【技術(shù)實(shí)現(xiàn)步驟摘要】
本專利技術(shù)涉及流量檢測(cè),具體涉及一種基于特征規(guī)則的惡意流量檢測(cè)方法。
技術(shù)介紹
1、隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展和應(yīng)用,在促進(jìn)社會(huì)發(fā)展和進(jìn)步的同時(shí),各類網(wǎng)絡(luò)安全攻擊也帶來了大量的經(jīng)濟(jì)損失。為了能快速檢測(cè)出網(wǎng)絡(luò)中的攻擊事件,及時(shí)預(yù)警阻斷攻擊,避免網(wǎng)絡(luò)攻擊帶來的經(jīng)濟(jì)損失,各類網(wǎng)絡(luò)安全檢測(cè)產(chǎn)品目前通常采用前置特征規(guī)則惡意流量檢測(cè)引擎識(shí)別出少量可疑攻擊流量,再配合機(jī)器學(xué)習(xí)引擎等后置檢測(cè)引擎,來精準(zhǔn)發(fā)現(xiàn)網(wǎng)絡(luò)流量中的攻擊行為。
2、現(xiàn)有特征規(guī)則惡意流量檢測(cè)引擎通常有如下兩種實(shí)現(xiàn)方式:
3、第一種基于惡意流量的指紋特征,生成對(duì)應(yīng)的正則或者特征字符串規(guī)則,借助hyperscan將所有規(guī)則與流量負(fù)載進(jìn)行匹配檢測(cè)。
4、第二種采用固定增加端口+單個(gè)子特征等預(yù)過濾的方式,過濾掉部分檢測(cè)規(guī)則,以減少實(shí)際規(guī)則檢測(cè)的數(shù)量,來提升檢測(cè)引擎的性能,如suricata等開源引擎。
5、這兩種方式通常存在如下缺點(diǎn):
6、預(yù)過濾模式過于單一。僅能從選項(xiàng)特則中選擇一個(gè)選項(xiàng)特征作為過濾條件,導(dǎo)致其它檢測(cè)性能很高的選項(xiàng)特征無法參與預(yù)過濾,大大降低了預(yù)過濾的效果。且過濾模式固定。一旦規(guī)則編譯、檢測(cè)后,規(guī)則過濾模塊無論性能高低,都不會(huì)再實(shí)時(shí)調(diào)整,無法最大限度的發(fā)揮預(yù)過濾模塊優(yōu)勢(shì)。
技術(shù)實(shí)現(xiàn)思路
1、針對(duì)現(xiàn)有技術(shù)存在的不足,本專利技術(shù)的目的在于提供一種基于特征規(guī)則的惡意流量檢測(cè)方法。
2、為了實(shí)現(xiàn)上述目的,本專利技術(shù)提供如下技術(shù)方案:
3、一種基于特征規(guī)
4、將惡意流量檢測(cè)特征規(guī)則逐條提取進(jìn)行格式校驗(yàn),并提取相關(guān)規(guī)則選項(xiàng)信息;
5、依據(jù)相關(guān)規(guī)則選項(xiàng)信息構(gòu)建規(guī)則分治鏈,將相同分治鏈路徑的規(guī)則,構(gòu)建規(guī)則分組;
6、依據(jù)規(guī)則分組,選取各條規(guī)則的部分規(guī)則選項(xiàng),構(gòu)建對(duì)應(yīng)分組的多模集約圖;
7、依據(jù)所述多模集約圖,構(gòu)建各條規(guī)則的精準(zhǔn)檢測(cè)鏈;
8、將網(wǎng)絡(luò)流量深度解碼后提取的待檢測(cè)數(shù)據(jù),輸入所述規(guī)則分治鏈中,查找對(duì)應(yīng)的所述多模集約圖,再根據(jù)所述多模集約圖的檢測(cè)結(jié)果,輸入到對(duì)應(yīng)的精準(zhǔn)檢測(cè)鏈中,得到檢測(cè)結(jié)果;
9、選取檢測(cè)結(jié)果中符合特征規(guī)則的流量,輸入后置檢測(cè)引擎,進(jìn)一步識(shí)別檢測(cè)。
10、在本專利技術(shù)中,優(yōu)選的,所述選項(xiàng)特征為惡意流量所包含的指紋特征,同一條規(guī)則包含多個(gè)選項(xiàng)特征。
11、在本專利技術(shù)中,優(yōu)選的,所述規(guī)則分治鏈按照目的端口分治組、協(xié)議分治組、檢測(cè)方向分治組的順序構(gòu)成。
12、在本專利技術(shù)中,優(yōu)選的,所述目的端口分治組將端口全部的取值展開為數(shù)組,建立若干個(gè)端口數(shù)組。
13、在本專利技術(shù)中,優(yōu)選的,所述協(xié)議分治組將協(xié)議全部的取值展開為數(shù)組,建立若干個(gè)協(xié)議數(shù)組。
14、在本專利技術(shù)中,優(yōu)選的,所述構(gòu)建規(guī)則分組具體包括:
15、根據(jù)各個(gè)分治組要求,依次提取各條規(guī)則的的目的端口、協(xié)議、檢測(cè)方向三個(gè)數(shù)據(jù)源作為分治信息,并按照各個(gè)分治組的要求,根據(jù)提取的分治信息找到對(duì)應(yīng)各個(gè)分治組的位置,構(gòu)成對(duì)應(yīng)規(guī)則的分治鏈;
16、將相同分治鏈路徑上的各條規(guī)則,組合構(gòu)建成對(duì)應(yīng)的規(guī)則分組。
17、在本專利技術(shù)中,優(yōu)選的,構(gòu)建多模集約圖具體包括:
18、在同一規(guī)則分組中,根據(jù)不同種類規(guī)則選項(xiàng)的置信度,挑選若干個(gè)規(guī)則選項(xiàng),作為構(gòu)建多模集約圖的初步規(guī)則選項(xiàng)來源;
19、根據(jù)同一規(guī)則分組中,各條規(guī)則挑選的規(guī)則選項(xiàng),進(jìn)行規(guī)則選項(xiàng)使用頻度統(tǒng)計(jì),挑選出使用頻度最多的兩類規(guī)則選項(xiàng),作為構(gòu)建多模集約圖的數(shù)據(jù)來源;
20、根據(jù)選定的兩類規(guī)則選項(xiàng),各條規(guī)則挑選對(duì)應(yīng)的選項(xiàng),放入多模集約圖,多模集約圖根據(jù)各條規(guī)則提取選項(xiàng)信息,生成對(duì)應(yīng)的規(guī)則位圖集。
21、在本專利技術(shù)中,優(yōu)選的,規(guī)則選項(xiàng)的置信度為根據(jù)實(shí)際惡意流量使用的指紋頻度,給各類規(guī)則選項(xiàng)設(shè)置不同的置信度值,構(gòu)成規(guī)則選項(xiàng)置信度表。
22、在本專利技術(shù)中,優(yōu)選的,所述構(gòu)建各條規(guī)則的精準(zhǔn)檢測(cè)鏈具體步驟為將每條規(guī)則的各個(gè)規(guī)則選項(xiàng)按照置信度排序后,依次放入精準(zhǔn)檢測(cè)鏈表中,構(gòu)成精準(zhǔn)檢測(cè)鏈。
23、在本專利技術(shù)中,優(yōu)選的,得到檢測(cè)結(jié)果具體步驟包括:
24、對(duì)網(wǎng)絡(luò)流量進(jìn)行深度解碼,提取待檢測(cè)數(shù)據(jù);
25、對(duì)待檢測(cè)數(shù)據(jù)依次經(jīng)過分治鏈、多模集約圖、精準(zhǔn)檢測(cè)鏈,得到最終的規(guī)則檢測(cè)結(jié)果。
26、與現(xiàn)有技術(shù)相比,本專利技術(shù)的有益效果是:
27、本專利技術(shù)的方法應(yīng)用在網(wǎng)絡(luò)安全監(jiān)測(cè)等需要對(duì)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行攻擊檢測(cè)、預(yù)警和阻斷的系統(tǒng)中,提高了前置基于特征規(guī)則的惡意流量檢測(cè)引擎的檢測(cè)性能,解決因前置基于特征規(guī)則的檢測(cè)引擎性能不足,引起的網(wǎng)絡(luò)安全產(chǎn)品檢測(cè)效果不佳的問題,達(dá)到了及時(shí)發(fā)現(xiàn)可疑流量、更加快速剔除正常流量的效果。
本文檔來自技高網(wǎng)...【技術(shù)保護(hù)點(diǎn)】
1.一種基于特征規(guī)則的惡意流量檢測(cè)方法,其特征在于,具體包括步驟:
2.根據(jù)權(quán)利要求1所述的一種基于特征規(guī)則的惡意流量檢測(cè)方法,其特征在于,所述選項(xiàng)特征為惡意流量所包含的指紋特征,同一條規(guī)則包含多個(gè)選項(xiàng)特征。
3.根據(jù)權(quán)利要求2所述的一種基于特征規(guī)則的惡意流量檢測(cè)方法,其特征在于,所述規(guī)則分治鏈按照目的端口分治組、協(xié)議分治組、檢測(cè)方向分治組的順序構(gòu)成。
4.根據(jù)權(quán)利要求3所述的一種基于特征規(guī)則的惡意流量檢測(cè)方法,其特征在于,所述目的端口分治組將端口全部的取值展開為數(shù)組,建立若干個(gè)端口數(shù)組。
5.根據(jù)權(quán)利要求3所述的一種基于特征規(guī)則的惡意流量檢測(cè)方法,其特征在于,所述協(xié)議分治組將協(xié)議全部的取值展開為數(shù)組,建立若干個(gè)協(xié)議數(shù)組。
6.根據(jù)權(quán)利要求3所述的一種基于特征規(guī)則的惡意流量檢測(cè)方法,其特征在于,所述構(gòu)建規(guī)則分組具體包括:
7.根據(jù)權(quán)利要求1所述的一種基于特征規(guī)則的惡意流量檢測(cè)方法,其特征在于,構(gòu)建多模集約圖具體包括:
8.根據(jù)權(quán)利要求7所述的一種基于特征規(guī)則的惡意流量檢測(cè)方法,其特征在于,規(guī)則選項(xiàng)
9.根據(jù)權(quán)利要求1所述的一種基于特征規(guī)則的惡意流量檢測(cè)方法,其特征在于,所述構(gòu)建各條規(guī)則的精準(zhǔn)檢測(cè)鏈具體步驟包為將每條規(guī)則的各個(gè)規(guī)則選項(xiàng)按照置信度排序后,依次放入精準(zhǔn)檢測(cè)鏈表中,構(gòu)成精準(zhǔn)檢測(cè)鏈。
10.根據(jù)權(quán)利要求1所述的一種基于特征規(guī)則的惡意流量檢測(cè)方法,其特征在于,得到檢測(cè)結(jié)果具體步驟包括:
...【技術(shù)特征摘要】
1.一種基于特征規(guī)則的惡意流量檢測(cè)方法,其特征在于,具體包括步驟:
2.根據(jù)權(quán)利要求1所述的一種基于特征規(guī)則的惡意流量檢測(cè)方法,其特征在于,所述選項(xiàng)特征為惡意流量所包含的指紋特征,同一條規(guī)則包含多個(gè)選項(xiàng)特征。
3.根據(jù)權(quán)利要求2所述的一種基于特征規(guī)則的惡意流量檢測(cè)方法,其特征在于,所述規(guī)則分治鏈按照目的端口分治組、協(xié)議分治組、檢測(cè)方向分治組的順序構(gòu)成。
4.根據(jù)權(quán)利要求3所述的一種基于特征規(guī)則的惡意流量檢測(cè)方法,其特征在于,所述目的端口分治組將端口全部的取值展開為數(shù)組,建立若干個(gè)端口數(shù)組。
5.根據(jù)權(quán)利要求3所述的一種基于特征規(guī)則的惡意流量檢測(cè)方法,其特征在于,所述協(xié)議分治組將協(xié)議全部的取值展開為數(shù)組,建立若干個(gè)協(xié)議數(shù)組。
6.根據(jù)權(quán)利要求...
【專利技術(shù)屬性】
技術(shù)研發(fā)人員:高勇,馬金剛,孫連軍,李春輝,范海斌,趙鵬,
申請(qǐng)(專利權(quán))人:北京浩瀚深度信息技術(shù)股份有限公司,
類型:發(fā)明
國(guó)別省市:
還沒有人留言評(píng)論。發(fā)表了對(duì)其他瀏覽者有用的留言會(huì)獲得科技券。