一種基于終端流量的木馬檢測方法
【專利摘要】本發(fā)明提供一種基于終端流量的木馬檢測方法�����,包括以下步驟:捕獲數(shù)據(jù)流量信息��,并分析時間段流量���;對終端上下行數(shù)據(jù)流量進行分析���;通過智能分析的數(shù)據(jù)流量與通信白名單數(shù)據(jù)進行核準匹配;終端流量數(shù)據(jù)包正確性檢測����。本發(fā)明提供的基于終端流量的木馬檢測方法,改變了原有根據(jù)已有特征碼�����、樣本、惡意代碼等常規(guī)木馬檢測手段���,對高隱藏����、免殺��、不規(guī)則通信���、系統(tǒng)程序文件注入式等方式的木馬不能進行及時發(fā)現(xiàn)或查殺,通過終端流量木馬檢測方法����,可以對終端數(shù)據(jù)流量進行實時監(jiān)控,通過多維度檢測模型判定程序產(chǎn)生的流量數(shù)據(jù)是否存在異常���,對變種木馬���、高級木馬或殘留木馬深度檢測,提高計算機安全性����、降低誤報率���、提高木馬定位準確性。
【專利說明】一種基于終端流量的木馬檢測方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明屬于信息安全【技術(shù)領(lǐng)域】�����,具體涉及一種基于終端流量的木馬檢測方法�����。
【背景技術(shù)】
[0002]木馬是網(wǎng)絡(luò)安全的一大威脅�,隨著網(wǎng)絡(luò)技術(shù)日新月異,殺毒軟件阻止了多種計算機病毒的傳播����,受到利益驅(qū)使,木馬程序也在不斷升級完善自己�,木馬程序制作者也采用多種技術(shù)手段優(yōu)化木馬程序,將相關(guān)木馬程序進行免殺處理�����、自動隱藏��、關(guān)閉安全防護軟件��、采用反彈等技術(shù)或容錯時間與外界通信等技術(shù)規(guī)避安全軟件的檢測;未來木馬將更注重隱藏�����、底層通信���、Oday漏洞利用等技術(shù)進行與查殺工具對抗����。
[0003]傳統(tǒng)木馬查殺技術(shù)基于程序動作行為���、特征碼或具有針對性的查殺工具為主,不能快速識別最新或已升級的木馬程序���,計算機用戶無法診斷判定程序是否為木馬或已種木馬�����,而且病毒木馬還在網(wǎng)絡(luò)中四溢擴散播種��,以往認為導(dǎo)致傳播的途徑為U盤進行多機器使用導(dǎo)致���,隨之推處針對U盤的病毒木馬查殺�����,終端查殺和U盤查殺還是沒有控制住病毒木馬的傳播的破壞���,考慮到病毒木馬通過網(wǎng)絡(luò)進行傳播,又制定基于網(wǎng)絡(luò)流量的病毒木馬檢測手段�,來降低終端種病毒木馬的可能性,在網(wǎng)絡(luò)層提高針對病毒木馬檢測能力外��,還能有效阻止傳統(tǒng)病毒木馬在網(wǎng)絡(luò)中傳播感染�,可還是沒能有效的扼殺病毒木馬的傳播,依然存在病毒木馬的破壞和泄漏信息事件�。
[0004]綜上所述,采取終端查殺���、U盤查殺和網(wǎng)絡(luò)流量木馬檢測等手段�����,還是不能扼制病毒木馬的傳播�,最新病毒木馬繞過上述防護手段����,仍存在被控制或數(shù)據(jù)信息泄露等威脅����。
【發(fā)明內(nèi)容】
[0005]為了克服上述現(xiàn)有技術(shù)的不足��,本發(fā)明提供一種基于終端流量的木馬檢測方法����,通過進行上下流量檢測、進程通信數(shù)據(jù)檢測和流量數(shù)據(jù)包正確性解析��,實現(xiàn)終端流量木馬檢測�。
[0006]為了實現(xiàn)上述發(fā)明目的,本發(fā)明采取如下技術(shù)方案:
[0007]本發(fā)明提供一種基于終端流量的木馬檢測方法����,所述方法包括以下步驟:
[0008]步驟1:捕獲數(shù)據(jù)流量信息,并分析時間段流量���;
[0009]步驟2:對終端上下行數(shù)據(jù)流量進行分析;
[0010]步驟3:通過智能分析的數(shù)據(jù)流量與通信白名單數(shù)據(jù)進行核準匹配����;
[0011 ] 步驟4:終端流量數(shù)據(jù)包正確性檢測。
[0012]所述步驟I包括以下步驟:
[0013]步驟1-1:捕獲終端的數(shù)據(jù)流量信息,對所有產(chǎn)生的數(shù)據(jù)流量進行記錄和統(tǒng)計��;
[0014]步驟1-2:時間段內(nèi)獲取數(shù)據(jù)流量信息��,實時記錄產(chǎn)生的數(shù)據(jù)流量信息�����,根據(jù)捕獲的數(shù)據(jù)包分析���,得到產(chǎn)生數(shù)據(jù)流量的源端口或目的端口�����,在通過源端口找到占用端口的進程ID����,通過進程ID找到此進程的記錄項�����;
[0015]步驟1-3:若沒有檢測到時間段內(nèi)產(chǎn)生的此進程記錄項��,則進行自建進程記錄項��,把數(shù)據(jù)包的長度累加到記錄項的流量字段中。
[0016]所述步驟2包括以下步驟:
[0017]步驟2-1:建立數(shù)據(jù)流量檢測模型����,統(tǒng)計所有進程的上行流量和下行流量;
[0018]步驟2-2:通過數(shù)據(jù)流量檢測模型進行進程ID����、進程名稱、上行流量�、下行流量、時間段���、數(shù)據(jù)包關(guān)鍵字���、特征函數(shù)和惡意代碼的檢測;
[0019]步驟2-3:判定數(shù)據(jù)流量中上行流量與下行流量是否存在差異�����,若上行流量大于下行流量�����,則通過數(shù)據(jù)包進行關(guān)鍵字過濾分析��;
[0020]步驟2-4:對下行流量過大數(shù)據(jù)包進行特征函數(shù)與惡意代碼的檢測�����;
[0021]步驟2-5:若下行流量中存在特征函數(shù)或惡意代碼�,則表面存在異常流量數(shù)據(jù),通過進程ID查找對應(yīng)的程序��,自建的進程記錄項與實時流量數(shù)據(jù)記錄信息進行智能分析匹配定位對應(yīng)進程�����。
[0022]所述步驟3中�����,根據(jù)木馬行為特性�,構(gòu)建基于進程名稱、源通信端口�����、目的IP地址和目的端口關(guān)聯(lián)的通信白名單���,在獲取數(shù)據(jù)流量信息后����,通過流量數(shù)據(jù)找到相應(yīng)進程,根據(jù)數(shù)據(jù)包分析����,查找產(chǎn)生流量進程源端口與外界通信的目的IP地址與目的端口,記錄并與已構(gòu)建通信白名單進行對比匹配�����,判定是否為木馬程序��。
[0023]終端流量數(shù)據(jù)包正確性檢測包括協(xié)議正確性檢測和協(xié)議數(shù)據(jù)包長度檢測�����。
[0024]所述步驟4具體包括以下步驟:
[0025]步驟4-1:建立基于數(shù)據(jù)包的協(xié)議正確性檢測模型����,協(xié)議正確性檢測模型涵蓋字段包括端口號、協(xié)議���、協(xié)議的特征���、協(xié)議的數(shù)據(jù)包長度閥值信息����;
[0026]步驟4-2:根據(jù)上行流量目的端口識別出相應(yīng)的協(xié)議�����,根據(jù)協(xié)議特征對數(shù)據(jù)包內(nèi)容進行驗證����;
[0027]步驟4-3:根據(jù)上行流量協(xié)議數(shù)據(jù)包長度的最大值進行檢測�����,超過設(shè)定的某協(xié)議的最大數(shù)據(jù)包長度��,就屬于可疑數(shù)據(jù)包�,其發(fā)送程序就屬于可疑進程,完成協(xié)議數(shù)據(jù)包長度檢測���。
[0028]與現(xiàn)有技術(shù)相比��,本發(fā)明的有益效果在于:
[0029]本發(fā)明提供的基于終端流量的木馬檢測方法�,改變了原有根據(jù)已有特征碼�����、樣本、惡意代碼等常規(guī)木馬檢測手段�,對高隱藏、免殺�、不規(guī)則通信、系統(tǒng)程序文件注入式等方式的木馬不能進行及時發(fā)現(xiàn)或查殺��,通過終端流量木馬檢測方法���,可以對終端數(shù)據(jù)流量進行實時監(jiān)控��,通過多維度檢測模型判定程序產(chǎn)生的流量數(shù)據(jù)是否存在異常����,對變種木馬����、高級木馬或殘留木馬深度檢測,提高計算機安全性���、降低誤報率�、提高木馬定位準確性�����。
【專利附圖】
【附圖說明】
[0030]圖1是基于終端流量的木馬檢測方法流程圖。
【具體實施方式】
[0031]下面結(jié)合附圖對本發(fā)明作進一步詳細說明�。
[0032]如圖1,本發(fā)明提供一種基于終端流量的木馬檢測方法�,所述方法包括以下步驟:
[0033]步驟1:捕獲數(shù)據(jù)流量信息�����,并分析時間段流量����;
[0034]步驟2:對終端上下行數(shù)據(jù)流量進行分析;[0035]步驟3:通過智能分析的數(shù)據(jù)流量與通信白名單數(shù)據(jù)進行核準匹配�����;
[0036]步驟4:終端流量數(shù)據(jù)包正確性檢測���。
[0037]所述步驟I包括以下步驟:
[0038]步驟1-1:捕獲終端的數(shù)據(jù)流量信息����,對所有產(chǎn)生的數(shù)據(jù)流量進行記錄和統(tǒng)計���;
[0039]步驟1-2:時間段內(nèi)獲取數(shù)據(jù)流量信息�,實時記錄產(chǎn)生的數(shù)據(jù)流量信息,根據(jù)捕獲的數(shù)據(jù)包分析�����,得到產(chǎn)生數(shù)據(jù)流量的源端口或目的端口����,在通過源端口找到占用端口的進程ID,通過進程ID找到此進程的記錄項�;
[0040]步驟1-3:若沒有檢測到時間段內(nèi)產(chǎn)生的此進程記錄項,則進行自建進程記錄項���,把數(shù)據(jù)包的長度累加到記錄項的流量字段中�����。
[0041]所述步驟2包括以下步驟:
[0042]步驟2-1:建立數(shù)據(jù)流量檢測模型�,統(tǒng)計所有進程的上行流量和下行流量����;
[0043]步驟2-2:通過數(shù)據(jù)流量檢測模型進行進程ID、進程名稱、上行流量�、下行流量、時間段���、數(shù)據(jù)包關(guān)鍵字���、特征函數(shù)和惡意代碼的檢測;
[0044]步驟2-3:判定數(shù)據(jù)流量中上行流量與下行流量是否存在差異�����,若上行流量大于下行流量��,則通過數(shù)據(jù)包進行關(guān)鍵字過濾分析��;
[0045]步驟2-4:對下行流量過大數(shù)據(jù)包進行特征函數(shù)與惡意代碼的檢測���;
[0046]步驟2-5:若下行流量中存在特征函數(shù)或惡意代碼,則表面存在異常流量數(shù)據(jù)��,通過進程ID查找對應(yīng)的程序����,自建的進程記錄項與實時流量數(shù)據(jù)記錄信息進行智能分析匹配定位對應(yīng)進程。
