CN108123939A - 恶意行为实时检测方法及装置 - Google Patents
恶意行为实时检测方法及装置 Download PDFInfo
- Publication number
- CN108123939A CN108123939A CN201711362561.6A CN201711362561A CN108123939A CN 108123939 A CN108123939 A CN 108123939A CN 201711362561 A CN201711362561 A CN 201711362561A CN 108123939 A CN108123939 A CN 108123939A
- Authority
- CN
- China
- Prior art keywords
- malicious act
- data stream
- attack
- network
- current data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种恶意行为实时检测方法及装置,应用于SDN网络系统中,涉及云计算技术领域。所述恶意行为实时检测方法包括:基于包含云平台上的可能攻击方案的恶意行为攻击模型,建立云计算环境下的恶意行为攻击特征库;基于所述恶意行为攻击特征库,实时检测网络中的当前数据流中是否有恶意行为;在为是时,表征当前存在网络攻击,对所述当前数据流进行拦截。本发明针对目前的恶意行为检测模型无法有效应对大规模网络流量带来的处理效率瓶颈以及网路拓扑复杂带来的流量控制困难的问题,利用灵活的SDN架构结合大数据的处理框架,设计基于SDN的恶意行为实时检测模型来解决目前研究存在的由于处理瓶颈和网络流量控制问题导致的检测效率低的问题。
Description
技术领域
本发明涉及云计算技术领域,具体而言,涉及一种恶意行为实时检测方法及装置。
背景技术
随着各种网络技术的发展成熟,基于互联网的云计算全新服务模式得到了空前的发展,在最具权威的IT研究顾问咨询公司Gartner发布的“IT行业十大战略技术”报告中,“云计算”连续几年被评为前沿技术,同时也是2017年技术报告中人工智能等新技术的重要基础。
在云计算模式下,超强的计算能力、极其低廉的成本等优势吸引大量数据朝着云平台中聚集,一方面带来了应用便利,另一方面也大大提高了云平台被攻击的风险。因此,如何有效检测云平台下恶意行为并进行有效防护,进而确保云平台下机密数据的安全,是目前云计算安全领域亟待解决的关键问题。
国内外针对云平台安全展开了大量的理论研究,研究包含适应于云环境的入侵检测模型、分布式入侵检测系统(Distributed intrusion detection systems,DIDS)、基于虚拟化的监控技术、基于数据挖掘的未知攻击检测算法等几个方面。以Snort为代表的入侵检测(Intrusion Detection System,IDS)模型通过对抓取到的数据包进行分析、按配置的规则进行检测并做出响应从而保证云平台的安全。为了提升对云平台攻击的实时检测效率,国内外研究人员开始着力研究分布式入侵检测系统,分布式入侵检测系统是一种通过将检测点分布在不同的位置,在核心层融合多IDS节点的警报信息进行分析的入侵检测系统。基于虚拟化的监控技术为云环境下的恶意行为分析提供必要的支撑,根据监控系统的部署位置,基于虚拟化的监控系统分为两类:一类是系统内部监控,另一类是系统外部监控。内部监控是指监控系统驻留在目标虚拟机内部,通过虚拟机监控器的高级特权保护监控系统的完整性,典型的内部监控系统有SIM和Lares。基于虚拟化的外部监控是将监控系统部署于被监控虚拟机外部,通过虚拟机监控器的高控制权来完成对虚拟机内部内核数据结构的监控,典型监控系统有VMDriver。利用数据挖掘技术实现对未知攻击的检测是云平台安全的重要保障,常见的应用于入侵检测的数据挖掘算法有关联规则、序列分析等。
以Snort为代表的传统入侵检测系统虽然在一定程度上保证了云平台的安全,但这种模式存在网络规则配置不灵活等一系列的问题,此外由于云平台规模的急剧扩展使得网络拓扑结构复杂化、网络流量迅猛增长,而在传统的入侵检测系统中过滤设备和路由设备完全分离,从而很难实现统一快速的防护。云平台下网络流量的迅猛增长对现有的入侵检测系统带来了巨大的挑战,因此,亟需构建能够有效应对大规模网络流量的入侵检测系统。
发明内容
本发明的目的在于提供一种恶意行为实时检测方法及装置,其能够有效改善上述问题。
本发明的实施例是这样实现的:
第一方面,本发明实施例提供了一种恶意行为实时检测方法,应用于SDN网络系统中,所述方法包括:基于包含云平台上的可能攻击方案的恶意行为攻击模型,建立云计算环境下的恶意行为攻击特征库;基于所述恶意行为攻击特征库,实时检测网络中的当前数据流中是否有恶意行为;在为是时,表征当前存在网络攻击,对所述当前数据流进行拦截。
