[发明专利]一种结合会话行为和通信关系的隐蔽通信检测方法

说明书

本发明公开了一种结合会话行为和通信关系的隐蔽通信检测方法，包括以下步骤：步骤1：会话流还原；将采集到的数据包还原成会话流并存储于Hadoop分布式文件系统；步骤2：面向会话行为隐蔽性的隐蔽通信初步判定；步骤3：再面向通信关系持续性的隐蔽通信增强判定。本发明采取了结合会话行为和通信关系的检测方式，使真实网络环境下的隐蔽通信检测更具有效性。

技术领域

本发明属于恶意网络流量监测领域，特别是一种结合会话行为和通信关系的隐蔽通信检测方法。

背景技术

网络空间已成为国家之间安全博弈的新战场，木马、僵尸网络、高级持续性威胁等已成为当前网络中的重大安全问题。隐蔽通信——一种通过伪装通信过程，将自身隐藏于合法的正常网络数据中，以躲避安全设备的检测，从而长期控制利用受害主机或设备的恶意通信行为。因其通信的隐蔽性和持续性而被大量应用于上述网络威胁并成为了其中一个关键阶段。

现阶段基于网络行为的木马检测更关注建连和操作阶段的检测，僵尸网络和APT的检测分别侧重攻击的协同性和多步性，因此现有检测方案对这一通信行为的检测能力略显不足。且上述攻击检测的现有方法在实验环境下具有良好表现，但应用于真实网络环境下往往存在误告警占比较高的问题。如何实现真实网络环境下对隐蔽通信的有效检测是当前亟待解决的问题。该问题正面临以下挑战：(1)隐蔽通信本身所采用的隐蔽技术提高了恶意行为特征分析、特征提取和检测的难度；(2)互联网时代下网络数据的急速增长，数据复杂性和多样性增加了真实环境下从海量数据中检测隐蔽通信的难度。

发明内容

本发明所要解决的技术问题是提供一种结合会话行为和通信关系的隐蔽通信检测方法，采取结合会话行为和通信关系的检测方式，使真实网络环境下的隐蔽通信检测更具有效性。

为解决上述技术问题，本发明采用的技术方案是：

一种结合会话行为和通信关系的隐蔽通信检测方法，包括以下步骤：

步骤1：会话流还原

将采集到的数据包还原成会话流并存储于Hadoop分布式文件系统(HDFS)；会话流是两个网络主机之间一次完整网络连接中从第一个网络数据包到最后一个网络数据包的集合；会话流中数据包具有相同五元组，且数据包的源IP、目的IP、源端口、目的端口可互换；对基于TCP的会话流，则属于从TCP连接建立的SYN包开始，到收到最后一个FIN包或RST包结束，这一范围内的数据包所构成的会话流集合；对基于UDP的会话流则满足每个数据包的时间间隔都不超过老化时间；

步骤2：面向会话行为隐蔽性的隐蔽通信初步判定

步骤2.1：会话流聚合；利用源IP、目的IP、目的端口和开始时间在Spark平台下聚合会话流得到聚合后会话流；

步骤2.2：特征向量生成；对每组聚合后的会话流计算发送字节数均值、接收字节数均值、发收字节比均值、发收包数比均值、平均发包长均值、平均收包长均值、持续时间均值、发送字节数相似性、发收字节数比相似性、持续时间相似性、会话流数量和端口有序度；

步骤2.3：模型构建与初步判定；在训练阶段，利用已有的隐蔽通信会话数据和正常通信会话数据，通过Spark平台的MLlib提供的决策树、逻辑回归、梯度提升树三个分类算法，训练三个分类器，作为检测阶段的分类模型；在检测阶段，将对通信数据是否为“疑似隐蔽通信”所产生的数据进行判断，在初步判定阶段被判定为“疑似隐蔽通信”的数据，将作为增强判定的输入(即在检测阶段，利用三个分类器的输出，采取绝对多投票的方式，决定隐蔽通信初步判定结果，该结果将作为增强判定的输入)；

步骤3：面向通信关系持续性的隐蔽通信增强判定

步骤3.1：隐蔽通信增强判定指标计算；将初步判定输出的通信关系数据作为隐蔽通信增强判定指标计算的数据基础，利用单个时间窗口下通信数据和多时间窗口下通信关系数据，计算通信行为持续性评价指标；