CN112235309A - 一种云平台网络隐蔽信道多尺度检测*** - Google Patents

一种云平台网络隐蔽信道多尺度检测*** Download PDF

Info

Publication number
CN112235309A
CN112235309A CN202011121041.8A CN202011121041A CN112235309A CN 112235309 A CN112235309 A CN 112235309A CN 202011121041 A CN202011121041 A CN 202011121041A CN 112235309 A CN112235309 A CN 112235309A
Authority
CN
China
Prior art keywords
detection
network
data
covert channel
channel
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202011121041.8A
Other languages
English (en)
Other versions
CN112235309B (zh
Inventor
唐彰国
李焕洲
喻瑾
张健
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sichuan Normal University
Original Assignee
Sichuan Normal University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sichuan Normal University filed Critical Sichuan Normal University
Priority to CN202011121041.8A priority Critical patent/CN112235309B/zh
Publication of CN112235309A publication Critical patent/CN112235309A/zh
Application granted granted Critical
Publication of CN112235309B publication Critical patent/CN112235309B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了网络安全技术领域的一种云平台网络隐蔽信道多尺度检测***,包括数据采集模块,数据预处理模块,隐蔽信道检测引擎,以及可视化模块。数据采集模块和数据预处理模块运行在各个云服务器中,收集各云服务器中多尺度网络环境参数。隐蔽信道检测引擎运行在隐蔽信道检测分析中心中,构建多尺度检测向量进行隐蔽信道综合分析,并通过可视化模块展现检测情况。本发明结合云平台中的网络通信机制、网络拓扑结构,收集云服务器中的网络环境参数,以数据包、数据流、会话流的形态参数、统计参数、流量模型等多个尺度制定云平台隐蔽信道检测方法,提高网络隐蔽信道的检测准确率,解决云平台下网络隐蔽信道的安全隐患。

Description

一种云平台网络隐蔽信道多尺度检测***
技术领域
本发明涉及网络安全技术领域,具体为一种云平台网络隐蔽信道多尺度检测***。
背景技术
云计算网络作为传统互联网网络的延伸,其网络环境的安全会受到来自多方面的安全威胁。其中数据泄露为云平台所要面临的一种巨大危害。而网络隐蔽信道是以合法网络通信信道作为载体建立的一种隐蔽通信技术,可以作为C&C通道以及机密的数据传输通道。
云计算网络的网络形态、拓扑结构、通信机制、网络虚拟化技术等特异性,使得其网络环境、网络数据流与传统互联网存在一定的差异性。目前针对云平台上的隐蔽信道检测主要针对的是利用内存共享进行的虚拟机同驻攻击,缺少对以网络流量为载体的隐蔽信道检测。
基于此,本发明设计了一种云平台网络隐蔽信道多尺度检测***,以解决上述提到的问题。
发明内容
本发明的目的在于提供一种云平台网络隐蔽信道多尺度检测***,以云服务器中的网络流量为主要检测对象,结合云平台中的网络通信机制、网络拓扑结构,通过采集模块以及预处理模块收集云服务器中的网络环境参数,以数据包、数据流、会话流的形态参数、统计参数、流量模型等多个尺度制定云平台隐蔽信道检测方法,提高网络隐蔽信道的检测准确率,解决云平台下网络隐蔽信道的安全隐患。
为实现上述目的,本发明提供如下技术方案:一种云平台网络隐蔽信道多尺度检测***,包括数据采集模块、数据预处理模块、隐蔽信道检测引擎和可视化模块,所述数据采集模块运行在各个云服务器中,用于实时采集云服务器中的网络流量,所述数据预处理模块运行在各个云服务器中,用于负责收集各个云服务器中的数据包、数据流、会话流的形态参数、统计参数、流量模型多种尺度的网络环境参数,并传送给隐蔽信道检测分析中心,所述隐蔽信道检测引擎运行在所述隐蔽信道检测分析中心,从形态参数、统计参数、流量模型多个尺度构建隐蔽信道检测向量,对云服务器的网络环境进行综合分析,判断隐蔽信道是否存在,所述可视化模块运行在所述隐蔽信道检测分析中心,根据检测结果,从时间、会话信息方面进行关联,形成检测报告。
优选的,所述数据预处理模块将采集得到的网络数据进行预处理,识别其网络协议,获取数据包、数据流、通信会话,提取数据包、数据流、通信会话的关键值,以云服务器的ID号以及源IP地址、目的IP地址、端口号、通信时间通信会话信息来进行唯一标识,构成检测元数据,并将检测元数据发送给所述隐蔽信道检测分析中心。
所述隐蔽信道检测引擎对检测元数据进行解析,根据先验知识,构建形态参数、统计参数、流量模型多种尺度的隐蔽信道检测向量,进行综合分析,判定隐蔽信道是否存在。
所述可视化模块根据检测结果,结合云服务器位置信息以及通信会话信息,得出检测分析报告,包括了隐蔽信道多尺度检测关联、时间段检测情况、攻击行为分析。
优选的,还包括所述云平台网络隐蔽信道多尺度检测***的检测方法,具体步骤如下:
S1:通过数据采集模块获取采集网络环境知识,配置所述数据采集模块的参数,各个数据采集模块从网络接口中获取得到云服务器中的网络流量;
S2:通过运行在云服务器中的数据预处理模块将采集得到的网络数据进行预处理,识别其网络协议,获取数据包、数据流、通信会话;
S3:运行在云服务器中的数据预处理模块提取数据包、数据流、通信会话的关键值,以云服务器ID号以及源IP地址、目的IP地址、端口号、通信时间等通信会话信息来进行唯一标识,构成检测元数据,保存为json格式,并将预处理后的数据发送给隐蔽信道检测分析中心;
S4:运行在隐蔽信道检测分析中心的隐蔽信道检测引擎首先接收json格式数据,对检测元数据进行解析,根据先验知识,构建数据包、数据流、通信会话等多种尺度的隐蔽信道检测向量,进行综合分析,判定隐蔽信道是否存在。
优选的,在所述数据采集模块中,采集数据方法包括以下步骤:
S1.1:获取检测环境知识,包括云服务器ID号,云服务器网络接口、云服务器IP地址;
S1.2:配置采集参数,包括采集的网络接口、数据缓存标志;
S1.3:按照采集参数进行网络数据采集。
优选的,在所述数据预处理模块中,数据预处理方法包括以下步骤:
S2.1:对采集的网络数据进行深度解析,根据数据包端口、单包协议语义网络协议先验知识判定采集数据的网络协议;
S2.2:获取数据包、数据流,并进行会话流重组,获取通信会话流;
S2.3:提取数据包头部以及载荷字段,数据流的流量分布情况,会话流的数据包数量、发包频率关键值,以IP地址、端口号、通信时间通信会话信息以及云服务器ID号来进行唯一标志,构成检测元数据;
S2.4:将检测元数据以json格式进行保存,并将检测元数据发送给隐蔽信道检测分析中心。
优选的,在所述隐蔽信道检测引擎中,网络隐蔽信道多尺度检测方法包括以下步骤:
S3.1:查看标志信息,是否已经进行了隐蔽信道检测,如果已经进行了检测,则输出识别结果,如果尚未进行检测,则进入下一步;
S3.2:提取待检测数据的数据包、数据流、会话流的形态参数、统计参数、流量模型;
S3.3:从形态参数、统计参数、流量模型多个尺度,对比正常网络数据,构建检测向量,进行网络隐蔽信道检测;
S3.4:根据检测结果,调整各权重比例,进行多尺度检测融合判定,得出检测结果。
优选的,在所述隐蔽信道检测引擎中,网络隐蔽信道形态参数尺度检测方法包括以下步骤:
S3.5:接收检测元数据,获取网络数据包;
S3.6:根据隐蔽信道工具的签名特征值对数据包进行模式匹配,如果匹配成功,则进入S3.8,如果匹配失败则进入S3.7;
S3.7:对比协议正常数据包,从字段长度、协议关键值方面构建检测向量;
S3.8:综合分析网络隐蔽信道的存在与否;
在所述隐蔽信道检测引擎中,网络隐蔽信道统计参数尺度检测方法包括以下步骤:
S3.9:接收检测元数据,获取会话流关键值;
S3.10:从发包频率、发包间隔、固定字符数据包数量等多维度构建检测向量;
S3.11:对比正常会话流,综合分析网络隐蔽信道存在与否。
优选的,在所述隐蔽信道检测引擎中,网络隐蔽信道流量模型尺度检测方法包括以下步骤:
S3.12:接收检测元数据,获取数据流关键值;
S3.13:统计数据流的分布情况,包括输入流以及输出流的平均流速、最大流速、最低流速;
S3.14:对比正常数据流量的分布情况,对检测数据流统计流量突变情况的次数以及阈值,综合分析网络隐蔽信道。
优选的,在所述隐蔽信道检测引擎中,网络隐蔽信道多尺度融合判定方法包括以下步骤:
S3.15:获取云服务器网络隐蔽信道多尺度检测的结果;
S3.16:根据网络隐蔽信道形态参数尺度检测以及网络隐蔽信道统计参数尺度检测的结果,调整两者的权重,得到第一阶段网络隐蔽信道可疑度;
S3.17:根据第一阶段网络隐蔽信道可疑度以及基于数据流的网络隐蔽信道流量模型尺度检测的结果,调整两者的权重,得到最终的网络隐蔽信道可疑度。
优选的,在所述可视化模块中,网络隐蔽信道检测可视化方法包括以下步骤:
S4.1:获取隐蔽信道的多尺度检测结果;
S4.2:根据检测结果获取报警数据包、会话流的IP地址、端口号、发包时间、会话时段,计算报警数据流流速变化、数据包数量、会话流条数,计算一小时、一周等时间段同一云服务器出现报警的次数以及变化趋势;
S4.3:根据以上信息形成检测报告,以低中高风险来显示云服务器收到网络隐蔽信道的危害程度。
与现有技术相比,本发明的有益效果是:
(1)设计并构建了一个多尺度网络环境参数采集框架,降低云平台资源占用。结合云平台的拓扑架构,提出一种新型的隐蔽信道检测框架,通过采集模块以及预处理模块从云服务器中获取数据包、数据流、会话流的形态参数、统计参数以及流量模型等网络环境知识,集中进行网络隐蔽信道检测,有效减少每台云服务器的***开销,降低了检测数据流量在云平台网络中数据流量的带宽占比。
(2)构建了一个网络隐蔽信道多尺度检测引擎,提高对云平台网络隐蔽信道的检测准确度。采用多尺度检测思路,从数据包、数据流、会话流的形态参数、统计参数以及流量模型构建多尺度检测向量,加深网络隐蔽信道检测的深度与广度,提高网络隐蔽信道的检测准确率,维护了万物上云背景下的网络环境安全。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例提供的云平台网络隐蔽信道多尺度检测***框架;
图2是本发明实施例提供的云平台网络隐蔽信道多尺度检测流程图;
图3是本发明实施例提供的数据采集流程图;
图4是本发明实施例提供的网络隐蔽信道多尺度检测流程图;
图5是本发明实施例提供的网络隐蔽信道形态参数尺度检测流程图;
图6是本发明实施例提供的网络隐蔽信道统计参数尺度检测流程图;
图7是本发明实施例提供的网络隐蔽信道流量模型尺度检测流程图。
附图中,各标号所代表的部件列表如下:
1、数据采集模块;2、数据预处理模块;3、隐蔽信道检测引擎;4、可视化模块;5、云服务器;6、隐蔽信道检测分析中心。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
实施例1
请参阅图1,本发明提供一种技术方案:一种云平台网络隐蔽信道多尺度检测***,包括数据采集模块1、数据预处理模块2、隐蔽信道检测引擎3和可视化模块4,所述数据采集模块1运行在各个云服务器5中,用于实时采集云服务器5中的网络流量,所述数据预处理模块2运行在各个云服务器5中,用于负责收集各个云服务器5中的数据包、数据流、会话流的形态参数、统计参数、流量模型多种尺度的网络环境参数,并传送给隐蔽信道检测分析中心6,所述隐蔽信道检测引擎3运行在所述隐蔽信道检测分析中心6,从形态参数、统计参数、流量模型多个尺度构建隐蔽信道检测向量,对云服务器5的网络环境进行综合分析,判断隐蔽信道是否存在,所述可视化模块4运行在所述隐蔽信道检测分析中心6,根据检测结果,从时间、会话信息方面进行关联,形成检测报告。
如图2所示,本发明对云平台网络隐蔽信道的检测流程如下所示:
S1:获取采集网络环境知识,配置采集模块的参数,各采集模块从网络接口中获取得到云服务器5中的网络流量。
S2:运行在云服务器5中的预处理模块将采集得到的网络数据进行预处理,识别其网络协议,获取数据包、数据流、通信会话。
S3:运行在云服务器5中的预处理模块提取数据包、数据流、通信会话的关键值,以云服务器5ID号以及源IP地址、目的IP地址、端口号、通信时间等通信会话信息来进行唯一标识,构成检测元数据,保存为json格式,并将预处理后的数据发送给隐蔽信道检测中心。
S4:运行在检测中心的隐蔽信道检测引擎3首先接收json格式数据,对检测元数据进行解析,根据先验知识,构建数据包、数据流、通信会话等多种尺度的隐蔽信道检测向量,进行综合分析,判定隐蔽信道是否存在。
本发明通过分布式采集云平台网络流量,收集轻量级的检测元数据进行统一检测,采用多尺度检测思路,从数据包、数据流、会话流的形态参数、统计参数、流量模型等构建多尺度检测向量,加深网络隐蔽信道检测的深度与广度,提高网络隐蔽信道的检测准确率,维护了万物上云背景下的网络环境安全。
在数据采集模块1中,如图3所示,采集数据流程包括以下内容:
S1.1:获取检测环境知识,包括云服务器5ID号,云服务器5网络接口、云服务器5IP地址等。
S1.2:配置采集参数,包括采集的网络接口、数据缓存标志等。
S1.3:按照采集参数进行网络数据采集。
在数据预处理模块2中,数据预处理流程包括以下内容:
S2.1:对采集的网络数据进行深度解析,根据数据包端口、单包协议语义等网络协议先验知识判定采集数据的网络协议。
S2.2:获取数据包、数据流,并进行会话流重组,获取通信会话流。
S2.3:提取数据包头部以及载荷字段,数据流的流量分布情况,会话流的数据包数量、发包频率等关键值,以IP地址、端口号、通信时间等通信会话信息以及云服务器5ID号来进行唯一标志,构成检测元数据。
S2.4:将检测元数据以json格式进行保存,并将检测元数据发送给隐蔽信道检测分析中心6。
在隐蔽信道检测引擎3中,如图4,网络隐蔽信道多尺度检测流程包括以下内容:
S3.1:查看标志信息,是否已经进行了隐蔽信道检测,如果已经进行了检测,则输出识别结果,如果尚未进行检测,则进入下一步;
S3.2:提取待检测数据的数据包、数据流、会话流的形态参数、统计参数、流量模型;
S3.3:从形态参数、统计参数、流量模型等多个尺度,对比正常网络数据,构建检测向量,进行网络隐蔽信道检测。
S3.4:根据检测结果,调整各权重比例,进行多尺度检测融合判定,得出检测结果。
在隐蔽信道检测引擎3中,如图5,网络隐蔽信道形态参数尺度检测流程包括以下内容:
S3.5:接收检测元数据,获取网络数据包。
S3.6:根据隐蔽信道工具的签名特征值对数据包进行模式匹配,如果匹配成功,则进入步骤4,如果匹配失败则进入步骤3。
S3.7:对比协议正常数据包,从字段长度、协议关键值等方面构建检测向量。
S3.8:综合分析网络隐蔽信道的存在与否。
在隐蔽信道检测引擎3中,如图6,网络隐蔽信道统计参数尺度检测流程包括以下内容:
S3.9:接收检测元数据,获取会话流关键值。
S3.10:从发包频率、发包间隔、固定字符数据包数量等多维度构建检测向量。
S3.11:对比正常会话流,综合分析网络隐蔽信道存在与否。
在隐蔽信道检测引擎3中,如图7,网络隐蔽信道流量模型尺度检测流程包括以下内容:
S3.12:接收检测元数据,获取数据流关键值。
S3.13:统计数据流的分布情况,包括输入流以及输出流的平均流速、最大流速、最低流速等。
S3.14:对比正常数据流量的分布情况,对检测数据流统计流量突变情况的次数以及阈值,综合分析网络隐蔽信道。
在隐蔽信道检测引擎3擎中,网络隐蔽信道多尺度融合判定的流程包括以下内容:
S3.15:获取云服务器5网络隐蔽信道多尺度检测的结果;
S3.16:根据网络隐蔽信道形态参数尺度检测以及网络隐蔽信道统计参数尺度检测的结果,调整两者的权重,得到第一阶段网络隐蔽信道可疑度;
S3.17:根据第一阶段网络隐蔽信道可疑度以及基于数据流的网络隐蔽信道流量模型尺度检测的结果,调整两者的权重,得到最终的网络隐蔽信道可疑度。
在所述可视化模块4中,网络隐蔽信道检测可视化流程包括以下内容:
S4.1:获取隐蔽信道的多尺度检测结果。
S4.2:根据检测结果获取报警数据包、会话流的IP地址、端口号、发包时间、会话时段,计算报警数据流流速变化、数据包数量、会话流条数,计算一小时、一周等时间段同一云服务器5出现报警的次数以及变化趋势。
S4.3:根据以上信息形成检测报告,以低中高风险来显示云服务器5收到网络隐蔽信道的危害程度。
在本说明书的描述中,参考术语“一个实施例”、“示例”、“具体示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不一定指的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。
以上公开的本发明优选实施例只是用于帮助阐述本发明。优选实施例并没有详尽叙述所有的细节,也不限制该发明仅为所述的具体实施方式。显然,根据本说明书的内容,可作很多的修改和变化。本说明书选取并具体描述这些实施例,是为了更好地解释本发明的原理和实际应用,从而使所属技术领域技术人员能很好地理解和利用本发明。本发明仅受权利要求书及其全部范围和等效物的限制。

Claims (10)

1.一种云平台网络隐蔽信道多尺度检测***,其特征在于:包括数据采集模块、数据预处理模块、隐蔽信道检测引擎和可视化模块,
所述数据采集模块运行在各个云服务器中,用于实时采集云服务器中的网络流量,
所述数据预处理模块运行在各个云服务器中,用于负责收集各个云服务器中的数据包、数据流、会话流的形态参数、统计参数、流量模型多种尺度的网络环境参数,并传送给隐蔽信道检测分析中心,
所述隐蔽信道检测引擎运行在所述隐蔽信道检测分析中心,从形态参数、统计参数、流量模型多个尺度构建隐蔽信道检测向量,对云服务器的网络环境进行综合分析,判断隐蔽信道是否存在,
所述可视化模块运行在所述隐蔽信道检测分析中心,根据检测结果,从时间、会话信息方面进行关联,形成检测报告。
2.根据权利要求1所述的一种云平台网络隐蔽信道多尺度检测***,其特征在于:所述数据预处理模块将采集得到的网络数据进行预处理,识别其网络协议,获取数据包、数据流、通信会话,提取数据包、数据流、通信会话的关键值,以云服务器的ID号以及源IP地址、目的IP地址、端口号、通信时间通信会话信息来进行唯一标识,构成检测元数据,并将检测元数据发送给所述隐蔽信道检测分析中心。
所述隐蔽信道检测引擎对检测元数据进行解析,根据先验知识,构建形态参数、统计参数、流量模型多种尺度的隐蔽信道检测向量,进行综合分析,判定隐蔽信道是否存在。
所述可视化模块根据检测结果,结合云服务器位置信息以及通信会话信息,得出检测分析报告,包括了隐蔽信道多尺度检测关联、时间段检测情况、攻击行为分析。
3.根据权利要求1所述的一种云平台网络隐蔽信道多尺度检测***,其特征在于:还包括所述云平台网络隐蔽信道多尺度检测***的检测方法,具体步骤如下:
S1:通过数据采集模块获取采集网络环境知识,配置所述数据采集模块的参数,各个数据采集模块从网络接口中获取得到云服务器中的网络流量;
S2:通过运行在云服务器中的数据预处理模块将采集得到的网络数据进行预处理,识别其网络协议,获取数据包、数据流、通信会话;
S3:运行在云服务器中的数据预处理模块提取数据包、数据流、通信会话的关键值,以云服务器ID号以及源IP地址、目的IP地址、端口号、通信时间等通信会话信息来进行唯一标识,构成检测元数据,保存为json格式,并将预处理后的数据发送给隐蔽信道检测分析中心;
S4:运行在隐蔽信道检测分析中心的隐蔽信道检测引擎首先接收json格式数据,对检测元数据进行解析,根据先验知识,构建数据包、数据流、通信会话等多种尺度的隐蔽信道检测向量,进行综合分析,判定隐蔽信道是否存在。
4.根据权利要求1所述的一种云平台网络隐蔽信道多尺度检测***,其特征在于:在所述数据采集模块中,采集数据方法包括以下步骤:
S1.1:获取检测环境知识,包括云服务器ID号,云服务器网络接口、云服务器IP地址;
S1.2:配置采集参数,包括采集的网络接口、数据缓存标志;
S1.3:按照采集参数进行网络数据采集。
5.根据权利要求1所述的一种云平台网络隐蔽信道多尺度检测***,其特征在于:在所述数据预处理模块中,数据预处理方法包括以下步骤:
S2.1:对采集的网络数据进行深度解析,根据数据包端口、单包协议语义网络协议先验知识判定采集数据的网络协议;
S2.2:获取数据包、数据流,并进行会话流重组,获取通信会话流;
S2.3:提取数据包头部以及载荷字段,数据流的流量分布情况,会话流的数据包数量、发包频率关键值,以IP地址、端口号、通信时间通信会话信息以及云服务器ID号来进行唯一标志,构成检测元数据;
S2.4:将检测元数据以json格式进行保存,并将检测元数据发送给隐蔽信道检测分析中心。
6.根据权利要求1所述的一种云平台网络隐蔽信道多尺度检测***,其特征在于:在所述隐蔽信道检测引擎中,网络隐蔽信道多尺度检测方法包括以下步骤:
S3.1:查看标志信息,是否已经进行了隐蔽信道检测,如果已经进行了检测,则输出识别结果,如果尚未进行检测,则进入下一步;
S3.2:提取待检测数据的数据包、数据流、会话流的形态参数、统计参数、流量模型;
S3.3:从形态参数、统计参数、流量模型多个尺度,对比正常网络数据,构建检测向量,进行网络隐蔽信道检测;
S3.4:根据检测结果,调整各权重比例,进行多尺度检测融合判定,得出检测结果。
7.根据权利要求1所述的一种云平台网络隐蔽信道多尺度检测***,其特征在于:在所述隐蔽信道检测引擎中,网络隐蔽信道形态参数尺度检测方法包括以下步骤:
S3.5:接收检测元数据,获取网络数据包;
S3.6:根据隐蔽信道工具的签名特征值对数据包进行模式匹配,如果匹配成功,则进入S3.8,如果匹配失败则进入S3.7;
S3.7:对比协议正常数据包,从字段长度、协议关键值方面构建检测向量;
S3.8:综合分析网络隐蔽信道的存在与否;
在所述隐蔽信道检测引擎中,网络隐蔽信道统计参数尺度检测方法包括以下步骤:
S3.9:接收检测元数据,获取会话流关键值;
S3.10:从发包频率、发包间隔、固定字符数据包数量等多维度构建检测向量;
S3.11:对比正常会话流,综合分析网络隐蔽信道存在与否。
8.根据权利要求1所述的一种云平台网络隐蔽信道多尺度检测***,其特征在于:在所述隐蔽信道检测引擎中,网络隐蔽信道流量模型尺度检测方法包括以下步骤:
S3.12:接收检测元数据,获取数据流关键值;
S3.13:统计数据流的分布情况,包括输入流以及输出流的平均流速、最大流速、最低流速;
S3.14:对比正常数据流量的分布情况,对检测数据流统计流量突变情况的次数以及阈值,综合分析网络隐蔽信道。
9.根据权利要求1所述的一种云平台网络隐蔽信道多尺度检测***,其特征在于:在所述隐蔽信道检测引擎中,网络隐蔽信道多尺度融合判定方法包括以下步骤:
S3.15:获取云服务器网络隐蔽信道多尺度检测的结果;
S3.16:根据网络隐蔽信道形态参数尺度检测以及网络隐蔽信道统计参数尺度检测的结果,调整两者的权重,得到第一阶段网络隐蔽信道可疑度;
S3.17:根据第一阶段网络隐蔽信道可疑度以及基于数据流的网络隐蔽信道流量模型尺度检测的结果,调整两者的权重,得到最终的网络隐蔽信道可疑度。
10.根据权利要求1所述的一种云平台网络隐蔽信道多尺度检测***,其特征在于:在所述可视化模块中,网络隐蔽信道检测可视化方法包括以下步骤:
S4.1:获取隐蔽信道的多尺度检测结果;
S4.2:根据检测结果获取报警数据包、会话流的IP地址、端口号、发包时间、会话时段,计算报警数据流流速变化、数据包数量、会话流条数,计算一小时、一周等时间段同一云服务器出现报警的次数以及变化趋势;
S4.3:根据以上信息形成检测报告,以低中高风险来显示云服务器收到网络隐蔽信道的危害程度。
CN202011121041.8A 2020-10-19 2020-10-19 一种云平台网络隐蔽信道多尺度检测*** Active CN112235309B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202011121041.8A CN112235309B (zh) 2020-10-19 2020-10-19 一种云平台网络隐蔽信道多尺度检测***

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011121041.8A CN112235309B (zh) 2020-10-19 2020-10-19 一种云平台网络隐蔽信道多尺度检测***

Publications (2)

Publication Number Publication Date
CN112235309A true CN112235309A (zh) 2021-01-15
CN112235309B CN112235309B (zh) 2022-05-06

Family

ID=74118629

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011121041.8A Active CN112235309B (zh) 2020-10-19 2020-10-19 一种云平台网络隐蔽信道多尺度检测***

Country Status (1)

Country Link
CN (1) CN112235309B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115134168A (zh) * 2022-08-29 2022-09-30 成都盛思睿信息技术有限公司 基于卷积神经网络的云平台隐蔽通道检测方法及***

Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104009885A (zh) * 2014-05-22 2014-08-27 北京大学 一种云环境下基于隐蔽通道的虚拟机同驻检测方法
US20150081316A1 (en) * 2013-09-16 2015-03-19 Saeed Azimi System for real-time tracking of medication use by a user
CN107689958A (zh) * 2017-09-03 2018-02-13 中国南方电网有限责任公司 一种应用于云审计***的网络审计子***
CN108270716A (zh) * 2016-12-30 2018-07-10 绵阳灵先创科技有限公司 一种基于云计算的信息安全审计方法
EP3456083A1 (en) * 2016-05-13 2019-03-20 Telefonaktiebolaget LM Ericsson (PUBL) Network architecture, methods, and devices for a wireless communications network
CN110336806A (zh) * 2019-06-27 2019-10-15 四川大学 一种结合会话行为和通信关系的隐蔽通信检测方法
CN110708327A (zh) * 2019-10-15 2020-01-17 北京丁牛科技有限公司 一种基于ZeroNet构建隐蔽信道的方法及装置
CN111586075A (zh) * 2020-05-26 2020-08-25 国家计算机网络与信息安全管理中心 基于多尺度流分析技术的隐蔽信道检测方法
CN111756671A (zh) * 2019-03-26 2020-10-09 上海全好数码科技有限公司 基于混合关联的Fast-Flux僵尸网络攻击检测***

Patent Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20150081316A1 (en) * 2013-09-16 2015-03-19 Saeed Azimi System for real-time tracking of medication use by a user
CN104009885A (zh) * 2014-05-22 2014-08-27 北京大学 一种云环境下基于隐蔽通道的虚拟机同驻检测方法
EP3456083A1 (en) * 2016-05-13 2019-03-20 Telefonaktiebolaget LM Ericsson (PUBL) Network architecture, methods, and devices for a wireless communications network
CN108270716A (zh) * 2016-12-30 2018-07-10 绵阳灵先创科技有限公司 一种基于云计算的信息安全审计方法
CN107689958A (zh) * 2017-09-03 2018-02-13 中国南方电网有限责任公司 一种应用于云审计***的网络审计子***
CN111756671A (zh) * 2019-03-26 2020-10-09 上海全好数码科技有限公司 基于混合关联的Fast-Flux僵尸网络攻击检测***
CN110336806A (zh) * 2019-06-27 2019-10-15 四川大学 一种结合会话行为和通信关系的隐蔽通信检测方法
CN110708327A (zh) * 2019-10-15 2020-01-17 北京丁牛科技有限公司 一种基于ZeroNet构建隐蔽信道的方法及装置
CN111586075A (zh) * 2020-05-26 2020-08-25 国家计算机网络与信息安全管理中心 基于多尺度流分析技术的隐蔽信道检测方法

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
ALAM,M: ""Covert Channel Detection Techniques in Cloud"", 《IET CONFERENCE PROCEEDINGS》 *
唐彰国等: ""基于量子神经网络的启发式网络隐蔽信道检测模型"", 《计算机应用研究》 *
臧平平: ""云平台隐蔽道研究"", 《万方学位论文》 *

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115134168A (zh) * 2022-08-29 2022-09-30 成都盛思睿信息技术有限公司 基于卷积神经网络的云平台隐蔽通道检测方法及***

Also Published As

Publication number Publication date
CN112235309B (zh) 2022-05-06

Similar Documents

Publication Publication Date Title
CN112085039B (zh) 一种基于随机森林的icmp隐蔽通道检测方法
CN101645806B (zh) Dpi和dfi相结合的网络流量分类***及分类方法
CN102315974B (zh) 基于层次化特征分析的tcp、udp流量在线识别方法和装置
CN104937886B (zh) 日志分析装置、信息处理方法
CN101741744B (zh) 一种网络流量识别方法
CN107733851A (zh) 基于通信行为分析的dns隧道木马检测方法
CN101605067B (zh) 网络行为主动分析诊断方法
CN103067218B (zh) 一种高速网络数据包内容分析装置
CN106453392A (zh) 基于流量特征分布的全网络异常流识别方法
CN108632269A (zh) 基于c4.5决策树算法的分布式拒绝服务攻击检测方法
CN110611640A (zh) 一种基于随机森林的dns协议隐蔽通道检测方法
CN110430224A (zh) 一种基于随机块模型的通信网络异常行为检测方法
CN112270351A (zh) 基于辅助分类生成对抗网络的半监督加密流量识别方法
CN111586075B (zh) 基于多尺度流分析技术的隐蔽信道检测方法
CN105959321A (zh) 网络远程主机操作***被动识别方法及装置
CN107404398A (zh) 一种网络用户行为判别***
CN111294342A (zh) 一种软件定义网络中DDos攻击的检测方法及***
CN112235309B (zh) 一种云平台网络隐蔽信道多尺度检测***
CN103281158A (zh) 深度网络通信粒度检测方法及其检测设备
CN115776449A (zh) 列车以太网通信状态监测方法及***
CN105577438B (zh) 一种基于MapReduce的网络流量本体构建方法
CN101321097A (zh) 基于净荷深度检测的腾讯网络直播业务识别方法
CN112055007B (zh) 一种基于可编程节点的软硬件结合威胁态势感知方法
CN108667804A (zh) 一种基于SDN架构的DDoS攻击检测及防护方法和***
CN101459695B (zh) P2p业务识别方法和装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant