CN110858837A - 一种网络管控方法、装置以及电子设备 - Google Patents
一种网络管控方法、装置以及电子设备 Download PDFInfo
- Publication number
- CN110858837A CN110858837A CN201810971524.3A CN201810971524A CN110858837A CN 110858837 A CN110858837 A CN 110858837A CN 201810971524 A CN201810971524 A CN 201810971524A CN 110858837 A CN110858837 A CN 110858837A
- Authority
- CN
- China
- Prior art keywords
- flow
- picture
- network
- traffic
- picture stream
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
- H04L67/025—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP] for remote control or remote monitoring of applications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/08—Protocols specially adapted for terminal emulation, e.g. Telnet
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请公开了一种网络管控方法、装置以及电子设备,该方法包括:采集网络流量;提取所述网络流量中的图片流;基于所述图片流的特征信息,识别出异常图片流;识别与所述异常图片流对应的远程监控行为。本申请实施例将识别异常远控行为的过程与异常图片流的识别过程相关联,以达到网络管控目的,相较于现有技术更具有普适性,且针对远程监控行为的识别成功率更高。
Description
技术领域
本申请涉及网络技术领域,具体涉及一种网络管控方法。本申请同时涉及一种网络管控装置以及一种电子设备。
背景技术
远控是指网络上的一台终端(主控端)利用远程控制软件远距离控制另一台终端(被控端)的技术,其广泛应用于远程办公、远程教育、远程指挥等多种应用场合。
然而,远控技术会被黑客利用进行网络攻击,例如常见的APT攻击,其特征在于发动攻击之前利用如钓鱼员工等信息收集方式对攻击对象的业务流程和目标系统进行精确的信息收集,然后利用远控技术对攻击对象进行长期持续性攻击。类似的将远控技术运用在非正常网络应用环境中的现象称为异常远控行为。
由于异常远控行为对被控端具有较大的危害性,因此,对网络中的异常远控行为进行识别是网络安全建设中的重要防线。
现有技术中对网络中的异常远控行为进行识别的主要方法为:通过基于固定远控协议特征的识别技术进行流量识别,基于固定远控协议特征的识别技术是现有的基于数据包分析的流量识别方式,该识别技术的特点是通过分析并提取远控协议的特征,如上线包特征、心跳包特征以及数据包内的某些其它字节特征,通过正则表达式等匹配方式进行特征匹配,以此识别出异常远控行为所产生的流量。然而,上述通过基于固定远控协议特征的识别技术识别异常远控行为的方法存在以下不足:
异常远控行为所产生的流量称为异常远控流量,异常远控流量的有效特征提取较为困难,用于躲避识别的方式较多,例如,利用可变长度的包,或通过对特征进行加密等方式修改原异常远控流量的特征,即可绕过特征提取时的规则检测,从而无法提取有效特征,进而无法识别出异常远控流量,也无法识别异常远控行为。
发明内容
本申请提供一种网络管控方法,以解决现有的由于异常远控流量的有效特征提取困难所造成的无法识别出异常远控流量以及无法识别异常远控行为的问题。本申请另外提供一种网络管控装置以及电子设备。
本申请提供一种网络管控方法,包括:
采集网络流量;
提取所述网络流量中的图片流;
基于所述图片流的特征信息,识别出异常图片流;
识别与所述异常图片流对应的远程监控行为。
可选的,所述基于所述图片流的特征信息,识别出异常图片流,包括:
通过对比筛分的方法将所述图片流的特征信息与预先设置的过滤集合进行比对,比对结果不相符的图片流为异常图片流;所述过滤集合为预定的正常图片流的特征集合。
可选的,所述过滤集合包括如下中的至少一种:
基线流量;
图片流白名单。
可选的,在提取所述网络流量中的图片流之前,还包括:
对所述采集的网络流量进行流量识别;
对应的,所述提取所述网络流量中的图片流,包括:
在对所述采集的网络流量进行流量识别后,如果存在与已知流量不匹配的未知流量,则对所述未知流量进行图片流识别,提取所述未知流量中的图片流。
可选的,所述对所述未知流量进行图片流识别,包括:
通过图片流识别模型对所述未知流量进行图片流识别。
可选的,所述图片流识别模型通过如下步骤获得:
获取图片流基准数据;
对所述图片流基准数据进行预处理,获取图片流训练集和图片流测试集;
对所述图片流训练集进行训练,以生成图片流初始识别模型;利用所述图片流测试集对所述图片流初始识别模型的识别效果进行评估,根据评估结果确定图片流识别模型、或对所述图片流初始识别模型进行二次训练。
可选的,所述获取图片流基准数据,包括:
模拟图片的网络通信过程,获取图片流基准数据;或者,
利用远控应用程序生成图片流基准数据。
可选的,所述对所述采集的网络流量进行流量识别,包括:
按照网络流量的类别对所述采集的网络流量进行流量识别。
可选的,所述按照网络流量的类别对所述采集的网络流量进行流量识别,包括:
按照网络应用层协议类型对所述采集的网络流量进行流量识别;
对应的,所述未知流量包括:
与已知网络应用层协议类型不匹配的网络流量。
可选的,所述对所述采集的网络流量进行流量识别,包括:
采用基于机器学习的方法对所述采集的网络流量进行流量识别。
可选的,该方法还包括:
对所述远程监控行为进行阻断。
本申请还提供一种网络管控装置,包括:
网络流量采集单元,用于采集网络流量;
图片流提取单元,用于提取所述网络流量中的图片流;
异常图片流识别单元,用于基于所述图片流的特征信息,识别出异常图片流;
远程监控行为识别单元,用于识别与所述异常图片流对应的远程监控行为。
本申请还提供一种电子设备,包括:
处理器;以及
存储器,用于存储一种网络管控程序,该设备通电并通过所述处理器运行所述网络管控程序后,执行下述步骤:
采集网络流量;
提取所述网络流量中的图片流;
基于所述图片流的特征信息,识别出异常图片流;
识别与所述异常图片流对应的远程监控行为。
与现有技术相比,本申请具有以下优点:
本申请所提供的网络管控方法,利用桌面远控行为在异常远控行为中占比较大这一特征,以及桌面远控行为通过图片流的方式进行实现这一特点,将识别异常远控行为的过程与异常图片流的识别过程相关联,首先提取出网络流量中的图片流,然后基于所述图片流的特征信息识别出图片流中的异常图片流,最后识别出与该异常图片流对应的远程监控行为,以此达到网络管控目的。相比于现有的基于固定远控协议特征的识别技术所出现的有效特征提取困难,本方法以异常图片流的识别过程代替特征字段的匹配识别过程,其更具有普适性,且针对远程监控行为的识别成功率更高。
附图说明
图1是本申请第一实施例提供的网络管控方法流程图;
图2为本申请第一实施例提供的图片流识别模型的构建流程图;
图3是本申请第二实施例提供的网络管控装置单元框图;
图4是本申请第三实施例提供的电子设备示意图。
具体实施方式
在下面的描述中阐述了很多具体细节以便于充分理解本申请。但是本申请能够以很多不同于在此描述的其它方式来实施,本领域技术人员可以在不违背本申请内涵的情况下做类似推广,因此本申请不受下面公开的具体实施的限制。
在众多的远控技术中,桌面远控技术占有很大比重,桌面远控技术指的是对被控端的屏幕桌面进行连续截图,并将截图以图片流的方式经网络传输后反馈给控制端,以此达到实时监控屏幕和屏幕控制的目的。现阶段,桌面远控技术被越来越多异常远控行为所利用。
针对现阶段利用桌面远控的方式对网络终端进行持续性网络攻击已成为众多网络攻击手段中占比较大的攻击手段的情况,本申请提供一种网络管控方法,一种网络管控装置以及一种电子设备,以下提供实施例对该方法、装置以及电子设备进行详细说明。
本申请第一实施例提供一种网络管控方法,该方法可应用于对现有的利用桌面远控进行网络攻击的远程控制行为记性识别。请参考图1理解该实施例,图1为本实施例的方法流程图。
如图1所示,本实施例提供的网络管控方法包括如下步骤:
S101,采集网络流量。
本步骤用于获取网络上运行的原始网络流量,该原始网络流量为待识别流量,后续环节以该原始网络流量作为分析处理的基础流量。
网络流量指的是在网络上传输、并且通过网络流的形式进行接收和发送的数据量,是记录和反映网络及其用户活动的重要载体。本申请中,网络流量为能够反映当前网络实况的网络流量,可通过网络采集设备在运行的网络中进行预先采集,然后将预先采集的网络流量传输至预定的分析中心进行分析和处理,也可实时在线进行采集、分析和处理。
上述采集网络流量的过程包括采集和组流两个部分,采集指的是对高速网络数据报文进行采集,采集过程为:在运行的网络链路、交换机或路由器等网络设备上对数据包进行捕获,本实施例中采用端口镜像的方法捕获由原始数据包组成的流量记录;组流指的是将捕获的数据包重组成网络数据流,以恢复网络流量,由于网络流均由一定时间间隔内的具有相同五元组(源IP,目的IP,源端口,目的端口,传输层协议)的数据包组成,因此,本实施例中通过对五元组进行匹配即可实现对数据包的重组,从而获取网络流量。
S102,提取网络流量中的图片流。
本步骤用于从上述采集的网络流量中提取出图片流。图片流指的是图片在网络中传输时所形成的网络流量,其包括正常图片流量和异常图片流量,正常图片流量是正常的应用程序在运行过程中产生的网络流量,异常图片流是非正常的应用(如网络攻击时所使用的桌面远控)所产生的网络流量。
在本实施例中,在上述提取网络流量中的图片流之前,需对上述采集的网络流量进行流量识别,对应的,上述提取网络流量中的图片流可以是指在对上述采集的网络流量进行流量识别后,如果存在与已知网络流量不匹配的未知流量,则对该未知流量进行图片流识别,提取该未知流量中的图片流。
在本实施例中,对采集的网络流量进行流量识别指的是按照网络流量的类别对上述采集的网络流量进行流量识别,网络流量的类别例如音视频流量、搜索流量、推荐流量等。在本实施例中,按照网络应用层协议类型对采集的网络流量进行识别,具体为通过分析网络流量的特征和属性来鉴别网络流量所对应的各种应用,将鉴别出的应用所属的网络应用层协议类型与已知网络应用层协议类型进行比对,如果存在与已知网络应用层协议类型不匹配的网络流量,则该网络流量为未知流量。
现有的流量识别方法主要有基于端口的识别方法、基于数据包分析的识别方法以及基于机器学习的识别方法。基于端口的识别方法适合少量稳定端口的流量识别,如DNS等;基于数据包分析的识别方法主要适用于非加密流量、且具有明显载荷特征字符串的流量;基于机器学习的识别方法可用于识别利用上述两种识别方法无法识别的流量。其中,基于机器学习的网络流量识别方法主要分为:利用已标记网络应用层协议类型的网络数据流量作为训练集训练流量分类模型的有监督机器学习的流量分类方法;利用没有标记网络应用层协议类型的网络数据流量作为训练集训练流量分类模型的无监督流量分类方法;以及利用少量的标记样本和大量的无标记样本组成的训练集训练流量分类模型的半监督流量分类方法。
在本实施例中,采用有监督机器学习的流量分类方法进行流量识别,识别过程包括分类模型的建立和利用建立的分类模型对流样本进行分类识别阶段。
分类模型的建立分为数据预处理阶段和分类模型训练生成阶段,数据预处理阶段包括网络流量采集、组流、流统计特征值计算、以及流标记等环节。网络流量采集和组流的过程与上述步骤S101中的网络流量采集和组流的原理及过程一致,所不同的是,上述步骤S101中的网络流量的采集和组流是针对待识别的网络流量进行收集,而本步骤中是收集用于建立分类模型的原始信息;流统计特征值计算指的是对每条网络流的统计特征值(如平均包长、包到达时间间隔等)进行计算和提取,以构建每条网络流的特征向量,完成特征化处理;流标记指的是为网络流量中的每条网络流标记网络应用层协议类型,可根据报文载荷特征字段的正则表达式或者端口号进行匹配和标记,也可采用监控数据包的形式进行自动标记,在本实施例中,选用自动标记的方法,具体为:通过监控程序监控接受和发送的所有数据包,记录网络应用层协议类型的名称同网络流概要信息的对应关系,以此完成自动标记。
在经上述数据预处理阶段后,将获得的数据集分为训练集和测试集,训练集和测试集的特征集合一致,然后,将训练集输入预选的学习器进行训练,以生成分类模型;同时,利用测试集对分类器进行验证,以评估分类器的分类性能,并根据分类性能反馈,进一步优化改善流量分类算法,以此完善分类模型。在该过程中,可根据实际情况对训练集和测试集进行处理,例如,可通过特征选择算法去除训练集和测试集中的冗余特征和与分类无关的特征,以获取有效特征;再例如,当处理流量数据的类不平衡问题时,可对流量数据进行重采样,以获得流数目分布相对平衡的训练集和测试集。
分类模型生成之后,需将流样本输入分类模型进行识别分类,建立流样本的过程主要包括:将上述步骤S101中所采集的网络流量进行流统计特征值计算。本实施例中,流样本的流统计特征值与生成分类模型时的训练集所采用的特征集合一致,按照该特征集合进行网络流特征值计算,即可完成流样本的特征化处理。
将上述完成特征化处理的流样本输入分类模型,并且分类模型按其预定的分类规则进行分类后,分类模型输出网络流量中的多个网络流量对应的网络应用层协议类型,如http、https、ftp、dns等。无法输出网络应用层协议类型的网络流即为未被识别出的与已知网络应用层协议类型相对应的网络流量。
在通过上述流量识别的方法后,对于未被识别出的与已知网络应用层协议类型相对应的网络流量需通过图片流识别模型对上述未知流量进行图片流识别,具体为:将上述未知流量输入图片流识别模型中进行识别匹配,以识别出其中的图片流。
在本实施例中,该图片流识别模型与上述有监督机器学习的流量分类方法所使用的分类模型的构建方式、使用方法以及设计思路相似,均用于将待识别流量输入分类模型中进行识别,区别在于,上述有监督机器学习的流量分类方法所使用的分类模型为多分类模型,可识别网络流量中的多种网络应用层协议类型所对应的应用,而该图片流识别模型为二分类模型,仅用于识别出上述未知流量中的图片流和非图片流。
在本实施例中,图片流识别模型的构建流程请参考图2,如图2所示,图片流识别模型通过如下步骤获得:
S1021,获取图片流基准数据。
图片流基准数据即为图片流在网络中传输时的原始信息,图片流基准数据可通过模拟桌面远控(图片的网络通信过程)获取,也可利用Control、灰鸽子、大灰狼等远控应用程序直接生成。
本实施例中通过模拟桌面远控(图片的网络通信过程)获取图片流基准数据,具体过程为:在发送端使用桌面截图工具对终端的整个屏幕画面进行截图,截图的数量需满足基本的训练数据量,本实施例中截图数量为1W;然后采用图片压缩算法将截取的屏幕画面压缩成相应的图片格式,图片压缩算法包含JPEG、JPEG2000、JPEG XR、PNG等常见图片压缩算法;将压缩后的图片数据传输至接收端,以此模仿图片的网络通信过程以形成图片流。在接收端预先设置有流量采集器,用以对经网络传输后所形成的图片流进行采集,经采集后的图片流即为图片流基准数据。
S1022,对图片流基准数据进行预处理,获取图片流训练集和图片流测试集。
图片流训练集被用于训练生成图片流识别模型,图片流测试集被用于评估图片流识别模型的识别性能,图片流训练集和图片流测试集具有相同的流量特征集合。对图片流基准数据进行预处理包括组流、特征提取与特征选择等,此处的组流与上述组流方法一致,特征提取指的是通过预先设置的特征提取方式对图片流进行挖掘,从而提取出图片流的特征信息;特征选择的作用主要是为了降低数据维度,利用特征选择算法选择出最合适、最易识别的流量特征,并且,可对选择的流特征进行重采样等数据处理方法,以获得有效的图片流训练集和图片流测试集。由于该模型仅用于对图片流进行识别,并且上述图片流训练集和图片流测试集中仅包含图片流的特征集合,因此,无需进行应用类别标记。
在本实施例中,上述选择的流量特征为数据包包长(数据包平均长度)、通信频率(数据包到达时间间隔)以及前50字节,前50字节分别作为50个维度,基本包含了数据包的包头部分,数据包的包头部分包含网络应用的重要特征;对于选取数据包包长和通信频率作为流量特征,其目的在于结合实际应用场景,例如,本实施例中的应用场景为模拟桌面远控,即:截取屏幕画面后进行压缩和网络传输,以此模拟远控行为,在该种场景下,数据包包长和通信频率固定在一定的范围内,可作为区别特征。
S1023,对图片流训练集进行训练,生成图片流初始识别模型;同时,利用图片流测试集对图片流初始识别模型的识别效果进行评估,根据评估结果确定图片流识别模型、或对图片流初始识别模型进行二次训练。
对图片流训练集进行训练的方式为:通过基于机器学习的分类方法对图片流训练集进行训练,以生成图片流初始识别模型。常用的基于机器学习的分类方法有决策树、贝叶斯、关联规则学习、以及神经网络等,决策树是一种从无序、无规则的训练样本集中推出决策树表示形式的分类规则方法,其每个分枝代表一个测试输出,每个叶节点代表类别;贝叶斯分类是一种利用概率统计知识进行分类的方法,其预测未知类别的样本各类别的概率,并选择其中可能性最大的类别作为该样本的最终类别;关联规则学习是先利用标准关联规则挖掘算法挖掘有关的关联规则,然后基于该规则构造分类器;神经网络就是一组相互连接的输入/输出单元,各单元之间的每个连接都关联一个权重,网络通过调整权重来实现输入样本与其相应类别的对应。
本实施例中,采用上述分类方法中的神经网络分类算法对图片流训练集进行分类计算,以此完成对图片流初始识别模型的训练,具体为:将图片流训练集输入神经网络模型,模型内部自学习,以此抽象出图片流的识别规律。
利用图片流测试集对图片流初始识别模型的识别效果进行评估的过程具体为:将与图片流训练集具有相同特征集合的图片流测试集输入图片流初始识别模型中,测试图片流初始识别模型的分类性能,评估合格的图片流初始识别模型作为图片流识别模型;评估不合格的图片流初始识别模型则进行二次训练,以实现进一步优化,如此进行循环,直至获得评估合格的图片流识别模型。
将未被识别的流量输入图片流识别模型中进行识别匹配后,可识别出未知流量中的图片流。
S103,基于图片流的特征信息,识别出异常图片流。
在通过上述步骤获取到未知流量中的图片流之后,本步骤用于识别出该图片流中的异常图片流,具体为:通过对比筛分的方法将上述图片流的特征信息与预先设置的过滤集合进行比对,比对结果不相符的图片流为异常图片流,该过滤集合为预定的正常图片流的特征集合,其可为用于发送、传输、以及接受图片的正常应用程序的集合,也可为图片流在网络中进行正常运作时的行为特征集合。正常图片流指的是正常的网络应用程序运行时所产生的图片流。
在本实施例中,上述过滤集合为基线流量和图片流白名单中的至少一种。
基线流量指的是在一段时间周期内,网络中各种正常流量的集合,例如,n天前出现过的流量,若n天后仍然出现,则视该流量为正常流量,该正常流量可作为基线流量中的一种。n的取值根据实际应用场景进行预先设定,本实施例中n的取值为3,其原因在于:本实施例主要针对桌面远控过程中所产生的异常图片流,其本身较易暴露自身的行为,并且,长时间进行桌面远控的现象较为少见,因此,当3天内出现针对同一目的IP、同一目的端口的流量时,该流量为基线流量。
图片流白名单指的是在正常使用过程中会传输图片流数据的正常应用的集合,例如Radmin(Remote Administrator)、虚拟网络控制台(Virtual Network Console,VNC)等远程控制软件。
将图片流与预先设置的过滤集合进行比对的方法可以为:将图片流与基线流量进行匹配,或将图片流与图片流白名单进行匹配,或者将图片流与基线流量和图片流白名单进行配合匹配。本实施例选取配合匹配的方法,该过程具体为:先将图片流与基线流量进行匹配,若匹配结果相符,则表明该图片流为正常图片流,若匹配结果不相符,则继续将该图片流与图片流白名单进行匹配,若与图片流白名单的匹配结果相符,则表明该图片流为正常图片流,若匹配结果不相符,则认为该图片流为异常图片流。将图片流与基线流量以及与图片流白名单进行匹配的过程均可通过对四元组(源IP、目的IP、源端口、目的端口)进行比对的方式实现。
S104,识别与异常图片流对应的远程监控行为。
在上述步骤识别出网络流量中存在的异常图片流之后,本步骤用于对上述异常图片流进行识别,获得上述异常图片流所对应的远程监控行为。
识别与异常图片流对应的远程监控行为可以是指识别出被远程监控的终端以及识别出该远程监控行为的类型,例如,当识别出与某个终端相关的网络流量中存在异常图片流,则表明该终端可能被异常远控行为控制了,需要识别出该异常远控行为的类型,并对该异常远控行为进行定位、排查和处理,以制定出应对该异常远控行为的预防方案和反击措施。例如,将异常图片流的流量特征与已知的远程监控行为(如远程木马)对应的流量特征进行比对,以此确定远程监控行为的类型,并且建立相应的控制策略对该异常图片流进行阻断、限流、干扰等,并且,可将异常图片流的流量特征存储至数据库中,作为后续识别异常远控行为的基础数据。
本实施例提供的网络管控方法,利用桌面远控行为在异常远控行为中占比较大这一特征,以及桌面远控行为通过图片流的方式进行实现这一特点,将识别异常远控行为的过程与异常图片流的识别过程相关联,首先提取出网络流量中的图片流,然后基于所述图片流的特征信息识别出图片流中的异常图片流,最后识别出与该异常图片流对应的远程监控行为,以此达到网络管控目的。相比于现有的基于固定远控协议特征的识别技术所出现的有效特征提取困难,本方法以异常图片流的识别过程代替特征字段的匹配识别过程,其更具有普适性,且针对远程监控行为的识别成功率更高。
本申请第二实施例提供一种网络监控装置,请参看图3,图3是本实施例提供的装置的单元框图。
如图3所示,装置包括:
网络流量采集单元201,用于采集网络流量;
图片流提取单元202,用于提取网络流量中的图片流;
异常图片流识别单元203,用于基于图片流的特征信息,识别出异常图片流;
远程监控行为识别单元204,用于识别与异常图片流对应的远程监控行为。
可选的,异常图片流识别单元203具体用于:通过对比筛分的方法将图片流的特征信息与预先设置的过滤集合进行比对,比对结果不相符的图片流为异常图片流;过滤集合为预定的正常图片流的特征集合。
可选的,上述过滤集合为基线流量和图片流白名单中的至少一种。
基线流量指的是在一段时间周期内,网络中各种正常流量的集合,例如,前n天出现过的流量,若n天后仍然出现,则视该流量为正常流量,该正常流量可作为基线流量中的一种。n的取值根据实际应用场景进行预先设定,本实施例中n的取值为3,其原因在于:本实施例主要针对桌面远控过程中所产生的异常图片流,其本身较易暴露自身的行为,并且,长时间进行桌面远控的现象较为少见,因此,当3天内出现针对同一目的IP、同一目的端口的流量时,该流量将进入基线流量。
图片流白名单指的是在正常使用过程中会传输图片流数据的正常应用的集合,例如Radmin(Remote Administrator)、虚拟网络控制台(Virtual Network Console,VNC)等远程控制软件。
将图片流与预先设置的过滤集合进行比对的方法可以为:将图片流与基线流量进行匹配,或将图片流与图片流白名单进行匹配,或者将图片流与基线流量和图片流白名单进行配合匹配。本实施例选取配合匹配的方法,该过程具体为:先将图片流与基线流量进行匹配,若匹配结果相符,则表明该图片流为正常图片流,若匹配结果不相符,则继续将该图片流与图片流白名单进行匹配,若与图片流白名单的匹配结果相符,则表明该图片流为正常图片流,若匹配结果不相符,则认为该图片流为异常图片流。将图片流与基线流量以及与图片流白名单进行匹配的过程均可通过对四元组(源IP、目的IP、源端口、目的端口)进行比对的方式实现。
可选的,该装置还包括:网络流量识别单元,用于对采集的网络流量进行流量识别,具体按照网络流量的类别对采集的网络流量进行流量识别,例如,按照网络应用层协议类型对采集的网络流量进行流量识别。
对应的,图片流提取单元202具体用于:在对采集的网络流量进行流量识别后,如果存在与已知流量不匹配的未知流量,例如,与已知网络应用层协议类型不匹配的网络流量,则对该未知流量进行图片流识别,提取未知流量中的图片流。
可选的,上述对未知流量进行图片流识别可通过图片流识别模型对未知流量进行图片流识别。
可选的,上述图片流识别模型的获得可通过如下子单元实现:
图片流基准数据获得子单元:用于获取图片流基准数据,可通过模拟图片的网络通信过程,获取图片流基准数据,或者利用远控应用程序生成图片流基准数据。
图片流基准数据进行预处理子单元,用于对图片流基准数据进行预处理,获取图片流训练集和图片流测试集;
图片流初始识别模型生成子单元,用于对图片流训练集进行训练,以生成图片流初始识别模型;利用图片流测试集对图片流初始识别模型的识别效果进行评估,根据评估结果确定图片流识别模型、或对图片流初始识别模型进行二次训练。
可选的,网络流量识别单元具体用于:采用基于机器学习的方法对采集的网络流量进行流量识别。
本装置还包括:远程监控行为阻断单元,用于对远程监控行为进行阻断。
本申请第三实施例提供一种电子设备,请参看图4,图4为该实施例的示意图。由于设备实施例基本相似于方法实施例,所以描述得比较简单,相关之处参见方法实施例的部分说明即可。下述描述的设备实施例仅仅是示意性的。
本实施例提供的电子设备包括:处理器301以及存储器302,存储器302用于存储一种网络管控程序,该设备通电并通过处理器301运行网络管控程序后,执行下述步骤:
采集网络流量;
提取网络流量中的图片流;
基于图片流的特征信息,识别出异常图片流;
识别与异常图片流对应的远程监控行为。
可选的,基于图片流的特征信息,识别出异常图片流,包括:
通过对比筛分的方法将图片流的特征信息与预先设置的过滤集合进行比对,比对结果不相符的图片流为异常图片流;过滤集合为预定的正常图片流的特征集合。
可选的,过滤集合包括如下中的至少一种:
基线流量;
图片流白名单。
可选的,在提取网络流量中的图片流之前,还包括:
对采集的网络流量进行流量识别;
对应的,提取网络流量中的图片流,包括:
在对采集的网络流量进行流量识别后,如果存在未获得识别结果的未知流量,则对未知流量进行图片流识别,提取未知流量中的图片流。
可选的,对未知流量进行图片流识别,包括:
通过图片流识别模型对未知流量进行图片流识别。
可选的,图片流识别模型通过如下步骤获得:
获取图片流基准数据;
对图片流基准数据进行预处理,获取图片流训练集和图片流测试集;
对图片流训练集进行训练,以生成图片流初始识别模型;利用图片流测试集对图片流初始识别模型的识别效果进行评估,根据评估结果确定图片流识别模型、或对图片流初始识别模型进行二次训练。
可选的,获取图片流基准数据,包括:
模拟图片的网络通信过程,获取图片流基准数据;或者,
利用远控应用程序生成图片流基准数据。
可选的,对采集的网络流量进行流量识别,包括:
按照网络流量的类别对采集的网络流量进行流量识别。
可选的,按照网络流量的类别对采集的网络流量进行流量识别,包括:
按照网络应用层协议类型对采集的网络流量进行流量识别;
对应的,未知流量包括:与已知网络应用层协议类型不匹配的网络流量。
可选的,对采集的网络流量进行流量识别,包括:
采用基于机器学习的方法对采集的网络流量进行流量识别。
可选的,该方法还包括:对远程监控行为进行阻断。
本申请虽然以较佳实施例公开如上,但其并不是用来限定本申请,任何本领域技术人员在不脱离本申请的精神和范围内,都可以做出可能的变动和修改,因此本申请的保护范围应当以本申请权利要求所界定的范围为准。
在一个典型的配置中,计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。
内存可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM)。内存是计算机可读介质的示例。
1、计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括非暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
