【技术实现步骤摘要】
本公开的实施例涉及恶意行为检测,具体地,涉及适用于一种网络敏感应用通联行为检测方法、装置、设备和介质。
技术介绍
1、随着互联网技术的不断发展,网民数量也在不断增加,网络空间安全问题也越来越受到人们的关注。目前随着越来越多的网络通信采用了流量加密技术,尤其是以tor、ssl、vpn等为代表的加密应用得到了广泛应用,然而加密流量技术的快速应用也在改变着网络安全威胁的形势,网络攻击者开始利用加密技术隐藏恶意网络应用攻击路径和攻击痕迹,许多恶意软件被隐藏在传输层安全协议流量中传输恶意消息,对网络安全造成严重威胁。因此通过对网络敏感加密应用的通联行为进行检测和识别,对维护网络安全稳定有着重要的意义。
2、相关技术中,主要基于常见的机器学习算法构建网络敏感应用通联行为检测模型,通过随机提取敏感应用行为的部分流量数据,借助机器学习算法模型输出的检测结果直接判断该网络敏感应用通联行为是否具有一定的恶意性或危害性。
3、然而,现有方法中所提取的敏感应用行为流量数据无法完全刻画出网络敏感应用通联行为的真实意图,得出的检测结论较为笼统,存在一定的判断偏差,导致检测效率低下。
技术实现思路
1、本文中描述的实施例提供了一种网络敏感应用通联行为检测方法、装置、设备和介质,克服了上述问题。
2、第一方面,根据本公开的内容,提供了一种网络敏感应用通联行为检测方法,包括:
3、检测通信网络中是否存在敏感应用通联行为;
4、若检测出所述通信网络中存在所述
5、从所述敏感应用通联行为的加密通联流量数据中获取对应的通联五元组数据,所述通联五元组数据用于描述源ip地址关联的流量数据、目标ip地址关联的流量数据、加密协议关联的流量数据、源端口号关联的流量数据和目标端口号关联的流量数据;
6、将所述通联五元组数据输入目标检测模型中,基于所述目标检测模型的输出结果确定所述敏感应用通联行为的恶意检测结果;
7、其中,所述敏感应用通联行为的恶意检测结果用于描述所述敏感应用通联行为是否属于恶意通联行为。
8、可选的,所述检测通信网络中是否存在敏感应用通联行为,包括:
9、获取网络应用通联信息,所述网络应用通联信息中包括:通联节点应用和应用通联状态,所述应用通联状态用于描述所述通联节点应用当前是否存在通联行为;
10、若所述通联节点应用的应用通联状态表示所述通联节点应用存在通联行为,则获取所述通联节点应用的应用类型;
11、若所述通联节点应用的应用类型为敏感应用类,则确定所述通信网络中存在所述敏感应用通联行为;
12、若所述通联节点应用的应用类型为非敏感应用类,则确定所述通信网络中不存在所述敏感应用通联行为。
13、可选的,所述将所述通联五元组数据输入目标检测模型中,基于所述目标检测模型的输出结果确定所述敏感应用通联行为的恶意检测结果之前,还包括:
14、获取历史应用通联行为的样本通联流量数据;
15、对所述历史应用通联行为的所述样本通联流量数据进行数据预处理,得到目标通联流量数据;
16、基于所述目标通联流量数据对预设网络模型进行训练,得到所述目标检测模型;
17、其中,所述预设网络模型中包括:第一网络分支和第二网络分支,所述第一网络分支中包括多个基分类器,每个所述基分类器基于输入的应用通联流量数据输出所述应用通联流量数据对应的应用通联行为的初始检测结果,所述第二网络分支用于从所述应用通联行为的多个初始检测结果中确定所述应用通联行为的最终检测结果。
18、可选的,所述对所述历史应用通联行为的所述样本通联流量数据进行数据预处理,得到目标通联流量数据,包括:
19、从所述历史应用通联行为的所述样本通联流量数据中获取样本加密流量数据;
20、对所述样本加密流量数据进行五元组数据提取操作,得到样本五元组数据,所述五元组数据提取操作用于从所述样本加密流量数据中提取得到所述源ip地址关联的流量数据、所述目标ip地址关联的流量数据、所述加密协议关联的流量数据、所述源端口号关联的流量数据和所述目标端口号关联的流量数据;
21、对所述样本五元组数据进行数据异常处理,得到所述目标通联流量数据。
22、可选的,所述对所述样本五元组数据进行数据异常处理,得到所述目标通联流量数据,包括:
23、若确定所述样本五元组数据中存在预设异常数据,则基于所述预设异常数据在第一预设数据范围内的相邻流量数据对所述预设异常数据进行数据更新;
24、若确定所述样本五元组数据中预设数据位置处存在缺失数据,则基于所述预设数据位置对应于第二数据范围内的相邻流量数据,对所述预设数据位置进行数据填充。
25、可选的,所述基于所述目标通联流量数据对预设网络模型进行训练,得到所述目标检测模型,包括:
26、将所述目标通联流量数据分别输入所述第一网络分支中的每个所述基分类器中,得到所述历史应用通联行为的多个初始检测结果;
27、将所述历史应用通联行为的多个初始检测结果输入所述第二网络分支中,得所述历史应用通联行为的最终检测结果;
28、基于所述历史应用通联行为的最终检测结果与所述历史应用通联行为的期望检测结果之间的损失值,对所述第一网络分支中每个所述基分类器进行训练,得到所述目标检测模型。
29、可选的,还包括:
30、获取所述敏感应用通联行为的恶意检测结果;
31、若所述敏感应用通联行为的恶意检测结果表示所述敏感应用通联行为属于恶意通联行为,则向所述敏感应用通联行为对应的应用设备发送行为预警提示。
32、第二方面,根据本公开的内容,提供了一种网络敏感应用通联行为检测装置,包括:
33、检测模块,用于检测通信网络中是否存在敏感应用通联行为;
34、第一获取模块,用于若检测出所述通信网络中存在所述敏感应用通联行为,则获取所述敏感应用通联行为的加密通联流量数据;
35、第二获取模块,用于从所述敏感应用通联行为的加密通联流量数据中获取对应的通联五元组数据,所述通联五元组数据用于描述源ip地址关联的流量数据、目标ip地址关联的流量数据、加密协议关联的流量数据、源端口号关联的流量数据和目标端口号关联的流量数据;
36、确定模块,用于将所述通联五元组数据输入目标检测模型中,基于所述目标检测模型的输出结果确定所述敏感应用通联行为的恶意检测结果;
37、其中,所述敏感应用通联行为的恶意检测结果用于描述所述敏感应用通联行为是否属于恶意通联行为。
38、第三方面,提供了一种计算机设备,包括存储器和处理器,存储器中存储有计算机程序,处理器执行计算机程序时实现如以上任意一个实施例中网络敏感应用通联行为检测方法的步骤。<本文档来自技高网...
【技术保护点】
1.一种网络敏感应用通联行为检测方法,其特征在于,包括:
2.根据权利要求1所述的方法,其特征在于,所述检测通信网络中是否存在敏感应用通联行为,包括:
3.根据权利要求1所述的方法,其特征在于,所述将所述通联五元组数据输入目标检测模型中,基于所述目标检测模型的输出结果确定所述敏感应用通联行为的恶意检测结果之前,还包括:
4.根据权利要求3所述的方法,其特征在于,所述对所述历史应用通联行为的所述样本通联流量数据进行数据预处理,得到目标通联流量数据,包括:
5.根据权利要求4所述的方法,其特征在于,所述对所述样本五元组数据进行数据异常处理,得到所述目标通联流量数据,包括:
6.根据权利要求3所述的方法,其特征在于,所述基于所述目标通联流量数据对预设网络模型进行训练,得到所述目标检测模型,包括:
7.根据权利要求1所述的方法,其特征在于,还包括:
8.一种网络敏感应用通联行为检测装置,其特征在于,包括:
9.一种计算机设备,其特征在于,包括存储器和处理器,存储器中存储有计算机程序,处理器执行
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,计算机程序被处理器执行时实现如权利要求1~7中任一所述的网络敏感应用通联行为检测方法。
...【技术特征摘要】
1.一种网络敏感应用通联行为检测方法,其特征在于,包括:
2.根据权利要求1所述的方法,其特征在于,所述检测通信网络中是否存在敏感应用通联行为,包括:
3.根据权利要求1所述的方法,其特征在于,所述将所述通联五元组数据输入目标检测模型中,基于所述目标检测模型的输出结果确定所述敏感应用通联行为的恶意检测结果之前,还包括:
4.根据权利要求3所述的方法,其特征在于,所述对所述历史应用通联行为的所述样本通联流量数据进行数据预处理,得到目标通联流量数据,包括:
5.根据权利要求4所述的方法,其特征在于,所述对所述样本五元组数据进行数据异常处理,得到所述目标通联流量数据,...
【专利技术属性】
技术研发人员:俞赛赛,谭震,乌吉斯古楞,刘晓影,夏建民,刘文翰,王淮,王玥,陈静,
申请(专利权)人:中国电子科技集团公司第十五研究所,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。