[发明专利]一种基于进程行为分析的恶意加密信道检测方法

权利要求书

1.一种基于进程行为分析的恶意加密信道检测方法，其特征在于，包括步骤如下：

步骤1：加密会话流量数据采集与进程归类；具体包括：

1.1：加密流量数据采集；

1.2：加密流量数据预处理；

1.3：进程归类；

步骤2：进程文件加密通讯行为特征树建构；具体是指：求取加密会话的元特征、TCP段负载长度序列特征以及SSL消息状态转换特征，并建构加密会话的元特征即IP层、TCP段负载长度序列特征即TCP层以及SSL消息状态转换特征即SSL记录层的三层次特征树；

步骤3：基于特征树的异常检测；具体包括：

3.1：采集正常加密通讯行为数据；

3.2：正常加密通讯行为基准建构；

3.3：目标PEF加密通讯行为模型建构；

3.4：特征树间相异度计算；

3.5：基于阈值的异常检测；

求取加密会话的元特征，具体包括步骤如下：

元特征分为四个维度,包括：

当天进程文件建立加密会话中发送/接收的总IP数据包个数；

当天进程文件建立加密会话中发送/接收的总IP数据包负载字节数；

当天进程文件建立加密会话中发送/接收的IP数据包速率；

当天进程文件建立加密会话中发送/接收的IP数据包负载字节速率；

其中，IP数据包负载指的是IP头部字段中，采用[Total Length]字段的数值减去[Header Length]字段的数值；

发送/接收的IP数据包速率V_Packet、发送/接收的IP数据包负载字节速率V_Bytes的求取公式分别如式(1a)、式(1b)所示：

式(1a)、式(1b)中，Packet_Counts是指当天所有加密会话发送/接收的数据包总数，Sesstion_Time_Total是指当天加密会话总持续时间；Bytes_Counts是指当天所有加密会话发送/接收的数据包负载长度之和；

对四类加密会话流元特征，分别计算最大值Max、最小值Min、平均值Mean与标准差Std四项统计数值，最终对于某天某个进程文件的所有加密会话流提取下述共计32个元特征：发送的总IP数据包个数的最大值Max、最小值Min、平均值Mean与标准差Std；接收的总IP数据包个数的最大值Max、最小值Min、平均值Mean与标准差Std；发送的总IP数据包负载字节数的最大值Max、最小值Min、平均值Mean与标准差Std；接收的总IP数据包负载字节数的最大值Max、最小值Min、平均值Mean与标准差Std；发送的IP数据包速率的最大值Max、最小值Min、平均值Mean与标准差Std；接收的IP数据包速率的最大值Max、最小值Min、平均值Mean与标准差Std；发送的IP数据包负载字节速率的最大值Max、最小值Min、平均值Mean与标准差Std；接收的IP数据包负载字节速率的最大值Max、最小值Min、平均值Mean与标准差Std；

求取TCP段负载长度序列特征，具体包括步骤如下：

选定某段时间内，某个网络进程文件PEF，针对该时间段内其建立的所有通信进程集合{PID_i,i＝1,2...,P}与其建立的加密会话集合{Session_ij,i＝1,2...P,j＝1,2..S_i}，P为PEF当天建立的通讯进程总数，S_i为PID_i创建的加密会话总数，执行下述操作：

2.1：提取所有加密会话的有向段负载长度序列

2.1.1：针对PID_i创建的每个加密会话Session_ij，去除无效数据包即[TCP SegmentLen]字段数值等于0的数据包，剩余的数据包标记为Session_ij的有效数据包；

2.1.2：从Session_ij的有效数据包中选择前CntS_ij个，得到子序列Seg_SubSeq_ij，其中CntS_ij为Session_ij中去除无效数据包后，剩余数据包个数的一半与整数CntST的最小值；

2.1.3：从Seg_SubSeq_ij中每个数据包的TCP协议头部读取[TCP Payload]字段数值，并根据数据传输方向添加+或-，其中+可省略，+表示内部向外部传输数据，-表示内部接收到外部发送的数据；

通过步骤2.1，针对进程文件PEF创建的所有{PIDi,i＝1,2,3..P}关联的加密会话集合{Session_ij,i＝1,2..P,j＝1,2..S_i}，得到任一加密会话Session_ij的TCP有向段负载序列集合{DSPS_ij}

2.2：K阶子序列及权重计算

2.2.1：设定k＝1,2...K，其中K为预设值，K为需要统计比较的连续负载子序列的长度或子序列阶数；

2.2.2：统计该PEF建立的所有{PID_i}对应的{Session_ij}中提取的{DSPS_ij}中，任一连续k阶子序列SubSeq_kt在所有{Session_ij,t}中出现的总次数Cnt_SubSeq_kt，然后与{Session_ij}中的会话总数Cnt_Session相除计算得到该k阶子序列SubSeq_kt在相关加密会话中的出现频率，并定义为该k阶连续子序列的权重Weight_kt；

2.2.3：通过步骤2.2.2，遍历{DSPS_ij}中所有k阶子序列，计算其权重，得到最终PEF在第k阶分支上的k阶子序列上的权重特征，对于特定的k阶分支SegPayload_k而言，其分支特征形式为：(SubSeq_k1,Weight_k1)，(SubSeq_k2,Weight_k2)，...，(SubSeq_{kCnt_k},Weight_{kCnt_k})，Cnt_k表示进程文件的{DSPSij}中所有k阶子序列总数；

子序列权重Weight_kq通过统计{DSPS_ij}中每个SubSeq_kq出现的次数，然后计算其所占会话总数Cnt_Session比例求得，具体求取公式如式(2)所示：

2.2.4：按照k＝1,2...K的顺序，逐个计算k阶子序列的权重，并最终得到PEF的TCP段负载长度序列特征，PEF的TCP段负载长度序列特征以树结构组织展现；

求取SSL消息状态转换特征，具体是指：

2.3.1：针对特定进程文件的通讯进程{PID_i}关联的加密会话集合{Session_ij}，提取TLS协议部分中的[Content Type]，并按顺序记录得到SSL消息状态序列SSL_State_Seq_ij；

2.3.2：重复步骤2.3.1，得到当天PEF的所有加密会话{Session_ij}的SSL消息状态序列集合{SSL_State_Seq_ij}；

2.3.3：根据{SSL_State_Seq_ij}计算对应的Markov转换概率矩阵，其方法为：

以12个SSL记录状态作为行和列，建立12×12的方阵Matrix_SSL＝{TP_ij,i＝0,2...11,j＝0,2..11}；

TP_ij表示{SSL_State_Seq_ij}中，CT_i之后紧接着出现CT_j状态的概率，该概率通过计算[CT_i,CT_j]在所有的[CT_i,CT_*]的状态二阶子序列中出现的频率得到，求取公式如式(3)所示：

其中CT_*表示任意12个SSL记录状态之一，Cnt([CT_i,CT_t])表示统计状态序列[CT_i,CT_t]在{Session_ij}中出现的总次数；

2.3.4：将Markov转换矩阵Matrix_SSL的矩阵元素按照行顺序，由左至右、由上至下写作单一行向量形式，并以此作为进程文件PEF在该天的累积SSL消息状态转换特征，具体形式为：[TP_0,0,TP_0,1,...TP_0,11,TP_1,0,...TP_1,11,...TP_i,j,...TP_11,0,...TP_11,11]，i,j＝0,1,2...11；

步骤3.1中，采集正常加密通讯行为数据，具体是指：

3.1.1:系统安装启用后，仅安装业务相关的正版软件；

3.1.2:针对新安装的、非系统默认的所有软件提交到VirusTotal在线检测，去除存在恶意风险的软件；

3.1.3:选择系统安装启用后的N天，正常使用相关业务软件，采集加密会话流量，并通过步骤1所述加密会话流量数据采集与进程归类后，保存为Normal_ETA数据，作为正常加密通讯行为基准数据；

步骤3.2中，正常加密通讯行为基准建构，选定特定的终端C，将对终端C在N天中的加密通讯特征采取平均化处理，得到反映其总体行为模式的、单日代表性特征；针对Normal_ETA数据中涉及的网络通讯进程文件集合{PEFc,c＝1,2...Q_c}，其中Q_c表示终端C上在N天内运行的进程文件数量，对每个PEF_c执行下述操作：

3.2.1：通过步骤2提取Normal_ETA数据中每一天的三层次特征树模型，共得到N个特征树序列{FeatTree_t,t＝1,2,..N}；

3.2.2：提取{FeatTree_t,t＝1,2,..N}每个特征树第一层即IP层的特征，即针对IP层分析的加密会话流元特征行向量，组成新的矩阵Matrix_Meta＝{MM_ij,i＝1,2..N,j＝1,2...32}，计算Matrix_Meta中每个列向量的算术平均值，得到新的平均值行向量FlowMeta_Mean，以此作为单日加密通讯行为基准特征树的第一层分支特征，具体计算如式(4)所示，其中表示第j列均值；

3.2.3：提取{FeatTree_t,t＝1,2,..N}每个特征树第二层即TCP层的分支子树，即针对TCP层分析的段负载长度序列特征子树，针对所有k阶子序列，k＝1,2..K，

首先，选择第k阶子序列的并集，构成第k阶子序列单日子序列集合；

其次，计算第k阶子序列单日子序列集合在{FeatTree_t,t＝1,2,..N}中每个特征树第二层分支上标记的权重之和，并对N天取算术平均值，以此作为单日加密通讯行为基准特征树的第二层分支的第k阶特征其计算公式如式(5)所示：

其中，子序列的阶数k采用上标标识，对于任一SubSeq^k_i，一定存在某个特征树FeatTree_j，使得其k阶段负载长度序列分支SegPayload^k_j中包含k阶序列SubSeq^k_i，针对k＝2,3..K的所有阶数子序列执行步骤3.2.3，得到融合后的TCP段负载序列长度单日代表性特征；

3.2.4：针对SSL记录层的状态转换特征向量，提取{FeatTree_t,t＝1,2,..N}每个特征树第三层即SSL记录层的分支特征，组成新的矩阵Matrix_SSL＝{MS_ij,i＝1,2..N,j＝1,2...144}，计算Matrix_SSL中每个列向量的算术平均值，得到新的平均值行向量SSLType_Mean，以此作为单日加密通讯行为基准特征树的第三层分支特征，其计算公式如式(6)所示：

其中表示第j列均值；对应行元素求和后取平均值，得到Normal_ETA的平均特征树的第三层分支向量SSLType_Mean；

最终针对{PEF_c}中所有的进程文件，重复上述步骤3.2.1至步骤3.2.4，得到所有PEF_c的N天内的单日代表特征树集合将其所有单日代表特征树的集合，作为正常加密通讯行为基准；

步骤3.3中，目标PEF加密通讯行为模型建构，具体是指：

通过步骤2，针对特定天的终端上运行的PEF_T提取其层次化特征树FeatTree_T，并将其作为与集合比较对象；

步骤3.4中，特征树间相异度计算，具体是指：

设定得到待分析进程文件的特征树TreeT与正常加密通讯行为基准TreeSet_N＝{Tree_i,i＝1,2..M}，Tree_T与{Tree_i,i＝1,2..M}的相异度计算过程具体如下：

3.4.1:IP层加密会话流的元特征相异度计算

①提取Tree_T第一层分支特征，与{Tree_i,i＝1,2..M}中每个特征树的第一层分支特征共同组成第一分支矩阵Matrix_1；

②对Matrix_1进行列归一化，将Matrix_1的元素数值映射到[0,1]之间，如式(7)所示：

其中，x表示任一列向量中元素，x_min表示该列最小值，x_max表示该列最大值：

归一化后得到新的矩阵Matrix_1_maxmin，其中第一个行向量表示归一化后的Tree_T的第一分支特征；依次计算Matrix_1_maxmin中第一行与其余M个行向量的L2范式距离，如式(8)所示：

通过式(8)，得到Tree_T在第一分支维度与{Tree_i,i＝1,2..M}中所有成员的距离序列DisLst₁＝{dis_T,i|i＝1,2...M}；

计算距离序列DisLst₁的算术或几何均值，作为Tree_T与{Tree_i,i＝1,2..M}的第一分支相异度DV1即IP层加密会话流的元特征相异度；

3.4.2:TCP层段负载长度序列相异度计算

③提取Tree_T与TreeSet_N中每个特征树对应的第二层分支子树，得到针对第二层分支子树的新集合SubTreeSet₂，此时其中的第一个子树SubTree_T依旧表示待分析Tree_T的第二层子树；

④依次计算SubTree_T相对于任一SubTree_i的相异度，其中SubTree_i∈SubTreeSet₂，但是SubTree_i≠SubTree_T，具体方法为：

选定SubTree_T与任一SubTree_i；

选取SubTree_T中第一个第k阶子序列SubSeq_k1，遍历某个SubTree_i中的所有k阶子序列，若匹配存在，则取二者最小权重为匹配权重，即Wetmatch_k1＝min{Weight_T,k1,Weight_i,k1}；若未能成功匹配，则跳过该子序列SubSeq_k1；

读取第二个第k阶子序列执行步骤④，直至所有k阶子序列均匹配完成；

基于匹配完成的所有k阶子序列及其匹配支持度，计算加权和SV_2K作为SubTree_T与SubTree_i的在所有k阶子序列上的相异度，如式(9)所示：

式(9)中，K表示分析的子序列阶数最大值，k表示特定的阶数，k阶子序列上的相似度采用所有k阶子序列匹配权重之和并乘以相应的阶数权重的方式计算，最终得到SubTree_T与SubTree_i的特征相似度；

⑤针对SubTree_T与所有的SubTree_i按照步骤④计算相应的SV_2k，得到相应的M个相似度序列SVSet_2K＝{SV_i,2K,i＝1,2..M}，并通过式(7)对SVSet_2K执行归一化；

⑥得到其相异度序列DVSet_2K＝{DV_i,2K|DV_i,2K＝1.0-SV_i,2K,i＝1,2..M}，并计算其相应的平均值，然后将所得平均值作为Tree_T与TreeSet_N在第二分支上的相异度DV₂即TCP层段负载长度序列相异度；

3.4.3:SSL记录层状态转移相异度计算

⑦提取Tree_T第三层分支特征，与{Tree_i,i＝1,2..M}中每个特征树的第三层分支特征共同组成第三分支矩阵Matrix_3；

⑧对Matrix_3进行列归一化，即采用式(7)将Matrix_3的元素数值映射到[0,1]之间；归一化得到矩阵Matrix_3maxmin，其中第一行向量表示归一化后的Tree_T的第三分支特征；采用公式(10)的L2范式距离计算Matrix_3maxmin中第一行与其余各行偏移，得到Tree_T在第三分支维度与{Tree_i,i＝1,2..M}中所有成员的距离序列DisLst₃＝{dis_T,i|i＝1,2...M}；

计算距离序列DisLst₃的算术或几何均值均值，作为Tree_T与{Tree_i,i＝1,2..M}的第三分支相异度DV3即SSL记录层状态转移相异度；

步骤3.5中，基于阈值的异常检测，具体实现过程包括：

分别与基于专家领域或先验经验设定的异常阈值TV₁、TV₂与TV₃比较，若DV_i＞TV_i，则判定第i分支行为偏移，即异常；若Tree_T中至少有两个分支异常，则判定Tree_T异常，即Tree_T对应的进程文件PEF_T属于异常进程，作为高风险恶意加密通信端上报给安全分析管理员进一步研判，并采取跟踪监控与阻断应急响应减小损失；

最终，若判定待检加密通讯行为正常，则将该加密通讯行为对应的特征树同步更新到已有正常模型库TreeSet_N中，其更新方法为：

若Tree_T对应的进程文件PEF_T并不存在于TreeSet_N所对应的进程文件集合PEFSet_N中，则直接将PEF_T加入到PEFSet_N中，同时将Tree_T加入到TreeSetN中，完成更新；

若Tree_T对应的进程文件PEF_T存在于TreeSet_N所对应的进程文件集合PEFSet_N中，则将临时保存的Tree_T对应的PEF_PID_Session.csv添加到正常加密通讯行为数据库Normal_ET_Data中，重新进行正常加密通讯行为基准建构。