[发明专利]恶意行为实时检测方法及装置

权利要求书

1.一种恶意行为实时检测方法，应用于SDN网络系统中，其特征在于，所述方法包括：

基于包含云平台上的可能攻击方案的恶意行为攻击模型，建立云计算环境下的恶意行为攻击特征库；

基于所述恶意行为攻击特征库，实时检测网络中的当前数据流中是否有恶意行为；

在为是时，表征当前存在网络攻击，对所述当前数据流进行拦截。

2.根据权利要求1所述的方法，其特征在于，基于所述恶意行为攻击特征库，实时检测网络中的当前数据流中是否有恶意行为，包括：

获取网络中的当前数据流；

利用模式生成器挖掘所述当前数据流，获得当前行为特征；

判断所述当前行为特征是否与所述恶意行为攻击特征库中的恶意行为匹配；

其中，在为匹配时，表征所述当前数据流中存在恶意行为。

3.根据权利要求1-2中任一权项所述的方法，其特征在于，在基于所述恶意行为攻击特征库，实时检测网络中的当前数据流中是否有恶意行为之后，所述方法还包括：

在所述当前数据流中有恶意行为时，生成恶意行为检测结果；

将所述恶意行为检测结果发送给SDN控制器，以使所述SDN控制器将所述恶意行为检测结果反馈给OpenFlow交换机，并使所述OpenFlow交换机能够基于所述恶意行为检测结果，对与所述当前数据流具有相同特征的数据流进行拦截。

4.根据权利要求3所述的方法，其特征在于，基于包含云平台上的可能攻击方案的恶意行为攻击模型，建立云计算环境下的恶意行为攻击特征库之前，所述方法还包括：

对已知攻击行为利用Petri-Net网描述攻击路径，并形成所述已知攻击行为的检测规则；

对网络数据进行挖掘和渗透测试，确定可能攻击手段及安全威胁点，进而获得所述可能攻击方案；

将所述已知攻击行为的检测规则及所述可能攻击方案进行合并，获得所述恶意行为攻击模型。

5.根据权利要求1-2中任一权项所述的方法，其特征在于，在基于分析获得的云平台上的可能攻击方案建立云计算环境下的恶意行为攻击特征库之后，所述方法还包括：

基于大数据分析的恶意行为挖掘模型BDAMB，发现系统数据之间的关联关系；

结合日志数据对系统状态的变化进行挖掘，以获取未知攻击特征，并将所述未知攻击特征加入所述恶意行为攻击特征库。

6.根据权利要求1-2中任一权项所述的方法，其特征在于，所述方法还包括：

采用嵌套式滑动窗口遗传算法频繁模式挖掘模型NSWGM并利用滑动窗口技术扫描所述当前数据流，获得当前滑动窗口数据流；

对所述当前滑动窗口数据流进行分块，形成嵌套数据子窗口群；

使用并行遗传算法挖掘每个嵌套数据子窗口中的频繁项集，并合并扫描嵌套子窗口上的块频繁模式，获得当前滑动窗口中的频繁模式。

7.根据权利要求1-2中任一权项所述的方法，其特征在于，所述方法还包括：

以细粒度监控方式，通过虚拟机中事件探测器监听所述虚拟机的系统调用事件，异常调用事件，中断事件及资源访问事件；

将所述系统调用事件，所述异常调用事件，所述中断事件及所述资源访问事件存储在事件缓冲区中；

当所述事件缓冲区满时，触发虚拟中断通知Dom0中的行为监控功能，进而获取监听到所述系统调用事件，所述异常调用事件，所述中断事件及所述资源访问事件；

以粗粒度方式，监控硬件资源的访问事件，其中，所述硬件资源包括：CPU和/或内存。

8.一种恶意行为实时检测装置，应用于SDN网络系统中，其特征在于，所述装置包括：

特征库模块，用于基于包含云平台上的可能攻击方案的恶意行为攻击模型，建立云计算环境下的恶意行为攻击特征库；

检测模块，用于基于所述恶意行为攻击特征库，实时检测网络中的当前数据流中是否有恶意行为；

拦截模块，用于在所述当前数据流中有恶意行为时，表征当前存在网络攻击，对所述当前数据流进行拦截。