第二方面,本发明实施例还提供了一种恶意行为实时检测装置,应用于SDN网络系统中,其包括特征库模块,用于基于包含云平台上的可能攻击方案的恶意行为攻击模型,建立云计算环境下的恶意行为攻击特征库;检测模块,用于基于所述恶意行为攻击特征库,实时检测网络中的当前数据流中是否有恶意行为;拦截模块,用于在所述当前数据流中有恶意行为时,表征当前存在网络攻击,对所述当前数据流进行拦截。
本发明实施例提供的恶意行为实时检测方法及装置,首先基于包含云平台上的可能攻击方案的恶意行为攻击模型,建立云计算环境下的恶意行为攻击特征库;再基于所述恶意行为攻击特征库,实时检测网络中的当前数据流中是否有恶意行为;最后,在所述当前数据流中有恶意行为时,表征当前存在网络攻击,对所述当前数据流进行拦截。本发明借助SDN集中控制的特性来有效实现数据流的过滤和分析,在此基础上构建一种基于SDN架构的恶意行为检测框架,采用SDN架构进行数据流监控,利用大数据流式处理方式来实现对大规模数据中恶意攻击的过滤,同时利用透明监控机制来有效的获取虚拟机的行为状态来为发现隐藏的恶意行为提供依据,最后利用大数据挖掘技术对监控的数据进行有效分析从而检测出隐藏的恶意行为,能够有效改善目前存在的由于处理瓶颈和网络流量控制问题导致的检测效率低的问题。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本发明的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为一种可应用于本发明实施例中的电子设备的结构框图;
图2为本发明第一实施例提供的恶意行为实时检测方法的流程框图;
图3为本发明第一实施例中步骤S210的子步骤流程框图;
图4为本发明第一实施例提供的步骤S400、步骤S410的流程框图;
图5为本发明第一实施例提供的步骤S500、步骤S510、步骤S520的流程框图;
图6为本发明第一实施例提供的步骤S600、步骤S610的流程框图;
图7为本发明第一实施例提供的步骤S700、步骤S710、步骤S720的流程框图;
图8为本发明第一实施例提供的步骤S800、步骤S810、步骤S820、步骤S830的流程框图;
图9为本发明第二实施例提供的恶意行为实时检测装置的结构框图;
图10为本发明第二实施例提供的检测模块的结构框图;
图11为本发明第二实施例提供的另一种恶意行为实时检测装置的结构框图。
具体实施方式
下面将结合本发明实施例中附图,对本发明实施例中的技术方案进行清晰、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。因此,以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围,而是仅仅表示本发明的选定实施例。基于本发明的实施例,本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。同时,在本发明的描述中,术语“第一”、“第二”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
图1示出了一种可应用于本申请实施例中的电子设备100的结构框图。如图1所示,电子设备100可以包括存储器110、存储控制器120、处理器130、显示屏幕140和恶意行为实时检测装置。例如,该电子设备100可以为个人电脑(personal computer,PC)、平板电脑、智能手机、个人数字助理(personal digital assistant,PDA)等。
存储器110、存储控制器120、处理器130、显示屏幕140各元件之间直接或间接地电连接,以实现数据的传输或交互。例如,这些元件之间可以通过一条或多条通讯总线或信号总线实现电连接。所述恶意行为实时检测方法分别包括至少一个可以以软件或固件(firmware)的形式存储于存储器110中的软件功能模块,例如所述恶意行为实时检测装置包括的软件功能模块或计算机程序。
存储器110可以存储各种软件程序以及模块,如本申请实施例提供的恶意行为实时检测方法及装置对应的程序指令/模块。处理器130通过运行存储在存储器110中的软件程序以及模块,从而执行各种功能应用以及数据处理,即实现本申请实施例中的恶意行为实时检测方法。存储器110可以包括但不限于随机存取存储器(Random Access Memory,RAM),只读存储器(Read Only Memory,ROM),可编程只读存储器(Programmable Read-OnlyMemory,PROM),可擦除只读存储器(Erasable Programmable Read-Only Memory,EPROM),电可擦除只读存储器(Electric Erasable Programmable Read-Only Memory,EEPROM)等。
处理器130可以是一种集成电路芯片,具有信号处理能力。上述处理器可以是通用处理器,包括中央处理器(Central Processing Unit,简称CPU)、网络处理器(NetworkProcessor,简称NP)等;还可以是数字信号处理器(DSP)、专用集成电路(ASIC)、现成可编程门阵列(FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。其可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
本发明实施例中所应用的电子设备100为实现恶意行为实时检测方法,还可以具备自显示功能,其中的显示屏幕140可以在所述电子设备100与用户之间提供一个交互界面(例如用户操作界面)或用于显示图像数据给用户参考。例如,可以显示恶意行为实时检测装置拦截的网络攻击或其他流量信息。
在介绍本发明的具体实施例之前首先需要说明的是,本发明是计算机技术在云计算技术领域的一种应用。在本发明的实现过程中,会涉及到多个软件功能模块的应用。申请人认为,如在仔细阅读申请文件、准确理解本发明的实现原理和发明目的以后,在结合现有公知技术的情况下,本领域技术人员完全可以运用其掌握的软件编程技能实现本发明,凡本发明申请文件提及的软件功能模块均属此范畴,申请人不再一一列举。
第一实施例
请参照图2,本实施例提供了一种恶意行为实时检测方法,应用于SDN网络系统中,所述方法包括:
步骤S200:基于包含云平台上的可能攻击方案的恶意行为攻击模型,建立云计算环境下的恶意行为攻击特征库;
本实施例中,通过分析包含云平台上的可能攻击方案的恶意行为供给模型以及目前攻击检测模型遗留的问题,可以建立基于SDN的恶意行为实施检测模型,即所述恶意行为攻击特征库。可以理解的是,所述恶意行为攻击模型中的内容可以不仅限于云平台上的可能攻击方案,还可以是系统本地或其他环境下的可能攻击方案。
经过研究发现,目前入侵检测系统的利用效率不均衡,主要是由于不同分支的入侵检测系统处理的网络规模不同,导致部分系统繁忙而另外分支系统空闲的情况。针对上述问题,本实施例利用SDN能够在物理平台之上根据业务逻辑的需求及攻击检测的需求形成相应的逻辑拓扑的能力,增强虚拟网络的扩展性,构建出更加安全有效的模型。
步骤S210:基于所述恶意行为攻击特征库,实时检测网络中的当前数据流中是否有恶意行为;
本实施例中,所述恶意行为攻击特征库中包含有大量的已知或未知的攻击特征,通过将所述当前数据流在所述恶意行为攻击特征库中进行查找,即可判断所述当前数据流中是否存在已知或未知的攻击特征,即是否有恶意行为。
在步骤S210的判断结果为是时,执行步骤S220;
步骤S220:表征当前存在网络攻击,对所述当前数据流进行拦截。
本实施例中,当检测出所述当前数据流中存在恶意行为时,即通过预设方式对当前存在网络攻击进行表征,并对含有恶意行为的所述当前数据流进行拦截。可以理解的是,表征当前存在网络攻击的方式可以是多样的,例如,可以通过向系统发送遭受网络攻击的报告,或是通过图像或声音警告的形式及时告知用户等。
请参照图3,本实施例中,进一步的,所述步骤S210可以包括如下子步骤:
步骤S300:获取网络中的当前数据流;
本实施例中,可以通过SDN框架下的OpenFlow交换机实时获取可能包含有正常流量、攻击流量以及恶意流量的所述当前数据流。
步骤S310:利用模式生成器挖掘所述当前数据流,获得当前行为特征;
本实施例中,可通过模式生成器挖掘出所述当前数据流中的行为特征,构建出攻击图谱,形成当前行为特征。
步骤S320:判断所述当前行为特征是否与所述恶意行为攻击特征库中的恶意行为匹配;
本实施例中,可通过模式匹配器将所述当前行为特征与所述恶意行为攻击特征库中的正常行为模式和异常行为模式进行匹配,并向用户反馈匹配结果。
其中,在所述当前行为特征与所述恶意行为攻击特征库中的恶意行为匹配时,执行步骤S330;
步骤S330:表征所述当前数据流中存在恶意行为。
本实施例中,可以利用训练学习器对不确定数据进行学习分析和深度挖掘,对所述恶意行为攻击特征库中的正常行为模式库和异常行为模式库进行增量更新。其核心在于知识库的形成和学习过程的构建,也就是多维模式下的用户访问模式库的构建和特征事件的筛选,即多维数据流的频繁模式挖掘和查询过程。
请参照图4,本实施例中,进一步的,所述步骤S210的判断结果为是时,还可以包括如下步骤:
步骤S400:生成恶意行为检测结果;
步骤S410:将所述恶意行为检测结果发送给SDN控制器,以使所述SDN控制器将所述恶意行为检测结果反馈给OpenFlow交换机,并使所述OpenFlow交换机能够基于所述恶意行为检测结果,对与所述当前数据流具有相同特征的数据流进行拦截。
本实施例中,可通过数据流增量查询模型来匹配特征库,如果流量异常(有恶意行为)则生成所述恶意行为检测结果,并将所述恶意行为检测结果发送给SDN框架内中SDN控制器,通过所述SDN控制器制定规则并以流表形式下发给OpenFlow交换机来将该流量丢弃(或拦截),如果是正常流量则通过基于滑动窗口频繁模式挖掘模型和基于核密度估计的异常点检测模型来判断该流量是否正常,如果正常,不需要任何操作,如果是异常,则将该流量特征添加进攻击特征库。
请参照图5,本实施例中,进一步的,所述步骤S200之前可以包括如下步骤:
步骤S500:对已知攻击行为利用Petri-Net网描述攻击路径,并形成所述已知攻击行为的检测规则;
步骤S510:对网络数据进行挖掘和渗透测试,确定可能攻击手段及安全威胁点,进而获得所述可能攻击方案;
步骤S520:将所述已知攻击行为的检测规则及所述可能攻击方案进行合并,获得所述恶意行为攻击模型。
本实施例中,针对云平台的攻击主要包含以下两个方面:一是大规模网络流量下的攻击直接挑战防御系统的处理性能及对攻击的快速响应能力,导致网络链路完全拥塞,部署在接入侧的安全设备完全失效;二是针对具体应用的真实源攻击越来越多(例如APT攻击),此类攻击的目的越来越明确,攻击范围越来越专注,具有极强的隐蔽性和持续性。因此,对于已知攻击利用Petri-Net网描述其攻击的路径,最后形成检测规则进行过滤;对于潜伏在网络流或服务器中的未知攻击需要运用数据挖掘技术结合渗透测试方法,找出全面覆盖所有可能的攻击手段及其对应的安全威胁点;抽象渗透测试中的攻击方案,然后进行合并,得到恶意行为攻击模型。
请参照图6,本实施例中,进一步的,所述步骤S200之后还可以包括如下步骤:
步骤S600:基于大数据分析的恶意行为挖掘模型BDAMB,发现系统数据之间的关联关系;
步骤S610:结合日志数据对系统状态的变化进行挖掘,以获取未知攻击特征,并将所述未知攻击特征加入所述恶意行为攻击特征库。
未知攻击的异常行为都是非常隐蔽的,攻击者会隐藏自己的攻击行为,通常单个行为看上去都是正常的,但是一些行为关联在一起以后,这种关联的组合非常少,且行为主体不具有其他特殊性,则这种行为很可能是异常的。或者某些内部行为已经被判定为异常,那么与之关联的行为也是异常的概率就会大大增加。基于此,本实施例基于大数据分析的恶意行为挖掘模型BDAMB(Big-data-analysis based malicious behavior miningmodel),从不同维度出发研究数据之间的关联关系,结合日志数据对系统状态的变化进行深入挖掘,查找未知攻击并对基于数据流挖掘的实时入侵检测模型进行反馈,提高系统入侵检测的准确性。BDAMB主要是以用户行为数据、访问数据等线索为依据,以事件为基本单元,一方面在不同的维度上采用分类、聚类等大数据分析技术进行深度分析;另一方面采用大数据关联分析等技术对不同维度的数据进行关联挖掘,同时结合日志数据进行进一步挖掘,发现未知攻击。
请参照图7,本实施例中,进一步的,在所述步骤S210的判断结果为否时,还可以包括如下步骤:
步骤S700:采用嵌套式滑动窗口遗传算法频繁模式挖掘模型NSWGM并利用滑动窗口技术扫描所述当前数据流,获得当前滑动窗口数据流;
步骤S710:对所述当前滑动窗口数据流进行分块,形成嵌套数据子窗口群;
步骤S720:使用并行遗传算法挖掘每个嵌套数据子窗口中的频繁项集,并合并扫描嵌套子窗口上的块频繁模式,获得当前滑动窗口中的频繁模式。
针对当前数据流上基于单次扫描的频繁模式挖掘准确性不高的问题,本实施例拟在云计算并行计算技术的基础上采用嵌套式滑动窗口遗传算法频繁模式挖掘模型NSWGM(Nested Sliding Window Genetic Model),首先利用滑动窗口技术扫描近期当前数据流,并对当前窗口内的数据流进行分块,形成嵌套数据子窗口群,使用并行遗传算法挖掘每个嵌套数据子窗口中的频繁项集,然后合并扫描嵌套子窗口上的块频繁模式,形成当前滑动窗口中的频繁模式。
本实施例中,在步骤S210的结果为否时,只能确定当前数据流中不含恶意行为攻击特征库中已有的攻击特征,此时通过对该流量继续进行频繁模式的挖掘,如果同一种数据流频繁出现,说明它是有问题的,即使它本身并不具备攻击特征。此时,可以将出现异常的数据流存入所述恶意行为攻击特征库中,以丰富和完善所述恶意行为攻击特征库。
请参照图8,本实施例中,进一步的,所述方法还可以包括如下步骤:
步骤S800:以细粒度监控方式,通过虚拟机中事件探测器监听所述虚拟机的系统调用事件,异常调用事件,中断事件及资源访问事件;
步骤S810:将所述系统调用事件,所述异常调用事件,所述中断事件及所述资源访问事件存储在事件缓冲区中;
步骤S820:当所述事件缓冲区满时,触发虚拟中断通知Dom0中的行为监控功能,进而获取监听到所述系统调用事件,所述异常调用事件,所述中断事件及所述资源访问事件;
步骤S830:以粗粒度方式,监控硬件资源的访问事件。
其中,所述硬件资源包括:CPU和/或内存。
在恶意行为以获取系统的控制权为手段对系统进行攻击的情况下,系统必然会出现异常事件行为,因此,本实施例通过将异常系统事件作为细粒度监控指标,重点监控系统调用、异常调用、异常的中断事件(网络、系统I/O等事件)等,利用粗粒度信息流监控资源的访问事件(CPU、内存等资源)。因此,动态行为监控可表示为多维属性的有机结合。
在架构中,事件探测器工作于虚拟机监视器内部,用于监听虚拟机的系统调用、异常调用、中断事件以及资源的访问事件等指标,并将事件存储于事件缓冲区中。当事件缓冲区满时将触发虚拟中断通知Dom0中行为监控功能获取监听的事件,并进行属性之间关联特性的初步构建为大数据关联分析以及模式挖掘提供依据。此外,由于虚拟机内部的控制流和数据流并不陷入虚拟机监视器,因此,无法有效的监控这些事件。本实施例通过虚拟机自省机制将被监控系统内存周期性拷贝至监控模块中,然后利用语义消除模块重构关键内核的控制数据结构,并通过对关键数据结构的可信性、完整性检查,进而检测出异常的数据结构或数据流特征,将这些蛛丝马迹提供给恶意行为挖掘算法,为未知攻击检测提供有效依据和支撑。
本实施例提供的方法,通过构建一种基于SDN架构的恶意行为智能检测框架,采用SDN的数据流监控,和大数据流式处理方式,实现对大规模数据中恶意攻击的过滤,同时利用透明监控机制来有效的获取虚拟机的行为状态来为发现隐藏的恶意行为提供依据,最后利用大数据挖掘技术对监控的数据进行有效分析,解决云计算大规模网络流量下恶意行为实时检测问题。在对网络流进行深度挖掘的基础上,关联分析不同维度上的数据流,在充分挖掘网络流中未知攻击的同时为基于大数据流式计算的恶意行为挖掘方法提供依据,两个模型在功能上相辅相成,互为补充,确保能够有效检测网络中的恶意行为。再通过虚拟机自省机制,利用语义重构技术分析虚拟机内部的进程信息及网络连接信息,实现透明化监控。同时,针对监控的粒度与效率这一矛盾,利用虚拟机的状态保持和回滚机制,解决运行态的动态行为监控面临着监控精度与监控效率之间的矛盾这一问题。
第二实施例
请参照图9,本实施例提供了一种恶意行为实时检测装置900,应用于SDN网络系统中,其包括:
特征库模块910,用于基于包含云平台上的可能攻击方案的恶意行为攻击模型,建立云计算环境下的恶意行为攻击特征库;
检测模块920,用于基于所述恶意行为攻击特征库,实时检测网络中的当前数据流中是否有恶意行为;
拦截模块930,用于在所述当前数据流中有恶意行为时,表征当前存在网络攻击,对所述当前数据流进行拦截。
请参照图10,本实施例中,进一步的,所述检测模块920还可以包括如下单元:
获取单元921,用于获取网络中的当前数据流;
挖掘单元922,用于利用模式生成器挖掘所述当前数据流,获得当前行为特征;
匹配单元923,用于判断所述当前行为特征是否与所述恶意行为攻击特征库中的恶意行为匹配;
表征单元924,用于在所述当前行为特征与所述恶意行为攻击特征库中的恶意行为匹配时,表征所述当前数据流中存在恶意行为。
请参照图11,本实施例中,进一步的,所述恶意行为实时检测装置900还可以包括如下模块:
生成模块940,用于在所述当前数据流中有恶意行为时,生成恶意行为检测结果;
反馈模块950,用于将所述恶意行为检测结果发送给SDN控制器,以使所述SDN控制器将所述恶意行为检测结果反馈给OpenFlow交换机,并使所述OpenFlow交换机能够基于所述恶意行为检测结果,对与所述当前数据流具有相同特征的数据流进行拦截。
综上所述,本发明实施例提供的恶意行为实时检测方法及装置,首先基于包含云平台上的可能攻击方案的恶意行为攻击模型,建立云计算环境下的恶意行为攻击特征库;再基于所述恶意行为攻击特征库,实时检测网络中的当前数据流中是否有恶意行为;最后,在所述当前数据流中有恶意行为时,表征当前存在网络攻击,对所述当前数据流进行拦截。本发明借助SDN集中控制的特性来有效实现数据流的过滤和分析,在此基础上构建一种基于SDN架构的恶意行为检测框架,采用SDN架构进行数据流监控,利用大数据流式处理方式来实现对大规模数据中恶意攻击的过滤,同时利用透明监控机制来有效的获取虚拟机的行为状态来为发现隐藏的恶意行为提供依据,最后利用大数据挖掘技术对监控的数据进行有效分析从而检测出隐藏的恶意行为,能够有效改善目前存在的由于处理瓶颈和网络流量控制问题导致的检测效率低的问题。以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种恶意行为实时检测方法,应用于SDN网络系统中,其特征在于,所述方法包括:
基于包含云平台上的可能攻击方案的恶意行为攻击模型,建立云计算环境下的恶意行为攻击特征库;
基于所述恶意行为攻击特征库,实时检测网络中的当前数据流中是否有恶意行为;
在为是时,表征当前存在网络攻击,对所述当前数据流进行拦截。
2.根据权利要求1所述的方法,其特征在于,基于所述恶意行为攻击特征库,实时检测网络中的当前数据流中是否有恶意行为,包括:
获取网络中的当前数据流;
利用模式生成器挖掘所述当前数据流,获得当前行为特征;
判断所述当前行为特征是否与所述恶意行为攻击特征库中的恶意行为匹配;
其中,在为匹配时,表征所述当前数据流中存在恶意行为。
3.根据权利要求1-2中任一权项所述的方法,其特征在于,在基于所述恶意行为攻击特征库,实时检测网络中的当前数据流中是否有恶意行为之后,所述方法还包括:
在所述当前数据流中有恶意行为时,生成恶意行为检测结果;
将所述恶意行为检测结果发送给SDN控制器,以使所述SDN控制器将所述恶意行为检测结果反馈给OpenFlow交换机,并使所述OpenFlow交换机能够基于所述恶意行为检测结果,对与所述当前数据流具有相同特征的数据流进行拦截。
4.根据权利要求3所述的方法,其特征在于,基于包含云平台上的可能攻击方案的恶意行为攻击模型,建立云计算环境下的恶意行为攻击特征库之前,所述方法还包括:
对已知攻击行为利用Petri-Net网描述攻击路径,并形成所述已知攻击行为的检测规则;
对网络数据进行挖掘和渗透测试,确定可能攻击手段及安全威胁点,进而获得所述可能攻击方案;
将所述已知攻击行为的检测规则及所述可能攻击方案进行合并,获得所述恶意行为攻击模型。
5.根据权利要求1-2中任一权项所述的方法,其特征在于,在基于分析获得的云平台上的可能攻击方案建立云计算环境下的恶意行为攻击特征库之后,所述方法还包括:
基于大数据分析的恶意行为挖掘模型BDAMB,发现系统数据之间的关联关系;
结合日志数据对系统状态的变化进行挖掘,以获取未知攻击特征,并将所述未知攻击特征加入所述恶意行为攻击特征库。
6.根据权利要求1-2中任一权项所述的方法,其特征在于,所述方法还包括:
采用嵌套式滑动窗口遗传算法频繁模式挖掘模型NSWGM并利用滑动窗口技术扫描所述当前数据流,获得当前滑动窗口数据流;
对所述当前滑动窗口数据流进行分块,形成嵌套数据子窗口群;
使用并行遗传算法挖掘每个嵌套数据子窗口中的频繁项集,并合并扫描嵌套子窗口上的块频繁模式,获得当前滑动窗口中的频繁模式。
7.根据权利要求1-2中任一权项所述的方法,其特征在于,所述方法还包括:
以细粒度监控方式,通过虚拟机中事件探测器监听所述虚拟机的系统调用事件,异常调用事件,中断事件及资源访问事件;
将所述系统调用事件,所述异常调用事件,所述中断事件及所述资源访问事件存储在事件缓冲区中;
当所述事件缓冲区满时,触发虚拟中断通知Dom0中的行为监控功能,进而获取监听到所述系统调用事件,所述异常调用事件,所述中断事件及所述资源访问事件;
以粗粒度方式,监控硬件资源的访问事件,其中,所述硬件资源包括:CPU和/或内存。
8.一种恶意行为实时检测装置,应用于SDN网络系统中,其特征在于,所述装置包括:
特征库模块,用于基于包含云平台上的可能攻击方案的恶意行为攻击模型,建立云计算环境下的恶意行为攻击特征库;
检测模块,用于基于所述恶意行为攻击特征库,实时检测网络中的当前数据流中是否有恶意行为;
拦截模块,用于在所述当前数据流中有恶意行为时,表征当前存在网络攻击,对所述当前数据流进行拦截。
9.根据权利要求8所述的装置,其特征在于,所述检测模块包括:
获取单元,用于获取网络中的当前数据流;
挖掘单元,用于利用模式生成器挖掘所述当前数据流,获得当前行为特征;
匹配单元,用于判断所述当前行为特征是否与所述恶意行为攻击特征库中的恶意行为匹配;
表征单元,用于在所述当前行为特征与所述恶意行为攻击特征库中的恶意行为匹配时,表征所述当前数据流中存在恶意行为。
10.根据权利要求8-9中任一权项所述的装置,其特征在于,所述装置还包括:
生成模块,用于在所述当前数据流中有恶意行为时,生成恶意行为检测结果;
反馈模块,用于将所述恶意行为检测结果发送给SDN控制器,以使所述SDN控制器将所述恶意行为检测结果反馈给OpenFlow交换机,并使所述OpenFlow交换机能够基于所述恶意行为检测结果,对与所述当前数据流具有相同特征的数据流进行拦截。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201711362561.6A CN108123939A (zh) | 2017-12-14 | 2017-12-14 | 恶意行为实时检测方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201711362561.6A CN108123939A (zh) | 2017-12-14 | 2017-12-14 | 恶意行为实时检测方法及装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN108123939A true CN108123939A (zh) | 2018-06-05 |
Family
ID=62230100
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201711362561.6A Pending CN108123939A (zh) | 2017-12-14 | 2017-12-14 | 恶意行为实时检测方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN108123939A (zh) |
Cited By (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109800570A (zh) * | 2018-12-29 | 2019-05-24 | 360企业安全技术(珠海)有限公司 | 一种虚拟化平台的安全防护方法及装置 |
CN110276195A (zh) * | 2019-04-25 | 2019-09-24 | 北京邮电大学 | 一种智能设备入侵检测方法、设备及存储介质 |
CN110753064A (zh) * | 2019-10-28 | 2020-02-04 | 中国科学技术大学 | 机器学习和规则匹配融合的安全检测系统 |
CN111431895A (zh) * | 2020-03-20 | 2020-07-17 | 宁波和利时信息安全研究院有限公司 | 系统异常处理方法、装置及系统 |
CN111585979A (zh) * | 2020-04-22 | 2020-08-25 | 广州锦行网络科技有限公司 | 一种基于网络映射的复杂多构网络隔离技术实现方法 |
CN112069501A (zh) * | 2020-11-10 | 2020-12-11 | 杭州海康威视数字技术股份有限公司 | Fpga嵌入式终端设备比特流攻击检测方法、装置及电子设备 |
CN112257062A (zh) * | 2020-12-23 | 2021-01-22 | 北京金睛云华科技有限公司 | 一种基于频繁项集挖掘的沙箱知识库生成方法和装置 |
CN112578694A (zh) * | 2019-09-27 | 2021-03-30 | 西门子股份公司 | 针对一个工业控制器的监测系统、方法、装置和计算机可读介质 |
CN114491282A (zh) * | 2022-03-03 | 2022-05-13 | 哈尔滨市蓝标智能科技有限公司 | 一种基于云计算的异常用户行为分析方法及系统 |
CN115174237A (zh) * | 2022-07-08 | 2022-10-11 | 河北科技大学 | 一种物联网系统恶意流量的检测方法、装置和电子设备 |
CN116155548A (zh) * | 2022-12-22 | 2023-05-23 | 新浪技术(中国)有限公司 | 一种威胁识别方法及系统 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105933301A (zh) * | 2016-04-13 | 2016-09-07 | 重庆邮电大学 | 一种基于sdn实现网络蠕虫集中防控的方法和装置 |
CN106254338A (zh) * | 2016-07-29 | 2016-12-21 | 杭州华三通信技术有限公司 | 报文检测方法以及装置 |
CN106559407A (zh) * | 2015-11-19 | 2017-04-05 | 国网智能电网研究院 | 一种基于sdn的网络流量异常监测系统 |
CN107277039A (zh) * | 2017-07-18 | 2017-10-20 | 河北省科学院应用数学研究所 | 一种网络攻击数据分析及智能处理方法 |
-
2017
- 2017-12-14 CN CN201711362561.6A patent/CN108123939A/zh active Pending
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106559407A (zh) * | 2015-11-19 | 2017-04-05 | 国网智能电网研究院 | 一种基于sdn的网络流量异常监测系统 |
CN105933301A (zh) * | 2016-04-13 | 2016-09-07 | 重庆邮电大学 | 一种基于sdn实现网络蠕虫集中防控的方法和装置 |
CN106254338A (zh) * | 2016-07-29 | 2016-12-21 | 杭州华三通信技术有限公司 | 报文检测方法以及装置 |
CN107277039A (zh) * | 2017-07-18 | 2017-10-20 | 河北省科学院应用数学研究所 | 一种网络攻击数据分析及智能处理方法 |
Cited By (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109800570A (zh) * | 2018-12-29 | 2019-05-24 | 360企业安全技术(珠海)有限公司 | 一种虚拟化平台的安全防护方法及装置 |
CN110276195A (zh) * | 2019-04-25 | 2019-09-24 | 北京邮电大学 | 一种智能设备入侵检测方法、设备及存储介质 |
CN112578694A (zh) * | 2019-09-27 | 2021-03-30 | 西门子股份公司 | 针对一个工业控制器的监测系统、方法、装置和计算机可读介质 |
CN110753064A (zh) * | 2019-10-28 | 2020-02-04 | 中国科学技术大学 | 机器学习和规则匹配融合的安全检测系统 |
CN110753064B (zh) * | 2019-10-28 | 2021-05-07 | 中国科学技术大学 | 机器学习和规则匹配融合的安全检测系统 |
CN111431895A (zh) * | 2020-03-20 | 2020-07-17 | 宁波和利时信息安全研究院有限公司 | 系统异常处理方法、装置及系统 |
CN111585979B (zh) * | 2020-04-22 | 2020-12-18 | 广州锦行网络科技有限公司 | 一种基于网络映射的复杂多构网络隔离技术实现方法 |
CN111585979A (zh) * | 2020-04-22 | 2020-08-25 | 广州锦行网络科技有限公司 | 一种基于网络映射的复杂多构网络隔离技术实现方法 |
CN112069501A (zh) * | 2020-11-10 | 2020-12-11 | 杭州海康威视数字技术股份有限公司 | Fpga嵌入式终端设备比特流攻击检测方法、装置及电子设备 |
CN112257062A (zh) * | 2020-12-23 | 2021-01-22 | 北京金睛云华科技有限公司 | 一种基于频繁项集挖掘的沙箱知识库生成方法和装置 |
CN114491282A (zh) * | 2022-03-03 | 2022-05-13 | 哈尔滨市蓝标智能科技有限公司 | 一种基于云计算的异常用户行为分析方法及系统 |
CN114491282B (zh) * | 2022-03-03 | 2022-10-04 | 中软数智信息技术(武汉)有限公司 | 一种基于云计算的异常用户行为分析方法及系统 |
CN115174237A (zh) * | 2022-07-08 | 2022-10-11 | 河北科技大学 | 一种物联网系统恶意流量的检测方法、装置和电子设备 |
CN116155548A (zh) * | 2022-12-22 | 2023-05-23 | 新浪技术(中国)有限公司 | 一种威胁识别方法及系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108123939A (zh) | 恶意行为实时检测方法及装置 | |
US11997113B2 (en) | Treating data flows differently based on level of interest | |
US11336669B2 (en) | Artificial intelligence cyber security analyst | |
US10476749B2 (en) | Graph-based fusing of heterogeneous alerts | |
CN102088379B (zh) | 基于沙箱技术的客户端蜜罐网页恶意代码检测方法与装置 | |
CN112787992B (zh) | 一种敏感数据的检测与防护的方法、装置、设备和介质 | |
CN111654489B (zh) | 一种网络安全态势感知方法、装置、设备及存储介质 | |
US10476752B2 (en) | Blue print graphs for fusing of heterogeneous alerts | |
CN102111420A (zh) | 基于动态云火墙联动的智能nips架构 | |
CN110213226A (zh) | 基于风险全要素辨识关联的网络攻击场景重建方法及系统 | |
CN102790706A (zh) | 海量事件安全分析方法及装置 | |
CN115225386B (zh) | 基于事件序列关联融合的业务识别与风险分析方法及系统 | |
CN107315952A (zh) | 用于确定应用程序可疑行为的方法和装置 | |
CN113965341A (zh) | 一种基于软件定义网络的入侵检测系统 | |
CN107896229A (zh) | 一种计算机网络异常检测的方法、系统及移动终端 | |
CN115001934A (zh) | 一种工控安全风险分析系统及方法 | |
TianYu et al. | Research on security threat assessment for power iot terminal based on knowledge graph | |
CN107835153B (zh) | 一种脆弱性态势数据融合方法 | |
Sen et al. | On holistic multi-step cyberattack detection via a graph-based correlation approach | |
Wasniowski | Multi-sensor agent-based intrusion detection system | |
EP4262144A1 (en) | Network threat processing method and communication apparatus | |
CN108427882A (zh) | 基于行为特征抽取的安卓软件动态分析检测法 | |
Zhang et al. | Design and implementation of a network based intrusion detection systems | |
Asaolu | Leveraging Deep Learning-Enabled Intrusion Detection Systems for a Cloud Environment | |
Bu | Network security based on k-means clustering algorithm in data mining research |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20180605 |