本发明专利技术提出一种基于网络行为特征关联分析的主机安全评估方法及系统,包括:对已知的网络特征进行分析,确定每个网络特征的属性;监控待评估主机单位时间内的网络通讯行为,若单位时间内的网络通讯行为与至少一个已知恶意代码的网络特征相匹配,则根据权值,对主机的安全性进行评分;将得到的评分与预设的预警分数线进行比较,若评分大于或等于预警分数线,则确认待评估主机存在安全威胁,否则待评估主机不存在安全威胁;若待评估主机存在威胁,则根据网络特征的属性,确认恶意代码所属家族及发起攻击的组织信息。通过本发明专利技术方法对特征的有效性有量化的数值,通过计算获得的结果更加准确,减少误报,有利于威胁事件的发现和归类分析。
【技术实现步骤摘要】
本专利技术涉及计算机网络安全领域,特别涉及一种基于网络行为特征关联分析的主机安全评估方法及系统。
技术介绍
目前对主机进行安全评估主要有两种,一种是针对主机系统上的文件进行检测,通过分析文件内容和其动态行为来判断该文件是否为恶意代码载荷或恶意程序,以此判定主机环境是否安全。另一种则是针对网络流量进行检测检测,通过对网络传输过程中的流量进行还原、解压判断是否有恶意服务正在接收远程操作指令或上传主机信息或者甚至下载恶意代码载荷的行为,以此判定主机状态是否安全。针对主机系统上的文件进行检测检测,为保证检测能力需要不断去分析新发现的恶意代码以保证检测能力。不仅占用了不小的资源而且对恶意代码的变种或未知恶意代码识别能力不足。针对网络流量的主机安全检测某种程度上增强了对恶意代码变种或位置恶意代码识别的能力。那么随之产生的问题就是,随着时间的推移一部分网络特征失去可靠性或者攻击者提升了隐藏网络特征的技术手段,而且恶意代码中包含的网络特征中,通常只有一条用于与攻击主机通信,其他的网络特征包括但不限于用于测试的本地主机ip或url,用于获取主机IP的工具类url,用于赚取利润的广告类url,用于判断网络联通情况的url等等。以上因素导致网络特征可用资源少而且产生误报的几率大。
技术实现思路
本专利技术提出一种基于网络行为特征关联分析的主机安全评估方法及系统,通过本专利技术的方法,解决了传统方法中,数据利用率低和难以特征可靠性变化导致的误报问题。一种基于网络行为特征关联分析的主机安全评估方法,包括:获取已知恶意代码的网络特征;对所述网络特征进行分析,确定每个网络特征的属性;所述网络特征的属性包括权值、当前特征与其他特征的关系、特征组合模式;监控待评估主机单位时间内的网络通讯行为,若单位时间内的网络通讯行为与至少一个已知恶意代码的网络特征相匹配,则根据权值,对主机的安全性进行评分;将得到的评分与预设的预警分数线进行比较,若评分大于或等于预警分数线,则确认待评估主机存在安全威胁,否则待评估主机不存在安全威胁;若待评估主机存在威胁,则根据网络特征的属性,确认恶意代码所属家族及发起攻击的组织信息。所述的方法中,所述网络特征的权值,根据网络特征数量的增加进行调整。所述的方法中,所述根据权值,对主机的安全性进行评分具体为:设定各网络特征权值对应的参数,将参数及权值计算线性加权和。本专利技术另一技术方案提出一种基于网络行为特征关联分析的主机安全评估系统,包括:特征模块,用于获取已知恶意代码的网络特征;分析模块,用于对所述网络特征进行分析,确定每个网络特征的属性;所述网络特征的属性包括权值、当前特征与其他特征的关系、特征组合模式;监控模块,用于监控待评估主机单位时间内的网络通讯行为,若单位时间内的网络通讯行为与至少一个已知恶意代码的网络特征相匹配,则根据权值,对主机的安全性进行评分;威胁判断模块,用于将得到的评分与预设的预警分数线进行比较,若评分大于或等于预警分数线,则确认待评估主机存在安全威胁,否则待评估主机不存在安全威胁;信息确认模块,用于若待评估主机存在威胁,则根据网络特征的属性,确认恶意代码所属家族及发起攻击的组织信息。所述的系统中,所述网络特征的权值,根据网络特征数量的增加进行调整。所述的系统中,所述根据权值,对主机的安全性进行评分具体为:设定各网络特征权值对应的参数,将参数及权值计算线性加权和。本方法的技术关键点在于基于网络行为特征关联分析的方式,通过分析整理恶意代码中的所有网络行为,每个网络行为都将获得一个作为判定恶意代码能力的权值,而且该权值会在特征数量的增长过程中进行调整,使所有的网络行为作为特征参与主机安全评估。进而达到提高数据的利用率和提升主机安全评估的准确性的目的。本方法解决了传统方法中,数据利用率低和难以特征可靠性变化导致的误报问题。采用基于网络行为特征关联分析的方法,有效提高了数据的利用率,并且对特征可靠性有了量化的数值,通过科学的计算方式获得结果,从而使评估结果更准确,有效减少误报情况的发生。而且网络特征的属性,能够表示出该网络特征与其他特征及恶意代码间的关联关系,更利于后期对发现的威胁事件进行归类分析。附图说明为了更清楚地说明本专利技术或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1为本专利技术一种基于网络行为特征关联分析的主机安全评估方法流程图;图2为本专利技术一种基于网络行为特征关联分析的主机安全评估系统结构示意图。具体实施方式为了使本
的人员更好地理解本专利技术实施例中的技术方案,并使本专利技术的上述目的、特征和优点能够更加明显易懂,下面结合附图对本专利技术中技术方案作进一步详细的说明。本专利技术的提出,是由于恶意代码中包含的网络通讯配置特征,如域名,服务器IP地址,FTP服务器信息和电子邮箱等,作为判断主机感染恶意代码的依据的能力不相同,而且随着时间的推移和技术手段的提升使很多特征的可靠性逐渐降低。而在主机安全评估过程中,又需要足够的条件来判定主机的安全状态。因此这里提出一种基于网络行为特征关联分析的主机安全评估方法:即有计划的对现有的恶意代码中包含的网络通讯特征进行分类、关联等一系列数据分析。进而得到这些网络特征对主机安全评估的影响力,即作为单条特征便能提供主机感染恶意代码判断依据的能力。本专利技术提出一种基于网络行为特征关联分析的主机安全评估方法及系统,通过本专利技术的方法,解决了传统方法中,数据利用率低和特征可靠性变化导致的误报问题。一种基于网络行为特征关联分析的主机安全评估方法,如图1所示,包括:S101:获取已知恶意代码的网络特征;S102:对所述网络特征进行分析,确定每个网络特征的属性;所述网络特征的属性包括权值、当前特征与其他特征的关系,如出自同一类恶意代码,属于同一恶意代码家族;特征组合模式,如特征所属的特征组合,相似的特征组合方式则可表明不同类的恶意代码可能出自同一个黑客组织等;S103:监控待评估主机单位时间内的网络通讯行为,若单位时间内的网络通讯行为与至少一个已知恶意代码的网络特征相匹配,则根据权值,对主机的安全性进行评分;S104:将得到的评分与预设的预警分数线进行比较,若评分大于或等于预警分数线,则确认待评估主机存在安全威胁执行S105,否则待评估主机不存在安全威胁;S105:若待评估主机存在威胁,则根据网络特征的属性,确认恶意代码所属家族及发起攻击的组织信息。即通过命中的网络特征的特征组合模式等属性基本判定主机感染的恶意代码所属家族,甚至可以确定发起攻击的组织。所述的方法中,所述网络特征的权值,根据网络特征数量的增加进行调整。所述的方法中,所述根据权值,对主机的安全性进行评分具体为:设定各网络特征权值对应的参数,将参数及权值计算线性加权和。如设每条特征的对应参数都为a1,a2……an,每条特征的对应权值为p1,p2……pn,则威胁评分为其加权和:score=p1*a1+p2*a2+...+pn*an。当然,线性加权和仅是众多权值计算评分的一种,在实际应用中不仅限于线性加权计算的方式。本专利技术另一技术方案提出一种基于网络本文档来自技高网...
【技术保护点】
一种基于网络行为特征关联分析的主机安全评估方法,其特征在于,包括:获取已知恶意代码的网络特征;对所述网络特征进行分析,确定每个网络特征的属性;所述网络特征的属性包括权值、当前特征与其他特征的关系、特征组合模式;监控待评估主机单位时间内的网络通讯行为,若单位时间内的网络通讯行为与至少一个已知恶意代码的网络特征相匹配,则根据权值,对主机的安全性进行评分;将得到的评分与预设的预警分数线进行比较,若评分大于或等于预警分数线,则确认待评估主机存在安全威胁,否则待评估主机不存在安全威胁;若待评估主机存在威胁,则根据网络特征的属性,确认恶意代码所属家族及发起攻击的组织信息。
【技术特征摘要】
1.一种基于网络行为特征关联分析的主机安全评估方法,其特征在于,包括:获取已知恶意代码的网络特征;对所述网络特征进行分析,确定每个网络特征的属性;所述网络特征的属性包括权值、当前特征与其他特征的关系、特征组合模式;监控待评估主机单位时间内的网络通讯行为,若单位时间内的网络通讯行为与至少一个已知恶意代码的网络特征相匹配,则根据权值,对主机的安全性进行评分;将得到的评分与预设的预警分数线进行比较,若评分大于或等于预警分数线,则确认待评估主机存在安全威胁,否则待评估主机不存在安全威胁;若待评估主机存在威胁,则根据网络特征的属性,确认恶意代码所属家族及发起攻击的组织信息。2.如权利要求1所述的方法,其特征在于,所述网络特征的权值,根据网络特征数量的增加进行调整。3.如权利要求1或2所述的方法,其特征在于,所述根据权值,对主机的安全性进行评分具体为:设定各网络特征权值对应的参数,将参数及权值计算线性加权和。4.一种基于网络行为特征关联分析的主机...
【专利技术属性】
技术研发人员:李宝俊,
申请(专利权)人:哈尔滨安天科技股份有限公司,
类型:发明
国别省市:黑龙江;23
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。