CN116760644A - 一种终端异常判定方法、系统、存储介质及电子设备 - Google Patents

一种终端异常判定方法、系统、存储介质及电子设备 Download PDF

Info

Publication number
CN116760644A
CN116760644A CN202311051837.4A CN202311051837A CN116760644A CN 116760644 A CN116760644 A CN 116760644A CN 202311051837 A CN202311051837 A CN 202311051837A CN 116760644 A CN116760644 A CN 116760644A
Authority
CN
China
Prior art keywords
port
abnormal
terminal
behavior
vector
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202311051837.4A
Other languages
English (en)
Other versions
CN116760644B (zh
Inventor
郭洪亮
张慧云
高喜宝
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Antiy Network Technology Co Ltd
Original Assignee
Beijing Antiy Network Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Antiy Network Technology Co Ltd filed Critical Beijing Antiy Network Technology Co Ltd
Priority to CN202311051837.4A priority Critical patent/CN116760644B/zh
Publication of CN116760644A publication Critical patent/CN116760644A/zh
Application granted granted Critical
Publication of CN116760644B publication Critical patent/CN116760644B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明涉及网络安全技术领域,特别是涉及一种终端异常判定方法、系统、存储介质及电子设备。包括:获取多个采集终端;获取每一采集终端采集到的端口状态向量及端口行为集;对所有的端口状态向量进行聚类,生成多个聚类族群;获取每一聚类族群的中心向量及异常行为特征集;根据端口状态向量与每一聚类族群对应的中心向量的相似度及待测行为特征集,判定所述待检测终端是否出现异常。本发明中根据异常行为发生时,终端上的端口状态以及每一端口中发生行为,来生成每一种异常扩展程序对应的病毒的大量的病毒判定特征。使用该病毒判定特征可以训练现有的神经网络模型,生成具有病毒判断能力的模型,以便于后期更加快速高效的进行病毒的判定工作。

Description

一种终端异常判定方法、系统、存储介质及电子设备
技术领域
本发明涉及网络安全技术领域,特别是涉及一种终端异常判定方法、系统、存储介质及电子设备。
背景技术
随着计算机技术的飞速发展,信息网络已经成为社会发展的重要保证。同时在网络中还存在很多的敏感信息,甚至是机密信息。由于上述有价值信息的存在,也使得各种网络攻击更加频繁。例如信息窃取、数据篡改、数据删添及放置计算机病毒等恶意攻击。为了保证网络的安全可靠,各种恶意攻击检测方法及恶意攻击防御方法被提出。但是,由于恶意攻击的不断更新,通常已有的恶意攻击检测方法及恶意攻击防御方法,对于新出现的恶意攻击的检测防御能力较差。
目前,对于一些新出现的恶意攻击,由于相关技术中缺乏对其引发的异常行为的有效识别方法,导致对新的恶意程序引发的异常行为的识别准确率较低。
发明内容
针对上述对新的恶意程序引发的异常行为的识别准确率较低的技术问题,本发明采用的技术方案为:
根据本发明的一个方面,提供了一种终端异常判定方法,该方法包括如下步骤:
获取待检测终端每一端口接收到历史信息;
根据每一端口接收到历史信息,生成待检测终端的端口状态向量;
根据每一端口接收到历史信息,生成待检测终端的待测行为特征集;
获取端口状态向量与每一聚类族群对应的中心向量的相似度;一种异常扩展程序对应一个聚类族群,聚类族群中包括多个端口状态向量及多个端口行为集;端口状态向量用于表示在由异常扩展程序引发的异常行为中,被攻击终端中端口的状态特征;中心向量为多个端口状态向量的聚类中心;端口行为集用于表示在由异常扩展程序引发的异常行为中,被攻击终端中端口的行为特征;
根据端口状态向量与每一聚类族群对应的中心向量的相似度及待测行为特征集,判定所述待检测终端是否出现异常。
进一步的,在获取端口状态向量与每一聚类族群对应的中心向量的相似度之前,方法还包括:
获取多个采集终端;每一采集终端分别安装有一个基于Chromium浏览器开发的采集浏览器,一个采集浏览器中仅包含一种异常扩展程序;获取每一采集终端采集到的端口状态向量及端口行为集;其中,Bj为第j个采集终端采集到的端口状态向量,Bj=(Bj 1、Bj 2、…、Bj n、…、Bj y);Bj n为第j个采集终端中第n个端口的状态值;y为每一采集终端中端口的数量,n=1、2、…、y;其中,Cj为第j个采集终端采集到的端口行为集,Cj=(Cj 1、Cj 2、…、Cj n、…、Cj y),Cj n为第j个采集终端中第n个端口对应的行为特征向量,Cj n=(Cj n1、Cj n2、…、Cj nm、…、Cj nx);其中,Cj nm为第j个采集终端采集到的信息中完成一次异常行为时,第n个端口中接收到第m个预设指令类型的指令数量;x为预设指令类型的总数量,m=1、2、…、x;
对所有的端口状态向量进行聚类,生成多个聚类族群;
获取每一聚类族群对应的中心向量;
将每一聚类族群中包括的所有端口状态向量对应的端口行为集,分别加入对应的特征集中,生成每一聚类族群对应的异常行为特征集;
根据每一聚类族群对应的中心向量及异常行为特征集,生成每一异常扩展程序对应的判定特征集。
进一步的,获取每一采集终端采集到的端口状态向量,包括:
获取采集终端在一个采集周期中,每一端口的状态值;采集周期为异常扩展程序完成一次异常行为对应的周期;
若在一个采集周期中端口存在处于开启的状态,则为端口配置第一状态值;
若在一个采集周期中端口一直处于关闭的状态,则为端口配置第二状态值。
进一步的,获取每一采集终端采集到的端口行为集,包括:
获取采集终端在一个采集周期中,每一端口接收到的目标IP地址发来的指令信息;
根据指令信息,确定每一指令对应的预设指令类型;
根据已采集到的所有指令信息,确定每一预设指令类型的出现次数。
进一步的,根据指令信息,确定每一指令对应的预设指令类型,包括:
获取指令映射表,指令映射表包括每一预设指令类型与指令关键词之间的对应关系;
根据指令信息及指令映射表,获取每一指令对应的预设指令类型。
进一步的,根据每一聚类族群对应的中心向量及异常行为特征集,生成每一异常扩展程序对应的判定特征集,包括:
获取异常扩展程序的异常标签;
将异常扩展程序对应的聚类族群的中心向量,分别与异常扩展程序对应的聚类族群中的每一端口行为集,组合成异常扩展程序对应的多个初级判定特征;
将异常标签作为每一初级判定特征的判定标签。
进一步的,根据端口状态向量与每一聚类族群对应的中心向量的相似度及待测行为特征集,判定所述待检测终端是否出现异常,包括:
若存在中心向量与端口状态向量的相似度大于第一相似度阈值,则计算中心向量对应的异常行为特征集中每一端口行为集与待测行为特征集的相似度F1、F2、…、FP、…、Ff (s);其中,FP为待测行为特征集与中心向量对应的异常行为特征集中第P个端口行为集之间的相似度;f(s)为中心向量对应的异常行为特征集中端口行为集的总数量,P=1、2、…、f(s);
FP满足如下条件:
GP n为En与对应的异常行为特征集中第P个端口行为集中的第n个端口对应的行为特征向量之间的相似度;En为待测行为特征集中第n个端口对应的行为特征向量;
若Max(F1、F2、…、FP、…、Ff(s))>Y2时,则判定待检测终端出现异常;Y2为第二相似度阈值。
根据本发明的第二个方面,还提供了一种终端异常判定装置,该装置包括:
终端信息获取模块,用于获取待检测终端每一端口接收到历史信息;
状态特征获取模块,用于根据每一端口接收到历史信息,生成待检测终端的端口状态向量;
行为特征获取模块,用于根据每一端口接收到历史信息,生成待检测终端的待测行为特征集;
相似度获取模块,用于获取端口状态向量与每一聚类族群对应的中心向量的相似度;一种异常扩展程序对应一个聚类族群,聚类族群中包括多个端口状态向量及多个端口行为集;端口状态向量用于表示在由异常扩展程序引发的异常行为中,被攻击终端中端口的状态特征;中心向量为多个端口状态向量的聚类中心;端口行为集用于表示在由异常扩展程序引发的异常行为中,被攻击终端中端口的行为特征;
异常判定模块,用于根据端口状态向量与每一聚类族群对应的中心向量的相似度及待测行为特征集,判定待检测终端是否出现异常。
根据本发明的第三个方面,还提供了一种非瞬时性计算机可读存储介质,非瞬时性计算机可读存储介质存储有计算机程序,计算机程序被处理器执行时实现一种终端异常判定方法。
根据本发明的第四个方面,还提供了一种电子设备,包括存储器、处理器以及存储在存储器中并可在处理器上运行的计算机程序,处理器执行计算机程序时实现一种终端异常判定方法。
本发明至少具有以下有益效果:
本发明中基于Chromium浏览器扩展程序的恶意攻击即为一种新的攻击行为。其具体的攻击过程如下:异常扩展程序通常被隐藏部署在Chromium浏览器的插件或扩展程序列表中,在Chromium浏览器启动对应的插件时,异常扩展程序被激活,进而开展对应的攻击行为。异常扩展程序主要是将某一种病毒文件下载至本地,再由病毒文件发起攻击。由于同一种病毒在发起攻击时,其与被攻击终端之间进行通信的端口是大致相同的。由此通过先对端口状态向量与每一聚类族群对应的中心向量的相似度进行比较,可以快速确定出待检测终端是否存在病毒感染的情况,以及感染的是哪一种病毒。然后,再计算对应的异常行为特征集中每一端口行为集与待测行为特征集E的相似度,可以进一步的对病毒发起的攻击行为进行比对,由于同一种病毒在发起攻击时其大致的攻击行为也是一致的,由此,可以通过计算行为之间的相似度,进一步的确认对应的待检测终端是否被感染被攻击,进而可以提高异常检测的精确度。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明一实施例提供的一种终端异常判定方法的流程图;
图2为本发明另一实施例提供的一种终端异常判定装置的结构框图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
根据本发明的第一个方面,如图1所示,提供了一种终端异常判定方法,该方法包括:
S100:获取待检测终端每一端口接收到历史信息。待检测终端为安装有基于Chromium浏览器开发的浏览器的终端。
具体的,S100包括:
S101:每隔预设时长,生成当前数据获取区间[T1,T2]。其中,T2为当前时间,T1为数据获取起始时间,T1=T2-L,L为获取间隔时长。
S102:获取待检测终端每一端口接收到的历史信息中接收时间位于[T1,T2]中的历史信息。
由于,不同的病毒完成一次攻击(异常行为)所耗费的时间并不相同,所以也无法准确的确定出哪些历史信息为有效信息。同时,也不能将所有已产生的历史信息均收集起来进行处理,所以为了减少数据的处理量,本实施例中设置了一个滑动的时间窗口,每次仅对位于时间窗口中的历史信息进行处理,由此可以减少处理的历史信息的数量。同时,由于位于时间窗口中的历史信息既会包括某些异常行为的完整行为数据,也会包括某些异常行为的部分行为数据,因此随着时间窗口按照指定的步长不断进行滑动,会尽可能的将大部分异常行为的完整行为数据筛选出来。
S200:根据每一端口接收到历史信息,生成待检测终端的端口状态向量D=(D1、D2、…、Dn、…、Dy),Dn为待检测终端中第n个端口的状态值,y为待检测终端中端口的数量。
该步骤中的端口状态向量的获取方法可以参照后续实施例的S421至S423的步骤进行获取。
S300:根据每一端口接收到历史信息,生成待检测终端的待测行为特征集E=(E1、E2、…、En、…、Ey),其中,En为第n个端口对应的行为特征向量,En=(En1、En2、…、Enm、…、Enx)。其中,Enm为接收到的历史信息中完成一次异常行为时,第n个端口中接收到第m个预设指令类型的指令数量,x为预设指令类型的总数量。
该步骤中的端口状态向量的获取方法可以参照S424至S425的步骤进行获取。
S400:获取端口状态向量D与每一聚类族群对应的中心向量的相似度。
S500:根据端口状态向量D与每一聚类族群对应的中心向量的相似度及待测行为特征集E,判定待检测终端是否出现异常,包括:
S501:若存在中心向量与端口状态向量D的相似度大于第一相似度阈值,则计算中心向量对应的异常行为特征集中每一端口行为集与待测行为特征集E的相似度F1、F2、…、FP、…、Ff(s)。其中,FP为待测行为特征集E与中心向量对应的异常行为特征集中第P个端口行为集之间的相似度,f(s)为中心向量对应的异常行为特征集中端口行为集的总数量,P=1、2、…、f(s)。
第一相似度阈值可以按照实际工作场景进行设置,如可以为0.7。
FP满足如下条件:
GP n为En与对应的异常行为特征集中第P个端口行为集中的第n个端口对应的行为特征向量之间的相似度。
进一步的,FP满足如下条件:
其中,Kn为中心向量对应的异常行为特征集中第n个端口对应的权重系数。
通常由于不同的病毒在进行攻击时,其与被攻击终端之间进行通信的端口也不相同,同时即使是相同的端口也可能存在不同的使用频率。由此可以根据上述因素,为每一个聚类族群设置一个对应的端口权重系数集。具体的,端口的使用频率越高对应的权重系数越高,由此可以提高最终计算的关于行为的相似度的准确度。
S502:若Max(F1、F2、…、FP、…、Ff(s))>Y2时,则判定待检测终端出现异常。Y2为第二相似度阈值。
本实施例中,异常扩展程序主要是将某一种病毒文件下载至本地,再由病毒文件发起攻击。由于同一种病毒在发起攻击时,其与被攻击终端之间进行通信的端口是大致相同的。由此通过先对端口状态向量D与每一聚类族群对应的中心向量的相似度进行比较,可以快速确定出待检测终端是否存在病毒感染的情况,以及感染的是哪一种病毒。然后,再计算对应的异常行为特征集中每一端口行为集与待测行为特征集E的相似度,可以进一步的对病毒发起的攻击行为进行比对,由于同一种病毒在发起攻击时其大致的攻击行为也是一致的,由此,可以通过计算行为之间的相似度,进一步的判定对应的待检测终端是否被感染被攻击,进而可以提高异常判定的精确度。
作为本发明的另一个可能的实施例,在进行上述S400之前,还需要获取到已知的每一种由异常扩展程序引起的异常行为的中心向量及异常行为特征集,以便后续异常判定的进行。所以在S400之前,该方法还包括:
S410:获取多个采集终端。每一采集终端分别安装有一个基于Chromium浏览器开发的采集浏览器,一个采集浏览器中仅包含一种异常扩展程序。每一采集终端均配置有端口信息获取指令,用于获取端口的状态信息及端口接收的指令信息。具体的,异常扩展程序可以根据现有的异常判定方法确定出来的异常扩展程序。
具体的,为了保证最后获取到的异常行为特征的全面性,所以在设置采集终端时,可以获取多个采集浏览器,多个采集浏览器中覆盖了多种已知的异常扩展程序,且将具有同一种异常扩展程序的多个采集浏览器分别部署在不同的采集终端上,由此可以采集到不同异常扩展程序的行为特征,且每一种异常扩展程序在不同采集浏览器中的行为特征也全部可以获取到。
S420:获取每一采集终端采集到的端口状态向量及端口行为集。其中,Bj为第j个采集终端采集到的端口状态向量,Bj=(Bj 1、Bj 2、…、Bj n、…、Bj y),Bj n为第j个采集终端中第n个端口的状态值,y为每一采集终端中端口的数量,n=1、2、…、y。其中,Cj为第j个采集终端采集到的端口行为集,Cj=(Cj 1、Cj 2、…、Cj n、…、Cj y),Cj n为第j个采集终端中第n个端口对应的行为特征向量,Cj n=(Cj n1、Cj n2、…、Cj nm、…、Cj nx)。其中,Cj nm为第j个采集终端中第n个端口采集到的一次异常行为中出现第m个预设指令类型的指令数量,x为预设指令类型的总数量,m=1、2、…、x。
具体的,获取每一采集终端采集到的端口状态向量,包括:
S421:使用端口信息获取指令获取采集终端在一个采集周期中,每一端口的状态值。采集周期为异常扩展程序完成一次异常行为对应的周期。
具体的,可以使用现有的安全分析软件根据获取到的端口信息,确定出每一个对应的采集周期。也可以人工根据获取到的端口信息,确定出每一个对应的采集周期。
S422:若在一个采集周期中端口存在处于开启的状态,则为端口配置第一状态值。
S423:若在一个采集周期中端口一直处于关闭的状态,则为端口配置第二状态值。
具体的,第一状态值可以设置为0,第二状态值可以设置为1。若采集终端中共有50个端口作为本实施例中要进行监控的端口,则最终得到的端口状态向量为一个具有50个维度的一维向量,且向量中的元素只有1或0。
具体的,获取每一采集终端采集到的端口行为集,包括:
S424:使用端口信息获取指令获取采集终端在一个采集周期中,每一端口接收到的目标IP地址发来的指令信息。
由于被感染后的终端,在被攻击时,如被窃取相关资料时,会与目标IP地址对应的恶意终端进行多次通信,以实现资料的传输指令或者其他指令的下发。由此,在每次异常行为执行的过程中,采集终端上的对应端口会接收到响应的指令信息。
S425:根据指令信息,确定每一指令对应的预设指令类型。
进一步的,S425包括:
S251:获取指令映射表,指令映射表包括每一预设指令类型与指令关键词之间的对应关系。
具体的,可以根据实际场景中已收集到的每一种异常扩展程序的数据,提取出每一种指令对应的关键词,由此可以得到对应的指令映射表。
S252:根据指令信息及指令映射表,获取每一指令对应的预设指令类型。
S426:根据已采集到的所有指令信息,确定每一预设指令类型的出现次数。
根据该指令映射表,可以对每一个端口在一个采样周期中,获取到每一预设指令类型的次数进行统计,进而形成该端口对应的行为特征向量。若预设指令类型为10个,则每一个端口对应的行为特征向量均为一个具有10个维度的一维向量,其中的每一个元素均为表示对应类型的指令出现次数的自然数。
S430:对所有的端口状态向量进行聚类,生成多个聚类族群。
具体的,可以使用K-Means聚类算法进行聚类,配置聚类族群的数量与采集终端中包括的异常扩展程序的种类数相同。
S440:获取每一聚类族群对应的中心向量。
S450:将每一聚类族群中包括的所有端口状态向量对应的端口行为集,分别加入对应的特征集中,生成每一聚类族群对应的异常行为特征集。
S460:根据每一聚类族群对应的中心向量及异常行为特征集,生成每一异常扩展程序对应的判定特征集。
本实施例中,由于每一种异常扩展程序在进行异常行为时,其需要进行通信的端口大致是相同的。由此,可以通过对端口状态向量进行聚类,来实现对每一种异常扩展程序进行聚类的功能。同时,由于同一种异常扩展程序部署在不同的采集浏览器中后,其在进行异常行为时,执行的操作行为可能存在一定的差异。所以,同一种异常扩展程序对应的端口行为集也会存在一定的差异。由此,将每一聚类族群中包括的所有端口状态向量对应的端口行为集,分别加入对应的特征集中,可以保证最终生成的每一种异常扩展程序对应的异常行为特征集,能够更加全面的覆盖每一种形式的操作行为,进而提高判定特征集的准确度。
进一步的,S460包括:
S461:获取异常扩展程序的异常标签。
具体的,可以将异常扩展程序对应的病毒名,作为其对应的异常标签。
S462:将异常扩展程序对应的聚类族群的中心向量,分别与异常扩展程序对应的聚类族群中的每一端口行为集,组合成异常扩展程序对应的多个初级判定特征。
S463:将异常标签作为每一初级判定特征的判定标签。
在经过S461至S463处理之后,会生成同一种病毒攻击对应的多个病毒判定特征。由此,经过该处理可以生成每一种异常扩展程序对应的病毒的大量的病毒判定特征。使用该病毒判定特征可以训练现有的神经网络模型,生成具有病毒判断能力的模型,以便于后期更加快速高效的进行病毒的判定工作。
根据本发明的第二个方面,如图2所示,还提供了一种终端异常判定装置,该装置包括:
终端信息获取模块,用于获取待检测终端每一端口接收到历史信息。
状态特征获取模块,用于根据每一端口接收到历史信息,生成待检测终端的端口状态向量。
行为特征获取模块,用于根据每一端口接收到历史信息,生成待检测终端的待测行为特征集。
相似度获取模块,用于获取端口状态向量与每一聚类族群对应的中心向量的相似度。一种异常扩展程序对应一个聚类族群,聚类族群中包括多个端口状态向量及多个端口行为集。端口状态向量用于表示在由异常扩展程序引发的异常行为中,被攻击终端中端口的状态特征。中心向量为多个端口状态向量的聚类中心;端口行为集用于表示在由异常扩展程序引发的异常行为中,被攻击终端中端口的行为特征。
异常判定模块,用于根据端口状态向量与每一聚类族群对应的中心向量的相似度及待测行为特征集,判定待检测终端是否出现异常。
此外,尽管在附图中以特定顺序描述了本公开中方法的各个步骤,但是,这并非要求或者暗示必须按照该特定顺序来执行这些步骤,或是必须执行全部所示的步骤才能实现期望的结果。附加的或备选的,可以省略某些步骤,将多个步骤合并为一个步骤执行,以及/或者将一个步骤分解为多个步骤执行等。
通过以上的实施方式的描述,本领域的技术人员易于理解,这里描述的示例实施方式可以通过软件实现,也可以通过软件结合必要的硬件的方式来实现。因此,根据本公开实施方式的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中或网络上,包括若干指令以使得一台计算设备(可以是个人计算机、服务器、移动终端、或者网络设备等)执行根据本公开实施方式的方法。
在本公开的示例性实施例中,还提供了一种能够实现上述方法的电子设备。
所属技术领域的技术人员能够理解,本发明的各个方面可以实现为系统、方法或程序产品。因此,本发明的各个方面可以具体实现为以下形式,即:完全的硬件实施方式、完全的软件实施方式(包括固件、微代码等),或硬件和软件方面结合的实施方式,这里可以统称为“电路”、“模块”或“系统”。
根据本发明的这种实施方式的电子设备。电子设备仅仅是一个示例,不应对本发明实施例的功能和使用范围带来任何限制。
电子设备以通用计算设备的形式表现。电子设备的组件可以包括但不限于:上述至少一个处理器、上述至少一个储存器、连接不同系统组件(包括储存器和处理器)的总线。
其中,储存器存储有程序代码,程序代码可以被处理器执行,使得处理器执行本说明书上述“示例性方法”部分中描述的根据本发明各种示例性实施方式的步骤。
储存器可以包括易失性储存器形式的可读介质,例如随机存取储存器(RAM)和/或高速缓存储存器,还可以进一步包括只读储存器(ROM)。
储存器还可以包括具有一组(至少一个)程序模块的程序/实用工具,这样的程序模块包括但不限于:操作系统、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。
总线可以为表示几类总线结构中的一种或多种,包括储存器总线或者储存器控制器、外围总线、图形加速端口、处理器或者使用多种总线结构中的任意总线结构的局域总线。
电子设备也可以与一个或多个外部设备(例如键盘、指向设备、蓝牙设备等)通信,还可与一个或者多个使得用户能与该电子设备交互的设备通信,和/或与使得该电子设备能与一个或多个其它计算设备进行通信的任何设备(例如路由器、调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口进行。并且,电子设备还可以通过网络适配器与一个或者多个网络(例如局域网(LAN),广域网(WAN)和/或公共网络,例如因特网)通信。网络适配器通过总线与电子设备的其它模块通信。应当明白,尽管图中未示出,可以结合电子设备使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理器、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据备份存储系统等。
通过以上的实施方式的描述,本领域的技术人员易于理解,这里描述的示例实施方式可以通过软件实现,也可以通过软件结合必要的硬件的方式来实现。因此,根据本公开实施方式的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中或网络上,包括若干指令以使得一台计算设备(可以是个人计算机、服务器、终端装置、或者网络设备等)执行根据本公开实施方式的方法。
在本公开的示例性实施例中,还提供了一种计算机可读存储介质,其上存储有能够实现本说明书上述方法的程序产品。在一些可能的实施方式中,本发明的各个方面还可以实现为一种程序产品的形式,其包括程序代码,当程序产品在终端设备上运行时,程序代码用于使终端设备执行本说明书上述“示例性方法”部分中描述的根据本发明各种示例性实施方式的步骤。
程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以为但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。
计算机可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了可读程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。可读信号介质还可以是可读存储介质以外的任何可读介质,该可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。
可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于无线、有线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言的任意组合来编写用于执行本发明操作的程序代码,程序设计语言包括面向对象的程序设计语言—诸如Java、C++等,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中,远程计算设备可以通过任意种类的网络,包括局域网(LAN)或广域网(WAN),连接到用户计算设备,或者,可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。
此外,上述附图仅是根据本发明示例性实施例的方法所包括的处理的示意性说明,而不是限制目的。易于理解,上述附图所示的处理并不表明或限制这些处理的时间顺序。另外,也易于理解,这些处理可以是例如在多个模块中同步或异步执行的。
应当注意,尽管在上文详细描述中提及了用于动作执行的设备的若干模块或者单元,但是这种划分并非强制性的。实际上,根据本公开的实施方式,上文描述的两个或更多模块或者单元的特征和功能可以在一个模块或者单元中具体化。反之,上文描述的一个模块或者单元的特征和功能可以进一步划分为由多个模块或者单元来具体化。
以上,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。

Claims (10)

1.一种终端异常判定方法,其特征在于,所述方法包括如下步骤:
获取待检测终端每一端口接收到历史信息;
根据每一端口接收到历史信息,生成待检测终端的端口状态向量;
根据每一端口接收到历史信息,生成所述待检测终端的待测行为特征集;
获取端口状态向量与每一聚类族群对应的中心向量的相似度;一种异常扩展程序对应一个聚类族群,所述聚类族群中包括多个端口状态向量及多个端口行为集;所述端口状态向量用于表示在由异常扩展程序引发的异常行为中,被攻击终端中端口的状态特征;所述中心向量为多个端口状态向量的聚类中心;所述端口行为集用于表示在由异常扩展程序引发的异常行为中,被攻击终端中端口的行为特征;
根据端口状态向量与每一聚类族群对应的中心向量的相似度及待测行为特征集,判定所述待检测终端是否出现异常。
2.根据权利要求1所述的方法,其特征在于,在获取端口状态向量与每一聚类族群对应的中心向量的相似度之前,所述方法还包括:
获取多个采集终端;每一所述采集终端分别安装有一个基于Chromium浏览器开发的采集浏览器,一个所述采集浏览器中仅包含一种异常扩展程序;获取每一采集终端采集到的端口状态向量及端口行为集;其中,Bj为第j个采集终端采集到的端口状态向量,Bj=(Bj 1、Bj 2、…、Bj n、…、Bj y);Bj n为第j个采集终端中第n个端口的状态值;y为每一采集终端中端口的数量,n=1、2、…、y;其中,Cj为第j个采集终端采集到的端口行为集,Cj=(Cj 1、Cj 2、…、Cj n、…、Cj y),Cj n为第j个采集终端中第n个端口对应的行为特征向量,Cj n=(Cj n1、Cj n2、…、Cj nm、…、Cj nx);其中,Cj nm为第j个采集终端采集到的信息中完成一次异常行为时,第n个端口中接收到第m个预设指令类型的指令数量;x为预设指令类型的总数量,m=1、2、…、x;
对所有的端口状态向量进行聚类,生成多个聚类族群;
获取每一聚类族群对应的中心向量;
将每一聚类族群中包括的所有端口状态向量对应的端口行为集,分别加入对应的特征集中,生成每一聚类族群对应的异常行为特征集;
根据每一聚类族群对应的中心向量及异常行为特征集,生成每一异常扩展程序对应的判定特征集。
3.根据权利要求2所述的方法,其特征在于,获取每一采集终端采集到的端口状态向量,包括:
获取采集终端在一个采集周期中,每一端口的状态值;所述采集周期为异常扩展程序完成一次异常行为对应的周期;
若在一个采集周期中端口存在处于开启的状态,则为所述端口配置第一状态值;
若在一个采集周期中端口一直处于关闭的状态,则为所述端口配置第二状态值。
4.根据权利要求2所述的方法,其特征在于,获取每一采集终端采集到的端口行为集,包括:
获取采集终端在一个采集周期中,每一端口接收到的目标IP地址发来的指令信息;
根据指令信息,确定每一指令对应的预设指令类型;
根据已采集到的所有指令信息,确定每一预设指令类型的出现次数。
5.根据权利要求4所述的方法,其特征在于,根据指令信息,确定每一指令对应的预设指令类型,包括:
获取指令映射表,所述指令映射表包括每一预设指令类型与指令关键词之间的对应关系;
根据指令信息及指令映射表,获取每一指令对应的预设指令类型。
6.根据权利要求2所述的方法,其特征在于,根据每一聚类族群对应的中心向量及异常行为特征集,生成每一异常扩展程序对应的判定特征集,包括:
获取异常扩展程序的异常标签;
将所述异常扩展程序对应的聚类族群的中心向量,分别与所述异常扩展程序对应的聚类族群中的每一端口行为集,组合成所述异常扩展程序对应的多个初级判定特征;
将所述异常标签作为每一初级判定特征的判定标签。
7.根据权利要求1所述的方法,其特征在于,根据端口状态向量与每一聚类族群对应的中心向量的相似度及待测行为特征集,判定所述待检测终端是否出现异常,包括:
若存在中心向量与端口状态向量的相似度大于第一相似度阈值,则计算所述中心向量对应的异常行为特征集中每一端口行为集与待测行为特征集的相似度F1、F2、…、FP、…、Ff (s);其中,FP为待测行为特征集与所述中心向量对应的异常行为特征集中第P个端口行为集之间的相似度;f(s)为所述中心向量对应的异常行为特征集中端口行为集的总数量,P=1、2、…、f(s);
FP满足如下条件:
GP n为En与对应的异常行为特征集中第P个端口行为集中的第n个端口对应的行为特征向量之间的相似度;En为待测行为特征集中第n个端口对应的行为特征向量;
若Max(F1、F2、…、FP、…、Ff(s))>Y2时,则判定所述待检测终端出现异常;Y2为第二相似度阈值。
8.一种终端异常判定装置,其特征在于,所述装置包括:
终端信息获取模块,用于获取待检测终端每一端口接收到历史信息;
状态特征获取模块,用于根据每一端口接收到历史信息,生成待检测终端的端口状态向量;
行为特征获取模块,用于根据每一端口接收到历史信息,生成所述待检测终端的待测行为特征集;
相似度获取模块,用于获取端口状态向量与每一聚类族群对应的中心向量的相似度;一种异常扩展程序对应一个聚类族群,所述聚类族群中包括多个端口状态向量及多个端口行为集;所述端口状态向量用于表示在由异常扩展程序引发的异常行为中,被攻击终端中端口的状态特征;所述中心向量为多个端口状态向量的聚类中心;所述端口行为集用于表示在由异常扩展程序引发的异常行为中,被攻击终端中端口的行为特征;
异常判定模块,用于根据端口状态向量与每一聚类族群对应的中心向量的相似度及待测行为特征集,判定所述待检测终端是否出现异常。
9.一种非瞬时性计算机可读存储介质,所述非瞬时性计算机可读存储介质存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至7任一项所述的一种终端异常判定方法。
10.一种电子设备,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1至7任一项所述的一种终端异常判定方法。
CN202311051837.4A 2023-08-21 2023-08-21 一种终端异常判定方法、系统、存储介质及电子设备 Active CN116760644B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202311051837.4A CN116760644B (zh) 2023-08-21 2023-08-21 一种终端异常判定方法、系统、存储介质及电子设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202311051837.4A CN116760644B (zh) 2023-08-21 2023-08-21 一种终端异常判定方法、系统、存储介质及电子设备

Publications (2)

Publication Number Publication Date
CN116760644A true CN116760644A (zh) 2023-09-15
CN116760644B CN116760644B (zh) 2023-10-27

Family

ID=87951928

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202311051837.4A Active CN116760644B (zh) 2023-08-21 2023-08-21 一种终端异常判定方法、系统、存储介质及电子设备

Country Status (1)

Country Link
CN (1) CN116760644B (zh)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20150244733A1 (en) * 2014-02-21 2015-08-27 Verisign Inc. Systems and methods for behavior-based automated malware analysis and classification
CN112953933A (zh) * 2021-02-09 2021-06-11 恒安嘉新(北京)科技股份公司 异常攻击行为检测方法、装置、设备及存储介质
CN113364799A (zh) * 2021-06-22 2021-09-07 北京安天网络安全技术有限公司 一种网络威胁行为的处理方法和系统
WO2022040698A1 (en) * 2020-08-21 2022-02-24 Palo Alto Networks, Inc. Malicious traffic detection with anomaly detection modeling
CN116032501A (zh) * 2021-10-26 2023-04-28 腾讯科技(深圳)有限公司 网络异常行为检测方法、装置、电子设备及存储介质

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20150244733A1 (en) * 2014-02-21 2015-08-27 Verisign Inc. Systems and methods for behavior-based automated malware analysis and classification
WO2022040698A1 (en) * 2020-08-21 2022-02-24 Palo Alto Networks, Inc. Malicious traffic detection with anomaly detection modeling
CN112953933A (zh) * 2021-02-09 2021-06-11 恒安嘉新(北京)科技股份公司 异常攻击行为检测方法、装置、设备及存储介质
CN113364799A (zh) * 2021-06-22 2021-09-07 北京安天网络安全技术有限公司 一种网络威胁行为的处理方法和系统
CN116032501A (zh) * 2021-10-26 2023-04-28 腾讯科技(深圳)有限公司 网络异常行为检测方法、装置、电子设备及存储介质

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
刘敏 等: "基于核函数的软件定义网络DDo S实时安全系统", 计算机应用研究, vol. 37, no. 3 *

Also Published As

Publication number Publication date
CN116760644B (zh) 2023-10-27

Similar Documents

Publication Publication Date Title
US11503061B1 (en) Automatic evalution of remediation plans using exploitability risk modeling
US11470106B1 (en) Exploitability risk model for assessing risk of cyberattacks
US20210326364A1 (en) Detection of outliers in text records
CN114070642A (zh) 网络安全检测方法、系统、设备及存储介质
CN113225331A (zh) 基于图神经网络的主机入侵安全检测方法、系统及装置
CN108156127B (zh) 网络攻击模式的判断装置、判断方法及其计算机可读取储存媒体
CN115208643A (zh) 一种基于web动态防御的追踪溯源方法及装置
CN113452700B (zh) 处理安全信息的方法、装置、设备以及存储介质
CN113886821A (zh) 基于孪生网络的恶意进程识别方法、装置、电子设备及存储介质
CN116760644B (zh) 一种终端异常判定方法、系统、存储介质及电子设备
CN116015861A (zh) 一种数据检测方法、装置、电子设备及存储介质
CN116633663A (zh) 一种网络威胁检测系统、方法、设备及存储介质
CN108768742B (zh) 网络构建方法及装置、电子设备、存储介质
CN115964701A (zh) 应用安全检测方法、装置、存储介质及电子设备
US11868412B1 (en) Data enrichment systems and methods for abbreviated domain name classification
CN114925365A (zh) 一种文件处理方法、装置、电子设备及存储介质
CN113312619A (zh) 基于小样本学习的恶意进程检测方法、装置、电子设备及存储介质
CN113127640A (zh) 一种基于自然语言处理的恶意垃圾评论攻击识别方法
Edosa Comparative Analysis of Performance and Influence of PCA On Machine Learning Models Leveraging The NSL-KDD Dataset
CN116915506B (zh) 一种异常流量检测方法、装置、电子设备及存储介质
CN113918941A (zh) 异常行为检测的方法、装置、计算设备和存储介质
CN117077138B (zh) 一种基于浏览器的异常检测方法、系统、介质及设备
CN116781389B (zh) 一种异常数据列表的确定方法、电子设备及存储介质
CN117034261B (zh) 一种基于标识符的异常检测方法、装置、介质及电子设备
CN116545783B (zh) 基于稀疏逻辑回归的网络入侵检测方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant