[发明专利]基于大数据分析多步实时控制链路检测方法及系统

说明书

本发明公开了一种基于大数据分析多步实时控制链路检测方法及系统，所述方法包括：步骤1：采集远程控制软件的网络流量数据并进行过滤；步骤2：抽象和过滤出ip地址关联关系；步骤3：使用基于时间窗口重叠的判定逻辑得到符合业务逻辑的多步远程控制链路；步骤4：基于流量包开始时间差异的方法发现流量包的关联关系，按流量包关联程度由高到低输出相应远程控制链路并展示给系统用户；步骤5：进行网络设备被多步控制的可能性预测。本发明通过采集的网络通讯流量，使用大数据分析方法，能有效地发现使用远程控制软件进行多步远程控制的实时通信链路的恶意行为，同时对暂时仍未被恶意控制的网络设备进行可能性预测，综合实现监控与预防。

技术领域

本发明涉及网络安全领域，尤其涉及一种基于大数据分析多步实时控制链路检测方法及系统。

背景技术

随着网络环境的发展，例如SSH、rdp等远程控制软件，在日常的生活和工作中提供相当多的便利，主要用于远程解决技术问题、碍于物理因素阻隔的远程控制操作辅助等，用途相当广泛。然而，这类远程控制软件也常常被网络攻击者利用，作为跳板攻击、横向渗透等网络入侵行为的攻击、控制工具。因此，对于此类控制软件在有安全需求的内网环境中的使用和监管都是十分有必要的。网络攻击者在进行内网横向渗透时，可以通过这些远程控制软件，获得一台网络设备机器的控制权，然后再使用这台被控制的网络设备运行远程控制软件去发起对另一台网络设备的远程控制，从而实现跳板攻击，传播风险。

现有技术中存在以下缺点：

1.文献(王珊.基于网络流量特征分析的跳板入侵检测方法的研究.华侨大学,2016.)提出了基于混沌理论选取检测参数值的入侵检测方法，提出使用相空间重构技术对网络流量进行重构，结合网络流之间的关联关系进行判断，以实现“跳板”的检测，该方法在重构时的运算量大，当网络流巨大时，结合网络流之间的关联关系会消耗大量的计算内存空间，从而导致对于大型网络较多网络流量的环境实用性不高。

2.申请号为CN20141021666.0的专利，提出了一种基于主机的网络攻击跳板检测方法及装置，但必然需要能够对网络攻击跳板主机进行检测，通过跳板检测模块检测捕获的数据流是否满足检测要求，只有满足了才会进行检测，这就导致有不少数据流因不满足条件而未能进行检测，导致有不少风险数据流量未能得到有效的检测。

3.申请号为201911369147.7的专利，云计算环境中的横向渗透检测方法、装置、设备及存储介质，该专利除了采集流量数据外，还需要采集主机信息，而主机信息在某些涉及内网机密的环境中，出于安全考虑是不允许进行采集的，因此在仅能采集流量数据的内网环境中无法实施。

针对上述风险行为，本发明基于大数据分析技术，仅采集内网环境中的网络流量，使用大数据分析算法，实现了对使用远程控制软件进行多步控制的链路检测，同时，对网内其它暂时未被远程控制的网络设备，进行了被这类恶意多步远程控制的可能性预测，能辅助技术人员进行风险预防与评估。

发明内容

本发明实施例所要解决的技术问题在于，提供一种基于大数据分析多步实时控制链路检测方法及系统，以实现对使用远程控制软件进行多步控制的链路检测。

为了解决上述技术问题，本发明实施例提出了一种基于大数据分析多步实时控制链路检测方法，包括以下步骤：

步骤1：采集内网环境中的远程控制软件的网络流量数据，并进行过滤，筛选得到成功进行远程软件登录的网络流量数据；

步骤2：基于单向无环图抽象和过滤出所述成功进行远程软件登录的网络流量数据中符合实际多步控制链路的ip地址关联关系；

步骤3：使用基于时间窗口重叠的判定逻辑得到所述符合实际多步控制链路的ip地址关联关系中的符合业务逻辑的多步远程控制链路；

步骤4：基于流量包开始时间差异的方法发现所述多步远程控制链路中流量包的关联关系，按关联流量对的数量占所有开始时间对的数量的百分比降序排列输出展示给系统用户；