CN114826706A - 一种基于计算机内存取证技术的恶意流量检测方法 - Google Patents
一种基于计算机内存取证技术的恶意流量检测方法 Download PDFInfo
- Publication number
- CN114826706A CN114826706A CN202210385359.XA CN202210385359A CN114826706A CN 114826706 A CN114826706 A CN 114826706A CN 202210385359 A CN202210385359 A CN 202210385359A CN 114826706 A CN114826706 A CN 114826706A
- Authority
- CN
- China
- Prior art keywords
- flow
- abnormal
- traffic
- computer memory
- memory access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000005516 engineering process Methods 0.000 title claims abstract description 20
- 238000001514 detection method Methods 0.000 title claims abstract description 13
- 230000002159 abnormal effect Effects 0.000 claims abstract description 28
- 238000000034 method Methods 0.000 claims abstract description 16
- 230000002596 correlated effect Effects 0.000 claims description 2
- 230000006266 hibernation Effects 0.000 claims description 2
- 230000000694 effects Effects 0.000 abstract description 4
- 230000001960 triggered effect Effects 0.000 abstract 1
- 238000004458 analytical method Methods 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 2
- 238000004364 calculation method Methods 0.000 description 2
- 238000012417 linear regression Methods 0.000 description 2
- 230000000875 corresponding effect Effects 0.000 description 1
- 230000018109 developmental process Effects 0.000 description 1
- 238000004374 forensic analysis Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000008676 import Effects 0.000 description 1
- 230000008450 motivation Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种基于计算机内存取证技术的恶意流量检测方法。本发明首先对计算机物理内存建立转储文件;然后利用Volatility取证框架获取操作系统版本和配置文件信息;在操作系统版本和配置文件信息支持下提取物理内存中的流量数据包,应用回归模型来分析流量数据并检测与可疑活动相关的异常模式,方法能够根据不同需求设置不同异常模式,最后通过决策器决定各个异常模式是否触发并对流量是否恶意作出判断,辅助取证分析人员检测和提取被害主机中存留的恶意流量。
Description
技术领域:
本发明涉及一种基于计算机取内存证技术的恶意流量检测方法,该方法在计算机内存取证领域中有着很好的应用,主要用于检测计算机内存中是否存在恶意流量。
背景技术:
目前,任何连接到互联网的主机不是绝对安全的,都有可能受到网络攻击。攻击的类型和复杂程度随着攻击技术的发展而增加,其动机之一是网络犯罪分子能够从网络犯罪活动中获利。
检测与攻击相关的异常对于确保网络安全和取证分析都是必不可少的。及时发现可以阻止攻击造成的损失;对异常的取证分析不仅有助于调查网络犯罪,而且有助于洞悉攻击流程。内存中缓存着大量的流量数据,而内存取证技术能够对计算机物理内存镜像进行分析与取证,能够有效与恶意流量检测相结合。
发明内容:
为了辅助取证分析人员检测内存中是否包含恶意流量,本发明公开了一种基于计算机取内存证技术的恶意流量检测方法。
为此,本发明提供了如下技术方案:
1.基于计算机取内存证技术的恶意流量检测方法,该方法包括以下步骤:
步骤1:获取计算机物理内存的转储文件。
步骤2:使用Volatility取证框架提取内存镜像中的流量。
步骤3:对流量会话建立模型并检测异常模式。
步骤4:检测网络端口扫描,以及非法的TCP状态序列。
步骤5:收集并关联异常模式,并对流量是否异常做出最终决定。
2.根据权利要求1所述的基于计算机取内存证技术的恶意流量检测方法,其特征在于,所述步骤1中,获取计算机物理内存的转储文件,具体步骤为:
步骤1-1判断被害主机是否为虚拟机,若是则拍摄快照文件,若不是进行步骤1-2;
步骤1-2判断被害主机是否处于运行状态,若不是,则检查磁盘中的休眠文件和崩溃转储,若被害主机处于运行状态进行步骤1-3;
步骤1-3判断是否拥有被害主机的操作权限,若拥有权限,则通过运行DumpIt生成转储文件。
3.根据权利要求1所述的基于计算机取内存证技术的恶意流量检测方法,其特征在于,所述步骤2中,使用Volatility取证框架提取内存镜像中的流量,具体步骤为:
步骤2-1查找并解析内核调试数据块_KDDEBUGGER_DATA64;
步骤2-2通过内核调试数据块获取被害主机操作系统版本信息;
步骤2-3根据版本信息导入配置文件;
步骤2-4通过使用ethscan模块从被害主机中提取出数据包。
4.根据权利要求1所述的基于计算机取内存证技术的恶意流量检测方法,其特征在于,所述步骤3中,对流量会话建立模型并检测异常模式,具体步骤为:
步骤3-1定义流量会话;
步骤3-2表示流量到达时间间隔的特征;
步骤3-3表示流量的大小特征;
步骤3-4表示终端主机的等级特征。
5.根据权利要求1所述的基于计算机取内存证技术的恶意流量检测方法,其特征在于,在所述步骤4中,检测网络端口扫描,以及非法的TCP状态序列,具体过程为:
步骤4-1根据流量中访问的端口号确定服务,进而确定测数据包中数据是否合法;
步骤4-2检测TCP状态序列;
6.根据权利要求1所述的基于计算机取内存证技术的恶意流量检测方法,其特征在于,在所述步骤5中,收集并关联异常模式,并对流量是否异常做出最终决定,具体过程为:
步骤5-1计算离群值、周期计数和递增计数;
步骤5-2建立一阶线性模型;
步骤5-3基于证据收集的决策。
有益效果:
1.本发明是一种基于计算机取内存证技术的恶意流量检测方法。主要针对计算机物理内存进行分析,分析结果更接近攻击的真实情况。
2.通过建立流量会话模型和可扩展多重异常模式的检测,能根据不同的需求分析流量,设置的模式越多,结果置信度越高。
附图说明:
图1为本发明实施方式中的获取内存转储文件的流程图。
具体实施方式:
为了使本发明的实施例中的技术方案能够清楚和完整地描述,以下结合实施例中的附图,对本发明进行进一步的详细说明。
步骤1取内存转储文件过程如下:
以Windows 764位系统主机为例。
本发明实施例获取内存转储文件的流程图,如图1所示,包括以下步骤。
步骤1-1判断被害主机不是虚拟机;
步骤1-2判断被害主机正处于运行状态;
步骤1-3判断拥有被害主机的操作权限,那么采用软件的方式获取目标操作系统的内存转储文件。
步骤2使用Volatility取证框架提取内存镜像中的流量
步骤2-1从内存转储文件中查找内核调试数据块:0xfffff78000000000L;
步骤2-2根据内核调试数据块能够获取操作系统版本信息3790.srv03_sp2_rtm.070216-1710,表示目标操作系统为Windows 7 64位SP0系统。
步骤2-3导入目标操作系统的配置文件Win7SP0x64。
步骤3对流量会话建立模型并检测异常模式,具体步骤为:
步骤3-1定义会话流量为五元组,组中的元素分别为源IP地址、目的IP地址、源端口号、目的端口号和使用的协议,若流量的相隔时间超过足够的非活动期时长,那么将其标识为不同的回话流量;
步骤3-2表示流量到达时间间隔的特征,特征指标为活动比的计算方法为
式中A表示活动比,Miat表示流量到达时间间隔的中值,F表示流量的数量,T表示会话的总持续时间;
步骤3-3表示流量大小的特征通过组成流量的数据包数或字节数表示,以数据包为单位衡量的流量大小称为FSP,以字节为单位衡量的流量大小;
步骤3-4表示终端主机的等级的特征,终端主机等级定义为终端主机在一段时间内与之通信的不同IP地址的数量。
步骤4检测网络端口扫描,以及非法的TCP状态序列,具体步骤为:
步骤4-1通过检测不合法的TCP序列,判断是否有正确连接或终止的TCP数据流、SYN 扫描、SYN攻击、SYN+ACK扫描、重置攻击等;
步骤4-2检查被跟踪流量的相关TCP数据包的报头信息,并基于当前状态,转换到量流的下一个状态;
步骤5收集并关联异常模式,并对流量是否异常做出最终决定,具体步骤为:
步骤5-1计算离群值。在异常流量的FSB中会出现离群值;
步骤5-2计算周期计数,异常流量之间的到达时间间隔是固定的,当使用适当的特征绘制周期计数折线图时,显示为接近零斜率的直线;
步骤5-3计算递增计数,被害主机的终端主等级随着时间稳步提高,通过源IP地址分组和目的IP地址分组在线性回归模型中都是一条逐步上升的斜线。线性回归计算方式如下:设 {(X1,Y1),(X2,Y2),(Xn,Yn)}为n个感兴趣的数据点集。{Y1,Y2,…,Yn}可以表示观察到的数据量(例如,给定源访问的目标IP地址的数目),而{X1,X2,…,Xn}可以表示离散时间点或样本索引。如果假设是线性关系,那么一阶线性模型是:
Yi=β0+β1Xi+ε,i=1,2,...,n;
其中β0表示截距,β1表示斜率。随机误差项解释了Yi的观测值可能不完全落在直线上这一事实。是用正态分布建模的,特别是零均值和恒定方差ε~N(0,σ)。拟合回归线的经典方法是使用最小二乘法。
步骤5-4定义决策器,决策器基于以下条件来决定一组流量是否异常:如果检测到至少三个与此流量相关的异常模式,则流量被分类为异常。每种检测异常模式技术都有一个阈值,根据阈值决定一个单独的模式是否异常,每个检测异常模式技术的阈值范围规范化为[0,1]。测试输出的标准化值就是定义的分数,得分越高,相应异常模式成为可靠证据的概率越高。
以上所述是结合附图对本发明的实施例进行的详细介绍,本文的具体实施方式只是用于帮助理解本发明的方法。对于本技术领域的普通技术人员,依据本发明的思想,在具体实施方式及应用范围内均可有所变更和修改,故本发明书不应理解为对本发明的限制。
Claims (6)
1.基于计算机取内存证技术的恶意流量检测方法,其特征在于,该方法包括以下步骤:
步骤1:获取计算机物理内存的转储文件。
步骤2:使用Volatility取证框架提取内存镜像中的流量。
步骤3:对流量会话建立模型并检测异常模式。
步骤4:检测网络端口扫描,以及非法的TCP状态序列。
步骤5:收集并关联异常模式,并对流量是否异常做出最终决定。
2.根据权利要求1所述的基于计算机取内存证技术的恶意流量检测方法,其特征在于,所述步骤1中,获取计算机物理内存的转储文件,具体步骤为:
步骤1-1判断被害主机是否为虚拟机,若是则拍摄快照文件,若不是进行步骤1-2;
步骤1-2判断被害主机是否处于运行状态,若不是,则检查磁盘中的休眠文件和崩溃转储,若被害主机处于运行状态进行步骤1-3;
步骤1-3判断是否拥有被害主机的操作权限,若拥有权限,则通过运行DumpIt生成转储文件。
3.根据权利要求1所述的基于计算机取内存证技术的恶意流量检测方法,其特征在于,所述步骤2中,使用Volatility取证框架提取内存镜像中的流量,具体步骤为:
步骤2-1查找并解析内核调试数据块_KDDEBUGGER_DATA64;
步骤2-2通过内核调试数据块获取被害主机操作系统版本信息;
步骤2-3根据版本信息导入配置文件;
步骤2-4通过使用ethscan模块从被害主机中提取出数据包。
4.根据权利要求1所述的基于计算机取内存证技术的恶意流量检测方法,其特征在于,所述步骤3中,对流量会话建立模型并检测异常模式,具体步骤为:
步骤3-1定义流量会话;
步骤3-2表示流量到达时间间隔的特征;
步骤3-3表示流量的大小特征;
步骤3-4表示终端主机的等级特征。
5.根据权利要求1所述的基于计算机取内存证技术的恶意流量检测方法,其特征在于,在所述步骤4中,检测网络端口扫描,以及非法的TCP状态序列,具体过程为:
步骤4-1根据流量中访问的端口号确定服务,进而确定测数据包中数据是否合法;
步骤4-2检测TCP状态序列。
6.根据权利要求1所述的基于计算机取内存证技术的恶意流量检测方法,其特征在于,在所述步骤5中,收集并关联异常模式,并对流量是否异常做出最终决定,具体过程为:
步骤5-1计算离群值、周期计数和递增计数;
步骤5-2建立一阶线性模型;
步骤5-3基于证据收集的决策。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210385359.XA CN114826706B (zh) | 2022-04-13 | 2022-04-13 | 一种基于计算机内存取证技术的恶意流量检测方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210385359.XA CN114826706B (zh) | 2022-04-13 | 2022-04-13 | 一种基于计算机内存取证技术的恶意流量检测方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114826706A true CN114826706A (zh) | 2022-07-29 |
CN114826706B CN114826706B (zh) | 2024-01-30 |
Family
ID=82536182
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210385359.XA Active CN114826706B (zh) | 2022-04-13 | 2022-04-13 | 一种基于计算机内存取证技术的恶意流量检测方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114826706B (zh) |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104102881A (zh) * | 2014-07-07 | 2014-10-15 | 杭州电子科技大学 | 一种基于内核对象链接关系的内存取证方法 |
CN104182269A (zh) * | 2014-08-12 | 2014-12-03 | 山东省计算中心(国家超级计算济南中心) | 一种kvm虚拟机的物理内存取证方法 |
CN104715201A (zh) * | 2015-03-31 | 2015-06-17 | 北京奇虎科技有限公司 | 一种虚拟机恶意行为检测方法和系统 |
CN110765460A (zh) * | 2019-10-11 | 2020-02-07 | 海南师范大学 | 一种基于免疫的Rootkit隐遁攻击内存取证技术 |
CN113079143A (zh) * | 2021-03-24 | 2021-07-06 | 北京锐驰信安技术有限公司 | 一种基于流数据的异常检测方法及系统 |
CN113761595A (zh) * | 2021-09-13 | 2021-12-07 | 哈尔滨理工大学 | 一种基于计算机内存取证技术的代码签名验证方法 |
CN114153759A (zh) * | 2021-11-26 | 2022-03-08 | 绿盟科技集团股份有限公司 | 一种内存取证方法、装置及电子设备 |
-
2022
- 2022-04-13 CN CN202210385359.XA patent/CN114826706B/zh active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104102881A (zh) * | 2014-07-07 | 2014-10-15 | 杭州电子科技大学 | 一种基于内核对象链接关系的内存取证方法 |
CN104182269A (zh) * | 2014-08-12 | 2014-12-03 | 山东省计算中心(国家超级计算济南中心) | 一种kvm虚拟机的物理内存取证方法 |
CN104715201A (zh) * | 2015-03-31 | 2015-06-17 | 北京奇虎科技有限公司 | 一种虚拟机恶意行为检测方法和系统 |
CN110765460A (zh) * | 2019-10-11 | 2020-02-07 | 海南师范大学 | 一种基于免疫的Rootkit隐遁攻击内存取证技术 |
CN113079143A (zh) * | 2021-03-24 | 2021-07-06 | 北京锐驰信安技术有限公司 | 一种基于流数据的异常检测方法及系统 |
CN113761595A (zh) * | 2021-09-13 | 2021-12-07 | 哈尔滨理工大学 | 一种基于计算机内存取证技术的代码签名验证方法 |
CN114153759A (zh) * | 2021-11-26 | 2022-03-08 | 绿盟科技集团股份有限公司 | 一种内存取证方法、装置及电子设备 |
Also Published As
Publication number | Publication date |
---|---|
CN114826706B (zh) | 2024-01-30 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107483488B (zh) | 一种恶意Http检测方法及系统 | |
US8205259B2 (en) | Adaptive behavioral intrusion detection systems and methods | |
Hu et al. | A simple and efficient hidden Markov model scheme for host-based anomaly intrusion detection | |
CN112910929B (zh) | 基于异质图表示学习的恶意域名检测方法及装置 | |
CN111107102A (zh) | 基于大数据实时网络流量异常检测方法 | |
US8516586B1 (en) | Classification of unknown computer network traffic | |
US20100162350A1 (en) | Security system of managing irc and http botnets, and method therefor | |
US20130332456A1 (en) | Method and system for detecting operating systems running on nodes in communication network | |
US20050108377A1 (en) | Method for detecting abnormal traffic at network level using statistical analysis | |
US20040255162A1 (en) | Security gateway system and method for intrusion detection | |
WO2020133986A1 (zh) | 僵尸网络域名家族的检测方法、装置、设备及存储介质 | |
JP2006279930A (ja) | 不正アクセス検出方法及び装置、並びに不正アクセス遮断方法及び装置 | |
JP2012527691A (ja) | アプリケーションレベルセキュリティのためのシステムおよび方法 | |
TWI234974B (en) | Methodology of predicting distributed denial of service based on gray theory | |
Hu et al. | Attack scenario reconstruction approach using attack graph and alert data mining | |
CN105491055A (zh) | 一种基于移动代理的网络主机异常事件检测方法 | |
CN106330584A (zh) | 一种业务流的识别方法及识别装置 | |
CN116938507A (zh) | 一种电力物联网安全防御终端及其控制系统 | |
CN110650157B (zh) | 基于集成学习的Fast-flux域名检测方法 | |
Yassin et al. | Packet header anomaly detection using statistical analysis | |
CN114826706A (zh) | 一种基于计算机内存取证技术的恶意流量检测方法 | |
Tian et al. | A transductive scheme based inference techniques for network forensic analysis | |
CN108650274B (zh) | 一种网络入侵检测方法及系统 | |
CN109474593A (zh) | 一种识别c&c周期性回连行为的方法 | |
CN111274235B (zh) | 一种未知协议的数据清洗和协议字段特征提取方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |