[发明专利]一种基于计算机内存取证技术的恶意流量检测方法

权利要求书

1.基于计算机取内存证技术的恶意流量检测方法，其特征在于，该方法包括以下步骤：

步骤1：获取计算机物理内存的转储文件。

步骤2：使用Volatility取证框架提取内存镜像中的流量。

步骤3：对流量会话建立模型并检测异常模式。

步骤4：检测网络端口扫描，以及非法的TCP状态序列。

步骤5：收集并关联异常模式，并对流量是否异常做出最终决定。

2.根据权利要求1所述的基于计算机取内存证技术的恶意流量检测方法，其特征在于，所述步骤1中，获取计算机物理内存的转储文件，具体步骤为：

步骤1-1判断被害主机是否为虚拟机，若是则拍摄快照文件，若不是进行步骤1-2；

步骤1-2判断被害主机是否处于运行状态，若不是，则检查磁盘中的休眠文件和崩溃转储，若被害主机处于运行状态进行步骤1-3；

步骤1-3判断是否拥有被害主机的操作权限，若拥有权限，则通过运行DumpIt生成转储文件。

3.根据权利要求1所述的基于计算机取内存证技术的恶意流量检测方法，其特征在于，所述步骤2中，使用Volatility取证框架提取内存镜像中的流量，具体步骤为：

步骤2-1查找并解析内核调试数据块_KDDEBUGGER_DATA64；

步骤2-2通过内核调试数据块获取被害主机操作系统版本信息；

步骤2-3根据版本信息导入配置文件；

步骤2-4通过使用ethscan模块从被害主机中提取出数据包。

4.根据权利要求1所述的基于计算机取内存证技术的恶意流量检测方法，其特征在于，所述步骤3中，对流量会话建立模型并检测异常模式，具体步骤为：

步骤3-1定义流量会话；

步骤3-2表示流量到达时间间隔的特征；

步骤3-3表示流量的大小特征；

步骤3-4表示终端主机的等级特征。

5.根据权利要求1所述的基于计算机取内存证技术的恶意流量检测方法，其特征在于，在所述步骤4中，检测网络端口扫描，以及非法的TCP状态序列，具体过程为：

步骤4-1根据流量中访问的端口号确定服务，进而确定测数据包中数据是否合法；

步骤4-2检测TCP状态序列。

6.根据权利要求1所述的基于计算机取内存证技术的恶意流量检测方法，其特征在于，在所述步骤5中，收集并关联异常模式，并对流量是否异常做出最终决定，具体过程为：

步骤5-1计算离群值、周期计数和递增计数；

步骤5-2建立一阶线性模型；

步骤5-3基于证据收集的决策。