[发明专利]基于大数据分析多步实时控制链路检测方法及系统

权利要求书

1.一种基于大数据分析多步实时控制链路检测方法，其特征在于，包括以下步骤：

步骤1：采集内网环境中的远程控制软件的网络流量数据，并进行过滤，筛选得到成功进行远程软件登录的网络流量数据；

步骤2：基于单向无环图抽象和过滤出所述成功进行远程软件登录的网络流量数据中符合实际多步控制链路的ip地址关联关系；

步骤3：使用基于时间窗口重叠的判定逻辑得到所述符合实际多步控制链路的ip地址关联关系中的符合业务逻辑的多步远程控制链路；

步骤4：基于流量包开始时间差异的方法发现所述多步远程控制链路中流量包的关联关系，按关联流量对的数量占所有开始时间对的数量的百分比降序排列输出展示给系统用户；

步骤5：使用预设的大数据分析算法对其它暂时还没有出现在高风险多步控制链路中的网络设备，进行被远程软件多步控制的可能性预测，得到风险评分T，若风险评分T在预设范围内，则进入次重点监控名单，如果T超过预设值，则进入重点监控名单。

2.如权利要求1所述的基于大数据分析多步实时控制链路检测方法，其特征在于，步骤1包括以下步骤：

(1)构建用于判断远程控制软件登陆成功与否的随机森林二分类模型；

(2)获取以下标注数据，训练随机森林二分类模型：

A、在离线搭建的实验环境中，收集多种远程控制软件模拟登陆成功/失败所产生的流量标注数据；

B、在现场环境中，采集合规使用的远程登录软件进行运维所产生的流量标注数据；

C、在离线搭建的实验环境中，使用带有远程登陆功能的恶意脚本产生的流量标注数据；

D、基于专家经验的登录失败标注数据及其相关特征；

(3)使用训练好的随机森林二分类模型，对所采集远程控制软件的网络流量数据进行远程登录成功与否的分类判断，进一步筛选得到成功进行远程控制软件登录的网络流量数据，作为下一步的输入数据。

3.如权利要求1所述的基于大数据分析多步实时控制链路检测方法，其特征在于，步骤2中，将成功进行远程软件登录的网络流量数据中所有会话的客户端地址和服务端地址作为一对有向关系抽出，计算网内所有会话能形成的单向无环图，每一个单向无环图以有序的方式记录每一个节点ip，抽取出所有符合业务逻辑关系的链路，得到符合实际多步控制链路的ip地址关联关系。

4.如权利要求1所述的基于大数据分析多步实时控制链路检测方法，其特征在于，步骤3中，对于所有的单向无环图，将会话的开始时间点和结束时间点关联到每一条边上；

对于其中的两步控制链路：A控制B后再用B控制C，记A控制B的会话开始时间点为Tb1，结束时间点Te1，B控制C的开始时间为Tb2，结束时间为Te2；存在以下时间逻辑关系，Tb2＝Tb1且Te1＝Te2，这种时间逻辑关系代表B控制C完全发生在A控制B的时间范围段之内，风险程度最高；如果存在以下时间逻辑关系，Tb2＝Tb1且Te1Te2，则代表在A控制B结束之后，B控制C的会话才结束，时间窗口的仅有部分重合，这种行为逻辑风险相对前者较低，但也需要列入监控范围内；以此类推，获得多步控制链路的所有开始和结束时间点的先后逻辑关系；

以客户端ip和服务端ip为关联键，关联会话和单向无环图，再过滤符合以上多步控制链路时间过滤条件的单向无环图，并保留至少有两步或以上的记录，最终得到符合业务逻辑的多步远程控制链路；

而对于多步控制的链路，如果每一步控制的时间窗口重叠都符合风险最高的完全重叠，则链路的步数越多，风险越高；

步骤4中，对于在步骤3中发现的多步远程控制链路，对该多步远程控制链路中的设备以发送和接收的流量包为单位来采集远程控制软件的会话流量；

对这些通过流量开始时间点判定出现关联流量的远程多步控制链路进行输出，按关联流量对的数量占所有开始时间对的数量的百分比降序排列输出给系统用户。