本发明专利技术公开了一种可疑外连的检测方法及装置,涉及网络安全检测技术领域,主要目的在于实现及时发现未知的可疑外连并判断其可疑程度,以提升对可疑外连检测的准确率。本发明专利技术主要的技术方案为:基于多维度检测对待检测流量进行检测,所述多维度检测中至少含有一个利用历史数据进行特征流行度检测的维度,且每个维度具有多项的特征检测;根据对所述多维度检测中各项特征的检测结果,提取属于同一外连流量的目标检测结果;根据所述多维度检测中特征检测的项数以及所述目标检测结果确定所述外连流量的可疑程度。本发明专利技术用于对可疑外连的检测。测。测。
【技术实现步骤摘要】
一种可疑外连的检测方法及装置
[0001]本专利技术涉及网络安全检测
,尤其涉及一种可疑外连的检测方法及装置。
技术介绍
[0002]随着网络技术的发展,越来越多的黑客利用远程控制木马等手段远程操纵被控主机,为了向远程被控主机发送命令,被控主机一定会有与外部服务器的连接过程。该恶意外连行为产生的流量即为恶意外连流量。
[0003]但是,现有对恶意外连流量的检测方式通常是从单一角度出发对可疑流量进行检测,但许多检测规则是基于已知的现有样本,难以发现新的未知威胁,且检测方案数据来源单一,导致检测可疑外连的准确率较低。
技术实现思路
[0004]鉴于上述问题,本专利技术提供一种可疑外连的检测方法及装置,主要目的是为了实现及时发现未知的可疑外连并判断其可疑程度,以提升对可疑外连检测的准确率。
[0005]为解决上述技术问题,本专利技术提出以下方案:
[0006]第一方面,本专利技术提供了一种可疑外连的检测方法,所述方法包括:
[0007]基于多维度检测对待检测流量进行检测,所述多维度检测中至少含有一个利用历史数据进行特征流行度检测的维度,且每个维度具有多项的特征检测;
[0008]根据对所述多维度检测中各项特征的检测结果,提取属于同一外连流量的目标检测结果;
[0009]根据所述多维度检测中特征检测的项数以及所述目标检测结果确定所述外连流量的可疑程度。
[0010]第二方面,本专利技术还提供了一种可疑外连的检测装置,所述装置包括:
[0011]检测单元,用于基于多维度检测对待检测流量进行检测,多维度检测中至少含有一个利用历史数据进行特征流行度检测的维度,且每个维度具有多项的特征检测;
[0012]提取单元,用于根据对所述检测单元多维度检测中各项特征的检测结果,提取属于同一外连流量的目标检测结果;
[0013]第一确定单元,根据所述检测单元多维度检测中特征检测的项数以及所述提取单元获得的目标检测结果确定所述外连流量的可疑程度。
[0014]为了实现上述目的,根据本专利技术的第三方面,提供了一种存储介质,所述存储介质包括存储的程序,其中,在所述程序运行时控制所述存储介质所在设备执行上述第一方面的可疑外连的检测方法。
[0015]了实现上述目的,根据本专利技术的第四方面,提供了一种处理器,所述处理器用于运行程序,其中,所述程序运行时执行上述第一方面的可疑外连的检测方法。
[0016]借由上述技术方案,本专利技术提供的一种可疑外连的检测方法及装置,是在对来源于外连的流量数据进行检测时,基于多维度检测对待检测流量进行检测,且在所应用的多
维度检测中至少含有一个利用历史数据进行特征流行度检测的维度,而每个维度有具有多项的特征检测,以此获取待检测流量中各项特征在不同维度下的检测结果以及指定特征的流行度检测结果,根据对多维度检测中各项特征的检测结果,将属于同一外连的流量所对应的目标检测结果提取并关联,再根据对多维度检测中特征检测的项数结合目标检测结果来确定外连流量的可疑程度,进而可以将高可疑的外连流量交由人工分析,以确定该外连是否可疑。通过本专利技术提供的可疑外连检测方案,一方面可以从多个维度对未知的外连流量进行特征检测,以丰富对外连流量检测的数据来源,另一方面可以基于历史数据对未知的外连流量中的特征流行度进行检测,以摆脱基于现有样本分析的依赖,进而大大提升对未知外连流量的可疑性,从而提高检测可疑外连的准确率。
[0017]上述说明仅是本专利技术技术方案的概述,为了能够更清楚了解本专利技术的技术手段,而可依照说明书的内容予以实施,并且为了让本专利技术的上述和其它目的、特征和优点能够更明显易懂,以下特举本专利技术的具体实施方式。
附图说明
[0018]通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本专利技术的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
[0019]图1示出了本专利技术实施例提供的一种可疑外连的检测方法流程图;
[0020]图2示出了本专利技术实施例提供的另一种可疑外连的检测方法流程图;
[0021]图3示出了本专利技术实施例提供的一种可疑外连的检测装置的组成框图;
[0022]图4示出了本专利技术实施例提供的另一种可疑外连的检测装置的组成框图。
具体实施方式
[0023]下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
[0024]随着网络技术的发展,越来越多的黑客利用远程控制木马等手段远程操纵被控主机,以窃取企业中有价值的信息,其中,中小企业更容易成为被攻击的对象,而一旦面临攻击,不管是来自黑客攻击、内部商业信息泄露亦或是来自自然灾害的侵害,其所造成损失都相当惨重。因此,一次严重的网络安全事故,可能就让抗风险能力较低的中小企业,面临关门的风险。而对于企业在面对上述情况时,其所能够采用的检测方式通常是从指定的单一角度出发,设置一些检测规则对流量数据进行检测,但这些检测规则大多是基于已知的现有样本而设计的,其难以发现新的未知威胁,且由于检测方案的数据来源单一,更导致了检测可疑外连的准确率较低。为此,本专利技术实施例提供了一种可疑外连的检测方法,通过该方法能够及时发现未知的可疑外连并判断其可疑程度,从而提升对可疑外连检测的准确率,其具体执行步骤如图1所示,包括:
[0025]101、基于多维度检测对待检测流量进行检测。
[0026]其中,多维度检测中至少含有一个利用历史数据进行特征流行度检测的维度,且
每个维度具有多项的特征检测。
[0027]在本步骤中,待检测流量是在不同设备间发生数据交互时产生的,具体可以通过数据包等形式进行发送和接收,具体的,待检测流量可以为一个或多个,其中,一个待检测流量是指由同一设备发出的一个数据包或多个数据包组成的数据集合,多个待检测流量是指由多个不同设备发出的一个数据包或多个数据包组成的数据集合,数据包可以理解为由单个消息划分的多个数据块,每个数据块中都包含发送者和接收者的地址信息,其从源IP沿着不同的路径在一个或多个网络中传输,并且在目的IP重新组合。
[0028]而针对于待检测流量的多维度检测是指基于多个维度分别对待检测流量中的各项特征进行检测,即在每个维度中分别设置与待检测流量中各项特征相对应的特征检测项,并通过特征检测项对指定的特征进行检测,其中,在每个维度中特征检测项可以根据待检测流量中的各项特征进行匹配设置,具体的,多维度检测可以包括但不限于:流量维度检测、进程维度检测、用户行为维度等,例如,在流量维度中包括但不限于:流量特征检测、DNS特征检测、心跳检测、流量流行度检测、流量IOC检测等,在进程维度中包括但不限于:进程特本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种可疑外连的检测方法,其特征在于,所述方法包括:基于多维度检测对待检测流量进行检测,所述多维度检测中至少含有一个利用历史数据进行特征流行度检测的维度,且每个维度具有多项的特征检测;根据对所述多维度检测中各项特征的检测结果,提取属于同一外连流量的目标检测结果;根据所述多维度检测中特征检测的项数以及所述目标检测结果确定所述外连流量的可疑程度。2.根据权利要求1所述的方法,其特征在于,所述方法还包括:根据所述待检测流量获取对应的日志信息;基于所述日志信息的类别确定所述多维度检测中的对应维度。3.根据权利要求2所述的方法,其特征在于,所述日志信息的类别至少包括流量日志、进程日志、用户行为日志中的至少一种,所述方法还包括:设置各维度对应的特征检测项,其中,对于流量日志维度的特征检测项至少包括源IP、目的IP以及域名的流行度检测,对于进程日志维度的特征检测项至少包括进程哈希值的流行度检测,对于用户行为日志维度的特征检测项至少包括异常行为检测。4.根据权利要求1所述的方法,其特征在于,在提取属于同一外连流量的目标检测结果之后,所述方法还包括:获取所述外连流量的检测特征,所述检测特征为所述多维度检测含有的特征之外的特征;利用预设的专家规则对所述检测特征与目标检测结果进行匹配,所述专家规则是基于恶意外连样本所具有的特征而设置的匹配规则;若匹配成功,则确定所述外连流量为恶意外连流量,生成报警信息。5.根据权利要求4所述的方法,其特征在于,在匹配失败时,所述方法还包括:利用预设规则判断所述外连流量...
【专利技术属性】
技术研发人员:李云龙,谭学士,陈祚松,
申请(专利权)人:网神信息技术北京股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。