(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210959300.7 (22)申请日 2022.08.10 (71)申请人 广州天懋信息系统股份有限公司 地址 510000 广东省广州市天河区体 育东 路140-148号四楼自编 编号403房 (72)发明人 邹凯　陈凯枫　 (74)专利代理 机构 广东省中源正拓专利代理事 务所(普通 合伙) 44748 专利代理师 王明亮 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 一种恶意周期行为检测方法 (57)摘要 本发明公开了一种恶意周期行为检测方法， 包括以下步骤:步骤一： 获取流量数据： 从 网络流 量采集设备或流量数据存储服务器中获取网络 通信流量数据； 步骤二： 处理流量数据： 对步骤一 获取的流量数据进行白名单过滤处理， 对不满足 白名单的流量数据按照行为筛选方式进行筛选， 得到同类行为发生时间数据并进行升序排列， 再 计算行为间隔序列， 并对行为间隔序列进行分窗 处理， 得到检测对象的多窗口间隔序列数据； 步 骤三： 基于 “高适应性最优间隔单元算法 ”对多窗 口间隔序列分别进行恶意周期行为检测， 每个检 测对象将得到多个检测窗口的检测结果， 步骤 四： 将步骤三检测对象 的总恶意度和总恶意率两 个指标作为最终检测结果， 输出至恶意行为告警 与响应系统。 权利要求书2页 说明书8页 附图2页 CN 115396163 A 2022.11.25 CN 115396163 A 1.一种恶意周期行为检测方法， 其特 征在于， 包括以下步骤: 步骤一： 获取流量数据： 从网络流量采集设备或流量数据存储服务器中获取网络通信 流量数据； 步骤二： 处理流量数据： 对步骤一获取的流量数据进行白名单过滤处理， 对不满足白名 单的流量数据按照行为筛选方式进行筛选， 得到同类行为发生时间数据并进行升序排列， 再计算行为间隔序列， 并对行为间隔序列进行分窗处理， 得到检测对 象的多窗口间隔序列 数据； 步骤三： 基于 “高适应性最优 间隔单元算法 ”对多窗口间隔序列分别进行恶意周期行为 检测， 每个检测对象将得到多个检测窗口的检测结果， 检测结果包括总恶意度、 总恶意率和 周期； 步骤四： 将步骤三检测对象的总恶意度和总恶意率两个指标作为最终检测结果， 输出 至恶意行为告警与响应系统。 2.根据权利要求1所述的一种恶意周期行为检测方法,其特征在于， 步骤一中， 所述流 量数据包 含的主要字段包括 客户端IP、 服 务端IP和行为发生时间。 3.根据权利要求1所述的一种恶意周期行为检测方法,其特征在于， 步骤二中， 行为筛 选方式在不同应用场景中， 包括多种筛 选方式， 如： 客户端IP+服 务端IP+应用层协议； 客户端IP+服 务端IP+应用层协议+应用层会话持续时间小于X秒； 客户端IP+应用层协议+应用层会话总流 量小于等于 Y比特； 应用层协议+应用层登录用户名+应用层登录失败； 客户端IP+其 他协议层行为； 其中， X和Y是根据待检测协议历史数据计算得到的经验阈值。 4.根据权利要求1所述的一种恶意周期行为检测方法,其特征在于， 步骤二中， 行为间 隔序列的计算方法是通过计算后一个行为时间点距离上一个行为时间点的时间差， 即得到 行为间隔时间。 5.根据权利要求1所述的一种恶意周期行为检测方法,其特征在于， 步骤二中， 检测对 象的多窗口间隔序列数据的获取为设置2个分窗参数： 窗口大小window_size和分窗步长 window_step， 按照每window_size个间隔元素划分一次窗口， 再向前滑动window_step个间 隔元素再次划分一次窗口， 直到最后所剩间隔元 素不足窗口大小时停止； 其中， window_size、 w indow_step均为 正整数。 6.根据权利要求1所述的一种恶意周期行为检测方法,其特征在于， 步骤三中， 总恶意 度为多个窗口 的“恶意度”的均值计算得到； 总恶意率为多个窗口 的“是否恶意 ”的恶意比例计算得到 。 7.根据权利要求6所述的一种恶意周期行为检测方法,其特征在于， 步骤三中， 高适应 性最优间隔单 元算法的步骤如下： K1： 输入： 待检测的单个间隔序列series、 下界系数L、 上界系数U、 搜索步数用step_ size、 标准 化系数N； K2： 计算多个参数： 搜索下界lower、 搜索上界upper、 计算搜索步长step； 计算离散搜索 范围searc h_scope；权　利　要　求　书 1/2 页 2 CN 115396163 A 2其中， lower＝min(series)*L， 其中mi n表示求序列series的最小值； upper＝median(series)*U， 其中median表示 求序列series的中位数； step＝(up per‑lower)/step_size； search_scope＝range(l ower,upper,step)； 其中， range表示从lower开始， 每隔step长度取1个搜索点， 直到upper为止， 总共得到 step_size个搜索点； K3： 计算离 散搜索范围中每 个搜索点“损失值”， 得到损失值序列Cost； K4： 计算周期UN IT和恶意度an omaly； 其中， 周期： 恶意度： 求Cost中最小值时其下标i的取值， 用imin表示， N为输入的标准化系数， RL1为损失函 数； K5： 通过经验阈值法或统计学 方法或机器学习方法确定恶意度阈值T； K6： 判断检测对象是否恶意an omaly_bi nary， 如下： 其中， T为恶意度阈值； 1表示 “恶意”， 0表示“非恶意”； K7： 输出单个间隔序列的检测结果： 恶意度anomaly、 是否恶意anomaly_binary和周期 UNIT； 其中， 下界系数L取值为0.5 ‑1之间的正数， 上界系数U＝1； 搜索 步数step_size＝1000， 标准化系数N＝4， 恶意度阈值T＝0.45 。 8.根据权利要求7所述的一种恶意周期行为检测方法,其特征在于， K3中， 损失值序列 Cost的获取步骤如下： K31： ui是离 散搜索范围searc h_scope中第i个元 素； K32: 其中， Cost_Functi on表示损失函数； Cost_Functi on损失函数的计算公式， 包括： K321： RL1损失函数： K322： RLk损失函数： 其中“C”表示序列x的所有元素个数, 表示四舍五入取整运算符， “||”表示取绝 对值运算符， k是正整数。权　利　要　求　书 2/2 页 3 CN 115396163 A 3