【技术实现步骤摘要】
本专利技术涉及网络安全,具体为一种机器学习的云平台木马检测方法及系统。
技术介绍
1、随着云计算技术的高速发展,在大量信息化应用与信息资源丰富的同时,出现了越来越多的恶意攻击者安置的陷阱,如木马。此木马代码量较少,且极易伪装或隐藏在合法的应用程序中,这些木马有些是为了执行一些恶意程序,有些是为了非法获取权限为应用程序设置一些特殊后门。木马一旦执行,将会触发一些特定的事件,如窃取用户隐私数据信息,窃取云平台商业机密资料。近年来,木马在云平台中广泛传播,给云平台的安全造成了严重的威胁与巨大的经济损失。尤其是近几年,远程办公、远程会议、远程控制已成常态,这促使了各类远控木马的快速发展,其能够窃取系统存储的文件资料、远程监控用户桌面,修改进程等。
2、现阶段针对木马的检测,主要是依据木马文件的结构化特征或动态行为沙箱来进行识别。但随着木马的变形、衍生,现有的网络安全检查系统无法准确识别到高隐蔽性、多变性的木马。另外,针对一些远程木马而言,即便检测到木马,也很可能已经出现了隐私数据、商业机密数据的泄露现象。
3、常规的云平台木马检测方法主要有如下几类:
4、静态结构分析,通过检查源代码或二进制文件,根据木马特征库来匹配分析,是一种静态检测方法,由于木马变形,种类繁多,其静态代码结构特征数量理论上是没有上限的,因此,这种方法的特征库需要不断的扩展,以适配新增木马类型的检测,且难以发现未知类型的木马。
5、动态行为分析,通过运行木马程序来检测。在动态检测期间,测试人员通过沙箱对应用程序运行状态进
技术实现思路
1、本专利技术的目的在于提供一种机器学习的云平台木马检测方法及系统,以解决上述
技术介绍
中提出的问题。
2、为实现上述目的,本专利技术提供如下技术方案:一种机器学习的云平台木马检测方法,所述方法包括以下步骤:
3、建模、训练并验证:构建基于并行化的随机森林检测模型,使用训练数据进行模型训练,并通过验证数据验证模型的准确性和有效性;
4、网络流量数据获取:实时获取云平台中的网络流量数据,包括正常流量和异常流量,并将数据以流量日志形式存储;
5、特征提取:从网络流量数据中提取会话信息,包括会话六元组和传输特征;
6、并行化随机森林检测:利用并行化技术,将随机森林模型中的决策树构建和分类过程并行化,以提高检测效率;
7、木马识别与告警:通过并行化随机森林检测模型对提取的特征进行分类,识别出木马流量,并生成相应的告警信息。
8、优选的,六元组包括:源ip、目的ip、源端口、目的端口、传输协议、采集时间;
9、传输特征包括:应用类型、url、协议类型、传输的字节数、数据流向、采集时间。
10、优选的,并行化随机森林检测模型的构建包括:
11、创建多个决策树,并将这些决策树的构建任务分配给多个并行进程;
12、每个并行进程独立构建部分决策树,并将构建完成的决策树返回给主进程;
13、主进程将各并行进程返回的决策树整合成完整的随机森林模型。
14、优选的,并行化随机森林检测过程中的分类步骤包括:
15、将测试数据分割成多个部分,并将每部分数据分配给不同的并行分类进程;
16、每个并行分类进程使用随机森林模型中的决策树对分配到的测试数据进行分类,并返回分类结果;
17、主进程将各并行分类进程返回的分类结果整合成完整的分类结果列表。
18、优选的,还包括以下步骤:
19、迭代训练:对于不满足检测要求的模型,继续进行迭代训练,直至模型满足检测要求;
20、模型验证:在测试样本数据集上对模型进行验证,确保模型的检测性能、查准率、查全率指标达到预定标准;
21、木马指纹库更新:将检测到的木马信息纳入木马指纹库,并根据未知木马的特征在特征库中创建新分类。
22、一种机器学习的云平台木马检测系统,所述系统包括以下模块:
23、数据获取模块,用于从云平台网络环境中获取网络流量数据;
24、特征提取模块,用于从获取的网络流量数据中提取会话六元组、会话时序特征和传输特征;
25、并行化随机森林检测模型,用于对提取的特征进行并行化处理,并基于处理结果检测木马;
26、告警模块,用于在检测到木马时生成告警信息;
27、模型调优模块,用于定期对并行化随机森林检测模型进行调优,以提高木马检测能力。
28、优选的,并行化随机森林检测模型包括多个决策树,每个决策树通过并行化方式独立构建,并通过投票机制确定最终分类结果,以提高检测效率和准确性。
29、优选的,特征提取模块具体包括:
30、会话信息抽取单元,用于从网络流量中提取会话六元组数据;
31、时序特征提取单元,用于从数据包序列中提取时序特征;
32、传输特征提取单元,用于从网络流量中提取应用类型、url、协议类型、传输字节数等传输特征。
33、优选的,并行化随机森林检测模型的构建方法包括:
34、划分多个子进程,每个子进程独立构建部分决策树;
35、将各子进程构建的决策树合并成完整的随机森林;
36、分配测试数据到各子进程进行并行化分类处理,并汇总分类结果。
37、优选的,还包括:
38、迭代训练模块,用于在并行化随机森林检测模型不满足检测要求时,对模型进行迭代训练;
39、验证模块,用于在测试集上验证模型的检测效果,包括检测性能、查准率和查全率,并根据验证结果调整模型参数;
40、木马指纹库更新模块,用于将检测到的已知木马信息纳入木马指纹库,并根据未知木马的特征在特征库中创建新分类。
41、与现有技术相比,本专利技术的有益效果是:
42、本专利技术提出的机器学习的云平台木马检测方法及系统,利用木马的时间序列特征,实现对木马的及时、准确检测,保证了云平台网络空间态势的安全性,有效避免了各类隐私信息、商业机密数据泄露事件的发生,保护了云平台中的数据资产。
本文档来自技高网...【技术保护点】
1.一种机器学习的云平台木马检测方法,其特征在于:所述方法包括以下步骤:
2.根据权利要求1所述的一种机器学习的云平台木马检测方法,其特征在于:六元组包括:源IP、目的IP、源端口、目的端口、传输协议、采集时间;
3.根据权利要求1所述的一种机器学习的云平台木马检测方法,其特征在于:并行化随机森林检测模型的构建包括:
4.根据权利要求1所述的一种机器学习的云平台木马检测方法,其特征在于:并行化随机森林检测过程中的分类步骤包括:
5.根据权利要求1所述的一种机器学习的云平台木马检测方法,其特征在于:还包括以下步骤:
6.一种根据权利要求1-5任意一项所述的机器学习的云平台木马检测方法的机器学习的云平台木马检测系统,其特征在于:所述系统包括以下模块:
7.根据权利要求6所述的一种机器学习的云平台木马检测系统,其特征在于:并行化随机森林检测模型包括多个决策树,每个决策树通过并行化方式独立构建,并通过投票机制确定最终分类结果,以提高检测效率和准确性。
8.根据权利要求6所述的一种机器学习的云平台木马检测系
9.根据权利要求6所述的一种机器学习的云平台木马检测系统,其特征在于:并行化随机森林检测模型的构建方法包括:
10.根据权利要求6所述的一种机器学习的云平台木马检测系统,其特征在于:还包括:
...【技术特征摘要】
1.一种机器学习的云平台木马检测方法,其特征在于:所述方法包括以下步骤:
2.根据权利要求1所述的一种机器学习的云平台木马检测方法,其特征在于:六元组包括:源ip、目的ip、源端口、目的端口、传输协议、采集时间;
3.根据权利要求1所述的一种机器学习的云平台木马检测方法,其特征在于:并行化随机森林检测模型的构建包括:
4.根据权利要求1所述的一种机器学习的云平台木马检测方法,其特征在于:并行化随机森林检测过程中的分类步骤包括:
5.根据权利要求1所述的一种机器学习的云平台木马检测方法,其特征在于:还包括以下步骤:
6.一种根据权利要求1-5任意一项所述的机器...
【专利技术属性】
技术研发人员:岳震,徐士强,李聪,杜鹏飞,宋宏超,滕佳黎,
申请(专利权)人:浪潮云信息技术股份公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。