包括多分类器训练过程,在这种情况下,由其它途径提供行为识别模型。
本领域技术人员应当理解,虽然在上面的实施例中,用于恶意网络行为检测的方法包括自学习过程,然而,本发明并不局限于此。在本发明的其它一些实施例中,用于恶意网络行为检测的方法也可以不包括自学习过程。
本领域技术人员应当理解,本发明的用于恶意网络行为检测的方法不但可以适用于移动互联网,还可以适用于其它类型的网络。
现在参见图4,其示出了按照本发明一个实施例的用于恶意网络行为检测的装置的示意图。图4所示的装置可以由硬件、软件或软硬结合的方式来实现。
如图4所示,用于恶意网络行为检测的装置400可以包括计算模块404和确定模块408。其中,计算模块404用于根据多个行为类别各自的特征参数,计算待检测的网络行为与所述多个行为类别的每一个的相关程度值,得到多个相关程度值,其中,所述多个行为类别包括正常行为类别和若干恶意行为类别,所述多个行为类别各自的特征参数预先利用已知的恶意网络行为和正常网络行为作为训练样本训练得到,以及,确定模块408用于根据所述多个相关程度值中的最大相关程度值是所述待检测的网络行为与所述正常行为类别的相关程度值还是所述待检测的网络行为与所述若干恶意行为类别的其中之一的相关程度值,确定所述待检测的网络行为属于正常网络行为或恶意网络行为。
在一种实现方式中,装置400还可以包括判定模块412和选择模块416,其中,判定模块412用于根据所述待检测的网络行为的行为特点,判定所述待检测的网络行为所属的行为种类,选择模块416用于从分别对应于不同的行为种类的多个行为识别模型中,选择与所判定的行为种类对应的行为识别模型,其中,所述多个行为识别模型的每一个包括所述多个行为类别各自的特征参数,其中,计算模块404进一步用于:根据所选择的行为识别模型所包括的所述多个行为类别各自的特征参数,计算所述待检测的网络行为与所述多个行为类别的每一个的相关程度值,得到所述多个相关程度值。
在另一种实现方式中,装置400还可以包括划分模块420、聚类模块424和训练模块428。其中,划分模块420用于将作为所述训练样本的所述已知的恶意网络行为和正常网络行为划分为多个行为组,其中每一个行为组中的网络行为属于相同的行为种类,聚类模块424用于利用聚类算法将所述多个行为组中的每一个行为组所包括的网络行为聚类为多个子行为组,每一个子行为组所包括的网络行为属于所述多个行为类别的其中一个,以及,训练模块428用于利用多分类器训练算法分别对所述多个行为组中的每一个行为组所包括的各个子行为组中的网络行为进行训练,得到所述多个行为识别模型。
在又一种实现方式中,所述待检测的网络行为被确定所属的行为与所述待检测的网络行为实际所属的行为不相同,以及,装置400还可以包括相乘模块432、检查模块436和更新模块440,其中,相乘模块432用于计算所述多个相关程度值中除了所述最大相关程度值之外的其它概率的乘积,检查模块436用于检查所述最大相关程度值与所计算的乘积的比值是否大于指定阈值,以及,更新模块440用于如果检查结果为肯定,则利用增量学习算法使用所述待检测的网络行为进行自学习训练,以更新所述多个行为识别模型。
现在参见图5,其示出了按照本发明一个实施例的用于恶意网络行为检测的设备的示意图。如图5所示,设备500可以包括存储器510和与存储器510连接的处理器520。处理器520可以执行前述装置400中的各个模块所执行的操作。
本发明实施例还提供一种机器可读介质,其上存储可执行指令,当该可执行指令被执行时,使得机器实现处理器520所执行的操作。
本领域技术人员应当理解,上面公开的各个实施例可以在不偏离发明实质的情况下做出各种变形和修改。因此,本发明的保护范围应当由所附的权利要求书来限定。

Claims (9)

1.一种用于恶意网络行为检测的方法,包括:
根据多个行为类别各自的特征参数,计算待检测的网络行为与所述多个行为类别的每一个的相关程度值,得到多个相关程度值,其中,所述多个行为类别包括正常行为类别和至少一个恶意行为类别,所述多个行为类别各自的特征参数预先利用已知的恶意网络行为和正常网络行为作为训练样本训练得到;以及
根据所述多个相关程度值中的最大相关程度值是所述待检测的网络行为与所述正常行为类别的相关程度值还是所述待检测的网络行为与所述至少一个恶意行为类别的其中之一的相关程度值,确定所述待检测的行为属于正常网络行为或恶意网络行为;
根据所述待检测的网络行为的行为特点,判定所述待检测的网络行为所属的行为种类;以及
从分别对应于不同的行为种类的多个行为识别模型中,选择与所判定的行为种类对应的行为识别模型,其中,所述多个行为识别模型的每一个包括所述多个行为类别各自的特征参数,
其中,所述计算进一步包括:根据所选择的行为识别模型所包括的所述多个行为类别各自的特征参数,计算所述待检测的行为与所述多个行为类别的每一个的相关程度值,得到所述多个相关程度值。
2.如权利要求1所述的方法,其中,还包括:
将作为所述训练样本的所述已知的恶意网络行为和正常网络行为划分为多个行为组,其中每一个行为组中的网络行为属于相同的行为种类;
利用聚类算法将所述多个行为组中的每一个行为组所包括的网络行为聚类为多个子行为组,每一个子行为组所包括的网络行为属于所述多个行为类别的其中一个;以及
利用多分类器训练算法分别对所述多个行为组中的每一个行为组所包括的各个子行为组中的网络行为进行训练,得到所述多个行为识别模型。
3.如权利要求2所述的方法,其中,
所述待检测的网络行为被确定所属的行为与所述待检测的网络行为实际所属的行为不相同,以及
所述方法还包括:
计算所述多个相关程度值中除了所述最大相关程度值之外的其它相关程度值的乘积;
检查所述最大相关程度值与所计算的乘积的比值是否大于指定阈值;以及
如果检查结果为肯定,则利用增量学习算法使用所述待检测的网络行为进行自学习训练,以更新所述多个行为识别模型。
4.如权利要求1所述的方法,其中,所述行为种类包括传播行为、远程控制行为、攻击行为。
5.一种用于恶意网络行为检测的装置,包括:
计算模块,用于根据多个行为类别各自的特征参数,计算待检测的网络行为与所述多个行为类别的每一个的相关程度值,得到多个相关程度值,其中,所述多个行为类别包括正常行为类别和至少一个恶意行为类别,所述多个行为类别各自的特征参数预先利用已知的恶意网络行为和正常网络行为作为训练样本训练得到;以及
确定模块,用于根据所述多个相关程度值中的最大相关程度值是所述待检测的网络行为与所述正常行为类别的相关程度值还是所述待检测的网络行为与所述至少一个恶意行为类别的其中之一的相关程度值,确定所述待检测的行为属于正常网络行为或恶意网络行为;
判定模块,用于根据所述待检测的网络行为的行为特点,判定所述待检测的网络行为所属的行为种类;以及
选择模块,用于从分别对应于不同的行为种类的多个行为识别模型中,选择与所判定的行为种类对应的行为识别模型,其中,所述多个行为识别模型的每一个包括所述多个行为类别各自的特征参数,
其中,所述计算模块进一步用于:根据所选择的行为识别模型所包括的所述多个行为类别各自的特征参数,计算所述待检测的行为与所述多个行为类别的每一个的相关程度值,得到所述多个相关程度值。
6.如权利要求5所述的装置,其中,还包括:
划分模块,用于将作为所述训练样本的所述已知的恶意网络行为和正常网络行为划分为多个行为组,其中每一个行为组中的网络行为属于相同的行为种类;
聚类模块,用于利用聚类算法将所述多个行为组中的每一个行为组所包括的网络行为聚类为多个子行为组,每一个子行为组所包括的网络行为属于所述多个行为类别的其中一个;以及
训练模块,用于利用多分类器训练算法分别对所述多个行为组中的每一个行为组所包括的各个子行为组中的网络行为进行训练,得到所述多个行为识别模型。
7.如权利要求6所述的装置,其中,
所述待检测的网络行为被确定所属的行为与所述待检测的网络行为实际所属的行为不相同,以及
所述装置还包括:
相乘模块,用于计算所述多个相关程度值中除了所述最大相关程度值之外的其它相关程度值的乘积;
检查模块,用于检查所述最大相关程度值与所计算的乘积的比值是否大于指定阈值;以及
更新模块,用于如果检查结果为肯定,则利用增量学习算法使用所述待检测的网络行为进行自学习训练,以更新所述多个行为识别模型。
8.一种用于恶意网络行为检测的设备,包括:
存储器;以及
与所述存储器连接的处理器,用于执行权利要求1-4中的任意一个所包括的操作。
9.一种机器可读介质,其上存储有可执行指令,当该可执行指令被执行时,使得机器执行权利要求8中的处理器所执行的操作。
CN201310461795.1A 2013-09-30 2013-09-30 一种用于恶意网络行为检测的方法和装置 Active CN104519031B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201310461795.1A CN104519031B (zh) 2013-09-30 2013-09-30 一种用于恶意网络行为检测的方法和装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201310461795.1A CN104519031B (zh) 2013-09-30 2013-09-30 一种用于恶意网络行为检测的方法和装置

Publications (2)

Publication Number Publication Date
CN104519031A CN104519031A (zh) 2015-04-15
CN104519031B true CN104519031B (zh) 2018-03-09

Family

ID=52793768

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201310461795.1A Active CN104519031B (zh) 2013-09-30 2013-09-30 一种用于恶意网络行为检测的方法和装置

Country Status (1)

Country Link
CN (1) CN104519031B (zh)

Families Citing this family (23)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106469276B (zh) * 2015-08-19 2020-04-07 阿里巴巴集团控股有限公司 数据样本的类型识别方法及装置
CN105426760B (zh) * 2015-11-05 2018-04-06 工业和信息化部电信研究院 一种安卓恶意应用的检测方法及装置
CN105760897B (zh) * 2016-03-21 2019-08-20 合肥赛猊腾龙信息技术有限公司 一种使用可信度分类器进行文件分类的方法及装置
CN105847302B (zh) * 2016-05-31 2019-04-12 北京奇艺世纪科技有限公司 一种异常检测方法及装置
WO2017206499A1 (zh) * 2016-05-31 2017-12-07 华为技术有限公司 网络攻击检测方法以及攻击检测装置
CN106209845A (zh) * 2016-07-12 2016-12-07 国家计算机网络与信息安全管理中心 一种基于贝叶斯学习理论的恶意http请求判定方法
CN106777024A (zh) * 2016-12-08 2017-05-31 北京小米移动软件有限公司 识别恶意用户的方法及装置
CN107707547A (zh) * 2017-09-29 2018-02-16 北京神州绿盟信息安全科技股份有限公司 一种DDoS攻击的检测方法及设备
CN107528859B (zh) * 2017-09-29 2020-07-10 北京神州绿盟信息安全科技股份有限公司 一种DDoS攻击的防御方法及设备
CN107832413A (zh) * 2017-11-07 2018-03-23 电子科技大学 一种微博无效用户的检测方法
CN109936525B (zh) 2017-12-15 2020-07-31 阿里巴巴集团控股有限公司 一种基于图结构模型的异常账号防控方法、装置以及设备
CN108234472A (zh) * 2017-12-28 2018-06-29 北京百度网讯科技有限公司 挑战黑洞攻击的检测方法及装置、计算机设备及可读介质
CN108540472A (zh) * 2018-04-08 2018-09-14 南京邮电大学 Android重打包恶意应用检测装置
CN110532773B (zh) * 2018-05-25 2023-04-07 阿里巴巴集团控股有限公司 恶意访问行为识别方法、数据处理方法、装置和设备
CN108769079A (zh) * 2018-07-09 2018-11-06 四川大学 一种基于机器学习的Web入侵检测技术
US12003515B2 (en) 2018-07-12 2024-06-04 Cyber Defence Qcd Corporation Systems and method of cyber-monitoring which utilizes a knowledge database
CN109067722B (zh) * 2018-07-24 2020-10-27 湖南大学 一种基于两步聚类和检测片分析联合算法的LDoS检测方法
CN109525548B (zh) * 2018-09-25 2021-10-29 平安科技(深圳)有限公司 一种基于代价函数的白名单更新方法、装置及电子设备
CN110955890B (zh) * 2018-09-26 2021-08-17 瑞数信息技术(上海)有限公司 恶意批量访问行为的检测方法、装置和计算机存储介质
CN109460784A (zh) * 2018-10-22 2019-03-12 武汉极意网络科技有限公司 访问行为特征模型建立方法、设备、存储介质及装置
CN109587248B (zh) * 2018-12-06 2023-08-29 腾讯科技(深圳)有限公司 用户识别方法、装置、服务器及存储介质
CN111918280B (zh) * 2019-05-07 2022-07-22 华为技术有限公司 一种终端信息的处理方法、装置及***
CN116341824A (zh) * 2023-02-01 2023-06-27 江苏瑞莫德电气科技有限公司 一种基于云计算的智慧电网变配电站管理***及其方法

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102571486A (zh) * 2011-12-14 2012-07-11 上海交通大学 一种基于BoW模型和统计特征的流量识别方法
CN102821002A (zh) * 2011-06-09 2012-12-12 ***通信集团河南有限公司信阳分公司 网络流量异常检测方法和***

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060037077A1 (en) * 2004-08-16 2006-02-16 Cisco Technology, Inc. Network intrusion detection system having application inspection and anomaly detection characteristics

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102821002A (zh) * 2011-06-09 2012-12-12 ***通信集团河南有限公司信阳分公司 网络流量异常检测方法和***
CN102571486A (zh) * 2011-12-14 2012-07-11 上海交通大学 一种基于BoW模型和统计特征的流量识别方法

Also Published As

Publication number Publication date
CN104519031A (zh) 2015-04-15

Similar Documents

Publication Publication Date Title
CN104519031B (zh) 一种用于恶意网络行为检测的方法和装置
Tolpegin et al. Data poisoning attacks against federated learning systems
EP4203349A1 (en) Training method for detection model, system, device, and storage medium
US11689566B2 (en) Detecting and mitigating poison attacks using data provenance
US20210021616A1 (en) Method and system for classifying data objects based on their network footprint
Wang High precision open-world website fingerprinting
Ali Alheeti et al. Intelligent intrusion detection in external communication systems for autonomous vehicles
CN103593609B (zh) 一种可信行为识别的方法和装置
CN116647411B (zh) 游戏平台网络安全的监测预警方法
CN106716958A (zh) 横向移动检测
Alheeti et al. Hybrid intrusion detection in connected self-driving vehicles
US11516240B2 (en) Detection of anomalies associated with fraudulent access to a service platform
CN109600336A (zh) 存储设备、验证码应用方法和装置
KR102067324B1 (ko) 무선 Wi-Fi 망에서 딥러닝을 이용한 위장 공격 특장점 분석 장치 및 방법
Goncalves et al. A systematic review on intelligent intrusion detection systems for VANETs
Mohammadpour et al. A mean convolutional layer for intrusion detection system
US10419449B1 (en) Aggregating network sessions into meta-sessions for ranking and classification
WO2019156680A1 (en) Proactive device authentication platform
Bowen et al. BLoCNet: a hybrid, dataset-independent intrusion detection system using deep learning
Das et al. Smartphone fingerprinting via motion sensors: Analyzing feasibility at large-scale and studying real usage patterns
CN112347457A (zh) 异常账户检测方法、装置、计算机设备和存储介质
CN110598794A (zh) 一种分类对抗的网络攻击检测方法及***
CN107231383A (zh) Cc攻击的检测方法及装置
CN107909414A (zh) 应用程序的反作弊方法及装置
CN116055092A (zh) 一种隐蔽隧道攻击行为检测方法和装置

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant