【技术实现步骤摘要】
本专利技术属于网络攻击分析
,尤其涉及到一种跨会话流网络攻击筛选方法。
技术介绍
随着网络攻击的日益复杂化,传统的基于单包特征匹配的攻击检测方式已越来越无法应对新的攻击。目前,APT(高级可持续)攻击都会对窃密通信进行隐藏,常见的隐蔽方式主要有数据加密和使用可信的信道(如使用HTTP和HTTPS端口传输),使用加密算法后的数据包没有固定的特征,而且越来越多的木马激活与上线不再使用黑域名。这些隐藏方式已经对传统的基于数据包特征和黑域名的检测方式造成了巨大的挑战。目前,最先进的窃密程序已经采用了跨会话流的通信方式,即木马激活代码、窃密指令、窃密数据都是由不同的IP,通过不同的端口,经由不同的加密方式分别传输。经过深入研究后发现,此类攻击虽无单包网络攻击特征,但因是程序控制完成,还是有特征可循的。如:攻击会话流中的某些流特征是相对固定的,与攻击相关的会话流间存在先后的关联顺序等,因此可通过构建攻击模型的方式进行检测。目前国内外主流的模型匹配引擎都是建立在单一会话流分析的需求前提下开发的。为实现跨会话流的攻击模型匹配,必须对跨会话流的分析技术进行研究。
技术实现思路
为解决上述问题,本专利技术提供了一种跨会话流网络攻击筛选方法,包括如下步骤:步骤一:预先从三个层面上抽象定义属于跨会话流网络攻击行为的会话流特征,分别为四元组定义、流选项定义、流间定义;所述四元组定义用于从IP和端口的维度去描单个会话流的特征;所述流选项定义用于描述单个会话流的流体特征;所述流间特征定义用于定义单个会话流之间的关系。步骤二:在会话流持续期间利用四元组定义对待分析会话流的单个会话流进...
【技术保护点】
一种跨会话流网络攻击筛选方法,其特征在于,包括如下步骤:步骤一:预先从三个层面上抽象定义属于跨会话流网络攻击行为的会话流特征,分别为四元组定义、流选项定义、流间定义;所述四元组定义用于从IP和端口的维度去描单个会话流的特征;所述流选项定义用于描述单个会话流的流体特征;所述流间特征定义用于定义单个会话流之间的关系;步骤二:在会话流持续期间利用四元组定义对待分析会话流的单个会话流进行四元组定义分析,提取出符合四元组定义的单个会话流;步骤三:等第二步中提取出得单个数据结束或者关闭后,根据流选项定义对其进行分析,提取出符合流选项定义的单个会话流;步骤四:根据流间特征定义,对步骤三提取出得所有会话流进行流间特征匹配,提取出符合流间特征定义的会话流,即为网络攻击会话流。
【技术特征摘要】
1.一种跨会话流网络攻击筛选方法,其特征在于,包括如下步骤:步骤一:预先从三个层面上抽象定义属于跨会话流网络攻击行为的会话流特征,分别为四元组定义、流选项定义、流间定义;所述四元组定义用于从IP和端口的维度去描单个会话流的特征;所述流选项定义用于描述单个会话流的流体特征;所述流间特征定义用于定义单个会话流之间的关系;步骤二:在会话流持续期间利用四元组定义对待分析会话流的单个会话流进行四元组定义分析,提取出符合四元组定义的单个会话流;步骤三:等第二步中提取出得单个数据结束或者关闭后,根据流选项定义对其进行分析,提取出符合流选项定义的单个会话流;步骤四:根据流间特征定义,对步骤三提取出得所有会话流进行流间特征匹配,提取出符...
【专利技术属性】
技术研发人员:罗鹰,王思宇,林康,
申请(专利权)人:成都科来软件有限公司,
类型:发明
国别省市:四川;51
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。