[發明專利]基于六維空間流量分析模型的木馬回聯檢測系統及方法有效
| 申請號: | 201710205203.8 | 申請日: | 2017-03-31 |
| 公開(公告)號: | CN108337217B | 公開(公告)日: | 2020-04-24 |
| 發明(設計)人: | 李波;肖天煒;侯文伶 | 申請(專利權)人: | 北京安天網絡安全技術有限公司 |
| 主分類號: | H04L29/06 | 分類號: | H04L29/06;H04L12/26 |
| 代理公司: | 暫無信息 | 代理人: | 暫無信息 |
| 地址: | 100195 北京市海淀區*** | 國省代碼: | 北京;11 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 基于 空間 流量 分析 模型 木馬 聯檢 系統 方法 | ||
1.一種六維空間流量分析模型生成系統,其特征在于,包括:
維度建立模塊,用于建立由源IP、源端口、目的IP、目的端口、協議號組成的基本要素維度;建立由每一次會話的開始時間和結束時間組成的時間維度;建立由斜率、傳輸速度組成的變化維度;建立由固定關鍵字、浮動關鍵字、關鍵載荷信息、用戶身份標識、應用標識組成的信息維度;建立根據相同五元組包數形成的關聯維度;建立由源IP經度、源IP緯度、源IP國家、源IP城市、目的IP經度、目的IP緯度、目的IP國家、目的IP城市組成的空間維度;
模型建立模塊,用于將所述基本要素維度、時間維度、變化維度、信息維度、關聯維度、空間維度進行組合,得到六維空間流量分析模型。
2.如權利要求1所述的系統,其特征在于,所述斜率,其計算方式為:具有相同五元組的數據包中,上行數據包的個數與下行數據包的個數進行求商計算。
3.如權利要求1或2所述的系統,其特征在于,所述傳輸速度,其計算方式為:數據包大小之和與傳輸時間進行求商計算。
4.一種基于六維空間流量分析模型的木馬回聯檢測系統,其特征在于,包括:
數據提取模塊,用于根據六維空間流量分析模型中基本要素維度、時間維度、信息維度所包含的表征元素提取待分析流量中相應的信息,并將提取的信息相應的映射到基本要素維度、時間維度、信息維度上;
數據處理模塊,用于根據數據提取模塊得到的待分析流量的基本要素維度、時間維度、信息維度上的信息,計算得出待分析流量的關聯維度和變化維度上的信息;
特征匹配模塊,用于將待分析流量經數據提取模塊和數據處理模塊得到的各維度上的信息按規定進行特征匹配和權重計算,分別得到待分析流量不同維度上信息的權重;
閾值比較模塊,用于將特征匹配模塊中得到的權重按規定進行加權求和計算,判斷計算結果是否大于規定閾值,若是則視為待分析流量包含使用了DGA算法的木馬,并有回聯行為,否則視為待分析流量不包含木馬。
5.如權利要求4所述的系統,其特征在于,所述特征匹配模塊具體用于:根據待分析流量的變化維度上的信息判斷待分析流量中是否存在斜率大于第一規定值的IP,若是則視為相應IP為可疑IP,并按規定對相應IP設置權重;根據待分析流量的關聯維度上的信息判斷待分析流量中是否存在相同五元組包數大于第二規定值的IP,若是則視為相應IP為可疑IP,并按規定對相應IP設置權重;根據待分析流量的信息維度上的固定關鍵字信息判斷待分析流量中是否存在DNS請求成功次數與請求失敗次數的比值小于第三規定值的IP,若是則視為相應IP為可疑IP,并按規定對相應IP設置權重。
6.如權利要求5所述的系統,其特征在于,所述閾值比較模塊具體用于:將特征匹配模塊中得到的權重,根據每個IP進行加權求和計算,判斷是否存在加權求和的值大于規定閾值的IP,若存在,則視為待分析流量包含使用了DGA算法的木馬,并有回聯行為,若不存在,則視為待分析流量不包含木馬。
7.如權利要求4或6所述的系統,其特征在于,還包括追蹤溯源模塊,具體用于:當分析出待分析流量包含使用了DGA算法的木馬,并有回聯行為時,根據六維空間流量分析模型中空間維度所包含的表征元素對流量中的相應信息進行提取,完成惡意行為的追蹤溯源。
8.一種基于六維空間流量分析模型的木馬回聯檢測方法,其特征在于,包括:
根據六維空間流量分析模型中基本要素維度、時間維度、信息維度所包含的表征元素提取待分析流量中相應的信息,并將提取的信息相應的映射到基本要素維度、時間維度、信息維度上;
根據得到的待分析流量的基本要素維度、時間維度、信息維度上的信息,計算得出待分析流量的關聯維度和變化維度上的信息;
將得到的待分析流量的各維度上的信息按規定進行特征匹配和權重計算,分別得到待分析流量不同維度上信息的權重;
將得到的權重按規定進行加權求和計算,判斷計算結果是否大于規定閾值,若是則視為待分析流量包含使用了DGA算法的木馬,并有回聯行為,否則視為待分析流量不包含木馬。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于北京安天網絡安全技術有限公司,未經北京安天網絡安全技術有限公司許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201710205203.8/1.html,轉載請聲明來源鉆瓜專利網。
