CN115987549A - 移动终端的异常行为检测方法、装置及存储介质 - Google Patents
移动终端的异常行为检测方法、装置及存储介质 Download PDFInfo
- Publication number
- CN115987549A CN115987549A CN202211394517.4A CN202211394517A CN115987549A CN 115987549 A CN115987549 A CN 115987549A CN 202211394517 A CN202211394517 A CN 202211394517A CN 115987549 A CN115987549 A CN 115987549A
- Authority
- CN
- China
- Prior art keywords
- data packet
- network
- total
- network traffic
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/70—Reducing energy consumption in communication networks in wireless communication networks
Abstract
本申请实施例提供一种移动终端的异常行为检测方法、装置及存储介质,包括:获取网络流量;对所述网络流量进行解析,得到网络信息和数据信息;对所述网络信息和数据信息进行反序列化处理,得到基本特征;对所述网络信息和数据信息进行统计处理,得到统计特征;将所述基本特征和统计特征输入预先构建的异常识别模型,由模型输出网络流量是否为异常流量的检测结果。本申请能够对移动终端的网络流量进行异常检测,提高检测效率。
Description
技术领域
本申请实施例涉及信息安全技术领域,尤其涉及一种移动终端的异常行为检测方法、装置及存储介质。
背景技术
移动终端接入互联网能够实现丰富多样的功能,满足不同的应用需求,随之而来的网络安全问题也日益凸显,各类网络威胁会影响应用的正常使用,非法获取用户隐私信息等,造成严重损失。现有的移动终端异常行为检测方法,一般通过流量统计或者提取网络流量的特征与预先构建的特征库进行匹配,识别是否为异常流量,流量统计方法无法对数据包进行内容检测,准确性较低,特征匹配的方法对性能要求较高,深度的数据包检测存在延迟,效率不高。
发明内容
有鉴于此,本申请实施例的目的在于提出一种移动终端的异常行为检测方法、装置及存储介质。
基于上述目的,本申请实施例提供了一种移动终端的异常行为检测方法,包括:
获取网络流量;
对所述网络流量进行解析,得到网络信息和数据信息;
对所述网络信息和数据信息进行反序列化处理,得到基本特征;
对所述网络信息和数据信息进行统计处理,得到统计特征;
将所述基本特征和统计特征输入预先构建的异常识别模型,由模型输出网络流量是否为异常流量的检测结果。
可选的,所述模型输出检测结果之后,包括:
当所述检测结果为所述网络流量为异常流量时,将所述网络流量输入预设的异常行为检测工具中,由所述异常行为检测工具识别所述网络流量对应的异常行为。
可选的,所述网络信息包括目的IP地址和服务类型;对所述网络信息和数据信息进行统计处理,得到统计特征,包括:
在预定周期内,统计目的IP地址相同的总网络流量和总数据包数量,计算目的IP地址相同的总网络流量在所有网络流量中的占比,计算目的IP地址相同的总数据包数量在所有数据包数量中的占比;统计同一服务的服务器端的总网络流量和总数据包数量,计算同一服务的服务端的总网络流量在所有网络流量中的占比,计算同一服务的服务器端的总数据包数量在所有数据包数量中的占比;计算不同目的IP地址的总网络流量在所有网络流量中的占比,计算不同目的IP地址的总数据包数量在所有数据包数量中的占比;
以随机获取的一个会话中的数据包作为当前数据包,从获取的所有网络流量中选取预定数据量的网络流量样本和预定数量的数据包样本,统计该数据包样本中与所述当前数据包的目的IP地址相同的总网络流量和总数据包数量,计算该目的IP地址相同的总网络流量在该网络流量样本中的占比,计算该目的IP地址相同的总数据包数量在该数据包样本中的占比;统计该数据包样本中与所述当前数据包服务相同的总网络流量和总数据包数量,计算该服务相同的总网络流量在该网络流量样本中的占比,计算该服务相同的总数据包数量在该数据包样本中的占比;统计该数据包样本中与所述当前数据包目的IP地址不同的总网络流量和总数据包数量,计算该目的IP地址不同的总网络流量在该网络流量样本中的占比,计算该目的IP地址不同的总数据包数量在该数据包样本中的占比;
从所有网络流量中选取预定数量的网络连接,确定选取的网络连接对应的网络流量样本,统计选取出的网络连接中与所述当前数据包的目的IP地址相同的总网络流量和总数据包数量,计算该目的IP地址相同的总网络流量在该网络流量样本中的占比,计算该目的IP地址相同的总数据包数量在该数据包样本中的占比;统计选取出的网络连接中与所述当前数据包服务相同的总网络流量和总数据包数量,计算该服务相同的总网络流量在该网络流量样本中的占比,该服务相同的总数据包数量在该数据包样本中的占比;统计选取出的网络连接中与所述当前数据包目的IP地址不同的总网络流量和总数据包数量,计算该目的IP地址不同的总网络流量在该网络流量样本中的占比,该目的IP地址不同的总数据包数量在该数据包样本中的占比。
可选的,对所述网络流量进行解析,还包括:
对每个数据包添加唯一的包标识;
对每个数据包添加用于标识数据包特征的特征标签;其中,所述特征标签包括:流量大小、数据包大小、流量占比、数据包大小水平、协议特征、数据长度、数据类型;所述流量占比为所述数据包的流量在该数据包所在会话中的总流量中的占比,所述数据包大小水平是按照预设的大小标准划分得到,所述协议特征包括应用层协议类型及应用层协议所对应的特定参数。
可选的,所述异常识别模型是基于数据包样本及数据包样本对应的特征标签训练得到的。
可选的,所述模型输出检测结果之后,还包括:
将每个数据包的包标识、特征标签、网络信息、数据信息、基本特征、统计特征和检测结果保存于分布式数据仓库中。
可选的,方法还包括:
按照预设的查询条件,查询所述分布式数据仓库,获得满足所述查询条件的信息。
可选的,所述模型输出检测结果之后,还包括:
当所述检测结果为所述网络流量为异常流量时,利用预设的高级持续性威胁分析模块对所述网络流量进行检测,得到异常行为的画像结果。
本申请实施例还提供一种移动终端的异常行为检测装置,包括:
获取模块,用于获取网络流量;
解析模块,用于对所述网络流量进行解析,得到网络信息和数据信息;
提取模块,用于对所述网络信息和数据信息进行反序列化处理,得到基本特征;对所述网络信息和数据信息进行统计处理,得到统计特征;
检测模块,用于将所述基本特征和统计特征输入预先构建的异常识别模型,由模型输出网络流量是否为异常流量的检测结果。
本申请实施例还提供一种非暂态计算机可读存储介质所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令用于使所述计算机执行所述的异常行为检测方法。
从上面所述可以看出,本申请实施例提供的移动终端的异常行为检测方法、装置及存储介质,通过对移动终端的网络流量进行解析,得到网络信息和数据信息,对网络信息和数据信息进行反序列化处理,得到基本特征,对网络信息和数据信息进行统计处理,得到统计特征,将基本特征和统计特征输入异常识别模型,由模型输出网络流量是否为异常流量的检测结果。本申请能够对移动终端的网络流量进行异常检测,降低性能要求,提高检测效率。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例的方法流程示意图;
图2为本申请实施例的装置结构框图;
图3为本申请实施例的系统结构框图;
图4为本申请实施例的电子设备结构框图。
具体实施方式
为使本公开的目的、技术方案和优点更加清楚明白,以下结合具体实施例,并参照附图,对本公开进一步详细说明。
需要说明的是,除非另外定义,本申请实施例使用的技术术语或者科学术语应当为本公开所属领域内具有一般技能的人士所理解的通常意义。本申请实施例中使用的“第一”、“第二”以及类似的词语并不表示任何顺序、数量或者重要性,而只是用来区分不同的组成部分。“包括”或者“包含”等类似的词语意指出现该词前面的元件或者物件涵盖出现在该词后面列举的元件或者物件及其等同,而不排除其他元件或者物件。“连接”或者“相连”等类似的词语并非限定于物理的或者机械的连接,而是可以包括电性的连接,不管是直接的还是间接的。“上”、“下”、“左”、“右”等仅用于表示相对位置关系,当被描述对象的绝对位置改变后,则该相对位置关系也可能相应地改变。
如图1所示,本申请实施例提供一种移动终端的异常行为检测方法,包括:
S101:获取网络流量;
本实施例中,采集获取移动终端与互联网交互的所有网络流量。例如,可从移动终端的网络模块直接获得网络流量,也可以从移动终端接入互联网的网络设备通过镜像获取网络流量。
一些实施方式中,本申请的执行主体是网络中部署的监控设备,利用监控设备从网络设备通过镜像获取所有移动终端的网络流量,对所有移动终端的网络流量进行内容检测,识别存在异常流量的异常行为。可选的,可采用libpcap捕获工具采集网络流量的所有数据包,采用gopacket数据包工具来驱动libpcap捕获工具,采集原始的数据包。
S102:对网络流量进行解析,得到网络信息和数据信息;
本实施例中,在获取网络流量之后,对网络流量中的各数据包进行解析,得到数据头和负载部分,从数据头部分提取出网络信息,从负载部分提取出数据信息。其中,网络信息包括五元组(源IP地址、目的IP地址、源端口号、目的端口号、协议类型)和服务类型等;数据信息包括应用层协议及应用成协议对应的数据内容,例如,对于应用层协议为HTTP的数据包,解析出HTTP数据包中的请求类型、URL地址、版本号、状态码以及数据内容等;对于应用层协议为MQTT的数据包,解析出MQTT数据包中的消息类型、消息内容等。通过解析数据包为数据包的内容检测提供数据基础。
一些实施例中,对于网络流量中的每个数据包进行解析,包括:
对每个数据包添加唯一的包标识;
对每个数据包添加用于标识数据包特征的特征标签;其中,特征标签包括:流量大小、数据包大小、流量占比、数据包大小水平、协议特征、数据长度、数据类型。流量占比为该数据包的流量在该数据包所在会话中的总流量中的占比,数据包大小水平是按照预设的大小标准划分得到的,例如,将数据量大于第一阈值的数据包划分为大包,将数据量小于第二阈值的数据包划分为小包,第一阈值与第二阈值之间的数据包为中包,协议特征包括应用层协议类型及应用层协议所对应的特定参数,例如,HTTP协议中包括跳转字段,数据类型包括数字、标点、字符串等类型。
在异常识别模型的训练阶段,可以获取网络流量样本,对其中的数据包样本进行解析获取对应的特征标签,利用数据包样本及数据包样本对应的特征标签对预定的机器学习模型进行训练,利用各项特征标签判别数据包是否存在异常,训练之后得到能够识别网络流量是否异常的异常识别模型。可选的,异常识别模型的训练和处理方法可基于Spark计算引擎实现。
本实施例中,对获取的所有数据包进行解析后,得到每个数据包对应的网络信息、数据信息以及添加的包标识和特征标签,将每个数据包所对应的网络信息、数据信息以及包标识和特征标签保存于分布式数据仓库中,用于后续处理。
S103:对网络信息和数据信息进行特征反序列化处理,得到基本特征;以及对网络信息和数据信息进行统计处理,得到统计特征;
本实施例中,解析出的网络信息和数据信息为序列化数据,对每个数据包的网络信息和数据信息进行反序列化处理,得到数据包的对象,通过反序列化得到的对象能够表征一个网络连接或者会话(session),可用于标识网络连接或会话的基本特征。
考虑到很多异常流量与时间有关,通过对网络信息和数据信息进行统计,得到与时间相关的统计特征,用于后续检测异常流量。其中,统计方法包括:
1)在预定周期内,统计目的IP地址相同的总网络流量和总数据包数量,计算目的IP地址相同的总网络流量在所有网络流量中的占比,计算目的IP地址相同的总数据包数量在所有数据包数量中的占比;统计同一服务的服务器端的总网络流量和总数据包数量,计算同一服务的服务端的总网络流量在所有网络流量中的占比,计算同一服务的服务器端的总数据包数量在所有数据包数量中的占比;计算不同目的IP地址的总网络流量在所有网络流量中的占比,计算不同目的IP地址的总数据包数量在所有数据包数量中的占比。
2)以随机获取的一个会话中的数据包作为当前数据包,从获取的所有网络流量中选取预定数据量的网络流量样本和预定数量的数据包样本,统计数据包样本中与当前数据包的目的IP地址相同的总网络流量和总数据包数量,计算目的IP地址相同的总网络流量在网络流量样本中的占比,计算目的IP地址相同的总数据包数量在数据包样本中的占比;统计数据包样本中与当前数据包服务相同的总网络流量和总数据包数量,计算服务相同的总网络流量在网络流量样本中的占比,计算服务相同的总数据包数量在数据包样本中的占比;统计数据包样本中与当前数据包目的IP地址不同的总网络流量和总数据包数量,计算目的IP地址不同的总网络流量在网络流量样本中的占比,计算目的IP地址不同的总数据包数量在数据包样本中的占比。
3)以随机获取的一个会话中的数据包作为当前数据包,从获取的所有网络流量中选取预定数量的网络连接(网络连接是指一次TCP或UDP连接)和预定数量的数据包样本,确定选取的网络连接对应的网络流量样本,统计选取出的网络连接中与当前数据包目的IP地址相同的总网络流量和总数据包数量,计算目的IP地址相同的总网络流量在网络流量样本中的占比,计算目的IP地址相同的总数据包数量在数据包样本中的占比;统计选取出的网络连接中与当前数据包服务相同的总网络流量和总数据包数量,计算服务相同的总网络流量在网络流量样本中的占比,服务相同的总数据包数量在数据包样本中的占比;统计选取出的网络连接中与当前数据包目的IP地址不同的总网络流量和总数据包数量,计算目的IP地址不同的总网络流量在网络流量样本中的占比,目的IP地址不同的总数据包数量在数据包样本中的占比。
本实施例通过网络流量和数据包数量两个维度确定统计特征,能够结合网络实际情况提高检测准确性,相较于预设固定阈值的方法,能够降低误报率。
一些方式中,在提取出基本特征和统计特征之后,将基本特征和统计特征保存于分布式数据仓库,用于后续处理。可选的,分布式数据仓库采用Hbase数据库,解析获得的网络信息、数据信息和提取出的基本特征和统计特征以列示稀疏存储的方式存储于Hbase数据库中。可选的,本申请的数据包解析、特征提取等数据处理过程基于流式计算框架Flink实现。
S104:将基本特征和统计特征输入预先构建的异常识别模型,由模型输出网络流量是否为异常的检测结果。
本实施例中,在提取出基本特征和统计特征之后,将基本特征和统计特征输入预先训练得到的异常识别模型中,由异常识别模型对各项特征进行处理后输出网络流量是否为异常流量的检测结果。当检测结果为网络流量为异常流量时,将网络流量输入预设的异常行为检测工具中,进一步由异常行为检测工具对网络流量进行深度的包内容检测和特征匹配,识别出对应的异常行为。这样,对于网络流量,通过解析与特征提取,先利用异常识别模型检测出存在异常的网络流量,再利用异常行为检测工具检测异常流量所对应的异常行为,能够降低异常行为检测工具进行深度包内容检测的性能压力,提高异常行为检测的效率。
一些方式中,当检测出异常流量及其对应的异常行为后,在分布式数据仓库中保存相应的异常标签。
一些实施例中,异常行为检测方法还包括:统计预定时间内异常识别模型输出的检测结果,得到异常流量及其对应的异常行为的统计结果。本实施例中,在网络流量检测过程中,每隔预定时间间隔对检测结果进行统计,统计结果包括但不限于该时间段内存在的异常流量及其对应的异常行为,产生异常流量的网络信息,异常流量中存在异常的数据信息等。可选的,方法还包括:显示统计结果,方便运维人员根据统计结果判断网络环境是否安全,并根据统计结果定位异常原因。
一些实施例中,异常行为检测方法还包括:
按照预设的查询条件,从分布式数据仓库中获取流量信息。
本实施例中,分布式数据仓库中保存有数据包的网络信息、数据信息、特征标签对应的基本特征、统计特征,对应的网络流量是否为异常流量等数据项,可通过输入查询条件,从分布式数据仓库中获取相应的信息。例如,可以按照应用层协议、IP地址、端口号、服务类型、时间范围、是否存在异常流量等条件查询分布式数据仓库,获得满足查询条件的信息。可选的,查询分布式数据仓库的方法可基于ElasticSearch分布式搜索和分析引擎实现。
一些实施例中,当模型输出的检测结果为网络流量为异常流量时,利用预设的高级持续性威胁分析模块对存在异常的网络流量进行检测,得到异常行为的画像结果,画像结果包括异常行为的来源与性质、危害等级、是否为误报、产生原因等,提供准确的异常行为画像功能。
结合图2所示,于具体实施例中,监控设备的软件架构包括采集层、分析层、引擎层、功能层和数据层。利用采集层采集移动终端的网络流量,对网络流量进行解析和特征提取,并将解析结果和提取出的特征保存于分布式数据仓库中;利用分析层对解析出的网络信息和数据信息进行特征反序列化得到基本特征,并计算统计特征,并将基本特征和统计特征保存于分布式数据仓库中;利用引擎层实现异常识别模型的训练以及利用训练后的模型实时检测网络流量是否为异常流量,并将检测结果保存于分布式数据仓库中。利用功能层实现异常行为的告警提示、对网络流量进行可视化展示与分析以及异常行为画像展示等。本申请的异常行为检测方法,先对网络流量进行解析、特征提取、异常流量的检测,对于检测出的异常流量,进一步利用异常行为检测工具通过深度包检测识别异常行为,能够提高检测效率。
需要说明的是,本申请实施例的方法可以由单个设备执行,例如一台计算机或服务器等。本实施例的方法也可以应用于分布式场景下,由多台设备相互配合来完成。在这种分布式场景的情况下,这多台设备中的一台设备可以只执行本申请实施例的方法中的某一个或多个步骤,这多台设备相互之间会进行交互以完成所述的方法。
需要说明的是,上述对本说明书特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下,在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外,在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中,多任务处理和并行处理也是可以的或者可能是有利的。
如图3所示,本申请实施例还提供一种移动终端的异常行为检测装置,包括:
获取模块,用于获取网络流量;
解析模块,用于对网络流量进行解析,得到网络信息和数据信息;
提取模块,用于对网络信息和数据信息进行反序列化处理,得到基本特征;以及对网络信息和数据信息进行统计处理,得到统计特征;
检测模块,用于将基本特征和统计特征输入预先构建的异常识别模型,由模型输出网络流量是否为异常流量的检测结果。
为了描述的方便,描述以上装置时以功能分为各种模块分别描述。当然,在实施本申请实施例时可以把各模块的功能在同一个或多个软件和/或硬件中实现。
上述实施例的装置用于实现前述实施例中相应的方法,并且具有相应的方法实施例的有益效果,在此不再赘述。
图4示出了本实施例所提供的一种更为具体的电子设备硬件结构示意图,该设备可以包括:处理器1010、存储器1020、输入/输出接口1030、通信接口1040和总线1050。其中处理器1010、存储器1020、输入/输出接口1030和通信接口1040通过总线1050实现彼此之间在设备内部的通信连接。
处理器1010可以采用通用的CPU(Central Processing Unit,中央处理器)、微处理器、应用专用集成电路(Application Specific Integrated Circuit,ASIC)、或者一个或多个集成电路等方式实现,用于执行相关程序,以实现本说明书实施例所提供的技术方案。
存储器1020可以采用ROM(Read Only Memory,只读存储器)、RAM(Random AccessMemory,随机存取存储器)、静态存储设备,动态存储设备等形式实现。存储器1020可以存储操作系统和其他应用程序,在通过软件或者固件来实现本说明书实施例所提供的技术方案时,相关的程序代码保存在存储器1020中,并由处理器1010来调用执行。
输入/输出接口1030用于连接输入/输出模块,以实现信息输入及输出。输入输出/模块可以作为组件配置在设备中(图中未示出),也可以外接于设备以提供相应功能。其中输入设备可以包括键盘、鼠标、触摸屏、麦克风、各类传感器等,输出设备可以包括显示器、扬声器、振动器、指示灯等。
通信接口1040用于连接通信模块(图中未示出),以实现本设备与其他设备的通信交互。其中通信模块可以通过有线方式(例如USB、网线等)实现通信,也可以通过无线方式(例如移动网络、WIFI、蓝牙等)实现通信。
总线1050包括一通路,在设备的各个组件(例如处理器1010、存储器1020、输入/输出接口1030和通信接口1040)之间传输信息。
需要说明的是,尽管上述设备仅示出了处理器1010、存储器1020、输入/输出接口1030、通信接口1040以及总线1050,但是在具体实施过程中,该设备还可以包括实现正常运行所必需的其他组件。此外,本领域的技术人员可以理解的是,上述设备中也可以仅包含实现本说明书实施例方案所必需的组件,而不必包含图中所示的全部组件。
上述实施例的电子设备用于实现前述实施例中相应的方法,并且具有相应的方法实施例的有益效果,在此不再赘述。
本实施例的计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。
所属领域的普通技术人员应当理解:以上任何实施例的讨论仅为示例性的,并非旨在暗示本公开的范围(包括权利要求)被限于这些例子;在本公开的思路下,以上实施例或者不同实施例中的技术特征之间也可以进行组合,步骤可以以任意顺序实现,并存在如上所述的本申请实施例的不同方面的许多其它变化,为了简明它们没有在细节中提供。
另外,为简化说明和讨论,并且为了不会使本申请实施例难以理解,在所提供的附图中可以示出或可以不示出与集成电路(IC)芯片和其它部件的公知的电源/接地连接。此外,可以以框图的形式示出装置,以便避免使本申请实施例难以理解,并且这也考虑了以下事实,即关于这些框图装置的实施方式的细节是高度取决于将要实施本申请实施例的平台的(即,这些细节应当完全处于本领域技术人员的理解范围内)。在阐述了具体细节(例如,电路)以描述本公开的示例性实施例的情况下,对本领域技术人员来说显而易见的是,可以在没有这些具体细节的情况下或者这些具体细节有变化的情况下实施本申请实施例。因此,这些描述应被认为是说明性的而不是限制性的。
尽管已经结合了本公开的具体实施例对本公开进行了描述,但是根据前面的描述,这些实施例的很多替换、修改和变型对本领域普通技术人员来说将是显而易见的。例如,其它存储器架构(例如,动态RAM(DRAM))可以使用所讨论的实施例。
本申请实施例旨在涵盖落入所附权利要求的宽泛范围之内的所有这样的替换、修改和变型。因此,凡在本申请实施例的精神和原则之内,所做的任何省略、修改、等同替换、改进等,均应包含在本公开的保护范围之内。
Claims (10)
1.一种移动终端的异常行为检测方法,其特征在于,包括:
获取网络流量;
对所述网络流量进行解析,得到网络信息和数据信息;
对所述网络信息和数据信息进行反序列化处理,得到基本特征;
对所述网络信息和数据信息进行统计处理,得到统计特征;
将所述基本特征和统计特征输入预先构建的异常识别模型,由模型输出网络流量是否为异常流量的检测结果。
2.根据权利要求1所述的方法,其特征在于,所述模型输出检测结果之后,包括:
当所述检测结果为所述网络流量为异常流量时,将所述网络流量输入预设的异常行为检测工具中,由所述异常行为检测工具识别所述网络流量对应的异常行为。
3.根据权利要求1所述的方法,其特征在于,所述网络信息包括目的IP地址和服务类型;对所述网络信息和数据信息进行统计处理,得到统计特征,包括:
在预定周期内,统计目的IP地址相同的总网络流量和总数据包数量,计算目的IP地址相同的总网络流量在所有网络流量中的占比,计算目的IP地址相同的总数据包数量在所有数据包数量中的占比;统计同一服务的服务器端的总网络流量和总数据包数量,计算同一服务的服务端的总网络流量在所有网络流量中的占比,计算同一服务的服务器端的总数据包数量在所有数据包数量中的占比;计算不同目的IP地址的总网络流量在所有网络流量中的占比,计算不同目的IP地址的总数据包数量在所有数据包数量中的占比;
以随机获取的一个会话中的数据包作为当前数据包,从获取的所有网络流量中选取预定数据量的网络流量样本和预定数量的数据包样本,统计该数据包样本中与所述当前数据包的目的IP地址相同的总网络流量和总数据包数量,计算该目的IP地址相同的总网络流量在该网络流量样本中的占比,计算该目的IP地址相同的总数据包数量在该数据包样本中的占比;统计该数据包样本中与所述当前数据包服务相同的总网络流量和总数据包数量,计算该服务相同的总网络流量在该网络流量样本中的占比,计算该服务相同的总数据包数量在该数据包样本中的占比;统计该数据包样本中与所述当前数据包目的IP地址不同的总网络流量和总数据包数量,计算该目的IP地址不同的总网络流量在该网络流量样本中的占比,计算该目的IP地址不同的总数据包数量在该数据包样本中的占比;
从所有网络流量中选取预定数量的网络连接,确定选取的网络连接对应的网络流量样本,统计选取出的网络连接中与所述当前数据包的目的IP地址相同的总网络流量和总数据包数量,计算该目的IP地址相同的总网络流量在该网络流量样本中的占比,计算该目的IP地址相同的总数据包数量在该数据包样本中的占比;统计选取出的网络连接中与所述当前数据包服务相同的总网络流量和总数据包数量,计算该服务相同的总网络流量在该网络流量样本中的占比,该服务相同的总数据包数量在该数据包样本中的占比;统计选取出的网络连接中与所述当前数据包目的IP地址不同的总网络流量和总数据包数量,计算该目的IP地址不同的总网络流量在该网络流量样本中的占比,该目的IP地址不同的总数据包数量在该数据包样本中的占比。
4.根据权利要求1所述的方法,其特征在于,对所述网络流量进行解析,还包括:
对每个数据包添加唯一的包标识;
对每个数据包添加用于标识数据包特征的特征标签;其中,所述特征标签包括:流量大小、数据包大小、流量占比、数据包大小水平、协议特征、数据长度、数据类型;所述流量占比为所述数据包的流量在该数据包所在会话中的总流量中的占比,所述数据包大小水平是按照预设的大小标准划分得到,所述协议特征包括应用层协议类型及应用层协议所对应的特定参数。
5.根据权利要求4所述的方法,其特征在于,所述异常识别模型是基于数据包样本及数据包样本对应的特征标签训练得到的。
6.根据权利要求4所述的方法,其特征在于,所述模型输出检测结果之后,还包括:
将每个数据包的包标识、特征标签、网络信息、数据信息、基本特征、统计特征和检测结果保存于分布式数据仓库中。
7.根据权利要求6所述的方法,其特征在于,还包括:
按照预设的查询条件,查询所述分布式数据仓库,获得满足所述查询条件的信息。
8.根据权利要求1所述的方法,其特征在于,所述模型输出检测结果之后,还包括:
当所述检测结果为所述网络流量为异常流量时,利用预设的高级持续性威胁分析模块对所述网络流量进行检测,得到异常行为的画像结果。
9.一种移动终端的异常行为检测装置,其特征在于,包括:
获取模块,用于获取网络流量;
解析模块,用于对所述网络流量进行解析,得到网络信息和数据信息;
提取模块,用于对所述网络信息和数据信息进行反序列化处理,得到基本特征;对所述网络信息和数据信息进行统计处理,得到统计特征;
检测模块,用于将所述基本特征和统计特征输入预先构建的异常识别模型,由模型输出网络流量是否为异常流量的检测结果。
10.一种非暂态计算机可读存储介质,其特征在于,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令用于使所述计算机执行权利要求1至8任意一项所述方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211394517.4A CN115987549A (zh) | 2022-11-08 | 2022-11-08 | 移动终端的异常行为检测方法、装置及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211394517.4A CN115987549A (zh) | 2022-11-08 | 2022-11-08 | 移动终端的异常行为检测方法、装置及存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN115987549A true CN115987549A (zh) | 2023-04-18 |
Family
ID=85960110
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202211394517.4A Pending CN115987549A (zh) | 2022-11-08 | 2022-11-08 | 移动终端的异常行为检测方法、装置及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115987549A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117061254A (zh) * | 2023-10-12 | 2023-11-14 | 之江实验室 | 异常流量检测方法、装置和计算机设备 |
-
2022
- 2022-11-08 CN CN202211394517.4A patent/CN115987549A/zh active Pending
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117061254A (zh) * | 2023-10-12 | 2023-11-14 | 之江实验室 | 异常流量检测方法、装置和计算机设备 |
CN117061254B (zh) * | 2023-10-12 | 2024-01-23 | 之江实验室 | 异常流量检测方法、装置和计算机设备 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110275958B (zh) | 网站信息识别方法、装置和电子设备 | |
CN109587008B (zh) | 检测异常流量数据的方法、装置及存储介质 | |
CN113489713B (zh) | 网络攻击的检测方法、装置、设备及存储介质 | |
CN109086377B (zh) | 设备画像的生成方法、装置及计算设备 | |
CN110347561B (zh) | 监控告警方法及终端设备 | |
CN107870849B (zh) | 测试日志的处理方法和装置 | |
CN109962789B (zh) | 基于网络数据构建物联网应用标签体系的方法和装置 | |
CN107395650B (zh) | 基于沙箱检测文件识别木马回连方法及装置 | |
CN111835777A (zh) | 一种异常流量检测方法、装置、设备及介质 | |
CN110727572A (zh) | 埋点数据处理方法、装置、设备及存储介质 | |
CN108600172A (zh) | 撞库攻击检测方法、装置、设备及计算机可读存储介质 | |
CN114528457A (zh) | Web指纹检测方法及相关设备 | |
CN115987549A (zh) | 移动终端的异常行为检测方法、装置及存储介质 | |
CN112269713A (zh) | 一种程序运行状态的获取方法、装置、设备及存储介质 | |
WO2017091286A1 (en) | Suspicious network traffic identification method and apparatus | |
CN111460803A (zh) | 基于工业物联网设备Web管理页面的设备识别方法 | |
CN114840286B (zh) | 基于大数据的业务处理方法及服务器 | |
JP2008158889A (ja) | トラブル要因検出プログラム、トラブル要因検出方法およびトラブル要因検出装置 | |
CN112130944A (zh) | 页面异常的检测方法、装置、设备及存储介质 | |
CN111460448B (zh) | 一种恶意软件家族检测方法及装置 | |
CN116108880A (zh) | 随机森林模型的训练方法、恶意网站检测方法及装置 | |
CN115051863A (zh) | 异常流量检测的方法、装置、电子设备及可读存储介质 | |
CN114760087A (zh) | 软件定义工业互联网中的DDoS攻击检测方法及系统 | |
CN110362498B (zh) | 页面热点的测试方法、装置及服务器 | |
CN114422175A (zh) | 网络安全监督检查行为审计方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |