一种基于命令行特征的恶意流量检测方法及系统

1.本发明属于通信和访问安全技术领域，具体涉及一种基于命令行特征的恶意流量检测方法及系统。


背景技术：

2.基于命令行的操作系统能够方便快捷的实现增、删、改、查等诸多操作，在各个系统中具有广泛的应用。在基于命令行的操作系统中，用户往往根据短短的指令就能完成操作，但部分恶意用户利用命令行指令实现恶意访问。例如，发送带木马的文件到目标服务器、在主机上部署恶意负载、从日志中获取凭据和配置等敏感信息和恶意网站通过代码实现对系统的远程操控等，为此保证基于命令行操作系统的访问安全尤为重要。现有的对基于命令行的操作系统研究，大多集中在命令行调用效率、命令行记录和命令行存储等方面，对基于命令行的操作系统的访问安全问题解决方案较少。


技术实现要素：

3.本发明的目的在于提供一种基于命令行特征的恶意流量检测方法及系统，以解决现有的部分恶意用户利用命令行指令实现恶意访问。例如，发送带木马的文件到目标服务器、在主机上部署恶意负载、从日志中获取凭据和配置等敏感信息和恶意网站通过代码实现对系统的远程操控等，为此保证基于命令行操作系统的访问安全尤为重要。现有的对基于命令行的操作系统研究，大多集中在命令行调用效率、命令行记录和命令行存储等方面，对基于命令行的操作系统的访问安全问题解决方案较少的问题。
4.为实现上述目的，本发明提供如下技术方案：一种基于命令行特征的恶意流量检测方法，具体步骤如下：步骤1、当有客户端调用命令行指令时，数据采集单元对命令行的相关属性特征进行采集；步骤2、特征采集完成后，运用运用特征采集完成后，运用主成分分析方法对特征进行降维和提取即pca方法对特征进行降维和提取，产生命令行配置文件；特征降维和特征提取具体为，由于特征属性表包含了很多信息，且很多信息属于通用信息，并不存在隐私泄露的风险，对所有特征属性进行分类，不仅加大了工作量且分类识别效果也大大降低；所述的特征降维和特征提取方法为主成分分析方法，通过线性变换把特征属性变换到一个新的坐标系统中，使得任何特征属性投影的第一大方差在第一个坐标及称为第一主成分上，第二大方差在第二个坐标及第二主成分上，依次类推。该方法可以有效减少特征属性集的维数，同时保持特征属性集对方差贡献最大的特征；通过pca方法得到命令行配置文件；步骤3、配置文件与恶意访问行为知识库内的恶意访问行为标定表进行匹配，匹配成功，则直接拒绝该客户端的访问请求；否则，进入恶意流量检测系统；步骤4、恶意流量检测系统中的特征分类器，根据配置文件中的重要特征信息调用
孤立森林算法进行分类识别，分为正常客户端与访问行为类和恶意客户端与访问行为类两种；步骤5、正常客户端与访问行为类可正常访问目标终端执行相关操作，恶意客户端与访问行为类被送入恶意行为判断器进行进一步验证；恶意判断具体为，恶意客户端与访问行为类根据预先设定的判断规则进行判断；所述判断规则为1、不满足设定节点数的客户端被认定为正常客户端与访问行为，2、允许该客户端正常访问目标终端；3、满足设定节点数的客户端被认定为恶意客户端与访问行为，4、拒绝该客户端的访问请求；5、同时，生成恶意访问行为标定表，存入恶意访问行为知识库；步骤6、通过设定的判断规则，对分类器中划分为恶意客户端与访问行为类进行进一步判定；步骤7、不满足判断规则的被判定为正常客户端与访问行为，可正常访问目标终端执行相关操作，满足判断规则的被进一步判定为恶意客户端与访问行为；步骤8、根据配置文件对恶意客户端与访问行为类进行标定，生成恶意访问行为标定表；步骤9、将恶意访问行为标定表放入恶意访问行为知识库，用于客户端初始匹配筛选。
5.优选的，所述步骤一中数据采集单元对命令行的相关属性特征进行采集具体为，当发送命令行调用信息后，通过数据采集单元对相关信息进行采集，包括：远程ip地址、本地ip地址、第一行的要求、发送的字节数、响应的http状态码、用户会话id、日期和时间和远程主机名等信息。通过对这些信息进行整合、采集，生成了相关特征属性表，然后进行步骤二。
6.优选的，所述步骤四中特征分类器的分类方法具体为，在分析用户行为时，根据命令行配置文件，采用孤立森林算法进行分类识别，在用户输入命令行中，包括用户操作、操作时间，ip地址、操作平台等特征。孤立森林模型首先随机选择用户行为样本的一个特征，再随机选择该特征取值范围中的一个值，对样本集做拆分，迭代该过程，生成一棵孤立树。树上叶子节点离根节点越近，其异常值越高。迭代生成多棵孤立树，生成孤立森林，预测时，融合多棵树的结果形成最终的行为分类结果；通过对配置文件进行分类识别，将客户端分为正常客户端与访问行为类和恶意客户端与访问行为类两种，其中，正常客户端与访问行为类可正常访问目的终端，恶意客户端与访问行为类被送入恶意行为判断器。
7.优选的，所述步骤八中的恶意访问行为标定表的标定规则具体为，所述的恶意访问行为标定表共包含《ip地址、访问时间、访问操作、发送文件、目标终端、备注》六项，其中，前五项根据配置文件进行标定，备注栏则根据分类结果和判定规则结果进行综合标定，主要包含ip风险、访问操作风险以及发送文件风险。
8.优选的，所述步骤九中的恶意行为访问知识库具体为，所述的恶意行为访问知识库包含了各个终端报告的风险因素，并根据设计的恶意访问行为标定表的格式进行存储，同时未通过恶意流量检测系统识别的恶意客户端与访问行为，也将被存储在知识库中，用于恶意检测的初始筛选。
9.优选的，所述步骤九中的客户端初始匹配筛选具体为，通过对配置文件和恶意访
问行为标定表进行匹配，若匹配成功，则直接断定该客户端与访问行为是恶意的，拒绝该客户端的命令请求；若匹配未成功，则该客户端与访问行为进入恶意流量检测系统进行进一步检测。
10.优选的，所述步骤八中的配置文件和恶意访问行为标定表的匹配方法如下：根据配置文件和恶意访问行为标定表的共同项进行匹配，其中，若存在访问ip或发送文件是相同的，则直接断定该客户端与访问行为是恶意的；若访问时间在同一时间段内，则查看该时间段内是否存在大量访问操作，若存在，则判定为恶意访问；若仅存在相同的访问操作和目标终端，则无法判断该客户端恶意与否，送入恶意流量检测系统进行更加深入的检测。
11.一种基于命令行特征的恶意流量检测方法的操作系统，包括客户端、数据采集单元以及目标终端，数据采集单元包括恶意流量检测系统，恶意流量检测系统包括特征分类器、恶意行为判断器、恶意访问行为知识库。
12.优选的，所述特征分类器具体为根据配置文件中的重要特征信息采用孤立森林算法进行分类识别，其中，分为正常客户端与访问行为类和恶意客户端与访问行为类两种，正常客户端与访问行为类可正常访问目标终端执行相关操作，恶意客户端与访问行为类被送入恶意行为判断器进行进一步判断；恶意行为判断器具体为通过设定的判断规则，对分类器中划分为恶意客户端与访问行为类的数据进行进一步判断，防止由于分类器不准确带来的误判。其中，不满足判断规则的被判定为正常客户端与访问行为，可正常访问目标终端执行相关操作；满足判断规则的被判定为恶意客户端与访问行为，根据配置文件对客户端和访问行为进行标定，生成恶意访问行为标定表；恶意访问行为知识库具体用来存储各个终端报告的恶意访问行为，并根据恶意访问行为标定表的格式进行存储，同时存储未通过特征分类器和恶意行为判断器的恶意访问行为标定表；且在配置文件进入恶意流量检测系统前，与恶意访问行为知识库进行匹配，完成初步筛选。
13.本发明的技术效果和优点：整体针对操作系统中的异常访问进行异常行为分析，并分别给出相应的分析方法及三层验证，建立恶意行为知识库，以适应不断变化的访问攻击。所提方案能有效的检测异常访问行为，尽可能的减少异常访问行为的干扰，能够在复杂多变的网络环境下，保障操作系统的安全，从而提高后续操作的可信度，通过对命令行特征进行降维提取，基于三层恶意行为判断系统对恶意流量进行检测，以达到保护基于命令行操作系统免受访问攻击的目的，三层恶意行为的判断系统即1、恶意行为知识库；2、孤立森林算法分类识别；3、设定恶意行为判断规则。
附图说明
14.图1为本发明的一种实施例的系统结构框图；图2为本发明的一种实施例的数据采集示意图；图3为本发明的一种实施例的恶意行为判断器判断过程示意图；图4为本发明的一种实施例的恶意访问行为标定表标定示意图；图5为本发明的一种实施例的匹配方法示意图。
具体实施方式
15.下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
16.本发明提供了如图中所示的图1为本发明的一种实施例的系统结构框图。如图1所示本发明系统实施例包括以下步骤：当有客户端调用命令行指令时，数据采集单元对命令行的相关属性特征进行采集；特征采集完成后，运用pca方法对特征进行降维和提取，产生命令行配置文件；配置文件与恶意访问行为知识库内的恶意访问行为标定表进行匹配，匹配成功，则直接拒绝该客户端的访问请求；否则，进入恶意流量检测系统；恶意流量检测系统中的特征分类器，根据配置文件中的重要特征信息调用孤立森林算法进行分类识别，分为正常客户端与访问行为类和恶意客户端与访问行为类两种；正常客户端与访问行为类可正常访问目标终端执行相关操作，恶意客户端与访问行为类被送入恶意行为判断器进行进一步验证；通过设定的判断规则，对分类器中划分为恶意客户端与访问行为类进行进一步判定；不满足判断规则的被判定为正常客户端与访问行为，可正常访问目标终端执行相关操作，满足判断规则的被进一步判定为恶意客户端与访问行为；根据配置文件对恶意客户端与访问行为类进行标定，生成恶意访问行为标定表；将恶意访问行为标定表放入恶意访问行为知识库，用于客户端初始匹配筛选；如图2所示本发明系统实施例数据采集单元包括以下过程：当发送命令行调用信息后，通过数据采集单元对相关信息进行采集，包括：远程ip地址、本地ip地址、第一行的要求、发送的字节数、响应的http状态码、用户会话id、日期和时间和远程主机名等信息。通过对这些信息进行整合、采集，生成了相关特征属性表；然后通过pca方法对特征属性进行特征降维和特征提取，生成命令行配置文件；如图3所示本发明系统实施例的恶意行为判断机制包括以下过程：恶意客户端与访问行为类根据预先设定的判断规则进行判断；所述判断规则共9条，不满足设定节点数的客户端被认定为正常客户端与访问行为，允许该客户端正常访问目标终端；满足设定节点数的客户端被认定为恶意客户端与访问行为，拒绝该客户端的访问请求；同时，生成恶意访问行为标定表，存入恶意访问行为知识库；如图4所示本发明系统实施例的恶意访问行为标定表的标定规则包括以下过程：所述的恶意访问行为标定表共包含《ip地址、访问时间、访问操作、发送文件、目标终端、备注》六项，其中，前五项根据配置文件进行标定，备注栏则根据分类结果和判定规则结果进行综合标定，主要包含ip风险、访问操作风险以及发送文件风险；如图5所示本发明系统实施例匹配方法包括以下过程：根据配置文件和恶意访问行为标定表的共同项进行匹配，其中，若存在访问ip或发送文件是相同的，则直接断定该客户端与访问行为是恶意的；若访问时间在同一时间段内，则查看该时间段内是否存在大量访问操作，若存在，则判定为恶意访问；若仅存在相同的访问操作和目标终端，则无法判断该客户端恶意与否，送入恶意流量检测系统进行更加深入的检测；整体上本发明通过针对操作系统中的异常访问进行异常行为分析，并分别给出相应的分析方法及三层验证，建立恶意行为知识库，以适应不断变化的访问攻击。所提方案能
有效的检测异常访问行为，尽可能的减少异常访问行为的干扰，能够在复杂多变的网络环境下，保障操作系统的安全，从而提高后续操作的可信度，通过对命令行特征进行降维提取，基于三层恶意行为判断系统对恶意流量进行检测，以达到保护基于命令行操作系统免受访问攻击的目的，三层恶意行为的判断系统即1、恶意行为知识库；2、孤立森林算法分类识别；3、设定恶意行为判断规则。
17.最后应说明的是：以上所述仅为本发明的优选实施例而已，并不用于限制本发明，尽管参照前述实施例对本发明进行了详细的说明，对于本领域的技术人员来说，其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换,凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。