2、本领域技术人员应明白,本申请的实施例可提供为方法、系统或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
Claims (13)
1.一种网络管控方法,其特征在于,包括:
采集网络流量;
提取所述网络流量中的图片流;
基于所述图片流的特征信息,识别出异常图片流;
识别与所述异常图片流对应的远程监控行为。
2.根据权利要求1所述的网络管控方法,其特征在于,所述基于所述图片流的特征信息,识别出异常图片流,包括:
通过对比筛分的方法将所述图片流的特征信息与预先设置的过滤集合进行比对,比对结果不相符的图片流为异常图片流;所述过滤集合为预定的正常图片流的特征集合。
3.根据权利要求2所述的网络管控方法,其特征在于,所述过滤集合包括如下中的至少一种:
基线流量;
图片流白名单。
4.根据权利要求1所述的网络管控方法,其特征在于,在提取所述网络流量中的图片流之前,还包括:
对所述采集的网络流量进行流量识别;
对应的,所述提取所述网络流量中的图片流,包括:
在对所述采集的网络流量进行流量识别后,如果存在与已知流量不匹配的未知流量,则对所述未知流量进行图片流识别,提取所述未知流量中的图片流。
5.根据权利要求4所述的网络管控方法,其特征在于,所述对所述未知流量进行图片流识别,包括:
通过图片流识别模型对所述未知流量进行图片流识别。
6.根据权利要求5所述的网络管控方法,其特征在于,所述图片流识别模型通过如下步骤获得:
获取图片流基准数据;
对所述图片流基准数据进行预处理,获取图片流训练集和图片流测试集;
对所述图片流训练集进行训练,以生成图片流初始识别模型;利用所述图片流测试集对所述图片流初始识别模型的识别效果进行评估,根据评估结果确定图片流识别模型、或对所述图片流初始识别模型进行二次训练。
7.根据权利要求6所述的网络管控方法,其特征在于,所述获取图片流基准数据,包括:
模拟图片的网络通信过程,获取图片流基准数据;或者,
利用远控应用程序生成图片流基准数据。
8.根据权利要求4所述的网络管控方法,其特征在于,所述对所述采集的网络流量进行流量识别,包括:
按照网络流量的类别对所述采集的网络流量进行流量识别。
9.根据权利要求8所述的网络管控方法,其特征在于,所述按照网络流量的类别对所述采集的网络流量进行流量识别,包括:
按照网络应用层协议类型对所述采集的网络流量进行流量识别;
对应的,所述未知流量包括:
与已知网络应用层协议类型不匹配的网络流量。
10.根据权利要求4所述的网络管控方法,其特征在于,所述对所述采集的网络流量进行流量识别,包括:
采用基于机器学习的方法对所述采集的网络流量进行流量识别。
11.根据权利要求1所述的网络管控方法,其特征在于,还包括:
对所述远程监控行为进行阻断。
12.一种网络管控装置,其特征在于,包括:
网络流量采集单元,用于采集网络流量;
图片流提取单元,用于提取所述网络流量中的图片流;
异常图片流识别单元,用于基于所述图片流的特征信息,识别出异常图片流;
远程监控行为识别单元,用于识别与所述异常图片流对应的远程监控行为。
13.一种电子设备,其特征在于,包括:
处理器;
存储器,用于存储一种网络管控程序,该设备通电并通过所述处理器运行所述网络管控程序后,执行下述步骤:
采集网络流量;提取所述网络流量中的图片流;基于所述图片流的特征信息,识别出异常图片流;识别与所述异常图片流对应的远程监控行为。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810971524.3A CN110858837B (zh) | 2018-08-24 | 2018-08-24 | 一种网络管控方法、装置以及电子设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810971524.3A CN110858837B (zh) | 2018-08-24 | 2018-08-24 | 一种网络管控方法、装置以及电子设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110858837A true CN110858837A (zh) | 2020-03-03 |
| CN110858837B CN110858837B (zh) | 2022-09-06 |
Family
ID=69636309
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810971524.3A Active CN110858837B (zh) | 2018-08-24 | 2018-08-24 | 一种网络管控方法、装置以及电子设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110858837B (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111756874A (zh) * | 2020-06-24 | 2020-10-09 | 北京天融信网络安全技术有限公司 | 一种dns隧道上层协议的类型的识别方法和装置 |
| CN111984972A (zh) * | 2020-08-17 | 2020-11-24 | 济南浪潮高新科技投资发展有限公司 | 一种基于Mininet分析网络流量生成训练集的方法及系统 |
| CN112637084A (zh) * | 2020-12-10 | 2021-04-09 | 中山职业技术学院 | 分布式网络流量新奇检测方法及分类器 |
Citations (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103096320A (zh) * | 2011-11-01 | 2013-05-08 | 中国移动通信集团公司 | 移动终端恶意软件的分析方法和装置 |
| CN103179105A (zh) * | 2012-10-25 | 2013-06-26 | 四川省电力公司信息通信公司 | 一种基于网络流量中行为特征的智能木马检测装置及其方法 |
| CN103905415A (zh) * | 2013-10-25 | 2014-07-02 | 哈尔滨安天科技股份有限公司 | 一种防范远控类木马病毒的方法及系统 |
| CN105022960A (zh) * | 2015-08-10 | 2015-11-04 | 济南大学 | 基于网络流量的多特征移动终端恶意软件检测方法及系统 |
| CN105357260A (zh) * | 2015-09-28 | 2016-02-24 | 深圳市深信服电子科技有限公司 | 实现虚拟桌面的系统、vdi数据缓存方法和vdi缓存设备 |
| CN105681250A (zh) * | 2014-11-17 | 2016-06-15 | 中国信息安全测评中心 | 一种僵尸网络分布式实时检测方法和系统 |
| CN105871819A (zh) * | 2016-03-23 | 2016-08-17 | 上海上讯信息技术股份有限公司 | 传输控制方法及设备 |
| CN107194394A (zh) * | 2016-09-29 | 2017-09-22 | 北京神州泰岳信息安全技术有限公司 | 远程访问监控方法及相关装置 |
| CN107403108A (zh) * | 2017-08-07 | 2017-11-28 | 上海上讯信息技术股份有限公司 | 一种数据处理的方法及系统 |
| US20180034852A1 (en) * | 2014-11-26 | 2018-02-01 | Isityou Ltd. | Anti-spoofing system and methods useful in conjunction therewith |
| CN107733901A (zh) * | 2017-10-23 | 2018-02-23 | 成都安恒信息技术有限公司 | 一种用于运维审计系统的Windows远程桌面文件传输审计方法 |
| CN108153645A (zh) * | 2017-12-25 | 2018-06-12 | 北京航空航天大学 | 基于图像匹配的虚拟化桌面中监控数据与程序关联方法 |
| CN108173781A (zh) * | 2017-12-20 | 2018-06-15 | 广东宜通世纪科技股份有限公司 | Https流量识别方法、装置、终端设备及存储介质 |
-
2018
- 2018-08-24 CN CN201810971524.3A patent/CN110858837B/zh active Active
Patent Citations (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103096320A (zh) * | 2011-11-01 | 2013-05-08 | 中国移动通信集团公司 | 移动终端恶意软件的分析方法和装置 |
| CN103179105A (zh) * | 2012-10-25 | 2013-06-26 | 四川省电力公司信息通信公司 | 一种基于网络流量中行为特征的智能木马检测装置及其方法 |
| CN103905415A (zh) * | 2013-10-25 | 2014-07-02 | 哈尔滨安天科技股份有限公司 | 一种防范远控类木马病毒的方法及系统 |
| CN105681250A (zh) * | 2014-11-17 | 2016-06-15 | 中国信息安全测评中心 | 一种僵尸网络分布式实时检测方法和系统 |
| US20180034852A1 (en) * | 2014-11-26 | 2018-02-01 | Isityou Ltd. | Anti-spoofing system and methods useful in conjunction therewith |
| CN105022960A (zh) * | 2015-08-10 | 2015-11-04 | 济南大学 | 基于网络流量的多特征移动终端恶意软件检测方法及系统 |
| CN105357260A (zh) * | 2015-09-28 | 2016-02-24 | 深圳市深信服电子科技有限公司 | 实现虚拟桌面的系统、vdi数据缓存方法和vdi缓存设备 |
| CN105871819A (zh) * | 2016-03-23 | 2016-08-17 | 上海上讯信息技术股份有限公司 | 传输控制方法及设备 |
| CN107194394A (zh) * | 2016-09-29 | 2017-09-22 | 北京神州泰岳信息安全技术有限公司 | 远程访问监控方法及相关装置 |
| CN107403108A (zh) * | 2017-08-07 | 2017-11-28 | 上海上讯信息技术股份有限公司 | 一种数据处理的方法及系统 |
| CN107733901A (zh) * | 2017-10-23 | 2018-02-23 | 成都安恒信息技术有限公司 | 一种用于运维审计系统的Windows远程桌面文件传输审计方法 |
| CN108173781A (zh) * | 2017-12-20 | 2018-06-15 | 广东宜通世纪科技股份有限公司 | Https流量识别方法、装置、终端设备及存储介质 |
| CN108153645A (zh) * | 2017-12-25 | 2018-06-12 | 北京航空航天大学 | 基于图像匹配的虚拟化桌面中监控数据与程序关联方法 |
Non-Patent Citations (1)
| Title |
|---|
| 张伟等: "基于传输层会话行为统计特征的恶意流量识别", 《小型微型计算机系统》 * |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111756874A (zh) * | 2020-06-24 | 2020-10-09 | 北京天融信网络安全技术有限公司 | 一种dns隧道上层协议的类型的识别方法和装置 |
| CN111984972A (zh) * | 2020-08-17 | 2020-11-24 | 济南浪潮高新科技投资发展有限公司 | 一种基于Mininet分析网络流量生成训练集的方法及系统 |
| CN112637084A (zh) * | 2020-12-10 | 2021-04-09 | 中山职业技术学院 | 分布式网络流量新奇检测方法及分类器 |
| CN112637084B (zh) * | 2020-12-10 | 2022-09-23 | 中山职业技术学院 | 分布式网络流量新奇检测方法及分类器 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110858837B (zh) | 2022-09-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110808945B (zh) | 一种基于元学习的小样本场景下网络入侵检测方法 | |
| CN110858837B (zh) | 一种网络管控方法、装置以及电子设备 | |
| Alshammari et al. | A flow based approach for SSH traffic detection | |
| US9942256B2 (en) | Detecting network address translation devices in a network based on network traffic logs | |
| CN111935170A (zh) | 一种网络异常流量检测方法、装置及设备 | |
| CN113206860B (zh) | 一种基于机器学习和特征选择的DRDoS攻击检测方法 | |
| CN110611640A (zh) | 一种基于随机森林的dns协议隐蔽通道检测方法 | |
| CN110417729A (zh) | 一种加密流量的服务与应用分类方法及系统 | |
| CN111147394A (zh) | 一种远程桌面协议流量行为的多级分类检测方法 | |
| CN112019449A (zh) | 流量识别抓包方法和装置 | |
| CN110519228B (zh) | 一种黑产场景下恶意云机器人的识别方法及系统 | |
| Li et al. | ETCC: Encrypted Two‐Label Classification Using CNN | |
| Tropková et al. | Novel HTTPS classifier driven by packet bursts, flows, and machine learning | |
| CN113242233B (zh) | 一种多分类的僵尸网络检测装置 | |
| US9398040B2 (en) | Intrusion detection system false positive detection apparatus and method | |
| CN115378619A (zh) | 敏感数据访问方法及电子设备、计算机可读存储介质 | |
| CN108696713A (zh) | 码流的安全测试方法、装置及测试设备 | |
| CN112104628A (zh) | 一种自适应特征规则匹配的实时恶意流量检测方法 | |
| CN116828087A (zh) | 基于区块链连接的信息安全系统 | |
| Zhou et al. | Classification of botnet families based on features self-learning under network traffic censorship | |
| KR102559398B1 (ko) | 인공지능을 이용한 보안관제 침입탐지 알람 처리 장치 및 방법 | |
| CN114422207A (zh) | 基于多模态的c&c通信流量检测方法及装置 | |
| CN115086021A (zh) | 校园网入侵检测方法、装置、设备及存储介质 | |
| CN108307231A (zh) | 基于遗传算法的网络视频流特征选择与识别方法 | |
| Kapoor et al. | Detecting VoIP data streams: approaches using hidden representation learning |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 40024927 Country of ref document: HK |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |