CN116055092A - 一种隐蔽隧道攻击行为检测方法和装置 - Google Patents

一种隐蔽隧道攻击行为检测方法和装置 Download PDF

Info

Publication number
CN116055092A
CN116055092A CN202211431035.1A CN202211431035A CN116055092A CN 116055092 A CN116055092 A CN 116055092A CN 202211431035 A CN202211431035 A CN 202211431035A CN 116055092 A CN116055092 A CN 116055092A
Authority
CN
China
Prior art keywords
traffic
tunnel
features
data packet
sequence
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202211431035.1A
Other languages
English (en)
Inventor
李祉岐
田峥
孙强
王利斌
孙毅臻
崔宇
田建伟
李宁
冯磊
尹琴
朱宏宇
吴雨希
宋洁
郭晨萌
李芳�
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
State Grid Siji Network Security Beijing Co ltd
State Grid Corp of China SGCC
State Grid Information and Telecommunication Co Ltd
State Grid Hunan Electric Power Co Ltd
Original Assignee
State Grid Siji Network Security Beijing Co ltd
State Grid Corp of China SGCC
State Grid Information and Telecommunication Co Ltd
State Grid Hunan Electric Power Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by State Grid Siji Network Security Beijing Co ltd, State Grid Corp of China SGCC, State Grid Information and Telecommunication Co Ltd, State Grid Hunan Electric Power Co Ltd filed Critical State Grid Siji Network Security Beijing Co ltd
Priority to CN202211431035.1A priority Critical patent/CN116055092A/zh
Publication of CN116055092A publication Critical patent/CN116055092A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种隐蔽隧道攻击行为检测方法和装置,所述方法包括:对于待识别的隐藏服务的流量序列,将所述流量序列中的数据包输入隧道流量识别模型;通过所述隧道流量识别模型提取出所述数据包的属性特征,基于提取的所述属性特征识别出所述流量序列是否为隐蔽隧道攻击行为流量;其中,所述隧道流量识别模型是根据从正常流量,以及攻击型流量中获取的训练集的数据预先训练得到的。应用本发明可以及时识别发现隐蔽隧道恶意流量的攻击行为。

Description

一种隐蔽隧道攻击行为检测方法和装置
技术领域
本发明涉及计算机技术领域,特别是指一种隐蔽隧道攻击行为检测方法和装置。
背景技术
在木马检测领域中,国内外研究者已提出了从各个角度、采用各种不同方法进行木马检测的方法。所有的木马检测方法总体上可以分为两类,一类是基于主机的木马检测方法,另一类是基于网络通信的木马检测方法。
基于主机的各种检测技术还存在一些不足,此外很难保证在整个网络中的每台计算机中部署主机检测系统。并且基于主机的检测方法通常对系统资源占用很大,影响用户对计算机的使用。如果有任何一台计算机不受这种技术的保护,那么恶意软件有可能从这台计算机扩散到整个网络。因此,基于网络行为的检测技术吸引了越来越多研究者的关注。
目前基于网络通信行为的检测技术通常需要先对数据包按通信会话分类,然后对所得网络通信会话进行分析,该技术基于木马通信行为与正常应用通信行为相比具有一定的行为差异,通过提取通信会话的统计特征,再结合各种分类或聚类机器学习方法,建立木马通信检测模型,从而对木马进行检测。
然而目前基于网络通信行为的检测技术,其防护拦截措施无法及时发现并阻断隐蔽隧道恶意流量的攻击行为,可能对军工、国防单位财产、声誉、数据造成严重损失。
因此,有必要提供一种隐蔽隧道攻击行为检测方法,以便及时发现进而可以及时阻断隐蔽隧道恶意流量的攻击行为。
发明内容
有鉴于此,本发明的目的在于提出一种隐蔽隧道攻击行为检测方法和装置,可以及时识别发现隐蔽隧道恶意流量的攻击行为。
基于上述目的,本发明提供一种隐蔽隧道攻击行为检测方法,包括:
对于待识别的流量序列,将所述流量序列中的数据包输入隧道流量识别模型;
通过所述隧道流量识别模型提取出所述数据包的属性特征,基于提取的属性特征识别出所述流量序列是否为隐蔽隧道攻击行为流量;
其中,所述隧道流量识别模型是根据从正常流量,以及攻击型流量中获取的训练集的数据预先训练得到的。
较佳地,所述隧道流量识别模型具体包括:卷积神经网络、循环神经网络,以及分类器;所述属性特征包括:空间特征、背景特征、握手特征、证书特征,以及时序特征,以及
所述通过所述隧道流量识别模型提取出所述数据包的属性特征,基于提取的属性特征识别出所述流量序列是否为隐蔽隧道攻击行为流量,具体包括:
通过所述卷积神经网络提取出所述数据包的空间特征、背景特征、握手特征以及证书特征;
通过所述循环神经网络提取出所述数据包的时序特征;
进而通过所述分类器对提取的空间特征、背景特征、握手特征、证书特征,以及时序特征进行检测,识别出所述流量序列是否为隐蔽隧道攻击行为流量。
较佳地,所述卷积神经网络具体由卷积层、池化层和全连接层构成。
较佳地,所述循环神经网络具体为长短时记忆循环神经网络。
较佳地,所述分类器具体为softmax分类器。
其中,所述数据包的空间特征具体包括:数据包的大小、包数特征。
其中,所述数据包的背景特征具体包括:域名特征、协议头内容特征。
其中,所述数据包的握手特征具体包括:客户端和服务端在握手阶段的一系列流量特征。
其中,所述数据包的证书特征具体包括:证书链长度、使用者正常度特征。
本发明还提供一种隐蔽隧道攻击行为检测装置,包括:
数据包输入模块,用于对于待识别的流量序列,将所述流量序列中的数据包输入隧道流量识别模型;
流量序列识别模块,用于通过所述隧道流量识别模型提取出所述数据包的属性特征,基于提取的所述属性特征识别出所述流量序列是否为隐蔽隧道攻击行为流量;
其中,所述隧道流量识别模型是根据从正常流量,以及攻击型流量中获取的训练集的数据预先训练得到的。
本发明还提供一种电子设备,包括中央处理单元、信号处理和存储单元,以及存储在信号处理和存储单元上并可在中央处理单元上运行的计算机程序,其中,所述中央处理单元执行如上所述的隐蔽隧道攻击行为检测方法。
本发明的技术方案中,对于待识别的隐藏服务的流量序列,将所述流量序列中的数据包输入隧道流量识别模型;通过所述隧道流量识别模型提取出所述数据包的空间特征、背景特征、握手特征、证书特征,以及时序特征后,基于提取的特征识别出所述流量序列是否为隐蔽隧道攻击行为流量;其中,所述隧道流量识别模型是根据从正常流量,以及攻击型流量中获取的训练集的数据预先训练得到的。通过面向木马隐蔽隧道通信加密流量和正常加密流量的多维度样本特征的检测:空间特征、背景特征、握手特征、证书特征,以及时序特征的检测,从而可以确保基于这些特征进行隐蔽隧道通信的攻击行为检测的准确性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种隐蔽隧道攻击行为检测方法流程图;
图2为本发明实施例提供的一种隧道流量识别模型的内部结构框图;
图3为本发明实施例提供的一种隧道流量识别模型训练方法流程图;
图4为本发明实施例提供的一种隐蔽隧道攻击行为检测装置的内部结构框图;
图5为本发明实施例提供的一种电子设备硬件结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,以下结合具体实施例,并参照附图,对本发明进一步详细说明。
需要说明的是,除非另外定义,本发明实施例使用的技术术语或者科学术语应当为本公开所属领域内具有一般技能的人士所理解的通常意义。本公开中使用的“第一”、“第二”以及类似的词语并不表示任何顺序、数量或者重要性,而只是用来区分不同的组成部分。“包括”或者“包含”等类似的词语意指出现该词前面的元件或者物件涵盖出现在该词后面列举的元件或者物件及其等同,而不排除其他元件或者物件。“连接”或者“相连”等类似的词语并非限定于物理的或者机械的连接,而是可以包括电性的连接,不管是直接的还是间接的。“上”、“下”、“左”、“右”等仅用于表示相对位置关系,当被描述对象的绝对位置改变后,则该相对位置关系也可能相应地改变。
本发明的发明人考虑到,机器学习领域,特征工程一直占据着核心位置,特征工程的质量高低决定着机器学习的效果。在网络安全领域,我们在利用机器学习对流量进行检测、分析时,遇到比较大的挑战,就在于特征的选取,如何通过繁多的多维特征体系,提取特定APT(Advanced Persistent Threat,高级持续性威胁)的维度特征,进而基于这些特征进行模型训练,提炼出比较精准的隧道流量识别模型。
通过分析多个APT样本的通信流量,特征工程通过如下维度展开:
1、时空特征:
时空特征即协议无关特征,包括时序特征和空间特征;其中,“时”指的是时序特征,是和时间相关的一组特征集,例如,包括流时长、包时间间隔特征等;
“空”指的是空间特征,是和包大小相关的一组特征集,包括,包大小、包数特征等。
以DNS隧道攻击流量为例,该攻击类型流量呈现时空特征状态为:平均包长比较固定,连接时间长、频率高;正常的DNS协议数据包较小,连接状态多为中低频。
2、背景特征:
背景特征是指从背景流量中提取并选择的一类特征,例如可以包括域名特征、协议头内容特征等;如DNS、HTTP、ICMP等背景流量特征,其中,DNS背景流量特征主要反映在域名特征,HTTP背景流量特征主要反映在HTTP协议头内容特征,ICMP背景流量主要反映在PING流量。
3、握手特征:
握手特征主要是和SSL协议相关的一组特征集,包括了刻画客户端和服务端在握手阶段的一系列流量特征。例如,协议版本、支持的扩展项等。
4、证书特征:
证书特征主要是和x509协议相关的一组特征集,包括了刻画双方使用的数字证书的一系列特征。例如,证书链长度、使用者正常度等。
下面结合附图详细说明本发明实施例的技术方案。
本发明实施例提供的一种隐蔽隧道攻击行为检测方法,流程如图1所示,包括如下步骤:
步骤S101:对于待识别的隐藏服务的流量序列,将所述流量序列中的数据包输入隧道流量识别模型。
本步骤中,对于待识别的隐藏服务的流量序列,将所述流量序列中的数据包转换为二维图像格式后输入到隧道流量识别模型。
具体地,判断流量序列是否具有攻击行为的基本单元是网络流,因此原始网络流量需要首先切分为一组网络流。每一个用于待识别的流量序列为一组网络流,包含一组双方通信的数据包。
步骤S102:通过所述隧道流量识别模型提取出所述数据包的空间特征、背景特征、握手特征、证书特征,以及时序特征后,基于提取的特征识别出所述流量序列是否为隐蔽隧道攻击行为流量。
具体地,隧道流量识别模型的内部结构可以如图2所示,包括:卷积神经网络、循环神经网络,以及分类器;
本步骤中,通过所述卷积神经网络提取出所述数据包的内容特征;所述内容特征包括:空间特征、背景特征、握手特征以及证书特征;并通过所述循环神经网络提取出所述数据包的时序特征;进而通过所述分类器对提取的空间特征、背景特征、握手特征、证书特征,以及时序特征进行检测,识别出所述流量序列是否为隐蔽隧道攻击行为流量。
也就是说,在数据包层次,在将每个数据包转换为二维图像格式后,利用卷积神经网络学习数据包内部的空间特征、背景特征等内容特征。在网络流层次,利用循环神经网络进一步学习数据包间的时序特征。最终,在综合利用两种特征学习能力的基础上,得到准确刻画网络流量行为的网络流时空特征,并最终用于攻击行为流量的检测。
具体地,上述的卷积神经网络由卷积层、池化层和全连接层构成;相较于普通的神经网络,卷积神经网络最大的特点就是增加了卷积运算。卷积运算主要包括提取特征和映射特征两部分。在提取特征中,前一层提取的局部特征就是后一层的输入,同时在提取某个局部特征时,也能确定该特征与其它特征的位置关系。在特征映射中,多个按矩形进行排列的的神经元节点组成一个个特征平面,同一特征平面上的神经元节点权值共享。权值共享能够减少网络层之间的连接,并且降低过拟合的风险,减少了参数的数量并简化了模型。
在示例性的实施例中,上述的循环神经网络具体可以是长短时记忆循环神经网络;
在示例性的实施例中,上述的分类器具体可以是Softmax(归一化指数函数)分类器。
上述的隧道流量识别模型是根据从正常流量,以及攻击型流量中获取的训练集的数据预先训练得到的;具体训练方法流程,如图3所示,包括如下步骤:
步骤S301:采集流量数据;
本步骤中,采集正常流量,以及攻击型流量的数据。
例如,使用正常加密流量、隐蔽隧道恶意加密流量请求与响应报文20万对,其中正常流量数据和恶意流量各10万对,包含内部采集的流量数据和互联网公开的流量数据,同时,为保证恶意流量数据样本的多样性,恶意流量数据涵盖网络攻击时常用的iodine DNS、DNS Shell、DNS2TCP、DNSCAT等多个DNS隧道工具的流量数据。
对采集到的正常及攻击型流量数据进行数据清洗和规范化处理,分析正常流量与差异,从协议、载荷方向入手,共提取出请求类型、请求数据分布等多维特征。例如可以DNS请求的源IP为威胁源来识别DNS流量数据是否为攻击型流量;进而基于识别结果为流量数据打标签,以便用于模型训练;其中80%的打了标签的流量数据用来训练模型,20%的打了标签的流量数据可以作为验证集评估模型训练效果。
步骤S302:根据采集的流量数据生成训练集的数据;
本步骤中,从采集的正常流量,以及攻击型流量中生成训练集的数据;
判断采集的正常流量,以及攻击型流量是否具有异常行为的基本单元是网络流,因此采集的网络流量需要首先切分为一组网络流。每一个网络流包含一组双方通信的数据包;进而将采集的每个网络流的数据包转换为二维图像格式,作为训练集的数据。
生成的训练集被随机均分为10个子集,每次训练和验证时选择1个子集作为验证集,其余子集用于模型训练。
步骤S303:基于训练集的数据对隧道流量识别模型进行训练和验证。
本步骤中,在对隧道流量识别模型进行训练时,将训练集中由网络流的数据包转换得到的二维图像格式输入到隧道流量识别模型,根据所述隧道流量识别模型的输出,与所述网络流的标签之间的差异,对所述隧道流量识别模型的参数进行调整。
在完成对隧道流量识别模型的训练后,还可使用验证集对隧道流量识别模型的识别效果进行验证。
基于上述的隐蔽隧道攻击行为检测方法,本发明实施例提供的一种隐蔽隧道攻击行为检测装置,内部结构如图4所示,包括:数据包输入模块401、流量序列识别模块402。
数据包输入模块401用于对于待识别的流量序列,将所述流量序列中的数据包输入隧道流量识别模型;
流量序列识别模块402用于通过所述隧道流量识别模型提取出所述数据包的属性特征,基于提取的所述属性特征识别出所述流量序列是否为隐蔽隧道攻击行为流量;
其中,所述隧道流量识别模型是根据从正常流量,以及攻击型流量中获取的训练集的数据预先训练得到的。
进一步,本发明实施例提供的一种隐蔽隧道攻击行为检测装置还可包括:模型训练模块403。
模型训练模块403用于训练所述隧道流量识别模型。
上述隐蔽隧道攻击行为检测装置中各模块的功能的实现方法可参考上述图1、3所示流程各步骤中的方法,此处不再赘述。
本发明技术方案中,对于待识别的隐藏服务的流量序列,将所述流量序列中的数据包输入隧道流量识别模型;通过所述隧道流量识别模型提取出所述数据包的空间特征、背景特征、握手特征、证书特征,以及时序特征后,基于提取的特征识别出所述流量序列是否为隐蔽隧道攻击行为流量;其中,所述隧道流量识别模型是根据从正常流量,以及攻击型流量中获取的训练集的数据预先训练得到的。通过面向木马隐蔽隧道通信加密流量和正常加密流量的多维度样本特征的检测:空间特征、背景特征、握手特征、证书特征,以及时序特征的检测,从而可以确保基于这些特征进行隐蔽隧道通信的攻击行为检测的准确性。
图5示出了本实施例所提供的一种更为具体的电子设备硬件结构示意图,该设备可以包括:处理器1010、存储器1020、输入/输出接口1030、通信接口1040和总线1050。其中处理器1010、存储器1020、输入/输出接口1030和通信接口1040通过总线1050实现彼此之间在设备内部的通信连接。
处理器1010可以采用通用的CPU(Central Processing Unit,中央处理器)、微处理器、应用专用集成电路(Application Specific Integrated Circuit,ASIC)、或者一个或多个集成电路等方式实现,用于执行相关程序,以实现本说明书实施例所提供的隐蔽隧道攻击行为检测方法。
存储器1020可以采用ROM(Read Only Memory,只读存储器)、RAM(Random AccessMemory,随机存取存储器)、静态存储设备,动态存储设备等形式实现。存储器1020可以存储操作系统和其他应用程序,在通过软件或者固件来实现本说明书实施例所提供的技术方案时,相关的程序代码保存在存储器1020中,并由处理器1010来调用执行。
输入/输出接口1030用于连接输入/输出模块,可以与非线性接收机相连,从非线性接收机接收信息,实现信息输入及输出。输入输出/模块可以作为组件配置在设备中(图中未示出),也可以外接于设备以提供相应功能。其中输入设备可以包括键盘、鼠标、触摸屏、麦克风、各类传感器等,输出设备可以包括显示器、扬声器、振动器、指示灯等。
通信接口1040用于连接通信模块(图中未示出),以实现本设备与其他设备的通信交互。其中通信模块可以通过有线方式(例如USB、网线等)实现通信,也可以通过无线方式(例如移动网络、WIFI、蓝牙等)实现通信。
总线1050包括一通路,在设备的各个组件(例如处理器1010、存储器1020、输入/输出接口1030和通信接口1040)之间传输信息。
需要说明的是,尽管上述设备仅示出了处理器1010、存储器1020、输入/输出接口1030、通信接口1040以及总线1050,但是在具体实施过程中,该设备还可以包括实现正常运行所必需的其他组件。此外,本领域的技术人员可以理解的是,上述设备中也可以仅包含实现本说明书实施例方案所必需的组件,而不必包含图中所示的全部组件。
本实施例的计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。
所属领域的普通技术人员应当理解:以上任何实施例的讨论仅为示例性的,并非旨在暗示本公开的范围(包括权利要求)被限于这些例子;在本发明的思路下,以上实施例或者不同实施例中的技术特征之间也可以进行组合,步骤可以以任意顺序实现,并存在如上所述的本发明的不同方面的许多其它变化,为了简明它们没有在细节中提供。
另外,为简化说明和讨论,并且为了不会使本发明难以理解,在所提供的附图中可以示出或可以不示出与集成电路(IC)芯片和其它部件的公知的电源/接地连接。此外,可以以框图的形式示出装置,以便避免使本发明难以理解,并且这也考虑了以下事实,即关于这些框图装置的实施方式的细节是高度取决于将要实施本发明的平台的(即,这些细节应当完全处于本领域技术人员的理解范围内)。在阐述了具体细节(例如,电路)以描述本发明的示例性实施例的情况下,对本领域技术人员来说显而易见的是,可以在没有这些具体细节的情况下或者这些具体细节有变化的情况下实施本发明。因此,这些描述应被认为是说明性的而不是限制性的。
尽管已经结合了本发明的具体实施例对本发明进行了描述,但是根据前面的描述,这些实施例的很多替换、修改和变型对本领域普通技术人员来说将是显而易见的。例如,其它存储器架构(例如,动态RAM(DRAM))可以使用所讨论的实施例。
本发明的实施例旨在涵盖落入所附权利要求的宽泛范围之内的所有这样的替换、修改和变型。因此,凡在本发明的精神和原则之内,所做的任何省略、修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (10)

1.一种隐蔽隧道攻击行为检测方法,其特征在于,包括:
对于待识别的流量序列,将所述流量序列中的数据包输入隧道流量识别模型;
通过所述隧道流量识别模型提取出所述数据包的属性特征,基于提取的所述属性特征识别出所述流量序列是否为隐蔽隧道攻击行为流量;
其中,所述隧道流量识别模型是根据从正常流量,以及攻击型流量中获取的训练集的数据预先训练得到的。
2.根据权利要求1所述的方法,其特征在于,所述隧道流量识别模型具体包括:卷积神经网络、循环神经网络,以及分类器;所述属性特征包括:空间特征、背景特征、握手特征、证书特征,以及时序特征,以及
所述通过所述隧道流量识别模型提取出所述数据包的属性特征,基于提取的属性特征识别出所述流量序列是否为隐蔽隧道攻击行为流量,具体包括:
通过所述卷积神经网络提取出所述数据包的空间特征、背景特征、握手特征以及证书特征;
通过所述循环神经网络提取出所述数据包的时序特征;
进而通过所述分类器对提取的空间特征、背景特征、握手特征、证书特征,以及时序特征进行检测,识别出所述流量序列是否为隐蔽隧道攻击行为流量。
3.根据权利要求2所述的方法,其特征在于,所述卷积神经网络具体由卷积层、池化层和全连接层构成。
4.根据权利要求2所述的方法,其特征在于,所述循环神经网络具体为长短时记忆循环神经网络。
5.根据权利要求2-4任一所述的方法,其特征在于,所述数据包的空间特征具体包括:数据包的大小、包数特征。
6.根据权利要求2-4任一所述的方法,其特征在于,所述数据包的背景特征具体包括:域名特征、协议头内容特征。
7.根据权利要求2-4任一所述的方法,其特征在于,所述数据包的握手特征具体包括:客户端和服务端在握手阶段的一系列流量特征。
8.根据权利要求2-4任一所述的方法,其特征在于,所述数据包的证书特征具体包括:证书链长度、使用者正常度特征。
9.一种隐蔽隧道攻击行为检测装置,其特征在于,包括:
数据包输入模块,用于对于待识别的流量序列,将所述流量序列中的数据包输入隧道流量识别模型;
流量序列识别模块,用于通过所述隧道流量识别模型提取出所述数据包的属性特征,基于提取的所述属性特征识别出所述流量序列是否为隐蔽隧道攻击行为流量;
其中,所述隧道流量识别模型是根据从正常流量,以及攻击型流量中获取的训练集的数据预先训练得到的。
10.一种电子设备,包括中央处理单元、信号处理和存储单元,以及存储在信号处理和存储单元上并可在中央处理单元上运行的计算机程序,其特征在于,所述中央处理单元执行所述程序时实现如权利要求1-9任一所述的方法。
CN202211431035.1A 2022-11-15 2022-11-15 一种隐蔽隧道攻击行为检测方法和装置 Pending CN116055092A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202211431035.1A CN116055092A (zh) 2022-11-15 2022-11-15 一种隐蔽隧道攻击行为检测方法和装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202211431035.1A CN116055092A (zh) 2022-11-15 2022-11-15 一种隐蔽隧道攻击行为检测方法和装置

Publications (1)

Publication Number Publication Date
CN116055092A true CN116055092A (zh) 2023-05-02

Family

ID=86124347

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202211431035.1A Pending CN116055092A (zh) 2022-11-15 2022-11-15 一种隐蔽隧道攻击行为检测方法和装置

Country Status (1)

Country Link
CN (1) CN116055092A (zh)

Similar Documents

Publication Publication Date Title
CN109960729B (zh) Http恶意流量的检测方法及系统
Meidan et al. ProfilIoT: A machine learning approach for IoT device identification based on network traffic analysis
CN109117634B (zh) 基于网络流量多视图融合的恶意软件检测方法及系统
EP2725512B1 (en) System and method for malware detection using multi-dimensional feature clustering
CN113705619A (zh) 一种恶意流量检测方法、系统、计算机及介质
CN111371778B (zh) 攻击团伙的识别方法、装置、计算设备以及介质
CN111031071A (zh) 恶意流量的识别方法、装置、计算机设备及存储介质
CN111224946A (zh) 一种基于监督式学习的tls加密恶意流量检测方法及装置
CN113765846B (zh) 一种网络异常行为智能检测与响应方法、装置及电子设备
CN108768934A (zh) 恶意程序发布检测方法、装置以及介质
WO2017091286A1 (en) Suspicious network traffic identification method and apparatus
CN110519228B (zh) 一种黑产场景下恶意云机器人的识别方法及系统
CN116112287B (zh) 基于时空关联的网络攻击组织追踪方法与装置
US11689550B2 (en) Methods and apparatus to analyze network traffic for malicious activity
CN112671724A (zh) 一种终端安全检测分析方法、装置、设备及可读存储介质
JP6813451B2 (ja) 異常検知システム及び異常検知方法
CN113794731B (zh) 识别基于cdn流量伪装攻击的方法、装置、设备和介质
CN116450524A (zh) 对抗网络模型训练方法、装置、生成方法和设备
CN116055092A (zh) 一种隐蔽隧道攻击行为检测方法和装置
Wan et al. DevTag: A benchmark for fingerprinting IoT devices
CN117391214A (zh) 模型训练方法、装置及相关设备
CN115314239A (zh) 基于多模型融合的隐匿恶意行为的分析方法和相关设备
CN208548922U (zh) 恶意程序发布检测系统
CN114070581B (zh) 域名系统隐藏信道的检测方法及装置
CN114157713B (zh) 一种捕获隐藏服务流量的方法和系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination