一种恶意beacon通信的检测方法和装置与流程

1.本发明涉及信息安全技术领域，尤其涉及一种恶意beacon通信的检测方法和装置。


背景技术：

2.互联网中，客户端和服务器之间的通信通常采用beacon通信(或称信标通信)，客户端定时向服务器发送beacon数据包，如果服务器需要对客户端进行更新等操作时，则返回相应的操作信息。
3.现有的恶意beacon通信检测中，通常采用规则检测或者行为检测两种方式对通信数据进行判断，以定位恶意的beacon通信，防止非法攻击。规则检测对通信数据包中的数据按照预设规则进行匹配，匹配成功即表示存在恶意beacon通信；行为检测用于对内网客户端和外网的ip及端口等之间的通信规律进行监测，符合预定频率即认为存在beacon通信，并根据ip、域名等的威胁等级判定恶意beacon通信，行为检测相较于规则检测具有更好的包容性。
4.在实现本发明过程中，发明人发现现有技术中至少存在如下问题：
5.在采用行为检测方式对通信数据进行判断时，目前基于行为检测的产品多为实时流量监控产品，仅能处理极短时间内的网络流量，因此无法检测到低频的beacon通信，也就无法检测到低频的恶意beacon通信。


技术实现要素：

6.有鉴于此，本发明实施例提供一种恶意beacon通信的检测方法和装置，能够利用各个客户端通信的网络连接日志，提取各个通信链路下的通信特征，以定位预设时间段内的各个通信链路下存在的恶意beacon通信并处理，无需在客户端部署任何软件，从而在客户端用户无感的情况下对通信情况进行监测以及判断，达到精准识别恶意beacon通信，尤其是低频的恶意beacon通信的目的，提高了通信安全性，保障用户数据安全。
7.为实现上述目的，根据本发明实施例的一个方面，提供了一种恶意beacon通信的检测方法，包括：
8.恶意beacon通信的检测方法，其特征在于，所述方法用于安全管理平台，包括：
9.获取预设时间段内的一个或多个客户端的网络连接日志；其中，所述网络连接日志包括所述客户端的网络连接信息和http访问信息；
10.分别提取所述网络连接信息和所述http访问信息中各个通信链路下的通信特征的特征值；其中，所述通信特征包括外发字节数的鲍利偏度系数、网络连接频率分数、链路活跃度和威胁等级分数；
11.根据预设的通信特征阈值，对所述外发字节数的鲍利偏度系数、所述网络连接频率分数、所述链路活跃度和所述威胁等级分数的特征值进行判断，确定所述预设时间段内的各个所述通信链路下的恶意beacon通信。
12.可选地，所述网络连接信息包括源ip、目的ip、时间戳和外发字节数，所述http访问信息包括访问所述源ip和访问域名；所述分别提取所述网络连接信息和所述http访问信息中各个通信链路下的通信特征的特征值，包括：
13.根据所述源ip和所述目的ip、或者所述源ip和所述访问域名，构建各个所述通信链路；
14.利用所述时间戳、所述目的ip、所述外发字节数和所述访问域名，确定各个所述通信链路下的通信特征的特征值。
15.可选地，所述利用所述时间戳、所述目的ip、所述外发字节数和所述访问域名，确定各个所述通信链路下的通信特征的特征值，包括：
16.根据所述外发字节数，确定所述外发字节数的鲍利偏度系数；
17.在所述预设时间段内，计算所述通信链路的网络连接次数、以及所述时间戳的最大值和最小值之间的时间差，将所述网络连接次数与所述时间差之比作为所述网络连接频率分数；
18.分别统计所述源ip和所述通信链路的活跃数据，根据所述通信链路的活跃数据与所述源ip的活跃数据的比值，计算所述链路活跃度；
19.查找预设的威胁数据库，确定所述目的ip的目的ip威胁等级和所述访问域名的访问域名威胁等级，选择所述目的ip威胁等级和所述访问域名威胁等级的最大值作为所述威胁等级分数。
20.可选地，所述根据所述外发字节数，确定所述外发字节数的鲍利偏度系数，包括：
21.在所述预设时间段内，计算所述外发字节数的第一四分位数、所述外发字节数的第二四分位数、所述外发字节数的第三四分位数；
22.将所述第一四分位数与所述第三四分位数之和减去两倍的所述第二四分位数之差作为分子、所述第三四分位数与所述第一四分位数之差作为分母，计算所述外发字节数的鲍利偏度系数。
23.可选地，所述分别统计所述源ip和所述通信链路的活跃数据，根据所述通信链路的活跃数据与所述源ip的活跃数据的比值，计算所述链路活跃度，包括：
24.统计所述源ip的源ip活跃分钟数和源ip活跃小时数、所述通信链路的链路活跃分钟数和链路活跃小时数；
25.计算所述链路活跃分钟数和所述源ip活跃分钟数的比值、以及所述链路活跃小时数和所述源ip活跃小时数的比值，确定两个比值中的最大值为所述链路活跃度。
26.可选地，所述网络连接信息还源网络属性和目的网络属性；在所述根据所述源ip和所述目的ip、或者所述源ip和所述访问域名，构建各个所述通信链路之前，还包括：
27.筛选所述源网络属性为本地网络且所述目的网络属性为非本地网络的网络连接日志。
28.可选地，所述根据预设的通信特征阈值，对各个所述通信特征的特征值进行判断，确定所述预设时间段内的各个所述通信链路下的恶意beacon通信，包括：
29.将各个所述通信特征的特征值输入预训练的通信检测模型，根据所述通信检测模型的输出，确定各个所述通信链路中是否存在恶意的通信链路；其中，所述通信检测模型是根据所述通信特征阈值生成的。
30.可选地，还包括：
31.在所述安全管理平台展示存在恶意beacon通信的客户端。
32.根据本发明实施例的再一个方面，提供了一种恶意beacon通信的检测装置，
33.所述装置用于安全管理平台，包括：
34.获取模块，用于获取预设时间段内的一个或多个客户端的网络连接日志；其中，所述网络连接日志包括所述客户端的网络连接信息和http访问信息；
35.数据预处理模块，用于分别提取所述网络连接信息和所述http访问信息中各个通信链路下的通信特征的特征值；其中，所述通信特征包括外发字节数的鲍利偏度系数、网络连接频率分数、链路活跃度和威胁等级分数；
36.判断模块，用于根据预设的通信特征阈值，对所述外发字节数的鲍利偏度系数、所述网络连接频率分数、所述链路活跃度和所述威胁等级分数的特征值进行判断，确定所述预设时间段内的各个所述通信链路下的恶意beacon通信。
37.根据本发明实施例的另一个方面，提供了一种恶意beacon通信的检测的电子设备，包括：
38.一个或多个处理器；
39.存储装置，用于存储一个或多个程序，
40.当所述一个或多个程序被所述一个或多个处理器执行，使得所述一个或多个处理器实现本发明提供的恶意beacon通信的检测方法。
41.根据本发明实施例的还一个方面，提供了一种计算机可读介质，其上存储有计算机程序，所述程序被处理器执行时实现本发明提供的恶意beacon通信的检测方法。
42.上述发明中的一个实施例具有如下优点或有益效果：因为采用拦截各个客户端的网络连接日志，根据网络连接信息的源ip和目的ip、或者http访问信息的源ip和访问域名，构建通信链路；利用外发字节数确定外发字节数的鲍利偏度系数；网络连接次数与时间差之比确定网络连接频率分数；链路活跃分钟数、源ip活跃分钟数、链路活跃小时数、源ip活跃小时数，确定链路活跃度；查找预设的威胁数据库，确定目的ip的目的ip威胁等级和访问域名的访问域名威胁等级，得到威胁等级分数，根据通信检测模型预设的通信特征阈值，对各个通信特征的特征值进行判断，确定预设时间段内的各个通信链路下的恶意beacon通信的技术手段，所以克服了规则检测极其容易绕过、无法对beacon通信是否恶意进行判断；传统行为检测产品无法检测低频恶意beacon通信的技术问题，进而达到能够利用各个客户端通信的网络连接日志，提取各个通信链路下的通信特征，以定位预设时间段内的各个通信链路下存在的恶意beacon通信并处理。且本实施例无需在客户端部署任何软件，从而在客户端用户无感的情况下对通信情况进行监测以及判断，达到精准识别恶意beacon通信，尤其是低频的恶意beacon通信的目的，提高了通信安全性，保障用户数据安全的技术效果。
43.上述的非惯用的可选方式所具有的进一步效果将在下文中结合具体实施方式加以说明。
附图说明
44.附图用于更好地理解本发明，不构成对本发明的不当限定。其中：
45.图1是根据本发明实施例的恶意beacon通信的检测方法的主要流程的示意图；
46.图2是根据本发明实施例的基于通信链路的通信特征的分析方法的主要流程的示意图；
47.图3是根据本发明实施例的通信特征的特征值的确定方法的主要流程的示意图；
48.图4是根据本发明实施例的通信检测模型的确定方法的主要流程的示意图；
49.图5是根据本发明实施例的恶意beacon通信的检测装置的主要模块的示意图；
50.图6示出了适于应用于本发明实施例的恶意beacon通信的检测方法或恶意beacon通信的检测装置的示例性系统架构图；
51.图7是适于用来实现本发明实施例的终端设备或服务器的计算机系统的结构示意图。
具体实施方式
52.以下结合附图对本发明的示范性实施例做出说明，其中包括本发明实施例的各种细节以助于理解，应当将它们认为仅仅是示范性的。因此，本领域普通技术人员应当认识到，可以对这里描述的实施例做出各种改变和修改，而不会背离本发明的范围和精神。同样，为了清楚和简明，以下的描述中省略了对公知功能和结构的描述。
53.时间戳：是指使用数字签名技术对数据产生的时间进行认证，能够表示数据在特定时间点已经存在、完整并且可验证，用以证明用户数据的产生时间。
54.c2服务器：command&control server，c2服务器可以接收恶意攻击的通信数据，并向其返回需要执行的控制命令，因此，检测此类的恶意beacon通信可用于发现恶意攻击者。
55.rita：real intelligence threat analytics，实时威胁情报分析。是一个用于网络流量分析、检测beacon通信的开源项目，由go语言编写，开发人员人员可以利用rita对收集到的安全情报进行分析。
56.四分位数：quartile，也称四分位点，是指在统计学中把所有数值由小到大排列并分成四等份，处于三个分割点位置的数值。
57.第一四分位数(或称q1值)是指全部数值的四分位数中的0.25分位数、第二四分位数(或称q2值)是指全部数值的四分位数中的0.5分位数、第三四分位数(或称q3值)是指全部数值的四分位数中的0.75分位数。
58.apt(advanced persistent threat，高级持续性威胁/先进持续性威胁)攻击为了长期潜伏于目标内部以收集关键信息，通常会尽可能减少明显的攻击行为，绝大部分时间采取静默状态，只以极低的频率向c2服务器发送beacon通信，确保攻击者知道“被控主机”处于被控状态即可。然而，现用的商业软件通常也采用这种低频通信模式，从而在保证服务器能够唤醒客户端的同时尽可能地节能。因此，如何准确辨别恶意beacon通信，是保证信息安全的重要一环。
59.目前基于行为检测的产品(比如，rita)多为实时流量监控产品，属于网络流量的实时威胁分析，仅能处理极短时间内的网络流量，也即，目前基于行为检测的产品(比如，rita)仅能处理高频的通信行为(高频的频率可能为30秒/次或者更低)，如果apt攻击采用低频通信模式，由于rita无法对时间跨度较大(比如，一周及以上)的海量通信数据进行分析，因此，rita根本无法检测到apt攻击的通信间隔时间较长的低频beacon通信，更无法对低频beacon通信是否是恶意beacon通信进行判断。
60.根据本发明的恶意beacon通信的检测方法，能够利用各个客户端通信的网络连接日志，提取各个通信链路下的外发字节数的鲍利偏度系数、网络连接频率分数、链路活跃度和威胁等级分数等通信特征，以定位预设时间段内各个通信链路下的恶意beacon通信并处理，无需在客户端部署任何软件，从而在客户端用户无感的情况下对通信情况进行监测以及判断，达到精准发现beacon通信、识别低频beacon通信、识别恶意beacon通信的目的，提高了通信安全性，保障用户数据安全。
61.图1是根据本发明实施例的恶意beacon通信的检测方法的主要流程的示意图，如图1所示，本发明的恶意beacon通信的检测方法包括如下步骤：
62.步骤s101，获取预设时间段内的一个或多个客户端的网络连接日志；其中，所述网络连接日志包括所述客户端的网络连接信息和http访问信息。
63.在本发明实施例中，本发明的恶意beacon通信的检测方法利用安全管理平台执行，安全管理平台包括边界网络设备、客户端等，通过边界网络设备上安装的流量检测功能，获取预设时间段内各个客户端的网络连接日志。部署模式可以采用ids模式，比如，边界网络设备为带防火墙的路由器，带防火墙的路由器一端连接企业内的各个客户端设备，另一端连接提供通信服务的服务器，通过监控带防火墙的路由器，检测全部的网络连接日志，以获取各个客户端的网络连接日志；又比如，在企业的路由器外再套设一个具备流量检测功能的防火墙，以获取网络连接日志。
64.在本发明实施例中，可以将网络连接日志存储于本地的通信检测数据库，以便于后续获取网络日志、统一预处理以方便特征提取等。
65.进一步地，通常情况下，无法并且也没有对全部客户端的通信数据进行分析的必要，因此，可以从通信检测数据库获取预设时间段内的一个或多个客户端的网络连接日志，比如，通信监测数据库存储了三个月或半年内的网络连接日志，预设时间段为一周，单次仅分析一周内的网络连接日志，以平衡运算压力和数据量。
66.更进一步地，可以根据企业网络的规模，设置通信检测数据库所支持分析的最大源ip的数量和通信检测数据库所支持分析的时间跨度。
67.在本发明实施例中，网络连接日志包括各个客户端的网络连接信息和http访问信息。
68.在本发明实施例中，网络连接信息包括源ip、目的ip、时间戳、外发字节数、源网络属性和目的网络属性；其中，源网络属性包括源ip为本地网络和源ip为非本地网络，目的网络属性包括目的ip为本地网络和目的ip为非本地网络。
69.进一步地，根据各个客户端的ip设置，确定源网络属性和目的网络属性。比如，企业内的各个客户端的ip设置为192.xxx.xxx.xx，确定ip是192开头的即为本地网络、ip不是192开头的即为非本地网络。
70.在本发明实施例中，http访问信息包括源ip、时间戳、外发字节数和访问域名(也称，完整域名)。
71.步骤s102，分别提取所述网络连接信息和所述http访问信息中各个通信链路下的通信特征的特征值；其中，所述通信特征包括外发字节数的鲍利偏度系数、网络连接频率分数、链路活跃度和威胁等级分数。
72.在本发明实施例中，通过提取各个通信链路的外发字节数的鲍利偏度系数、网络
连接频率分数、链路活跃度和威胁等级分数，经过对各个通信特征的特征值的分析对比，可以确定通信链路是否恶意。
73.在本发明实施例中，如图2所示，本发明的基于通信链路的通信特征的分析方法包括如下步骤：
74.步骤s201，根据所述源ip和所述目的ip、或者所述源ip和所述访问域名，构建各个所述通信链路。
75.在本发明实施例中，分别对网络连接信息和http访问信息进行同源分析，根据网络连接信息中的源ip-目的ip，构建通信链路；或者，根据http访问信息中的源ip-访问域名，构建通信链路。
76.步骤s202，利用所述时间戳、所述目的ip、所述外发字节数和所述访问域名，确定各个所述通信链路下的通信特征的特征值。
77.在本发明实施例中，通过本发明的基于通信链路的通信特征的分析方法，能够基于网络连接信息的源ip和目的ip，或者，http访问信息的源ip和访问域名划分不同的通信链路，进而对各个通信链路的通信特征进行分析，以便于后续对通信链路中的恶意beacon通信进行判断。
78.在本发明实施例中，如图3所示，本发明的通信特征的特征值的确定方法包括如下步骤：
79.步骤s301，根据所述外发字节数，确定所述外发字节数的鲍利偏度系数。
80.在本发明实施例中，根据网络连接信息或者http访问信息中的外发字节数，确定预设时间段内外发字节数的鲍利偏度系数。具体地：
81.步骤s3011，在所述预设时间段内，计算所述外发字节数的第一四分位数、所述外发字节数的第二四分位数、所述外发字节数的第三四分位数。
82.在本发明实施例中，由于在预设时间段内，各个通信链路可能包括多次交互，相应地，每一个通信链路在预设时间段内可能存在多次连接，每次连接时都可能接收或者发送数据，因此，针对每一条通信链路，统计在预设时间段内外发字节数的第一四分位数(或称，外发字节数的q1值)、外发字节数的第二四分位数(或称，外发字节数的q2值)、外发字节数的第三四分位数(或称，外发字节数的q3值)，从而基于外发字节数的第一四分位数、外发字节数的第二四分位数、外发字节数的第三四分位数，对通信链路的外发字节数的鲍利偏度系数的通信特征进行分析。
83.在本发明实施例中，还可以包括外发字节数的众数，表示目标队列的中出现次数最多的外发字节数。由于比较明显的beacon通信可能会在每次连接中发送固定大小的数据包，因此，可以将外发字节数的众数作为一个通信特征，确定对应的通信链路存在beacon通信。
84.步骤s3012，将所述第一四分位数与所述第三四分位数之和减去两倍的所述第二四分位数之差作为分子、所述第三四分位数与所述第一四分位数之差作为分母，计算所述外发字节数的鲍利偏度系数。
85.在本发明实施例中，将所述第一四分位数与所述第三四分位数之和减去两倍的所述第二四分位数之差作为分子、所述第三四分位数与所述第一四分位数之差作为分母，外发字节数的鲍利偏度系数的分子为第一四分位数与第三四分位数之和减去两倍的第二四
分位数之差，分母为第三四分位数与第一四分位数之差，也即，外发字节数的鲍利偏度系数为：
86.(外发字节数的q3值 外发字节数的q1值
–
2*外发字节数的q2值)/(外发字节数的q3值
–
外发字节数的q1值)。
87.步骤s302，在所述预设时间段内，计算所述通信链路的网络连接次数、以及所述时间戳的最大值和最小值之间的时间差，将所述网络连接次数与所述时间差之比作为所述网络连接频率分数。
88.在本发明实施例中，针对每一条通信链路，网络连接次数是指预设时间段内建立连接的次数；时间戳的最大值是指预设时间段的结束时间戳；时间戳的最小值是指预设时间段的起始时间戳。
89.进一步地，时间差即为预设时间段的结束时间戳与起始时间戳之差。网络连接频率分数为网络连接次数与时间差之比，也即，网络连接频率分数为：
90.网络连接次数/(时间戳的最大值
–
时间戳的最小值)＝网络连接次数/(结束时间戳
–
起始时间戳)＝网络连接次数/时间差。
91.需要注意的是，在网络连接频率分数大于1的情况下，规定网络连接频率分数为1，也即，网络连接频率分数的最大值为1。
92.步骤s303，分别统计所述源ip和所述通信链路的活跃数据，根据所述通信链路的活跃数据与所述源ip的活跃数据的比值，计算所述链路活跃度。
93.步骤s3031，统计所述源ip的源ip活跃分钟数和源ip活跃小时数、所述通信链路的链路活跃分钟数和链路活跃小时数。
94.在本发明实施例中，由于恶意通信通常是开机就启动，而且是活跃持续的周期最长，因此，为了加强识别，针对每一条通信链路，统计通信链路的链路活跃分钟数和链路活跃小时数。其中：
95.源ip活跃分钟数是指源ip在预设时间段内存在通信的时间，或者说，客户端在预设时间段内存在通信的时间。比如，一周内源ip每分钟通信一次，其源ip活跃分钟数即为10080分钟。
96.源ip活跃小时数是指以小时为单位计算源ip在预设时间段内存在通信的时间，或者说，以小时为单位计算客户端在预设时间段内存在通信的时间。比如，一周内源ip每分钟通信一次，其源ip活跃小时数即为168小时。
97.链路活跃分钟数是指通信链路在预设时间段内存在通信的时间，比如，一周内b通信链路每分钟通信一次，其链路活跃分钟数即为10080分钟；又比如，一周内c通信链路每30分钟通信一次，其链路活跃分钟数即为336分钟。
98.链路活跃小时数是指以小时为单位计算通信链路在预设时间段内存在通信的时间，比如，一周内b通信链路每小时通信一次，其链路活跃小时数即为168小时。
99.需要说明的是，链路活跃小时数为整数，不满一小时的按一小时计算。
100.步骤s3032，计算所述链路活跃分钟数和所述源ip活跃分钟数的比值、以及所述链路活跃小时数和所述源ip活跃小时数的比值，确定两个比值中的最大值为所述链路活跃度。
101.在本发明实施例中，链路活跃度由链路活跃分钟数比例、链路活跃小时比例中的
最大值确定。其中：
102.链路活跃分钟数比例为链路活跃分钟数和源ip活跃分钟数之比；链路活跃小时比例为链路活跃小时数和源ip活跃小时数之比。
103.步骤s304，查找预设的威胁数据库，确定所述目的ip的目的ip威胁等级和所述访问域名的访问域名威胁等级，选择所述目的ip威胁等级和所述访问域名威胁等级的最大值作为所述威胁等级分数。
104.在本发明实施例中，威胁数据库由黑名单、白名单和威胁情报，黑名单、白名单和威胁情报是由历史攻击数据得到。利用威胁数据库，将网络连接信息的目的ip、http访问信息的访问域名与黑名单、白名单和威胁情报进行匹配，得到网络连接信息的目的ip的目的ip威胁等级、http访问信息的访问域名的访问域名威胁等级。比如，威胁情报提示了目的ip历史上曾属于失陷主机，则其目的ip威胁等级为较高等级。
105.在本发明实施例中，威胁等级分数由目的ip威胁等级、访问域名威胁等级中的最大值确定。
106.在本发明实施例中，通过本发明的通信特征的特征值的确定方法，能够对各个通信链路的通信特征进行分析，确定各个通信链路的通信特征的特征值，为后续的通信链路评判提供参考，通过本发明的通信特征，大大地提高了恶意通信链路检测的准确性。
107.在本发明实施例中，在根据网络连接信息和http访问信息构建通信链路之前，为了进一步减少计算压力，聚焦关键通信链路，本发明根据网络连接信息的源网络属性和目标网络属性，对网络连接日志进行筛选，仅聚焦源网络属性为本地网络且目标网络属性为非本地网络的网络连接日志，在提高检测效率的同时减小检测系统的计算压力。
108.步骤s103，根据预设的通信特征阈值，对所述外发字节数的鲍利偏度系数、所述网络连接频率分数、所述链路活跃度和所述威胁等级分数的特征值进行判断，确定所述预设时间段内的各个所述通信链路下的恶意beacon通信。
109.在本发明实施例中，利用通信检测模型对各个通信特征的特征值进行判断，确定外发字节数的鲍利偏度系数超过鲍利偏度系数阈值、网络连接频率分数超过网络连接频率分数阈值、链路活跃度超过链路活跃度阈值、威胁等级分数超过威胁等级分数阈值的通信链路中的通信为恶意beacon通信。具体地：
110.将各个所述通信特征的特征值输入预训练的通信检测模型，根据所述通信检测模型的输出，确定各个所述通信链路中是否存在恶意beacon通信；其中，所述通信检测模型是根据所述通信特征阈值生成的。
111.在本发明实施例中，如图4所示，本发明的通信检测模型的确定方法包括如下步骤：
112.步骤s401，获取一个或多个客户端的历史网络连接日志；其中，历史网络连接日志包括客户端的历史网络连接信息和历史http访问信息。
113.步骤s402，分别计算各个历史通信链路的外发字节数的鲍利偏度系数、网络连接频率分数、链路活跃度和威胁等级分数。
114.步骤s403，将各个历史通信链路的外发字节数的鲍利偏度系数、网络连接频率分数、链路活跃度和威胁等级分数作为输入，各个历史通信链路的历史安全数据作为输出，对通信检测模型进行迭代训练。
115.在本发明实施例中，历史安全数据包括各个历史通信链路是否是恶意的通信链路。具体地：
116.通信检测模型根据初始设置的鲍利偏度系数阈值、网络连接频率分数阈值、链路活跃度阈值、威胁等级分数阈值等各个通信特征阈值，对历史通信链路的外发字节数的鲍利偏度系数、网络连接频率分数、链路活跃度和威胁等级分数进行判断，确定历史通信链路是否存在恶意beacon通信，并将每次的确定结果与历史安全数据进行对比，从而不断调整通信特征阈值，迭代训练，以确定最终的通信特征阈值。
117.步骤s404，根据训练结果，确定所述通信检测模型。
118.在本发明实施例中，通过本发明的通信检测模型的确定方法，能够生成对各个通信特征的特征值进行判断的通信检测模型，从而在数据预处理模块的基础上，实现对通信链路的检测，以准确识别恶意beacon通信，保障通信安全和用户数据安全。
119.在本发明实施例中，在通信检测模型判断出存在恶意beacon通信的情况下，可以通过安全管理平台展示存在恶意beacon通信的客户端，或者通过安全管理平台发出客户端存在恶意beacon通信的警示提醒，使得安全人员对其进行处理，保障通信安全。
120.在本发明实施例中，通过获取预设时间段内的一个或多个客户端的网络连接日志；其中，所述网络连接日志包括所述客户端的网络连接信息和http访问信息；分别提取所述网络连接信息和所述http访问信息中各个通信链路下的通信特征的特征值；其中，所述通信特征包括外发字节数的鲍利偏度系数、网络连接频率分数、链路活跃度和威胁等级分数；根据预设的通信特征阈值，对所述外发字节数的鲍利偏度系数、所述网络连接频率分数、所述链路活跃度和所述威胁等级分数的特征值进行判断，确定所述预设时间段内的各个所述通信链路下的恶意beacon通信等步骤，能够利用各个客户端通信的网络连接日志，提取各个通信链路下的通信特征，以定位预设时间段内的各个通信链路下存在的恶意beacon通信并处理，无需在客户端部署任何软件，从而在客户端用户无感的情况下对通信情况进行监测以及判断，达到精准识别恶意beacon通信，尤其是低频的恶意beacon通信的目的，提高了通信安全性，保障用户数据安全。
121.图5是根据本发明实施例的恶意beacon通信的检测装置的主要模块的示意图，如图5所示，本发明的恶意beacon通信的检测装置500包括：
122.获取模块501，用于获取预设时间段内的一个或多个客户端的网络连接日志；其中，所述网络连接日志包括所述客户端的网络连接信息和http访问信息。
123.在本发明实施例中，上安装的流量检测功能的所述获取模块501，获取预设时间段内各个客户端的网络连接日志。预设时间段默认是一周。
124.在本发明实施例中，网络连接信息包括源ip、目的ip、时间戳、外发字节数、源网络属性和目的网络属性；其中，源网络属性包括源ip为本地网络和源ip为非本地网络，目的网络属性包括目的ip为本地网络和目的ip为非本地网络。http访问信息包括源ip、时间戳、外发字节数和访问域名。
125.数据预处理模块502，用于分别提取所述网络连接信息和所述http访问信息中各个通信链路下的通信特征的特征值；其中，所述通信特征包括外发字节数的鲍利偏度系数、网络连接频率分数、链路活跃度和威胁等级分数。
126.在本发明实施例中，所述数据预处理模块502提取各个通信链路的外发字节数的
鲍利偏度系数、网络连接频率分数、链路活跃度和威胁等级分数，以便于对各个通信特征的特征值的分析对比。
127.判断模块503，用于根据预设的通信特征阈值，对所述外发字节数的鲍利偏度系数、所述网络连接频率分数、所述链路活跃度和所述威胁等级分数的特征值进行判断，确定所述预设时间段内的各个所述通信链路下的恶意beacon通信。
128.在本发明实施例中，利用通信检测模型对各个通信特征的特征值进行判断，确定外发字节数的鲍利偏度系数超过鲍利偏度系数阈值、网络连接频率分数超过网络连接频率分数阈值、链路活跃度超过链路活跃度阈值、威胁等级分数超过威胁等级分数阈值的通信链路为恶意的通信链路。
129.所述判断模块503将各个通信特征的特征值输入预训练的通信检测模型，根据通信检测模型的输出，确定各个通信链路下是否存在恶意beacon通信；其中，通信检测模型是根据通信特征阈值生成的。
130.在本发明实施例中，通过获取模块、数据处理模块和判断模块等模块，能够利用各个客户端通信的网络连接日志，提取各个通信链路下的通信特征，以定位预设时间段内的各个通信链路下存在的恶意beacon通信并处理，无需在客户端部署任何软件，从而在客户端用户无感的情况下对通信情况进行监测以及判断，达到精准识别恶意beacon通信，尤其是低频的恶意beacon通信的目的，提高了通信安全性，保障用户数据安全。
131.图6示出了适于应用于本发明实施例的恶意beacon通信的检测方法或恶意beacon通信的检测装置的示例性系统架构图，如图6所示，本发明实施例的恶意beacon通信的检测方法或恶意beacon通信的检测装置的示例性系统架构包括：
132.如图6所示，系统架构600可以包括终端设备601、602、603，网络604和服务器605。网络604用以在终端设备601、602、603和服务器105之间提供通信链路的介质。网络604可以包括各种连接类型，例如有线、无线通信链路或者光纤电缆等等。
133.用户可以使用终端设备601、602、603通过网络604与服务器605交互，以接收或发送消息等。终端设备601、602、603上可以安装有各种通讯客户端应用，例如通信检测类应用、购物类应用、网页浏览器应用、搜索类应用、即时通信工具、邮箱客户端、社交平台软件等。
134.终端设备601、602、603可以是具有显示屏并且支持网页浏览的各种电子设备，包括但不限于智能手机、平板电脑、膝上型便携计算机和台式计算机等等。
135.服务器605用于接收企业内部的所有网络流量数据。其上部署有安全管理平台，该管理平台可存储一段时间的所有网络流量日志，并对预设时间段内的网络流量进行处理(例如进行恶意beacon通信检测)，并将处理结果在管理平台的页面上显示。用户的网络管理员可通过查看管理平台上的报警信息对企业内部的安全问题进行相应处理。
136.需要说明的是，本发明实施例所提供的恶意beacon通信的检测方法一般由服务器605执行，相应地，恶意beacon通信的检测装置一般设置于服务器605中。
137.应该理解，图6中的终端设备、网络和服务器的数目仅仅是示意性的。根据实现需要，可以具有任意数目的终端设备、网络和服务器。
138.图7是适于用来实现本发明实施例的终端设备或服务器的计算机系统的结构示意图，如图7所示，本发明实施例的终端设备或服务器的计算机系统700包括：
139.中央处理单元(cpu)701，其可以根据存储在只读存储器(rom)702中的程序或者从存储部分708加载到随机访问存储器(ram)703中的程序而执行各种适当的动作和处理。在ram703中，还存储有系统700操作所需的各种程序和数据。cpu701、rom702以及ram703通过总线704彼此相连。输入/输出(i/o)接口705也连接至总线704。
140.以下部件连接至i/o接口705：包括键盘、鼠标等的输入部分706；包括诸如阴极射线管(crt)、液晶显示器(lcd)等以及扬声器等的输出部分707；包括硬盘等的存储部分708；以及包括诸如lan卡、调制解调器等的网络接口卡的通信部分709。通信部分709经由诸如因特网的网络执行通信处理。驱动器710也根据需要连接至i/o接口705。可拆卸介质711，诸如磁盘、光盘、磁光盘、半导体存储器等等，根据需要安装在驱动器710上，以便于从其上读出的计算机程序根据需要被安装入存储部分708。
141.特别地，根据本发明公开的实施例，上文参考流程图描述的过程可以被实现为计算机软件程序。例如，本发明公开的实施例包括一种计算机程序产品，其包括承载在计算机可读介质上的计算机程序，该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中，该计算机程序可以通过通信部分709从网络上被下载和安装，和/或从可拆卸介质711被安装。在该计算机程序被中央处理单元(cpu)701执行时，执行本发明的系统中限定的上述功能。
142.需要说明的是，本发明所示的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于：具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(ram)、只读存储器(rom)、可擦式可编程只读存储器(eprom或闪存)、光纤、便携式紧凑磁盘只读存储器(cd-rom)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本发明中，计算机可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本发明中，计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式，包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质，该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输，包括但不限于：无线、电线、光缆、rf等等，或者上述的任意合适的组合。
143.附图中的流程图和框图，图示了按照本发明各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分，上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个接连地表示的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图或流程图中的每个方框、以及框图或流程图中的方框的组合，可以用执行规定的功能或操作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组
合来实现。
144.描述于本发明实施例中所涉及到的模块可以通过软件的方式实现，也可以通过硬件的方式来实现。所描述的模块也可以设置在处理器中，例如，可以描述为：一种处理器包括获取模块、数据处理模块和判断模块。其中，这些模块的名称在某种情况下并不构成对该模块本身的限定，例如，数据处理模块还可以被描述为“分别提取所述网络连接信息和所述http访问信息中各个通信链路下的通信特征的特征值的模块”。
145.作为另一方面，本发明还提供了一种计算机可读介质，该计算机可读介质可以是上述实施例中描述的设备中所包含的；也可以是单独存在，而未装配入该设备中。上述计算机可读介质承载有一个或者多个程序，当上述一个或者多个程序被一个该设备执行时，使得该设备包括：获取预设时间段内的一个或多个客户端的网络连接日志；其中，所述网络连接日志包括所述客户端的网络连接信息和http访问信息；分别提取所述网络连接信息和所述http访问信息中各个通信链路下的通信特征的特征值；其中，所述通信特征包括外发字节数的鲍利偏度系数、网络连接频率分数、链路活跃度和威胁等级分数；根据预设的通信特征阈值，对所述外发字节数的鲍利偏度系数、所述网络连接频率分数、所述链路活跃度和所述威胁等级分数的特征值进行判断，确定所述预设时间段内的各个所述通信链路下的恶意beacon通信。
146.根据本发明实施例的技术方案，能够利用各个客户端通信的网络连接日志，提取各个通信链路下的通信特征，以定位预设时间段内的各个通信链路下存在的恶意beacon通信并处理，无需在客户端部署任何软件，从而在客户端用户无感的情况下对通信情况进行监测以及判断，达到精准识别恶意beacon通信，尤其是低频的恶意beacon通信的目的，提高了通信安全性，保障用户数据安全。
147.上述具体实施方式，并不构成对本发明保护范围的限制。本领域技术人员应该明白的是，取决于设计要求和其他因素，可以发生各种各样的修改、组合、子组合和替代。任何在本发明的精神和原则之内所作的修改、等同替换和改进等，均应包含在本发明保护范围之内。