[发明专利]一种结合会话行为和通信关系的隐蔽通信检测方法

权利要求书

1.一种结合会话行为和通信关系的隐蔽通信检测方法，其特征在于，包括以下步骤：

步骤1：会话流还原

将采集到的数据包还原成会话流并存储于Hadoop分布式文件系统；会话流是两个网络主机之间一次完整网络连接中从第一个网络数据包到最后一个网络数据包的集合；会话流中数据包具有相同五元组，且数据包的源IP、目的IP、源端口、目的端口能够互换；对基于TCP的会话流，则属于从TCP连接建立的SYN包开始，到收到最后一个FIN包或RST包结束，这一范围内的数据包所构成的会话流集合；对基于UDP的会话流则满足每个数据包的时间间隔都不超过老化时间；

步骤2：面向会话行为隐蔽性的隐蔽通信初步判定

步骤2.1：会话流聚合；利用源IP、目的IP、目的端口和开始时间在Spark平台下聚合会话流得到聚合后会话流；

步骤2.2：特征向量生成；对每组聚合后的会话流计算发送字节数均值、接收字节数均值、发收字节比均值、发收包数比均值、平均发包长均值、平均收包长均值、持续时间均值、发送字节数相似性、发收字节数比相似性、持续时间相似性、会话流数量和端口有序度；

步骤2.3：模型构建与初步判定；在训练阶段，利用已有的隐蔽通信会话数据和正常通信会话数据，通过Spark平台的MLlib提供的决策树、逻辑回归、梯度提升树三个分类算法，训练三个分类器，作为检测阶段的分类模型；在检测阶段，利用三个分类器的输出，采取绝对多投票的方式，决定隐蔽通信初步判定结果，该结果将作为增强判定的输入；

步骤3：面向通信关系持续性的隐蔽通信增强判定

步骤3.1：隐蔽通信增强判定指标计算；将初步判定输出的通信关系数据作为隐蔽通信增强判定指标计算的数据基础，利用单个时间窗口下通信数据和多时间窗口下通信关系数据，计算通信行为持续性评价指标；

步骤3.2：基于层次分析-模糊综合评价的隐蔽通信增强判定；基于层次分析进行权重设置，通过若干影响因素，确定影响因素层次结构，并在此基础上进行研究影响因素权重的设置；

步骤3.3：基于模糊综合评价模型进行最终评价；通过建立因素集、评价集和单因素评价矩阵，实现对通信数据是否为隐蔽通信所产生数据进行最终判定。

2.如权利要求1所述的一种结合会话行为和通信关系的隐蔽通信检测方法，其特征在于，所述步骤2.1会话流聚合具体为：首先，将单条会话流构造成以通信IP对及目的端口为键，以会话流开始时间及会话流数据为值的键值对；其次，将输入的会话流按通信IP对和目的端口进行分组，并将同分组会话流按开始时间顺序排序；最后，将排序后的会话流，按时间阈值进行聚合。

3.如权利要求1所述的一种结合会话行为和通信关系的隐蔽通信检测方法，其特征在于，在步骤2.3检测阶段中，利用三个分类器的输出，采取绝对多投票的方式，得到隐蔽通信初步判定结果，初步判定结果将被作为隐蔽通信增强判定的输入。

4.如权利要求1所述的一种结合会话行为和通信关系的隐蔽通信检测方法，其特征在于，还包括步骤4：对最终判定结果进行存储、告警和可视化展示。