CN107749859B - 一种面向网络加密流量的恶意移动应用检测方法 - Google Patents

一种面向网络加密流量的恶意移动应用检测方法 Download PDF

Info

Publication number
CN107749859B
CN107749859B CN201711091851.1A CN201711091851A CN107749859B CN 107749859 B CN107749859 B CN 107749859B CN 201711091851 A CN201711091851 A CN 201711091851A CN 107749859 B CN107749859 B CN 107749859B
Authority
CN
China
Prior art keywords
judged
mobile application
traffic
application object
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201711091851.1A
Other languages
English (en)
Other versions
CN107749859A (zh
Inventor
何高峰
孙雁飞
王堃
亓晋
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nanjing University of Posts and Telecommunications
Original Assignee
Nanjing University of Posts and Telecommunications
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nanjing University of Posts and Telecommunications filed Critical Nanjing University of Posts and Telecommunications
Priority to CN201711091851.1A priority Critical patent/CN107749859B/zh
Publication of CN107749859A publication Critical patent/CN107749859A/zh
Application granted granted Critical
Publication of CN107749859B publication Critical patent/CN107749859B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明涉及一种面向网络加密流量的恶意移动应用检测方法,能够有效分析移动应用产生的加密流量是否为攻击流量,而现有方法主要针对明文流量进行分析,因而本发明所设计检测方法是对现有研究方法的一种有效补充,从而使得网络层的恶意移动应用检测更加实用化。同时,本发明所设计检测方法仅以网络流量为输入,不需要在移动终端上安装额外程序,也不需要对网络流量内容进行深度解析,从而减轻了移动终端的运行负载,且保证了移动用户的数据隐私,便于实际部署使用。

Description

一种面向网络加密流量的恶意移动应用检测方法
技术领域
本发明涉及一种面向网络加密流量的恶意移动应用检测方法,属于网络安全、恶意移 动应用检测技术领域。
背景技术
随着移动互联网的迅速发展,移动智能终端(如智能手机、平板Pad、智能手表等)已经成为日常社会活动的重要辅助工具。但移动智能终端的广泛使用,也吸引了众多攻击者的目光,各类恶意移动应用(Mobile malware)攻击事件层出不穷,移动智能终端安全 正面临着严峻的考验。
分析恶意移动应用攻击行为发现,典型的如敏感信息泄露、网络渗透等恶意攻击大多 通过网络进行,借助SMS短信的不足1%。而现有的恶意移动应用流量检测主要针对明文流 量,以HTTP GET和POST请求的具体内容,如Host、Request-method、User-agent等为检测对象。当检测出已知的攻击特征或字段内容与正常访问流量相比对呈现异常时,判定流量为恶意攻击流量,对应的移动应用为恶意应用。但该方法无法应用于加密网络流量(SSL、TLS、HTTP密文数据传输或其它加密方式等)的检测分析。
针对移动应用加密网络流量,已有研究主要通过网络流量行为的差异来检测恶意移动 应用。首先提取移动应用的网络流量外在特征(不考虑报文具体内容),如发送/接收的报 文数量、字节数、报文时间间隔等,然后利用机器学习或统计方法建立合法移动应用(恶 意移动应用)的网络访问行为模型。当未知安全属性的移动应用其网络行为与现有模型偏 差较大(类似)时,则判断其为恶意应用。此类研究工作仅能从网络整体上判断出移动应 用是否异常,无法分辨出恶意移动应用产生的具体攻击流量,即无法判定移动应用产生的 某条加密网络流,其是否为恶意攻击流量。
发明内容
本发明所要解决的技术问题是提供一种面向网络加密流量的恶意移动应用检测方法, 仅以网络流量为输入,不需要在移动终端上安装额外程序,也不需要对网络流量内容进行 深度解析,从而减轻了移动终端的运行负载,且保证了移动用户的数据隐私,具有重要实 用价值。
本发明为了解决上述技术问题采用以下技术方案:本发明设计了一种面向网络加密流 量的恶意移动应用检测方法,包括如下步骤:
步骤A.识别获得待判断加密网络流量所对应的移动应用,作为待判断移动应用对象, 然后进入步骤B;
步骤B.分析待判断移动应用对象的整体网络行为是否异常,以及分析待判断加密网 络流量是否异常;若两者分析均不存在异常,则判定待判断移动应用对象为非恶意应用, 针对待判断加密网络流量的检测结束;若两者分析中存在异常,则获得全部异常信息,并 进入步骤C;
步骤C.基于异常信息,使用分类方法判断待判断加密网络流量是否为恶意攻击流量, 是则判定待判断移动应用对象为恶意应用,针对待判断加密网络流量的检测结束;否则判 定待判断移动应用对象为非恶意应用,针对待判断加密网络流量的检测结束。
作为本发明的一种优选技术方案:所述步骤A中,采用基于机器学习的分类方法,识 别获得待判断加密网络流量所对应的移动应用,作为待判断移动应用对象,其中,机器学 习的分类方法通过预先学习不同移动应用的流量特征模型;然后采用经过学习的机器学习 的分类方法,针对待判断加密网络流量进行识别,获得待判断加密网络流量所对应的移动 应用,作为待判断移动应用对象。
作为本发明的一种优选技术方案:所述步骤A中,采用基于流量关联的识别方式,识 别获得待判断加密网络流量所对应的移动应用,作为待判断移动应用对象,其中,针对待 判断加密网络流量的上下文,寻找获得同待判断加密网络流量,在指定属性上最为关联的 明文流量;并获得该明文流量中关键字所对应的移动应用,即为待判断加密网络流量所对 应的移动应用,作为待判断移动应用对象。
作为本发明的一种优选技术方案:所述步骤B中,采用基于移动应用类别的异常流量 分析技术,分析待判断移动应用对象的整体网络行为是否异常,其中,首先基于指定流量 属性的比较,进行网络流量相似度计算,获得与待判断移动应用对象同属同类别的预设数 量m个移动应用,作为各个待验证移动应用;然后将该各个待验证移动应用所产生的网络 流量作为正常流量样本;最后将待判断移动应用对象的网络流量与正常流量样本进行对 比,即分析待判断移动应用对象的整体网络行为是否异常。
作为本发明的一种优选技术方案:所述步骤B中,基于指定流量属性的比较,进行网 络流量相似度计算,获得与待判断移动应用对象同属同类别的预设数量m个移动应用,作 为各个待验证移动应用,包括如下步骤:
步骤B1-1.将网络流量方向区分为入流方向和出流方向,针对待判断移动应用对象, 获得待判断移动应用对象所对应各条网络流量分别在其入流方向和出流方向上的预设前k 个特征值,针对所获特征值进行主成分分析,并构建待判断移动应用对象所对应特征矩阵 Gt;同时,分别针对各个待对比应用对象,获得待对比应用对象所对应各条网络流量分别 在其入流方向和出流方向上的预设前k个特征值,针对所获特征值进行主成分分析,并构 建各个待对比应用对象分别所对应的特征矩阵Gc,然后进入步骤B1-2;
步骤B1-2.针对特征矩阵Gt中的各个特征值进行规格化,更新特征矩阵Gt;同时,分别针对各个特征矩阵Gc,针对矩阵Gc中的各个特征值进行规格化,更新矩阵Gc,进而 更新各个矩阵Gc,然后进入步骤B1-3;
步骤B1-3.分别针对各个待对比应用对象,按如下公式:
Figure BDA0001461406640000031
获得待对比应用对象与待判断移动应用对象的网络流量相似度τt,c,进而获得各个待对 比应用对象分别与待判断移动应用对象的网络流量相似度τt,c然后进入步骤B1-4;其中,S 为协方差矩阵;
步骤B1-4.针对各个待对比应用对象分别与待判断移动应用对象的网络流量相似度 τt,c,按由大至小的顺序进行排序,选择预设前m个网络流量相似度τt,c所对应的待对比应 用对象,作为各个待验证移动应用。
作为本发明的一种优选技术方案:所述步骤B1-1.将网络流量方向区分为入流方向和 出流方向,基于报文长度特征和报文时间间隔特征的提取,构建待判断移动应用对象所对 应特征矩阵Gt,以及构建各个待对比应用对象分别所对应的特征矩阵Gc
作为本发明的一种优选技术方案:周期执行步骤B1-1至步骤B1-4,周期更新获得与 待判断移动应用对象同属同类别的各个待验证移动应用。
作为本发明的一种优选技术方案:所述步骤B中,分析待判断加密网络流量是否异常, 其中,首先获得与待判断加密网络流量相关联的DNS域名和HTTP请求内容;然后判断该DNS域名和HTTP请求内容是否异常,若异常,则判断待判断加密网络流量为异常流量;若 非异常,则删除待判断加密网络流量,以及其所关联流量,更新待判断移动应用对象所对 应特征矩阵Gt,并按步骤B1-3中的公式,重新计算获得各个待对比应用对象分别与待判 断移动应用对象的网络流量相似度τt',c,若存在τt',c小于对应τt,c,则判断待判断加密网络流量为异常流量,若不存在τt',c小于对应τt,c,则判断待判断加密网络流量为非异常流量。
作为本发明的一种优选技术方案:所述步骤C中,基于异常信息,使用分类方法判断 待判断加密网络流量是否为恶意攻击流量,其中,根据预设攻击流量和正常流量作为学习 样本,建立二分类器;并针对不同类型的攻击流量,建立one-against-all多分类器;首先通过二分类器判断待判断加密网络流量是否为攻击流量,是则继续使用 one-against-all多分类器进行逐一分类测试,并根据检测样本与分类界面的距离值大小 选择最终的分类结果;否则即待判断加密网络流量不是攻击流量。
本发明所述一种面向网络加密流量的恶意移动应用检测方法的应用系统,采用以上技 术方案与现有技术相比,具有以下技术效果:本发明所设计面向网络加密流量的恶意移动 应用检测方法,能够有效分析移动应用产生的加密流量是否为攻击流量,而现有方法主要 针对明文流量进行分析,因而本发明所设计检测方法是对现有研究方法的一种有效补充, 从而使得网络层的恶意移动应用检测更加实用化。同时,本发明所设计检测方法仅以网络 流量为输入,不需要在移动终端上安装额外程序,也不需要对网络流量内容进行深度解析, 从而减轻了移动终端的运行负载,且保证了移动用户的数据隐私,便于实际部署使用。
附图说明
图1是本发明所设计面向网络加密流量的恶意移动应用检测方法的系统部署示意图;
图2是本发明所设计应用实施例中所收集的网络流量及特征示意;
图3是本发明所设计面向网络加密流量的恶意移动应用检测方法中待判断加密网络流量的 异常判断流程示意图;
图4是本发明所设计应用中实施例中加密网络流量攻击分类流程示意图。
具体实施方式
下面结合说明书附图对本发明的具体实施方式作进一步详细的说明。
本发明设计了一种面向网络加密流量的恶意移动应用检测方法,实际应用中,具体包 括如下步骤:
步骤A.采用基于机器学习的分类方法,识别获得待判断加密网络流量所对应的移动 应用,作为待判断移动应用对象,其中,机器学习的分类方法通过预先学习不同移动应用 的流量特征模型;然后采用经过学习的机器学习的分类方法,针对待判断加密网络流量进 行识别,获得待判断加密网络流量所对应的移动应用,作为待判断移动应用对象,然后进 入步骤B。
上述步骤A中,基于流量关联的识别方法考虑当前网络流量上下文,寻找同待检测的 加密网络流量最为关联的明文流量(如时间接近、流量特征相似等),通过关键字判断明文流量由何应用产生,而待检测的加密网络流量也由该应用产生。还可采用其他新的方法识别出加密网络流量所对应的移动应用。
所述步骤A中,采用基于流量关联的识别方式,识别获得待判断加密网络流量所对应 的移动应用,作为待判断移动应用对象,其中,针对待判断加密网络流量的上下文,寻找获得同待判断加密网络流量,在指定属性上最为关联的明文流量;并获得该明文流量中关键字所对应的移动应用,即为待判断加密网络流量所对应的移动应用,作为待判断移动应用对象。
以同类别移动应用所产生的网络流量为正常流量样本,进而明确比较的对象,考虑移 动应用类别信息能够带来以下两点益处:一是无需考虑其它不同类别的移动应用,减少学 习样本数量;二是由于同类别的移动应用功能类似,因而用户行为在一定程度上也将类似, 减少用户操作行为对网络流量异常分析的影响。
移动应用的具体类别信息可借助应用商店,如Google Play对移动应用的分类,包括 财务、餐饮美食、车辆和交通等。然而同一类别中包含的移动应用数量众多,为选出合适的比对对象,本发明拟以报文长度、报文方向和报文时间间隔为基本特征,进行网络流量相似度的计算。
步骤B.采用基于移动应用类别的异常流量分析技术,分析待判断移动应用对象的整 体网络行为是否异常,其中,首先基于指定流量属性的比较,进行网络流量相似度计算,获得与待判断移动应用对象同属同类别的预设数量m个移动应用,作为各个待验证移动应用,这里具体周期执行步骤B1-1至步骤B1-4,周期更新获得与待判断移动应用对象同属 同类别的各个待验证移动应用。
步骤B1-1.将网络流量方向区分为入流方向和出流方向,针对待判断移动应用对象, 基于报文长度特征和报文时间间隔特征的提取,获得待判断移动应用对象所对应各条网络 流量分别在其入流方向和出流方向上的预设前k个特征值,针对所获特征值进行主成分分 析,并构建待判断移动应用对象所对应特征矩阵Gt;同时,分别针对各个待对比应用对象, 基于报文长度特征和报文时间间隔特征的提取,获得待对比应用对象所对应各条网络流量 分别在其入流方向和出流方向上的预设前k个特征值,针对所获特征值进行主成分分析, 并构建各个待对比应用对象分别所对应的特征矩阵Gc,然后进入步骤B1-2;
步骤B1-2.针对特征矩阵Gt中的各个特征值进行规格化,更新特征矩阵Gt;同时,分别针对各个特征矩阵Gc,针对矩阵Gc中的各个特征值进行规格化,更新矩阵Gc,进而 更新各个矩阵Gc,然后进入步骤B1-3;
步骤B1-3.分别针对各个待对比应用对象,按如下公式:
Figure BDA0001461406640000061
获得待对比应用对象与待判断移动应用对象的网络流量相似度τt,c,进而获得各个待对 比应用对象分别与待判断移动应用对象的网络流量相似度τt,c然后进入步骤B1-4;其中,S 为协方差矩阵;
步骤B1-4.针对各个待对比应用对象分别与待判断移动应用对象的网络流量相似度 τt,c,按由大至小的顺序进行排序,选择预设前m个网络流量相似度τt,c所对应的待对比应 用对象,作为各个待验证移动应用。
然后将该各个待验证移动应用所产生的网络流量作为正常流量样本;最后将待判断移 动应用对象的网络流量与正常流量样本进行对比,即分析待判断移动应用对象的整体网络 行为是否异常。
同时分析待判断加密网络流量是否异常,其中,如图3所示,首先获得与待判断加密 网络流量相关联的DNS域名和HTTP请求内容;然后判断该DNS域名和HTTP请求内容是否异常,若异常,则判断待判断加密网络流量为异常流量;若非异常,则删除待判断加密网 络流量,以及其所关联流量,更新待判断移动应用对象所对应特征矩阵Gt,并按步骤B1-3 中的公式,重新计算获得各个待对比应用对象分别与待判断移动应用对象的网络流量相似度τ't,c,若存在τ't,c小于对应τt,c,则判断待判断加密网络流量为异常流量,若不存在τ't,c小 于对应τt,c,则判断待判断加密网络流量为非异常流量。基于上述针对待判断加密网络流量 的异常判断,若两者分析均不存在异常,则判定待判断移动应用对象为非恶意应用,针对 待判断加密网络流量的检测结束;若两者分析中存在异常,则获得全部异常信息,并进入 步骤C。
结合步骤B中的异常分析结果,以“是否异常”为特征之一,可采用支持向量机、随机森林等机器学习算法实现加密流量的攻击分类。分类模型训练过程中的样本异常标注可由步骤B的异常分析完成,还可结合人工标注方式,如标注合法应用及其产生的流量为正常,纯恶意移动应用及其产生的流量为异常。此外,还对攻击流量的训练样本进行进一步划分,如数据泄露、渗透扫描等,以实现细粒度的加密攻击流量分类检测。
步骤C.基于异常信息,使用分类方法判断待判断加密网络流量是否为恶意攻击流量, 其中,根据预设攻击流量和正常流量作为学习样本,建立二分类器;并针对不同类型的攻 击流量,建立one-against-all多分类器;首先通过二分类器判断待判断加密网络流量是 否为攻击流量,是则继续使用one-against-all多分类器进行逐一分类测试,并根据检测 样本与分类界面的距离值大小选择最终的分类结果;否则即待判断加密网络流量不是攻击 流量,基于上述具体操作,判断待判断加密网络流量是否为恶意攻击流量,是则判定待判 断移动应用对象为恶意应用,针对待判断加密网络流量的检测结束;否则判定待判断移动 应用对象为非恶意应用,针对待判断加密网络流量的检测结束。
将本发明所设计面向网络加密流量的恶意移动应用检测方法,应用到实际当中,如图 1所示,无线设备,如手机、Pad、手环、运行手机模拟器如Genymotion的笔记本电脑等设备通过WiFi连接至无线AP。无线AP通过路由器连接至Internet,在路由器处配置端 口镜像功能,将无线AP发送和接收的网络流量均转发至分析服务器。分析服务器上运行 本发明专利提供的面向加密网络流量的恶意移动应用检测方法,对加密流量进行分析检 测。分析检测的结果和历史网络流量均可保存于数据库中。
如图2所示,假定在某一时间段,共收集8条网络流量,其中,流量⑤为加密网络流量。根据基于机器学习的分类方法,识别出流量⑤和流量②、④、⑥、⑦属于新闻类移动 应用A,其它网络流量属于移动应用B。执行步骤B,判断移动移动应用A和加密网络流量 ⑤是否异常。移动应用A属于新闻类应用,但流量②和④存在大量的上传数据,因而是异 常的。加密网络流量⑤的异常判断流程如图3所示,加密网络流量⑤与流量②、④想关联, 因而判断结果为异常。
如图4所示,我们进一步使用支持向量机和随机森林算法进行分类。分类结果表明, 加密网络流量⑤为C&C攻击流量,因而最终判断移动应用A为恶意移动应用。
上述技术方案所设计面向网络加密流量的恶意移动应用检测方法,能够有效分析移动 应用产生的加密流量是否为攻击流量,而现有方法主要针对明文流量进行分析,因而本发 明所设计检测方法是对现有研究方法的一种有效补充,从而使得网络层的恶意移动应用检 测更加实用化。同时,本发明所设计检测方法仅以网络流量为输入,不需要在移动终端上 安装额外程序,也不需要对网络流量内容进行深度解析,从而减轻了移动终端的运行负载, 且保证了移动用户的数据隐私,便于实际部署使用。
上面结合附图对本发明的实施方式作了详细说明,但是本发明并不限于上述实施方 式,在本领域普通技术人员所具备的知识范围内,还可以在不脱离本发明宗旨的前提下做 出各种变动。

Claims (7)

1.一种面向网络加密流量的恶意移动应用检测方法,其特征在于,包括如下步骤:
步骤A.识别获得待判断加密网络流量所对应的移动应用,作为待判断移动应用对象,然后进入步骤B;
步骤B.采用基于移动应用类别的异常流量分析技术,分析待判断移动应用对象的整体网络行为是否异常,以及分析待判断加密网络流量是否异常;若两者分析均不存在异常,则判定待判断移动应用对象为非恶意应用,针对待判断加密网络流量的检测结束;若两者分析中存在异常,则获得全部异常信息,并进入步骤C;
在分析待判断移动应用对象的整体网络行为是否异常的过程中,首先基于指定流量属性的比较,进行网络流量相似度计算,获得与待判断移动应用对象同属同类别的预设数量m个移动应用,作为各个待验证移动应用,包括如下步骤:
步骤B1-1.将网络流量方向区分为入流方向和出流方向,针对待判断移动应用对象,获得待判断移动应用对象所对应各条网络流量分别在其入流方向和出流方向上的预设前k个特征值,针对所获特征值进行主成分分析,并构建待判断移动应用对象所对应特征矩阵Gt;同时,分别针对各个待对比应用对象,获得待对比应用对象所对应各条网络流量分别在其入流方向和出流方向上的预设前k个特征值,针对所获特征值进行主成分分析,并构建各个待对比应用对象分别所对应的特征矩阵Gc,然后进入步骤B1-2;
步骤B1-2.针对特征矩阵Gt中的各个特征值进行规格化,更新特征矩阵Gt;同时,分别针对各个特征矩阵Gc,针对矩阵Gc中的各个特征值进行规格化,更新矩阵Gc,进而更新各个矩阵Gc,然后进入步骤B1-3;
步骤B1-3.分别针对各个待对比应用对象,按如下公式:
Figure FDA0002274709180000011
获得待对比应用对象与待判断移动应用对象的网络流量相似度τt,c,进而获得各个待对比应用对象分别与待判断移动应用对象的网络流量相似度τt,c然后进入步骤B1-4;其中,S为协方差矩阵;
步骤B1-4.针对各个待对比应用对象分别与待判断移动应用对象的网络流量相似度τt,c,按由大至小的顺序进行排序,选择预设前m个网络流量相似度τt,c所对应的待对比应用对象,作为各个待验证移动应用;
然后将该各个待验证移动应用所产生的网络流量作为正常流量样本;最后将待判断移动应用对象的网络流量与正常流量样本进行对比,即分析待判断移动应用对象的整体网络行为是否异常;
步骤C.基于异常信息,使用分类方法判断待判断加密网络流量是否为恶意攻击流量,是则判定待判断移动应用对象为恶意应用,针对待判断加密网络流量的检测结束;否则判定待判断移动应用对象为非恶意应用,针对待判断加密网络流量的检测结束。
2.根据权利要求1所述一种面向网络加密流量的恶意移动应用检测方法,其特征在于:所述步骤A中,采用基于机器学习的分类方法,识别获得待判断加密网络流量所对应的移动应用,作为待判断移动应用对象,其中,机器学习的分类方法通过预先学习不同移动应用的流量特征模型;然后采用经过学习的机器学习的分类方法,针对待判断加密网络流量进行识别,获得待判断加密网络流量所对应的移动应用,作为待判断移动应用对象。
3.根据权利要求1所述一种面向网络加密流量的恶意移动应用检测方法,其特征在于:所述步骤A中,采用基于流量关联的识别方式,识别获得待判断加密网络流量所对应的移动应用,作为待判断移动应用对象,其中,针对待判断加密网络流量的上下文,寻找获得同待判断加密网络流量,在指定属性上最为关联的明文流量;并获得该明文流量中关键字所对应的移动应用,即为待判断加密网络流量所对应的移动应用,作为待判断移动应用对象。
4.根据权利要求1所述一种面向网络加密流量的恶意移动应用检测方法,其特征在于:所述步骤B1-1.将网络流量方向区分为入流方向和出流方向,基于报文长度特征和报文时间间隔特征的提取,构建待判断移动应用对象所对应特征矩阵Gt,以及构建各个待对比应用对象分别所对应的特征矩阵Gc
5.根据权利要求1所述一种面向网络加密流量的恶意移动应用检测方法,其特征在于:周期执行步骤B1-1至步骤B1-4,周期更新获得与待判断移动应用对象同属同类别的各个待验证移动应用。
6.根据权利要求1所述一种面向网络加密流量的恶意移动应用检测方法,其特征在于:所述步骤B中,分析待判断加密网络流量是否异常,其中,首先获得与待判断加密网络流量相关联的DNS域名和HTTP请求内容;然后判断该DNS域名和HTTP请求内容是否异常,若异常,则判断待判断加密网络流量为异常流量;若非异常,则删除待判断加密网络流量,以及其所关联流量,更新待判断移动应用对象所对应特征矩阵Gt,并按步骤B1-3中的公式,重新计算获得各个待对比应用对象分别与待判断移动应用对象的网络流量相似度τ′t,c,若存在τ′t,c小于对应τt,c,则判断待判断加密网络流量为异常流量,若不存在τ′t,c小于对应τt,c,则判断待判断加密网络流量为非异常流量。
7.根据权利要求1所述一种面向网络加密流量的恶意移动应用检测方法,其特征在于:所述步骤C中,基于异常信息,使用分类方法判断待判断加密网络流量是否为恶意攻击流量,其中,根据预设攻击流量和正常流量作为学习样本,建立二分类器;并针对不同类型的攻击流量,建立one-against-all多分类器;首先通过二分类器判断待判断加密网络流量是否为攻击流量,是则继续使用one-against-all多分类器进行逐一分类测试,并根据检测样本与分类界面的距离值大小选择最终的分类结果;否则即待判断加密网络流量不是攻击流量。
CN201711091851.1A 2017-11-08 2017-11-08 一种面向网络加密流量的恶意移动应用检测方法 Active CN107749859B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201711091851.1A CN107749859B (zh) 2017-11-08 2017-11-08 一种面向网络加密流量的恶意移动应用检测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201711091851.1A CN107749859B (zh) 2017-11-08 2017-11-08 一种面向网络加密流量的恶意移动应用检测方法

Publications (2)

Publication Number Publication Date
CN107749859A CN107749859A (zh) 2018-03-02
CN107749859B true CN107749859B (zh) 2020-03-31

Family

ID=61250848

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201711091851.1A Active CN107749859B (zh) 2017-11-08 2017-11-08 一种面向网络加密流量的恶意移动应用检测方法

Country Status (1)

Country Link
CN (1) CN107749859B (zh)

Families Citing this family (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108667806A (zh) * 2018-04-08 2018-10-16 南京邮电大学 Android重打包恶意应用检测方法、可读存储介质和终端
CN110008987B (zh) * 2019-02-20 2022-02-22 深圳大学 分类器鲁棒性的测试方法、装置、终端及存储介质
CN109818976B (zh) * 2019-03-15 2021-09-21 杭州迪普科技股份有限公司 一种异常流量检测方法及装置
CN110417729B (zh) * 2019-06-12 2020-10-27 中国科学院信息工程研究所 一种加密流量的服务与应用分类方法及系统
CN112217762B (zh) * 2019-07-09 2022-11-18 北京观成科技有限公司 基于用途的恶意加密流量的识别方法及装置
CN110958233B (zh) * 2019-11-22 2021-08-20 上海交通大学 一种基于深度学习的加密型恶意流量检测系统和方法
CN111585830A (zh) * 2020-03-25 2020-08-25 国网思极网安科技(北京)有限公司 一种用户行为分析方法、装置、设备及存储介质
US11698965B2 (en) 2020-04-09 2023-07-11 International Business Machines Corporation Detection of encrypting malware attacks
CN113542195B (zh) * 2020-04-16 2023-05-05 北京观成科技有限公司 一种恶意加密流量的检测方法、系统和设备
CN112784289B (zh) * 2021-01-26 2022-10-18 济南大学 Android应用程序加密网络流量的提取系统及方法
CN112565308B (zh) * 2021-02-26 2021-05-18 北京邮电大学 基于网络流量的恶意应用检测方法、装置、设备及介质
CN114465786B (zh) * 2022-01-21 2023-10-20 积至(海南)信息技术有限公司 一种加密网络流量的监控方法
CN114726753B (zh) * 2022-05-24 2022-08-26 北京金睛云华科技有限公司 一种基于多任务学习的网络加密流量识别方法

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101547129B (zh) * 2009-05-05 2011-05-04 中国科学院计算技术研究所 分布式拒绝服务攻击的检测方法及系统
US8792491B2 (en) * 2010-08-12 2014-07-29 Citrix Systems, Inc. Systems and methods for multi-level quality of service classification in an intermediary device
US8638795B2 (en) * 2010-08-12 2014-01-28 Citrix Systems, Inc. Systems and methods for quality of service of encrypted network traffic
CN102694817B (zh) * 2012-06-08 2016-08-03 北京奇虎科技有限公司 一种识别程序的网络行为是否异常的方法、装置及系统
CN106713233B (zh) * 2015-11-13 2020-04-14 国网智能电网研究院 一种网络安全状态的判断与保护方法

Also Published As

Publication number Publication date
CN107749859A (zh) 2018-03-02

Similar Documents

Publication Publication Date Title
CN107749859B (zh) 一种面向网络加密流量的恶意移动应用检测方法
Moustafa et al. The evaluation of Network Anomaly Detection Systems: Statistical analysis of the UNSW-NB15 data set and the comparison with the KDD99 data set
CN112738015B (zh) 一种基于可解释卷积神经网络cnn与图检测的多步攻击检测方法
US11562064B2 (en) Machine learning-based security alert escalation guidance
Zarni Aung Permission-based android malware detection
US7991726B2 (en) Intrusion detection system alerts mechanism
CN112491779B (zh) 一种异常行为检测方法及装置、电子设备
Mahmood et al. Intrusion detection system based on K-star classifier and feature set reduction
CN109525508B (zh) 基于流量相似性比对的加密流识别方法、装置及存储介质
US20170063892A1 (en) Robust representation of network traffic for detecting malware variations
CN103944887B (zh) 基于隐条件随机场的入侵事件检测方法
CN110519228B (zh) 一种黑产场景下恶意云机器人的识别方法及系统
CN111245784A (zh) 多维度检测恶意域名的方法
CN111147490A (zh) 一种定向钓鱼攻击事件发现方法及装置
TW201719484A (zh) 以應用層日誌分析為基礎的資安管理系統及其方法
CN113132329A (zh) Webshell检测方法、装置、设备及存储介质
Wang et al. TextDroid: Semantics-based detection of mobile malware using network flows
Brissaud et al. Passive monitoring of https service use
CN110225009B (zh) 一种基于通信行为画像的代理使用者检测方法
Harbola et al. Improved intrusion detection in DDoS applying feature selection using rank & score of attributes in KDD-99 data set
Bista et al. DDoS attack detection using heuristics clustering algorithm and naïve bayes classification
Zheng et al. Preprocessing method for encrypted traffic based on semisupervised clustering
US9332031B1 (en) Categorizing accounts based on associated images
CN113946823A (zh) 一种基于url基线偏离度分析的sql注入检测方法及装置
Apurva et al. Redefining cyber security with big data analytics

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant