量的30%;
[0209] 计算程序样本集合Z中不确定程序数量不低于程序样本集合Z程序总量的30%;
[0210] 计算程序样本集合Z中木马程序数量不低于程序样本集合Z程序总量的30%。
[0211] a)设置随机变量分类集C;
[0212] C= {:正常程序,不确定程序,木马程序};
[021 3] 设Cl =正常程序,C2 =不确定程序,C3 =木马程序;
[0214] b)通过朴素贝叶斯算法,计算程序样本集合Z中包含目标程序邻接情节em的正常 程序概率P(C1 I em)、程序样本集合Z中包含目标程序邻接情节em的不确定程序概率p(C21 em) 和程序样本集合Z中包含目标程序邻接情节em的木马程序概率p(C31 em);
[0218] C)将目标程序邻接情节[bi ,b2, ???bi,…,bm]分别代入p(ci I em)、p(C21 em)和p(C3 em),得到;
[0222] d)对p(ci I em)、pk2 I em)和p(C31 em)进行比较,判断目标程序是否为木马程序,判断 过程如下:
[0223] 当p(ci I em)为最大值时,判定目标程序为正常程序;
[0224] 当p(C2 Iem)为最大值时,判定目标程序为不确定程序;
[0225] 当P(C31 em)为最大值时,判定目标程序为木马程序。
[02%] e)当目标程序判定为木马时,则基于欧几里得距离寻找最相似邻接情节。
[0227]步骤四,当目标程序判定为木马程序时,根据目标程序的邻接情节后缀事件预测 目标程序后续攻击行为。
[022引具体的,步骤四包括:
[0229] 当判定目标程序为木马程序时,将历史木马程序事件序列K中的目标程序邻接情 节的后续邻接情节作为目标程序的邻接情节后缀事件,目标程序的邻接情节后缀事件即为 目标程序后续攻击行为。
[0230] 例如:目标程序的邻接情节为[曰2,曰4,曰6],历史木马程序事件序列K中频繁邻接情 节[曰1,日2,日4,日6,日7,日8,日9]包含目标程序的邻接情节[日2,日4,日6],则[日7,日8,日9]为目标程序邻 接情节的后续邻接情节,目柄程序邻接情节的后续邻接情节为目柄程序的邻接情节后缀事 件,目标程序的邻接情节后缀事件[曰7,曰8,朋]即为目标程序后续攻击行为。
[0231] 通过【具体实施方式】的说明,应当可对本发明为达成预定目的所采取的技术手段及 功效得W更加深入且具体的了解,然而所附图示仅是提供参考与说明之用,并非用来对本 发明加 W限制。
【主权项】
1. 一种基于大数据关联的网络攻击检测方法,其特征在于,包括: 步骤一,对历史木马程序进行大数据挖掘分析,挖掘历史木马程序的频繁邻接情节,由 历史木马程序的频繁邻接情节构成频繁情节知识库; 步骤二,将目标程序的邻接情节与频繁情节知识库中的历史木马程序的频繁邻接情节 进行对比匹配,若匹配上,则判定所述目标程序为木马程序;若未匹配上,则采用朴素贝叶 斯算法判断所述目标程序是否为木马程序; 步骤Ξ,当判定目标程序为木马程序时,根据目标程序的邻接情节后缀事件,预测目标 程序后续攻击行为。2. 根据权利要求1所述的基于大数据关联的网络攻击检测方法,其特征在于,步骤一, 具体包括: 分析每一个历史木马程序在不同时段的活动行为特征,所述活动行为特征包含历史木 马程序活动行为特征向量S和历史木马程序事件序列K; S=[(ai,ti) ,(a2,t2) ,...(ai,ti) ,...(an,tn)]; K=[ai,a2,·&!,? an]; 其中,ai是历史木马程序在ti时段的活动行为特征; 按照时间的先后顺序从前往后排列各时段出现的顺序如下:tl,t2,……,tn; 变量i的取值范围:l<i<n; η为木马程序的事件序列长度; 将所有历史木马程序事件序列Κ存入数据库,形成历史木马程序事件序列库; 对历史木马程序事件序列库中的所有历史木马程序事件序列Κ通过自动机进行频繁邻 接情节挖掘,由历史木马程序的频繁邻接情节构成频繁情节知识库。3. 根据权利要求2所述的基于大数据关联的网络攻击检测方法,其特征在于,所述对 历史木马程序事件序列库中的所有历史木马程序事件序列Κ通过自动机进行频繁邻接情节 挖掘,由历史木马程序的频繁邻接情节构成频繁情节知识库,具体包括: 从历史木马程序事件序列库中的所有历史木马程序事件序列Κ通过自动机挖掘出长度 为j的频繁邻接情节集合Ej; 依此类推,按照挖掘长度为j的频繁邻接情节集合&的方法挖掘长度从2至Μ的频繁邻接 情节集合,并由长度从2至Μ的范围内各长度的频繁邻接情节集合构成频繁情节知识库; 在任一程序中依次发生的事件称为邻接情节; 变量j的取值范围为:2 < j < Μ; Μ是历史木马程序事件序列Κ的最长邻接情节长度。4. 根据权利要求3所述的基于大数据关联的网络攻击检测方法,其特征在于,所述自动 机挖掘出长度为j的邻接情节集合&,具体包括: 将所述历史木马程序事件序列库中任意两个历史木马程序事件序列K拆解为两个长度 为j的邻接情节集合,对两个邻接情节集合中长度为j的邻接情节进行对比匹配,当邻接情 节完全匹配时,匹配的邻接情节为自动机挖掘出的长度为j的邻接情节,并对长度为j的邻 接情节出现次数加1; 当邻接情节的出现次数不小于支持度阔值时,将邻接情节放入长度为j的频繁邻接情 节集合Ej中; 当邻接情节的出现次数小于支持度阔值时,不将邻接情节放入长度为j的频繁邻接情 节集合&中。5. 根据权利要求1所述的基于大数据关联的网络攻击检测方法,其特征在于,步骤二, 具体包括: 对目标程序进行最长邻接情节挖掘,生成目标程序邻接情节em; em=[bi,b2,...bi,...,bm]; 其中,bi为目标程序依次发生的活动行为特征; 变量i的取值范围为 m为目标程序的事件序列长度; 将目标程序邻接情节em与频繁邻接情节知识库中的频繁邻接情节进行对比,若目标程 序邻接情节em与频繁邻接情节知识库中的频繁邻接情节匹配,则判定目标程序为木马程 序; 若目标程序邻接情节em与频繁邻接情节知识库中的频繁邻接情节不匹配,则采用朴素 贝叶斯算法判断所述目标程序是否为木马程序。6. 根据权利要求1所述的基于大数据关联的网络攻击检测方法,其特征在于,所述采用 朴素贝叶斯算法判断所述目标程序是否为木马程序,具体包括: B1:设置随机变量分类集C; c= {:正常程序,不确定程序,木马程序}; 设C1 =正常程序,c2 =不确定程序,c3 =木马程序; B2:通过朴素贝叶斯算法,计算程序样本集合Z中包含目标程序邻接情节em的正常程序 概率p(ci I em)、程序样本集合Z中包含目标程序邻接情节em的不确定程序概率P(C2 I em)和程 序样本集合Z中包含目标程序邻接情节em的木马程序概率p(C31 em);B3:将目标程序邻接情节[bl ,b2, ???bi,…,bm]分别代入p(ci I em)、p(C21 em)和p(C31 em), 得到:B4:对9佔|6。)、9^2|6。巧化(03|6。)进行比较,判断目标程序是否为木马程序,判断过 程如下: 若P(ci I em)为最大值,则判定目标程序为正常程序; 若P(C2 I em)为最大值,则判定目标程序为不确定程序; 若P(C3 I em)为最大值,则判定目标程序为木马程序; 若判定目标程序为木马程序,则基于欧几里得距离寻找最相似邻接情节。7.根据权利要求1所述的基于大数据关联的网络攻击检测方法,其特征在于,步骤Ξ, 具体包括: 当判定目标程序为木马程序时,将历史木马程序事件序列K中的目标程序邻接情节的 后续邻接情节作为目标程序的邻接情节后缀事件,目标程序的邻接情节后缀事件即为目标 程序后续攻击行为。
【专利摘要】本发明提出了一种基于大数据关联的网络攻击检测方法,该方法包括:对历史木马程序进行大数据挖掘分析,挖掘历史木马程序的频繁邻接情节,由历史木马程序的频繁邻接情节构成频繁情节知识库;将目标程序的邻接情节与频繁情节知识库中的历史木马程序的频繁邻接情节进行对比匹配,若匹配上,则判定所述目标程序为木马程序;若未匹配上,则采用朴素贝叶斯算法判断所述目标程序是否为木马程序;当判定目标程序为木马程序时,根据目标程序的邻接情节后缀事件,预测目标程序后续攻击行为。本发明可以提高对未知木马程序的检测率,并对木马程序提供有效的控制手段。
【IPC分类】H04L29/06, G06F17/30, G06F21/56
【公开号】CN105704136
【申请号】CN201610131314
【发明人】焦栋, 敖乃翔, 王辰, 王德勇, 徐心毅, 郭静
【申请人】中国电子科技集团公司电子科学研究院
【公开日】2016年6月22日
【申请日】2016年3月9日