[发明专利]一种恶意外连流量检测方法及装置

说明书

本发明实施例公开了一种恶意外连流量检测方法及装置，方法包括：根据若干个恶意样本流量计算得到相似度矩阵；根据层次聚类算法和所述相似度矩阵将所述若干个恶意样本流量划分为各个类；根据各个类生成对应的恶意外连流量模板；分别计算待检测流量与各个恶意外连流量模板的相似度，并根据计算得到的相似度和相似度阈值，确定所述待检测流量是否为恶意外连流量。本发明实施例通过计算相似度矩阵生成恶意外连流量模板，既能够获取多种恶意外连流量的特征，又方便后续对待检测流量进行计算和匹配，以有效区分恶意外连流量与普通白流量，大大减少了误告。

技术领域

本发明实施例涉及网络安全技术领域，具体涉及一种恶意外连流量检测方法及装置。

背景技术

随着网络技术的发展，越来越多的黑客利用远程控制木马等手段远程操纵被控主机，为了向远程被控主机发送命令，被控主机一定会有与外部服务器的连接过程。该恶意外连行为产生的流量即为恶意外连流量。

现有检测恶意外连流量的方法主要包括两种：第一种为根据黑名单过滤恶意域名, 即根据安全从业者整理的恶意网站列表，直接将访问恶意网站的流量判黑；第二种为基于特征检测恶意外连流量，即通过安全从业人员分析提取恶意外连流量特征，根据特征匹配恶意外连流量。

在实现本发明实施例的过程中，发明人发现现有的基于黑名单过滤的方法只能识别连接已知恶意网站时的恶意外连流量，对于域名变化没有任何感知；基于特征检测的方法需要安全从业人员逐一分析样本，需要消耗较大的人力，并且难以检测变种的恶意外连流量。

发明内容

由于现有方法存在上述问题，本发明实施例提出一种恶意外连流量检测方法及装置。

第一方面，本发明实施例提出一种恶意外连流量检测方法，包括：

根据若干个恶意样本流量计算得到相似度矩阵；

根据层次聚类算法和所述相似度矩阵将所述若干个恶意样本流量划分为各个类；

根据各个类生成对应的恶意外连流量模板；

分别计算待检测流量与各个恶意外连流量模板的相似度，并根据计算得到的相似度和相似度阈值，确定所述待检测流量是否为恶意外连流量。

可选地，所述根据若干个恶意样本流量计算得到相似度矩阵，具体包括：

将各恶意样本流量划分为若干个预设字段，根据预设字符对每个字段的目标字符进行泛化处理，得到各处理后流量；

根据恶意样本的数量建立矩阵，计算矩阵中每个恶意样本流量与对应的恶意样本流量的相似度，得到相似度矩阵。

可选地，所述根据恶意样本的数量建立矩阵，计算矩阵中每个恶意样本流量与对应的恶意样本流量的相似度，得到相似度矩阵，具体包括：

根据恶意样本的数量建立矩阵，计算矩阵中每个恶意样本流量与对应的恶意样本流量的若干个局部相似度和各局部相似度对应的动态权重；其中，所述动态权重根据预设字段的特异性计算得到；

根据若干个局部相似度和对应的动态权重，计算得到每个恶意样本流量与对应的恶意样本流量的相似度，得到相似度矩阵。

可选地，所述若干个局部相似度包括：统一资源定位符URL相似度、URL级数相似度、URL参数相似度、用户代理user-agent相似度、请求头相似度、目的IP相似度、请求方法相似度和URL后缀相似度。

可选地，所述分别计算待检测流量与各个恶意外连流量模板的相似度，并根据计算得到的相似度和相似度阈值，确定所述待检测流量是否为恶意外连流量，具体包括：