CN116668182B - 一种基于多流上下文关系的加密应用行为流量检测方法 - Google Patents

一种基于多流上下文关系的加密应用行为流量检测方法 Download PDF

Info

Publication number
CN116668182B
CN116668182B CN202310837529.8A CN202310837529A CN116668182B CN 116668182 B CN116668182 B CN 116668182B CN 202310837529 A CN202310837529 A CN 202310837529A CN 116668182 B CN116668182 B CN 116668182B
Authority
CN
China
Prior art keywords
stream
matched
given
relation
similarity
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202310837529.8A
Other languages
English (en)
Other versions
CN116668182A (zh
Inventor
葛蒙蒙
余翔湛
赵跃
刘立坤
史建焘
胡智超
刘奉哲
羿天阳
龚家兴
李竑杰
孔德文
高展鹏
程明明
郭一澄
王钲皓
张森
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Harbin Institute of Technology
Original Assignee
Harbin Institute of Technology
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Harbin Institute of Technology filed Critical Harbin Institute of Technology
Priority to CN202310837529.8A priority Critical patent/CN116668182B/zh
Publication of CN116668182A publication Critical patent/CN116668182A/zh
Application granted granted Critical
Publication of CN116668182B publication Critical patent/CN116668182B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

本发明公开了一种基于多流上下文关系的加密应用行为流量检测方法,属于流量检测技术领域。解决了现有技术中加密应用行为流量检测方法在处理复杂网络环境下局限性较大的问题;本发明包括以下步骤:S1.定义多流和多流关系,构建多流结构;S2.对给定的多流结构进行多流结构匹配;具体的:S21.计算出整体多流相似度和单流相似度,得到单流匹配集合;S22.计算出给定的多流结构和给定的待匹配多流的多流相似度;S23.根据选择的阈值判断给定的多流结构和给定的待匹配多流是否匹配成功;S3.定义上下文关系,构建上下文结构;S4.对给定的待匹配多流队列进行多流队列匹配;本发明提高了行为流量检测的准确性,可以应用于流量检测。

Description

一种基于多流上下文关系的加密应用行为流量检测方法
技术领域
本发明涉及一种加密应用行为流量检测方法,尤其涉及一种基于多流上下文关系的加密应用行为流量检测方法,属于流量检测技术领域。
背景技术
随着加密应用的普及和网络安全的日益关注,对加密应用行为流量检测方法的需求不断增加,加密应用行为流量检测是指通过对网络传输的加密应用流量进行监测和分析,识别其中的恶意行为或异常流量,以保护网络安全和数据隐私。在网络安全领域,准确地检测和分类加密应用行为流量对于防范网络攻击、保护用户隐私以及维护网络服务的稳定性至关重要。
目前应用较多的几种加密应用行为流量检测方法及存在的相应问题如下:
单流特征方法:该方法是目前广泛应用的一种加密应用行为流量检测方法,其基于对单个流的特征进行提取和分析,如包大小、传输协议、流量方向等,随后使用机器学习算法进行分类,但该方法忽略了多个流之间的相互作用和依赖关系,无法充分捕捉加密应用行为的整体特征和上下文信息,因此在复杂网络环境下分类性能有限。
基于单流上下文关系的方法:该方法考虑了单个流的上下文关系,即将单个流的历史信息作为输入特征进行分类,利用单流的前后关系来提高分类的准确性,但该方法仍然缺乏对多流之间复杂关系的建模,限制了整体分类性能的提升。
基于多流结构的方法:该方法通过将多个流构建为无向连通图或有向连通图,利用图结构中节点和边的关系来表示多个流之间的相互作用和依赖关系,可以更好地捕捉加密应用行为的整体结构和背景,从而提高分类的准确性,但该方法通常只考虑流量的结构信息,忽略了多流之间的上下文关系,限制了分类模型的鲁棒性和泛化能力。
因此,现有技术中加密应用行为流量检测方法在处理复杂网络环境下局限性较大的问题,需要一种加密应用行为流量检测方法,综合多个流之间的相互作用和依赖关系,并利用全局上下文信息和复杂流量模式的特征,提高分类模型的准确性和鲁棒性。
发明内容
在下文中给出了关于本发明的简要概述,以便提供关于本发明的某些方面的基本理解。应当理解,这个概述并不是关于本发明的穷举性概述。它并不是意图确定本发明的关键或重要部分,也不是意图限定本发明的范围。其目的仅仅是以简化的形式给出某些概念,以此作为稍后论述的更详细描述的前序。
鉴于此,为解决现有技术中加密应用行为流量检测方法在处理复杂网络环境下局限性较大的问题,本发明提供一种基于多流上下文关系的加密应用行为流量检测方法。
技术方案如下:一种基于多流上下文关系的加密应用行为流量检测方法,包括以下步骤:
S1.定义多流和多流关系,构建多流结构;
S2.对给定的多流结构进行多流结构匹配;
具体的:
S21.计算出整体多流相似度和单流相似度,得到单流匹配集合;
S22.计算出给定的多流结构和给定的待匹配多流的多流相似度;
S23.根据选择的阈值判断给定的多流结构和给定的待匹配多流是否匹配成功;
S3.定义上下文关系,构建上下文结构;
S4.对给定的待匹配多流队列进行多流队列匹配。
进一步地,所述S1中,多流(Multi-Flow)为行为突发流量之中相互独立的、协同完成某一功能且在时序逻辑上具有较强关联的一组单流;多流关系(Multi-FlowRelationship)为描述了行为突发流量之中各个功能单流之间的逻辑时序信息的一组关系,多流关系描述的是行为突发流量当中单流和单流之间的时序逻辑关系,对于一个行为动作可能产生的多条流,设一个应用行为产生的流量所包含的单流集合F为{f1,f2,...,fn},fi、fj为单流集合F中的单流,i、j为单流的编号,i、j∈{1,2,...,n},针对出现的三种多流关系进行描述如下:
伴随关系(adjoint):若单流fi、fj在该行为的每次行为突发流量中都同时出现,则称单流fi和fj之间存在伴随关系,记为fi~fj,流的伴随关系满足自反性和对称性,即对于任意的单流f,有f~f;对于任意的单流fi和fj,如果有fi~fj,则必有fj~fi
偏序关系(partial order):若单流fi、fj在该行为的每次行为突发流量中都同时出现,且在时间上满足固定的关系,则称单流fi和成fj之间存在偏序关系。若fi早于fi,则记为fi<fj,流的偏序关系满足自反性、反对称性和传递性,即对于任意的单流f,有f<f;对于任意的单流fi和fj,如果有fi<fj且fj<fi,则必有fi=fj,即二者同时出现;对于任意的单流fi、fj和fk,如果fi<fj且fj<fk,则必有fi<fk,流的偏序关系包含在伴随关系之中的,满足偏序关系的两条流之间一定同时满足伴随关系;
独立关系(independent):若单流fi、fj之间不存在固定的先后关系,并且不会每次都出现,则称单流fi和fj之间存在独立关系,记为fi⊥fj,流的独立关系满足自反性和对称性,即对于任意的单流f,有f⊥f,对于任意的单流fi和fj,如果有fi⊥fj,则必有fj⊥fi;满足独立关系的两条流一定不满足伴随关系或偏序关系,满足伴随关系或偏序关系的两条流一定不满足独立关系;
进行多流构建,针对每个应用行为的流量,将其构建为一个无向连通图,其中节点代指单流,存储单流的各项基础信息和特征数据,单流的各项基础信息包括流的服务器域名和服务器端口,单流的特征数据包括流量层统计特征、时序特征和统计模型特征,流量层统计特征描述了单流在数据包统计层面的特征,包括以下16个字段:
–上行数据包个数;
–上行数据包总长度;
–上行数据包大小最大值;
–上行数据包大小最小值;
–上行数据包大小平均值;
–上行数据包大小标准差;
–下行数据包个数;
–下行数据包总长度;
–下行数据包大小最大值;
–下行数据包大小最小值;
–下行数据包大小平均值;
–下行数据包大小标准差;
–总体数据包大小最大值;
–总体数据包大小最小值;
–总体数据包大小平均值;
–总体数据包大小标准差;
无向连通图中,无向边代指单流之间的关系,抽象为伴随关系、偏序关系和独立关系中的一种,具体描述为以下三个字段:
–是否偏序;
–偏序类型;
–同时出现的概率。
进一步地,所述S21中,计算出给定的多流结构G=(V,E)和给定的待匹配多流G′=(V′)的整体多流相似度sim(G,G′),其中,V为单流集合,即节点集合,E为边集合,给定的待匹配多流G′=(V′)仅包含待匹配单流集合V′,而不包含逻辑描述;
进行单流节点的匹配时,对于给定的待匹配多流G′=(V′),遍历其中包含的节点i,根据单流的各项基础信息,对应到给定的多流结构G=(V,E)的节点I上,I∈V,通过余弦相似度算法计算出给定的待匹配多流G′=(V′)和给定的多流结构G=(V,E)的节点的单流相似度flowSimi,同时得到单流匹配集合M′,单流匹配集合M′中包含了待匹配单流集合V′中与单流集合V匹配成功的节点或单流;
进一步地,所述S22中,对于单流匹配集合M′中的节点i和j和在V中匹配到的节点I和J,从给定的多流结构G中获取连接节点I和J的边EdgeIJ,边EdgeIJ中存储了三项内容,第一项为偏序关系判定条件isPO,第二项为偏序类型POtype,第三项为边EdgeIJ连接的节点I和J代表的流同时出现的概率Psoij,根据偏序关系判定条件isPO,得到给定的多流结构G和给定的待匹配多流G′的逻辑相似度logicSimij,即节点i和j的逻辑相似度logicSimij
如果偏序关系判定条件isPO为真,则检查节点i和j是否满足偏序类型POtype,若满足则logicSimij=1,否则logicSimij=0,如果偏序关系判定条件isPO为假,则logicSimij=Psoij
对于节点i和j,通过上述计算得到节点i单流相似度flowSimi、节点j单流相似度flowSimj,根据节点i和j的逻辑相似度logicSimij,进一步计算得到节点i和j的联合相似度jointSimij
节点i和j的联合相似度jointSimij表示为:
jointSimij=flowSimi*logicSimij*flowSimj
进一步计算得到给定的多流结构G和给定的待匹配多流G′的多流相似度multiSimGG′
给定的多流结构G和给定的待匹配多流G′的多流相似度multiSimGG′表示为:
进一步地,所述S23中,给定的多流结构G和给定的待匹配多流G′的多流相似度multiSimGG′量化描述给定的多流结构G=(V,E)和待匹配的多流结构G′=(V′)之间的相似度情况,并根据选择的阈值判断二者是否匹配成功;
如果给定的多流结构G和给定的待匹配多流G′的多流相似度multiSimGG′大于预设的阈值threshold,则认定行为流量匹配成功;否则,认定行为流量匹配失败。
进一步地,所述S3中,上下文关系为Android应用页面与页面之间、通过行为连接起来的关系;
进行上下文结构构建,构建带有根节点的有向连通图,其中,节点代指Android应用在运行期间展示在手机等移动设备上的页面,包括用于显示或可操作的元素的内容,节点存储了对应页面的标识信息;
有向边代指页面当中的网络多流行为,其依托于页面当中的可操作元素而存在,有向边的起点为对应行为发起的页面,有向边的终点为执行对应行为之后跳转到的最终页面;
在上下文关系有向连通图设置一个根节点Noderoot,根节点Noderoot对应应用的主页面。
进一步地,所述S4中,进行多流队伍匹配时,对于给定的待匹配多流队列Ω,包括给定的待匹配多流队列的待匹配多流和根节点Noderoot,其中,p=1,2,..,n,以及根节点Noderoot,对于给定的待匹配多流队列的多流中的第一个元素/>将当前节点Node设置为根节点Noderoot,从当前节点Node出发检索其向外发出的所有有向边,计算出当前节点Node对应的有向边和给定的待匹配多流队列的多流中的第一个元素/>的匹配度,如果给定的待匹配多流队列的待匹配多流中的第一个元素/>与其中一条有向边匹配成功,则将当前节点Node转移到对应有向边的终点,并将p的数值增加1,开始下一轮匹配,其中,匹配成功的条件为匹配度大于预设的阈值threshold;如果给定的待匹配多流队列的待匹配多流/>与当前节点向外发出的所有有向边均匹配失败,则本给定的待匹配多流队列匹配失败;针对不确定性较高的待匹配多流队列,当其中一个节点的匹配失败时,不直接认定为该多流队列匹配失败,将当前匹配失败的多流丢弃,从待匹配多流队列中弹出下一个待匹配多流队列的待匹配多流继续进行匹配,直到待匹配多流队列为空。
本发明的有益效果如下:本发明通过引入多流上下文关系,充分利用了多个网络流量之间的关联性,实现了更准确的行为流量检测,相比于传统的单流特征分析方法,可以捕捉到更全面和准确的行为模式,提高了流量检测的精度和准确性,多流上下文关系的引入有效解决了传统方法在行为识别中的不足之处,使得检测结果更加可靠和可信;且本发明整合了多维特征的提取技术,包括流量统计特征、时序特征和统计模型特征,综合考虑了不同特征的信息,从多个维度对行为流量进行分析,通过综合利用这些特征,本发明可以更全面地描述和区分不同行为模式,提高了行为流量检测的鲁棒性和稳定性,相比于仅使用单一特征的方法,本发明更充分地利用特征之间的互补性,提高了流量检测的准确性,避免了在处理复杂网络环境下加密应用行为流量检测方法的局限性,有效保障了网络安全和数据隐私的保护。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本发明的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1为一种基于多流上下文关系的加密应用行为流量检测方法流程示意图;
图2为多流结构示意图;
图3为多流结构的加密行为流量匹配流程示意图;
图4为上下文结构示意;
图5为上下文结构的加密应用流量匹配流程示意图。
附图标号:1、第一单流;2、第二单流;3、第三单流。
具体实施方式
为了使本发明实施例中的技术方案及优点更加清楚明白,以下结合附图对本发明的示例性实施例进行进一步详细的说明,显然,所描述的实施例仅是本发明的一部分实施例,而不是所有实施例的穷举。需要说明的是,在不冲突的情况下,本发明中的实施例及实施例中的特征可以相互组合。
参考图1-图5详细说明本实施例,一种基于多流上下文关系的加密应用行为流量检测方法,包括以下步骤:
S1.定义多流和多流关系,构建多流结构;
S2.对给定的多流结构进行多流结构匹配;
具体的:
S21.计算出整体多流相似度和单流相似度,得到单流匹配集合;
S22.计算出给定的多流结构和给定的待匹配多流的多流相似度;
S23.根据选择的阈值判断给定的多流结构和给定的待匹配多流是否匹配成功;
S3.定义上下文关系,构建上下文结构;
S4.对给定的待匹配多流队列进行多流队列匹配。
进一步地,所述S1中,多流(Multi-Flow)为行为突发流量之中相互独立的、协同完成某一功能且在时序逻辑上具有较强关联的一组单流;多流关系(Multi-FlowRelationship)为描述了行为突发流量之中各个功能单流之间的逻辑时序信息的一组关系,多流关系描述的是行为突发流量当中单流和单流之间的时序逻辑关系,对于一个行为动作可能产生的多条流,设一个应用行为产生的流量所包含的单流集合F为{f1,f2,...,fn},fi、fj为单流集合F中的单流,i、j为单流的编号,i、j∈{1,2,...,n},针对出现的三种多流关系进行描述如下:
伴随关系(adjoint):若单流fi、fj在该行为的每次行为突发流量中都同时出现,则称单流fi和fj之间存在伴随关系,记为fi~fj,流的伴随关系满足自反性和对称性,即对于任意的单流f,有f~f;对于任意的单流fi和fj,如果有fi~fj,则必有fj~fi
偏序关系(partial order):若单流fi、fj在该行为的每次行为突发流量中都同时出现,且在时间上满足固定的关系,则称单流fi和成fj之间存在偏序关系。若fi早于fi,则记为fi<fj,流的偏序关系满足自反性、反对称性和传递性,即对于任意的单流f,有f<f;对于任意的单流fi和fj,如果有fi<fj且fj<fi,则必有fi=fj,即二者同时出现;对于任意的单流fi、fj和fk,如果fi<fj且fj<fk,则必有fi<fk,流的偏序关系包含在伴随关系之中的,满足偏序关系的两条流之间一定同时满足伴随关系;
独立关系(independent):若单流fi、fj之间不存在固定的先后关系,并且不会每次都出现,则称单流fi和fj之间存在独立关系,记为fi⊥fj,流的独立关系满足自反性和对称性,即对于任意的单流f,有f⊥f,对于任意的单流fi和fj,如果有fi⊥fj,则必有fj⊥fi;满足独立关系的两条流一定不满足伴随关系或偏序关系,满足伴随关系或偏序关系的两条流一定不满足独立关系;
进行多流构建,针对每个应用行为的流量,将其构建为一个无向连通图,其中节点代指单流,存储单流的各项基础信息和特征数据,单流的各项基础信息包括流的服务器域名和服务器端口,单流的特征数据包括流量层统计特征、时序特征和统计模型特征,流量层统计特征描述了单流在数据包统计层面的特征,包括以下16个字段:
–上行数据包个数;
–上行数据包总长度;
–上行数据包大小最大值;
–上行数据包大小最小值;
–上行数据包大小平均值;
–上行数据包大小标准差;
–下行数据包个数;
–下行数据包总长度;
–下行数据包大小最大值;
–下行数据包大小最小值;
–下行数据包大小平均值;
–下行数据包大小标准差;
–总体数据包大小最大值;
–总体数据包大小最小值;
–总体数据包大小平均值;
–总体数据包大小标准差;
无向连通图中,无向边代指单流之间的关系,抽象为伴随关系、偏序关系和独立关系中的一种,具体描述为以下三个字段:
–是否偏序;
–偏序类型;
–同时出现的概率。
进一步地,所述S21中,计算出给定的多流结构G=(V,E)和给定的待匹配多流G′=(V′)的整体多流相似度sim(G,G′),其中,V为单流集合,即节点集合,E为边集合,给定的待匹配多流G′=(V′)仅包含待匹配单流集合V′,而不包含逻辑描述;
进行单流节点的匹配时,对于给定的待匹配多流G′=(V′),遍历其中包含的节点i,根据单流的各项基础信息,对应到给定的多流结构G=(V,E)的节点I上,I∈V,通过余弦相似度算法计算出给定的待匹配多流G′=(V′)和给定的多流结构G=(V,E)的节点的单流相似度flowSimi,同时得到单流匹配集合M′,单流匹配集合M′中包含了待匹配单流集合V′中与单流集合V匹配成功的节点或单流;
进一步地,所述S22中,对于单流匹配集合M′中的节点i和j和在V中匹配到的节点I和J,从给定的多流结构G中获取连接节点I和J的边EdgeIJ,边EdgeIJ中存储了三项内容,第一项为偏序关系判定条件isPO,第二项为偏序类型POtype,第三项为边EdgeIJ连接的节点I和J代表的流同时出现的概率Psoij,根据偏序关系判定条件isPO,得到给定的多流结构G和给定的待匹配多流G′的逻辑相似度logicSimij,即节点i和j的逻辑相似度logicSimij
如果偏序关系判定条件isPO为真,则检查节点i和j是否满足偏序类型POtype,若满足则logicSimij=1,否则logicSimij=0,如果偏序关系判定条件isPO为假,则logicSimij=Psoij
对于节点i和j,通过上述计算得到节点i单流相似度flowSimi、节点j单流相似度flowSimj,根据节点i和j的逻辑相似度logicSimij,进一步计算得到节点i和j的联合相似度jointSimij
节点i和j的联合相似度jointSimij表示为:
jointSimij=flowSimi*logicSimij*flowSimj
进一步计算得到给定的多流结构G和给定的待匹配多流G′的多流相似度multiSimGG′
给定的多流结构G和给定的待匹配多流G′的多流相似度multiSimGG′表示为:
进一步地,所述S23中,给定的多流结构G和给定的待匹配多流G′的多流相似度multiSimGG′量化描述给定的多流结构G=(V,E)和待匹配的多流结构G′=(V′)之间的相似度情况,并根据选择的阈值判断二者是否匹配成功;
如果给定的多流结构G和给定的待匹配多流G′的多流相似度multiSimGG′大于预设的阈值threshold,则认定行为流量匹配成功;否则,认定行为流量匹配失败。
进一步地,所述S3中,上下文关系为Android应用页面与页面之间、通过行为连接起来的关系;
进行上下文结构构建,构建带有根节点的有向连通图,其中,节点代指Android应用在运行期间展示在手机等移动设备上的页面,包括用于显示或可操作的元素的内容,节点存储了对应页面的标识信息;
有向边代指页面当中的网络多流行为,其依托于页面当中的可操作元素而存在,有向边的起点为对应行为发起的页面,有向边的终点为执行对应行为之后跳转到的最终页面;
在上下文关系有向连通图设置一个根节点Noderoot,根节点Noderoot对应应用的主页面;
具体的,将有向边的终点设定为执行对应行为跳转到的最终页面,其原因在于部分行为在执行之后,会导致应用页面发生连续性的多个跳转,而这些跳转可能会跨越多个页面,且最终页面指的是进行该行为之后,在无后续外力干涉的情况下、直到该行为执行完毕后不再发生跳转后到达的页面,另外在现实情况下,用户对于应用的使用一般从该应用的启动活动(LaunchActivity)或者应用启动后的第一个页面,即主页面开始,因此,为描述上下文关系的有向图设置一个根节点Noderoot,即对应应用的主页面。
进一步地,所述S4中,进行多流队伍匹配时,对于给定的待匹配多流队列Ω,包括给定的待匹配多流队列的待匹配多流和根节点Noderoot,其中,p=1,2,..,n,以及根节点Noderoot,对于给定的待匹配多流队列的多流中的第一个元素/>即弹出队列首个元素,将当前节点Node设置为根节点Noderoot,从当前节点Node出发检索其向外发出的所有有向边,计算出当前节点Node对应的有向边和给定的待匹配多流队列的多流中的第一个元素/>的匹配度,如果给定的待匹配多流队列的待匹配多流中的第一个元素/>与其中一条有向边匹配成功,则将当前节点Node转移到对应有向边的终点,并将p的数值增加1,开始下一轮匹配,其中,匹配成功的条件为匹配度大于预设的阈值threshold,如果给定的待匹配多流队列的待匹配多流/>与当前节点向外发出的所有有向边均匹配失败,则本给定的待匹配多流队列匹配失败;针对不确定性较高的待匹配多流队列,当其中一个节点的匹配失败时,不直接认定为该多流队列匹配失败,将当前匹配失败的多流丢弃,从待匹配多流队列中弹出下一个待匹配多流队列的待匹配多流继续进行匹配,直到待匹配多流队列为空。
尽管根据有限数量的实施例描述了本发明,但是受益于上面的描述,本技术领域内的技术人员明白,在由此描述的本发明的范围内,可以设想其它实施例。此外,应当注意,本说明书中使用的语言主要是为了可读性和教导的目的而选择的,而不是为了解释或者限定本发明的主题而选择的。因此,在不偏离所附权利要求书的范围和精神的情况下,对于本技术领域的普通技术人员来说许多修改和变更都是显而易见的。对于本发明的范围,对本发明所做的公开是说明性的,而非限制性的,本发明的范围由所附权利要求书限定。

Claims (5)

1.一种基于多流上下文关系的加密应用行为流量检测方法,其特征在于,包括以下步骤:
S1.定义多流和多流关系,构建多流结构;
具体的:一个应用行为产生的流量所包含的单流集合F为{f1,f2,...,fn},fi、fj为单流集合F中的单流,i、j为单流的编号,i、j∈{1,2,...,n};
S2.对给定的多流结构进行多流结构匹配;
具体的:
S21.计算出整体多流相似度和单流相似度,得到单流匹配集合;
S22.计算出给定的多流结构和给定的待匹配多流的多流相似度;
S23.根据选择的阈值判断给定的多流结构和给定的待匹配多流是否匹配成功;
S3.定义上下文关系,构建上下文结构;
具体的:上下文关系为Android应用页面与页面之间、通过行为连接起来的关系;
进行上下文结构构建,构建带有根节点的有向连通图,其中,节点代指Android应用在运行期间展示在手机上的页面,包括用于显示或可操作的元素的内容,节点存储了对应页面的标识信息;
有向边代指页面当中的网络多流行为,其依托于页面当中的可操作元素而存在,有向边的起点为对应行为发起的页面,有向边的终点为执行对应行为之后跳转到的最终页面;
在上下文关系有向连通图设置一个根节点Noderoot,根节点Noderoot对应应用的主页面;
S4.对给定的待匹配多流队列进行多流队列匹配;
具体的:进行多流队伍匹配时,对于给定的待匹配多流队列Ω,包括给定的待匹配多流队列的待匹配多流和根节点Noderoot,其中,p=1,2,..,n,以及根节点Noderoot,对于给定的待匹配多流队列的多流中的第一个元素/>将当前节点Node设置为根节点Noderoot,从当前节点Node出发检索其向外发出的所有有向边,计算出当前节点Node对应的有向边和给定的待匹配多流队列的多流中的第一个元素/>的多流相似度,如果给定的待匹配多流队列的待匹配多流中的第一个元素/>与其中一条有向边匹配成功,则将当前节点Node转移到对应有向边的终点,并将p的数值增加1,开始下一轮匹配,其中,匹配成功的条件为多流相似度大于预设的阈值threshold,如果给定的待匹配多流队列的待匹配多流/>与当前节点向外发出的所有有向边均匹配失败,则本给定的待匹配多流队列匹配失败;针对不确定性较高的待匹配多流队列,当其中一个节点的匹配失败时,不直接认定为该多流队列匹配失败,将当前匹配失败的多流丢弃,从待匹配多流队列中弹出下一个待匹配多流队列的待匹配多流继续进行匹配,直到待匹配多流队列为空。
2.根据权利要求1所述的一种基于多流上下文关系的加密应用行为流量检测方法,其特征在于,所述S1中,多流为行为突发流量之中相互独立的、协同完成某一功能且在时序逻辑上具有较强关联的一组单流;多流关系为描述了行为突发流量之中各个功能单流之间的逻辑时序信息的一组关系,多流关系描述的是行为突发流量当中单流和单流之间的时序逻辑关系,对于一个行为动作可能产生的多条流,针对出现的三种多流关系进行描述如下:
伴随关系:若单流fi、fj在该行为的每次行为突发流量中都同时出现,则称单流fi和fj之间存在伴随关系,记为fi~fj,流的伴随关系满足自反性和对称性,即对于任意的单流f,有f~f;对于任意的单流fi和fj,如果有fi~fj,则必有fj~fi
偏序关系:若单流fi、fj在该行为的每次行为突发流量中都同时出现,且在时间上满足固定的关系,则称单流fi和成fj之间存在偏序关系,若fi早于fi,则记为fi<fj,流的偏序关系满足自反性、反对称性和传递性,即对于任意的单流f,有f<f;对于任意的单流fi和fj,如果有fi<fj且fj<fi,则必有fi=fj,即二者同时出现;对于任意的单流fi、fj和fk,如果fi<fj且fj<fk,则必有fi<fk,流的偏序关系包含在伴随关系之中的,满足偏序关系的两条流之间一定同时满足伴随关系;
独立关系:若单流fi、fj之间不存在固定的先后关系,并且不会每次都出现,则称单流fi和fj之间存在独立关系,记为fi⊥fj,流的独立关系满足自反性和对称性,即对于任意的单流f,有f⊥f,对于任意的单流fi和fj,如果有fi⊥fj,则必有fj⊥fi;满足独立关系的两条流一定不满足伴随关系或偏序关系,满足伴随关系或偏序关系的两条流一定不满足独立关系;
进行多流构建,针对每个应用行为的流量,将其构建为一个无向连通图,其中节点代指单流,存储单流的各项基础信息和特征数据,单流的各项基础信息包括流的服务器域名和服务器端口,单流的特征数据包括流量层统计特征、时序特征和统计模型特征,流量层统计特征描述了单流在数据包统计层面的特征,包括以下16个字段:
–上行数据包个数;
–上行数据包总长度;
–上行数据包大小最大值;
–上行数据包大小最小值;
–上行数据包大小平均值;
–上行数据包大小标准差;
–下行数据包个数;
–下行数据包总长度;
–下行数据包大小最大值;
–下行数据包大小最小值;
–下行数据包大小平均值;
–下行数据包大小标准差;
–总体数据包大小最大值;
–总体数据包大小最小值;
–总体数据包大小平均值;
–总体数据包大小标准差;
无向连通图中,无向边代指单流之间的关系,抽象为伴随关系、偏序关系和独立关系中的一种,具体描述为以下三个字段:
–是否偏序;
–偏序类型;
–同时出现的概率。
3.根据权利要求2所述的一种基于多流上下文关系的加密应用行为流量检测方法,其特征在于,所述S21中,计算出给定的多流结构G=(V,E)和给定的待匹配多流G′=(V′)的整体多流相似度sim(G,G′),其中,V为单流集合,即节点集合,E为边集合,给定的待匹配多流G′=(V′)仅包含待匹配单流集合V′,而不包含逻辑描述;
进行单流节点的匹配时,对于给定的待匹配多流G′=(V′),遍历其中包含的节点i,根据单流的各项基础信息,对应到给定的多流结构G=(V,E)的节点I上,I∈V,通过余弦相似度算法计算出给定的待匹配多流G′=(V′)和给定的多流结构G=(V,E)的节点的单流相似度flowSimi,同时得到单流匹配集合M′,单流匹配集合M′中包含了待匹配单流集合V′中与单流集合V匹配成功的节点或单流。
4.根据权利要求3所述的一种基于多流上下文关系的加密应用行为流量检测方法,其特征在于,所述S22中,对于单流匹配集合M′中的节点i和j和在V中匹配到的节点I和J,从给定的多流结构G中获取连接节点I和J的边EdgeIJ,边EdgeIJ中存储三项内容,第一项为偏序关系判定条件isPO,第二项为偏序类型POtype,第三项为边EdgeIJ连接的节点I和J代表的流同时出现的概率Psoij,根据偏序关系判定条件isPO,得到给定的多流结构G和给定的待匹配多流G′的逻辑相似度logicSimij,即节点i和j的逻辑相似度logicSimij,如果偏序关系判定条件isPO为真,则检查节点i和j是否满足偏序类型POtype,若满足则logicSimij=1,否则logicSimij=0;如果isPO为假,则logicSimij=Psoij
对于节点i和j,通过计算得到节点i单流相似度flowSimi、节点j单流相似度flowSimj,根据节点i和j的逻辑相似度logicSimij,进一步计算得到节点i和j的联合相似度jointSimij
节点i和j的联合相似度jointSimij表示为:
jointSimij=flowSimi*logicSimij*flowSimj
进一步计算得到给定的多流结构G和给定的待匹配多流G′的多流相似度multiSimGG′
给定的多流结构G和给定的待匹配多流G′的多流相似度multiSimGG′表示为:
5.根据权利要求4所述的一种基于多流上下文关系的加密应用行为流量检测方法,其特征在于,所述S23中,给定的多流结构G和给定的待匹配多流G′的多流相似度multiSimGG′量化描述给定的多流结构G=(V,E)和待匹配的多流结构G′=(V′)之间的相似度情况,并根据选择的阈值判断二者是否匹配成功;如果给定的多流结构G和给定的待匹配多流G′的多流相似度multiSimGG′大于预设的阈值threshold,则认定行为流量匹配成功;否则,认定行为流量匹配失败。
CN202310837529.8A 2023-07-10 2023-07-10 一种基于多流上下文关系的加密应用行为流量检测方法 Active CN116668182B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310837529.8A CN116668182B (zh) 2023-07-10 2023-07-10 一种基于多流上下文关系的加密应用行为流量检测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310837529.8A CN116668182B (zh) 2023-07-10 2023-07-10 一种基于多流上下文关系的加密应用行为流量检测方法

Publications (2)

Publication Number Publication Date
CN116668182A CN116668182A (zh) 2023-08-29
CN116668182B true CN116668182B (zh) 2023-11-10

Family

ID=87719241

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310837529.8A Active CN116668182B (zh) 2023-07-10 2023-07-10 一种基于多流上下文关系的加密应用行为流量检测方法

Country Status (1)

Country Link
CN (1) CN116668182B (zh)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9432389B1 (en) * 2014-03-31 2016-08-30 Fireeye, Inc. System, apparatus and method for detecting a malicious attack based on static analysis of a multi-flow object
CN113542195A (zh) * 2020-04-16 2021-10-22 北京观成科技有限公司 一种恶意加密流量的检测方法、系统和设备
CN115987625A (zh) * 2022-12-21 2023-04-18 北京安天网络安全技术有限公司 一种恶意流量检测方法、装置及电子设备

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9432389B1 (en) * 2014-03-31 2016-08-30 Fireeye, Inc. System, apparatus and method for detecting a malicious attack based on static analysis of a multi-flow object
CN113542195A (zh) * 2020-04-16 2021-10-22 北京观成科技有限公司 一种恶意加密流量的检测方法、系统和设备
CN115987625A (zh) * 2022-12-21 2023-04-18 北京安天网络安全技术有限公司 一种恶意流量检测方法、装置及电子设备

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
网络多流控制器;赵永祥, 陈常嘉;电子学报(第02期);全文 *

Also Published As

Publication number Publication date
CN116668182A (zh) 2023-08-29

Similar Documents

Publication Publication Date Title
Dong et al. Comparison deep learning method to traditional methods using for network intrusion detection
Zhang et al. An intrusion detection system based on convolutional neural network for imbalanced network traffic
CN112235264B (zh) 一种基于深度迁移学习的网络流量识别方法及装置
Alshammari et al. Machine learning based encrypted traffic classification: Identifying ssh and skype
CN101778112B (zh) 一种网络攻击检测方法
US20230025946A1 (en) Network Attack Detection Method and Apparatus
US20140230062A1 (en) Detecting network intrusion and anomaly incidents
CN113821793B (zh) 基于图卷积神经网络的多阶段攻击场景构建方法及系统
CN101895521A (zh) 一种网络蠕虫检测与特征自动提取方法及其系统
CN113329023A (zh) 一种加密流量恶意性检测模型建立、检测方法及系统
Alanazi et al. Anomaly Detection for Internet of Things Cyberattacks.
Al-Fawa'reh et al. Detecting stealth-based attacks in large campus networks
CN116915450A (zh) 基于多步网络攻击识别和场景重构的拓扑剪枝优化方法
Yujie et al. End-to-end android malware classification based on pure traffic images
CN116668182B (zh) 一种基于多流上下文关系的加密应用行为流量检测方法
CN113037709B (zh) 一种针对匿名网络的多标签浏览的网页指纹监控方法
Wang et al. An evolutionary computation-based machine learning for network attack detection in big data traffic
Hu et al. Abnormal Event Correlation and Detection Based on Network Big Data Analysis.
CN117134943A (zh) 一种基于模糊贝叶斯网络的攻击模式预测方法
CN109257384B (zh) 基于访问节奏矩阵的应用层DDoS攻击识别方法
Li et al. A method for network intrusion detection based on GAN-CNN-BiLSTM
Bai et al. New string matching technology for network security
CN115333801A (zh) 一种基于双向报文入侵检测的方法和系统
Li et al. FusionTC: Encrypted App Traffic Classification Using Decision‐Level Multimodal Fusion Learning of Flow Sequence
US8289854B1 (en) System, method, and computer program product for analyzing a protocol utilizing a state machine based on a token determined utilizing another state machine

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant