一种基于大数据关联的网络攻击检测方法
【技术领域】
[0001] 本发明设及互联网安全技术领域,尤其设及一种基于大数据关联的网络攻击检测 方法。
【背景技术】
[0002] 随着网络技术的不断发展,网络开始大规模的覆盖人们日常生活、工作、学习等各 个领域。在享受网络带来的巨大便利的同时,人们也面临着严重的安全威胁。木马(Trojan) 程序作为一种攻击工具,被用来窃取用户各种账号、机密文件、隐私信息等重要信息,从而 为攻击者谋取利益,严重威胁着互联网用户的隐私和数据安全。
[0003] 目前,主流的木马程序检测技术有W下两种:特征码检测技术和基于木马程序行 为特征检测技术。
[0004] 基于特征码的木马程序检测方法:分析已知木马程序和被感染的系统文件,总结 归纳出木马程序特征码,并构造木马程序特征库。所述木马程序特征是通过分析木马在目 标程序中运行时进程名称、木马原始文件及生成文件的特征字符串、启动加载的方式、生成 的文件名、文件大小及所在目录、使用的固定端口等信息得出。当判断目标程序是否为木马 程序时,将目标程序的特征码与木马程序特征库中的特征码进行对比,如果特征码匹配,贝U 目标程序判定为木马程序。
[0005] 基于行为特征的木马程序检测方法:通过木马程序特有的行为特征来判断木马程 序的一种方法。该方法主要是通过对木马程序长期的观察、分析、研究和归纳,提取出木马 程序的通适性行为特征,而运些通适性行为特征在正常程序中不常出现。通过监视程序运 行时的行为,当发现木马程序行为特征时,系统就会发出可疑木马程序报警,并采取木马程 序处理措施。主要的木马行为特征有:对可执行文件做写入操作、盗用截流系统中断、病毒 程序与宿主程序切换、写引导扇区或执行格式化磁盘、修改注册表、修改启动项、修改文件 关联、注册为系统服务、创建网络通信通道、常用端口服用、打开不常用端口等可疑行为。
[0006] 通常基于特征码的木马程序检测方法与基于行为特征的木马程序检测方法均是 通过对比已知木马程序特征,W识别木马程序,对已知木马程序具有较高的检测准确率,误 报率较低。但是上述两种方法无法有效识别未知木马程序,缺乏对未知木马程序的有效控 制手段。
【发明内容】
[0007] 本发明要解决的技术问题是,提供一种基于大数据关联的网络攻击检测方法,提 高对未知木马程序的检测准确率。
[000引本发明采用的技术方案是,所述基于大数据关联的网络攻击检测方法,包括:
[0009] 步骤一,对历史木马程序进行大数据挖掘分析,挖掘历史木马程序的频繁邻接情 节,由历史木马程序的频繁邻接情节构成频繁情节知识库;
[0010] 步骤二将目标程序的邻接情节与频繁情节知识库中的历史木马程序的频繁邻接 情节进行对比匹配,若匹配上,则判定所述目标程序为木马程序;若未匹配上,则采用朴素 贝叶斯算法判断所述目标程序是否为木马程序;
[0011] 步骤=,当判定目标程序为木马程序时,根据目标程序的邻接情节后缀事件,预测 目标程序后续攻击行为。
[0012] 进一步的,步骤一,具体包括:
[0013] 分析每一个历史木马程序在不同时段的活动行为特征,所述活动行为特征包含历 史木马程序活动行为特征向量S和历史木马程序事件序列K;
[0014] S=[(ai,ti), (a2,t2) ,???(an,tn)];
[001 引 K=[ai,a2,...ai,...an];
[0016] 其中,ai是历史木马程序在ti时段的活动行为特征;
[0017] 按照时间的先后顺序从前往后排列各时段出现的顺序如下:tl,t2,……,tn;
[001引变量i的取值范围:如;
[0019] n为木马程序的事件序列长度;
[0020] 将所有历史木马程序事件序列K存入数据库,形成历史木马程序事件序列库;
[0021] 对历史木马程序事件序列库中的所有历史木马程序事件序列K通过自动机进行频 繁邻接情节挖掘,由历史木马程序的频繁邻接情节构成频繁情节知识库。
[0022] 进一步的,其特征在于,所述对历史木马程序事件序列库中的所有历史木马程序 事件序列K通过自动机进行频繁邻接情节挖掘,由历史木马程序的频繁邻接情节构成频繁 情节知识库,具体包括:
[0023] 从历史木马程序事件序列库中的所有历史木马程序事件序列K通过自动机挖掘出 长度为j的频繁邻接情节集合Ej ;
[0024] 依此类推,按照挖掘长度为j的频繁邻接情节集合Ej的方法挖掘长度从2至M的频 繁邻接情节集合,并由长度从2至M的范围内各长度的频繁邻接情节集合构成频繁情节知识 库;
[0025] 在任一程序中依次发生的事件称为邻接情节;
[0026] 变量j的取值范围为<M;
[0027] M是历史木马程序事件序列K的最长邻接情节长度。
[0028] 进一步的,所述自动机挖掘出长度为j的邻接情节集合&,具体包括:
[0029] 将所述历史木马程序事件序列库中任意两个历史木马程序事件序列K拆解为两个 长度为j的邻接情节集合,对两个邻接情节集合中长度为j的邻接情节进行对比匹配,当邻 接情节完全匹配时,匹配的邻接情节为自动机挖掘出的长度为j的邻接情节,并对长度为j 的邻接情节出现次数加1;
[0030] 当邻接情节的出现次数不小于支持度阔值时,将邻接情节放入长度为j的频繁邻 接情节集合&中;
[0031] 当邻接情节的出现次数小于支持度阔值时,不将邻接情节放入长度为j的频繁邻 接情节集合&中;
[0032] 进一步的,步骤二,具体包括:
[0033] 对目标程序进行最长邻接情节挖掘,生成目标程序邻接情节em;
[0034] em=[bi,b2,...bi,... ,bm];
[0035] 其中,bi为目标程序依次发生的活动行为特征;
[0036] 变量i的取值范围为
[0037] m为目标程序的事件序列长度;
[0038] 将目标程序邻接情节em与频繁邻接情节知识库中的频繁邻接情节进行对比,若目 标程序邻接情节em与频繁邻接情节知识库中的频繁邻接情节匹配,则判定目标程序为木马 程序;
[0039] 若目标程序邻接情节em与频繁邻接情节知识库中的频繁邻接情节不匹配,则采用 朴素贝叶斯算法判断所述目标程序是否为木马程序。
[0040] 进一步的,所述采用朴素贝叶斯算法判断所述目标程序是否为木马程序,具体包 括:
[0041 ] Bl:设置随机变量分类集C;
[0042] C={:正常程序,不确定程序,木马程序};
[0043] 设Cl =正常程序,c2 =不确定程序,c3 =木马程序;
[0044] B2:通过朴素贝叶斯算法,计算程序样本集合Z中包含目标程序邻接情节em的正常 程序概率P(C1 I em)、程序样本集合Z中包含目标程序邻接情节em的不确定程序概率p(C21 em) 和程序样本集合Z中包含目标程序邻接情节em的木马程序概率p(C31 em);
[004 引 B3:将目标程序邻接情节[bl,b2,...bi,...,bm]分别代入 P(ClIem)、P(C2 Iem)和 P(C3 Sm),得到:
[0052] B4:对9佔|6")、9(02|6"巧化(03|6")进行比较,判断目标程序是否为木马程序,判 断过程如下:
[0053] 若P(CiIem)为最大值,则判定目标程序为正常程序;
[0054] 若p(C21 em)为最大值,则判定目标程序为不确定程序;
[0055] 若p( C31 em)为最大值,则判定目标程序为木马程序;
[0056] 若判定目标程序为木马程序,则基于欧几里得距离寻找最相似频接情节。
[0化7] 进一步的,步骤=,具体包括:
[0058] 当判定目标程序为木马程序时,将历史木马程序事件序列K中的目标程序邻接情 节的后续邻接情节作为目标程序的邻接情节后缀事件,目标程序的邻接情节后缀事件即为 目标程序后续攻击行为。
[0059] 采用上述技术方案,本发明至少具有下列优点:
[0060] 本发明所述基于大数据关联的网络攻击检测方法,克服现有技术对未知木马程序 检测误报率高的缺陷,本发明可W实现降低误报率的同时,还实现了对未知木马后续攻击 行为的预判。弥补了现有木马检查方法缺乏未知木马后续攻击预测的不足,给系统防护决 策提供有力支撑。
【附图说明】
[0061 ]图1为本发明第一实施例的基于大数据关联的网络攻击检测方法流程图;
[0062] 图2为本发明第二实施例的基于大数据关联的网络攻击检测方法流程图;
[0063] 图3为本发明第=实施例的基于大数据关联的