CN115622757A - 一种基于数据多维熵值指纹的网络异常行为检测方法 - Google Patents

一种基于数据多维熵值指纹的网络异常行为检测方法 Download PDF

Info

Publication number
CN115622757A
CN115622757A CN202211212022.5A CN202211212022A CN115622757A CN 115622757 A CN115622757 A CN 115622757A CN 202211212022 A CN202211212022 A CN 202211212022A CN 115622757 A CN115622757 A CN 115622757A
Authority
CN
China
Prior art keywords
behavior
entropy
data
malicious
sip
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202211212022.5A
Other languages
English (en)
Inventor
邱秀连
陈前
秦晓龙
周嘉
洪钊
高济托
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nanjing Fiberhome Telecommunication Technologies Co ltd
Original Assignee
Nanjing Fiberhome Telecommunication Technologies Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nanjing Fiberhome Telecommunication Technologies Co ltd filed Critical Nanjing Fiberhome Telecommunication Technologies Co ltd
Priority to CN202211212022.5A priority Critical patent/CN115622757A/zh
Priority to PCT/CN2022/130473 priority patent/WO2024065956A1/zh
Publication of CN115622757A publication Critical patent/CN115622757A/zh
Priority to NL2034989A priority patent/NL2034989A/en
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/606Protecting data by securing the transmission between two devices or processes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • General Health & Medical Sciences (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Bioethics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明公开了一种基于数据多维熵值指纹的网络异常行为检测方法,涉及网络安全领域,包含流量数据时序化处理、规则库过滤、多维度熵值分析计算模型和相关恶意检测算法四部分,本发明通过对报文头部分析,识别一定的非标准端口的协议流量,提高协议识别的准确性;通过对报文头部分析,识别一定的非标准端口的协议流量,提高协议识别的准确性不需要从每条报文进行深度分析,是以会话通联行为数据形式进行相关的统计及行为层面上分析,加快了效率,具有一定的实时性;针对会话通联元数据识别潜在的恶意行为,构建恶意行为风险评估体系,识别攻击方、受害方和与之相关IP的异常行为。

Description

一种基于数据多维熵值指纹的网络异常行为检测方法
技术领域
本发明涉及涉及网络安全领域,尤其涉及一种基于数据多维熵值指纹的网络异常行为检测方法。
背景技术
随着互联网技术的蓬勃发展和移动互联网、物联网的兴起,在全球网民与万物互联的终端设备下,全球IP流量成喷射式***增长。近几年,个人用户信息泄露新闻频出,网络用户和应用数据的隐私与安全受到了广泛关注。为了保证在网络传输过程中隐私和商业数据的安全性,基于TLS握手加密技术的安全可靠加密协议得到了广泛的应用。安全传输协议是一把双刃剑,安全传输协议的使用在为合法用户的隐私数据带来有效保证的同时,也为恶意用户提供了强力的保护罩,让流量中潜在的恶意行为得已隐藏。因此如何从会话通联数据中识别出恶意行为是本专利的重点内容。
随着互联网不断的发展,网络流量的量级已经达到了不可估计的庞大规模,无法直接存储内容较为丰富的报文信息,以会话通联数据作为元数据,可以减小存储,但仍然面临巨大量级的元数据。
发明内容
本发明所要解决的技术问题是针对背景技术的不足提供一种基于数据多维熵值指纹的网络异常行为检测方法,其在互联网安全为背景下,针对会话通联元数据识别潜在的恶意行为,构建恶意行为风险评估体系,识别攻击方、受害方和与之相关IP的异常行为。
本发明为解决上述技术问题采用以下技术方案:
基于数据多维熵值指纹的网络异常行为检测方法,包含流量数据时序化处理、规则库过滤、多维度熵值分析计算模型和相关恶意检测算法四部分,具体包含如下步骤;
步骤1,采集报文数据合并为会话通联数据;其中会话通联具体表示如下:
Flowi(sipi,dipi,sporti,dporti,transprtli,appprtli,timestampi,uppktsi,upbytesi,downpkts,downbytesi)
其中,Flowi为第i条会话通联,sipi为源IP,dipi为目的IP,sporti为源端口,dporti为目的端口,transprtli为传输层协议,appprtli为应用层协议,timestampi为时间戳,uppktsi为上行包数量,upbytesi为上行总字节数,downbytesi下行包数量,downbytesi为下行总字节数;
步骤2,对会话通联数据进行时序化处理;
采用时间窗口滑动应用于会话通联数据中,滑动步长大小与滑动窗口尺寸大小一致,后续针对每个滑动窗格内的数据计算特征,将第i个样本的滑动窗口定义为wi
则时序化处理后的样本变为:
xi(ipi,wi,F1i,F2i,...,Fni)
其中,F1i,F2i,...,Fni为基于时间序列提取的相关特征;
步骤3,白名单规则标识:根据已知CDN厂商、ALEX排名网站Top1000域名对应的服务器IP作为白名单标识;
步骤4,将流量通过多维度熵值分析模型计算相关特征,馈入恶意流量识别算法,将算法识别为恶意标签的IP推送。
作为本发明一种基于数据多维熵值指纹的网络异常行为检测方法的进一步优选方案,在步骤4中,基于会话通联数据计算多维数据的信息量的熵值来表示相关特征,其公式如下:
Figure BDA0003875402730000021
其中,H(x)为当前集合的信息熵值,E(·)含义是entropy(熵)缩写,表示内部为信息熵的公式,变量x有n种可能取值,p(xi)为第i类发生的概率。
作为本发明一种基于数据多维熵值指纹的网络异常行为检测方法的进一步优选方案,源端请求IP行为的熵值分析:用来衡量源端请求IP行为的混乱程度,作为一个客户端,在一段时间内,如果访问目标IP较为集中,则熵值会保持一个很低的指标;
源端请求IP行为的熵值的公式定义如下:
Figure BDA0003875402730000022
其中,p(dipi|ip,w)在窗口w内给定ip下dipi的概率,dipi为在窗口w内筛选满足ip=sipi条件的dip非重复集合之一。
作为本发明一种基于数据多维熵值指纹的网络异常行为检测方法的进一步优选方案,源端请求协议行为的熵值分析:用来衡量源端请求协议行为的混乱程度;
源端请求协议行为的熵值的公式定义如下:
Figure BDA0003875402730000031
其中,p(appprli|ip,w)在窗口为w内给定ip下appprtli的概率;appprtli为在窗口w内筛选满足ip=sipi条件的appprtl非重复集合之一。
作为本发明一种基于数据多维熵值指纹的网络异常行为检测方法的进一步优选方案,目的端响应IP行为的熵值分析:
用来衡量目的端响应IP行为的混乱程度,作为一个服务端,对外提供服务,短时间内会有一定量级的用户访问服务;
目的端响应IP行为的熵值的公式定义如下:
Figure BDA0003875402730000032
其中,p(sipi|ip,w)在窗口为w内给定ip下sipi的概率;sipi为在窗口w内筛选满足ip=dipi条件的sip非重复集合之一。
作为本发明一种基于数据多维熵值指纹的网络异常行为检测方法的进一步优选方案,目的端响应协议的熵值分析:用来衡量目的端响应协议行为的混乱程度,作为一个服务端,一般会对外提供一定协议的服务,一般很少会对外提供大量服务;但对端向服务端发起大量扫描行为时,如垂直扫描等,熵值会骤然升高;
目的端响应协议的熵值的公式定义如下:
Figure BDA0003875402730000033
其中,p(appprtli|ip,w)在窗口为w内给定ip下appprtli的概率;appprtli为在窗口w内筛选满足ip=dipi条件的appprtl非重复集合之一。
作为本发明一种基于数据多维熵值指纹的网络异常行为检测方法的进一步优选方案,源端请求IP行为数量,其公式如下:
Csip(ip,w)=C({Flowi|ip=sipi&&w=wi})
C(·)为统计数量函数。{Flowi|ip=sipi&&w=wi}表示为在窗口w内,ip=sipi的流量数。
作为本发明一种基于数据多维熵值指纹的网络异常行为检测方法的进一步优选方案,目的端响应IP行为数量,其公式如下:
Cdip(ip,w)=C({Flowi|ip=dipi&&w=wi})
{Flowi|ip=dipi&&w=wi}表示为在窗口w内,ip=dipi的流量数。
作为本发明一种基于数据多维熵值指纹的网络异常行为检测方法的进一步优选方案,采用RNN模型,构建我们恶意流量识别算法。
作为本发明一种基于数据多维熵值指纹的网络异常行为检测方法的进一步优选方案,恶意行为的标签如下:
1)暴力破解恶意行为攻击方,包含远程登录、数据库等***行为;
2)暴力破解恶意行为受害方;
3)端口扫描恶意行为攻击方,包含水平扫描、垂直扫描;
4)端口扫描恶意行为受害方;
5)DDOS攻击恶意行为攻击方;
6)DDOS攻击恶意行为受害方;
7)垃圾邮件恶意行为发起方。
本发明采用以上技术方案与现有技术相比,具有以下技术效果:
1、本发明通过对报文头部分析,识别一定的非标准端口的协议流量,提高协议识别的准确性;
2、本发明通过对报文头部分析,识别一定的非标准端口的协议流量,提高协议识别的准确性不需要从每条报文进行深度分析,是以会话通联行为数据形式进行相关的统计及行为层面上分析,加快了效率,具有一定的实时性;
3、本发明通过对报文头部分析,识别一定的非标准端口的协议流量,提高协议识别的准确性基于会话通联行为分析,绕过了对加密流量的不可识别性,从流量行为的角度分析,针对加密流量中的恶意行为具有一定的识别能力。
附图说明
图1是本发明基于数据多维熵值指纹的网络异常行为检测技术整体框架;
图2是本发明恶意流量识别算法模型图。
具体实施方式
下面结合附图对本发明的技术方案做进一步的详细说明:
需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本申请。
需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机***中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
下面将结合附图,对本专利的具体实施做进一步详细说明,以实际的操作实例对本专利进行解释,其最终目的,优点和特征将更好理解。
如图1所示,基于数据多维熵值指纹的网络异常行为检测技术整体框架流程,我们的检测***首先会将全域流量数据归并为第四章第一小节所表示的会话通联元数据,包括相关属性;利用滑动窗口对流量进行时序化处理;将相关IP在白名单标识之后,将流量通过多维度熵值分析模型计算相关特征,馈入恶意流量识别算法,将算法识别为恶意标签的IP推送;
本***所包含的恶意标签库标识有:暴力破解恶意行为(远程登录、数据库等);端口扫描恶意行为;DDOS攻击恶意行为;垃圾邮件恶意行为;
我们通过搭载相关实验环境,使用各种黑客攻击的工具及脚本,构建不同种类的攻击行为,作为标准的数据集,用于训练RNN模型;
为了能够体现RNN模型的时序性特点,我们在构建模型时,将IP相同在按窗口顺序上的序列作为模型输入特征序列。如设置参数N为100,表示每次检测连续100个时间窗口,如图2所示。
随着互联网不断的发展,网络流量的量级已经达到了不可估计的庞大规模,无法直接存储内容较为丰富的报文信息,以会话通联数据作为元数据,可以减小存储,但仍然面临巨大量级的元数据,本专利所阐述的识别体系需要具有实时分析能力。
全球互联网中近80%的流量为加密的,基于安全传输协议的报文更是无法破解,本专利需要提出一个有效的手段,模型能够从内容审查转变为利用具有相关的统计意义的行为特征信息进行分析。
本发明基于数据多维熵值指纹的网络异常行为检测方法,包含流量数据时序化处理、规则库过滤、多维度熵值分析计算模型和相关恶意检测算法四部分,具体包含如下步骤;
步骤1,采集报文数据合并为会话通联数据;其中会话通联具体表示如下:
Flowi(sipi,dipi,sporti,dporti,transprtli,appprtli,timestampi,uppktsi,upbytesi,downpkts,downbytesi)
其中,Flowi为第i条会话通联,sipi为源IP,dipi为目的IP,sporti为源端口,dporti为目的端口,transprtli为传输层协议,appprtli为应用层协议,timestampi为时间戳,uppktsi为上行包数量,upbytesi为上行总字节数,downbytesi下行包数量,downbytesi为下行总字节数;
步骤2,对会话通联数据进行时序化处理;
采用时间窗口滑动应用于会话通联数据中,滑动步长大小与滑动窗口尺寸大小一致,后续针对每个滑动窗格内的数据计算特征,将第i个样本的滑动窗口定义为wi
则时序化处理后的样本变为:
xi(ipi,wi,F1i,F2i,...,Fni)
其中,F1i,F2i,...,Fni为基于时间序列提取的相关特征;
步骤3,白名单规则标识:根据已知CDN厂商、ALEX排名网站Top1000域名对应的服务器IP作为白名单标识;
步骤4,将流量通过多维度熵值分析模型计算相关特征,馈入恶意流量识别算法,将算法识别为恶意标签的IP推送。
在步骤4中,基于会话通联数据计算多维数据的信息量的熵值来表示相关特征,其公式如下:
Figure BDA0003875402730000061
其中,H(x)为当前集合的信息熵值,E(·)含义是entropy(熵)缩写,表示内部为信息熵的公式,变量x有n种可能取值,p(xi)为第i类发生的概率。
源端请求IP行为的熵值分析:用来衡量源端请求IP行为的混乱程度,作为一个客户端,在一段时间内,如果访问目标IP较为集中,则熵值会保持一个很低的指标,比如:***服务器、***数据等攻击手段,会针对某一个特定服务器访问行为非常集中;相反,如果源端访问目标IP极其发散,则熵值会保持一个很高的指标,比如:端口扫描中的水平扫描,在短时间内对多个主机的同一端口进行大量扫描;而作为一个正常的互联网用户,源端请求IP行为的熵值很难达到一个很高或很低的水平;
源端请求IP行为的熵值的公式定义如下:
Figure BDA0003875402730000071
其中,p(dipi|ip,w)在窗口w内给定ip下dipi的概率,dipi为在窗口w内筛选满足ip=sipi条件的dip非重复集合之一。
源端请求协议行为的熵值分析:用来衡量源端请求协议行为的混乱程度,作为一个客户端,在一段时间内,如果访问大量的协议,在会话通联流量中端口号近似表示,比如:源端向目标端,大量端口进行扫描,如扫描0-65535端口,那么熵值是极其高的;相反,客户端用户在大量访问某一种协议时,如***对远程登录的协议疯狂集中,那么熵值是极其低的,普通用户很难达到两个极端的阈值;
源端请求协议行为的熵值的公式定义如下:
Figure BDA0003875402730000072
其中,p(appprli|ip,w)在窗口为w内给定ip下appprtli的概率;appprtli为在窗口w内筛选满足ip=sipi条件的appprtl非重复集合之一。
目的端响应IP行为的熵值分析:
用来衡量目的端响应IP行为的混乱程度,作为一个服务端,对外提供服务,短时间内会有一定量级的用户访问服务,如果某一段时刻,不同用户访问服务量级大大超过平时的量级,那么该时刻熵值将骤然升高,在DDOS攻击的时候,遭受大量傀儡机疯狂攻击就会造成熵值骤增;大量傀儡机对目标服务器远程登录协议进行***行为时也同样会导致熵值的骤增;
目的端响应IP行为的熵值的公式定义如下:
Figure BDA0003875402730000073
其中,p(sipi|ip,w)在窗口为w内给定ip下sipi的概率;sipi为在窗口w内筛选满足ip=dipi条件的sip非重复集合之一。
目的端响应协议的熵值分析:用来衡量目的端响应协议行为的混乱程度,作为一个服务端,一般会对外提供一定协议的服务,一般很少会对外提供大量服务;但对端向服务端发起大量扫描行为时,如垂直扫描等,熵值会骤然升高;
目的端响应协议的熵值的公式定义如下:
Figure BDA0003875402730000081
其中,p(appprtli|ip,w)在窗口为w内给定ip下appprtli的概率;appprtli为在窗口w内筛选满足ip=dipi条件的appprtl非重复集合之一。
源端请求IP行为数量,其公式如下:
Csip(ip,w)=C({Flowi|ip=sipi&&w=wi})
C(·)为统计数量函数。{Flowi|ip=sipi&&w=wi}表示为在窗口w内,ip=sipi的流量数。
作为本发明一种基于数据多维熵值指纹的网络异常行为检测方法的进一步优选方案,目的端响应IP行为数量,其公式如下:
Cdip(ip,w)=C({Flowi|ip=dipi&&w=wi})。
{Flowi|ip=dipi&&w=wi}表示为在窗口w内,ip=dipi的流量数。
采用RNN模型,构建我们恶意流量识别算法。
恶意行为的标签如下:
1)暴力破解恶意行为攻击方,包含远程登录、数据库等***行为;
2)暴力破解恶意行为受害方;
3)端口扫描恶意行为攻击方,包含水平扫描、垂直扫描;
4)端口扫描恶意行为受害方;
5)DDOS攻击恶意行为攻击方;
6)DDOS攻击恶意行为受害方;
7)垃圾邮件恶意行为发起方。
本发明针对网络流量中会话通联数据检测其中的恶意行为,构建恶意行为风险评估体系,识别攻击方和受害方,相关IP异常行为,如:暴力破解恶意行为(远程登录、数据库等);端口扫描恶意行为;DDOS攻击恶意行为;垃圾邮件恶意行为等。对IP进行多维深度刻画。
本发明通过对报文头部分析,识别一定的非标准端口的协议流量,提高协议识别的准确性;
本发明通过对报文头部分析,识别一定的非标准端口的协议流量,提高协议识别的准确性不需要从每条报文进行深度分析,是以会话通联行为数据形式进行相关的统计及行为层面上分析,加快了效率,具有一定的实时性;
本发明通过对报文头部分析,识别一定的非标准端口的协议流量,提高协议识别的准确性基于会话通联行为分析,绕过了对加密流量的不可识别性,从流量行为的角度分析,针对加密流量中的恶意行为具有一定的识别能力。
以上,仅为本申请较佳的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应该以权利要求的保护范围为准。

Claims (10)

1.一种基于数据多维熵值指纹的网络异常行为检测方法,其特征在于:包含流量数据时序化处理、规则库过滤、多维度熵值分析计算模型和相关恶意检测算法四部分,具体包含如下步骤;
步骤1,采集报文数据合并为会话通联数据;其中,会话通联具体表示如下:
Flowi(sipi,dipi,sporti,dporti,transprtli,appprtli,timestampi,uppktsi,upbytesi,downpkts,downbytesi)
其中,Flowi为第i条会话通联,sipi为源IP,dipi为目的IP,sporti为源端口,dporti为目的端口,transprtli为传输层协议,appprtli为应用层协议,timestampi为时间戳,uppktsi为上行包数量,upbytesi为上行总字节数,downbytesi下行包数量,downbytesi为下行总字节数;
步骤2,对会话通联数据进行时序化处理;
采用时间窗口滑动应用于会话通联数据中,滑动步长大小与滑动窗口尺寸大小一致,后续针对每个滑动窗格内的数据计算特征,将第i个样本的滑动窗口定义为wi
则时序化处理后的样本变为:
xi(ipi,wi,F1i,F2i,...,Fni)
其中,F1i,F2i,...,Fni为基于时间序列提取的相关特征;
步骤3,白名单规则标识:根据已知CDN厂商、ALEX排名网站Top1000域名对应的服务器IP作为白名单标识;
步骤4,将流量通过多维度熵值分析模型计算相关特征,馈入恶意流量识别算法,将算法识别为恶意标签的IP推送。
2.根据权利要求1所述的一种基于数据多维熵值指纹的网络异常行为检测方法,其特征在于:在步骤4中,基于会话通联数据计算多维数据的信息量的熵值来表示相关特征,其公式如下:
Figure FDA0003875402720000011
其中,H(x)为当前集合的信息熵值,E(·)含义是entropy(熵)缩写,表示内部为信息熵的公式,变量x有n种可能取值,p(xi)为第i类发生的概率。
3.根据权利要求2所述的一种基于数据多维熵值指纹的网络异常行为检测方法,其特征在于:源端请求IP行为的熵值分析:用来衡量源端请求IP行为的混乱程度,作为一个客户端,在一段时间内,如果访问目标IP较为集中,则熵值会保持一个很低的指标;
源端请求IP行为的熵值的公式定义如下:
Figure FDA0003875402720000021
其中,p(dipi|ip,w)在窗口w内给定ip下dipi的概率,dipi为在窗口w内筛选满足ip=sipi条件的dip非重复集合之一。
4.根据权利要求2所述的一种基于数据多维熵值指纹的网络异常行为检测方法,其特征在于:源端请求协议行为的熵值分析:用来衡量源端请求协议行为的混乱程度,作为一个客户端,在一段时间内,如果访问大量的协议,在会话通联流量中端口号近似表示;
源端请求协议行为的熵值的公式定义如下:
Figure FDA0003875402720000022
其中,p(appprli|ip,w)在窗口为w内给定ip下appprtli的概率;appprtli为在窗口w内筛选满足ip=sipi条件的appprtl非重复集合之一。
5.根据权利要求2所述的一种基于数据多维熵值指纹的网络异常行为检测方法,其特征在于:目的端响应IP行为的熵值分析:
用来衡量目的端响应IP行为的混乱程度,作为一个服务端,对外提供服务,短时间内会有一定量级的用户访问服务;
目的端响应IP行为的熵值的公式定义如下:
Figure FDA0003875402720000023
其中,p(sipi|ip,w)在窗口为w内给定ip下sipi的概率;sipi为在窗口w内筛选满足ip=dipi条件的sip非重复集合之一。
6.根据权利要求2所述的一种基于数据多维熵值指纹的网络异常行为检测方法,其特征在于:目的端响应协议的熵值分析:用来衡量目的端响应协议行为的混乱程度,作为一个服务端,一般会对外提供一定协议的服务,一般很少会对外提供大量服务;但对端向服务端发起大量扫描行为时,如垂直扫描等,熵值会骤然升高;
目的端响应协议的熵值的公式定义如下:
Figure FDA0003875402720000031
其中,p(appprtli|ip,w)在窗口为w内给定ip下appprtli的概率;appprtli为在窗口w内筛选满足ip=dipi条件的appprtl非重复集合之一。
7.根据权利要求3所述的一种基于数据多维熵值指纹的网络异常行为检测方法,其特征在于:源端请求IP行为数量,其公式如下:
Csip(ip,w)=C({Flowi|ip=sipi&&w=wi})
C(·)为统计数量函数,{Flowi|ip=sipi&&w=wi}表示为在窗口w内,ip=sipi的流量数。
8.根据权利要求3所述的一种基于数据多维熵值指纹的网络异常行为检测方法,其特征在于:目的端响应IP行为数量,其公式如下:
Cdip(ip,w)=C({Flowi|ip=dipi&&w=wi})
{Flowi|ip=dipi&&w=wi}表示为在窗口w内,ip=dipi的流量数。
9.根据权利要求3所述的一种基于数据多维熵值指纹的网络异常行为检测方法,其特征在于:采用RNN模型构建恶意流量识别算法。
10.根据权利要求3所述的一种基于数据多维熵值指纹的网络异常行为检测方法,其特征在于:恶意行为的标签如下:
1)暴力破解恶意行为攻击方,包含远程登录、数据库等***行为;
2)暴力破解恶意行为受害方;
3)端口扫描恶意行为攻击方,包含水平扫描、垂直扫描;
4)端口扫描恶意行为受害方;
5)DDOS攻击恶意行为攻击方;
6)DDOS攻击恶意行为受害方;
7)垃圾邮件恶意行为发起方。
CN202211212022.5A 2022-09-30 2022-09-30 一种基于数据多维熵值指纹的网络异常行为检测方法 Pending CN115622757A (zh)

Priority Applications (3)

Application Number Priority Date Filing Date Title
CN202211212022.5A CN115622757A (zh) 2022-09-30 2022-09-30 一种基于数据多维熵值指纹的网络异常行为检测方法
PCT/CN2022/130473 WO2024065956A1 (zh) 2022-09-30 2022-11-08 一种基于数据多维熵值指纹的网络异常行为检测方法
NL2034989A NL2034989A (en) 2022-09-30 2023-06-03 Method for detecting network abnormal behavior based on data multi-dimensional entropy fingerprint

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202211212022.5A CN115622757A (zh) 2022-09-30 2022-09-30 一种基于数据多维熵值指纹的网络异常行为检测方法

Publications (1)

Publication Number Publication Date
CN115622757A true CN115622757A (zh) 2023-01-17

Family

ID=84861448

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202211212022.5A Pending CN115622757A (zh) 2022-09-30 2022-09-30 一种基于数据多维熵值指纹的网络异常行为检测方法

Country Status (3)

Country Link
CN (1) CN115622757A (zh)
NL (1) NL2034989A (zh)
WO (1) WO2024065956A1 (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN118233221B (zh) * 2024-05-24 2024-07-19 中国电子科技集团公司第三十研究所 一种基于熵的网络攻防不确定性度量计算方法
CN118250091A (zh) * 2024-05-24 2024-06-25 南京理工大学 一种Socks5加密代理通道中的大语言模型使用行为检测方法及***

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2015128613A1 (en) * 2014-02-28 2015-09-03 British Telecommunications Public Limited Company Malicious encrypted network traffic identification
EP3111612B1 (en) * 2014-02-28 2018-03-21 British Telecommunications public limited company Profiling for malicious encrypted network traffic identification
CN109361673B (zh) * 2018-10-26 2021-06-22 电子科技大学 基于流量数据样本统计和平衡信息熵估计的网络异常检测方法
CN113079143A (zh) * 2021-03-24 2021-07-06 北京锐驰信安技术有限公司 一种基于流数据的异常检测方法及***

Also Published As

Publication number Publication date
NL2034989A (en) 2023-09-15
WO2024065956A1 (zh) 2024-04-04

Similar Documents

Publication Publication Date Title
CN111277587A (zh) 基于行为分析的恶意加密流量检测方法及***
US11399288B2 (en) Method for HTTP-based access point fingerprint and classification using machine learning
CN107592312B (zh) 一种基于网络流量的恶意软件检测方法
CN109194680B (zh) 一种网络攻击识别方法、装置及设备
CN115622757A (zh) 一种基于数据多维熵值指纹的网络异常行为检测方法
Sakib et al. Using anomaly detection based techniques to detect HTTP-based botnet C&C traffic
CN110611640A (zh) 一种基于随机森林的dns协议隐蔽通道检测方法
Fraunholz et al. YAAS-On the Attribution of Honeypot Data.
CN110933111A (zh) 一种基于DPI的DDoS攻击识别方法及装置
Letteri et al. MTA-KDD'19: A Dataset for Malware Traffic Detection.
JP2015222471A (ja) 悪性通信パターン検知装置、悪性通信パターン検知方法、および、悪性通信パターン検知プログラム
Cabana et al. Threat intelligence generation using network telescope data for industrial control systems
CN111478892A (zh) 基于浏览器指纹的攻击者画像多维度分析方法
Rocha et al. Detection of illicit network activities based on multivariate gaussian fitting of multi-scale traffic characteristics
Sawaya et al. Detection of attackers in services using anomalous host behavior based on traffic flow statistics
Yang et al. Detecting DNS tunnels using session behavior and random forest method
CN111182002A (zh) 基于http首个问答包聚类分析的僵尸网络检测装置
Nair et al. A study on botnet detection techniques
Marnerides et al. Analysis and characterisation of botnet scan traffic
Akiyoshi et al. Detecting emerging large-scale vulnerability scanning activities by correlating low-interaction honeypots with darknet
US8284764B1 (en) VoIP traffic behavior profiling method
CN110430199B (zh) 识别物联网僵尸网络攻击源的方法与***
McLaren et al. Mining malware command and control traces
CN115022034B (zh) 攻击报文识别方法、装置、设备和介质
CN111371727A (zh) 一种针对ntp协议隐蔽通信的检测方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination