專利名稱:一種竊密木馬的tcp心跳行為的檢測(cè)方法
技術(shù)領(lǐng)域:
本發(fā)明涉及竊密木馬檢測(cè)領(lǐng)域��,是一種竊密木馬的TCP (TransmissionControlProtocol��,傳輸控制協(xié)議)心跳行為的檢測(cè)方法�。
背景技術(shù):
近年來,網(wǎng)絡(luò)失泄密事件頻頻發(fā)生���,給國家和社會(huì)造成了嚴(yán)重?fù)p失和重大影響���。其中很大一部分泄密事件來自于竊密木馬攻擊,檢測(cè)竊密木馬對(duì)檢測(cè)失泄密事件具有重要的積極意義���。由于竊密木馬具有隱蔽性、潛伏性等特征���,一旦竊取敏感數(shù)據(jù)成功�,輕則造成隱私泄露��,重則使企業(yè)或國家遭受重大損失�。簡單地通過關(guān)鍵字匹配、特征碼掃描等方式對(duì)加密傳輸木馬和最新的木馬已無能為力����,一種能檢測(cè)未知木馬�����、基于網(wǎng)絡(luò)行為的檢測(cè)方法正逐漸流行���。大多數(shù)竊密木馬控制端為了監(jiān)控受控端的狀態(tài),兩者直接會(huì)適時(shí)地通信�,這種保活措施稱為心跳行為�����,產(chǎn)生的數(shù)據(jù)包稱為心跳數(shù)據(jù)包����。這些數(shù)據(jù)包或者具有周期行為,或者為了躲避統(tǒng)計(jì)分析進(jìn)行了隨機(jī)化處理�。目前竊密木馬主要的心跳行為類型如表I所示。表I竊密木馬心跳行為說明 [°°05]
權(quán)利要求
1.一種竊密木馬的TCP傳輸控制協(xié)議心跳行為的檢測(cè)方法�,其特征在于,包括步驟1����,抓取網(wǎng)絡(luò)數(shù)據(jù)包���,還原成TCP數(shù)據(jù)流,并記錄TCP數(shù)據(jù)流信息��;步驟2��,檢測(cè)是否有TCP?����;钚奶袨榕袛鄟碜苑?wù)端和客戶端的心跳數(shù)據(jù)包數(shù)量是否超過最少心跳數(shù)據(jù)包數(shù)量�,若是則存在TCP保活心跳行為��,并執(zhí)行步驟5�,否則根據(jù)竊密木馬的連接持續(xù)時(shí)間是否超過閾值,執(zhí)行步驟3或步驟4 �����;步驟3�,若連接持續(xù)時(shí)間超過閾值����,檢測(cè)是否有TCP連接內(nèi)心跳行為根據(jù)一個(gè)連接內(nèi)每個(gè)方向的數(shù)據(jù)包的字節(jié)數(shù)和時(shí)間����,判斷字節(jié)數(shù)大小相似的數(shù)據(jù)包的發(fā)送序列是否具有周期性��,若是則判斷為可疑TCP連接內(nèi)心跳行為���,并執(zhí)行步驟5�,否則結(jié)束檢測(cè)流程�����;步驟4�,若連接持續(xù)時(shí)間未超過閾值,檢測(cè)是否有TCP連接級(jí)心跳行為分析具有相同三元組的若干連續(xù)TCP短連接的時(shí)間和通信字節(jié)數(shù)��,判斷通信字節(jié)數(shù)相似的連接序列是否具有周期性��,若是則判斷為可疑TCP連接級(jí)心跳行為��,并執(zhí)行步驟5����,否則結(jié)束檢測(cè)流程; 步驟5�,檢測(cè)步驟2��、步驟3或步驟4得到的相應(yīng)心跳行為是否存在誤判��,若是則返回步驟1�,否則結(jié)束檢測(cè)流程����。
2.根據(jù)權(quán)利要求1所述的檢測(cè)方法,其特征在于�����,所述步驟I中的TCP數(shù)據(jù)流信息包括通信開始時(shí)間�、結(jié)束時(shí)間、源IP地址��、目的IP地址���、源端口����、目的端口��、數(shù)據(jù)包字節(jié)數(shù)��、數(shù)據(jù)包到達(dá)時(shí)間�����、序列號(hào)和確認(rèn)序列號(hào)�����。
3.根據(jù)權(quán)利要求1所述的檢測(cè)方法����,其特征在于,所述步驟2中判斷一個(gè)數(shù)據(jù)包是否為心跳數(shù)據(jù)包的條件為
4.根據(jù)權(quán)利要求1所述的檢測(cè)方法���,其特征在于�,所述步驟2中根據(jù)竊密木馬連接持續(xù)時(shí)間是否超過閾值�����,執(zhí)行步驟3或步驟4具體包括若連接持續(xù)時(shí)間超過閾值����,則為竊密木馬建立的長連接,并執(zhí)行步驟3,否則為竊密木馬建立的短連接�,并執(zhí)行步驟4。
5.根據(jù)權(quán)利要求1所述的檢測(cè)方法�,其特征在于,所述步驟3中��,判斷字節(jié)數(shù)大小相似的數(shù)據(jù)包的發(fā)送序列是否具有周期性具體包括過濾掉字節(jié)數(shù)超過數(shù)據(jù)包最大字節(jié)數(shù)的數(shù)據(jù)包�,然后將字節(jié)數(shù)大小相似的數(shù)據(jù)包聚為一類,每一類中的數(shù)據(jù)包按到達(dá)時(shí)間排序�����,計(jì)算相鄰數(shù)據(jù)包到達(dá)時(shí)間差值的均值和方差��。判斷該連接是否有TCP連接內(nèi)心跳行為的條件為
6.根據(jù)權(quán)利要求5所述的檢測(cè)方法����,其特征在于,將字節(jié)數(shù)大小相似的數(shù)據(jù)包聚為一類具體包括通過相似度倒數(shù)P來確定字節(jié)數(shù)大小相似的數(shù)據(jù)包�����,P越小��,數(shù)據(jù)包的相似度越大�����,將P小于相似度閾值Ω的數(shù)據(jù)包聚為一類�����,且所述相似度倒數(shù)P的計(jì)算公式為式中�����,
7.根據(jù)權(quán)利要求1所述的檢測(cè)方法����,其特征在于,所述步驟4中三元組是指源IP地址�、 目的IP地址和目的端口號(hào)。
8.根據(jù)權(quán)利要求1所述的檢測(cè)方法����,其特征在于,所述步驟4中判斷通信字節(jié)數(shù)相似的連接序列是否具有周期性具體包括采用步驟3的方法��,使用不同的到達(dá)時(shí)間方差閾值和數(shù)據(jù)包數(shù)量閾值�����,確定TCP連接是否具有周期性。
9.根據(jù)權(quán)利要求1所述的檢測(cè)方法��,其特征在于�����,所述步驟5中檢測(cè)步驟2����、步驟3或步驟4得到的相應(yīng)心跳行為是否存在誤判時(shí),不存在誤判的條件為其中Sumrat和Sumin表示排除心跳報(bào)文或連接后內(nèi)網(wǎng)主機(jī)發(fā)送和接收的字節(jié)數(shù)�,Φ是比值閾值,
全文摘要
本發(fā)明涉及一種竊密木馬的TCP心跳行為的檢測(cè)方法�����,包括步驟1�,抓取網(wǎng)絡(luò)數(shù)據(jù)包,還原成TCP數(shù)據(jù)流�;步驟2,檢測(cè)是否有TCP?;钚奶袨椋徊襟E3��,檢測(cè)是否有TCP連接內(nèi)心跳行為���;步驟4�,檢測(cè)是否有TCP連接級(jí)心跳行為步驟5,對(duì)檢測(cè)出的竊密木馬心跳行為進(jìn)行誤判檢測(cè)�。本發(fā)明基于網(wǎng)絡(luò)數(shù)據(jù)包大小、方向和時(shí)間等特征��,能計(jì)算出心跳的周期及其波動(dòng)的范圍�����,方法簡單��,檢測(cè)結(jié)果準(zhǔn)確全面���,能運(yùn)用在實(shí)時(shí)檢測(cè)竊密木馬的系統(tǒng)中,具有較好的檢測(cè)效果�。
文檔編號(hào)H04L12/26GK103036743SQ20121055537
公開日2013年4月10日 申請(qǐng)日期2012年12月19日 優(yōu)先權(quán)日2012年12月19日
發(fā)明者陳小軍, 時(shí)金橋, 張浩亮, 蒲以國, 譚慶豐, 徐菲, 胡蘭蘭 申請(qǐng)人:中國科學(xué)院信息工程研究所