10.3969/j.issn.1671-1122.2018.02.001
基于子图的服务器网络行为建模及异常检测方法研究
随着恶意代码变异速度加快,隐蔽性越来越强,特别是在攻击者将流量特征进行混淆时,基于流量统计特征的网络异常检测方法漏报率变大.文章应用图分析方法,提出一种基于子图的服务器网络行为建模方法,该建模方法将本地主机流量按照本地主机、本地端口、远程端口、远程主机的顺序建立具有4层树形结构的有向图模型.该模型反映了本地主机与远程主机的通信关系以及两端进程间的通信关系.基于此模型,分别对服务器的客户端行为和服务端行为建立子图模型.由于服务端行为在子图结构上具有长期稳定性,文章提出了基于子图的服务器网络行为异常检测算法SNBAD.该算法对服务器的网络流量划分数据窗口,并对每个窗口分别建立服务子图模型,刻画每个子图的通信特征.该算法通过计算连续数据窗口服务子图的Jaccard相似系数来对异常行为进行检测.文章将主机感染恶意代码的流量混入真实网络流量数据中对SNBAD算法进行了验证,实验结果表明,SNBAD算法能够有效检测服务器服务端行为的异常.
子图模型、网络行为、异常检测
TP309(计算技术、计算机技术)
国家自然科学基金U1636208
2018-03-26(万方平台首次上网日期,不代表论文的发表时间)
共9页
1-9