一种基于通信行为聚类的木马检测方法技术

本发明专利技术公开了一种基于通信行为聚类的木马检测方法，属于信息安全领域。本发明专利技术针对木马检测技术中存在的特征提取能力较弱和聚类算法选用不当等问题，提出一种特征提取性能优异、聚类算法适当并且检测效率和精度较高的未知木马检测方法。技术方案包括抓取网络流量数据包和TCP会话重组，提取木马逆向连接特征、熵特征、心跳特征等，建立TCP会话的特征向量，采用基于LSH的实时增量聚类算法对特征向量进行实时聚类。本发明专利技术针对木马会话的通信行为特征与正常网络通信行为的差异性，并结合统计分析、时序分析等技术，标识二者的差异，在保证较高检测精度和零误报率的同时，降低漏报率，利用本发明专利技术能够有效的对木马的通信异常行为进行实时检测。

【技术实现步骤摘要】

【技术保护点】
一种基于通信行为聚类的木马检测方法，其特征在于步骤如下：（1）抓取网络流量数据包；（2）对所述网络流量数据包进行传输控制协议会话重组，生成TCP会话；（3）提取所述TCP会话的通信行为特征，生成其通信行为的n维特征向量；（4）对所述特征向量进行高斯归一化处理，得到归一化特征向量；（5）对所述归一化特征向量进行基于位置敏感哈希的实时增量聚类处理，生成三维的聚类簇；（6）根据所述聚类簇C判别所述网络流量数据包为木马、良性软件或其他软件的通信数据包，并对木马进行告警。

【技术特征摘要】

【专利技术属性】
技术研发人员：左晓军，董立勉，陈泽，卢宁，常杰，郗波，张君艳，侯波涛，王春璞，刘惠颖，
申请(专利权)人：国家电网公司，国网河北省电力公司电力科学研究院，河北省电力建设调整试验所，
类型：发明
国别省市：北京;11