一种异常会话检测方法、装置及计算机存储介质与流程

1.本发明涉及信息安全领域，尤其涉及一种异常会话检测方法、装置及计算机存储介质。


背景技术：

2.现在网络中，发现网络安全威胁的方式有很多种，比如入侵检测系统（ids）、网络流量分析系统（nta）等。nta作一种网络威胁检测的新兴技术，已经在网络安全市场上兴起。
3.而目前的检测系统在不了解部署环境中的合法业务、管理流量，或者没有进行相应配置的情况下，用极高设备配置对以合法流量为主的所有数据流量进行特征分析、匹配，会导致系统出现巨量误告警、难以进行有效响应的问题，另外，现有技术中的检测系统需要投入大量资金、人力来通过上层关联分析技术对以检测系统产生的误告警为主的安全日志进行归并、压缩、挖掘，投入大、效果差。
4.针对现有技术中对异常流量检测不准确的问题，目前还没有一个有效的解决方法。


技术实现要素：

5.为解决上述问题，本发明提供一种异常会话检测方法、装置及计算机存储介质，根据设备互连信息确定白名单，将不存在于白名单中的会话进行会话树划分，并提取会话树每个叶节点的特征信息，根据多个特征信息确定每个叶节点的数据类型置信度，根据数据类型置信度判断该叶节点下的会话是否为异常会话，以解决对异常流量判断不准确的问题。
6.为达到上述目的，本发明提供了一种异常会话检测方法，包括：提取数据流中的会话以及与会话对应的设备互连信息；根据所述设备互连信息判断相应会话是否存在于预设白名单中；将不存在于预设白名单中的会话按照会话内容进行逐级分类，得到会话树；根据所述设备互连信息，计算所述会话树中每个叶节点的数据类型置信度；将所述数据类型置信度大于预设置信度阈值的叶节点对应的会话集合确定为最新白名单；将不存在于最新白名单中的会话判断为异常会话。
7.进一步可选的，所述根据所述设备互连信息，计算所述会话树中每个叶节点的数据类型置信度，包括：提取并统计所述设备互连信息中的多维特征信息；根据每个维度的特征信息与数据类型特征的符合度，确定每个维度的特征信息对应的会话初始置信度；综合多个所述会话初始置信度得到所述数据类型置信度。
8.进一步可选的，所述设备互连信息中的多维特征信息，至少包括以下的两种：源地址的收敛情况信息；目的地址的收敛情况信息；目的段口的收敛情况信息；单一源地址访问会话频次特征信息；单一源地址会话周期性变化规律特征信息。
9.进一步可选的，所述根据所述设备互连信息判断相应会话是否存在于预设白名单中之后，包括：获取存在于所述预设白名单中的会话的数据量；将所述数据量与预设标准数
据量进行对比；将大于所述预设标准数据量的数据量所对应的会话确定为异常会话。
10.进一步可选的，所述将所述数据类型置信度大于预设置信度阈值的叶节点对应的会话集合确定为最新白名单之后，包括：将所述最新白名单补充入所述预设白名单。
11.另一方面，本发明还提供了一种异常会话检测装置，包括：提取模块，用于提取数据流中的会话以及与会话对应的设备互连信息；判断模块，用于根据所述设备互连信息判断相应会话是否存在于预设白名单中；会话树生成模块，用于将不存在于预设白名单中的会话按照会话内容进行逐级分类，得到会话树；置信度计算模块，用于根据所述设备互连信息，计算所述会话树中每个叶节点的数据类型置信度；最新白名单确定模块，用于将所述数据类型置信度大于预设置信度阈值的叶节点对应的会话集合确定为最新白名单；第一异常会话判断模块，用于将不存在于最新白名单中的会话判断为异常会话。
12.进一步可选的，所述置信度计算模块包括：多维特征信息提取子模块，用于提取并统计所述设备互连信息中的多维特征信息；初始置信度确定子模块，用于根据每个维度的特征信息与数据类型特征的符合度，确定每个维度的特征信息对应的会话初始置信度；数据类型置信度确定子模块，用于综合多个所述会话初始置信度得到所述数据类型置信度。
13.进一步可选的，该装置还包括：数据量确定模块，用于获取存在于所述预设白名单中的会话的数据量；对比模块，用于将所述数据量与预设标准数据量进行对比；第二异常会话判断模块，用于将大于所述预设标准数据量的数据量所对应的会话确定为异常会话。
14.进一步可选的，还包括：补充模块，用于将所述最新白名单补充入所述预设白名单。
15.另一方面，本发明还提供了一种计算机存储介质，其上存储有计算机程序，所述程序被处理器执行时实现上述的异常会话检测方法。
16.上述技术方案具有如下有益效果：通过设置白名单过滤不符合合法连接关系的异常会话；将会话划分成会话树后再计算每个叶节点的特征并计算每个叶节点的置信度，根据置信度确定最新的白名单。其中，白名单是根据会话动态生成的，节省了人力，提高了异常会话的检测效率。另外，白名单是依据不同会话动态更新的，因此上述方案能够对每个会话进行准确检测。
附图说明
17.为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
18.图1是本发明实施例提供的异常会话检测方法的流程图；图2是本发明实施例提供的数据类型置信度计算方法的流程图；图3是本发明实施例根据数据量判断异常会话方法的流程图；图4是本发明实施例提供的异常会话检测装置的结构框图；图5是本发明实施例提供的置信度计算模块的结构框图；图6是本发明实施例提供的数据量确定模块、对比模块以及第二异常会话判断模块的结构示意图。
19.附图标记：100
‑
提取模块 200
‑
判断模块 300
‑
会话树生成模块 400
‑
置信度计算模块 4001
‑
多维特征信息提取子模块 4002
‑
初始置信度确定子模块 4003
‑
数据类型置信度确定子模块 500
‑
最新白名单确定模块 600
‑
第一异常会话判断模块 700
‑
数据量确定模块 800
‑
对比模块 900
‑
第二异常会话判断模块 。
具体实施方式
20.下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
21.现有技术中对异常会话的检测需要使用极高设备配置的系统对流量进行特征分析、匹配，但这种系统对异常会话的检测准确度不高，且需要耗费大量的人工对所有会话进行归并、压缩、挖掘，投入大、效果差。
22.为解决上述问题，本发明提供了一种异常会话检测方法，图1是本发明实施例提供的异常会话检测方法的流程图，如图1所示，包括：s101、提取数据流中的会话以及与会话对应的设备互连信息；设备互连信息至少包括：源地址（imsi）、源端口、目的地址、目标端口、协议类型、连接关系建立时间、周期性、互连次数等信息。
23.s102、根据所述设备互连信息判断相应会话是否存在于预设白名单中；预设白名单是一个符合合法连接关系的会话的集合，预设白名单可以是人工设置的，也可是系统对数据进行分析得到的。
24.s103、将不存在于预设白名单中的会话按照会话内容进行逐级分类，得到会话树；根据会话的源地址、源端口、目的地址、目的端口、传输协议、会话发起方的指令以及使用的账号等信息对所有会话进行逐级分类，得到会话树。
25.s104、根据所述设备互连信息，计算所述会话树中每个叶节点的数据类型置信度；对于会话树中的每一个叶节点，均可以根据设备互连信息中的会话数、频次、周期性、指令、单一ip地址会话量和24小时规律分布等维度特征，对每个叶节点进行可信度打分。
26.s105、将所述数据类型置信度大于预设置信度阈值的叶节点对应的会话集合确定为最新白名单；s106、将不存在于最新白名单中的会话判断为异常会话。
27.若某叶节点的数据类型置信度大于预设置信度阈值，则说明该节点下的会话为符合合法连接关系的会话，将对应的会话集合确定为最新白名单，将不属于最新白名单集合的会话判定为异常会话。
28.作为一种可选的实施方式，图2是本发明实施例提供的数据类型置信度计算方法的流程图，如图2所示，所述s104、根据所述设备互连信息，计算所述会话树中每个叶节点的数据类型置信度，包括：s1041、提取并统计所述设备互连信息中的多维特征信息；s1042、根据每个维度的特征信息与数据类型特征的符合度，确定每个维度的特征
信息对应的会话初始置信度；s1043、综合多个所述会话初始置信度得到所述数据类型置信度。
29.流量类型大致可分为两种，一种是生产终端与本地server业务数据流，另一种是管理终端与本地server管理数据流。
30.对于生产终端与本地server业务数据流，其包括生产终端状态采集和上报，本地server计算中心对终端的操作指令等。其特征包括：1)源地址（imsi）、目的地址高度收敛2)会话数变化在每日24小时周期性变化规律3)单一源地址访问存在周期性对于管理终端与本地server管理数据流，主要是管理终端查询和状态同步、任务同步、维护等情形。其特征包括：1)目的地址、端口高度收敛2)会话时间序列上源地址高度随机，不同内部人员随机选择时间操作管理3)会话数存在每日24小时周期性变化规律，特别是工作日工作时间段分布为主根据实际数据类型的特征，对每一个叶节点的进行相应的多维特征信息提取，将每一个维度的特征信息均与实际的数据类型特征信息进行对比，经对比后按特征信息相似情况，每个维度的特征信息均会得到一个初始置信度。当获取到所有维度的特征信息后，按照每个维度对应的权值计算该会话的数据类型置信度，数据类型置信度越高说明属于该类型数据可能性越高。
31.作为一种可选的实施方式，在生成会话树之前，可对所有会话进行一个初步的过滤。对于业务数据流，由于其占用流量主体、标注端口固定且有限，因此可根据这些特征对会话的类型进行快速判断。例如传输协议为http、mqtt、dns递归等的服务类型均为业务数据流。将提前判断为业务流的会话加入白名单，使其不参与后续的会话树划分步骤，以减少后续的数据处理量。
32.作为一种可选的实施方式，所述设备互连信息中的多维特征信息，至少包括以下的两种：源地址的收敛情况信息；目的地址的收敛情况信息；目的段口的收敛情况信息；单一源地址访问会话频次特征信息；单一源地址会话周期性变化规律特征信息。
33.作为一种具体的实施方式，每个叶节点可分为五个维度进行分析。
34.维度1：源地址的收敛情况信息。业务数据流的源地址高度收敛；管理数据流的源地址基本收敛在有限的地址范围内。
35.维度2：目的地址的收敛情况信息。业务数据流的目的地址高度收敛；管理数据流的目的地址高度随机，且收敛在一个有限的集合内。
36.维度3：目的端口的收敛情况信息。业务数据流的目的端口收敛在一个有限的集合内；管理数据流的目的端口收敛在一个有限的集合内，且每日的目的地址集合基本相同。
37.维度4：单一源地址访问会话频次特征信息。业务数据流的单一源地址访问会话频次呈现高频特征，且存在基准分布；管理数据流的单一源地址访问会话频次每周或每日的统计总数基本均衡分布。
38.维度5：单一源地址会话周期性变化规律特征信息。业务数据流中单一源地址会话存在每日24小时周期性变化规律（基线规律）；管理数据流中单一源地址会话每日24小时周
期性规律（基线规律），特别是早九晚五，周一至周五为主要流量分布时段。
39.作为一种具体的实施方式，对一个叶节点的数据类型信誉值进行确定时，首先确定该叶节点的源地址收敛情况，若该叶节点的源地址收敛情况符合高度收敛特征，则将该叶节点的维度1的业务数据流的初始信誉值确定为100，管理数据流的初始信誉值确定为0；第二、确定该叶节点的目的地址的收敛情况，若该叶节点的目的地址的收敛情况符合高度收敛特征，则将该叶节点维度2的业务数据流的初始信誉值确定为100，管理数据流的初始信誉值确定为0；第三、确定该叶节点的目的端口的收敛情况，若该叶节点的目的端口收敛情况符合目的端口收敛在一个有限的集合内，且每日的目的地址集合差异较大的特征，则将该叶节点维度3的业务数据流的初始信誉值确定为100，管理数据流的初始信誉值确定为0；第四，确定该叶节点单一源地址访问会话频次特征，若单一源地址访问会话频次呈现高频特征，且存在基准分布特征，则将该叶节点维度4的业务数据流的初始信誉值确定为100，管理数据流的初始信誉值确定为0；第五，确定该叶节点单一源地址会话周期性变化规律特征，若该叶节点的单一源地址会话符合每日24小时周期性变化规律（基线规律），且不符合朝九晚五，周一周五为主要流量分布时段的特征，则将该叶节点维度4的业务数据流的初始信誉值确定为100，管理数据流的初始信誉值确定为0。
40.业务数据流维度1
‑
5的权值分别为0.2、0.2、0.2、0.3、0.1；那么根据业务数据流的数据类型确定规则，该叶节点属于业务数据流的数据类型置信度为：0.2*100 0.2*100 0.2*100 0.3*100 0.1*100=100；管理数据流维度1
‑
5的权值分别为0.2、0.2、0.2、0.2、0.2；那么根据管理数据流的数据类型确定规则，该叶节点属于管理数据流的数据类型置信度为：0.2*0 0.2*0 0.2*0 0.2*0 0.2*0=0；对比两种数据流类型的数据类型置信度，该叶节点属于业务数据流的数据类型置信度更大，那么需将该数据类型置信度100与预设置信度阈值80对比，该叶节点的数据类型置信度大于预设置信度阈值，则判断该叶节点的数据类型为业务数据流，符合合法连接关系，进一步将该叶节点下的会话归为白名单。
41.作为一种可选的实施方式，图3是本发明实施例根据数据量判断异常会话方法的流程图，如图3所示，所述s102、根据所述设备互连信息判断相应会话是否存在于预设白名单中之后，包括：s108、获取存在于所述预设白名单中的会话的数据量；s109、将所述数据量与预设标准数据量进行对比；s110、将大于所述预设标准数据量的数据量所对应的会话确定为异常会话。
42.对于存在于白名单中的会话，统计各个会话在预设周期内的数据量，将高于预设数据量的数据量所对应的会话判断为异常会话。如此，对于由于设备故障、网络故障或软件原因导致的数据量突增的会话进行异常判断，以提高异常会话检测的准确率，减少漏报的情况。
43.作为一种可选的实施方式，所述s105、将所述数据类型置信度大于预设置信度阈值的叶节点对应的会话集合确定为最新白名单之后，包括：s107、将所述最新白名单补充入所述预设白名单。
44.本实施例中，预设白名单是动态更新的，当获得最新白名单后，会将最新白名单中
的数据加入到预设白名单中，将补充数据后的预设白名单作为判断下一次会话是否合法连接的依据。
45.作为一种可选的实施方式，图4是本发明实施例提供的异常会话检测装置的结构框图，如图4所示，本发明还提供了一种异常会话检测装置，包括：提取模块100，用于提取数据流中的会话以及与会话对应的设备互连信息；设备互连信息至少包括：源地址（imsi）、源端口、目的地址、目标端口、协议类型、连接关系建立时间、周期性、互连次数等信息。
46.判断模块200，用于根据所述设备互连信息判断相应会话是否存在于预设白名单中；预设白名单是一个符合合法连接关系的会话的集合，预设白名单可以是人工设置的，也可是系统对数据进行分析得到的。
47.会话树生成模块300，用于将不存在于预设白名单中的会话按照会话内容进行逐级分类，得到会话树；根据会话的源地址、源端口、目的地址、目的端口、传输协议、会话发起方的指令以及使用的账号等信息对所有会话进行逐级分类，得到会话树。
48.置信度计算模块400，用于根据所述设备互连信息，计算所述会话树中每个叶节点的数据类型置信度；对于会话树中的每一个叶节点，均可以根据设备互连信息中的会话数、频次、周期性、指令、单一ip地址会话量和24小时规律分布等维度特征，对每个叶节点进行可信度打分。
49.最新白名单确定模块500，用于将所述数据类型置信度大于预设置信度阈值的叶节点对应的会话集合确定为最新白名单；第一异常会话判断模块600，用于将不存在于最新白名单中的会话判断为异常会话。
50.若某叶节点的数据类型置信度大于预设置信度阈值，则说明该节点下的会话为符合合法连接关系的会话，将对应的会话集合确定为最新白名单，将不属于最新白名单集合的会话判定为异常会话。
51.作为一种可选的实施方式，图5是本发明实施例提供的置信度计算模块的结构框图，如图5所示，所述置信度计算模块400包括：多维特征信息提取子模块4001，用于提取并统计所述设备互连信息中的多维特征信息；初始置信度确定子模块4002，用于根据每个维度的特征信息与数据类型特征的符合度，确定每个维度的特征信息对应的会话初始置信度；数据类型置信度确定子模块4003，用于综合多个所述会话初始置信度得到所述数据类型置信度。
52.流量类型大致可分为两种，一种是生产终端与本地server业务数据流，另一种是管理终端与本地server管理数据流。
53.对于生产终端与本地server业务数据流，其包括生产终端状态采集和上报，本地server计算中心对终端的操作指令等。其特征包括：
1)源地址（imsi）、目的地址高度收敛2)会话数变化在每日24小时周期性变化规律3)单一源地址访问存在周期性对于管理终端与本地server管理数据流，主要是管理终端查询和状态同步、任务同步、维护等情形。其特征包括：1)目的地址、端口高度收敛2)会话时间序列上源地址高度随机，不同内部人员随机选择时间操作管理3)会话数存在每日24小时周期性变化规律，特别是工作日工作时间段分布为主根据实际数据类型的特征，对每一个叶节点的进行相应的多维特征信息提取，将每一个维度的特征信息均与实际的数据类型特征信息进行对比，经对比后按特征信息相似情况，每个维度的特征信息均会得到一个初始置信度。当获取到所有维度的特征信息后，按照每个维度对应的权值计算该会话的数据类型置信度，数据类型置信度越高说明属于该类型数据可能性越高。
54.作为一种可选的实施方式，在生成会话树之前，可对所有会话进行一个初步的过滤。对于业务数据流，由于其占用流量主体、标注端口固定且有限，因此可根据这些特征对会话的类型进行快速判断。例如传输协议为http、mqtt、dns递归等的服务类型均为业务数据流。将提前判断为业务流的会话加入白名单，使其不参与后续的会话树划分步骤，以减少后续的数据处理量。
55.作为一种可选的实施方式，图6是本发明实施例提供的数据量确定模块、对比模块以及第二异常会话判断模块的结构示意图，如图6所示，该装置还包括：数据量确定模块700，用于获取存在于所述预设白名单中的会话的数据量；对比模块800，用于将所述数据量与预设标准数据量进行对比；第二异常会话判断模块900，用于将大于所述预设标准数据量的数据量所对应的会话确定为异常会话。
56.作为一种可选的实施方式，在生成会话树之前，可对所有会话进行一个初步的过滤。对于业务数据流，由于其占用流量主体、标注端口固定且有限，因此可根据这些特征对会话的类型进行快速判断。例如传输协议为http、mqtt、dns递归等的服务类型均为业务数据流。将提前判断为业务流的会话加入白名单，使其不参与后续的会话树划分步骤，以减少后续的数据处理量。
57.作为一种可选的实施方式，该装置还包括：补充模块，用于将所述最新白名单补充入所述预设白名单。
58.本实施例中，预设白名单是动态更新的，当获得最新白名单后，会将最新白名单中的数据加入到预设白名单中，将补充数据后的预设白名单作为判断下一次会话是否合法连接的依据。
59.作为一种可选的实施方式，本发明还提供了一种计算机存储介质，其上存储有计算机程序，所述程序被处理器执行时实现上述的异常会话检测方法。
60.上述存储介质中存储有上述软件，该存储介质包括但不限于：光盘、软盘、硬盘、可擦写存储器等。
61.上述技术方案具有如下有益效果：通过设置白名单过滤不符合合法连接关系的异
常会话；将会话划分成会话树后再计算每个叶节点的特征并计算每个叶节点的置信度，根据置信度确定最新的白名单。其中，白名单是根据会话动态生成的，节省了人力，提高了异常会话的检测效率。另外，白名单是依据不同会话动态更新的，因此上述方案能够对每个会话进行准确检测。
62.以上所述的具体实施方式，对本发明的目的、技术方案和有益效果进行了进一步详细说明，所应理解的是，以上所述仅为本发明的具体实施方式而已，并不用于限定本发明的保护范围，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。