CN113055334A - 终端用户的网络行为的监管方法和装置 - Google Patents

终端用户的网络行为的监管方法和装置 Download PDF

Info

Publication number
CN113055334A
CN113055334A CN201911361019.8A CN201911361019A CN113055334A CN 113055334 A CN113055334 A CN 113055334A CN 201911361019 A CN201911361019 A CN 201911361019A CN 113055334 A CN113055334 A CN 113055334A
Authority
CN
China
Prior art keywords
data
terminal
user terminal
user
application
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201911361019.8A
Other languages
English (en)
Other versions
CN113055334B (zh
Inventor
禹宁
黄达成
宫鑫
谷良
狄婷
赵嘉
吴瑶
安龙
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Information and Telecommunication Branch of State Grid Shanxi Electric Power Co Ltd
Original Assignee
Information and Telecommunication Branch of State Grid Shanxi Electric Power Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Information and Telecommunication Branch of State Grid Shanxi Electric Power Co Ltd filed Critical Information and Telecommunication Branch of State Grid Shanxi Electric Power Co Ltd
Priority to CN201911361019.8A priority Critical patent/CN113055334B/zh
Publication of CN113055334A publication Critical patent/CN113055334A/zh
Application granted granted Critical
Publication of CN113055334B publication Critical patent/CN113055334B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本申请公开了一种终端用户的网络行为的监管方法和装置。其中,该方法包括:针对企业终端用户以HTTPS协议访问的数据内容提取过程,通过采用终端准入插件的方式获得会话主密钥用来解密的被服务器加密得数据,大大降低了中间人代理方式还进行双倍的连接建立所带来CPU性能的急剧消耗和减少了吞吐量。针对企业终端应用数据,采用改造后的卷积神经网络模型进行特征提取并和特征数据库对比与相似度监测。相对于只利用字节特征的传统方案形成明显优势,能够更好的识别未曾见过的病毒样本,抵御抗病毒变种和新病毒家族等未知威胁。本申请解决了相关技术中无法准确监管用户终端出现的病毒的技术问题。

