CN110336806B - 一种结合会话行为和通信关系的隐蔽通信检测方法 - Google Patents

一种结合会话行为和通信关系的隐蔽通信检测方法 Download PDF

Info

Publication number
CN110336806B
CN110336806B CN201910570344.9A CN201910570344A CN110336806B CN 110336806 B CN110336806 B CN 110336806B CN 201910570344 A CN201910570344 A CN 201910570344A CN 110336806 B CN110336806 B CN 110336806B
Authority
CN
China
Prior art keywords
communication
session
data
covert
conversation
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201910570344.9A
Other languages
English (en)
Other versions
CN110336806A (zh
Inventor
陈兴蜀
陈敬涵
邵国林
曾雪梅
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sichuan University
Original Assignee
Sichuan University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sichuan University filed Critical Sichuan University
Priority to CN201910570344.9A priority Critical patent/CN110336806B/zh
Publication of CN110336806A publication Critical patent/CN110336806A/zh
Application granted granted Critical
Publication of CN110336806B publication Critical patent/CN110336806B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0407Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1097Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种结合会话行为和通信关系的隐蔽通信检测方法,包括以下步骤:步骤1:会话流还原;将采集到的数据包还原成会话流并存储于Hadoop分布式文件***;步骤2:面向会话行为隐蔽性的隐蔽通信初步判定;步骤3:再面向通信关系持续性的隐蔽通信增强判定。本发明采取了结合会话行为和通信关系的检测方式,使真实网络环境下的隐蔽通信检测更具有效性。

Description

一种结合会话行为和通信关系的隐蔽通信检测方法
技术领域
本发明属于恶意网络流量监测领域,特别是一种结合会话行为和通信关系的隐蔽通信检测方法。
背景技术
网络空间已成为国家之间安全博弈的新战场,木马、僵尸网络、高级持续性威胁等已成为当前网络中的重大安全问题。隐蔽通信——一种通过伪装通信过程,将自身隐藏于合法的正常网络数据中,以躲避安全设备的检测,从而长期控制利用受害主机或设备的恶意通信行为。因其通信的隐蔽性和持续性而被大量应用于上述网络威胁并成为了其中一个关键阶段。
现阶段基于网络行为的木马检测更关注建连和操作阶段的检测,僵尸网络和APT的检测分别侧重攻击的协同性和多步性,因此现有检测方案对这一通信行为的检测能力略显不足。且上述攻击检测的现有方法在实验环境下具有良好表现,但应用于真实网络环境下往往存在误告警占比较高的问题。如何实现真实网络环境下对隐蔽通信的有效检测是当前亟待解决的问题。该问题正面临以下挑战:(1)隐蔽通信本身所采用的隐蔽技术提高了恶意行为特征分析、特征提取和检测的难度;(2)互联网时代下网络数据的急速增长,数据复杂性和多样性增加了真实环境下从海量数据中检测隐蔽通信的难度。
发明内容
本发明所要解决的技术问题是提供一种结合会话行为和通信关系的隐蔽通信检测方法,采取结合会话行为和通信关系的检测方式,使真实网络环境下的隐蔽通信检测更具有效性。
为解决上述技术问题,本发明采用的技术方案是:
一种结合会话行为和通信关系的隐蔽通信检测方法,包括以下步骤:
步骤1:会话流还原
将采集到的数据包还原成会话流并存储于Hadoop分布式文件***(HDFS);会话流是两个网络主机之间一次完整网络连接中从第一个网络数据包到最后一个网络数据包的集合;会话流中数据包具有相同五元组,且数据包的源IP、目的IP、源端口、目的端口可互换;对基于TCP的会话流,则属于从TCP连接建立的SYN包开始,到收到最后一个FIN包或RST包结束,这一范围内的数据包所构成的会话流集合;对基于UDP的会话流则满足每个数据包的时间间隔都不超过老化时间;
步骤2:面向会话行为隐蔽性的隐蔽通信初步判定
步骤2.1:会话流聚合;利用源IP、目的IP、目的端口和开始时间在Spark平台下聚合会话流得到聚合后会话流;
步骤2.2:特征向量生成;对每组聚合后的会话流计算发送字节数均值、接收字节数均值、发收字节比均值、发收包数比均值、平均发包长均值、平均收包长均值、持续时间均值、发送字节数相似性、发收字节数比相似性、持续时间相似性、会话流数量和端口有序度;
步骤2.3:模型构建与初步判定;在训练阶段,利用已有的隐蔽通信会话数据和正常通信会话数据,通过Spark平台的MLlib提供的决策树、逻辑回归、梯度提升树三个分类算法,训练三个分类器,作为检测阶段的分类模型;在检测阶段,将对通信数据是否为“疑似隐蔽通信”所产生的数据进行判断,在初步判定阶段被判定为“疑似隐蔽通信”的数据,将作为增强判定的输入(即在检测阶段,利用三个分类器的输出,采取绝对多投票的方式,决定隐蔽通信初步判定结果,该结果将作为增强判定的输入);
步骤3:面向通信关系持续性的隐蔽通信增强判定
步骤3.1:隐蔽通信增强判定指标计算;将初步判定输出的通信关系数据作为隐蔽通信增强判定指标计算的数据基础,利用单个时间窗口下通信数据和多时间窗口下通信关系数据,计算通信行为持续性评价指标;
步骤3.2:基于层次分析-模糊综合评价的隐蔽通信增强判定;基于层次分析进行权重设置,通过上一步的研究得到若干影响因素,确定影响因素层次结构,并在此基础上进行研究影响因素权重的设置;
步骤3.3:再基于模糊综合评价模型进行最终评价;通过建立因素集、评价集,单因素评价矩阵,实现对通信数据是否为隐蔽通信所产生数据进行最终判定。
进一步的,所述步骤2.1会话流聚合具体为:首先,将单条会话流构造成以通信IP对及目的端口为键,以会话流开始时间及会话流数据为值的键值对;其次,将输入的会话流按通信IP对和目的端口进行分组,并将同分组会话流按开始时间顺序排序;最后,将排序后的会话流,按时间阈值进行聚合。
进一步的,在步骤2.3检测阶段中,利用三个分类器的输出,采取绝对多投票的方式,决定初步判定结果,判定通信数据是否为“疑似隐蔽通信”数据(即得到隐蔽通信初步判定结果,初步判定结果将被作为隐蔽通信增强判定的输入)。
进一步的,还包括步骤4:对最终判定结果进行存储、告警和可视化展示。
与现有技术相比,本发明的有益效果是:1)通过会话流聚合算法,实现了特征提取,使得到的特征向量能够在描述单挑会话流特征的同时,能够刻画会话流之间的相似性,从而能从会话行为的角度更好的描述检测目标。2)通过结合单时间窗口下的通信关系数据和多时间窗口下的通信数据,使评价指标能突破单时间窗口下攻击特征描述的局限性,从而能从通信关系的角度更好的描述检测目标。3)采取了结合会话行为和通信关系的检测方式,使真实网络环境下的隐蔽通信检测更具有效性。
附图说明
图1是结合会话行为和通信关系的隐蔽通信检测框架图;
图2是流量还原流程图;
图3是会话流聚合算法;
图4是基于层次分析的权重设定流程图;
图5是GCP层次结构模型图;
图6是基于模糊综合评价模型的评价流程图;
图7是检测结果可视化展示;
图8是告警结果多源威胁情报分析结果。
具体实施方式
下面结合附图和具体实施方式对本发明作进一步详细的说明。如图1所示,结合会话行为和通信关系的隐蔽通信检测方法的具体如下:
步骤1:会话流还原,如图2所示,包括以下过程:
(1)程序调用C#的SharpPcap从采集服务器网卡获得原始数据包。SharpPcap是一个.NET环境下的网络包捕获框架,提供了捕获、注入、分析和构建的功能。
(2)通过队列机制实现数据包采集与数据包的异步处理。
(3)多线程下的数据包获取与处理。要得到传输层内容,需先剥离数据包IP头,但此处保留了MAC地址信息;接着识别并区分TCP及UDP包,而其他协议包,如ICMP,此处不做处理。
(4)TCP及UDP格式定义。
(5)TCP及UDP流量还原。将从数据包中获取的源IP、目的IP、源端口、目的端口及协议作为键,会话流相关属性统为值,构建哈希表;进行会话流重组;当满足结束条件时,从哈希表输出。结束条件为满足以下任意一项:(a)FIN或RST标志位置1;(b)距第一个包到达时间大于30分钟;(c)距最后一个包到达时间超过1分钟。
步骤2:面向会话行为隐蔽性的隐蔽通信初步判定;该步骤着眼于隐蔽通信的隐蔽性特征,其判定结果将作为后续面向通信关系持续性的隐蔽通信增强判定的数据依据,具体如下:
步骤2.1:会话流聚合
为在描述单条会话流特征的同时,刻画会话流之间的相似性,基于Spark平台进行会话流聚合,得到聚合后会话流。首先,将单条会话流构造成以通信IP对及目的端口为键,以会话流开始时间及会话流数据为值的键值对。其次,将输入的会话流按通信IP对和目的端口进行分组,并将同分组会话流按开始时间顺序排序。最后,将排序后的会话流,按时间阈值(秒)进行聚合,本发明中取阈值为180。其具体算法实现过程如图3所示。
步骤2.2:基于会话流聚合的特征提取
从会话流基本特征、会话流相似性特征、聚合流特征三个角度,综合考虑数据的集中趋势和离散程度,最终提取12维度特征。以任意聚合流F=<f1,f2,…,fn>为例,对特征的计算方式进行说明:
会话流基本特征集合B=<b1,b2,…,b7>中元素分别代表F的发送字节数均值、接收字节数均值、发收字节比均值、发收包数比均值、平均发包长均值、平均收包长均值及持续时间均值。公式(1)以发送字节数均值SendLenAve为例,对B中各元素计算方式进行说明:
Figure GDA0002417637690000061
会话流相似性特征集合S={s1,s2,s3}中元素分别代表发送字节数相似性、发收字节数比相似性及持续时间相似性。公式(2)以发送字节数相似性SendLenSim为6例,对S中各个元素计算方式进行说明:
Figure GDA0002417637690000062
其中:
Figure GDA0002417637690000063
Figure GDA0002417637690000064
聚合流特征中,会话流数量C如公式(5):
C=n (5)
端口有序度PtOrderDegree计算方式如公式(6):
Figure GDA0002417637690000065
步骤2.3:在训练阶段,利用隐蔽通信会话数据和正常通信会话数据,通过Spark平台的MLlib提供的决策树、逻辑回归、梯度提升树三个分类算法,训练三个分类器。在检测阶段,利用三个分类器的输出,采取绝对多投票的方式,决定初步判定结果,即判断是否为“疑似隐蔽通信数据”,若是,则将数据作为后续增强判定的输入。
步骤3:面向通信关系持续性的隐蔽通信增强判定
此步骤着眼于隐蔽通信的持续性特征,从通信关系的角度进行增强判定,具体如下:
步骤3.1:隐蔽通信持续性检测指标计算
(1)相关源IP数量
对任意时间窗口Δt下通信信息集合Q={q1,q2,…,qn},qi(i=1,2,…,n)表示通信信息<t,si,di>即时间、源IP及目的IP,n表示该时间窗口下通信信息数量,Q中所有目的IP构成的不含重复元素集合D={d1,d2,…,dk},k为Q中出现的不重复目的IP数量,在Q中与di(i=0,1,…,k)相关的不含重复元素的源IP构成集合
Figure GDA0002417637690000071
具体计算方式如(7)所示:
y=atan(x)×2/π (7)
故对相关源IP数量结果表征的计算方式如(8)所示:
C(t,di)=atan(|S|)×2/π (8)
其中,|S|为时间窗口Δt下di相关源IP数量,C(t,di)表示归一化后数量。
(2)目的IP相似度
对任意时间窗口Δt下通信信息集合Q={q1,q2,…,qn},qi(i=1,2,…,n)表示通信信息<t,si,di>即时间、源IP及目的IP,n表示该时间窗口下通信信息数量,Q中所有源IP构成的不含重复元素集合S={s1,s2,…,sm},m为Q中不重复源IP数量,在Q中与si(i=0,1,…,m)相关的不重复目的IP集合为
Figure GDA0002417637690000072
其中k为不重复目的IP数,集合D对应的网段集合为
Figure GDA0002417637690000073
遍历DS中每个元素,得到唯一对应集合
Figure GDA0002417637690000074
其中
Figure GDA0002417637690000075
表示在集合DS中与元素
Figure GDA0002417637690000076
值相等的元素个数。时间窗口Δt下si相关目的
Figure GDA0002417637690000077
的相似度
Figure GDA0002417637690000078
的具体计算方式如公式(9)所示:
Figure GDA0002417637690000079
(3)目的IP评价指数
对任意时间窗口Δt下通信集合Q={q1,q2,…,qn},qi(i=1,2,…,n)表示通信信息<t,si,di>即时间、源IP及目的IP,n表示该时间窗口下隐蔽通信信息数量,Q中所有源IP构成的不含重复元素集合S={s1,s2,…,sm},m为Q中不重复源IP数量,在Q中与si(i=0,1,…,m)对应的目的IP集合为
Figure GDA0002417637690000081
利用IBM提供的X-Force Exchange对集合D中每个元素进行评估,并得到唯一集合
Figure GDA0002417637690000082
其中
Figure GDA0002417637690000083
表示集合D中
Figure GDA0002417637690000084
对应的评分。时间窗口Δt下si相关目的
Figure GDA0002417637690000085
的评价指数
Figure GDA0002417637690000086
的具体计算方式如公式(10)所示:
Figure GDA0002417637690000087
(4)相关目的IP出现次数
对任意时间窗口Δt下通信集合Q={q1,q2,…,qn},qi(i=1,2,…,n)表示通信信息<t,si,di>即时间、源IP及目的IP,n表示该时间窗口下通信信息数量,Q中所有源IP构成的不含重复元素集合S={s1,s2,…,sm},m为Q中不重复源IP数量,在Q中与si(i=1,2,…,m)对应的目的IP集合为
Figure GDA0002417637690000088
遍历集合D中每个元素,得到唯一对应集合
Figure GDA0002417637690000089
其中
Figure GDA00024176376900000810
表示集合D中与
Figure GDA00024176376900000811
值相等的元素个数。时间窗口Δt下si相关目的
Figure GDA00024176376900000812
的出现次数表征值
Figure GDA00024176376900000813
的具体计算方式如公式(11)所示:
Figure GDA00024176376900000814
(5)目的IP持续度
任意按时间先后排序的时间窗口序列W=<w1,w2,…,wn>中元素wi(i=1,2,…,n)表示以小时为单位的时间窗口Δt,n表示时间窗口数量。序列W对应的通信信息集合序列为P=<Q1,Q2,…,Qn>,其中Qi(i=1,2,…,n)表示第i个时间窗口下的通信信息集合,即
Figure GDA00024176376900000815
表示第i个时间窗口下一组通信信息
Figure GDA00024176376900000816
即时间、源IP及目的IP,k表示该时间窗口下通信信息数量。由集合序列P可得到集合序列PD=<D1,D2,…,Dn>,其中
Figure GDA00024176376900000817
表示Qi中不重复目的IP集合。对第i个时间窗口下Di中任意元素
Figure GDA0002417637690000091
在连续h个时间窗口wi-(h-1),wi-(h-2),…,wi-1,wi下的出现次数
Figure GDA0002417637690000092
可通过遍历
Figure GDA0002417637690000093
并计算
Figure GDA0002417637690000094
对应IP出现的次数得到。则时间ti下,连续h个时间窗口下目的
Figure GDA0002417637690000095
的持续度
Figure GDA0002417637690000096
的具体计算方式如公式(12)所示:
Figure GDA0002417637690000097
(6)源IP关联度
任意按时间先后排序的时间窗口序列W=<w1,w2,…,wn>中元素wi(i=1,2,…,n)表示以小时为单位的时间窗口Δt,n表示时间窗口数量。序列W对应的通信信息集合序列为P=<Q1,Q2,…,Qn>,其中Qi(i=1,2,…,n)表示第i个时间窗口下的通信信息集合,即
Figure GDA0002417637690000098
表示第i个时间窗口下一组通信信息
Figure GDA0002417637690000099
即时间、源IP及目的IP,k表示该时间窗口下通信信息数量。由Qi可得ti时间窗口下的去重目的IP集合
Figure GDA00024176376900000910
对ti时间窗口下Di中任意元素
Figure GDA00024176376900000911
在连续h个时间窗口wi-(h-1),wi-(h-2),…,wi-1,wi下Qi-(h-1),Qi-(h-1),…,Qi-1,Qi中与
Figure GDA00024176376900000912
相关的源IP集合为S={s1,s2,…,sl},且S中不含重复元素。则时间ti下,连续h个时间窗口下目的
Figure GDA00024176376900000913
的源IP关联度
Figure GDA00024176376900000917
的具体计算方式如公式(13)所示:
Figure GDA00024176376900000914
(7)源IP出现次数占比
任意按时间先后排序的时间窗口序列W=<w1,w2,…,wn>中元素wi(i=1,2,…,n)表示以小时为单位的时间窗口Δt,n表示时间窗口数量。序列W对应的通信集合序列为P=<Q1,Q2,…,Qn>,其中Qi(i=1,2,…,n)表示第i个时间窗口下的通信集合,即
Figure GDA00024176376900000915
表示该时间窗口下一组通信信息
Figure GDA00024176376900000916
即时间、源IP及目的IP,k表示该时间窗口下通信信息数量。由Qi可得第i个时间窗口下的去重源IP集合
Figure GDA0002417637690000101
在连续h个时间窗口wi-(h-1),wi-(h-2),…,wi-1,wi下的Qi-(h-1),Qi-(h-1),…,Qi-1,Qi中的源IP集合SH={sh1,sh2,…,shl},其中l为在Qi-(h-1),Qi-(h-1),…,Qi-1,Qi出现过的源IP数量。则结合si和SH可得唯一集合
Figure GDA0002417637690000102
其中
Figure GDA0002417637690000103
Figure GDA0002417637690000104
在集合SH中的出现次数。则在时间ti下,连续h个时间窗口下源
Figure GDA0002417637690000105
的出现次数占比
Figure GDA0002417637690000106
的具体计算方式如公式(14)所示:
Figure GDA0002417637690000107
(8)目的IP出现次数占比
任意按时间先后排序的时间窗口序列W=<w1,w2,…,wn>中元素wi(i=1,2,…,n)表示以小时为单位的时间窗口Δt,n表示时间窗口数量。序列W对应的通信集合序列为P=<Q1,Q2,…,Qn>,其中Qi(i=1,2,…,n)表示第i个时间窗口下的通信集合,即
Figure GDA0002417637690000108
表示该时间窗口下的一组通信信息
Figure GDA0002417637690000109
即时间、源IP及目的IP,k表示该时间窗口下通信信息数量。由Qi可得第i个时间窗口下的去重目的IP集合
Figure GDA00024176376900001010
对第i个时间窗口下Di中任意元素
Figure GDA00024176376900001011
在连续h个时间窗口wi-(h-1),wi-(h-2),…,wi-1,wi下的Qi-(h-1),Qi-(h-1),…,Qi-1,Qi中的目的IP集合DH={dh1,dh2,…,dhl},其中l为在Qi-(h-1),Qi-(h-1),…,Qi-1,Qi出现过的目的IP数量。则结合Di和DH可得唯一集合
Figure GDA00024176376900001012
其中
Figure GDA00024176376900001013
Figure GDA00024176376900001014
在集合DH中的出现次数。则在时间ti下,连续h个时间窗口下目的
Figure GDA00024176376900001015
的出现次数占比
Figure GDA00024176376900001016
的具体计算方式如公式(15)所示:
Figure GDA00024176376900001017
步骤3.2:基于层次分析的权重设定
如图4所示,包括以下步骤:
(1)层次结构模型构造;层次模型如如图5所示。
(2)对比矩阵建立;分别针对图4中p1-p4和p5-p8建立两个形如A1及A2的对比矩阵。
Figure GDA0002417637690000111
Figure GDA0002417637690000112
(3)特征向量和相对权重计算;本发明方法中相对权重
Figure GDA0002417637690000113
(4)一致性检验。
(5)层次总排序及一致性检验;本发明方法中WG-C=(0.6,0.4)。
步骤3.3:基于模糊综合评价模型的评价方法
其实现过程如图6所示:
(1)因素集建立;本发明方法因素集为U={C1,C2},其中单因素子集分别为:
Figure GDA0002417637690000114
其中Pi(i=1,2,…,8)分别对应图5中P层的8个指标。
(2)评价集建立;本发明方法中评价集V={v1,v2,…,vm},取m=3,分别代表“强”、“中”和“弱”三种隐蔽通信可疑等级。
(3)单因素模糊评价及模糊综合评价矩阵建立;首先是指标向量构建:根据步骤(1)中构建的因素集,对wi时间窗口下的任意通信数据,构建对应的指标向量Z=(z1,z2,…,z8);其次是辅助矩阵构建:根据上一步得到的指标向量,对当前时间窗口wi下,对指标集合P={p1,p2,…,p8}分别计算出wi-(h-1)到wi(本方法中h=3)时间内的最大值、均值、最小值,对于指标pi(i=1,2,…,8)可得Di=(di1,di2,di3),dij(j=1,2,3)分别表示指标pi在上述时间段内的最大值、均值和最小值。D1,D2,…,D8为行,构成辅助矩阵D8×3;最后是模糊综合评价矩阵构建:根据前两步分别得到的指标向量和,计算对应的模糊集合Ri=(ri1,ri2,ri3)=(1-|zi-di1|,1-|zi-di2|,1-|zi-di3|),则对应的模糊综合评价矩阵如(16)所示:
Figure GDA0002417637690000121
根据R8×3得到C1及C2分别对应的单评价因素矩阵R1及R2
Figure GDA0002417637690000122
(4)因素权重向量确定;本发明方法中权重系数向量为
Figure GDA0002417637690000123
(5)单因素评价;单因素评价公式为Bi=Wi·Ri=(bi1,bi2,bi3)。
(6)综合评价;具体计算方法如公式(17),最终的模糊综合评价结果计算方法为:E=WG-C·RC=(e1,e2,e3)。
Figure GDA0002417637690000124
(7)最终判定;对时间窗口wi中通信数据对应的指标向量Z=(z1,z2,…,z8)计算得到的模糊综合评价结果向量E=(e1,e2,e3)中e1,e2,e3分别对应当前数据为隐蔽通信的可疑度的隶属值,则该数据对应的最终评价结果由e1,e2,e3最大值决定。本方法中,当对通信数据的模糊综合评价结果为e1或e2时,将该通信数据判定为隐蔽通信并输出告警。
图7是本发明在某校园网内的检测结果的可视化展示,其中包含了30个源、目的IP对。检测对象是2018年11月22日13时到14时的数据中心流量。图8是对上述检测结果的所属地及在threatbook、360威胁情报中心、RedQueen及VenusEye中的威胁情报信息的描述,其中除5个IP在威胁情报中不存在标记或被标记为DDoS Target之外,其余IP均存在僵尸网络、木马、恶意软件的标记,而发明所关注的对象正属于它们的重要通信过程。告警中涉及的8个此校内IP已被恶意攻击者通过隐蔽通信的方式控制利用。
从上述分析可知,发明方法应用于实际环境后具有良好的检测效果,且检测出了防火墙未拦截的隐蔽通信流量。

Claims (4)

1.一种结合会话行为和通信关系的隐蔽通信检测方法,其特征在于,包括以下步骤:
步骤1:会话流还原
将采集到的数据包还原成会话流并存储于Hadoop分布式文件***;会话流是两个网络主机之间一次完整网络连接中从第一个网络数据包到最后一个网络数据包的集合;会话流中数据包具有相同五元组,且数据包的源IP、目的IP、源端口、目的端口能够互换;对基于TCP的会话流,则属于从TCP连接建立的SYN包开始,到收到最后一个FIN包或RST包结束,这一范围内的数据包所构成的会话流集合;对基于UDP的会话流则满足每个数据包的时间间隔都不超过老化时间;
步骤2:面向会话行为隐蔽性的隐蔽通信初步判定
步骤2.1:会话流聚合;利用源IP、目的IP、目的端口和开始时间在Spark平台下聚合会话流得到聚合后会话流;
步骤2.2:特征向量生成;对每组聚合后的会话流计算发送字节数均值、接收字节数均值、发收字节比均值、发收包数比均值、平均发包长均值、平均收包长均值、持续时间均值、发送字节数相似性、发收字节数比相似性、持续时间相似性、会话流数量和端口有序度;
步骤2.3:模型构建与初步判定;在训练阶段,利用已有的隐蔽通信会话数据和正常通信会话数据,通过Spark平台的MLlib提供的决策树、逻辑回归、梯度提升树三个分类算法,训练三个分类器,作为检测阶段的分类模型;在检测阶段,利用三个分类器的输出,采取绝对多投票的方式,决定隐蔽通信初步判定结果,该结果将作为增强判定的输入;
步骤3:面向通信关系持续性的隐蔽通信增强判定
步骤3.1:隐蔽通信增强判定指标计算;将初步判定输出的通信关系数据作为隐蔽通信增强判定指标计算的数据基础,利用单个时间窗口下通信数据和多时间窗口下通信关系数据,计算通信行为持续性评价指标;
步骤3.2:基于层次分析-模糊综合评价的隐蔽通信增强判定;基于层次分析进行权重设置,通过若干影响因素,确定影响因素层次结构,并在此基础上进行研究影响因素权重的设置;
步骤3.3:基于模糊综合评价模型进行最终评价;通过建立因素集、评价集和单因素评价矩阵,实现对通信数据是否为隐蔽通信所产生数据进行最终判定。
2.如权利要求1所述的一种结合会话行为和通信关系的隐蔽通信检测方法,其特征在于,所述步骤2.1会话流聚合具体为:首先,将单条会话流构造成以通信IP对及目的端口为键,以会话流开始时间及会话流数据为值的键值对;其次,将输入的会话流按通信IP对和目的端口进行分组,并将同分组会话流按开始时间顺序排序;最后,将排序后的会话流,按时间阈值进行聚合。
3.如权利要求1所述的一种结合会话行为和通信关系的隐蔽通信检测方法,其特征在于,在步骤2.3检测阶段中,利用三个分类器的输出,采取绝对多投票的方式,得到隐蔽通信初步判定结果,初步判定结果将被作为隐蔽通信增强判定的输入。
4.如权利要求1所述的一种结合会话行为和通信关系的隐蔽通信检测方法,其特征在于,还包括步骤4:对最终判定结果进行存储、告警和可视化展示。
CN201910570344.9A 2019-06-27 2019-06-27 一种结合会话行为和通信关系的隐蔽通信检测方法 Active CN110336806B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910570344.9A CN110336806B (zh) 2019-06-27 2019-06-27 一种结合会话行为和通信关系的隐蔽通信检测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910570344.9A CN110336806B (zh) 2019-06-27 2019-06-27 一种结合会话行为和通信关系的隐蔽通信检测方法

Publications (2)

Publication Number Publication Date
CN110336806A CN110336806A (zh) 2019-10-15
CN110336806B true CN110336806B (zh) 2020-05-01

Family

ID=68143522

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910570344.9A Active CN110336806B (zh) 2019-06-27 2019-06-27 一种结合会话行为和通信关系的隐蔽通信检测方法

Country Status (1)

Country Link
CN (1) CN110336806B (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111478922B (zh) * 2020-04-27 2023-02-03 深信服科技股份有限公司 一种隐蔽信道通信检测方法、装置及设备
CN112235309B (zh) * 2020-10-19 2022-05-06 四川师范大学 一种云平台网络隐蔽信道多尺度检测***
CN115103000B (zh) * 2022-06-20 2023-09-26 北京鼎兴达信息科技股份有限公司 基于NetStream对铁路数据网进行业务会话还原和分析方法

Citations (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2006066315A1 (en) * 2004-12-20 2006-06-29 Webtraf Research Pty Ltd Communications network monitoring system, method & apparatus
CN1863039A (zh) * 2005-05-11 2006-11-15 北京大学 基于音频的隐藏通信***和通信方法
CN101577619A (zh) * 2008-05-08 2009-11-11 吴志军 基于信息隐藏的实时语音保密通信***
CN101951632A (zh) * 2010-09-16 2011-01-19 新邮通信设备有限公司 一种物理链路断路告警处理方法和设备单元
CN102739652A (zh) * 2012-06-07 2012-10-17 中国电子科技集团公司第三十研究所 网络抗攻击性能评估指标体系构建方法及装置
US8594298B2 (en) * 2004-02-20 2013-11-26 Avaya Inc. Call management
CN106371427A (zh) * 2016-10-28 2017-02-01 浙江大学 基于层次分析法和模糊融合的工业过程故障分类方法
CN106911536A (zh) * 2017-04-14 2017-06-30 四川大学 一种基于模糊综合评价模型的dns健康度评估方法
US10187414B2 (en) * 2016-07-20 2019-01-22 Cisco Technology, Inc. Differential malware detection using network and endpoint sensors
CN109377024A (zh) * 2018-09-30 2019-02-22 北京航空航天大学 一种基于层次分析和灰色模糊综合的恢复能力评估方法
US10250293B2 (en) * 2015-06-15 2019-04-02 At&T Intellectual Property I, L.P. Method and apparatus for providing security using network traffic adjustments

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101257417A (zh) * 2008-03-25 2008-09-03 浙江大学 基于模糊神经网络的tcp/ip协议隐蔽通道检测方法
US9407543B2 (en) * 2011-02-22 2016-08-02 Theatrolabs, Inc. Observation platform for using structured communications with cloud computing
CN103825888A (zh) * 2014-02-17 2014-05-28 北京奇虎科技有限公司 网络威胁处理方法及设备
CN103942108B (zh) * 2014-04-25 2017-03-01 四川大学 Hadoop同构集群下的资源参数优化方法
GB2539100B (en) * 2016-05-31 2021-01-20 F Secure Corp Preventing security threats in a computer network
US10935379B2 (en) * 2016-11-29 2021-03-02 The Trustees Of The Stevens Institute Of Technology Method and apparatus for quantum measurement via mode matched photon conversion
US10754996B2 (en) * 2017-09-15 2020-08-25 Paypal, Inc. Providing privacy protection for data capturing devices
CN109245944A (zh) * 2018-10-22 2019-01-18 西南石油大学 网络安全评估方法及***
CN109756389A (zh) * 2018-11-28 2019-05-14 南京知常容信息技术有限公司 一种万兆网络隐蔽通信检测***

Patent Citations (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8594298B2 (en) * 2004-02-20 2013-11-26 Avaya Inc. Call management
WO2006066315A1 (en) * 2004-12-20 2006-06-29 Webtraf Research Pty Ltd Communications network monitoring system, method & apparatus
CN1863039A (zh) * 2005-05-11 2006-11-15 北京大学 基于音频的隐藏通信***和通信方法
CN101577619A (zh) * 2008-05-08 2009-11-11 吴志军 基于信息隐藏的实时语音保密通信***
CN101951632A (zh) * 2010-09-16 2011-01-19 新邮通信设备有限公司 一种物理链路断路告警处理方法和设备单元
CN102739652A (zh) * 2012-06-07 2012-10-17 中国电子科技集团公司第三十研究所 网络抗攻击性能评估指标体系构建方法及装置
US10250293B2 (en) * 2015-06-15 2019-04-02 At&T Intellectual Property I, L.P. Method and apparatus for providing security using network traffic adjustments
US10187414B2 (en) * 2016-07-20 2019-01-22 Cisco Technology, Inc. Differential malware detection using network and endpoint sensors
CN106371427A (zh) * 2016-10-28 2017-02-01 浙江大学 基于层次分析法和模糊融合的工业过程故障分类方法
CN106911536A (zh) * 2017-04-14 2017-06-30 四川大学 一种基于模糊综合评价模型的dns健康度评估方法
CN109377024A (zh) * 2018-09-30 2019-02-22 北京航空航天大学 一种基于层次分析和灰色模糊综合的恢复能力评估方法

Also Published As

Publication number Publication date
CN110336806A (zh) 2019-10-15

Similar Documents

Publication Publication Date Title
Loukas et al. Likelihood ratios and recurrent random neural networks in detection of denial of service attacks
CN112738015B (zh) 一种基于可解释卷积神经网络cnn与图检测的多步攻击检测方法
Gogoi et al. MLH-IDS: a multi-level hybrid intrusion detection method
Liang et al. A long short-term memory enabled framework for DDoS detection
CN110336806B (zh) 一种结合会话行为和通信关系的隐蔽通信检测方法
CN107483512B (zh) 基于时间特征的SDN控制器DDoS检测与防御方法
Karthick et al. Adaptive network intrusion detection system using a hybrid approach
Vijayasarathy et al. A system approach to network modeling for DDoS detection using a Naive Bayesian classifier
CN108696543B (zh) 基于深度森林的分布式反射拒绝服务攻击检测、防御方法
Hartl et al. Explainability and adversarial robustness for rnns
Moustaf et al. Creating novel features to anomaly network detection using DARPA-2009 data set
CN110011983B (zh) 一种基于流表特征的拒绝服务攻击检测方法
Mbona et al. Detecting zero-day intrusion attacks using semi-supervised machine learning approaches
Udhayan et al. Statistical segregation method to minimize the false detections during ddos attacks.
CN113821793B (zh) 基于图卷积神经网络的多阶段攻击场景构建方法及***
Rong et al. Umvd-fsl: Unseen malware variants detection using few-shot learning
McCarthy et al. Feature vulnerability and robustness assessment against adversarial machine learning attacks
CN116915450A (zh) 基于多步网络攻击识别和场景重构的拓扑剪枝优化方法
Bayazit et al. Neural network based Android malware detection with different IP coding methods
CN114866310A (zh) 一种恶意加密流量检测方法、终端设备及存储介质
Tang et al. A new detection method for LDoS attacks based on data mining
CN111131309A (zh) 分布式拒绝服务检测方法、装置及模型创建方法、装置
Meng et al. Design of cloud-based parallel exclusive signature matching model in intrusion detection
Shamsolmoali et al. C2DF: High rate DDOS filtering method in cloud computing
CN115706671A (zh) 网络安全防御方法、装置以及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant