[发明专利]一种结合会话行为和通信关系的隐蔽通信检测方法

摘要

本发明公开了一种结合会话行为和通信关系的隐蔽通信检测方法，包括以下步骤：步骤1：会话流还原；将采集到的数据包还原成会话流并存储于Hadoop分布式文件系统；步骤2：面向会话行为隐蔽性的隐蔽通信初步判定；步骤3：再面向通信关系持续性的隐蔽通信增强判定。本发明采取了结合会话行为和通信关系的检测方式，使真实网络环境下的隐蔽通信检测更具有效性。

主权项

1.一种结合会话行为和通信关系的隐蔽通信检测方法，其特征在于，包括以下步骤：步骤1：会话流还原将采集到的数据包还原成会话流并存储于Hadoop分布式文件系统；会话流是两个网络主机之间一次完整网络连接中从第一个网络数据包到最后一个网络数据包的集合；会话流中数据包具有相同五元组，且数据包的源IP、目的IP、源端口、目的端口能够互换；对基于TCP的会话流，则属于从TCP连接建立的SYN包开始，到收到最后一个FIN包或RST包结束，这一范围内的数据包所构成的会话流集合；对基于UDP的会话流则满足每个数据包的时间间隔都不超过老化时间；步骤2：面向会话行为隐蔽性的隐蔽通信初步判定步骤2.1：会话流聚合；利用源IP、目的IP、目的端口和开始时间在Spark平台下聚合会话流得到聚合后会话流；步骤2.2：特征向量生成；对每组聚合后的会话流计算发送字节数均值、接收字节数均值、发收字节比均值、发收包数比均值、平均发包长均值、平均收包长均值、持续时间均值、发送字节数相似性、发收字节数比相似性、持续时间相似性、会话流数量和端口有序度；步骤2.3：模型构建与初步判定；在训练阶段，利用已有的隐蔽通信会话数据和正常通信会话数据，通过Spark平台的MLlib提供的决策树、逻辑回归、梯度提升树三个分类算法，训练三个分类器，作为检测阶段的分类模型；在检测阶段，将对通信数据是否为“疑似隐蔽通信”所产生的数据进行判断，在初步判定阶段被判定为疑似隐蔽通信的数据，将作为增强判定的输入；步骤3：面向通信关系持续性的隐蔽通信增强判定步骤3.1：隐蔽通信增强判定指标计算；将初步判定输出的通信关系数据作为该部分的数据基础，利用单个时间窗口下通信数据和多时间窗口下通信关系数据，计算通信行为持续性评价指标；步骤3.2：基于层次分析‑模糊综合评价的隐蔽通信增强判定；基于层次分析进行权重设置，通过若干影响因素，确定影响因素层次结构，并在此基础上进行研究影响因素权重的设置；步骤3.3：基于模糊综合评价模型进行最终评价；通过建立因素集、评价集和单因素评价矩阵，实现对通信数据是否为隐蔽通信所产生数据进行最终判定。