一种恶意beacon通信的检测方法和装置与流程

技术特征：
1.一种恶意beacon通信的检测方法，其特征在于，所述方法用于安全管理平台，包括：获取预设时间段内的一个或多个客户端的网络连接日志；其中，所述网络连接日志包括所述客户端的网络连接信息和http访问信息；分别提取所述网络连接信息和所述http访问信息中各个通信链路下的通信特征的特征值；其中，所述通信特征包括外发字节数的鲍利偏度系数、网络连接频率分数、链路活跃度和威胁等级分数；根据预设的通信特征阈值，对所述外发字节数的鲍利偏度系数、所述网络连接频率分数、所述链路活跃度和所述威胁等级分数的特征值进行判断，确定所述预设时间段内的各个所述通信链路下的恶意beacon通信。2.根据权利要求1所述的方法，其特征在于，所述网络连接信息包括源ip、目的ip、时间戳和外发字节数，所述http访问信息包括访问所述源ip和访问域名；所述分别提取所述网络连接信息和所述http访问信息中各个通信链路下的通信特征的特征值，包括：根据所述源ip和所述目的ip、或者所述源ip和所述访问域名，构建各个所述通信链路；利用所述时间戳、所述目的ip、所述外发字节数和所述访问域名，确定各个所述通信链路下的通信特征的特征值。3.根据权利要求2所述的方法，其特征在于，所述利用所述时间戳、所述目的ip、所述外发字节数和所述访问域名，确定各个所述通信链路下的通信特征的特征值，包括：根据所述外发字节数，确定所述外发字节数的鲍利偏度系数；在所述预设时间段内，计算所述通信链路的网络连接次数、以及所述时间戳的最大值和最小值之间的时间差，将所述网络连接次数与所述时间差之比作为所述网络连接频率分数；分别统计所述源ip和所述通信链路的活跃数据，根据所述通信链路的活跃数据与所述源ip的活跃数据的比值，计算所述链路活跃度；查找预设的威胁数据库，确定所述目的ip的目的ip威胁等级和所述访问域名的访问域名威胁等级，选择所述目的ip威胁等级和所述访问域名威胁等级的最大值作为所述威胁等级分数。4.根据权利要求3所述的方法，其特征在于，所述根据所述外发字节数，确定所述外发字节数的鲍利偏度系数，包括：在所述预设时间段内，计算所述外发字节数的第一四分位数、所述外发字节数的第二四分位数、所述外发字节数的第三四分位数；将所述第一四分位数与所述第三四分位数之和减去两倍的所述第二四分位数之差作为分子、所述第三四分位数与所述第一四分位数之差作为分母，计算所述外发字节数的鲍利偏度系数。5.根据权利要求3所述的方法，其特征在于，所述分别统计所述源ip和所述通信链路的活跃数据，根据所述通信链路的活跃数据与所述源ip的活跃数据的比值，计算所述链路活跃度，包括：统计所述源ip的源ip活跃分钟数和源ip活跃小时数、所述通信链路的链路活跃分钟数和链路活跃小时数；计算所述链路活跃分钟数和所述源ip活跃分钟数的比值、以及所述链路活跃小时数和
所述源ip活跃小时数的比值，确定两个比值中的最大值为所述链路活跃度。6.根据权利要求2所述的方法，其特征在于，所述网络连接信息还源网络属性和目的网络属性；在所述根据所述源ip和所述目的ip、或者所述源ip和所述访问域名，构建各个所述通信链路之前，还包括：筛选所述源网络属性为本地网络且所述目的网络属性为非本地网络的网络连接日志。7.根据权利要求1所述的方法，其特征在于，所述根据预设的通信特征阈值，对各个所述通信特征的特征值进行判断，确定所述预设时间段内的各个所述通信链路下的恶意beacon通信，包括：将各个所述通信特征的特征值输入预训练的通信检测模型，根据所述通信检测模型的输出，确定各个所述通信链路中是否存在恶意的通信链路；其中，所述通信检测模型是根据所述通信特征阈值生成的。8.根据权利要求1所述的方法，其特征在于，还包括：在所述安全管理平台展示存在恶意beacon通信的客户端。9.一种恶意beacon通信的检测装置，其特征在于，所述装置用于安全管理平台，包括：获取模块，用于获取预设时间段内的一个或多个客户端的网络连接日志；其中，所述网络连接日志包括所述客户端的网络连接信息和http访问信息；数据预处理模块，用于分别提取所述网络连接信息和所述http访问信息中各个通信链路下的通信特征的特征值；其中，所述通信特征包括外发字节数的鲍利偏度系数、网络连接频率分数、链路活跃度和威胁等级分数；判断模块，用于根据预设的通信特征阈值，对所述外发字节数的鲍利偏度系数、所述网络连接频率分数、所述链路活跃度和所述威胁等级分数的特征值进行判断，确定所述预设时间段内的各个所述通信链路下的恶意beacon通信。10.一种恶意beacon通信的检测的电子设备，其特征在于，包括：一个或多个处理器；存储装置，用于存储一个或多个程序，当所述一个或多个程序被所述一个或多个处理器执行，使得所述一个或多个处理器实现如权利要求1-8中任一所述的方法。11.一种计算机可读介质，其上存储有计算机程序，其特征在于，所述程序被处理器执行时实现如权利要求1-8中任一所述的方法。

技术总结
本发明公开了一种恶意beacon通信的检测方法和装置，涉及信息安全技术领域。具体实施方式包括：获取预设时间段内的客户端的网络连接日志；分别提取网络连接信息和http访问信息中各个通信链路下的通信特征的特征值；根据预设的通信特征阈值，对外发字节数的鲍利偏度系数、网络连接频率分数、链路活跃度和威胁等级分数的特征值进行判断，确定预设时间段内的各个通信链路下的恶意beacon通信。该实施方式利用客户端通信的网络连接日志，提取通信链路下的通信特征，以定位预设时间段内的通信链路下存在的恶意beacon通信，无需在客户端部署任何软件，从而在客户端用户无感的情况下精准识别恶意beacon通信，尤其是低频的恶意beacon通信，提高通信安全性，保障用户数据安全。保障用户数据安全。保障用户数据安全。


技术研发人员：周赵军 吴雪阳
受保护的技术使用者：成都天空卫士网络安全技术有限公司
技术研发日：2022.10.09
技术公布日：2023/1/31