一種基于全息建模的應用軟件流量異常檢測系統及方法，包括：應用軟件識別模塊、特征空間設計模塊、全息建模模塊和異常檢測模塊；應用軟件識別模塊，實現流量識別功能；根據獲取的原始流量數據包中的端口進行應用軟件的識別，得到已知軟件類別的流量數據集；特征空間設計模塊，實現特征提取功能，根據不同的TCP流進行基于流的特征提取，得到流量特征數據集；全息建模模塊，實現模型的建立與動態更新功能；根據聚類算法對應用軟件的流特征進行多角度建模，再根據更新條件，基于新的流量數據更新已建立的多個模式，得到應用軟件流量的正常模型；異常檢測模塊，實現應用軟件的流量異常判斷功能，根據模型容量和離散度綜合得到的異常分數來識別異常，得到流量是否異常的判定結果。

技術領域

本發明涉及一種基于全息建模的應用軟件流量異常檢測系統及方法，屬于信息安全中流量異常檢測技術領域。

背景技術

異常檢測是檢測不符合預期行為的異常模式，稱為異常值。近年來，流量異常檢測逐漸成為關鍵應用的網絡安全領域熱門問題，比如網絡入侵檢測領域和內部威脅檢測領域等。對于以獲取利益為目的外部入侵或內部威脅，必然會留下痕跡，即相關的網絡行為。因此，受損的機器將產生與入侵者或內部人員的惡意行為相關的網絡流量。與已知的采用簽名匹配惡意行為的方法相比，基于異常的方法可能會檢測到新類型的惡意行為并解決0day的網絡攻擊。因此，流量異常檢測已引起越來越多的研究者的關注。

在用于異常檢測的所有方法中，基于模式的方法十分重要。其主要思想是通過算法來構建正常行為的模式，并將流量的偏差視為異常。因此，如何構建正常行為的模式對于檢測異常是至關重要的。當前大多數流量異常檢測算法都假設歷史網絡行為均為正常，然后采用機器學習算法建立正常模式。首先是基于聚類算法的異常檢測方法。Guan等人[參見Y.Guan,A.Ghorbani,N.Belacel,“Y-means:a clustering method for intrusiondetection,”Electrical and Computer Engineering,IEEE CCECE.Canadian Conferenceon IEEE,vol.2,pp.1083–1086,2003.]提出了Y-means作為基于K-means和其他相關聚類算法的入侵檢測聚類啟發式方法。它克服了K-means的兩個缺點：簇的依賴性和簡并性的數量。它提高了結果的準確性，降低了異常檢測的誤報率。Panchamukhi等人[V.Panchamukhi,H.A.“Murthy,Port-based traffic verification as a paradigm for anomalydetection,”IEEE,2012.]提出了一種基于高斯混合模型的框架，用于檢測網絡流量中的異常。將一段時間內聚合的流量特征提供給模型以驗證流量的有效性。但是，這些方法沒有考慮模型更新的問題。Lam等人[參見P.Lam,L.Wang,H.Y.Ngan,N.H.Yung,A.G.Yeh,“Outlierdetection in large-scale traffic data by naive Bayes method and gaussianmixture model method,”Electronic Imaging,pp.73--78,September 2017.]假設流量數據符合混合高斯分布，他們所做的實驗證明，GMM方法可以更準確地檢測流量異常。還有許多研究使用深度學習方法進行異常檢測。Zhu等人[參見D.Zhu,H.Jin,Y.Yang,D.Wu,W.Chen,“DeepFlow:Deep learning-based malware detection by mining Androidapplication for abnormal usage of sensitive data,”In Computers andCommunications(ISCC),IEEE,pp.438--443,July 2017.]提出了DeepFlow，這是一種基于DBN深度學習模型的方法，用于直接從Android應用軟件中的數據流中識別惡意軟件。DeepFlow使用FlowDroid從Android應用軟件中提取數據流，并使用SUSI技術對提取的流進行分類以獲取功能。雖然此方法可以檢測異常，但它僅適用于惡意軟件識別，并且無法檢測正常應用軟件中的異常。在異常流量識別領域也有許多測試。例如，Kong等人[參見L.Kong,G.Huang,K.Wu,“Identification of Abnormal Network Traffic Using Support VectorMachine,”Parallel and Distributed Computing,Applications and Technologies(PDCAT),201718th International Conference on.IEEE,pp.288--292,December 2017.]提出了一種異常流量識別系統，可以對多個攻擊流量應用進行分類和識別。通過對KDD CUP數據集的測試，ATIS可以檢測攻擊網絡的流量，實現異常檢測。但是，分類算法需要攻擊應用軟件生成的大量流量，這是不切實際的。