[发明专利]基于可信度的网络恶意行为检测方法

摘要

基于可信度的网络恶意行为检测方法。本发明以分析网络行为的可信度代替设定固定阈值，实现对网络恶意行为的检测。首先提取网络恶意数据的特征，例如，时间戳、发送的数据包数量、发送数据的频率等，将二进制的网络数据转换成特征向量。大量的恶意网络数据对应的特征向量组成特征矩阵。然后确定不一致性度量函数，计算一个特征矩阵中所有特征向量与该矩阵的不一致性，根据计算结果计算出每个特征向量的统计量p‑value。最后通过用户设定的可信度，计算出用户可接受的最大错误概率；当未知网络行为被发现后，计算该网络行为对于网络恶意行为矩阵的统计量p‑value，如果统计量p‑value大于用户可接受的最大错误概率，则报告该网络行为是恶意网络行为。

主权项

1.基于可信度的网络恶意行为检测方法，其特征在于该方法包括如下步骤：/n第1步、基本概念：/n(1)网络恶意行为：是指以数据包为载体的，在未明确提示用户或未经用户许可的情况下，通过网络对用户计算机或其他终端进行的、侵犯用户合法权益的恶意行为；大量的网络恶意行为的集合为网络恶意行为集合；/n(2)不一致性度量函数：描述一个样本与一组样本的不一致性，输入是一组样本和一个测试样本，输出是一个数值，也叫做不一致性得分，得分越高，说明样本与该组样本越不一致，得分越低，说明样本与该组样本越一致；/n(3)统计量p-value：描述一个样本的不一致性得分在一组样本中的百分位，取值范围在0到1之间，从统计的角度刻画一个样本与一组样本的相似性；/n第2步、网络行为特征的提取/n第2.1、确定网络行为的表示粒度，其中包括：数据包级粒度，NetFlow级粒度和应用级粒度；/n数据包级粒度，每个数据包表示一个网络行为；NetFlow级粒度，一个网络连接过程的所有网络数据表示一个网络行为；应用级粒度，一个应用过程的所有数据包表示一个网络行为；/n第2.2、选择网络行为的特征点f；根据不同的数据集，选择不同的网络行为特征点f；/n第2.3、提取特征点，将网络行为抽象成特征向量V；在可选网络行为特征点中，选择n个特征点组成特征向量V(f