CN115242436B - 一种基于命令行特征的恶意流量检测方法及系统 - Google Patents
一种基于命令行特征的恶意流量检测方法及系统 Download PDFInfo
- Publication number
- CN115242436B CN115242436B CN202210664583.2A CN202210664583A CN115242436B CN 115242436 B CN115242436 B CN 115242436B CN 202210664583 A CN202210664583 A CN 202210664583A CN 115242436 B CN115242436 B CN 115242436B
- Authority
- CN
- China
- Prior art keywords
- malicious
- access
- client
- behavior
- access behavior
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000001514 detection method Methods 0.000 title claims description 36
- 230000006399 behavior Effects 0.000 claims abstract description 145
- 238000000034 method Methods 0.000 claims abstract description 29
- 230000002159 abnormal effect Effects 0.000 claims abstract description 11
- 238000012795 verification Methods 0.000 claims abstract description 8
- 238000000605 extraction Methods 0.000 claims description 10
- 230000009467 reduction Effects 0.000 claims description 10
- 238000012216 screening Methods 0.000 claims description 9
- 238000012847 principal component analysis method Methods 0.000 claims description 4
- 230000008569 process Effects 0.000 claims description 4
- 230000004044 response Effects 0.000 claims description 3
- 230000001010 compromised effect Effects 0.000 claims description 2
- 230000009466 transformation Effects 0.000 claims description 2
- 238000004458 analytical method Methods 0.000 abstract description 6
- 206010000117 Abnormal behaviour Diseases 0.000 abstract description 3
- 238000010586 diagram Methods 0.000 description 6
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000004891 communication Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/04—Processing captured monitoring data, e.g. for logfile generation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
- H04L43/0876—Network utilisation, e.g. volume of load or congestion level
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/24—Traffic characterised by specific attributes, e.g. priority or QoS
- H04L47/2441—Traffic characterised by specific attributes, e.g. priority or QoS relying on flow classification, e.g. using integrated services [IntServ]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Mining & Analysis (AREA)
- Environmental & Geological Engineering (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明一种基于命令行特征的恶意流量检测方法及系统,通过针对操作系统中的异常访问进行异常行为分析,并分别给出相应的分析方法及三层验证,建立恶意行为知识库,以适应不断变化的访问攻击。所提方案能有效的检测异常访问行为,尽可能的减少异常访问行为的干扰,能够在复杂多变的网络环境下,保障操作系统的安全,从而提高后续操作的可信度,通过对命令行特征进行降维提取,基于三层恶意行为判断系统对恶意流量进行检测,以达到保护基于命令行操作系统免受访问攻击的目的。
Description
技术领域
本发明属于通信和访问安全技术领域,具体涉及一种基于命令行特征的恶意流量检测方法及系统。
背景技术
基于命令行的操作系统能够方便快捷的实现增、删、改、查等诸多操作,在各个系统中具有广泛的应用,在基于命令行的操作系统中,用户往往根据短短的指令就能完成操作,但部分恶意用户利用命令行指令实现恶意访问,例如,发送带木马的文件到目标服务器、在主机上部署恶意负载、从日志中获取凭据和配置等敏感信息和恶意网站通过代码实现对系统的远程操控等,为此保证基于命令行操作系统的访问安全尤为重要,现有的对基于命令行的操作系统研究,大多集中在命令行调用效率、命令行记录和命令行存储等方面,对基于命令行的操作系统的访问安全问题解决方案较少。
发明内容
本发明的目的在于提供一种基于命令行特征的恶意流量检测方法及系统,以解决现有的部分恶意用户利用命令行指令实现恶意访问,例如,发送带木马的文件到目标服务器、在主机上部署恶意负载、从日志中获取凭据和配置等敏感信息和恶意网站通过代码实现对系统的远程操控等,为此保证基于命令行操作系统的访问安全尤为重要,现有的对基于命令行的操作系统研究,大多集中在命令行调用效率、命令行记录和命令行存储等方面,对基于命令行的操作系统的访问安全问题解决方案较少的问题。
为实现上述目的,本发明提供如下技术方案:一种基于命令行特征的恶意流量检测方法,具体步骤如下:
步骤1、当有客户端调用命令行指令时,数据采集单元对命令行的相关属性特征进行采集;
步骤2、特征采集完成后,运用主成分分析方法对特征进行降维和提取,产生命令行配置文件;
特征降维和特征提取具体为,所述的特征降维和特征提取方法为主成分分析方法即PCA,通过线性变换把特征属性变换到一个新的坐标系统中,使得任何特征属性投影的第一大方差在第一个坐标及称为第一主成分上,第二大方差在第二个坐标及第二主成分上,依次类推;该方法可以有效减少特征属性集的维数,同时保持特征属性集对方差贡献最大的特征;通过PCA方法得到命令行配置文件;
步骤3、配置文件与恶意访问行为知识库内的恶意访问行为标定表进行匹配,匹配成功,则直接拒绝该客户端的访问请求;否则,进入恶意流量检测系统;
步骤4、恶意流量检测系统中的特征分类器,根据配置文件中的重要特征信息调用孤立森林算法进行分类识别,分为正常客户端与访问行为类和恶意客户端与访问行为类两种;
步骤5、正常客户端与访问行为类可正常访问目标终端执行相关操作,恶意客户端与访问行为类被送入恶意行为判断器进行进一步验证;
恶意判断具体为,恶意客户端与访问行为类根据预先设定的判断规则进行判断;所述判断规则为:
(1)、是否进行身份验证;
(2)、用户IP是否属于客户端IP白名单;
(3)、是否远程执行脚本/下载文件到目标机器;
(4)、有无备份证书服务,下载完文件后有无对缓存进行删除;
(5)、是否请求元数据服务,并尝试从中获取凭证;
(6)、是否创建sudo权限的用户,并使用SSH-RSA密钥来确保可以连接到受感染的机器并维持访问;
(7)、是否从不受信任的存储库中提取或使用基本镜像;
(8)、是否用来传递恶意负载或从受损主机接收数据,这些域名大多允许用户匿名上传和下载文件;
(9)、是否是恶意文件进行识别;
步骤6、不满足判断规则的被判定为正常客户端与访问行为,可正常访问目标终端执行相关操作,满足判断规则的被进一步判定为恶意客户端与访问行为;
步骤7、根据配置文件对恶意客户端与访问行为类进行标定,生成恶意访问行为标定表;
步骤8、将恶意访问行为标定表放入恶意访问行为知识库,用于客户端初始匹配筛选。
优选的,所述步骤一中数据采集单元对命令行的相关属性特征进行采集具体为,当发送命令行调用信息后,通过数据采集单元对相关信息进行采集,包括:远程IP地址、本地IP地址、第一行的要求、发送的字节数、响应的HTTP状态码、用户会话ID、日期和时间和远程主机名,通过对这些信息进行整合、采集,生成了相关特征属性表,然后进行步骤二。
优选的,所述步骤四中特征分类器的分类方法具体为,在分析用户行为时,根据命令行配置文件,采用孤立森林算法进行分类识别,在用户输入命令行中,包括用户操作、操作时间,IP地址、操作平台,孤立森林模型首先随机选择用户行为样本的一个特征,再随机选择该特征取值范围中的一个值,对样本集做拆分,迭代该过程,生成一棵孤立树,树上叶子节点离根节点越近,其异常值越高,迭代生成多棵孤立树,生成孤立森林,预测时,融合多棵树的结果形成最终的行为分类结果;通过对配置文件进行分类识别,将客户端分为正常客户端与访问行为类和恶意客户端与访问行为类两种,其中,正常客户端与访问行为类可正常访问目的终端,恶意客户端与访问行为类被送入恶意行为判断器。
优选的,所述步骤七中的恶意访问行为标定表的标定规则具体为,所述的恶意访问行为标定表共包含<IP地址、访问时间、访问操作、发送文件、目标终端、备注>六项,其中,前五项根据配置文件进行标定,备注栏则根据分类结果和判定规则结果进行综合标定,包含IP风险、访问操作风险以及发送文件风险。
优选的,所述步骤八中的恶意行为访问知识库具体为,所述的恶意行为访问知识库包含了各个终端报告的风险因素,并根据设计的恶意访问行为标定表的格式进行存储,同时未通过恶意流量检测系统识别的恶意客户端与访问行为,也将被存储在知识库中,用于恶意检测的初始筛选。
优选的,所述步骤八中的客户端初始匹配筛选具体为,通过对配置文件和恶意访问行为标定表进行匹配,若匹配成功,则直接断定该客户端与访问行为是恶意的,拒绝该客户端的命令请求;若匹配未成功,则该客户端与访问行为进入恶意流量检测系统进行进一步检测。
优选的,所述步骤七中的配置文件和恶意访问行为标定表的匹配方法如下:
根据配置文件和恶意访问行为标定表的共同项进行匹配,其中,若存在访问IP或发送文件是相同的,则直接断定该客户端与访问行为是恶意的;若访问时间在同一时间段内,则查看该时间段内是否存在大量访问操作,若存在,则判定为恶意访问;若仅存在相同的访问操作和目标终端,则无法判断该客户端恶意与否,送入恶意流量检测系统进行更加深入的检测。
一种基于命令行特征的恶意流量检测方法的操作系统,包括客户端、数据采集单元以及目标终端,数据采集单元包括恶意流量检测系统,恶意流量检测系统包括特征分类器、恶意行为判断器、恶意访问行为知识库。
优选的,所述特征分类器具体为根据配置文件中的重要特征信息采用孤立森林算法进行分类识别,其中,分为正常客户端与访问行为类和恶意客户端与访问行为类两种,正常客户端与访问行为类可正常访问目标终端执行相关操作,恶意客户端与访问行为类被送入恶意行为判断器进行进一步判断;恶意行为判断器具体为通过设定的判断规则,对分类器中划分为恶意客户端与访问行为类的数据进行进一步判断,防止由于分类器不准确带来的误判,其中,不满足判断规则的被判定为正常客户端与访问行为,可正常访问目标终端执行相关操作;满足判断规则的被判定为恶意客户端与访问行为,根据配置文件对客户端和访问行为进行标定,生成恶意访问行为标定表;恶意访问行为知识库具体用来存储各个终端报告的恶意访问行为,并根据恶意访问行为标定表的格式进行存储,同时存储未通过特征分类器和恶意行为判断器的恶意访问行为标定表;且在配置文件进入恶意流量检测系统前,与恶意访问行为知识库进行匹配,完成初步筛选。
本发明的技术效果和优点:整体针对操作系统中的异常访问进行异常行为分析,并分别给出相应的分析方法及三层验证,建立恶意行为知识库,以适应不断变化的访问攻击,所提方案能有效的检测异常访问行为,尽可能的减少异常访问行为的干扰,能够在复杂多变的网络环境下,保障操作系统的安全,从而提高后续操作的可信度,通过对命令行特征进行降维提取,基于三层恶意行为判断系统对恶意流量进行检测,以达到保护基于命令行操作系统免受访问攻击的目的,三层恶意行为的判断系统即1、恶意行为知识库;2、孤立森林算法分类识别;3、设定恶意行为判断规则。
附图说明
图1为本发明的一种实施例的系统结构框图;
图2为本发明的一种实施例的数据采集示意图;
图3为本发明的一种实施例的恶意行为判断器判断过程示意图;
图4为本发明的一种实施例的恶意访问行为标定表标定示意图;
图5为本发明的一种实施例的匹配方法示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例,基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明提供了如图中所示的图1为本发明的一种实施例的系统结构框图,如图1所示本发明系统实施例包括以下步骤:当有客户端调用命令行指令时,数据采集单元对命令行的相关属性特征进行采集;特征采集完成后,运用PCA方法对特征进行降维和提取,产生命令行配置文件;配置文件与恶意访问行为知识库内的恶意访问行为标定表进行匹配,匹配成功,则直接拒绝该客户端的访问请求;否则,进入恶意流量检测系统;恶意流量检测系统中的特征分类器,根据配置文件中的重要特征信息调用孤立森林算法进行分类识别,分为正常客户端与访问行为类和恶意客户端与访问行为类两种;正常客户端与访问行为类可正常访问目标终端执行相关操作,恶意客户端与访问行为类被送入恶意行为判断器进行进一步验证;通过设定的判断规则,对分类器中划分为恶意客户端与访问行为类进行进一步判定;不满足判断规则的被判定为正常客户端与访问行为,可正常访问目标终端执行相关操作,满足判断规则的被进一步判定为恶意客户端与访问行为;根据配置文件对恶意客户端与访问行为类进行标定,生成恶意访问行为标定表;将恶意访问行为标定表放入恶意访问行为知识库,用于客户端初始匹配筛选;
如图2所示本发明系统实施例数据采集单元包括以下过程:当发送命令行调用信息后,通过数据采集单元对相关信息进行采集,包括:远程IP地址、本地IP地址、第一行的要求、发送的字节数、响应的HTTP状态码、用户会话ID、日期和时间和远程主机名等信息,通过对这些信息进行整合、采集,生成了相关特征属性表;然后通过PCA方法对特征属性进行特征降维和特征提取,生成命令行配置文件;
如图3所示本发明系统实施例的恶意行为判断机制包括以下过程:恶意客户端与访问行为类根据预先设定的判断规则进行判断;所述判断规则共9条,不满足设定节点数的客户端被认定为正常客户端与访问行为,允许该客户端正常访问目标终端;满足设定节点数的客户端被认定为恶意客户端与访问行为,拒绝该客户端的访问请求;同时,生成恶意访问行为标定表,存入恶意访问行为知识库;
如图4所示本发明系统实施例的恶意访问行为标定表的标定规则包括以下过程:所述的恶意访问行为标定表共包含<IP地址、访问时间、访问操作、发送文件、目标终端、备注>六项,其中,前五项根据配置文件进行标定,备注栏则根据分类结果和判定规则结果进行综合标定,主要包含IP风险、访问操作风险以及发送文件风险;
如图5所示本发明系统实施例匹配方法包括以下过程:根据配置文件和恶意访问行为标定表的共同项进行匹配,其中,若存在访问IP或发送文件是相同的,则直接断定该客户端与访问行为是恶意的;若访问时间在同一时间段内,则查看该时间段内是否存在大量访问操作,若存在,则判定为恶意访问;若仅存在相同的访问操作和目标终端,则无法判断该客户端恶意与否,送入恶意流量检测系统进行更加深入的检测;
整体上本发明通过针对操作系统中的异常访问进行异常行为分析,并分别给出相应的分析方法及三层验证,建立恶意行为知识库,以适应不断变化的访问攻击;所提方案能有效的检测异常访问行为,尽可能的减少异常访问行为的干扰,能够在复杂多变的网络环境下,保障操作系统的安全,从而提高后续操作的可信度,通过对命令行特征进行降维提取,基于三层恶意行为判断系统对恶意流量进行检测,以达到保护基于命令行操作系统免受访问攻击的目的,三层恶意行为的判断系统即1、恶意行为知识库;2、孤立森林算法分类识别;3、设定恶意行为判断规则。
最后应说明的是:以上所述仅为本发明的优选实施例而已,并不用于限制本发明,尽管参照前述实施例对本发明进行了详细的说明,对于本领域的技术人员来说,其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (9)
1.一种基于命令行特征的恶意流量检测方法,其特征在于:具体步骤如下:
步骤1、当有客户端调用命令行指令时,数据采集单元对命令行的相关属性特征进行采集;
步骤2、特征采集完成后,运用主成分分析方法对特征进行降维和提取,产生命令行配置文件;
特征降维和特征提取具体为,所述的特征降维和特征提取方法为主成分分析方法即PCA,通过线性变换把特征属性变换到一个新的坐标系统中,使得任何特征属性投影的第一大方差在第一个坐标及称为第一主成分上,第二大方差在第二个坐标及第二主成分上,依次类推;该方法可以有效减少特征属性集的维数,同时保持特征属性集对方差贡献最大的特征;通过PCA方法得到命令行配置文件;
步骤3、配置文件与恶意访问行为知识库内的恶意访问行为标定表进行匹配,匹配成功,则直接拒绝该客户端的访问请求;否则,进入恶意流量检测系统;
步骤4、恶意流量检测系统中的特征分类器,根据配置文件中的重要特征信息调用孤立森林算法进行分类识别,分为正常客户端与访问行为类和恶意客户端与访问行为类两种;
步骤5、正常客户端与访问行为类可正常访问目标终端执行相关操作,恶意客户端与访问行为类被送入恶意行为判断器进行进一步验证;
恶意判断具体为,恶意客户端与访问行为类根据预先设定的判断规则进行判断;所述判断规则为:
(1)、是否进行身份验证;
(2)、用户IP是否属于客户端IP白名单;
(3)、是否远程执行脚本/下载文件到目标机器;
(4)、有无备份证书服务,下载完文件后有无对缓存进行删除;
(5)、是否请求元数据服务,并尝试从中获取凭证;
(6)、是否创建sudo权限的用户,并使用SSH-RSA密钥来确保可以连接到受感染的机器并维持访问;
(7)、是否从不受信任的存储库中提取或使用基本镜像;
(8)、是否用来传递恶意负载或从受损主机接收数据,这些域名大多允许用户匿名上传和下载文件;
(9)、是否是恶意文件进行识别;
步骤6、不满足判断规则的被判定为正常客户端与访问行为,可正常访问目标终端执行相关操作,满足判断规则的被进一步判定为恶意客户端与访问行为;
步骤7、根据配置文件对恶意客户端与访问行为类进行标定,生成恶意访问行为标定表;
步骤8、将恶意访问行为标定表放入恶意访问行为知识库,用于客户端初始匹配筛选。
2.根据权利要求1所述的一种基于命令行特征的恶意流量检测方法,其特征在于:所述步骤一中数据采集单元对命令行的相关属性特征进行采集具体为,当发送命令行调用信息后,通过数据采集单元对相关信息进行采集,包括:远程IP地址、本地IP地址、第一行的要求、发送的字节数、响应的HTTP状态码、用户会话ID、日期和时间和远程主机名,通过对这些信息进行整合、采集,生成了相关特征属性表,然后进行步骤二。
3.根据权利要求1所述的一种基于命令行特征的恶意流量检测方法,其特征在于:所述步骤四中特征分类器的分类方法具体为,在分析用户行为时,根据命令行配置文件,采用孤立森林算法进行分类识别,在用户输入命令行中,包括用户操作、操作时间,IP地址、操作平台,孤立森林模型首先随机选择用户行为样本的一个特征,再随机选择该特征取值范围中的一个值,对样本集做拆分,迭代该过程,生成一棵孤立树,树上叶子节点离根节点越近,其异常值越高,迭代生成多棵孤立树,生成孤立森林,预测时,融合多棵树的结果形成最终的行为分类结果;通过对配置文件进行分类识别,将客户端分为正常客户端与访问行为类和恶意客户端与访问行为类两种,其中,正常客户端与访问行为类可正常访问目的终端,恶意客户端与访问行为类被送入恶意行为判断器。
4.根据权利要求1所述的一种基于命令行特征的恶意流量检测方法,其特征在于:所述步骤七中的恶意访问行为标定表的标定规则具体为,所述的恶意访问行为标定表共包含<IP地址、访问时间、访问操作、发送文件、目标终端、备注>六项,其中,前五项根据配置文件进行标定,备注栏则根据分类结果和判定规则结果进行综合标定,包含IP风险、访问操作风险以及发送文件风险。
5.根据权利要求1所述的一种基于命令行特征的恶意流量检测方法,其特征在于:所述步骤八中的恶意行为访问知识库具体为,所述的恶意行为访问知识库包含了各个终端报告的风险因素,并根据设计的恶意访问行为标定表的格式进行存储,同时未通过恶意流量检测系统识别的恶意客户端与访问行为,也将被存储在知识库中,用于恶意检测的初始筛选。
6.根据权利要求1所述的一种基于命令行特征的恶意流量检测方法,其特征在于:所述步骤八中的客户端初始匹配筛选具体为,通过对配置文件和恶意访问行为标定表进行匹配,若匹配成功,则直接断定该客户端与访问行为是恶意的,拒绝该客户端的命令请求;若匹配未成功,则该客户端与访问行为进入恶意流量检测系统进行进一步检测。
7.根据权利要求1所述的一种基于命令行特征的恶意流量检测方法,其特征在于:所述步骤七中的配置文件和恶意访问行为标定表的匹配方法如下:
根据配置文件和恶意访问行为标定表的共同项进行匹配,其中,若存在访问IP或发送文件是相同的,则直接断定该客户端与访问行为是恶意的;若访问时间在同一时间段内,则查看该时间段内是否存在大量访问操作,若存在,则判定为恶意访问;若仅存在相同的访问操作和目标终端,则无法判断该客户端恶意与否,送入恶意流量检测系统进行更加深入的检测。
8.根据权利要求1-7任意所述一种基于命令行特征的恶意流量检测方法的操作系统,其特征在于:包括客户端、数据采集单元以及目标终端,数据采集单元包括恶意流量检测系统,恶意流量检测系统包括特征分类器、恶意行为判断器、恶意访问行为知识库。
9.根据权利要求8所述的一种基于命令行特征的恶意流量检测方法的操作系统,其特征在于:所述特征分类器具体为根据配置文件中的重要特征信息采用孤立森林算法进行分类识别,其中,分为正常客户端与访问行为类和恶意客户端与访问行为类两种,正常客户端与访问行为类可正常访问目标终端执行相关操作,恶意客户端与访问行为类被送入恶意行为判断器进行进一步判断;恶意行为判断器具体为通过设定的判断规则,对分类器中划分为恶意客户端与访问行为类的数据进行进一步判断,防止由于分类器不准确带来的误判,其中,不满足判断规则的被判定为正常客户端与访问行为,可正常访问目标终端执行相关操作;满足判断规则的被判定为恶意客户端与访问行为,根据配置文件对客户端和访问行为进行标定,生成恶意访问行为标定表;恶意访问行为知识库具体用来存储各个终端报告的恶意访问行为,并根据恶意访问行为标定表的格式进行存储,同时存储未通过特征分类器和恶意行为判断器的恶意访问行为标定表;且在配置文件进入恶意流量检测系统前,与恶意访问行为知识库进行匹配,完成初步筛选。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210664583.2A CN115242436B (zh) | 2022-06-14 | 2022-06-14 | 一种基于命令行特征的恶意流量检测方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210664583.2A CN115242436B (zh) | 2022-06-14 | 2022-06-14 | 一种基于命令行特征的恶意流量检测方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN115242436A CN115242436A (zh) | 2022-10-25 |
| CN115242436B true CN115242436B (zh) | 2023-12-01 |
Family
ID=83670444
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210664583.2A Active CN115242436B (zh) | 2022-06-14 | 2022-06-14 | 一种基于命令行特征的恶意流量检测方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115242436B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115544524B (zh) * | 2022-11-30 | 2023-03-21 | 北京广通优云科技股份有限公司 | 一种防止数据外泄的it系统自动化运维脚本执行安全保障方法 |
Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7676400B1 (en) * | 2005-06-03 | 2010-03-09 | Versata Development Group, Inc. | Scoring recommendations and explanations with a probabilistic user model |
| US8418249B1 (en) * | 2011-11-10 | 2013-04-09 | Narus, Inc. | Class discovery for automated discovery, attribution, analysis, and risk assessment of security threats |
| RU2012156433A (ru) * | 2012-12-25 | 2014-06-27 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ обнаружения вредоносного программного обеспечения путем создания изолированной среды |
| KR20160031590A (ko) * | 2014-09-12 | 2016-03-23 | 고려대학교 산학협력단 | 악성 앱 분류 장치 및 악성 앱 분류 방법 |
| CN105871883A (zh) * | 2016-05-10 | 2016-08-17 | 上海交通大学 | 基于攻击行为分析的高级持续性威胁检测方法 |
| CN106209854A (zh) * | 2016-07-13 | 2016-12-07 | 徐州医科大学 | 一种基于状态机实现访问控制的云平台服务方法及系统 |
| CN108134761A (zh) * | 2016-12-01 | 2018-06-08 | 中兴通讯股份有限公司 | 一种apt检测方法、系统及装置 |
| CN108961061A (zh) * | 2018-07-19 | 2018-12-07 | 安徽磐众信息科技有限公司 | 基于主成分分析的开放式基金的绩效评价方法 |
| CN110012005A (zh) * | 2019-03-29 | 2019-07-12 | 新华三大数据技术有限公司 | 识别异常数据的方法、装置、电子设备及存储介质 |
| CN110445714A (zh) * | 2019-08-12 | 2019-11-12 | 徐州恒佳电子科技有限公司 | 一种基于ospf虚链路的改进型区域通信方法 |
| CN113489685A (zh) * | 2021-06-15 | 2021-10-08 | 江苏大学 | 一种基于核主成分分析的二次特征提取及恶意攻击识别方法 |
| CN114021040A (zh) * | 2021-11-15 | 2022-02-08 | 北京华清信安科技有限公司 | 基于业务访问的恶意事件的告警及防护方法和系统 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100942456B1 (ko) * | 2009-07-23 | 2010-02-12 | 주식회사 안철수연구소 | 클라우드 컴퓨팅을 이용한 DDoS 공격 탐지 및 차단 방법 및 서버 |
| US10230740B2 (en) * | 2015-04-21 | 2019-03-12 | Cujo LLC | Network security analysis for smart appliances |
-
2022
- 2022-06-14 CN CN202210664583.2A patent/CN115242436B/zh active Active
Patent Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7676400B1 (en) * | 2005-06-03 | 2010-03-09 | Versata Development Group, Inc. | Scoring recommendations and explanations with a probabilistic user model |
| US8418249B1 (en) * | 2011-11-10 | 2013-04-09 | Narus, Inc. | Class discovery for automated discovery, attribution, analysis, and risk assessment of security threats |
| RU2012156433A (ru) * | 2012-12-25 | 2014-06-27 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ обнаружения вредоносного программного обеспечения путем создания изолированной среды |
| KR20160031590A (ko) * | 2014-09-12 | 2016-03-23 | 고려대학교 산학협력단 | 악성 앱 분류 장치 및 악성 앱 분류 방법 |
| CN105871883A (zh) * | 2016-05-10 | 2016-08-17 | 上海交通大学 | 基于攻击行为分析的高级持续性威胁检测方法 |
| CN106209854A (zh) * | 2016-07-13 | 2016-12-07 | 徐州医科大学 | 一种基于状态机实现访问控制的云平台服务方法及系统 |
| CN108134761A (zh) * | 2016-12-01 | 2018-06-08 | 中兴通讯股份有限公司 | 一种apt检测方法、系统及装置 |
| CN108961061A (zh) * | 2018-07-19 | 2018-12-07 | 安徽磐众信息科技有限公司 | 基于主成分分析的开放式基金的绩效评价方法 |
| CN110012005A (zh) * | 2019-03-29 | 2019-07-12 | 新华三大数据技术有限公司 | 识别异常数据的方法、装置、电子设备及存储介质 |
| CN110445714A (zh) * | 2019-08-12 | 2019-11-12 | 徐州恒佳电子科技有限公司 | 一种基于ospf虚链路的改进型区域通信方法 |
| CN113489685A (zh) * | 2021-06-15 | 2021-10-08 | 江苏大学 | 一种基于核主成分分析的二次特征提取及恶意攻击识别方法 |
| CN114021040A (zh) * | 2021-11-15 | 2022-02-08 | 北京华清信安科技有限公司 | 基于业务访问的恶意事件的告警及防护方法和系统 |
Non-Patent Citations (2)
| Title |
|---|
| 基于RBF神经网络的HTTP异常行为自动识别方法;王景中;徐友强;;信息网络安全(12);全文 * |
| 针对数据泄漏行为的恶意软件检测;王丽娜;谈诚;余荣威;尹正光;;计算机研究与发展(第07期);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN115242436A (zh) | 2022-10-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110399925B (zh) | 账号的风险识别方法、装置及存储介质 | |
| CN108156131B (zh) | Webshell检测方法、电子设备和计算机存储介质 | |
| CN111209565B (zh) | 水平越权漏洞检测方法、设备及计算机可读存储介质 | |
| CN110855676B (zh) | 网络攻击的处理方法、装置及存储介质 | |
| US20170149830A1 (en) | Apparatus and method for automatically generating detection rule | |
| CN111404937B (zh) | 一种服务器漏洞的检测方法和装置 | |
| CN114679292B (zh) | 基于网络空间测绘的蜜罐识别方法、装置、设备及介质 | |
| CN112511561A (zh) | 网络攻击路径确定方法、设备、存储介质及装置 | |
| CN110071924B (zh) | 基于终端的大数据分析方法及系统 | |
| CN113132311A (zh) | 异常访问检测方法、装置和设备 | |
| CN110135162A (zh) | Webshell后门识别方法、装置、设备及存储介质 | |
| CN115242436B (zh) | 一种基于命令行特征的恶意流量检测方法及系统 | |
| CN112839014A (zh) | 建立识别异常访问者模型的方法、系统、设备及介质 | |
| CN114650176A (zh) | 钓鱼网站的检测方法、装置、计算机设备及存储介质 | |
| CN115242434A (zh) | 应用程序接口api的识别方法及装置 | |
| KR102189127B1 (ko) | 행위 기반 룰 처리 장치 및 그 처리 방법 | |
| US20140123234A1 (en) | User terminal, reliability management server, and method and program for preventing unauthorized remote operation | |
| CN111314326A (zh) | Http漏洞扫描主机的确认方法、装置、设备及介质 | |
| CN109190408B (zh) | 一种数据信息的安全处理方法及系统 | |
| US9742641B2 (en) | System and method for identifying real users behind application servers | |
| CN111224890A (zh) | 一种云平台的流量分类方法、系统及相关设备 | |
| CN116226865A (zh) | 云原生应用的安全检测方法、装置、服务器、介质及产品 | |
| CN113590180B (zh) | 一种检测策略生成方法及装置 | |
| CN115001724B (zh) | 网络威胁情报管理方法、装置、计算设备及计算机可读存储介质 | |
| KR101512700B1 (ko) | 사용자 행위패턴 기반 웹 서버의 비인가 트래픽 정밀 접근제어 시스템 및 그 제어 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |