CN111586075B - 基于多尺度流分析技术的隐蔽信道检测方法 - Google Patents
基于多尺度流分析技术的隐蔽信道检测方法 Download PDFInfo
- Publication number
- CN111586075B CN111586075B CN202010456532.1A CN202010456532A CN111586075B CN 111586075 B CN111586075 B CN 111586075B CN 202010456532 A CN202010456532 A CN 202010456532A CN 111586075 B CN111586075 B CN 111586075B
- Authority
- CN
- China
- Prior art keywords
- flow
- detection
- data packet
- session
- analysis
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 136
- 238000004458 analytical method Methods 0.000 title claims abstract description 96
- 238000005516 engineering process Methods 0.000 title claims abstract description 14
- 238000004891 communication Methods 0.000 claims abstract description 106
- 238000007781 pre-processing Methods 0.000 claims abstract description 19
- 238000000034 method Methods 0.000 claims description 25
- 238000012549 training Methods 0.000 claims description 18
- 230000006399 behavior Effects 0.000 claims description 9
- 238000007619 statistical method Methods 0.000 claims description 8
- 230000000977 initiatory effect Effects 0.000 claims description 7
- 238000011897 real-time detection Methods 0.000 claims description 4
- 230000005540 biological transmission Effects 0.000 abstract description 5
- 230000002159 abnormal effect Effects 0.000 description 4
- 230000004044 response Effects 0.000 description 4
- 230000004927 fusion Effects 0.000 description 3
- 230000007774 longterm Effects 0.000 description 3
- 238000012546 transfer Methods 0.000 description 3
- 230000009286 beneficial effect Effects 0.000 description 2
- 230000002457 bidirectional effect Effects 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 239000000470 constituent Substances 0.000 description 2
- 238000013480 data collection Methods 0.000 description 2
- 230000007547 defect Effects 0.000 description 2
- 238000005206 flow analysis Methods 0.000 description 2
- 238000007689 inspection Methods 0.000 description 2
- 239000011159 matrix material Substances 0.000 description 2
- 239000002131 composite material Substances 0.000 description 1
- 230000002708 enhancing effect Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 230000001737 promoting effect Effects 0.000 description 1
- 238000010223 real-time analysis Methods 0.000 description 1
- 238000005070 sampling Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/24—Classification techniques
- G06F18/241—Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches
- G06F18/2415—Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches based on parametric or probabilistic models, e.g. based on likelihood ratio or false acceptance rate versus a false rejection rate
- G06F18/24155—Bayesian classification
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/04—Processing captured monitoring data, e.g. for logfile generation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/06—Generation of reports
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Data Mining & Analysis (AREA)
- Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- Theoretical Computer Science (AREA)
- Artificial Intelligence (AREA)
- Evolutionary Computation (AREA)
- General Physics & Mathematics (AREA)
- Evolutionary Biology (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Bioinformatics & Computational Biology (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Life Sciences & Earth Sciences (AREA)
- Probability & Statistics with Applications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于多尺度流分析技术的隐蔽信道检测方法,包括以下步骤:获取检测分析场景信息,并通过DPDK采集检测分析场景中的网络流量数据;将采集的网络流量数据进行预处理,获取单一数据包、会话流和通信流;根据单一数据包、会话流和通信流的相关特征建立对应的元数据库;将获取的单一数据包、会话流和通信流导入对应的元数据库进行黑白匹配,获取先验知识;建立多尺度特征分析模型;将获取的单一数据包、会话流和通信流导入多尺度特征分析模型进行分析检测,并生成检测报告。本发明可有效降低隐蔽信道检测的误报率与漏报率,提高对隐蔽信道检测的全面性与准确性,保障网络信息的传输安全。
Description
技术领域
本发明涉及隐蔽信道检测方法技术领域,特别是一种基于多尺度流分析技术的隐蔽信道检测方法。
背景技术
网络隐蔽信道作为一种“网络中的私有通道、通道中的隐形通道、非通道的通道”,具有跨网异构、协议多样、应用多态、隐蔽位置任意、隐蔽方式复杂等特点,导致虽然部署了很多传统安全检测设备,但仍存在大量不能识别的数据及协议,无法对这些通信进行检查和监管。传统隐蔽通道检测技术大多针对单一类型、单一尺度的检测方案,泛化能力差,无法有效新型多模态网络隐蔽信道,急需提出应对复合隐蔽通道检测的新思路、新方法,为提升我国“网络信道全息分析能力”与“网络隐蔽信道治理能力”提供技术基础,对增强我国网络空间安全的保障能力、推进行业网络化进程都将具有积极意义。
发明内容
针对上述问题,本发明提供了一种基于多尺度流分析技术的隐蔽信道检测方法,采用多尺度深度分析技术对网络数据分别进行了单一数据包、会话流和通信流三个维度的特征分析,建立多尺度隐蔽信道检测模型,从而解决了当前因隐蔽信道的多样而无法对其进行全面有深度的检测的问题,进而降低了隐蔽信道检测的误报率与漏报率,提高了对隐蔽信道检测的全面性与准确性,有利保障了网络信息的传输安全。
本发明采用的技术方案是:
一种基于多尺度流分析技术的隐蔽信道检测方法,包括以下步骤:
S1、获取待检测分析场景信息,并通过DPDK采集待检测分析场景中的网络流量数据;
S2、将采集的网络流量数据进行预处理,分别从三个尺度获取单一数据包、会话流和通信流;
S3、根据单一数据包、会话流和通信流的相关特征建立对应的元数据库;
S4、将获取的单一数据包、会话流和通信流导入对应的元数据库进行黑白匹配,获取先验知识;
S5、根据单一数据包、会话流和通信流的相关特征与先验知识结合建立多尺度特征分析模型;
S6、将获取的单一数据包、会话流和通信流导入多尺度特征分析模型进行隐蔽信道分析检测,并生成检测报告。
获取待检测分析场景信息,根据不同场景对DPDK进行相应的部署,进而通过DPDK采集某一时段待检测分析场景中的网络数据,为后续分析和检测工作提供完整的源数据,将采集的网络流量数据进行预处理,获取单一数据包、会话流和通信流,会话以源IP、目的IP、源端口、目的端口、会话发起时间来进行唯一标识,一个会话流包含请求端和响应端的双向数据包,同一时段内多个会话流组成通信流,根据单一数据包、会话流和通信流的相关特征建立三个对应的元数据库,将隐蔽信道中数据包、会话流、通信流三个尺度之间的潜在相关特点进行梳理,数据包、会话流特征与通信流统计特征进行元数据形式化表示,将获取的单一数据包、会话流和通信流导入对应的元数据库进行黑白匹配,获取先验知识,一条信息流能否构成隐蔽信道的关键在于它是否真正被用于非法通信,而不是流经过的变量,根据单一数据包、会话流和通信流的相关特征与先验知识结合建立多尺度特征分析模型,其中数据包特征、会话流特征与通信流统计特征是通过元数据进行形式化表示的,将获取的单一数据包、会话流和通信流导入多尺度特征分析模型进行隐蔽信道分析检测,隐蔽信道的分析检测由多尺度特征分析模型输出的三维特征划分为网络数据包检测、单次通信会话检测(会话流检测)和长时流量统计检测(通信流检测)三类,分别进行检测分析并生成检测报告,该检测报告中包含多种信息数据,如多尺度关联情况、同时段数据情况等等,根据检测报告进行隐蔽信道报警提示。
本方法从通信信道的基础性问题着手,归纳出隐蔽信道的网络流特性、协议链路特性以及应答与控制特性,形成先验知识,从单一数据包、会话流和通信流三个尺度建立隐蔽信道的形式化特征向量库,给出相应启发式的隐蔽信道可疑度融合判定算法,采用多尺度深度分析技术对网络数据分别进行了单一数据包、会话流和通信流三个维度的特征分析,建立多尺度隐蔽信道检测模型,从而解决了当前因隐蔽信道的多样而无法对其进行全面有深度的检测的问题,进而降低了隐蔽信道检测的误报率与漏报率,提高了对隐蔽信道检测的全面性与准确性,有利保障了网络信息的传输安全。
在进一步的技术方案中,步骤S1包括以下步骤:
S11、获取检测分析场景信息,判断检测分析场景是否为在线实时检测分析场景,如果是,则进入步骤S12;如果否,则进入步骤S13;
S12、将DPDK旁路部署在欲防护网络的出口交换机处,并为其配置相应镜像端口,进入步骤S14;
S13、将DPDK部署在检测分析场景同一个网络内,并为其分配私有IP地址,进入步骤S14;
S14、通过DPDK采集检测分析场景中的网络流量数据。
根据不同场景对DPDK进行相应的部署,通过DPDK对多种检测分析场景网络数据进行采集,保证数据采集的完整性和准确性。一种是离线检测分析场景,DPDK对环境网络拓扑等没有任何要求和限制,只需要与采集对象同在一个网络内,可以分配私有IP地址即可;另一种是在线实时检测分析场景,需要将DPDK旁路部署在欲防护网络的出口交换机处,配置相应镜像端口,从而实现网络流量数据的采集。
在进一步的技术方案中,步骤S2包括以下步骤:
S21、将采集的网络流量数据进行预处理,根据源IP、目的IP、源端口、目的端口和会话发起时间对采集的网络流量数据进行识别;
S22、获取单一数据包、会话流和通信流。
将采集的网络流量数据进行预处理,采集的网络流量数据是离散的、无序的,将离散的无序的网络数据包按网络会话进行重组,一般会话包含会话编号、源MAC、目的MAC、源IP、目的IP、源端口、目的端口、会话发气时间、数据包总数、协议类型等,着重选取与网络隐蔽信道检测特征关联的构成元素(源IP,目的IP,源端口,目的端口,会话发起时间)来进行唯一标识,一个会话流包含请求端和响应端的双向数据包,同一时段内多个同一标识会话流组成通信流,数据包重组消除了数据包检查方法的分析缺陷,会话是后续网络分析的基础,是展示网络信道情况的基础,对数据进行预处理,以便后续进行有效快速的检测分析。
在进一步的技术方案中,步骤S6包括以下步骤:
S61、将获取的单一数据包、会话流和通信流导入多尺度特征分析模型中;
S62、通过多尺度特征分析模型基于网络协议规范对单一数据包进行分析检测,通过多尺度特征分析模型基于流量分布特征对会话流进行分析检测,通过多尺度特征分析模型基于流量统计对通信流进行分析检测;
S63、生成检测报告。
根据不同的数据类型,将隐蔽信道的检测划分为网络数据包检测、单次通信会话检测和长时流量统计检测三类,相应的检测方法包括基于特征匹配的检测方法、基于通信行为(流量分布特征)的检测方法以及基于流量统计的检测方法,根据三种检测方法,再将检测出来的异常结果进行报警。针对单一数据包、会话流和通信流分别进行检测分析,保证检测效率,提高隐蔽信道检测的全面性和准确性。
在进一步的技术方案中,步骤S62中对单一数据包进行分析检测包括以下步骤:
S621、获取正常通信数据包,构建训练集;
S622、根据RFC协议规范提取训练集的协议格式信息,构建正常通信数据包规则库;
S623、根据正常通信数据包规则库对获取的单一数据包进行协议格式匹配。
以正常通信数据包为训练集,对照RFC等协议规范提取协议格式信息,如首部格式、特定字段长度和数据类型等,构成正常通信数据包规则库,以此库为检测依据对待检测数据包进行协议格式匹配,匹配不成功,则表示为非法信息流,即为隐蔽信道;匹配成功,则为正常信息流。针对单一数据包采用协议匹配的方法进行分析检测,提高数据检测的效率和准确性。
在进一步的技术方案中,步骤S62中对会话流进行分析检测包括以下步骤:
S624、根据先验知识,对隐蔽信道案例中事先约定的识别特征进行逆向分析并进行形式化预处理,构建能够标识隐蔽信道类型的会话特征组;
S625、根据会话特征组分析训练新的会话流,并提取可表征IP会话通信行为的特征要素;
S626、根据提取的特征要素的熵值时间序列构建贝叶斯分类器;
S627、根据贝叶斯分类器通过对各类型隐蔽信道训练样本的学习,收敛后生成特定类型隐蔽信道的会话序列模型;
S628、根据会话序列模型对获取的会话流进行模型匹配。
对会话流进行分析检测,采用基于贝叶斯分类器的模型匹配方法,提高对会话流数据检测的准确性。首先,对隐蔽信道案例中事先约定的识别特征进行逆向分析并进行形式化预处理,构建能够标识隐蔽信道类型的会话特征组;然后,以此为指标分析训练数据并提取可表征IP会话通信行为的特征要素,如请求速率、请求时间戳、状态转移序列等,并根据大量特征要素的熵值时间序列构建贝叶斯分类器;通过各类型隐蔽信道训练样本的学习,收敛后形成特定类型隐蔽信道的会话序列模型,根据会话序列模型对获取的会话流进行模型匹配。
在进一步的技术方案中,步骤S62中对通信流进行分析检测包括以下步骤:
S629、基于网络流量自相似模型对获取的通信流进行描述;
S6210、根据概率统计方法对通信流进行泊松分布分析检测。
针对通信流进行分析检测,从宏观尺度对网络通信链路进行隐蔽信道的检测,使用整体流量作为输入,包括链路流量、路径流量信息和流量矩阵等。采用概率统计方法,基于网络流量自相似模型描述特定网络的通信行为:一定时间内特定网络与外界交换的不同类型的数据包分布服从泊松分布,若不服从泊松分布即不符合合法通信规则,则可以判定内部业务非正常改变或网络中出现了非法信息流,即存在隐蔽信道。通过概率统计方法对通信流进行快速有效的检测,保证检测的深度性和全面性。
本发明的有益效果是:
1、采用多尺度深度分析技术对网络数据分别进行了单一数据包、会话流和通信流三个尺度的特征分析,结合多尺度隐蔽信道检测,从而解决了当前因隐蔽信道的多样而无法对其进行全面有深度的检测的问题,进而降低了隐蔽信道检测的误报率与漏报率,提高了对隐蔽信道检测的全面性与准确性,有利保障了网络信息的传输安全;
2、根据不同场景对DPDK进行相应的部署,通过DPDK对多种检测分析场景网络数据进行采集,保证数据采集的完整性和准确性;
3、对数据进行预处理,以便后续进行有效快速的检测分析;
4、针对单一数据包、会话流和通信流采用不同的方法分别进行检测分析,保证检测效率,提高隐蔽信道检测的全面性和准确性;
5、针对单一数据包采用协议匹配的方法进行分析检测,提高数据检测的效率和准确性;
6、对会话流进行分析检测,采用基于贝叶斯分类器的模型匹配方法,提高对会话流数据检测的准确性;
7、通过概率统计方法对通信流进行快速有效的检测,保证检测的深度性和全面性。
附图说明
图1为本发明实施例所述一种基于多尺度流分析技术的隐蔽信道检测方法的流程图;
图2为本发明实施例所述一种基于多尺度流分析技术的隐蔽信道检测方法中数据采集的流程图;
图3为本发明实施例所述一种基于多尺度流分析技术的隐蔽信道检测方法中对单一数据包进行分析检测的流程图;
图4为本发明实施例所述一种基于多尺度流分析技术的隐蔽信道检测方法中对会话流进行分析检测的流程图。
具体实施方式
下面结合附图对本发明的实施例进行详细说明。
实施例
如图1所示,一种基于多尺度流分析技术的隐蔽信道检测方法,包括以下步骤:
S1、获取待检测分析场景信息,并通过DPDK采集待检测分析场景中的网络流量数据;
S2、将采集的网络流量数据进行预处理,分别从三个尺度获取单一数据包、会话流和通信流;
S3、根据单一数据包、会话流和通信流的相关特征建立对应的元数据库;
S4、将获取的单一数据包、会话流和通信流导入对应的元数据库进行黑白匹配,获取先验知识;
S5、根据单一数据包、会话流和通信流的相关特征与先验知识结合建立多尺度特征分析模型;
S6、将获取的单一数据包、会话流和通信流导入多尺度特征分析模型进行隐蔽信道分析检测,并生成检测报告。
采用智能网卡作为硬件,获取待检测分析场景信息,根据不同场景对DPDK进行相应的部署,进而通过DPDK采集某一时段待检测分析场景中的网络数据,为后续分析和检测工作提供完整的源数据,将采集的网络流量数据进行预处理,获取单一数据包、会话流和通信流,会话以源IP、目的IP、源端口、目的端口、会话发起时间来进行唯一标识,一个会话流包含请求端和响应端的双向数据包,同一时段内多个会话流组成通信流,根据单一数据包、会话流和通信流的相关特征建立三个对应的元数据库,将隐蔽信道中数据包、会话流、通信流三个尺度之间的潜在相关特点进行梳理,数据包、会话流特征与通信流统计特征进行元数据形式化表示,将获取的单一数据包、会话流和通信流导入对应的元数据库进行黑白匹配,获取先验知识,一条信息流能否构成隐蔽信道的关键在于它是否真正被用于非法通信,而不是流经过的变量,根据单一数据包、会话流和通信流的相关特征与先验知识结合建立多尺度特征分析模型,其中数据包特征、会话流特征与通信流统计特征是通过元数据进行形式化表示的,将获取的单一数据包、会话流和通信流导入多尺度特征分析模型进行隐蔽信道分析检测,隐蔽信道的分析检测由多尺度特征分析模型输出的三维特征划分为网络数据包检测、单次通信会话检测(会话流检测)和长时流量统计检测(通信流检测)三类,分别进行检测分析并生成检测报告,该检测报告中包含多种信息数据,如多尺度关联情况、同时段数据情况等等,根据检测报告进行隐蔽信道报警提示。
本方法从通信信道的基础性问题着手,归纳出隐蔽信道的网络流特性、协议链路特性以及应答与控制特性,形成先验知识,从单一数据包、会话流和通信流三个尺度建立隐蔽信道的形式化特征向量库,给出相应启发式的隐蔽信道可疑度融合判定算法,采用多尺度深度分析技术对网络数据分别进行了单一数据包、会话流和通信流三个维度的特征分析,建立多尺度隐蔽信道检测模型,基于单一尺度专项检测的结果,采用启发式可疑度融合判定算法,解决了当前因信息采样尺度失真而无法对其进行全面有深度的检测的问题。将不同尺度、不同层次的可疑度立体化、可视化以及智能融合,从而解决了当前因隐蔽信道的多样而无法对其进行全面有深度的检测的问题,进而降低了隐蔽信道检测的误报率与漏报率,提高了对隐蔽信道检测的全面性与准确性,有利保障了网络信息的传输安全。
在其中一个实施例中,如图2所示,步骤S1包括以下步骤:
S11、获取检测分析场景信息,判断检测分析场景是否为在线实时检测分析场景,如果是,则进入步骤S12;如果否,则进入步骤S13;
S12、将DPDK旁路部署在欲防护网络的出口交换机处,并为其配置相应镜像端口,进入步骤S14;
S13、将DPDK部署在检测分析场景同一个网络内,并为其分配私有IP地址,进入步骤S14;
S14、通过DPDK采集检测分析场景中的网络流量数据。
根据不同场景对DPDK进行相应的部署,通过DPDK对多种检测分析场景网络数据进行采集,保证数据采集的完整性和准确性。一种是离线检测分析场景,DPDK对环境网络拓扑等没有任何要求和限制,只需要与采集对象同在一个网络内,可以分配私有IP地址即可,该方式只能够分析离线的网络数据;另一种是在线实时检测分析场景,需要将DPDK旁路部署在欲防护网络的出口交换机处,配置相应镜像端口,从而实现网络流量数据的采集,此方式为了用户能够远程访问与控制,需要用户分配相应可以远程访问的IP地址以及一定的网络带宽,以便用户能够快速远程下载或长传大量网络数据包。
在其中一个实施例中,步骤S2包括以下步骤:
S21、将采集的网络流量数据进行预处理,根据源IP、目的IP、源端口、目的端口和会话发起时间对采集的网络流量数据进行识别;
S22、获取单一数据包、会话流和通信流。
将采集的网络流量数据进行预处理,采集的网络流量数据是离散的、无序的,将离散的无序的网络数据包按网络会话进行重组,一般会话包含会话编号、源MAC、目的MAC、源IP、目的IP、源端口、目的端口、会话发气时间、数据包总数、协议类型等,着重选取与网络隐蔽信道检测特征关联的构成元素(源IP,目的IP,源端口,目的端口,会话发起时间)来进行唯一标识,一个会话流包含请求端和响应端的双向数据包,同一时段内多个同一标识会话流组成通信流,数据包重组消除了数据包检查方法的分析缺陷,会话是后续网络分析的基础,是展示网络信道情况的基础,对数据进行预处理,以便后续进行有效快速的检测分析。
在其中一个实施例中,步骤S6包括以下步骤:
S61、将获取的单一数据包、会话流和通信流导入多尺度特征分析模型中;
S62、通过尺度特征分析模型基于网络协议规范对单一数据包进行分析检测,通过多尺度特征分析模型基于流量分布特征对会话流进行分析检测,通过多尺度特征分析模型基于流量统计对通信流进行分析检测;
S63、生成检测报告。
根据不同的数据类型,将隐蔽信道的检测划分为网络数据包检测、单次通信会话检测和长时流量统计检测三类,相应的检测方法包括基于特征匹配的检测方法、基于通信行为(流量分布特征)的检测方法以及基于流量统计的检测方法,根据三种检测方法,再将检测出来的异常结果进行报警。针对单一数据包、会话流和通信流分别进行检测分析,保证检测效率,提高隐蔽信道检测的全面性和准确性。
在其中一个实施例中,如图3所示,步骤S62中对单一数据包进行分析检测包括以下步骤:
S621、获取正常通信数据包,构建训练集;
S622、根据RFC协议规范提取训练集的协议格式信息,构建正常通信数据包规则库;
S623、根据正常通信数据包规则库对获取的单一数据包进行协议格式匹配。
以正常通信数据包为训练集,对照RFC等协议规范提取协议格式信息,如首部格式、特定字段长度和数据类型等,构成正常通信数据包规则库,以此库为检测依据对待检测数据包进行协议格式匹配,匹配不成功,则表示为非法信息流,即为隐蔽信道;匹配成功,则为正常信息流。针对单一数据包采用协议匹配的方法进行分析检测,提高数据检测的效率和准确性。
在其中一个实施例中,如图4所示,步骤S62中对会话流进行分析检测包括以下步骤:
S624、根据先验知识,对隐蔽信道案例中事先约定的识别特征进行逆向分析并进行形式化预处理,构建能够标识隐蔽信道类型的会话特征组;
S625、根据会话特征组分析训练新的会话流,并提取可表征IP会话通信行为的特征要素;
S626、根据提取的特征要素的熵值时间序列构建贝叶斯分类器;
S627、根据贝叶斯分类器通过对各类型隐蔽信道训练样本的学习,收敛后生成特定类型隐蔽信道的会话序列模型;
S628、根据会话序列模型对获取的会话流进行模型匹配。
对会话流进行分析检测,采用基于贝叶斯分类器的模型匹配方法,提高对会话流数据检测的准确性。首先,对隐蔽信道案例中事先约定的识别特征进行逆向分析并进行形式化预处理,构建能够标识隐蔽信道类型的会话特征组;然后,以此为指标分析训练数据并提取可表征IP会话通信行为的特征要素,如请求速率、请求时间戳、状态转移序列等,并根据大量特征要素的熵值时间序列构建贝叶斯分类器;通过各类型隐蔽信道训练样本的学习,收敛后形成特定类型隐蔽信道的会话序列模型,根据会话序列模型对获取的会话流进行模型匹配。
在其中一个实施例中,步骤S62中对通信流进行分析检测包括以下步骤:
S629、基于网络流量自相似模型对获取的通信流进行描述;
S6210、根据概率统计方法对通信流进行泊松分布分析检测。
针对通信流进行分析检测,从宏观尺度对网络通信链路进行隐蔽信道的检测,使用整体流量作为输入,包括链路流量、路径流量信息和流量矩阵等。采用概率统计方法,基于网络流量自相似模型描述特定网络的通信行为(即通信流):一定时间内特定网络与外界交换的不同类型的数据包分布服从泊松分布,判断获取的通信流是否服从泊松分布,若服从,则表示该通信流为正常数据,若不服从泊松分布,则可以判定内部业务非正常改变或网络中出现了非法信息流,即存在隐蔽信道。通过概率统计方法对通信流进行快速有效的检测,保证检测的深度性和全面性。
以上所述实施例仅表达了本发明的具体实施方式,其描述较为具体和详细,但并不能因此而理解为对本发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。
Claims (7)
1.一种基于多尺度流分析技术的隐蔽信道检测方法,其特征在于,包括以下步骤:
S1、获取检测分析场景信息,并通过DPDK采集检测分析场景中的网络流量数据;
S2、将采集的网络流量数据进行预处理,分别从三个尺度获取单一数据包、会话流和通信流;
S3、根据单一数据包、会话流和通信流的相关特征建立对应的元数据库;
S4、将获取的单一数据包、会话流和通信流导入对应的元数据库进行黑白匹配,获取先验知识;
S5、根据单一数据包、会话流和通信流的相关特征与先验知识结合建立多尺度特征分析模型;
S6、将获取的单一数据包、会话流和通信流导入多尺度特征分析模型进行隐蔽信道分析检测,并生成检测报告。
2.根据权利要求1所述的基于多尺度流分析技术的隐蔽信道检测方法,其特征在于,步骤S1包括以下步骤:
S11、获取检测分析场景信息,判断检测分析场景是否为在线实时检测分析场景,如果是,则进入步骤S12;如果否,则进入步骤S13;
S12、将DPDK旁路部署在欲防护网络的出口交换机处,并为其配置相应镜像端口,进入步骤S14;
S13、将DPDK部署在检测分析场景同一个网络内,并为其分配私有IP地址,进入步骤S14;
S14、通过DPDK采集检测分析场景中的网络流量数据。
3.根据权利要求2所述的基于多尺度流分析技术的隐蔽信道检测方法,其特征在于,步骤S2包括以下步骤:
S21、将采集的网络流量数据进行预处理,根据源IP、目的IP、源端口、目的端口和会话发起时间对采集的网络流量数据进行识别;
S22、获取单一数据包、会话流和通信流。
4.根据权利要求3所述的基于多尺度流分析技术的隐蔽信道检测方法,其特征在于,步骤S6包括以下步骤:
S61、将获取的单一数据包、会话流和通信流导入多尺度特征分析模型中;
S62、通过多尺度特征分析模型基于网络协议规范对单一数据包进行分析检测,通过多尺度特征分析模型基于流量分布特征对会话流进行分析检测,通过多尺度特征分析模型基于流量统计对通信流进行分析检测;
S63、生成检测报告。
5.根据权利要求4所述的基于多尺度流分析技术的隐蔽信道检测方法,其特征在于,步骤S62中对单一数据包进行分析检测包括以下步骤:
S621、获取正常通信数据包,构建训练集;
S622、根据RFC协议规范提取训练集的协议格式信息,构建正常通信数据包规则库;
S623、根据正常通信数据包规则库对获取的单一数据包进行协议格式匹配。
6.根据权利要求4所述的基于多尺度流分析技术的隐蔽信道检测方法,其特征在于,步骤S62中对会话流进行分析检测包括以下步骤:
S624、根据先验知识,对隐蔽信道案例中事先约定的识别特征进行逆向分析并进行形式化预处理,构建能够标识隐蔽信道类型的会话特征组;
S625、根据会话特征组分析训练新的会话流,并提取可表征IP会话通信行为的特征要素;
S626、根据提取的特征要素的熵值时间序列构建贝叶斯分类器;
S627、根据贝叶斯分类器通过对各类型隐蔽信道训练样本的学习,收敛后生成特定类型隐蔽信道的会话序列模型;
S628、根据会话序列模型对获取的会话流进行模型匹配。
7.根据权利要求4所述的基于多尺度流分析技术的隐蔽信道检测方法,其特征在于,步骤S62中对通信流进行分析检测包括以下步骤:
S629、基于网络流量自相似模型对获取的通信流进行描述;
S6210、根据概率统计方法对通信流进行泊松分布分析检测。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010456532.1A CN111586075B (zh) | 2020-05-26 | 2020-05-26 | 基于多尺度流分析技术的隐蔽信道检测方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010456532.1A CN111586075B (zh) | 2020-05-26 | 2020-05-26 | 基于多尺度流分析技术的隐蔽信道检测方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111586075A CN111586075A (zh) | 2020-08-25 |
| CN111586075B true CN111586075B (zh) | 2022-06-14 |
Family
ID=72126962
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010456532.1A Expired - Fee Related CN111586075B (zh) | 2020-05-26 | 2020-05-26 | 基于多尺度流分析技术的隐蔽信道检测方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111586075B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112235309B (zh) * | 2020-10-19 | 2022-05-06 | 四川师范大学 | 一种云平台网络隐蔽信道多尺度检测系统 |
| CN112615713B (zh) * | 2020-12-22 | 2024-02-23 | 东软集团股份有限公司 | 隐蔽信道的检测方法、装置、可读存储介质及电子设备 |
| CN113364699B (zh) * | 2021-06-15 | 2023-04-07 | 北京明朝万达科技股份有限公司 | 基于多尺度自相似特性的云数据流量管控方法和系统 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102664772A (zh) * | 2012-04-25 | 2012-09-12 | 东北大学 | 一种动态环境下网络流量异常的多尺度侦测方法 |
| CN107204876A (zh) * | 2017-05-22 | 2017-09-26 | 成都网络空间安全技术有限公司 | 一种网络安全风险评估方法 |
| CN107592312A (zh) * | 2017-09-18 | 2018-01-16 | 济南互信软件有限公司 | 一种基于网络流量的恶意软件检测方法 |
| CN110324210A (zh) * | 2019-08-06 | 2019-10-11 | 杭州安恒信息技术股份有限公司 | 基于icmp协议进行隐蔽信道通信的检测方法及装置 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9003518B2 (en) * | 2010-09-01 | 2015-04-07 | Raytheon Bbn Technologies Corp. | Systems and methods for detecting covert DNS tunnels |
-
2020
- 2020-05-26 CN CN202010456532.1A patent/CN111586075B/zh not_active Expired - Fee Related
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102664772A (zh) * | 2012-04-25 | 2012-09-12 | 东北大学 | 一种动态环境下网络流量异常的多尺度侦测方法 |
| CN107204876A (zh) * | 2017-05-22 | 2017-09-26 | 成都网络空间安全技术有限公司 | 一种网络安全风险评估方法 |
| CN107592312A (zh) * | 2017-09-18 | 2018-01-16 | 济南互信软件有限公司 | 一种基于网络流量的恶意软件检测方法 |
| CN110324210A (zh) * | 2019-08-06 | 2019-10-11 | 杭州安恒信息技术股份有限公司 | 基于icmp协议进行隐蔽信道通信的检测方法及装置 |
Non-Patent Citations (1)
| Title |
|---|
| 基于FTP目录编码的隐蔽信道;姚城,唐彰国等;《计算机工程与设计》;20161130;全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111586075A (zh) | 2020-08-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Aksoy et al. | Automated iot device identification using network traffic | |
| CN111586075B (zh) | 基于多尺度流分析技术的隐蔽信道检测方法 | |
| CN107438052B (zh) | 一种面向未知工业通信协议规约的异常行为检测方法 | |
| CN105871832B (zh) | 一种基于协议属性的网络应用加密流量识别方法及其装置 | |
| Chen et al. | An effective conversation‐based botnet detection method | |
| CN111277587A (zh) | 基于行为分析的恶意加密流量检测方法及系统 | |
| Dainotti et al. | Issues and future directions in traffic classification | |
| CN108632269B (zh) | 基于c4.5决策树算法的分布式拒绝服务攻击检测方法 | |
| CN111935170A (zh) | 一种网络异常流量检测方法、装置及设备 | |
| CN106559407A (zh) | 一种基于sdn的网络流量异常监测系统 | |
| EP1738551A1 (en) | Method of detecting anomalous behaviour in a computer network | |
| CN101286896A (zh) | 基于流的IPSec VPN协议深度检测方法 | |
| CN112822189A (zh) | 一种流量识别方法及装置 | |
| CN109218321A (zh) | 一种网络入侵检测方法及系统 | |
| SG184120A1 (en) | Method of identifying a protocol giving rise to a data flow | |
| CN111818049A (zh) | 一种基于马尔可夫模型的僵尸网络流量检测方法及系统 | |
| CN109728977B (zh) | Jap匿名流量检测方法及系统 | |
| CN112235309B (zh) | 一种云平台网络隐蔽信道多尺度检测系统 | |
| CN113037748A (zh) | 一种c&c信道混合检测方法及系统 | |
| CN113259367A (zh) | 工控网络流量多级异常检测方法及装置 | |
| TWI704782B (zh) | 骨幹網路異常流量偵測方法和系統 | |
| CN110995733A (zh) | 一种基于遥测技术的工控领域的入侵检测系统 | |
| CN101668034A (zh) | 实时识别Skype两类语音流的方法 | |
| CN116192504A (zh) | 面对样本分布不平衡的恶意加密流量检测方法 | |
| CN111371727A (zh) | 一种针对ntp协议隐蔽通信的检测方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20220614 |