CN108718298A - 一种恶意外连流量检测方法及装置 - Google Patents
一种恶意外连流量检测方法及装置 Download PDFInfo
- Publication number
- CN108718298A CN108718298A CN201810401352.6A CN201810401352A CN108718298A CN 108718298 A CN108718298 A CN 108718298A CN 201810401352 A CN201810401352 A CN 201810401352A CN 108718298 A CN108718298 A CN 108718298A
- Authority
- CN
- China
- Prior art keywords
- malice
- similarity
- matrix
- flow
- outside
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例公开了一种恶意外连流量检测方法及装置,方法包括:根据若干个恶意样本流量计算得到相似度矩阵;根据层次聚类算法和所述相似度矩阵将所述若干个恶意样本流量划分为各个类;根据各个类生成对应的恶意外连流量模板;分别计算待检测流量与各个恶意外连流量模板的相似度,并根据计算得到的相似度和相似度阈值,确定所述待检测流量是否为恶意外连流量。本发明实施例通过计算相似度矩阵生成恶意外连流量模板,既能够获取多种恶意外连流量的特征,又方便后续对待检测流量进行计算和匹配,以有效区分恶意外连流量与普通白流量,大大减少了误告。
Description
技术领域
本发明实施例涉及网络安全技术领域,具体涉及一种恶意外连流量检测方法及装置。
背景技术
随着网络技术的发展,越来越多的黑客利用远程控制木马等手段远程操纵被控主机,为了向远程被控主机发送命令,被控主机一定会有与外部服务器的连接过程。该恶意外连行为产生的流量即为恶意外连流量。
现有检测恶意外连流量的方法主要包括两种:第一种为根据黑名单过滤恶意域名,即根据安全从业者整理的恶意网站列表,直接将访问恶意网站的流量判黑;第二种为基于特征检测恶意外连流量,即通过安全从业人员分析提取恶意外连流量特征,根据特征匹配恶意外连流量。
在实现本发明实施例的过程中,发明人发现现有的基于黑名单过滤的方法只能识别连接已知恶意网站时的恶意外连流量,对于域名变化没有任何感知;基于特征检测的方法需要安全从业人员逐一分析样本,需要消耗较大的人力,并且难以检测变种的恶意外连流量。
发明内容
由于现有方法存在上述问题,本发明实施例提出一种恶意外连流量检测方法及装置。
第一方面,本发明实施例提出一种恶意外连流量检测方法,包括:
根据若干个恶意样本流量计算得到相似度矩阵;
根据层次聚类算法和所述相似度矩阵将所述若干个恶意样本流量划分为各个类;
根据各个类生成对应的恶意外连流量模板;
分别计算待检测流量与各个恶意外连流量模板的相似度,并根据计算得到的相似度和相似度阈值,确定所述待检测流量是否为恶意外连流量。
可选地,所述根据若干个恶意样本流量计算得到相似度矩阵,具体包括:
将各恶意样本流量划分为若干个预设字段,根据预设字符对每个字段的目标字符进行泛化处理,得到各处理后流量;
根据恶意样本的数量建立矩阵,计算矩阵中每个恶意样本流量与对应的恶意样本流量的相似度,得到相似度矩阵。
可选地,所述根据恶意样本的数量建立矩阵,计算矩阵中每个恶意样本流量与对应的恶意样本流量的相似度,得到相似度矩阵,具体包括:
根据恶意样本的数量建立矩阵,计算矩阵中每个恶意样本流量与对应的恶意样本流量的若干个局部相似度和各局部相似度对应的动态权重;其中,所述动态权重根据预设字段的特异性计算得到;
根据若干个局部相似度和对应的动态权重,计算得到每个恶意样本流量与对应的恶意样本流量的相似度,得到计算度矩阵。
可选地,所述若干个局部相似度包括:统一资源定位符URL相似度、URL级数相似度、URL参数相似度、用户代理user-agent相似度、请求头相似度、目的IP相似度、请求方法相似度和URL后缀相似度。
可选地,所述分别计算待检测流量与各个恶意外连流量模板的相似度,并根据计算得到的相似度和相似度阈值,确定所述待检测流量是否为恶意外连流量,具体包括:
分别计算待检测流量与各个恶意外连流量模板的相似度,获取相似度值最大的目标相似度对应的目标恶意外连流量模板,若判断获知所述目标相似度大于相似度阈值,则确定所述待检测流量为所述目标恶意外连流量模板对应的恶意外连流量。
第二方面,本发明实施例还提出一种恶意外连流量检测装置,包括:
矩阵计算模块,用于根据若干个恶意样本流量计算得到相似度矩阵;
流量划分模块,用于根据层次聚类算法和所述相似度矩阵将所述若干个恶意样本流量划分为各个类;
模板生成模块,用于根据各个类生成对应的恶意外连流量模板;
流量判断模块,用于分别计算待检测流量与各个恶意外连流量模板的相似度,并根据计算得到的相似度和相似度阈值,确定所述待检测流量是否为恶意外连流量。
可选地,所述矩阵计算模块具体包括:
泛化处理单元,用于将各恶意样本流量划分为若干个预设字段,根据预设字符对每个字段的目标字符进行泛化处理,得到各处理后流量;
矩阵计算单元,用于根据恶意样本的数量建立矩阵,计算矩阵中每个恶意样本流量与对应的恶意样本流量的相似度,得到相似度矩阵。
可选地,所述矩阵计算单元具体用于:
根据恶意样本的数量建立矩阵,计算矩阵中每个恶意样本流量与对应的恶意样本流量的若干个局部相似度和各局部相似度对应的动态权重;其中,所述动态权重根据预设字段的特异性计算得到;
根据若干个局部相似度和对应的动态权重,计算得到每个恶意样本流量与对应的恶意样本流量的相似度,得到计算度矩阵。
可选地,所述若干个局部相似度包括:统一资源定位符URL相似度、URL级数相似度、URL参数相似度、用户代理user-agent相似度、请求头相似度、目的IP相似度、请求方法相似度和URL后缀相似度。
可选地,所述流量判断模块具体用于:
分别计算待检测流量与各个恶意外连流量模板的相似度,获取相似度值最大的目标相似度对应的目标恶意外连流量模板,若判断获知所述目标相似度大于相似度阈值,则确定所述待检测流量为所述目标恶意外连流量模板对应的恶意外连流量。
第三方面,本发明实施例还提出一种电子设备,包括:
至少一个处理器;以及
与所述处理器通信连接的至少一个存储器,其中:
所述存储器存储有可被所述处理器执行的程序指令,所述处理器调用所述程序指令能够执行上述方法。
第四方面,本发明实施例还提出一种非暂态计算机可读存储介质,所述非暂态计算机可读存储介质存储计算机程序,所述计算机程序使所述计算机执行上述方法。
由上述技术方案可知,本发明实施例通过计算相似度矩阵生成恶意外连流量模板,既能够获取多种恶意外连流量的特征,又方便后续对待检测流量进行计算和匹配,以有效区分恶意外连流量与普通白流量,大大减少了误告。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些图获得其他的附图。
图1为本发明一实施例提供的一种恶意外连流量检测方法的流程示意图;
图2为本发明一实施例提供的一种恶意外连流量模板生成方法的流程示意图;
图3为本发明一实施例提供的一种恶意外连流量模板匹配方法的流程示意图;
图4为本发明一实施例提供的一种恶意外连流量检测装置的结构示意图;
图5为本发明一实施例提供的电子设备的逻辑框图。
具体实施方式
下面结合附图,对本发明的具体实施方式作进一步描述。以下实施例仅用于更加清楚地说明本发明的技术方案,而不能以此来限制本发明的保护范围。
图1示出了本实施例提供的一种恶意外连流量检测方法的流程示意图,包括:
S101、根据若干个恶意样本流量计算得到相似度矩阵。
举例来说,有10个恶意样本流量,则对应的相似度矩阵为10×10的矩阵A,其中第i行第j列的矩阵元素A[i][j]为第i个恶意样本流量和第j个恶意样本流量的相似度。
S102、根据层次聚类算法和所述相似度矩阵将所述若干个恶意样本流量划分为各个类。
具体地,通过层次聚类算法对相似度矩阵中各恶意样本流量之间的相似度进行聚类分析,将各恶意样本流量划分为多个不同的类,每个类表示一种恶意流量类型。
根据计算的相似度矩阵,利用层次聚类算法将请求头划分为若干类。每一类中的请求头都具有相似的结构,是来自同一恶意家族的请求。
S103、根据各个类生成对应的恶意外连流量模板。
每个恶意外连流量模板对应一个步骤S102得到的类,每个恶意外连流量模板中包括多个恶意样本流量。
S104、分别计算待检测流量与各个恶意外连流量模板的相似度,并根据计算得到的相似度和相似度阈值,确定所述待检测流量是否为恶意外连流量。
其中,所述恶意外连流量表示受害者的被控主机与远程黑客服务器通信时产生的流量。
与现有技术相比,本实施例利用流量特异性计算流量间相似度并生成恶意外连流量模板,通过模板匹配,能够检测出新出现的恶意域名,并能检测出变种的恶意外连流量。本实施例提供的的恶意外连流量模板是自动生成的,可以免去安全从业者的流量特征提取过程,从而减少人力。
本实施例通过计算相似度矩阵生成恶意外连流量模板,既能够获取多种恶意外连流量的特征,又方便后续对待检测流量进行计算和匹配,以有效区分恶意外连流量与普通白流量,大大减少了误告。
进一步地,在上述方法实施例的基础上,S101具体包括:
S1011、将各恶意样本流量划分为若干个预设字段,根据预设字符对每个字段的目标字符进行泛化处理,得到各处理后流量。
S1012、根据恶意样本的数量建立矩阵,计算矩阵中每个恶意样本流量与对应的恶意样本流量的相似度,得到相似度矩阵。
其中,可以将各恶意样本流量划分为URL、user-agent、host、content-length等预设字段。
对于URL中的每一级路径和HTTP请求头的每一个字段进行泛化处理,将数字部分、字母部分、字母数字混合部分、十六进制部分、base64部分分别用特殊字符替换,得到处理后流量。
进一步地,在上述方法实施例的基础上,S1012具体包括:
根据恶意样本的数量建立矩阵,计算矩阵中每个恶意样本流量与对应的恶意样本流量的若干个局部相似度和各局部相似度对应的动态权重;其中,所述动态权重根据预设字段的特异性计算得到;
根据若干个局部相似度和对应的动态权重,计算得到每个恶意样本流量与对应的恶意样本流量的相似度,得到计算度矩阵。
其中,所述若干个局部相似度包括:统一资源定位符URL相似度、URL级数相似度、URL参数相似度、用户代理user-agent相似度、请求头相似度、目的IP相似度、请求方法相似度和URL后缀相似度。
具体地,局部相似度和对应权重计算细节为:
URL相似度:计算两个URL之间的归一化编辑距离d,相似度=1-d;URL特异性=URL路径级数;权重=预设权重+URL特异性。
URL级数相似度:设两个URL级数分别为len1和len2,则,相似度=min(len1,len2)/max(len1,len2),权重=预设权重+URL特异性。
URL参数相似度:相似度=0.5*(URL关键字的jaccard相似度+参数长度比值*参数类型是否相同(0或1));URL参数特异性=参数key个数/2;权重=预设权重+URL参数特异性。
user-agent相似度:相似度=1-归一化编辑距离,user-agent特异性=abs(user-agent长度-80)/10;权重=预设权重+user-agent特异性。
其他请求头相似度:相似度=0.5*(其他请求头jaccard相似度+其他请求头长度*其他请求头出现顺序是否一致(0或1)),其他请求头特异性=abs(其他请求头数量-7);权重=预设权重+其他请求头特异性。
目的IP相似度:如果比较的目的IP在同一个C段则相似度为1,否则为0。IP特异性=预设值,权重=预设权重+IP特异性。
请求方法相似度:如果两个待比较流量的请求方法相同,则相似度为1,否则为0。请求方法特异性=预设值,权重=预设权重+请求方法特异性。
URL后缀相似度:比较URL最后文件的后缀类型,相同为1,否则为0。URL后缀特异性=max(0,(URL后缀长度-3)/2)权重=预设权重+URL后缀特异性。
具体地,根据流量的特异性计算恶意外连流量间的相似度:先计算8个局部相似度,再计算每部分相似度的动态权重。其中动态权重是根据局部请求头的特异性计算的。其思路是恶意外连流量中请求头字段的特异性越高,则恶意外连流量特征越明显,占有的权重就应该越大。最终的相似度是局部相似度的加权平均值。
进一步地,在上述方法实施例的基础上,S104具体包括:
分别计算待检测流量与各个恶意外连流量模板的相似度,获取相似度值最大的目标相似度对应的目标恶意外连流量模板,若判断获知所述目标相似度大于相似度阈值,则确定所述待检测流量为所述目标恶意外连流量模板对应的恶意外连流量。
具体来说,本实施例主要包括恶意HTTP外连流量模板生成和未知HTTP流量检测两个部分,两个部分的流程分别如图2和图3所示。
恶意外连流量模板生成过程如图2所示,主要包括请求头字段提取、泛化、基于流量特异性计算相似度、层次聚类和模板生成五个部分。
提取请求头字段:将HTTP流量划分为URL、user-agent、host、content-length等字段。
泛化:对于URL中的每一级路径和HTTP请求头的每一个字段进行泛化处理。将数字部分、字母部分、字母数字混合部分、十六进制部分、base64部分分别用特殊字符替换。
基于流量特异性计算相似度:根据流量的特异性计算恶意外连流量间的相似度。先计算8个局部相似度,再计算每部分相似度的动态权重。其中动态权重是根据局部请求头的特异性计算的。其思路是恶意外连流量中请求头字段的特异性越高,则恶意外连流量特征越明显,占有的权重就应该越大。最终的相似度是局部相似度的加权平均值。
层次聚类:根据计算的相似度矩阵,利用层次聚类算法将请求头划分为若干类。每一类中的请求头都具有相似的结构,是来自同一恶意家族的请求。
获取恶意外连流量模板:对每一类,提取请求头中所有字段集合的并集作为恶意外连流量模板。并在恶意外连流量模板上标注恶意家族标签。
恶意外连流量的检测过程如图3所示,包括待测流量请求头字段提取,泛化,模板匹配,判别流量性质四个部分。
请求头字段提取:与模板生成过程中的请求头字段提取部分相同。将HTTP流量划分为URL、user-agent、host、content-length等字段。
泛化:与模板生成过程中的泛化过程相同。
模板匹配:计算待检测请求头与恶意外连流量模板的8个局部相似度和相应的特异性以及权重。最后加权平均的相似度即为待测流量与模板匹配的相似度。具体局部相似度的计算与模板生成过程中相似度的计算基本一致,唯一的区别是,模板中同一个请求头字段可以有多个值,在计算局部相似度时取其中相似度最高的值。
判别流量性质:如果未知流量与模板的相似度大于预设值,则认为未知流量为恶意外连流量。其所属的恶意家族与匹配到模板的恶意家族相同。
本实施例通过泛化过程,去除了相同恶意家族流量间由于随机值产生的差异,提高了系统对变种恶意外连流量的鲁棒性;通过划分8个局部相似度,有效的提取了恶意外连流量的特征;通过请求头局部特异性计算权重,将恶意特征更明显的部分赋予更高的权重可以有效的区分恶意外连流量与普通白流量,大大减少了误告。
图4示出了本实施例提供的一种恶意外连流量检测装置的结构示意图,所述装置包括:
矩阵计算模块401用于根据若干个恶意样本流量计算得到相似度矩阵;
流量划分模块402用于根据层次聚类算法和所述相似度矩阵将所述若干个恶意样本流量划分为各个类;
模板生成模块403用于根据各个类生成对应的恶意外连流量模板;
流量判断模块404用于分别计算待检测流量与各个恶意外连流量模板的相似度,并根据计算得到的相似度和相似度阈值,确定所述待检测流量是否为恶意外连流量。
具体地,矩阵计算模块401根据若干个恶意样本流量计算得到相似度矩阵;流量划分模块402根据层次聚类算法和所述相似度矩阵将所述若干个恶意样本流量划分为各个类;模板生成模块403根据各个类生成对应的恶意外连流量模板;流量判断模块404分别计算待检测流量与各个恶意外连流量模板的相似度,并根据计算得到的相似度和相似度阈值,确定所述待检测流量是否为恶意外连流量。
本实施例通过计算相似度矩阵生成恶意外连流量模板,既能够获取多种恶意外连流量的特征,又方便后续对待检测流量进行计算和匹配,以有效区分恶意外连流量与普通白流量,大大减少了误告。
进一步地,在上述装置实施例的基础上,所述矩阵计算模块401具体包括:
泛化处理单元,用于将各恶意样本流量划分为若干个预设字段,根据预设字符对每个字段的目标字符进行泛化处理,得到各处理后流量;
矩阵计算单元,用于根据恶意样本的数量建立矩阵,计算矩阵中每个恶意样本流量与对应的恶意样本流量的相似度,得到相似度矩阵。
进一步地,在上述装置实施例的基础上,所述矩阵计算单元具体用于:
根据恶意样本的数量建立矩阵,计算矩阵中每个恶意样本流量与对应的恶意样本流量的若干个局部相似度和各局部相似度对应的动态权重;其中,所述动态权重根据预设字段的特异性计算得到;
根据若干个局部相似度和对应的动态权重,计算得到每个恶意样本流量与对应的恶意样本流量的相似度,得到计算度矩阵。
进一步地,在上述装置实施例的基础上,所述若干个局部相似度包括:统一资源定位符URL相似度、URL级数相似度、URL参数相似度、用户代理user-agent相似度、请求头相似度、目的IP相似度、请求方法相似度和URL后缀相似度。
进一步地,在上述装置实施例的基础上,所述流量判断模块404具体用于:
分别计算待检测流量与各个恶意外连流量模板的相似度,获取相似度值最大的目标相似度对应的目标恶意外连流量模板,若判断获知所述目标相似度大于相似度阈值,则确定所述待检测流量为所述目标恶意外连流量模板对应的恶意外连流量。
本实施例所述的恶意外连流量检测装置可以用于执行上述方法实施例,其原理和技术效果类似,此处不再赘述。
参照图5,所述电子设备,包括:处理器(processor)501、存储器(memory)502和总线503;
其中,
所述处理器501和存储器502通过所述总线503完成相互间的通信;
所述处理器501用于调用所述存储器502中的程序指令,以执行上述各方法实施例所提供的方法。
本实施例公开一种计算机程序产品,所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序,所述计算机程序包括程序指令,当所述程序指令被计算机执行时,计算机能够执行上述各方法实施例所提供的方法。
本实施例提供一种非暂态计算机可读存储介质,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令使所述计算机执行上述各方法实施例所提供的方法。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (12)
1.一种恶意外连流量检测方法,其特征在于,包括:
根据若干个恶意样本流量计算得到相似度矩阵;
根据层次聚类算法和所述相似度矩阵将所述若干个恶意样本流量划分为各个类;
根据各个类生成对应的恶意外连流量模板;
分别计算待检测流量与各个恶意外连流量模板的相似度,并根据计算得到的相似度和相似度阈值,确定所述待检测流量是否为恶意外连流量。
2.根据权利要求1所述的方法,其特征在于,所述根据若干个恶意样本流量计算得到相似度矩阵,具体包括:
将各恶意样本流量划分为若干个预设字段,根据预设字符对每个字段的目标字符进行泛化处理,得到各处理后流量;
根据恶意样本的数量建立矩阵,计算矩阵中每个恶意样本流量与对应的恶意样本流量的相似度,得到相似度矩阵。
3.根据权利要求2所述的方法,其特征在于,所述根据恶意样本的数量建立矩阵,计算矩阵中每个恶意样本流量与对应的恶意样本流量的相似度,得到相似度矩阵,具体包括:
根据恶意样本的数量建立矩阵,计算矩阵中每个恶意样本流量与对应的恶意样本流量的若干个局部相似度和各局部相似度对应的动态权重;其中,所述动态权重根据预设字段的特异性计算得到;
根据若干个局部相似度和对应的动态权重,计算得到每个恶意样本流量与对应的恶意样本流量的相似度,得到计算度矩阵。
4.根据权利要求3所述的方法,其特征在于,所述若干个局部相似度包括:统一资源定位符URL相似度、URL级数相似度、URL参数相似度、用户代理user-agent相似度、请求头相似度、目的IP相似度、请求方法相似度和URL后缀相似度。
5.根据权利要求1-4所述的方法,其特征在于,所述分别计算待检测流量与各个恶意外连流量模板的相似度,并根据计算得到的相似度和相似度阈值,确定所述待检测流量是否为恶意外连流量,具体包括:
分别计算待检测流量与各个恶意外连流量模板的相似度,获取相似度值最大的目标相似度对应的目标恶意外连流量模板,若判断获知所述目标相似度大于相似度阈值,则确定所述待检测流量为所述目标恶意外连流量模板对应的恶意外连流量。
6.一种恶意外连流量检测装置,其特征在于,包括:
矩阵计算模块,用于根据若干个恶意样本流量计算得到相似度矩阵;
流量划分模块,用于根据层次聚类算法和所述相似度矩阵将所述若干个恶意样本流量划分为各个类;
模板生成模块,用于根据各个类生成对应的恶意外连流量模板;
流量判断模块,用于分别计算待检测流量与各个恶意外连流量模板的相似度,并根据计算得到的相似度和相似度阈值,确定所述待检测流量是否为恶意外连流量。
7.根据权利要求6所述的装置,其特征在于,所述矩阵计算模块具体包括:
泛化处理单元,用于将各恶意样本流量划分为若干个预设字段,根据预设字符对每个字段的目标字符进行泛化处理,得到各处理后流量;
矩阵计算单元,用于根据恶意样本的数量建立矩阵,计算矩阵中每个恶意样本流量与对应的恶意样本流量的相似度,得到相似度矩阵。
8.根据权利要求7所述的装置,其特征在于,所述矩阵计算单元具体用于:
根据恶意样本的数量建立矩阵,计算矩阵中每个恶意样本流量与对应的恶意样本流量的若干个局部相似度和各局部相似度对应的动态权重;其中,所述动态权重根据预设字段的特异性计算得到;
根据若干个局部相似度和对应的动态权重,计算得到每个恶意样本流量与对应的恶意样本流量的相似度,得到计算度矩阵。
9.根据权利要求8所述的装置,其特征在于,所述若干个局部相似度包括:统一资源定位符URL相似度、URL级数相似度、URL参数相似度、用户代理user-agent相似度、请求头相似度、目的IP相似度、请求方法相似度和URL后缀相似度。
10.根据权利要求6-9任一项所述的装置,其特征在于,所述流量判断模块具体用于:
分别计算待检测流量与各个恶意外连流量模板的相似度,获取相似度值最大的目标相似度对应的目标恶意外连流量模板,若判断获知所述目标相似度大于相似度阈值,则确定所述待检测流量为所述目标恶意外连流量模板对应的恶意外连流量。
11.一种电子设备,其特征在于,包括:
至少一个处理器;以及
与所述处理器通信连接的至少一个存储器,其中:
所述存储器存储有可被所述处理器执行的程序指令,所述处理器调用所述程序指令能够执行如权利要求1至5任一所述的方法。
12.一种非暂态计算机可读存储介质,其特征在于,所述非暂态计算机可读存储介质存储计算机程序,所述计算机程序使所述计算机执行如权利要求1至5任一所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810401352.6A CN108718298B (zh) | 2018-04-28 | 2018-04-28 | 一种恶意外连流量检测方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810401352.6A CN108718298B (zh) | 2018-04-28 | 2018-04-28 | 一种恶意外连流量检测方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN108718298A true CN108718298A (zh) | 2018-10-30 |
CN108718298B CN108718298B (zh) | 2021-05-25 |
Family
ID=63899386
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201810401352.6A Active CN108718298B (zh) | 2018-04-28 | 2018-04-28 | 一种恶意外连流量检测方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN108718298B (zh) |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109600365A (zh) * | 2018-12-04 | 2019-04-09 | 沈阳安信合科技有限公司 | 基于电力网络iec规约的基因相似性入侵检测方法 |
CN109960729A (zh) * | 2019-03-28 | 2019-07-02 | 国家计算机网络与信息安全管理中心 | Http恶意流量的检测方法及系统 |
CN110120948A (zh) * | 2019-05-06 | 2019-08-13 | 四川英得赛克科技有限公司 | 基于无线和有线数据流相似性分析的非法外联监测方法 |
CN111556042A (zh) * | 2020-04-23 | 2020-08-18 | 杭州安恒信息技术股份有限公司 | 恶意url的检测方法、装置、计算机设备和存储介质 |
CN111935108A (zh) * | 2020-07-24 | 2020-11-13 | 杭州安恒信息技术股份有限公司 | 云数据安全访问控制方法、装置、电子装置及存储介质 |
CN114124563A (zh) * | 2021-12-02 | 2022-03-01 | 湖北天融信网络安全技术有限公司 | 一种异常流量检测方法、装置、电子设备及存储介质 |
CN114257444A (zh) * | 2021-12-20 | 2022-03-29 | 奇安信科技集团股份有限公司 | 一种可疑外连的检测方法及装置 |
CN115865492A (zh) * | 2022-11-30 | 2023-03-28 | 四川大学 | 一种基于相似度指向的变种流量生成方法 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20150294052A1 (en) * | 2014-04-14 | 2015-10-15 | Oracle International Corporation | Anomaly detection using tripoint arbitration |
CN105095281A (zh) * | 2014-05-13 | 2015-11-25 | 南京理工大学 | 一种基于日志挖掘的网站分类目录优化分析方法 |
CN106446676A (zh) * | 2016-08-30 | 2017-02-22 | 北京奇虎科技有限公司 | Pe文件的处理方法及装置 |
CN107426003A (zh) * | 2017-05-02 | 2017-12-01 | 华为技术有限公司 | 一种故障检测方法及装置 |
CN107436933A (zh) * | 2017-07-20 | 2017-12-05 | 广州慧扬健康科技有限公司 | 用于病历档案整理的层次聚类系统 |
-
2018
- 2018-04-28 CN CN201810401352.6A patent/CN108718298B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20150294052A1 (en) * | 2014-04-14 | 2015-10-15 | Oracle International Corporation | Anomaly detection using tripoint arbitration |
CN105095281A (zh) * | 2014-05-13 | 2015-11-25 | 南京理工大学 | 一种基于日志挖掘的网站分类目录优化分析方法 |
CN106446676A (zh) * | 2016-08-30 | 2017-02-22 | 北京奇虎科技有限公司 | Pe文件的处理方法及装置 |
CN107426003A (zh) * | 2017-05-02 | 2017-12-01 | 华为技术有限公司 | 一种故障检测方法及装置 |
CN107436933A (zh) * | 2017-07-20 | 2017-12-05 | 广州慧扬健康科技有限公司 | 用于病历档案整理的层次聚类系统 |
Cited By (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109600365A (zh) * | 2018-12-04 | 2019-04-09 | 沈阳安信合科技有限公司 | 基于电力网络iec规约的基因相似性入侵检测方法 |
CN109960729A (zh) * | 2019-03-28 | 2019-07-02 | 国家计算机网络与信息安全管理中心 | Http恶意流量的检测方法及系统 |
CN109960729B (zh) * | 2019-03-28 | 2022-01-18 | 国家计算机网络与信息安全管理中心 | Http恶意流量的检测方法及系统 |
CN110120948A (zh) * | 2019-05-06 | 2019-08-13 | 四川英得赛克科技有限公司 | 基于无线和有线数据流相似性分析的非法外联监测方法 |
CN111556042A (zh) * | 2020-04-23 | 2020-08-18 | 杭州安恒信息技术股份有限公司 | 恶意url的检测方法、装置、计算机设备和存储介质 |
CN111556042B (zh) * | 2020-04-23 | 2022-12-20 | 杭州安恒信息技术股份有限公司 | 恶意url的检测方法、装置、计算机设备和存储介质 |
CN111935108A (zh) * | 2020-07-24 | 2020-11-13 | 杭州安恒信息技术股份有限公司 | 云数据安全访问控制方法、装置、电子装置及存储介质 |
CN114124563A (zh) * | 2021-12-02 | 2022-03-01 | 湖北天融信网络安全技术有限公司 | 一种异常流量检测方法、装置、电子设备及存储介质 |
CN114124563B (zh) * | 2021-12-02 | 2024-03-15 | 湖北天融信网络安全技术有限公司 | 一种异常流量检测方法、装置、电子设备及存储介质 |
CN114257444A (zh) * | 2021-12-20 | 2022-03-29 | 奇安信科技集团股份有限公司 | 一种可疑外连的检测方法及装置 |
CN115865492A (zh) * | 2022-11-30 | 2023-03-28 | 四川大学 | 一种基于相似度指向的变种流量生成方法 |
CN115865492B (zh) * | 2022-11-30 | 2024-02-20 | 四川大学 | 一种基于相似度指向的变种流量生成方法 |
Also Published As
Publication number | Publication date |
---|---|
CN108718298B (zh) | 2021-05-25 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108718298A (zh) | 一种恶意外连流量检测方法及装置 | |
US10721244B2 (en) | Traffic feature information extraction method, traffic feature information extraction device, and traffic feature information extraction program | |
CN103782303B (zh) | 对于恶意过程的基于非签名的检测的系统和方法 | |
EP2725512A1 (en) | System and method for malware detection using multi-dimensional feature clustering | |
CN107819783A (zh) | 一种基于威胁情报的网络安全检测方法及系统 | |
CN108768943A (zh) | 一种检测异常账号的方法、装置及服务器 | |
CN110099059A (zh) | 一种域名识别方法、装置及存储介质 | |
CN110351280A (zh) | 一种威胁情报提取的方法、系统、设备及可读存储介质 | |
CN107408181A (zh) | 恶意软件感染终端的检测装置、恶意软件感染终端的检测系统、恶意软件感染终端的检测方法以及恶意软件感染终端的检测程序 | |
CN106973047A (zh) | 一种异常流量检测方法和装置 | |
CN106549980A (zh) | 一种恶意c&c服务器确定方法及装置 | |
CN110213208A (zh) | 一种处理请求的方法和装置以及存储介质 | |
CN112769838B (zh) | 访问用户过滤方法、装置、设备和存储介质 | |
WO2018066221A1 (ja) | 分類装置、分類方法及び分類プログラム | |
CN108600172A (zh) | 撞库攻击检测方法、装置、设备及计算机可读存储介质 | |
CN113706100B (zh) | 配电网物联终端设备实时探测识别方法与系统 | |
CN112437062B (zh) | 一种icmp隧道的检测方法、装置、存储介质和电子设备 | |
CN110213255A (zh) | 一种对主机进行木马检测的方法、装置及电子设备 | |
CN114338064B (zh) | 识别网络流量类型的方法、装置、系统、设备和存储介质 | |
CN105100023B (zh) | 数据包特征提取方法及装置 | |
CN106713335A (zh) | 恶意软件的识别方法及装置 | |
CN107231383B (zh) | Cc攻击的检测方法及装置 | |
US8910281B1 (en) | Identifying malware sources using phishing kit templates | |
CN111049784A (zh) | 一种网络攻击的检测方法、装置、设备及存储介质 | |
Eldos et al. | On the KDD'99 Dataset: Statistical Analysis for Feature Selection |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
CP03 | Change of name, title or address | ||
CP03 | Change of name, title or address |
Address after: Room 332, 3 / F, Building 102, 28 xinjiekouwei street, Xicheng District, Beijing 100088 Patentee after: Qianxin Technology Group Co.,Ltd. Address before: 100015 15, 17 floor 1701-26, 3 building, 10 Jiuxianqiao Road, Chaoyang District, Beijing. Patentee before: Beijing Qi'anxin Technology Co.,Ltd. |