CN112468484A - 一种基于异常和信誉的物联网设备感染检测方法 - Google Patents

一种基于异常和信誉的物联网设备感染检测方法 Download PDF

Info

Publication number
CN112468484A
CN112468484A CN202011329267.7A CN202011329267A CN112468484A CN 112468484 A CN112468484 A CN 112468484A CN 202011329267 A CN202011329267 A CN 202011329267A CN 112468484 A CN112468484 A CN 112468484A
Authority
CN
China
Prior art keywords
infected
equipment
reputation
internet
domain name
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202011329267.7A
Other languages
English (en)
Other versions
CN112468484B (zh
Inventor
潘晓光
张世俊
焦璐璐
王小华
陈亮
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shanxi Sanyouhe Smart Information Technology Co Ltd
Original Assignee
Shanxi Sanyouhe Smart Information Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shanxi Sanyouhe Smart Information Technology Co Ltd filed Critical Shanxi Sanyouhe Smart Information Technology Co Ltd
Priority to CN202011329267.7A priority Critical patent/CN112468484B/zh
Publication of CN112468484A publication Critical patent/CN112468484A/zh
Application granted granted Critical
Publication of CN112468484B publication Critical patent/CN112468484B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/22Matching criteria, e.g. proximity measures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4511Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • Data Mining & Analysis (AREA)
  • Theoretical Computer Science (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Evolutionary Computation (AREA)
  • Evolutionary Biology (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Artificial Intelligence (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明属于互联网技术领域,具体涉及一种基于异常和信誉的物联网设备感染检测方法,包括以下步骤:筛选出物联网设备的流量;使用相似度检测模块对各设备的流量进行检测;对疑似感染设备进行特征提取;利用域名黑名单对疑似感染设备的所有DNS请求中的域名进行匹配;对疑似感染设备所有请求的域名进行特征提取。相比于基于人工知识、基于机器学习的方法,本发明使用异常检测算法,省去了需要人工标注流量数据的步骤。本发明能在实时环境中快速有效检测出被感染的物联网设备;利用静态行为可以快速过滤大部分的流量提高了检测的实时性能。本发明用于物联网设备感染的检测。

Description

一种基于异常和信誉的物联网设备感染检测方法
技术领域
本发明属于互联网技术领域,具体涉及一种基于异常和信誉的物联网设备感染检测方法。
背景技术
互联网中攻击者会将自己伪装成正常流量来逃避安全人员的检测,而随着技术的不断发展和变化,攻击也越来越难检测。特别是在物联网中,物联网的异构性、复杂性以及缺乏通用的标准规范造成了物联网设备的难以管理;大多数物联网设备通常只有有限的计算资源,在这样的设备上运行防病毒等保护软件是不切实际的。僵尸网络是针对物联网的一种常见攻击,当设备被感染时,攻击者可以控制这些设备来窃取数据或者发起拒绝服务攻击。
对于企业网络来说,内部有很多物联网设备,当物联网设备遭到攻击时,如何快速检测出被感染的设备是一个关键问题。现有基于知识的算法只能通过签名匹配来检测已知的感染,当需要检测大型企业网络中的新出现的恶意活动,这类算法效果不好;基于机器学习的算法在实时网络中存在的缺陷在于其训练阶段需要标记大量的数据需要耗费较多的人力,大部分算法是封闭数据集进行训练与测试的,其在实时***中的性能未知。
发明内容
针对上述现有基于知识的算法检测新出现的恶意活动效果不好且需要耗费较多的人力的技术问题,本发明提供了一种实时性强、效率高、成本低的基于异常和信誉的物联网设备感染检测方法。
为了解决上述技术问题,本发明采用的技术方案为:
一种基于异常和信誉的物联网设备感染检测方法,包括以下步骤:
S1、从实时数据流中筛选出物联网设备的流量;
S2、使用相似度检测模块对各设备的流量进行检测,判定为被感染或未被感染的设备,直接输出结果,结束流程;否则设备属于疑似感染设备,执行下一步;
S3、对疑似感染设备进行特征提取,并利用异常检测模块对其进行判断,当结果为正常,判定为未被感染的设备,直接输出结果,结束流程;否则执行下一步;
S4、利用域名黑名单对疑似感染设备的所有DNS请求中的域名进行匹配,若存在请求的域名在黑名单中,判定为被感染,输出结果,结束流程;否则执行下一步;
S5、对疑似感染设备所有请求的域名进行特征提取,并利用域名信誉检测模块来判断,若所有域名信誉的均值小于阈值则结果标记为正常,判定设备未感染,否则判定设备被感染,输出结果,结束流程。
所述S1中筛选出物联网设备的流量的方法为:利用设备每日DNS查询数量、每日二级域名查询数量将不具有静态行为的设备过滤掉。
所述S2中对各设备的流量进行检测的方法为:相似度检测模块统计每个设备两日内每日的二级域名查询列表Di与Di+1,所述i为第一日,所述i+1为第二日,计算相似度S=Di∩Di+1/Di∪Di+1,得到每个设备的相似度,令L为相似度下界,相似度小于L的判定为被感染设备;令U为相似度上限,相似度大于U的判定为未被感染设备,相似度在L和U之间的判定为疑似感染设备。
所述S3中,对每个设备提取的特征包括:每小时不同DNS查询数量,每天DNS查询数量,每分钟DNS最多查询数量,每小时DNS最多查询数量,不同查询类型数量,不同域名查询数量,不同响应代码数量。
所述S3中,异常检测模块通过构建孤立森林模型,对经过特征提取的数据进行异常检测,结果为异常的判定为被感染设备,结果为正常的判定为未被感染设备。
所述S4中通过使用网上公开的黑名单对每个设备所有DNS请求中的域名进行匹配,若存在域名出现在黑名单中,则判定该设备为被感染,否则判定为疑似感染。
所述S5中,域名信誉检测模型通过构建随机森林模型,对网上现有域名的白名单、黑名单中的域名进行特征提取,然后来构建训练集,模型将输出每个域名的信誉,得到每个域名的信誉值后,计算信誉平均值,若信誉大于0.5则判定为设备被感染,否则判定为未被感染。
本发明与现有技术相比,具有的有益效果是:
本发明能在实时环境中快速有效检测出被感染的物联网设备;利用静态行为可以快速过滤大部分的流量提高了检测的实时性能;相比于基于人工知识、基于机器学习的方法,本发明使用异常检测算法,省去了需要人工标注流量数据的步骤;本发明利用基于域名信誉的方法来进一步检测设备是否被感染,且仅在随机森林模型中使用了网上公开的黑白名单来进行训练,可以实时更新训练的数据集来更新模型,能够应对新数据出现而模型无法实时更新的问题。
附图说明
图1为本发明的运行逻辑框图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
一种基于异常和信誉的物联网设备感染检测方法,如图1所示,包括以下步骤:
步骤1、从实时数据流中筛选出物联网设备的流量。
步骤2、使用相似度检测模块对各设备的流量进行检测,判定为被感染或未被感染的设备,直接输出结果,结束流程;否则设备属于疑似感染设备,执行下一步。
步骤3、对疑似感染设备进行特征提取,并利用异常检测模块对其进行判断,当结果为正常,判定为未被感染的设备,直接输出结果,结束流程;否则执行下一步。
步骤4、利用域名黑名单对疑似感染设备的所有DNS请求中的域名进行匹配,若存在请求的域名在黑名单中,判定为被感染,输出结果,结束流程;否则执行下一步。
步骤5、对疑似感染设备所有请求的域名进行特征提取,并利用域名信誉检测模块来判断,若所有域名信誉的均值小于阈值则结果标记为正常,判定设备未感染,否则判定设备被感染,输出结果,结束流程。
进一步,步骤1中筛选出物联网设备的流量的方法为:利用设备每日DNS查询数量、每日二级域名查询数量将不具有静态行为的设备过滤掉。
进一步,步骤2中对各设备的流量进行检测的方法为:相似度检测模块统计每个设备两日内每日的二级域名查询列表Di与Di+1,i为第一日,i+1为第二日,计算相似度S=Di∩Di+1/Di∪Di+1,得到每个设备的相似度,令L为相似度下界,相似度小于L的判定为被感染设备;令U为相似度上限,相似度大于U的判定为未被感染设备,相似度在L和U之间的判定为疑似感染设备。
进一步,步骤3中,对每个设备提取的特征包括:每小时不同DNS查询数量,每天DNS查询数量,每分钟DNS最多查询数量,每小时DNS最多查询数量,不同查询类型数量,不同域名查询数量,不同响应代码数量。
进一步,步骤3中,异常检测模块通过构建孤立森林模型,对经过特征提取的数据进行异常检测,结果为异常的判定为被感染设备,结果为正常的判定为未被感染设备。
进一步,步骤4中通过使用网上公开的黑名单对每个设备所有DNS请求中的域名进行匹配,若存在域名出现在黑名单中,则判定该设备为被感染,否则判定为疑似感染。
进一步,步骤5中,域名信誉检测模型通过构建随机森林模型,对网上现有域名的白名单、黑名单中的域名进行特征提取,然后来构建训练集,模型将输出每个域名的信誉,得到每个域名的信誉值后,计算信誉平均值,若信誉大于0.5则判定为设备被感染,否则判定为未被感染。
上面仅对本发明的较佳实施例作了详细说明,但是本发明并不限于上述实施例,在本领域普通技术人员所具备的知识范围内,还可以在不脱离本发明宗旨的前提下作出各种变化,各种变化均应包含在本发明的保护范围之内。

Claims (7)

1.一种基于异常和信誉的物联网设备感染检测方法,其特征在于:包括以下步骤:
S1、从实时数据流中筛选出物联网设备的流量;
S2、使用相似度检测模块对各设备的流量进行检测,判定为被感染或未被感染的设备,直接输出结果,结束流程;否则设备属于疑似感染设备,执行下一步;
S3、对疑似感染设备进行特征提取,并利用异常检测模块对其进行判断,当结果为正常,判定为未被感染的设备,直接输出结果,结束流程;否则执行下一步;
S4、利用域名黑名单对疑似感染设备的所有DNS请求中的域名进行匹配,若存在请求的域名在黑名单中,判定为被感染,输出结果,结束流程;否则执行下一步;
S5、对疑似感染设备所有请求的域名进行特征提取,并利用域名信誉检测模块来判断,若所有域名信誉的均值小于阈值则结果标记为正常,判定设备未感染,否则判定设备被感染,输出结果,结束流程。
2.根据权利要求1所述的一种基于异常和信誉的物联网设备感染检测方法,其特征在于:所述S1中筛选出物联网设备的流量的方法为:利用设备每日DNS查询数量、每日二级域名查询数量将不具有静态行为的设备过滤掉。
3.根据权利要求1所述的一种基于异常和信誉的物联网设备感染检测方法,其特征在于:所述S2中对各设备的流量进行检测的方法为:相似度检测模块统计每个设备两日内每日的二级域名查询列表Di与Di+1,所述i为第一日,所述i+1为第二日,计算相似度S=Di∩Di+1/Di∪Di+1,得到每个设备的相似度,令L为相似度下界,相似度小于L的判定为被感染设备;令U为相似度上限,相似度大于U的判定为未被感染设备,相似度在L和U之间的判定为疑似感染设备。
4.根据权利要求1所述的一种基于异常和信誉的物联网设备感染检测方法,其特征在于:所述S3中,对每个设备提取的特征包括:每小时不同DNS查询数量,每天DNS查询数量,每分钟DNS最多查询数量,每小时DNS最多查询数量,不同查询类型数量,不同域名查询数量,不同响应代码数量。
5.根据权利要求1所述的一种基于异常和信誉的物联网设备感染检测方法,其特征在于:所述S3中,异常检测模块通过构建孤立森林模型,对经过特征提取的数据进行异常检测,结果为异常的判定为被感染设备,结果为正常的判定为未被感染设备。
6.根据权利要求1所述的一种基于异常和信誉的物联网设备感染检测方法,其特征在于:所述S4中通过使用网上公开的黑名单对每个设备所有DNS请求中的域名进行匹配,若存在域名出现在黑名单中,则判定该设备为被感染,否则判定为疑似感染。
7.根据权利要求1所述的一种基于异常和信誉的物联网设备感染检测方法,其特征在于:所述S5中,域名信誉检测模型通过构建随机森林模型,对网上现有域名的白名单、黑名单中的域名进行特征提取,然后来构建训练集,模型将输出每个域名的信誉,得到每个域名的信誉值后,计算信誉平均值,若信誉大于0.5则判定为设备被感染,否则判定为未被感染。
CN202011329267.7A 2020-11-24 2020-11-24 一种基于异常和信誉的物联网设备感染检测方法 Active CN112468484B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202011329267.7A CN112468484B (zh) 2020-11-24 2020-11-24 一种基于异常和信誉的物联网设备感染检测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011329267.7A CN112468484B (zh) 2020-11-24 2020-11-24 一种基于异常和信誉的物联网设备感染检测方法

Publications (2)

Publication Number Publication Date
CN112468484A true CN112468484A (zh) 2021-03-09
CN112468484B CN112468484B (zh) 2022-09-20

Family

ID=74799751

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011329267.7A Active CN112468484B (zh) 2020-11-24 2020-11-24 一种基于异常和信誉的物联网设备感染检测方法

Country Status (1)

Country Link
CN (1) CN112468484B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113572768A (zh) * 2021-07-23 2021-10-29 国家计算机网络与信息安全管理中心 僵尸网络的家族规模的异常检测方法和装置

Citations (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105577660A (zh) * 2015-12-22 2016-05-11 国家电网公司 基于随机森林的dga域名检测方法
CN106576058A (zh) * 2014-08-22 2017-04-19 迈克菲股份有限公司 用于检测域生成算法恶意软件和被此类恶意软件感染的***的***和方法
CN106713371A (zh) * 2016-12-08 2017-05-24 中国电子科技网络信息安全有限公司 一种基于DNS异常挖掘的Fast Flux僵尸网络检测方法
CN108768954A (zh) * 2018-05-04 2018-11-06 中国科学院信息工程研究所 一种dga恶意软件识别方法
CN110177123A (zh) * 2019-06-20 2019-08-27 电子科技大学 基于dns映射关联图的僵尸网络检测方法
CN110213255A (zh) * 2019-05-27 2019-09-06 北京奇艺世纪科技有限公司 一种对主机进行木马检测的方法、装置及电子设备
CN110247916A (zh) * 2019-06-20 2019-09-17 四川长虹电器股份有限公司 恶意域名检测方法
CN111031026A (zh) * 2019-12-09 2020-04-17 杭州安恒信息技术股份有限公司 一种dga恶意软件感染主机检测方法
CN111245784A (zh) * 2019-12-30 2020-06-05 杭州安恒信息技术股份有限公司 多维度检测恶意域名的方法
US20200351237A1 (en) * 2019-04-30 2020-11-05 Infoblox Inc. Community detection based on dns querying patterns
US20200366689A1 (en) * 2019-05-17 2020-11-19 Charter Communications Operating, Llc Botnet detection and mitigation

Patent Citations (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106576058A (zh) * 2014-08-22 2017-04-19 迈克菲股份有限公司 用于检测域生成算法恶意软件和被此类恶意软件感染的***的***和方法
CN105577660A (zh) * 2015-12-22 2016-05-11 国家电网公司 基于随机森林的dga域名检测方法
CN106713371A (zh) * 2016-12-08 2017-05-24 中国电子科技网络信息安全有限公司 一种基于DNS异常挖掘的Fast Flux僵尸网络检测方法
CN108768954A (zh) * 2018-05-04 2018-11-06 中国科学院信息工程研究所 一种dga恶意软件识别方法
US20200351237A1 (en) * 2019-04-30 2020-11-05 Infoblox Inc. Community detection based on dns querying patterns
US20200366689A1 (en) * 2019-05-17 2020-11-19 Charter Communications Operating, Llc Botnet detection and mitigation
CN110213255A (zh) * 2019-05-27 2019-09-06 北京奇艺世纪科技有限公司 一种对主机进行木马检测的方法、装置及电子设备
CN110177123A (zh) * 2019-06-20 2019-08-27 电子科技大学 基于dns映射关联图的僵尸网络检测方法
CN110247916A (zh) * 2019-06-20 2019-09-17 四川长虹电器股份有限公司 恶意域名检测方法
CN111031026A (zh) * 2019-12-09 2020-04-17 杭州安恒信息技术股份有限公司 一种dga恶意软件感染主机检测方法
CN111245784A (zh) * 2019-12-30 2020-06-05 杭州安恒信息技术股份有限公司 多维度检测恶意域名的方法

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
REZA SHARIFNYA: "DFBotKiller Domain-flux botnet detection based on the history of group activities and failures in DNS traffic", 《DIGITAL INVESTIGATION》 *
李雪妍: "物联网僵尸网络的恶意域名检测技术研究", 《计算机技术与发展》 *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113572768A (zh) * 2021-07-23 2021-10-29 国家计算机网络与信息安全管理中心 僵尸网络的家族规模的异常检测方法和装置
CN113572768B (zh) * 2021-07-23 2022-12-09 国家计算机网络与信息安全管理中心 一种僵尸网络家族传播源数量变化异常的分析方法

Also Published As

Publication number Publication date
CN112468484B (zh) 2022-09-20

Similar Documents

Publication Publication Date Title
CN105208037B (zh) 一种基于轻量级入侵检测的DoS/DDoS攻击检测和过滤方法
CN112738015B (zh) 一种基于可解释卷积神经网络cnn与图检测的多步攻击检测方法
CN106790186A (zh) 基于多源异常事件关联分析的多步攻击检测方法
WO2016082284A1 (zh) 基于OCSVM双轮廓模型的Modbus TCP通信行为异常检测方法
CN108449342A (zh) 恶意请求检测方法及装置
CN106027559A (zh) 基于网络会话统计特征的大规模网络扫描检测方法
CN111431939A (zh) 基于cti的sdn恶意流量防御方法及***
Amoli et al. Unsupervised network intrusion detection systems for zero-day fast-spreading attacks and botnets
CN112492059A (zh) Dga域名检测模型训练方法、dga域名检测方法、装置及存储介质
CN108512841A (zh) 一种基于机器学习的智能防御***及防御方法
CN109257393A (zh) 基于机器学习的xss攻击防御方法及装置
Dhakar et al. A novel data mining based hybrid intrusion detection framework
CN110768946A (zh) 一种基于布隆过滤器的工控网络入侵检测***及方法
Zhang et al. Unknown network attack detection based on open set recognition
CN115270996A (zh) 一种dga域名检测方法、检测装置及计算机存储介质
CN112468484B (zh) 一种基于异常和信誉的物联网设备感染检测方法
Alruwaili Intrusion detection and prevention in Industrial IoT: A technological survey
CN107896229A (zh) 一种计算机网络异常检测的方法、***及移动终端
CN117376031B (zh) 基于数据分析的印控仪网络传输监管预警***
Aswani et al. Topic modeling of SSH logs using latent dirichlet allocation for the application in cyber security
CN106330975A (zh) 一种基于scada***的周期性异常检测的方法
Gautam et al. Anomaly detection system using entropy based technique
Yang et al. Botnet detection based on machine learning
Ahmed et al. Enhancing intrusion detection using statistical functions
Sapozhnikova et al. Intrusion detection system based on data mining technics for industrial networks

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant