申请/专利权人：神州网云(北京)信息技术有限公司

申请日：2021-09-15

公开（公告）日：2024-04-23

公开（公告）号：CN113691562B

主分类号：H04L9/40

分类号：H04L9/40;H04L41/142;H04L41/16;G06F16/903;G06N20/10;G06N5/01

优先权：

专利状态码：有效-授权

法律状态：2024.04.23#授权;2021.12.10#实质审查的生效;2021.11.23#公开

摘要：本发明公开了一种精确识别恶意网络通讯的规则引擎实现方法，涉及网络通讯规则引擎技术领域，包括步骤1‑步骤8；本发明降低了使用者的使用门槛、增强了恶意流量识别的效率且提高了识别准确；本发明除了要对使用者使用的过程进行人性化优化以外，更重要的是对识别策略和识别方法的改进，通过改进识别流程，拆分识别职责，从而提升识别效率和识别准确率，在识别准确率方面，本识别引擎设计了一套完整的恶意特征生成体系，系统可以通过不断的允许自主完成特征的更新操作，从而更精准更快速的将恶意信息反馈给网络安全管理相关人员；实现可视化且人性的操作页面、增加无风险流量检测模块、增加强风险流量检测模块、增加机器学习识别模块。

主权项：1.一种精确识别恶意网络通讯的规则引擎实现方法，其特征在于，包括如下步骤：步骤1、系统进行服务器搭建，本服务器使用串接方式接入组织的外网接口；步骤2、进行引擎PDUMP抓包作为网络流量的入口，对出入流量进行实时抓包留存处理，其中包括大量正常流量，把可识别的正常流量排除掉；步骤3、使用正则匹配算法针对每条会话信息特征进行匹配排除，依据是累积的正常会话特征库；步骤4、在上一步的基础上，发现的可疑会话流量，判断是否是已知的恶意攻击行为，如果匹配正确，做告警处理，同时判断是否还有未匹配的流量数据，如果还有剩余，将这部分数据丢进大数据特征学习匹配平台，做后续处理；步骤5、大数据处理平台的另一个作用就是与安全特征库和风险特征库的数据的交流处理，通过学习已知风险对风险变种进行识别区分；步骤6、安全会话特征库是针对正常的网络会话总结的一套特征库，用于放行安全会话信息，此部分信息专业人员可以协助维护；步骤7、危险会话特征库是经过多方渠道，累积下来的已知危险会话特征，所述危险会话特征库还包括系统自主学习生成的特征库，此部分信息专业人员可以协助维护；步骤8、系统采用各种反馈机制，完成系统运行与网安人员的互动，及时发现问题，处理危情；步骤3至步骤4中特征匹配过滤流程包括三个步骤：S1、第一步完成对会话数据的还原操作，这一步操作通过定义还原策略的方式进行还原，排除掉不需要的会话信息，还原关键点和特征，主要包含数据包中第18到28位的数据；S2、第二步通过特征库进行字符串和五元组匹配，首先检查会话的五元组信息，在已知特征表里找出对应的特征，完成数据匹配；S3、第三步采用字符串通配法匹配特征，查找对应数据，利用字符串特征构建字符串索引，使检索的效率增加，快速匹配数据值；步骤4中，所述大数据特征学习匹配平台处理数据包括：首先要对数据包进行格式化的检查整理，处理成本系统可以分析的格式化数据，其中包括数据的解析，统一按照逗号分隔的形式拆分数据字段；根据网络会话协议对网络数据进行数据分析，其中包括对不相关数据的丢弃，可用数据的提取；对会话的传输数据进行特征提取，这部分对数据的关键字符串进行提取，在数据包里面是报文第18位到28位的区间范围，这部分字符串作为识别会话特点的特征；将提取到的特征数据按照字符串匹配法对特征进行归类；然后针对旧的特征衍生策略，和自定义的特征衍生策略，自学习生成同种类的特征，方法主要是通过增加统配符的方式进行扩展；本规则引擎实现方法中的机器学习算法主要采用的是支持向量机和决策树，完成对特征的衍生和整理以及快速分类和扩充；样本库提供了机器学习的学习样本，使机器学习策略按照需求进行数据分析处理；针对处理完之后剩余未识别的流量数据，提供人为介入的接口，网安人员可以对剩余数据进行经验分析，确定是否放行。

全文数据：

权利要求：

百度查询： 神州网云(北京)信息技术有限公司 一种精确识别恶意网络通讯的规则引擎实现方法

免责声明
1、本报告根据公开、合法渠道获得相关数据和信息，力求客观、公正，但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解，仅供参考使用，不能作为本公司承担任何法律责任的依据或者凭证。

阅读全文 双屏查看 官方信息 专利公告 收藏专利 下载PDF 下载WORD