[0047]所述步驟3中,根據(jù)木馬行為特性�����,構(gòu)建基于進程名稱����、源通信端口、目的IP地址和目的端口關(guān)聯(lián)的通信白名單���,在獲取數(shù)據(jù)流量信息后���,通過流量數(shù)據(jù)找到相應(yīng)進程,根據(jù)數(shù)據(jù)包分析�,查找產(chǎn)生流量進程源端口與外界通信的目的IP地址與目的端口,記錄并與已構(gòu)建通信白名單進行對比匹配�����,判定是否為木馬程序���。
[0048]終端流量數(shù)據(jù)包正確性檢測包括協(xié)議正確性檢測和協(xié)議數(shù)據(jù)包長度檢測��。
[0049]所述步驟4具體包括以下步驟:
[0050]步驟4-1:建立基于數(shù)據(jù)包的協(xié)議正確性檢測模型��,協(xié)議正確性檢測模型涵蓋字段包括端口號�����、協(xié)議����、協(xié)議的特征、協(xié)議的數(shù)據(jù)包長度閥值信息�����;
[0051]步驟4-2:根據(jù)上行流量目的端口識別出相應(yīng)的協(xié)議����,根據(jù)協(xié)議特征對數(shù)據(jù)包內(nèi)容進行驗證����;
[0052]步驟4-3:根據(jù)上行流量協(xié)議數(shù)據(jù)包長度的最大值進行檢測,超過設(shè)定的某協(xié)議的最大數(shù)據(jù)包長度����,就屬于可疑數(shù)據(jù)包,其發(fā)送程序就屬于可疑進程���,完成協(xié)議數(shù)據(jù)包長度檢測�。
[0053]本發(fā)明通過對終端數(shù)據(jù)流量進行采集分析,采用時間段流量采集統(tǒng)計�,設(shè)計一種基于終端上下行數(shù)據(jù)流量進行分析模型,記錄產(chǎn)生流量程序的進程�,構(gòu)建進程通信數(shù)據(jù)模型檢測,通過智能分析數(shù)據(jù)流量與已知通信白名單數(shù)據(jù)進行核準匹配��,最后進行終端流量協(xié)議正確性檢測和協(xié)議數(shù)據(jù)包長度檢測�����,通過多維度檢測模型判定程序產(chǎn)生的流量數(shù)據(jù)是否存在異常��,對變種木馬�����、高級木馬或殘留木馬深度檢測�,提高計算機安全性、降低誤報率��、提高木馬定位準確性����。
[0054]最后應(yīng)當(dāng)說明的是:以上實施例僅用以說明本發(fā)明的技術(shù)方案而非對其限制���,盡管參照上述實施例對本發(fā)明進行了詳細的說明,所屬領(lǐng)域的普通技術(shù)人員應(yīng)當(dāng)理解:依然可以對本發(fā)明的【具體實施方式】進行修改或者等同替換�����,而未脫離本發(fā)明精神和范圍的任何修改或者等同替換�����,其均應(yīng)涵蓋在本發(fā)明的權(quán)利要求范圍當(dāng)中���。
【權(quán)利要求】
1.一種基于終端流量的木馬檢測方法���,其特征在于:所述方法包括以下步驟: 步驟1:捕獲數(shù)據(jù)流量信息,并分析時間段流量��; 步驟2:對終端上下行數(shù)據(jù)流量進行分析�����; 步驟3:通過智能分析的數(shù)據(jù)流量與通信白名單數(shù)據(jù)進行核準匹配����; 步驟4:終端流量數(shù)據(jù)包正確性檢測。
2.根據(jù)權(quán)利要求1所述的基于終端流量的木馬檢測方法��,其特征在于:所述步驟I包括以下步驟: 步驟1-1:捕獲終端的數(shù)據(jù)流量信息��,對所有產(chǎn)生的數(shù)據(jù)流量進行記錄和統(tǒng)計���; 步驟1-2:時間段內(nèi)獲取數(shù)據(jù)流量信息����,實時記錄產(chǎn)生的數(shù)據(jù)流量信息�����,根據(jù)捕獲的數(shù)據(jù)包分析�����,得到產(chǎn)生數(shù)據(jù)流量的源端口或目的端口��,在通過源端口找到占用端口的進程ID�,通過進程ID找到此進程的記錄項; 步驟1-3:若沒有檢測到時間段內(nèi)產(chǎn)生的此進程記錄項���,則進行自建進程記錄項��,把數(shù)據(jù)包的長度累加到記錄項的流量字段中��。
3.根據(jù)權(quán)利要求1所述的基于終端流量的木馬檢測方法�,其特征在于:所述步驟2包括以下步驟: 步驟2-1:建立數(shù)據(jù)流量檢測模型,統(tǒng)計所有進程的上行流量和下行流量���; 步驟2-2:通過數(shù)據(jù)流量檢測模型進行進程ID����、進程名稱�����、上行流量��、下行流量����、時間段、數(shù)據(jù)包關(guān)鍵字����、特征函數(shù)和惡意代碼的檢測��; 步驟2-3:判定數(shù)據(jù)流量中上行流量與下行流量是否存在差異,若上行流量大于下行流量���,則通過數(shù)據(jù)包進行關(guān)鍵字過濾分析�����; 步驟2-4:對下行流量過大數(shù)據(jù)包進行特征函數(shù)與惡意代碼的檢測�����; 步驟2-5:若下行流量中存在特征函數(shù)或惡意代碼����,則表面存在異常流量數(shù)據(jù)�,通過進程ID查找對應(yīng)的程序,自建的進程記錄項與實時流量數(shù)據(jù)記錄信息進行智能分析匹配定位對應(yīng)進程���。
4.根據(jù)權(quán)利要求1所述的基于終端流量的木馬檢測方法�,其特征在于:所述步驟3中��,根據(jù)木馬行為特性��,構(gòu)建基于進程名稱�����、源通信端口、目的IP地址和目的端口關(guān)聯(lián)的通信白名單�����,在獲取數(shù)據(jù)流量信息后�,通過流量數(shù)據(jù)找到相應(yīng)進程,根據(jù)數(shù)據(jù)包分析���,查找產(chǎn)生流量進程源端口與外界通信的目的IP地址與目的端口�����,記錄并與已構(gòu)建通信白名單進行對比匹配��,判定是否為木馬程序�����。
5.根據(jù)權(quán)利要求1所述的基于終端流量的木馬檢測方法����,其特征在于:終端流量數(shù)據(jù)包正確性檢測包括協(xié)議正確性檢測和協(xié)議數(shù)據(jù)包長度檢測。
6.根據(jù)權(quán)利要求5所述的基于終端流量的木馬檢測方法�����,其特征在于:所述步驟4具體包括以下步驟: 步驟4-1:建立基于數(shù)據(jù)包的協(xié)議正確性檢測模型���,協(xié)議正確性檢測模型涵蓋字段包括端口號、協(xié)議��、協(xié)議的特征��、協(xié)議的數(shù)據(jù)包長度閥值信息��; 步驟4-2:根據(jù)上行流量目的端口識別出相應(yīng)的協(xié)議�,根據(jù)協(xié)議特征對數(shù)據(jù)包內(nèi)容進行驗證; 步驟4-3:根據(jù)上行流量協(xié)議數(shù)據(jù)包長度的最大值進行檢測�,超過設(shè)定的某協(xié)議的最大數(shù)據(jù)包長度,就屬于可疑數(shù)據(jù)包�,其發(fā)送程序就屬于可疑進程,完成協(xié)議數(shù)據(jù)包長度檢測
【文檔編號】H04L29/06GK103957205SQ201410169874
【公開日】2014年7月30日 申請日期:2014年4月25日 優(yōu)先權(quán)日:2014年4月25日
【發(fā)明者】高昆侖, 楊成明, 郝增帥, 魏桂臣, 李凌 申請人:國家電網(wǎng)公司, 中國電力科學(xué)研究院