Description

终端用户的网络行为的监管方法和装置
技术领域
本申请涉及计算机网络安全领域,具体而言,涉及一种终端用户的网络行为的监管方法和装置。
背景技术
目前,部分企业的规模随着企业的发展而逐步壮大,企业的终端在类型、数量以及应用范围等方面持续扩大,终端安全防护形式日益严峻,终端漏洞、病毒层出不穷。然而,优质、高效、安全的企业网络和终端环境是企业良好发展的一个重要保障,但是现有办公终端的常用监控手段,已经无法满足部分企业对办公终端的高风险行为的实时监测、快速识别、及时阻断的需要。
针对上述的问题,目前尚未提出有效的解决方案。
发明内容
本申请实施例提供了一种终端用户的网络行为的监管方法和装置,以至少解决相关技术中无法准确监管用户终端出现的病毒的技术问题。
根据本申请实施例的一个方面,提供了一种终端用户的网络行为的监管方法,包括:通过终端准入插件从用户终端上获取会话密钥,其中,会话密钥为用户终端与网络服务器之间利用HTTPS协议进行会话的密钥,终端准入插件设置在用户终端上;通过终端准入插件从用户终端获取加密的通信数据和应用行为数据,其中,加密的通信数据为用户终端上运行的应用通过企业服务器与网络服务器之间进行通信的数据,应用行为数据为用户终端上的应用在用户终端的本地运行时产生的数据;利用会话密钥对加密的通信数据进行解密,得到明文通信数据;利用卷积神经网络模型从应用行为数据和明文通信数据提取数据特征;获取终端的数据的数据特征与已有病毒的数据特征之间的相似度;在相似度大于目标阈值的情况下,确定与终端的数据关联的文件为病毒样本。
根据本申请实施例的另一方面,还提供了一种终端用户的网络行为的监管装置,包括:第一获取单元,用于通过终端准入插件从用户终端上获取会话密钥,其中,会话密钥为用户终端与网络服务器之间利用HTTPS协议进行会话的密钥,终端准入插件设置在用户终端上;第二获取单元,用于通过终端准入插件从用户终端获取加密的通信数据和应用行为数据,其中,加密的通信数据为用户终端上运行的应用通过企业服务器与网络服务器之间进行通信的数据,应用行为数据为用户终端上的应用在用户终端的本地运行时产生的数据;解密单元,用于利用会话密钥对加密的通信数据进行解密,得到明文通信数据;提取单元,用于利用卷积神经网络模型从应用行为数据和明文通信数据提取数据特征;第三获取单元,用于获取终端的数据的数据特征与已有病毒的数据特征之间的相似度;确定单元,用于在相似度大于目标阈值的情况下,确定与终端的数据关联的文件为病毒样本。
根据本申请实施例的另一方面,还提供了一种存储介质,该存储介质包括存储的程序,程序运行时执行上述的方法。
根据本申请实施例的另一方面,还提供了一种电子装置,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,处理器通过计算机程序执行上述的方法。
在本申请实施例中:
1)可结合终端用户的终端应用行为和网络使用行为数据,为每个用户的终端使用和网络行为进行综合评分,从而企业的安全技术管理人员可以据此做出正确的安全防护措施。针对企业终端用户以HTTPS协议访问的数据内容提取过程,由于HTTPS协议在数据传输过程中数据的加密特性,我们通过采用终端准入插件的方式获得会话主密钥用来解密的被服务器加密得数据,大大降低了中间人代理方式还进行双倍的连接建立所带来CPU性能的急剧消耗和减少了吞吐量。针对企业终端应用数据,本发明中采用改造后的卷积神经网络模型进行特征提取并和特征数据库对比,利用改进的相似度计算算法计算其相似性并得处系统安全等级指标。相对于只利用字节特征的传统方案形成明显优势,能够更好的识别未曾见过的病毒样本,抵御抗病毒变种和新病毒家族等未知威胁。
2)通过采用终端准入插件的方式获得会话主密钥用来解密的被服务器加密得数据,大大降低了中间人代理方式还进行双倍的连接建立所带来CPU性能的急剧消耗和减少了吞吐量。
3)采用改造后的卷积神经网络模型进行特征提取并和特征数据库对比,利用改进的相似度计算算法计算其相似性并得处系统安全等级指标。相对于只利用字节特征的传统方案形成明显优势,能够更好的识别未曾见过的病毒样本,抵御抗病毒变种和新病毒家族等未知威胁。
进而解决了相关技术中无法准确监管用户终端出现的病毒的技术问题。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1是根据本申请实施例的业终端用户网络行为分析框架的示意图;
图2是根据本申请实施例的终端用户的网络行为的监管方法流程图;
图3是根据本申请实施例的终端用户的网络行为分析的示意图;
图4是根据本申请实施例的终端用户的网络行为方案的示意图;
图5是根据本申请实施例的网络结构的示意图。
具体实施方式
为了使本技术领域的人员更好地理解本申请方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分的实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本申请保护的范围。
需要说明的是,本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
发明人认识到,相较于个人终端而言,企业终端的数据等资产价值更高,由终端、服务器等不同软硬件所组成的办公局域网,带来更为复杂的病毒来源、感染、传播途径,因此企业用户面临更为严峻的终端用户网络行为安全挑战,对防护、管理、应用等多方面提出了更加严厉的要求。
如何在企业办公网络中对用户终端的使用和网络访问行为进行有效的监测和管理,是企业办公网建设和管理所面临的严峻问题。因此,寻找一种有效、简单、快速的终端用户网络行为识别方法,并能够根据网络状态和业务流量采取不同的管理策略,成为解决上述问题的关键。
当前有部分用户上网行为日志审计的产品、和终端安全监测产品可以针对用户的上网行为进行记录和审计,包括网页访问行为、网络发帖、邮件Email、IM聊天内容、文件传输、涉黄涉赌行为、炒股行为、炒币挖矿行为、在线视频、P2P下载等行为,并且包含该行为的详细信息等。但是这种方案都是针对所有用户的网络访问记录和日志进行的记录,并根据系统原有的规则策略库进行日志的分析和匹配,并没有深度的分析用户访问的内容和特征,也没有从用户属性、特征、流量识别与监控、网络识别与监控等多角度、多层面进行用户行为分析,进而实现用户网络行为精确画像。所以本申请的思想是针对不同用户的不同的网络访问行为数据、终端应用数据,通过深度学习和分析建立行为特征库,对特征行为进行分类、分析、归纳并抽象出具体行为,企业终端用户网络行为分析框架图如附图1所示,包括数据层、存储层等。为每个用户的终端使用和网络行为进行评分,从而实现对每个用户的个性化策略管理,最终达到用户网络行为管理精细化,网络和终端的使用更加合理。
根据本申请实施例的一方面,本申请提供了一种终端用户的网络行为的监管方法,是一种终端用户网络行监测与管理方法,针对部分规模较大的企业,面临的在企业网络中对用户终端的使用和网络访问行为进行有效的监测和管理。如图2所示,该方法可以包括以下步骤:
步骤S202,通过终端准入插件从用户终端上获取会话密钥,其中,会话密钥为用户终端与网络服务器之间利用HTTPS协议进行会话的密钥,终端准入插件设置在用户终端上。
步骤S204,通过终端准入插件从用户终端获取加密的通信数据和应用行为数据,加密的通信数据为用户终端上运行的应用通过企业服务器与网络服务器之间进行通信的数据,应用行为数据为用户终端上的应用在用户终端的本地运行时产生的数据。
步骤S206,利用会话密钥对加密的通信数据进行解密,得到明文通信数据。
可选地,利用会话密钥对加密的通信数据进行解密,得到明文通信数据之后,可利用应用行为数据和明文通信数据确定用户终端当前所在的安全级别;采用与当前所在的安全级别对应的安全策略对用户终端进行控制。
步骤S208,利用卷积神经网络模型从应用行为数据和明文通信数据提取数据特征。可将应用行为数据和明文通信数据转换为图像格式的数据,如之前正常图像每个像素点保存的是像素值,而本申请的是保存的一个时刻的终端的数据;将图像格式的数据输入卷积神经网络模型,以提取出数据特征,如从图像格式的数据中提取出包括n个维度的数据特征,n为大于等于2的正整数。
步骤S210,获取终端的数据的数据特征与已有病毒的数据特征之间的相似度,此处的终端的数据即应用行为数据和通信数据。
获取用于表示终端的数据的数据特征的向量A,用于表示已有病毒的数据特征的向量B;
按照如下公式确定所述相似度sim(A,B):
Figure BSA0000198521220000061
其中,sim(A,B)的取值范围为0到1,xi表示A中的第i个维度的元素,yi表示B中的第i个维度的元素,a为预设阈值,n为维度的数量。
步骤S212,在相似度大于目标阈值的情况下,确定与终端的数据关联的文件为病毒样本,该文件可以为所安装应用目录下的任意文件。
在上述方案中,首先,通过对企业用户的终端应用行为和网络使用行为数据进行多角度、多层面的学习和分析建立用户网络行为特征库,对特征行为进行分类、分析、归纳并抽象出具体行为。其次,利用深度学习的方式,通过对大量病毒数据文件的学习,抽取出千万样本的海量特征库。我们通过终端准入插件的方式,分析扫描用户的终端用户文件,直接将样本文件转换为二维图片,进而应用改造后的卷积神经网络模型进行特征提取并和特征数据库对比和相似度监测。通过上述手段,分析得到用户的网络行为特征数据和终端使用特征数据为每个用户的终端使用和网络行为进行评分,从而实现对每个用户的个性化策略管理。
结合终端用户的终端应用行为和网络使用行为数据,为每个用户的终端使用和网络行为进行综合评分,从而企业的安全技术管理人员可以据此做出正确的安全防护措施。本申请的企业终端用户网络行为分析方式如图3所示。
针对企业终端用户以https协议访问的数据内容提取过程,由于https协议在数据传输过程中数据的加密特性。一般的用户网络行为日志过程需要使用中介人代理的方式获取终端用户所访问得所有数据内容。在本发明中,我们通过采用终端准入插件(即终端准入控制的插件)的方式获得会话主密钥用来解密的被服务器加密得数据,大大降低了中间人代理方式还进行双倍的连接建立所带来CPU性能的急剧消耗和减少了吞吐量。
针对企业终端应用数据,采用改造后的卷积神经网络模型进行特征提取并和特征数据库对比与相似度监测,如附图4所示。
深度神经网络是由多层的非线性神经元构成的网络计算模型,它模拟了生物神经系统的链接方式,能够在系统中有效、快速的传递有效信息。深度神经网络的强大之处在于通过学习海量的正常文件样本和病毒文件样本,它能自动地、逐层地凝练更高层次的特征。例如信息在网络传递的过程中,其表征的含义从最开始输入的文件字节特征,逐渐进化到语句特征(识别一个指令),函数特征(识别一个函数)和语义特征(识别一个操和行为,比如勒索病毒通常具有的加密操作),最后完全自动化的构建出稳定可靠的高层次病毒特征。相对于只利用字节特征的传统方案形成明显优势,能够更好的识别未曾见过的病毒样本,抵御抗病毒变种和新病毒家族等未知威胁。
作为一种可选的实施例,下面结合具体的实施方式详述本申请的技术方案。
本实施例中计算机为“GPU服务器,2*INTEL 4114处理器(10核20线程),32GB内存,4T硬盘”。采用Java编程实现。
具体实施方案为:
1、终端用户网络行为数据获取和分析模块
系统在用户正常访问网络的前提下进行用户实时数据流量的提取,在此基础上进行用户行为分析。首先针对非加密传输的数据,直接使用中间人的方式获取用户的网络行为数据,这里不多阐述。针对HTTPS协议加密的用户网络行为数据,其一般的数据传输过程如下。(1)客户端向服务器发起HTTPS请求。(2)服务器返回SSL证书信息和服务端随机数。(3)客户端向证书中心验证证书的合法性,如不合法则告警,如证书合法,则从浏览器中取出对应的服务器公钥。(4)客户端生成客户端随机数,结合服务端随机数生成会话主密钥,使用服务器得公钥加密后传输给服务器。(5)服务器用服务器私钥解密出会话主密钥。(6)客户端与服务器以主密钥做对称加密通信。如果使用中间人代理的方式,需要在用户A和服务器S之间部署一个代理D。用户A发起HTTPS请求时,由代理D和其建立连接,而代理D再向服务器S转发HTTPS请求,由于会话主密钥是由代理D与服务器S协议生成的,所以代理D可全程解密出明文。但是,由于HTTPS传输中消耗性能较大的是非对称加密协议的阶段,且每访问一个网页都会建立上百个连接,中间人代理方式还进行了双倍的连接建立过程,自然带来CPU性能的急剧消耗。所以我们可以使用非代理的方式获取明文数据,本申请中使用在终端中安装准入插件,一方面可以获取终端的可疑文件,然后使用深度学习的方法提取文件特征。另一方面可以通过插件,解析浏览器的内核函数,提取其HTTPS的会话主密钥,从而直接解密出明文数据。这样我们就可以跳过消耗性能的非对称加解密协议,使得解密性能成倍提升。
通过对终端用户网络行为数据的获取,对其数据链路层到应用层数据的信息深度检测与统计计算,综合终端用户网络行为数据的特征、类型,访问的内容、时间,流量等属性,对采集到的信息进行初步归类分析并存储数据,对数据中的重要信息进行分析与深度学习得到用户网络行为特征,从而实现用户行为的精准画像。
3、用户终端应用文件特征分析与比较模块
本发明中采用改造后的卷积神经网络模型进行特征提取并和特征数据库对比与相似度检测。AlexNet网络模型是卷积神经网络中经典的网络模型之一。该模型证明了卷积神经网络在复杂模型下的有效性,并使用GPU使大数据训练在可接受的时间范围内得到了结果,AlexNet网络结构如附图5所示。
根据附图5可以看出AlexNet网络结构共有八层,包括五个卷积层和三个全连层,但是该网络结构每层的参数量非常大,所有参数大约有60M。AlexNet网络模型的第一层为卷积层conv1,其中输入图像的实际规格为224*224,224是图像的高度和宽度,3是RGB图像的三个通道,经处理后输入数据为227*227*3,在该层采用了96个卷积核,每个卷积核的大小为11*11,滑动步长为4对图像进行卷积操作,其余层参数的含义与此类似。经过卷积后的特征图通过激活函数保证卷积后的特征图在合理的范围内,然后进行降采样处理(池化操作)和归一化操作生成新的特征图作为下一层的输入数据。第二层根据第一层输出的特征图作为输入数据,继续对图像进行做卷积操作,提取新的特征图。与第一层不同的是在本层网络应用了256个5*5的卷积核分两组对图像进行卷积,然后对卷积后的图像宽度和高度进行2个像素的填充,最后进行激活函数和池化处理输出256个13*13的特征图。第三、四、五层都是该网络模型的卷积层,第三层和第四层只对特征图进行卷积处理然后进行激活函数处理,特征图的数目以及尺寸均没有变化。第五层对特征图进行卷积和激活函数处理后又进行了池化操作,生成256个6*6的特征图。第六层是该网络模型中的第一个全连层,对最后一个卷积层输出的256个6*6的特征图进行全连接,得到4096个神经元然后进行激活函数处理和dropout处理,dropout随机从4096个特征院中丢掉一些节点信息,也就是把其输出值设置为0,然后生成新的4096个神经元节点。第七层全连层以第六层输出的4096个节点作为输入进行全连接然后利用激活数和dropout对4096个节点进行处理,输出新的4096个节点。前两个全连层进行dropout处理可以减少网络中的过拟合,增加收敛所需的迭代次数。第八层是该网络模型的最后一个全连层,利用上一层输出的4096个节点进行全连,然后通过高斯过滤器,最终得到1000个节点作为最终的输出结果。
本文利用Caffe深度框架进行终端用户样本文件深度特征提取的步骤如下:
(1)首先要将样本文件转换为二维图片,配置Caffe的运行环境。
(2)定义所要提取特征用到的网络。该网络模型可以自己定义,也可以利用经典的网络模型,本文利用上文提到的AlexNet模型。
(3)定义网络参数,由于本文采用经典的AlexNet网络模型,所以本文实验对网络参数的定义参照上面对AlexNet网络模型每一层的介绍进行。
(4)提取深度特征。在以上各步都完成后,要对提取的特征的参数进行配置如已训练模型的文件路径、需要提取特征的路径、提取出的特征保存路径等等。
(5)解析深度特征。由于Caffe框架提取出的深度特征保存格式不能直接查看,所以要对这些特征进行解析。
本文使用改进的余弦相似度比较方法进行特征相似度计算,对特征向量进行处理,对于每个维度都减去一个均值,然后进行计算相似度余弦值。由于余弦值的取值范围为[-1,1],本文也通过处理将相似度范围调整到[0,1]之间。假设特征向量A=(x1,x2,...,xn),特征向量B=(y1,y2,...,yn)则这两个特征向量的相似度如下通过公式进行计算。
Figure BSA0000198521220000101
式中sim(A,B)表示两向量间的相似度,其范围为[0,1]。例如特征向量A=(1,2),B=(3,4),特征的两个维度分别表示两种特征。通过以上对余弦相似度算法进行改进,可以在很大程度上降低基本余弦相似度对于特征数值不敏感带来的误差,通过比较样本文件特征和特征库中文件的相似度,可以评估出样本文件的安全等级。
4、用户终端使用和网络行为评分模块
对于企业用户上网,通过终端用户的网络访问行为的特征分析和用户终端应用程序的深度分析解析后针对每个用户的上网行为进行精准人物画像,对于不同用户建立不同策略库。在对用户行为精确分析后,将各用户行为生成对应的行为分析评分表,使得用户网络行为定义精细化,方便于更有效的下发策略及有效的选择管理手段,评分表示例如下表1所示:
表1
Figure BSA0000198521220000111
在对各类终端用户进行为评分时,结合用户网络行为的业务、协议、时长、终端安全评级、流量等多重因素,采取综合评分。考虑到不同业务中各因素所占权重不同,分别对各类用户网络行为进行综合评分。
需要说明的是,对于前述的各方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本申请并不受所描述的动作顺序的限制,因为依据本申请,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定是本申请所必须的。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到根据上述实施例的方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,或者网络设备等)执行本申请各个实施例所述的方法。
根据本申请实施例的另一个方面,还提供了一种用于实施上述方法的装置。该装置可以包括:
第一获取单元,用于通过终端准入插件从用户终端上获取会话密钥,其中,会话密钥为用户终端与网络服务器之间利用HTTPS协议进行会话的密钥,终端准入插件设置在用户终端上;
第二获取单元,用于通过终端准入插件从用户终端获取加密的通信数据和应用行为数据,其中,加密的通信数据为用户终端上运行的应用通过企业服务器与网络服务器之间进行通信的数据,应用行为数据为用户终端上的应用在用户终端的本地运行时产生的数据;
解密单元,用于利用会话密钥对加密的通信数据进行解密,得到明文通信数据;
提取单元,用于利用卷积神经网络模型从应用行为数据和明文通信数据提取数据特征;
第三获取单元,用于获取终端的数据的数据特征与已有病毒的数据特征之间的相似度;
确定单元,用于在相似度大于目标阈值的情况下,确定与终端的数据关联的文件为病毒样本。
此处需要说明的是,上述模块与对应的步骤所实现的示例和应用场景相同,但不限于上述实施例所公开的内容。可选地,本实施例中的具体示例可以参考上述实施例中所描述的示例,本实施例在此不再赘述。
上述本申请实施例序号仅仅为了描述,不代表实施例的优劣。
上述实施例中的集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在上述计算机可读取的存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在存储介质中,包括若干指令用以使得一台或多台计算机设备(可为个人计算机、服务器或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。
在本申请的上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
在本申请所提供的几个实施例中,应该理解到,所揭露的客户端,可通过其它的方式实现。其中,以上所描述的装置实施例仅仅是示意性的,例如所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,单元或模块的间接耦合或通信连接,可以是电性或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
以上所述仅是本申请的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本申请的保护范围。

Claims (10)

1.一种终端用户的网络行为的监管方法,其特征在于,包括:
通过终端准入插件从用户终端上获取会话密钥,其中,所述会话密钥为所述用户终端与网络服务器之间利用HTTPS协议进行会话的密钥,所述终端准入插件设置在所述用户终端上;
通过所述终端准入插件从所述用户终端获取加密的通信数据和应用行为数据,其中,所述加密的通信数据为所述用户终端上运行的应用通过企业服务器与所述网络服务器之间进行通信的数据,所述应用行为数据为所述用户终端上的应用在所述用户终端的本地运行时产生的数据;
利用所述会话密钥对所述加密的通信数据进行解密,得到明文通信数据;
利用卷积神经网络模型从所述应用行为数据和所述明文通信数据提取数据特征;
获取所述终端的数据的数据特征与已有病毒的数据特征之间的相似度;
在所述相似度大于目标阈值的情况下,确定与所述终端的数据关联的文件为病毒样本。
2.根据权利要求1所述的方法,其特征在于,获取所述终端的数据的数据特征与已有病毒的数据特征之间的相似度包括:
获取用于表示所述终端的数据的数据特征的向量A,用于表示所述已有病毒的数据特征的向量B;
按照如下公式确定所述相似度sim(A,B):
Figure FSA0000198521210000021
其中,sim(A,B)的取值范围为0到1,xi表示A中的第i个维度的元素,yi表示B中的第i个维度的元素,a为预设阈值,n为维度的数量。
3.根据权利要求1所述的方法,其特征在于,利用卷积神经网络模型从所述应用行为数据和所述明文通信数据提取数据特征包括:
将所述应用行为数据和所述明文通信数据转换为图像格式的数据;
将所述图像格式的数据输入所述卷积神经网络模型,以提取出所述数据特征。
4.根据权利要求3所述的方法,其特征在于,将所述图像格式的数据输入所述卷积神经网络模型,以提取出所述数据特征包括:
从所述图像格式的数据中提取出包括多个维度的所述数据特征。
5.根据权利要求1所述的方法,其特征在于,利用所述会话密钥对所述加密的通信数据进行解密,得到明文通信数据之后,所述方法还包括:
利用所述应用行为数据和所述明文通信数据确定所述用户终端当前所在的安全级别;
采用与所述当前所在的安全级别对应的安全策略对所述用户终端进行控制。
6.一种终端用户的网络行为的监管装置,其特征在于,包括:
第一获取单元,用于通过终端准入插件从用户终端上获取会话密钥,其中,所述会话密钥为所述用户终端与网络服务器之间利用HTTPS协议进行会话的密钥,所述终端准入插件设置在所述用户终端上;
第二获取单元,用于通过所述终端准入插件从所述用户终端获取加密的通信数据和应用行为数据,其中,所述加密的通信数据为所述用户终端上运行的应用通过企业服务器与所述网络服务器之间进行通信的数据,所述应用行为数据为所述用户终端上的应用在所述用户终端的本地运行时产生的数据;
解密单元,用于利用所述会话密钥对所述加密的通信数据进行解密,得到明文通信数据;
提取单元,用于利用卷积神经网络模型从所述应用行为数据和所述明文通信数据提取数据特征;
第三获取单元,用于获取所述终端的数据的数据特征与已有病毒的数据特征之间的相似度;
确定单元,用于在所述相似度大于目标阈值的情况下,确定与所述终端的数据关联的文件为病毒样本。
7.根据权利要求6所述的装置,其特征在于,所述第三获取单元还用于:
获取用于表示所述终端的数据的数据特征的向量A,用于表示所述已有病毒的数据特征的向量B;
按照如下公式确定所述相似度sim(A,B):
Figure FSA0000198521210000031
其中,sim(A,B)的取值范围为0到1,xi表示A中的第i个维度的元素,yi表示B中的第i个维度的元素,a为预设阈值,n为维度的数量。
8.根据权利要求6所述的装置,其特征在于,所述提取单元还用于:
将所述应用行为数据和所述明文通信数据转换为图像格式的数据;
将所述图像格式的数据输入所述卷积神经网络模型,以提取出所述数据特征。
9.一种存储介质,其特征在于,所述存储介质包括存储的程序,其中,所述程序运行时执行上述权利要求1至5任一项中所述的方法。
10.一种电子装置,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器通过所述计算机程序执行上述权利要求1至5任一项中所述的方法。
CN201911361019.8A 2019-12-26 2019-12-26 终端用户的网络行为的监管方法和装置 Active CN113055334B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201911361019.8A CN113055334B (zh) 2019-12-26 2019-12-26 终端用户的网络行为的监管方法和装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201911361019.8A CN113055334B (zh) 2019-12-26 2019-12-26 终端用户的网络行为的监管方法和装置

Publications (2)

Publication Number Publication Date
CN113055334A true CN113055334A (zh) 2021-06-29
CN113055334B CN113055334B (zh) 2023-07-28

Family

ID=76505155

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201911361019.8A Active CN113055334B (zh) 2019-12-26 2019-12-26 终端用户的网络行为的监管方法和装置

Country Status (1)

Country Link
CN (1) CN113055334B (zh)

Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002232415A (ja) * 2001-01-19 2002-08-16 Santiku Shijin Kofun Yugenkoshi 行動商務wap情報伝送段の端末対端末の内密化モジュール
CN101141244A (zh) * 2006-09-08 2008-03-12 飞塔信息科技(北京)有限公司 网络加密数据病毒检测和消除系统和代理服务器及方法
CN106354810A (zh) * 2016-08-27 2017-01-25 锁福涛 一种利用大数据技术的互联网教学系统
CN108156178A (zh) * 2018-01-30 2018-06-12 上海天旦网络科技发展有限公司 一种ssl/tls数据监控系统和方法
US20180248895A1 (en) * 2017-02-27 2018-08-30 Amazon Technologies, Inc. Intelligent security management
CN108846441A (zh) * 2018-06-21 2018-11-20 厦门集微科技有限公司 一种图像相似检测方法和装置、计算机可读存储介质
CN109309675A (zh) * 2018-09-21 2019-02-05 华南理工大学 一种基于卷积神经网络的网络入侵检测方法
WO2019199942A1 (en) * 2018-04-10 2019-10-17 Assured Information Security, Inc. Behavioral biometric feature extraction and verification
CN110391958A (zh) * 2019-08-15 2019-10-29 北京中安智达科技有限公司 一种对网络加密流量自动进行特征提取和识别的方法
CN110489951A (zh) * 2019-07-08 2019-11-22 招联消费金融有限公司 风险识别的方法、装置、计算机设备和存储介质

Patent Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002232415A (ja) * 2001-01-19 2002-08-16 Santiku Shijin Kofun Yugenkoshi 行動商務wap情報伝送段の端末対端末の内密化モジュール
CN101141244A (zh) * 2006-09-08 2008-03-12 飞塔信息科技(北京)有限公司 网络加密数据病毒检测和消除系统和代理服务器及方法
CN106354810A (zh) * 2016-08-27 2017-01-25 锁福涛 一种利用大数据技术的互联网教学系统
US20180248895A1 (en) * 2017-02-27 2018-08-30 Amazon Technologies, Inc. Intelligent security management
CN108156178A (zh) * 2018-01-30 2018-06-12 上海天旦网络科技发展有限公司 一种ssl/tls数据监控系统和方法
WO2019199942A1 (en) * 2018-04-10 2019-10-17 Assured Information Security, Inc. Behavioral biometric feature extraction and verification
CN108846441A (zh) * 2018-06-21 2018-11-20 厦门集微科技有限公司 一种图像相似检测方法和装置、计算机可读存储介质
CN109309675A (zh) * 2018-09-21 2019-02-05 华南理工大学 一种基于卷积神经网络的网络入侵检测方法
CN110489951A (zh) * 2019-07-08 2019-11-22 招联消费金融有限公司 风险识别的方法、装置、计算机设备和存储介质
CN110391958A (zh) * 2019-08-15 2019-10-29 北京中安智达科技有限公司 一种对网络加密流量自动进行特征提取和识别的方法

Non-Patent Citations (4)

* Cited by examiner, † Cited by third party
Title
UTHPALA PREMARATHNE: "Network traffic self similarity measurements using classifier based Hurst parameter estimation", 《2010 FIFTH INTERNATIONAL CONFERENCE ON INFORMATION AND AUTOMATION FOR SUSTAINABILITY》 *
张勇东;陈思洋;彭雨荷;杨坚: "基于深度学习的网络入侵检测研究综述", 广州大学学报(自然科学版), no. 04 *
胡涛等: "卷积神经网络在异常声音识别中的研究", 《信号处理》 *
胡涛等: "卷积神经网络在异常声音识别中的研究", 《信号处理》, no. 03, 25 March 2018 (2018-03-25) *

Also Published As

Publication number Publication date
CN113055334B (zh) 2023-07-28

Similar Documents

Publication Publication Date Title
Parra et al. Detecting Internet of Things attacks using distributed deep learning
US20200412767A1 (en) Hybrid system for the protection and secure data transportation of convergent operational technology and informational technology networks
US20160226893A1 (en) Methods for optimizing an automated determination in real-time of a risk rating of cyber-attack and devices thereof
CN116647411B (zh) 游戏平台网络安全的监测预警方法
Awotunde et al. A deep learning-based intrusion detection technique for a secured IoMT system
US20230362200A1 (en) Dynamic cybersecurity scoring and operational risk reduction assessment
CN104836781A (zh) 区分访问用户身份的方法及装置
US11477245B2 (en) Advanced detection of identity-based attacks to assure identity fidelity in information technology environments
Chiche et al. Towards a scalable and adaptive learning approach for network intrusion detection
Jing et al. Detection of DDoS attack within industrial IoT devices based on clustering and graph structure features
CN112437034B (zh) 虚假终端检测方法和装置、存储介质及电子装置
Wang et al. Identifying DApps and user behaviors on ethereum via encrypted traffic
Wang et al. An unknown protocol syntax analysis method based on convolutional neural network
Zuzčák et al. Causal analysis of attacks against honeypots based on properties of countries
Agrafiotis et al. Image-based neural network models for malware traffic classification using pcap to picture conversion
CN117478403A (zh) 一种全场景网络安全威胁关联分析方法及系统
Quintián et al. Advanced visualization of intrusions in flows by means of Beta-Hebbian Learning
Ribeiro et al. A comparison of stream mining algorithms on botnet detection
CN115987687A (zh) 网络攻击取证方法、装置、设备及存储介质
CN113055334B (zh) 终端用户的网络行为的监管方法和装置
Zhang et al. An uncertainty-based traffic training approach to efficiently identifying encrypted proxies
Nocera et al. A user behavior analytics (uba)-based solution using lstm neural network to mitigate ddos attack in fog and cloud environment
CN114362988A (zh) 网络流量的识别方法及装置
Huo et al. Encrypted traffic identification method based on multi-scale spatiotemporal feature fusion model with attention mechanism
Kozik et al. Cyber security of the application layer of mission critical industrial systems

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant