[发明专利]一种基于进程行为分析的恶意加密信道检测方法

说明书

本发明涉及一种基于进程行为分析的恶意加密信道检测方法，包括：步骤1：加密会话流量数据采集与进程归类；包括：加密流量数据采集、预处理、进程归类；步骤2：进程文件加密通讯行为特征树建构；建构加密会话的元特征即IP层、TCP段负载长度序列特征即TCP层以及SSL消息状态转换特征即SSL记录层的三层次特征树；步骤3：基于特征树的异常检测；包括：采集正常加密通讯行为数据；正常加密通讯行为基准建构；目标PEF加密通讯行为模型建构；特征树间相异度计算；基于阈值的异常检测。本发明借助异常检测的方法，打破单纯从会话层次检测恶意加密信道的局限，实现对恶意进程文件的有效检测。

技术领域

本发明涉及一种基于进程行为分析的恶意加密信道检测方法，属于信息安全建设/网络安全技术领域。

背景技术

随着网络技术的快速发展,互联网已经在军事、经济、教育、生活等各个领域都广泛应用。然而,在互联网给我们的生活带来各种便利的同时,也带来了各种安全问题,各种计算机病毒,蠕虫等恶意软件的数量和种类也在快速增多,为互联网用户的安全带来了巨大挑战。为了保护传输的数据,加密传输已经成为现有广泛应用的方式。Cisco的调查显示,仅2016—2017年,加密流量就增多了90％以上,超过50％以上的流量都是加密流量。采用加密传输有益于保护普通用户的隐私,然而这给了恶意应用开发者可乘之机,他们开始大量使用加密通讯协议建立加密信道实施攻击。

Cisco预测到2021年,将有70％的恶意软件借助加密信道来传递恶意软件、实施远程控制及数据泄露等恶意行为；由于当前最主要的加密信道均采用TLS协议实现，因而如何检测借助TLS建立的恶意加密信道已成为当代入侵检测领域一个亟待解决的问题。

为了规避加密对内容检查的保护，当前恶意加密信道检测方法主要通过分析恶意加密流量的异常性来推断加密信道的异常性，即尝试从内容无关的恶意流量模式特征入手，借助机器学习等数据分析技术实现恶意性检测。

常用的恶意流量异常性特征有：①加密流元特征，如采用数据包数量、字节数量、方向等统计数值,其实质是刻画加密流传输的数据量与频率属性；②侧信道特征，着重刻画加密流的IP数据包负载大小序列的Markov转换矩阵、数据包相隔时间差分或传输字节值分布的统计概率分布(如统计0至255所有字节值在一次完整会话中出现的统计分布等)，其实质是分析了数据包负载大小序列的二阶关联性以及时间差分和字节值的统计分布；③TLS握手协议特征，如握手消息类型、加密套件、扩展、公钥长度、SSL/TLS版本号、加密方法等,均可作为识别恶意流量的特征参量；④TLS通信服务端特征，如采用TLS通信服务端证书或域名内容特征，其实质是判断目标服务器是否具有合法的资质。

基于上述各类特征，已有恶意加密信道检测方法会从中选择一个或多个特征子集，然后作为输入训练机器学习模型或深度神经网络模型作为分类器，最终对目标加密流量执行恶意性检测。其一般性过程如下：

(1)从网络加密流量中，基于四元组(源IP地址、目的IP地址、源端口号、目的端口号)提取、分类会话流量数据；

(2)从每个会话流量数据中，分别提取数据流元特征、侧信道特征、TLS握手协议参数配置特征、域名特征或签名证书特征的子集，作为加密会话特征；

(3)将分类标记的加密会话特征，标准化/归一化处理后输入机器学习模型(如随机森林、SVM等)或采用深度学习LSTM或CNN组合学习训练得到分类器模型；

(4)提取目标加密会话特征，并用训练得到的分类器对目标加密会话执行恶意性检测，一旦检测到恶意性加密会话，即作为恶意加密信道告警。

为了规避对内容特征的依赖，尽管现有研究提出可以从加密流元特征、侧信道特征、TLS握手协议特征与服务端特征四个维度建立数据驱动的机器学习或深度学习模型分类器，但是，受限于噪声特征干扰和会话层次分析的不确定性，导致实际应用检测时误判率较高，因此十分有必要提出更有效的替代性恶意加密流量检测方法。