CN112152962B - 一种威胁检测方法及系统 - Google Patents
一种威胁检测方法及系统 Download PDFInfo
- Publication number
- CN112152962B CN112152962B CN201910562134.5A CN201910562134A CN112152962B CN 112152962 B CN112152962 B CN 112152962B CN 201910562134 A CN201910562134 A CN 201910562134A CN 112152962 B CN112152962 B CN 112152962B
- Authority
- CN
- China
- Prior art keywords
- sub
- network
- detection
- threat
- network traffic
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供的威胁检测方法及系统,预先基于正常网络流量及预定类型网络威胁的生命周期中不同阶段所对应的恶意网络流量分别构建了多个子检测模型,各个子检测模块与各个阶段一一对应,在此基础上,针对每个子网络流量,分别利用各个子检测模型对其进行检测,之后进一步基于预设时长内多个子网络流量的检测结果,确定由所述多个子网络流量所组成的网络流量的检测结果,以最终获知所述网络流量是否属于所述预定类型的网络威胁。由于本发明基于预定类型网络威胁的生命周期中不同阶段所对应的恶意网络流量进行了子检测模型的构建及流量检测,从而,本发明充分学习了网络威胁生命周期中不同阶段的入侵特点,可有效确保网络威胁检测的高准确度。
Description
技术领域
本发明属于计算机网络安全领域,尤其涉及一种威胁检测方法及系统。
背景技术
高级持续性威胁(Advanced Persistent Threat,APT)是一种隐匿而持久的计算机网络入侵过程,通常出于商业或政治动机、针对特定组织或国家、且在长时间内保持高隐蔽性。
高级长期威胁包含三个要素:高级、长期、威胁。高级强调的是使用复杂精密的恶意软件及技术以利用系统中的漏洞,长期暗指某个外部力量会持续监控特定目标并从其获取数据,威胁则指人为参与策划的攻击。
在基于网络的入侵检测领域(Network Based Intrusion Detection System,NIDS),已经出现了很多基于机器学习的检测方法,尤其是基于监督式机器学习的方法研究更为广泛。但由于高级持续性威胁的全生命周期中入侵特点的复杂性、多变性,目前的检测方法对高级持续性威胁的检测效果并不尽如人意,检测的准确性较差。
发明内容
有鉴于此,本发明的目的在于提供一种威胁检测方法及系统,以通过充分考虑网络威胁的生命周期中不同阶段的入侵特点,来确保网络威胁检测的高准确度。
为此,本发明公开如下技术方案:
一种威胁检测方法,包括:
获取待检测的子网络流量;
获取预先训练的检测模型,所述检测模型包括多个子检测模型,各个子检测模型与预定类型网络威胁的生命周期中所包括的各个阶段一一对应,且每个子检测模型为:基于正常网络流量及所述预定类型网络威胁的生命周期中相应阶段所对应的恶意网络流量所构建的模型;
分别利用所述多个子检测模型中的各个子检测模型对所述子网络流量进行检测,得到所述子网络流量的多个子检测结果;
基于所述多个子检测结果,确定所述子网络流量的检测结果;
基于预设时长内多个子网络流量的检测结果,确定所述预设时长内由所述多个子网络流量所组成的网络流量的检测结果,以获知所述网络流量是否属于所述预定类型的网络威胁。
上述方法,优选的,所述预定类型网络威胁为高级持续性威胁,所述预定类型网络威胁的生命周期中所包括的各个阶段包括:漏洞利用阶段、横向移动阶段、木马安装阶段、命令与控制阶段;
所述利用所述多个子检测模型中的各个子检测模型对所述子网络流量进行检测,包括:
提取所述子网络流量的至少一个流量特征,得到流量特征集;
将所述流量特征集分别输入第一子检测模型、第二子检测模型、第三子检测模型及第四子检测模型,相应得到各个子检测模型输出的第一子检测结果、第二子检测结果、第三子检测结果及第四子检测结果;
其中,所述第一子检测模型与所述漏洞利用阶段相对应,所述第二子检测模型与所述横向移动阶段相对应,所述第三子检测模型与所述木马安装阶段相对应,所述第四子检测模型与所述命令与控制阶段相对应。
上述方法,优选的,所述提取所述网络流量单元的至少一个流量特征,包括:
提取所述子网络流量的流时长、包大小、流量位置及通信次数中的任意一种或任意多种。
上述方法,优选的,所述基于预设时长内多个子网络流量的检测结果,确定所述预设时长内由所述多个子网络流量所组成的网络流量的检测结果,包括:
若所述多个子网络流量对应的各个检测结果表明超出预设数量的阶段检测出网络威胁,则确定所述网络流量属于所述预定类型的网络威胁;
其中,所述预设数量为不小于1且不大于所述生命周期中所包括的阶段数量的自然数。
上述方法,优选的,还包括:
在符合预定条件时,基于新的网络流量更新所述检测模型;
其中,所述新的网络流量至少包括所述预定类型网络威胁的生命周期中不同阶段所对应的新恶意网络流量。
一种威胁检测系统,包括:
第一获取单元,用于获取待检测的子网络流量;
第二获取单元,用于获取预先训练的检测模型,所述检测模型包括多个子检测模型,各个子检测模型与预定类型网络威胁的生命周期中所包括的各个阶段一一对应,且每个子检测模型为:基于正常网络流量及所述预定类型网络威胁的生命周期中相应阶段所对应的恶意网络流量所构建的模型;
检测单元,用于分别利用所述多个子检测模型中的各个子检测模型对所述子网络流量进行检测,得到所述子网络流量的多个子检测结果;
第一确定单元,用于基于所述多个子检测结果,确定所述子网络流量的检测结果;
第二确定单元,用于基于预设时长内多个子网络流量的检测结果,确定所述预设时长内由所述多个子网络流量所组成的网络流量的检测结果,以获知所述网络流量是否属于所述预定类型的网络威胁。
上述系统,优选的,所述预定类型网络威胁为高级持续性威胁,所述预定类型网络威胁的生命周期中所包括的各个阶段包括:漏洞利用阶段、横向移动阶段、木马安装阶段、命令与控制阶段;
所述检测单元,具体用于:
提取所述子网络流量的至少一个流量特征,得到流量特征集;
将所述流量特征集分别输入第一子检测模型、第二子检测模型、第三子检测模型及第四子检测模型,相应得到各个子检测模型输出的第一子检测结果、第二子检测结果、第三子检测结果及第四子检测结果;
其中,所述第一子检测模型与所述漏洞利用阶段相对应,所述第二子检测模型与所述横向移动阶段相对应,所述第三子检测模型与所述木马安装阶段相对应,所述第四子检测模型与所述命令与控制阶段相对应。
上述系统,优选的,所述检测单元提取所述子网络流量单元的至少一个流量特征,具体包括:
提取所述子网络流量的流时长、包大小、流量位置及通信次数中的任意一种或任意多种。
上述系统,优选的,所述第二确定单元,具体用于:
若所述多个子网络流量对应的各个检测结果表明超出预设数量的阶段检测出网络威胁,则确定所述网络流量属于所述预定类型的网络威胁;
其中,所述预设数量为不小于1且不大于所述生命周期中所包括的阶段数量的自然数。
上述系统,优选的,还包括:
更新单元,用于在符合预定条件时,基于新的网络流量更新所述检测模型;其中,所述新的网络流量至少包括所述预定类型网络威胁的生命周期中不同阶段所对应的新恶意网络流量。
由以上方案可知,本发明提供的威胁检测方法及系统,预先基于正常网络流量及预定类型网络威胁的生命周期中不同阶段所对应的恶意网络流量分别构建了多个子检测模型,各个子检测模块与各个阶段一一对应,在此基础上,针对每个子网络流量,分别利用各个子检测模型对其进行检测,由此得到每个子网络流量的检测结果,之后进一步基于预设时长内多个子网络流量的检测结果,确定由所述多个子网络流量所组成的网络流量的检测结果,以最终获知所述网络流量是否属于所述预定类型的网络威胁。由于本发明基于预定类型网络威胁的生命周期中不同阶段所对应的恶意网络流量进行了子检测模型的构建,从而可在模型中充分学习网络威胁生命周期中不同阶段的入侵特点,并可进一步基于所学习的不同阶段的入侵特点进行网络威胁检测,有效确保了网络威胁检测的高准确度。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1是本发明实施例提供的针对高级持续性威胁的四阶段模型构建示意图;
图2是本发明实施例提供的威胁检测方法的一种流程示意图;
图3是本发明实施例提供的威胁检测方法的另一种流程示意图;
图4是本发明实施例提供的针对高级持续性威胁的模型应用与更新示意图;
图5是本发明实施例提供的威胁检测系统的一种结构示意图;
图6是本发明实施例提供的威胁检测系统的另一种结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明公开了一种威胁检测方法及系统,以通过充分考虑网络威胁的生命周期中不同阶段的入侵特点,来确保网络威胁检测的高准确度。以下将通过具体实施例对本发明的威胁检测方法及系统进行详细说明。
在本发明的一可选实施例中,提供了一种威胁检测方法,本实施例将主要以对高级持续性威胁进行检测为例来对本发明的方法进行详述。
高级持续性威胁的生命周期有多种划分方法,较为常见的一种是将其划分为漏洞利用、横向移动、木马安装、命令与控制这四个阶段。其中,漏洞利用是较为常见的一种初始入侵手段,是入侵者初始入侵的步骤;横向移动是入侵者获取到一个目标主机的控制权后,继续向目标主机所在内网的其它主机进行入侵的过程;木马安装是入侵者获取目标主机控制权后通过远程下载木马程序并安装的过程,目的是通过木马实现更加丰富的控制功能;命令与控制是入侵者通过木马实现远程持续性控制和窃取机密数据的回传过程,以达到持续性控制目标的目的。
高级持续性威胁的生命周期包括的上述四个阶段分别对应不同的入侵目的,分别采用了不同的入侵手段,在网络流量上也分别能够表现出不同的特点(也即,生命周期的不同阶段具有不同的入侵特点),例如,在流量位置上,漏洞利用、木马安装、命令与控制这三个阶段的流量都出现在内网出入口,而横向移动阶段的流量只会出现在内网;在流量规模上,针对某个目标主机,漏洞利用、横向移动、木马安装这三个阶段的流量通常只有一次通信过程,而命令与控制阶段的流量的则通常有多次通信过程。
本发明充分考虑网络威胁的生命周期中不同阶段的入侵特点,提出了以下技术构思:基于预定类型网络威胁(如所述高级持续性威胁)的生命周期中不同阶段所对应的恶意网络流量并结合正常网络流量分别构建多个子检测模型,其中,所构建的各个子检测模型与所述预定类型网络威胁的生命周期中包括的各个阶段一一对应,在此基础上,反过来利用对应于不同阶段的各个子检测模型对网络流量进行入侵检测,以识别网络流量是否符合不同阶段网络威胁的入侵特点,进而确定网络流量是否为所述预定类型的网络威胁。
基于该技术构思,本发明需首先基于预定类型网络威胁的生命周期中不同阶段所对应的恶意网络流量(并结合正常网络流量)来构建多个子检测模型,具体实施中,以所述预定类型的网络威胁为所述高级持续性威胁为例,可针对已经出现(如近期出现的)的高级持续性威胁,分别收集其漏洞利用、横向移动、木马安装、命令与控制这四阶段的恶意网络流量,以及收集一批正常流量作为模型训练的样本数据,所述恶意网络流量可以是但不限于离线存储或在线采集的APT流量,恶意网络流量及正常网络流量优选地都是原始流量,不是netflow流量日志。
针对上述收集到的四阶段流量数据,参考图1示出的针对高级持续性威胁的四阶段模型构建示意图,可分别进一步对各个阶段的流量数据执行特征工程,特征工程可以包括特征抽取和特征选择两个阶段,特征抽取的基本单位可以是按照四元组(源IP、源端口、目的IP、目的端口)划分的双向网络流量,特征工程需要针对四个阶段分别实施,最终得到四个阶段中每个阶段的流量数据所对应的流量特征集;其中,每个阶段的流量数据所对应的流量特征集中可以包括但不限于流时长、包大小、流量位置、通信次数等特征中的任意一种或任意多种。同时,为了展开模型训练,还需要对收集的流量数据进行标签标注,例如为其标注是、否为高级持续性威胁的标签等,并将所标注的标签与所提取的特征集中的特征按所属的流量数据构建对照关系。
之后,可使用四组流量特征集及相对应的标签数据来分别训练和测试四个子检测模型,所训练的各个子检测模型与所述漏洞利用、横向移动、木马安装、命令与控制这四个阶段一一对应;其中,具体可采用机器学习模型来完成模型的训练与测试,例如,分别基于两个随机森林模型、两个神经网络模型来完成上述四个阶段所对应的四个子检测模型的训练等。在四个子检测模型的检测准确率符合要求后,如四个子检测模型的检测准确率均达到预定阈值(如检出率超过99%,误报率低于5%)后,则可以将其投入实际应用中,以使得利用所构建的四个子检测模型对网络流量进行检测,达到确定其是否属于高级持续性威胁等预定类型网络威胁的目的。
参考图2,为本发明实施例提供的威胁检测方法的一种流程示意图,本实施例中,该威胁检测方法可以包括如下步骤:
步骤201、获取待检测的子网络流量。
所述子网络流量可以是但不限于一个或多个网络流,具体实施中,优选地,所述子网络流量为一个网络流。
步骤202、获取预先训练的检测模型,所述检测模型包括多个子检测模型,各个子检测模型与预定类型网络威胁的生命周期中所包括的各个阶段一一对应,且每个子检测模型为:基于正常网络流量及所述预定类型网络威胁的生命周期中相应阶段所对应的恶意网络流量所构建的模型。
所述预先训练的检测模型即为由上述的各个子检测模型所构成的总模型,如上文所述,该检测模型所包括的各个子检测模型与预定类型网络威胁的生命周期中所包括的各个阶段一一对应,且每个子检测模型为:基于正常网络流量及所述预定类型网络威胁的生命周期中相应阶段所对应的恶意网络流量所构建的模型,由此,本发明在模型构建阶段就充分考虑并学习了网络威胁(如所述高级持续性威胁)的生命周期中不同阶段的入侵特点,为高准确率的网络威胁的检测提供了保证。
实际应用中,当需要对网络流量进行检测时,可调取该预先构建的包括多个子检测模型的所述检测模型。需要说明的是,本步骤102与上述步骤101的先后执行次序不是固定的,可以先执行其中的任一个,后执行另外一个,也可以将两者同时执行,本实施例对此不作限定。
步骤203、分别利用所述多个子检测模型中的各个子检测模型对所述子网络流量进行检测,得到所述子网络流量的多个子检测结果。
对于当前抓取的所述待检测的子网络流量,如所抓取的一个网络流的数据包(一个网络流可能包括一个或多个数据包),可分别利用所述多个子检测模型中的各个子检测模型对其进行检测。
具体地,可首先提取所述子网络流量的至少一个流量特征,得到流量特征集,如提取所述子网络流量的流时长、包大小、流量位置和/或通信次数等,需要说明的是,所提取的特征应与模型训练阶段针对样本数据所提取的特征类型一致;在完成所述子网络流量的特征提取,得到其流量特征集之后,可进一步将所述子网络流量的流量特征集分别输入所述检测模型所包括的各个子检测模型中,相应得到所述各个子检测模型输出的各个子检测结果。
以所述预定类型的网络威胁为所述高级持续性威胁为例,则可将所述子网络流量的流量特征集分别输入对应于所述漏洞利用阶段的第一子检测模型、对应所述横向移动阶段的第二子检测模型、对应于所述木马安装阶段的第三子检测模型以及对应于所述命令与控制阶段的第四子检测模型中,由此,相应可得到这四个子检测模型所输出的第一子检测结果、第二子检测结果、第三子检测结果及第四子检测结果。
每个子检测结果用于表示所述待检测的子网络流量是否属于所述预定类型的网络威胁,且进一步地,由于所述各个子检测模型与所述预定类型网络威胁的生命周期中所包括的各个阶段一一对应,分别学习了所述预定类型网络威胁的生命周期中相对应阶段的入侵特点,从而,每个子检测模型对应输出的子检测结果,还能够进一步用于表示所述待检测的子网络流量是否属于处于相应阶段的预定类型网络威胁。
仍以所述预定类型的网络威胁为所述高级持续性威胁为例,若所述第一子检测结果表示所述待检测的子网络流量属于所述高级持续性威胁,则所述第一子检测结果还能够进一步用于表示所述待检测的子网络流量具体属于处于漏洞利用阶段的高级持续性威胁;相类似地,若所述第二子检测结果表示所述待检测的子网络流量属于所述高级持续性威胁,则所述第二子检测结果还能够进一步用于表示所述待检测的子网络流量具体属于处于横向移动阶段的高级持续性威胁。
步骤204、基于所述多个子检测结果,确定所述子网络流量的检测结果。
在基于所述多个子检测模型,相应获得所述子网络流量的多个子检测结果后,可综合所述多个子检测结果,确定所述子网络流量的检测结果。
比如,假设在对所述子网络流量进行高级持续性威胁检测时,输出的四个子检测结果中第一子检测结果表示所述子网络流量属于高级持续性威胁,其余三个子检测结果表示所述子网络流量不属于高级持续性威胁,则可获知所述子网络流量仅符合高级持续威胁的漏洞利用阶段的入侵特点,不符合其他阶段的入侵特点,从而可确定出所述子网络流量属于处于漏洞利用阶段的高级持续性威胁。
步骤205、基于预设时长内多个子网络流量的检测结果,确定所述预设时长内由所述多个子网络流量所组成的网络流量的检测结果,以获知所述网络流量是否属于所述预定类型的网络威胁。
由于高级持续性威胁等网络威胁存在时间上的生长性,在不同时间段通常处于其生命周期的不同阶段,由此,本发明利用所述检测模型持续检测预设时长内的多个子网络流量,并综合所述多个子网络流量的检测结果,来确定所述预设时长内由所述多个子网络流量组成的网络流量的检测结果,以此获知所述网络流量是否属于所述预定类型的网络威胁。
具体地,可在所述多个子网络流量对应的各个检测结果表明超出预设数量的阶段检测出网络威胁的情况下,确定所述网络流量属于所述预定类型的网络威胁。
示例性地,比如,若所述预定类型的网络威胁为高级持续性威胁,则所述预设数量可以是但不限于3,从而,在所述预设时长内的多个子网络流量中存在至少3个阶段均检测出网络威胁的情况下,即可将所述多个子网络流量所组成的网络流量确定为高级持续性威胁。更具体地,比如,若所述预设时长内的多个子网络流量中的第一部分子网络流量被检测为属于漏洞利用阶段的高级持续性威胁、第二部分子网络流量被检测为属于横向移动阶段的高级持续性威胁、第三部分子网络流量被检测为属于木马安装阶段的高级持续性威胁,则可确定出该多个子网络流量组成的网络流量高度符合高级持续性威胁的生命周期中不同阶段的入侵特点,从而最终可将由该多个子网络流量组成的网络流量确定为高级持续性威胁。
由以上方案可知,本发明提供的威胁检测方法及系统,预先基于正常网络流量及预定类型网络威胁的生命周期中不同阶段所对应的恶意网络流量分别构建了多个子检测模型,各个子检测模块与各个阶段一一对应,在此基础上,针对每个子网络流量,分别利用各个子检测模型对其进行检测,由此得到每个子网络流量的检测结果,之后进一步基于预设时长内多个子网络流量的检测结果,确定由所述多个子网络流量所组成的网络流量的检测结果,以最终获知所述网络流量是否属于所述预定类型的网络威胁。由于本发明基于预定类型网络威胁的生命周期中不同阶段所对应的恶意网络流量进行了子检测模型的构建,从而可在模型中充分学习网络威胁生命周期中不同阶段的入侵特点,并可进一步基于所学习的不同阶段的入侵特点进行网络威胁检测,有效确保了网络威胁检测的高准确度。
在本发明的另一可选实施例中,参考图3示出的威胁检测方法的另一种流程示意图,所述威胁检测方法还可以包括以下处理步骤:
步骤206、在符合预定条件时,基于新的网络流量更新所述检测模型;
其中,所述新的网络流量至少包括所述预定类型网络威胁的生命周期中不同阶段所对应的新恶意网络流量,所述预定条件可以是但不限于达到设定的定期期限。
实际网络环境中,网络威胁的入侵特点可能会随着时间的推移或入侵技术的进步/发展而发生一些变化,为了保持检测模型的高准确率及时间适应性,参考图4示出的针对高级持续性威胁的模型应用与更新示意图,可定期收集所述预定类型网络威胁的生命周期中不同阶段的新的恶意网络流量,同时基于所述新的恶意网络流量同步更新各个阶段流量数据的流量特征集,并将各个阶段流量数据的新流量特征集及其对应的标签数据输入相对应的子检测模型中,使得子检测模型持续学习相对应阶段网络威胁的入侵特点,由此,可使得各个子检测模型具备较高的时间适应性及检测准确率。
其中,定期期限可基于模型部署环境的网络流量特点确定,如果网络流量变动越大,则期限应越短,例如,对于部署环境为流量规模巨大的大型企业网络,可每半个月更新一次特征集和检测模型,对于部署环境为流量规模较小的小型企业网络,则可设置一更长的时间(如三个月)更新一次特征集和检测模型。
本实施例通过定期基于新的网络流量更新所述检测模型,可使得所述检测模型持续地学习网络威胁的生命周期中不同阶段的入侵特点,确保了检测模型能够具备较高的时间适应性及检测准确率。
对应于上述的威胁检测方法,本发明还提供了一种威胁检测系统,参考图5示出的威胁检测系统的结构示意图,所述威胁检测系统可以包括:
第一获取单元501,用于获取待检测的子网络流量;
第二获取单元502,用于获取预先训练的检测模型,所述检测模型包括多个子检测模型,各个子检测模型与预定类型网络威胁的生命周期中所包括的各个阶段一一对应,且每个子检测模型为:基于正常网络流量及所述预定类型网络威胁的生命周期中相应阶段所对应的恶意网络流量所构建的模型;
检测单元503,用于分别利用所述多个子检测模型中的各个子检测模型对所述子网络流量进行检测,得到所述子网络流量的多个子检测结果;
第一确定单元504,用于基于所述多个子检测结果,确定所述子网络流量的检测结果;
第二确定单元505,用于基于预设时长内多个子网络流量的检测结果,确定所述预设时长内由所述多个子网络流量所组成的网络流量的检测结果,以获知所述网络流量是否属于所述预定类型的网络威胁。
在本发明实施例的一可选实施方式中,所述预定类型网络威胁为高级持续性威胁,所述预定类型网络威胁的生命周期中所包括的各个阶段包括:漏洞利用阶段、横向移动阶段、木马安装阶段、命令与控制阶段;
所述检测单元503,具体用于:
提取所述子网络流量的至少一个流量特征,得到流量特征集;
将所述流量特征集分别输入第一子检测模型、第二子检测模型、第三子检测模型及第四子检测模型,相应得到各个子检测模型所输出的第一子检测结果、第二子检测结果、第三子检测结果及第四子检测结果;
其中,所述第一子检测模型与所述漏洞利用阶段相对应,所述第二子检测模型与所述横向移动阶段相对应,所述第三子检测模型与所述木马安装阶段相对应,所述第四子检测模型与所述命令与控制阶段相对应。
在本发明实施例的一可选实施方式中,所述检测单元503提取所述子网络流量单元的至少一个流量特征,具体包括:
提取所述子网络流量的流时长、包大小、流量位置及通信次数中的任意一种或任意多种。
在本发明实施例的一可选实施方式中,所述第二确定单元505,具体用于:
若所述多个子网络流量对应的各个检测结果表明超出预设数量的阶段检测出网络威胁,则确定所述网络流量属于所述预定类型的网络威胁;
其中,所述预设数量为不小于1且不大于所述生命周期中所包括的阶段数量的自然数。
在本发明实施例的一可选实施方式中,如图5所示,所述威胁检测系统还可以包括:更新单元506,用于在符合预定条件时,基于新的网络流量更新所述检测模型;其中,所述新的网络流量至少包括所述预定类型网络威胁的生命周期中不同阶段所对应的新恶意网络流量。
对于本发明实施例公开的威胁检测系统而言,由于其与上文各实施例公开的威胁检测方法相对应,所以描述的比较简单,相关相似之处请参见上文各实施例中威胁检测方法部分的说明即可,此处不再详述。
需要说明的是,本说明书中的各个实施例均采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似的部分互相参见即可。
为了描述的方便,描述以上系统或装置时以功能分为各种模块或单元分别描述。当然,在实施本申请时可以把各单元的功能在同一个或多个软件和/或硬件中实现。
通过以上的实施方式的描述可知,本领域的技术人员可以清楚地了解到本申请可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例或者实施例的某些部分所述的方法。
最后,还需要说明的是,在本文中,诸如第一、第二、第三和第四等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (10)
1.一种威胁检测方法,其特征在于,包括:
获取待检测的子网络流量;
获取预先训练的检测模型,所述检测模型包括多个子检测模型,各个子检测模型与预定类型网络威胁的生命周期中所包括的各个阶段一一对应,且每个子检测模型为:基于正常网络流量及所述预定类型网络威胁的生命周期中相应阶段所对应的恶意网络流量所构建的模型;
分别利用所述多个子检测模型中的各个子检测模型对所述子网络流量进行检测,得到所述子网络流量的多个子检测结果;
基于所述多个子检测结果,确定所述子网络流量的检测结果;
基于预设时长内多个子网络流量的检测结果,确定所述预设时长内由所述多个子网络流量所组成的网络流量的检测结果,以获知所述网络流量是否属于所述预定类型的网络威胁。
2.根据权利要求1所述的方法,其特征在于,所述预定类型网络威胁为高级持续性威胁,所述预定类型网络威胁的生命周期中所包括的各个阶段包括:漏洞利用阶段、横向移动阶段、木马安装阶段、命令与控制阶段;
所述利用所述多个子检测模型中的各个子检测模型对所述子网络流量进行检测,包括:
提取所述子网络流量的至少一个流量特征,得到流量特征集;
将所述流量特征集分别输入第一子检测模型、第二子检测模型、第三子检测模型及第四子检测模型,相应得到各个子检测模型输出的第一子检测结果、第二子检测结果、第三子检测结果及第四子检测结果;
其中,所述第一子检测模型与所述漏洞利用阶段相对应,所述第二子检测模型与所述横向移动阶段相对应,所述第三子检测模型与所述木马安装阶段相对应,所述第四子检测模型与所述命令与控制阶段相对应。
3.根据权利要求2所述的方法,其特征在于,所述提取所述网络流量单元的至少一个流量特征,包括:
提取所述子网络流量的流时长、包大小、流量位置及通信次数中的任意一种或任意多种。
4.根据权利要求1所述的方法,其特征在于,所述基于预设时长内多个子网络流量的检测结果,确定所述预设时长内由所述多个子网络流量所组成的网络流量的检测结果,包括:
若所述多个子网络流量对应的各个检测结果表明超出预设数量的阶段检测出网络威胁,则确定所述网络流量属于所述预定类型的网络威胁;
其中,所述预设数量为不小于1且不大于所述生命周期中所包括的阶段数量的自然数。
5.根据权利要求1-4任一项所述的方法,其特征在于,还包括:
在符合预定条件时,基于新的网络流量更新所述检测模型;
其中,所述新的网络流量至少包括所述预定类型网络威胁的生命周期中不同阶段所对应的新恶意网络流量。
6.一种威胁检测系统,其特征在于,包括:
第一获取单元,用于获取待检测的子网络流量;
第二获取单元,用于获取预先训练的检测模型,所述检测模型包括多个子检测模型,各个子检测模型与预定类型网络威胁的生命周期中所包括的各个阶段一一对应,且每个子检测模型为:基于正常网络流量及所述预定类型网络威胁的生命周期中相应阶段所对应的恶意网络流量所构建的模型;
检测单元,用于分别利用所述多个子检测模型中的各个子检测模型对所述子网络流量进行检测,得到所述子网络流量的多个子检测结果;
第一确定单元,用于基于所述多个子检测结果,确定所述子网络流量的检测结果;
第二确定单元,用于基于预设时长内多个子网络流量的检测结果,确定所述预设时长内由所述多个子网络流量所组成的网络流量的检测结果,以获知所述网络流量是否属于所述预定类型的网络威胁。
7.根据权利要求6所述的系统,其特征在于,所述预定类型网络威胁为高级持续性威胁,所述预定类型网络威胁的生命周期中所包括的各个阶段包括:漏洞利用阶段、横向移动阶段、木马安装阶段、命令与控制阶段;
所述检测单元,具体用于:
提取所述子网络流量的至少一个流量特征,得到流量特征集;
将所述流量特征集分别输入第一子检测模型、第二子检测模型、第三子检测模型及第四子检测模型,相应得到各个子检测模型输出的第一子检测结果、第二子检测结果、第三子检测结果及第四子检测结果;
其中,所述第一子检测模型与所述漏洞利用阶段相对应,所述第二子检测模型与所述横向移动阶段相对应,所述第三子检测模型与所述木马安装阶段相对应,所述第四子检测模型与所述命令与控制阶段相对应。
8.根据权利要求7所述的系统,其特征在于,所述检测单元提取所述子网络流量单元的至少一个流量特征,具体包括:
提取所述子网络流量的流时长、包大小、流量位置及通信次数中的任意一种或任意多种。
9.根据权利要求6所述的系统,其特征在于,所述第二确定单元,具体用于:
若所述多个子网络流量对应的各个检测结果表明超出预设数量的阶段检测出网络威胁,则确定所述网络流量属于所述预定类型的网络威胁;
其中,所述预设数量为不小于1且不大于所述生命周期中所包括的阶段数量的自然数。
10.根据权利要求6-9任一项所述的系统,其特征在于,还包括:
更新单元,用于在符合预定条件时,基于新的网络流量更新所述检测模型;其中,所述新的网络流量至少包括所述预定类型网络威胁的生命周期中不同阶段所对应的新恶意网络流量。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910562134.5A CN112152962B (zh) | 2019-06-26 | 2019-06-26 | 一种威胁检测方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910562134.5A CN112152962B (zh) | 2019-06-26 | 2019-06-26 | 一种威胁检测方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112152962A CN112152962A (zh) | 2020-12-29 |
| CN112152962B true CN112152962B (zh) | 2022-10-28 |
Family
ID=73869954
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910562134.5A Active CN112152962B (zh) | 2019-06-26 | 2019-06-26 | 一种威胁检测方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112152962B (zh) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112839050A (zh) * | 2021-01-20 | 2021-05-25 | 付中野 | 一种基于物联网的入侵检测方法及系统 |
| CN113992371B (zh) * | 2021-10-18 | 2023-08-18 | 安天科技集团股份有限公司 | 一种流量日志的威胁标签生成方法、装置及电子设备 |
| CN114448699B (zh) * | 2022-01-28 | 2024-01-30 | 上海斗象信息科技有限公司 | 数据检测方法、装置、电子设备及存储介质 |
| CN114866338B (zh) * | 2022-06-10 | 2024-06-11 | 阿里云计算有限公司 | 网络安全检测方法、装置及电子设备 |
| CN115086060B (zh) * | 2022-06-30 | 2023-11-07 | 深信服科技股份有限公司 | 一种流量检测方法、装置、设备及可读存储介质 |
| CN115378670B (zh) * | 2022-08-08 | 2024-03-12 | 永信至诚科技集团股份有限公司 | 一种apt攻击识别方法、装置、电子设备及介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107370755A (zh) * | 2017-08-23 | 2017-11-21 | 杭州安恒信息技术有限公司 | 一种多维度深层次检测apt攻击的方法 |
| CN107888607A (zh) * | 2017-11-28 | 2018-04-06 | 新华三技术有限公司 | 一种网络威胁检测方法、装置及网络管理设备 |
| CN108259449A (zh) * | 2017-03-27 | 2018-07-06 | 新华三技术有限公司 | 一种防御apt攻击的方法和系统 |
| CN108965349A (zh) * | 2018-10-19 | 2018-12-07 | 周红梅 | 一种监测高级持续性网络攻击的方法和系统 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10218718B2 (en) * | 2016-08-23 | 2019-02-26 | Cisco Technology, Inc. | Rapid, targeted network threat detection |
-
2019
- 2019-06-26 CN CN201910562134.5A patent/CN112152962B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108259449A (zh) * | 2017-03-27 | 2018-07-06 | 新华三技术有限公司 | 一种防御apt攻击的方法和系统 |
| CN107370755A (zh) * | 2017-08-23 | 2017-11-21 | 杭州安恒信息技术有限公司 | 一种多维度深层次检测apt攻击的方法 |
| CN107888607A (zh) * | 2017-11-28 | 2018-04-06 | 新华三技术有限公司 | 一种网络威胁检测方法、装置及网络管理设备 |
| CN108965349A (zh) * | 2018-10-19 | 2018-12-07 | 周红梅 | 一种监测高级持续性网络攻击的方法和系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112152962A (zh) | 2020-12-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112152962B (zh) | 一种威胁检测方法及系统 | |
| Alsaedi et al. | TON_IoT telemetry dataset: A new generation dataset of IoT and IIoT for data-driven intrusion detection systems | |
| US8762298B1 (en) | Machine learning based botnet detection using real-time connectivity graph based traffic features | |
| Al-Hawawreh et al. | Developing a security testbed for industrial internet of things | |
| Garitano et al. | A review of SCADA anomaly detection systems | |
| Das et al. | A survey on types of machine learning techniques in intrusion prevention systems | |
| US20220159020A1 (en) | Network protection | |
| EP3607484B1 (en) | Multilevel intrusion detection in automation and control systems | |
| US20120054866A1 (en) | System, method, and computer software code for detecting a computer network intrusion in an infrastructure element of a high value target | |
| Hodo et al. | Anomaly detection for simulated iec-60870-5-104 trafiic | |
| CN109862003A (zh) | 本地威胁情报库的生成方法、装置、系统及存储介质 | |
| Beaver et al. | A learning system for discriminating variants of malicious network traffic | |
| Goyal et al. | HTTP botnet detection in IOT devices using network traffic analysis | |
| Dixit et al. | Comparing and analyzing applications of intelligent techniques in cyberattack detection | |
| Mubarak et al. | Industrial datasets with ICS testbed and attack detection using machine learning techniques | |
| Niu et al. | Uncovering APT malware traffic using deep learning combined with time sequence and association analysis | |
| Schmitt et al. | Intelligent threat hunting in software-defined networking | |
| Yang et al. | Cloud-edge coordinated traffic anomaly detection for industrial cyber-physical systems | |
| Kornyo et al. | Botnet attacks classification in AMI networks with recursive feature elimination (RFE) and machine learning algorithms | |
| Mahmoodi et al. | Autonomous federated learning for distributed intrusion detection systems in public networks | |
| Alosefer et al. | Predicting client-side attacks via behaviour analysis using honeypot data | |
| Alonazi et al. | SDN architecture for smart homes security with machine learning and deep learning | |
| Efiong et al. | A contrived dataset of substation automation for cybersecurity research in the smart grid networks based on IEC61850 | |
| Molcer et al. | Machine learning based network intrusion detection system for internet of things cybersecurity | |
| Raja et al. | Implementation of IDS within a crew using ID3Algorithm in wireless sensor local area network |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |