CN112836214A - 一种通讯协议隐蔽通道检测方法 - Google Patents
一种通讯协议隐蔽通道检测方法 Download PDFInfo
- Publication number
- CN112836214A CN112836214A CN201911153106.4A CN201911153106A CN112836214A CN 112836214 A CN112836214 A CN 112836214A CN 201911153106 A CN201911153106 A CN 201911153106A CN 112836214 A CN112836214 A CN 112836214A
- Authority
- CN
- China
- Prior art keywords
- data
- feature
- module
- processing
- feature extraction
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000004891 communication Methods 0.000 title claims abstract description 20
- 238000001514 detection method Methods 0.000 title claims description 13
- 238000012545 processing Methods 0.000 claims abstract description 52
- 238000000605 extraction Methods 0.000 claims abstract description 45
- 238000000034 method Methods 0.000 claims abstract description 37
- 210000002569 neuron Anatomy 0.000 claims abstract description 28
- 238000013528 artificial neural network Methods 0.000 claims abstract description 27
- 238000012549 training Methods 0.000 claims abstract description 14
- 238000013515 script Methods 0.000 claims abstract description 11
- 239000013598 vector Substances 0.000 claims abstract description 9
- 230000006870 function Effects 0.000 claims description 18
- 230000005540 biological transmission Effects 0.000 claims description 12
- 230000007704 transition Effects 0.000 claims description 7
- 230000002159 abnormal effect Effects 0.000 claims description 6
- 238000006243 chemical reaction Methods 0.000 claims description 6
- 238000011156 evaluation Methods 0.000 claims description 6
- 230000004044 response Effects 0.000 claims description 5
- 238000004364 calculation method Methods 0.000 claims description 4
- 230000009466 transformation Effects 0.000 claims description 3
- 238000004422 calculation algorithm Methods 0.000 description 8
- 230000008569 process Effects 0.000 description 5
- 230000006872 improvement Effects 0.000 description 4
- 238000007689 inspection Methods 0.000 description 3
- 230000006399 behavior Effects 0.000 description 2
- 229910002056 binary alloy Inorganic materials 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 230000007547 defect Effects 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 238000006467 substitution reaction Methods 0.000 description 2
- 230000004913 activation Effects 0.000 description 1
- 230000002155 anti-virotic effect Effects 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 125000004122 cyclic group Chemical group 0.000 description 1
- 230000007812 deficiency Effects 0.000 description 1
- 230000002708 enhancing effect Effects 0.000 description 1
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 1
- 235000015122 lemonade Nutrition 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 238000005065 mining Methods 0.000 description 1
- 230000001902 propagating effect Effects 0.000 description 1
- 238000005070 sampling Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/21—Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
- G06F18/214—Generating training patterns; Bootstrap methods, e.g. bagging or boosting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/045—Combinations of networks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
- G06N3/084—Backpropagation, e.g. using gradient descent
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Data Mining & Analysis (AREA)
- General Physics & Mathematics (AREA)
- Life Sciences & Earth Sciences (AREA)
- Health & Medical Sciences (AREA)
- Artificial Intelligence (AREA)
- Computer Security & Cryptography (AREA)
- Evolutionary Computation (AREA)
- General Health & Medical Sciences (AREA)
- Computing Systems (AREA)
- Molecular Biology (AREA)
- Mathematical Physics (AREA)
- Computational Linguistics (AREA)
- Biophysics (AREA)
- Computer Hardware Design (AREA)
- Biomedical Technology (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Bioinformatics & Computational Biology (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Evolutionary Biology (AREA)
- Virology (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种通讯协议隐蔽通道检测方法,所述方法包括以下步骤:步骤一:建立数据接收模块,将收集的相关网络协议数据进行回放,接收模块即第一处理模块根据不同协议的特征对相关数据进行抽取,形成第一特征数据;步骤二:建立数据合法性特征抽取模块,步骤三:利用上述定义的相关处理函数等,编写合适的、特征抽取脚本;步骤四:将步骤三中形成的相关特征向量输入到BP神经网络,其中每个特征代表一个神经元,建立网络数据特征训练模块,在此模块中需要对第二特征数据进行训练,形成第三特征数据,用于检验实际数据,此模块被称作第三模块;第三特征数据是最终形成的特征数据;步骤五:将步骤四生成的第三特征数据进行保存并作为在实际系统中使用的内容。
Description
技术领域
本发明涉及一种检测方法,具体涉及一种通讯协议隐蔽通道检测方法,属于通讯协议检测技术领域。
背景技术
随着网络在现代生活的地位越来越重要,人们使用网络的范围也越来越大,但其实在网络给生活带来巨大便利的同时,也蕴含着重大风险,这些风险主要表现在如下几个方面:
1.无处不在的个人信息泄漏,使人们在生活种受到频繁骚扰,严重者甚至危及生命;
2.广泛存在的计算机勒索,特别是一些“臭名昭著”的勒索木马,如“永恒之蓝”、“永恒冠军”、“永恒浪漫”等永恒系列,以及入Gand Crab等具有“传统”的勒索软件;
3.无孔不入的挖矿木马,即利用个人计算机的算力,在互联网世界挖掘各类电子货币,如比特币、莱特币等等。
上述列举的例子仅是“冰山一角”,而且相对于大量的各类恶意软件(木马、勒索、蠕虫等),各类杀毒软件或类似防护措施总是在各种黑客手段种丧失效能,从而任由这些恶意软件出入自由。
一般而言,特别是一些主流的恶意软件都需要和其命令结点进行通信,这类行为被称作“回连”,其实“回连”的目的主要包括两种,其一是接收命令结点的指示,其二则是将一些敏感数据传出至外网;而现代恶意软件为了隐蔽自身行为一般都会采用一些隐匿措施,如使用动态生成域名与命令结点通讯,或者使用协议隐写方法传递一些敏感数据,而后者则被称作使用隐蔽通道进行通讯或数据的传递。
协议隐写或使用隐蔽通道传递数据(主要用在数据泄漏方面)主要会依赖于一些可以轻易穿透防火墙的应用协议,如ICMP或DNS协议等,对于这类的数据传递合法性检测一般手段是无法适用的,因为它们会被各类网关或安全设备认为是合法的,从而会造成敏感数据泄漏或非法指令的传递。
市面上主流的检查手段一般只是使用这些数据的部分特征,应用权重方法评估数据的传递是否合法,但存在较大的局限性,主要体现在如下方面:
1.主流的检查方法一般是每种协议都需要单独解析,缺乏通用性,从而造成非常难于扩展;
主流的检查方法缺乏一定的智能性,对于非常隐蔽的手段很难发现和定位。
因此,迫切的需要一种新的方案解决上述技术问题。
发明内容
本发明正是针对现有技术中存在的问题,提供一种通讯协议隐蔽通道检测方法,该技术方案克服了现有技术中的不足,建立一个较为通用的方法来融合不同通讯应用协议可能作为隐蔽通道来传输泄漏数据或非法指令,而且这种方法应具有足够的智能处理手段,当被检查数据存在明显的偏离时,可以提示使用者当前存在的风险。
为了实现上述目的,本发明的技术方案如下,一种通讯协议隐蔽通道检测方法,所述方法包括以下步骤:
步骤一:建立数据接收模块,将收集的相关网络协议数据进行回放,接收模块即第一处理模块根据不同协议的特征对相关数据进行抽取,形成第一特征数据,
步骤二:建立数据合法性特征抽取模块,即第二数据处理模块,其数据输入为第一数据处理模块,即数据接收模块所输出的相关数据,此处需要支持较多种类的数据特征抽取处理函数,
步骤三:利用上述定义的相关处理函数等,编写合适的、特征抽取脚本,
步骤四:将步骤三中形成的相关特征向量输入到BP神经网络,其中每个特征代表一个神经元,建立网络数据特征训练模块,在此模块中需要对第二特征数据进行训练,形成第三特征数据(仅包含一些数字特征),用于检验实际数据,此模块被称作第三模块;第三特征数据是最终形成的特征数据;
步骤五:将步骤四生成的第三特征数据进行保存并作为在实际系统中使用的内容,即通过在现场生成具有同样结构和权重的神经网络,对相关流量数据进行检查,如出现反向数据则直接进行报警,其输出值(介入0和1之间)可以做作为相关置信度数据放入报警中。
作为本发明的一种改进,所述步骤一中,抽取的规则按照如下方式进行定义:
■协议名称:如DNS、ICMP等;
■描述:非强制填写;
■协议匹配和抽取规则以及字段名称:匹配和抽取规则主要依赖于正则进行处理非定长数据;当然,它也兼容了一般的匹配和抽取规则用以抽取定长数据(一般为二进制数据,形式类似如:起始偏移(可选),正则表达式(必填),抽取长度,最大匹配深度,最大匹配长度,是否忽略大小写;其中正则表达式支持使用二进制方式匹配,以处理非纯文本情况;抽取完的数据会相应地将数值赋给某个字段,形成元数据;另外,对于特别难于用正则处理的数据支持使用基于LUA 的脚本进行编程处理,在LUA脚本中可以对相关字段进行赋值并输出;
■数据转换:提供一定的函数,对相关需要进行内容转换的字段进行基础处理或变换,比如可将IP地址根据地理信息位置转换国别、省、市等;
■形成第一特征数据,作为第二处理模块的输入。
作为本发明的一种改进,所述步骤二中,建立数据合法性特征抽取模块,即第二数据处理模块,其数据输入为第一数据处理模块,即数据接收模块所输出的相关数据,此处需要支持较多种类的数据特征抽取处理函数,如下:
■支持字符串长度特征抽取处理;
■支持字符串大小写分布特征抽取处理;
■支持字符串字符和数字分布特征抽取处理;
■支持字符串香农信息熵特征计算处理;
■n-gram平均转移概率特征抽取;
■支持IP地址位置国别分布特征抽取处理;
■支持获取指定时间段内某对象访问次数;
■支持获取指定时间段内某对象访问流量大小;
■支持获取指定时间段内某对象访问数据包数量;
另外,针对特定协议,如DNS协议等,还可以获取诸如域名的排名(是否在常见域名的前一千万名以内等)、元音分布特征获取、辅音分布特征获取、连续辅音分布特征等等。
作为本发明的一种改进,所述步骤三中,利用上述定义的相关处理函数等,编写合适的、特征抽取脚本,具体如下,针对DNS隐蔽通道数据传输的特点,一般需要如下特征:
■域名长度特征:因为一般黑客利用DNS传输数据会将相关信息放在域名中,然后利用DNS请求的相关特性,将此信息发送出去,为了能快速的将数据传送出去,一般此域名会很长,这有别于一般的域名,但其顶级域名(TLD)一般是固定的;
■顶级域名排名特征:可以对顶级域名的排名情况进行检查,如不在常见的TopN域名排名内则将其设置为相应的特征值;
■域名组成特征:通过对域名拼写特征的检查,抽取相关特征,这些包括域名的熵值、连续辅音组成特征、元音分布特征、3-gram字符平均转移概率(即连续三个字符在正常域名中三字母平均转移概率);
■DNS请求和响应比例:对于利用DNS隐蔽通道传输敏感数据而言,黑客的目的仅是为了将这些数据传送到接收服务端,故此比例一般偏高,即请求数据包的数量一般远远高于响应数据包的数量;
■单位时间DNS流量吞吐特征:对于黑客而言,因为需要通过此类方式传输大量的敏感数据,而利用DNS的域名进行泄漏时,一次不可能传输太多数据,因为根据 DNS协议约定,域名不能设置过长,所以需要多个DNS请求数据方能将相关数据传输完成;
然后,将标识为正常以及异常的数据输入到第二模块,根据定义的相关特征抽取脚本,对特征进行城区,在高维空间形成相关向量。
作为本发明的一种改进,所述步骤四中,具体如下,本发明使用三层神经网络,其中输出采用两个神经元,一个为正向(即正常数据),另一个为反向(即异常数据),中间隐层采用96个神经元,系统采用交叉熵的方法评估误差,结束条件为迭代次数设定为2000次或误差在0.0001内;为了避免欠拟合或过拟合的发生,本发明采用平方正则化方法,其误差评估公式如下:
在上面的公式中,第一部分为基于交叉熵的误差评估,而后一部分则为平方正则化部分(平方正则化即基于二范数的正则化);公式中的循环变量i和k分别表示本层内的神经元个体和其它连接层的神经元数量,而上标L则表示层数,在本发明中l取3,N为神经元的总体数量,λ则为正则化系数,一般为一个小于5 大于1的参数;而w则为各个神经元的连接权重系数,也就是通过学习需要获得的最终结果;相应地,经过学习后,可以将神经网络结构以及各个神经元的连接权重进行保存,形成第三特征数据;
作为本发明的一种改进,所述步骤五中,将步骤4生成的第三特征数据进行保存并作为在实际系统中使用的内容,即通过在现场生成具有同样结构和权重的神经网络,对相关流量数据进行检查,如出现反向数据则直接进行报警,其输出值(介入0和1之间)可以做作为相关置信度数据放入报警中。
相对于现有技术,本发明具有如下优点,该技术方案使用较为通用的方法对不同类型的网络通讯协议(主要是应用协议)的特征进行抽取和建模,如针对DNS 协议的隐蔽通道的检测和ICMP协议的隐蔽通道的检测几乎比较类似;该方案能弥补基于特征码的方式检测隐蔽通道所带来的不足,具备更好的灵活性和广泛性;该方案使用经过训练过的前馈神经网络用于检测可能存在隐蔽通道通讯,具有更好的识别率,而且由于采用神经网络方法,系统一般也无需使用数量庞大的特征库(一般动辄数量达上千万的特征库),从而减少了应用的内存占用。统一的网络应用通讯协议特征抽取框架,能适用不同的常见协议以及一些私有协议,而一般无需编制二进制代码;提供了广泛的特征抽取方法,这些特征抽取方法涵盖了数据包内容特征以及流量统计特征方面;对于无法由框架提供的脚本而完成的特征抽取工作,则提供内嵌的LUA以弥补相关功能的缺失;对于不同网络通讯协议特征建立机制以及使用基于前馈神经网络的机器学习机制。
附图说明
图1为本发明整体流程示意图。
具体实施方式:
为了加深对本发明的理解,下面结合附图对本实施例做详细的说明。
实施例1:一种通讯协议隐蔽通道检测方法,所述方法包括以下步骤:
步骤一:建立数据接收模块,将收集的相关网络协议数据进行回放,接收模块即第一处理模块根据不同协议的特征对相关数据进行抽取,形成第一特征数据;
步骤二:建立数据合法性特征抽取模块,即第二数据处理模块,其数据输入为第一数据处理模块,即数据接收模块所输出的相关数据,此处需要支持较多种类的数据特征抽取处理函数;
步骤三:利用上述定义的相关处理函数等,编写合适的、特征抽取脚本;
步骤四:将步骤三中形成的相关特征向量输入到BP神经网络,其中每个特征代表一个神经元,建立网络数据特征训练模块,在此模块中需要对第二特征数据进行训练,形成第三特征数据(仅包含一些数字特征),用于检验实际数据,此模块被称作第三模块;第三特征数据是最终形成的特征数据;
步骤五:将步骤四生成的第三特征数据进行保存并作为在实际系统中使用的内容,即通过在现场生成具有同样结构和权重的神经网络,对相关流量数据进行检查,如出现反向数据则直接进行报警,其输出值(介入0和1之间)可以做作为相关置信度数据放入报警中。
所述步骤一中,抽取的规则按照如下方式进行定义:
协议名称:如DNS、ICMP等;
描述:非强制填写;
协议匹配和抽取规则以及字段名称:匹配和抽取规则主要依赖于正则进行处理非定长数据;当然,它也兼容了一般的匹配和抽取规则用以抽取定长数据(一般为二进制数据,形式类似如:起始偏移(可选),正则表达式(必填),抽取长度,最大匹配深度,最大匹配长度,是否忽略大小写;其中正则表达式支持使用二进制方式匹配,以处理非纯文本情况;抽取完的数据会相应地将数值赋给某个字段,形成元数据;另外,对于特别难于用正则处理的数据支持使用基于LUA的脚本进行编程处理,在LUA脚本中可以对相关字段进行赋值并输出;
数据转换:提供一定的函数,对相关需要进行内容转换的字段进行基础处理或变换,比如可将IP地址根据地理信息位置转换国别、省、市等;
形成第一特征数据,作为第二处理模块的输入。
所述步骤二中,建立数据合法性特征抽取模块,即第二数据处理模块,其数据输入为第一数据处理模块,即数据接收模块所输出的相关数据,此处需要支持较多种类的数据特征抽取处理函数,如下:
■支持字符串长度特征抽取处理;
■支持字符串大小写分布特征抽取处理;
■支持字符串字符和数字分布特征抽取处理;
■支持字符串香农信息熵特征计算处理;
■n-gram平均转移概率特征抽取;
■支持IP地址位置国别分布特征抽取处理;
■支持获取指定时间段内某对象访问次数;
■支持获取指定时间段内某对象访问流量大小;
■支持获取指定时间段内某对象访问数据包数量。
另外,针对特定协议,如DNS协议等,还可以获取诸如域名的排名(是否在常见域名的前一千万名以内等)、元音分布特征获取、辅音分布特征获取、连续辅音分布特征等等。
所述步骤三中,利用上述定义的相关处理函数等,编写特征抽取脚本,具体如下,针对DNS隐蔽通道数据传输的特点,包括获取如下特征:
■域名长度特征:因为一般黑客利用DNS传输数据会将相关信息放在域名中,然后利用DNS请求的相关特性,将此信息发送出去,为了能快速的将数据传送出去,一般此域名会很长,这有别于一般的域名,但其顶级域名(TLD)一般是固定的;
■顶级域名排名特征:可以对顶级域名的排名情况进行检查,如不在常见的TopN域名排名内则将其设置为相应的特征值;
■域名组成特征:通过对域名拼写特征的检查,抽取相关特征,这些包括域名的熵值、连续辅音组成特征、元音分布特征、3-gram字符平均转移概率(即连续三个字符在正常域名中三字母平均转移概率);
■DNS请求和响应比例:对于利用DNS隐蔽通道传输敏感数据而言,黑客的目的仅是为了将这些数据传送到接收服务端,故此比例一般偏高,即请求数据包的数量一般远远高于响应数据包的数量;
■单位时间DNS流量吞吐特征:对于黑客而言,因为需要通过此类方式传输大量的敏感数据,而利用DNS的域名进行泄漏时,一次不可能传输太多数据,因为根据 DNS协议约定,域名不能设置过长,所以需要多个DNS请求数据方能将相关数据传输完成;
然后,将标识为正常以及异常的数据输入到第二模块,根据定义的相关特征抽取脚本,对特征进行城区,在高维空间形成相关向量。
所述步骤四中,具体如下,本发明使用三层神经网络,其中输出采用两个神经元,一个为正向(即正常数据),另一个为反向(即异常数据),中间隐层采用96 个神经元,系统采用交叉熵的方法评估误差,结束条件为迭代次数设定为2000 次或误差在0.0001内;为了避免欠拟合或过拟合的发生,本发明采用平方正则化方法,其误差评估公式如下:
在上面的公式中,第一部分为基于交叉熵的误差评估,而后一部分则为平方正则化部分(平方正则化即基于二范数的正则化);其中表示第L层的神经元,yki表示最终的输出,公式中的循环变量i(本层神经元序号)和k(下层连接的神经元序号)分别表示在第L层中的神经元个体和其它连接层的神经元数量,在本发明中l取3,N为神经元的总体数量,λ则为正则化系数,一般为一个小于5大于 1的参数;而w则为各个神经元的连接权重系数,此系数为通过若干次迭代训练所得到的结果,也就是通过学习需要获得的最终结果;相应地,经过学习后,可以将神经网络结构以及各个神经元的连接权重进行保存,形成第三特征数据;整体算法流程及正向训练、反向传播算法如下:
■总体流程:
算法:训练隐蔽通道检测反向传播神经网络
输入:规格化后的N个通讯采样数据
输出:隐蔽通道检测反向传播神经网络(主要是各层连接边的权值及其偏置)
while(t<T or|e|>E){
for(xk∈X){
正向传递计算;
计算误差并累计至中间变量;
反向传播;
结束。
■正向训练
正向训练算法伪代码如下:
算法:基于隐蔽通道检测的反向传播神经网络正向计算
输入:一个样本点及L层带权神经网络
输出:神经网络输出向量
在上述算法中,neuron是神经元,value是神经元的值,而bias是神经元的偏置,σ(x)是激活函数,使用Sigmoid函数,其导数就是1-σ(x)。
■反向传播
反向传播算法伪代码如下:
算法:基于隐蔽通道检测的反向传播神经网络逆向反馈计算
输入:一个样本点及L层带权神经网络
输出:待调整参数偏差累计和(对于一个样本点而言暂时不会调整各个参数)
在上述公式中delta_weight_sum是权重累计变化值,而delta_bias_sum则是偏置累计变化值。
最后的训练结果在数组w中。
所述步骤五中,将步骤4生成的第三特征数据进行保存并作为在实际系统中使用的内容,即通过在现场生成具有同样结构和权重的神经网络,对相关流量数据进行检查,如出现反向数据则直接进行报警,其输出值(介入0和1之间)做作为相关置信度数据放入报警中。
该方案使用经过训练过的前馈神经网络用于检测可能存在隐蔽通道通讯,具有更好的识别率,而且由于采用神经网络方法,系统一般也无需使用数量庞大的特征库(一般动辄数量达上千万的特征库),从而减少了应用的内存占用。
需要说明的是上述实施例仅仅是本发明的较佳实施例,并没有用来限定本发明的保护范围,在上述技术方案的基础上做出的等同替换或者替代,均属于本发明的保护范围。
Claims (6)
1.一种通讯协议隐蔽通道检测方法,其特征在于,所述方法包括以下步骤:
步骤一:建立数据接收模块,将收集的相关网络协议数据进行回放,接收模块即第一处理模块根据不同协议的特征对相关数据进行抽取,形成第一特征数据;
步骤二:建立数据合法性特征抽取模块,即第二数据处理模块,其数据输入为第一数据处理模块,即数据接收模块所输出的相关数据,此处需要支持较多种类的数据特征抽取处理函数;
步骤三:利用上述定义的相关处理函数等,编写合适的、特征抽取脚本;
步骤四:将步骤三中形成的相关特征向量输入到BP神经网络,其中每个特征代表一个神经元,建立网络数据特征训练模块,在此模块中需要对第二特征数据进行训练,形成第三特征数据,用于检验实际数据,此模块被称作第三模块;第三特征数据是最终形成的特征数据;
步骤五:将步骤四生成的第三特征数据进行保存并作为在实际系统中使用的内容,即通过在现场生成具有同样结构和权重的神经网络,对相关流量数据进行检查,如出现反向数据则直接进行报警,其输出值(介入0和1之间)可以做作为相关置信度数据放入报警中。
2.根据权利要求1所述的通讯协议隐蔽通道检测方法,其特征在于,所述步骤一中,抽取的规则按照如下方式进行定义:
协议名称:
描述:非强制填写;
协议匹配和抽取规则以及字段名称:
数据转换:提供一定的函数,对相关需要进行内容转换的字段进行基础处理或变换,比如可将IP地址根据地理信息位置转换国别、省、市等;
形成第一特征数据,作为第二处理模块的输入。
3.根据权利要求2所述的通讯协议隐蔽通道检测方法,其特征在于,所述步骤二中,建立数据合法性特征抽取模块,即第二数据处理模块,其数据输入为第一数据处理模块,即数据接收模块所输出的相关数据,此处需要支持较多种类的数据特征抽取处理函数,如下:
■支持字符串长度特征抽取处理;
■支持字符串大小写分布特征抽取处理;
■支持字符串字符和数字分布特征抽取处理;
■支持字符串香农信息熵特征计算处理;
■n-gram平均转移概率特征抽取;
■支持IP地址位置国别分布特征抽取处理;
■支持获取指定时间段内某对象访问次数;
■支持获取指定时间段内某对象访问流量大小;
■支持获取指定时间段内某对象访问数据包数量。
4.根据权利要求3所述的通讯协议隐蔽通道检测方法,其特征在于,所述步骤三中,利用上述定义的相关处理函数等,编写特征抽取脚本,具体如下,针对DNS隐蔽通道数据传输的特点,包括获取如下特征:
域名长度特征:
顶级域名排名特征:
域名组成特征:
DNS请求和响应比例:
单位时间DNS流量吞吐特征:
将标识为正常以及异常的数据输入到第二模块,根据定义的相关特征抽取脚本,对特征进行城区,在高维空间形成相关向量。
6.根据权利要求5所述的通讯协议隐蔽通道检测方法,其特征在于,所述步骤五中,将步骤4生成的第三特征数据进行保存并作为在实际系统中使用的内容,即通过在现场生成具有同样结构和权重的神经网络,对相关流量数据进行检查,如出现反向数据则直接进行报警,其输出值(介入0和1之间)做作为相关置信度数据放入报警中。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911153106.4A CN112836214A (zh) | 2019-11-22 | 2019-11-22 | 一种通讯协议隐蔽通道检测方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911153106.4A CN112836214A (zh) | 2019-11-22 | 2019-11-22 | 一种通讯协议隐蔽通道检测方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN112836214A true CN112836214A (zh) | 2021-05-25 |
Family
ID=75921617
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201911153106.4A Pending CN112836214A (zh) | 2019-11-22 | 2019-11-22 | 一种通讯协议隐蔽通道检测方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112836214A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115134168A (zh) * | 2022-08-29 | 2022-09-30 | 成都盛思睿信息技术有限公司 | 基于卷积神经网络的云平台隐蔽通道检测方法及系统 |
Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104753617A (zh) * | 2015-03-17 | 2015-07-01 | 中国科学技术大学苏州研究院 | 基于神经网络的时序型隐信道检测方法 |
WO2016061742A1 (en) * | 2014-10-21 | 2016-04-28 | Intellectual Ventures Hong Kong Limited | Automatic profiling framework of cross-vm covert channel capacity |
CN106355250A (zh) * | 2016-08-31 | 2017-01-25 | 天津南大通用数据技术股份有限公司 | 基于神经网络的判断隐蔽信道的优化方法及装置 |
CN107733851A (zh) * | 2017-08-23 | 2018-02-23 | 刘胜利 | 基于通信行为分析的dns隧道木马检测方法 |
US20180063162A1 (en) * | 2016-08-25 | 2018-03-01 | International Business Machines Corporation | Dns tunneling prevention |
CN107967311A (zh) * | 2017-11-20 | 2018-04-27 | 阿里巴巴集团控股有限公司 | 一种对网络数据流进行分类的方法和装置 |
CN109120733A (zh) * | 2018-07-20 | 2019-01-01 | 杭州安恒信息技术股份有限公司 | 一种利用dns进行通信的检测方法 |
CN109309673A (zh) * | 2018-09-18 | 2019-02-05 | 南京方恒信息技术有限公司 | 一种基于神经网络的dns隐蔽信道检测方法 |
CN109450721A (zh) * | 2018-09-06 | 2019-03-08 | 南京聚铭网络科技有限公司 | 一种基于深度神经网络的网络异常行为识别方法 |
CN110149418A (zh) * | 2018-12-12 | 2019-08-20 | 国网信息通信产业集团有限公司 | 一种基于深度学习的dns隐蔽隧道检测方法 |
-
2019
- 2019-11-22 CN CN201911153106.4A patent/CN112836214A/zh active Pending
Patent Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2016061742A1 (en) * | 2014-10-21 | 2016-04-28 | Intellectual Ventures Hong Kong Limited | Automatic profiling framework of cross-vm covert channel capacity |
CN104753617A (zh) * | 2015-03-17 | 2015-07-01 | 中国科学技术大学苏州研究院 | 基于神经网络的时序型隐信道检测方法 |
US20180063162A1 (en) * | 2016-08-25 | 2018-03-01 | International Business Machines Corporation | Dns tunneling prevention |
CN106355250A (zh) * | 2016-08-31 | 2017-01-25 | 天津南大通用数据技术股份有限公司 | 基于神经网络的判断隐蔽信道的优化方法及装置 |
CN107733851A (zh) * | 2017-08-23 | 2018-02-23 | 刘胜利 | 基于通信行为分析的dns隧道木马检测方法 |
CN107967311A (zh) * | 2017-11-20 | 2018-04-27 | 阿里巴巴集团控股有限公司 | 一种对网络数据流进行分类的方法和装置 |
CN109120733A (zh) * | 2018-07-20 | 2019-01-01 | 杭州安恒信息技术股份有限公司 | 一种利用dns进行通信的检测方法 |
CN109450721A (zh) * | 2018-09-06 | 2019-03-08 | 南京聚铭网络科技有限公司 | 一种基于深度神经网络的网络异常行为识别方法 |
CN109309673A (zh) * | 2018-09-18 | 2019-02-05 | 南京方恒信息技术有限公司 | 一种基于神经网络的dns隐蔽信道检测方法 |
CN110149418A (zh) * | 2018-12-12 | 2019-08-20 | 国网信息通信产业集团有限公司 | 一种基于深度学习的dns隐蔽隧道检测方法 |
Non-Patent Citations (4)
Title |
---|
CHENHU73: "关于及其学习神经网络的基本理解", Retrieved from the Internet <URL:《https://blog.51cto.com/u_13345387/2047319》> * |
唐彰国;李焕洲;钟明全;张健;: "基于量子神经网络的启发式网络隐蔽信道检测模型", 计算机应用研究, no. 08 * |
程光 等著: "《互联网大数据挖掘与分类》", 31 December 2015, 南京:东南大学出版社, pages: 167 - 171 * |
胡春田;刘建华;郭向兵;杜兴宇;黎学斌;: "网络数据流检测及分析方法研究", 信息技术, no. 08 * |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115134168A (zh) * | 2022-08-29 | 2022-09-30 | 成都盛思睿信息技术有限公司 | 基于卷积神经网络的云平台隐蔽通道检测方法及系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Wang et al. | A deep learning approach for detecting malicious JavaScript code | |
CN109450842B (zh) | 一种基于神经网络的网络恶意行为识别方法 | |
CN111885035B (zh) | 一种网络异常检测方法、系统、终端以及存储介质 | |
CN111600919B (zh) | 智能网络应用防护系统模型的构建方法和装置 | |
CN108449342A (zh) | 恶意请求检测方法及装置 | |
CN112685739B (zh) | 恶意代码检测方法、数据交互方法及相关设备 | |
CN111224941B (zh) | 一种威胁类型识别方法及装置 | |
CN107463844B (zh) | Web木马检测方法及系统 | |
Li et al. | Opcode sequence analysis of Android malware by a convolutional neural network | |
CN112492059A (zh) | Dga域名检测模型训练方法、dga域名检测方法、装置及存储介质 | |
CN111835777B (zh) | 一种异常流量检测方法、装置、设备及介质 | |
Wanjau et al. | SSH-brute force attack detection model based on deep learning | |
CN109525577B (zh) | 基于http行为图的恶意软件检测方法 | |
CN112507336A (zh) | 基于代码特征和流量行为的服务端恶意程序检测方法 | |
CN115080756A (zh) | 一种面向威胁情报图谱的攻防行为和时空信息抽取方法 | |
Kumar et al. | Enhanced domain generating algorithm detection based on deep neural networks | |
He et al. | Malicious domain detection via domain relationship and graph models | |
CN113965393B (zh) | 一种基于复杂网络和图神经网络的僵尸网络检测方法 | |
Li et al. | Deep learning algorithms for cyber security applications: A survey | |
Guntuku et al. | Real-time peer-to-peer botnet detection framework based on bayesian regularized neural network | |
Palla et al. | Intelligent Mirai malware detection in IOT devices | |
Zakariyya et al. | Towards a robust, effective and resource efficient machine learning technique for IoT security monitoring | |
CN113905016A (zh) | 一种dga域名检测方法、检测装置及计算机存储介质 | |
CN112836214A (zh) | 一种通讯协议隐蔽通道检测方法 | |
Chen et al. | Towards a deep learning approach for detecting malicious domains |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |