基于網(wǎng)絡(luò)通信行為的未知木馬檢測方法
【專利摘要】本發(fā)明是關(guān)于一種基于網(wǎng)絡(luò)通信行為的未知木馬檢測方法����,包括以下步驟:采集網(wǎng)絡(luò)通信行為的原始數(shù)據(jù);對采集到的原始數(shù)據(jù)進(jìn)行預(yù)處理�;根據(jù)木馬通信特征,提取經(jīng)預(yù)處理后數(shù)據(jù)中的特征���;基于正常通信行為和木馬通信行為���,建立可疑規(guī)則庫;及利用可疑規(guī)則庫�����,對預(yù)處理后數(shù)據(jù)進(jìn)行檢測����,以確定未知木馬;其中,利用可疑規(guī)則庫對預(yù)處理后數(shù)據(jù)的檢測���,實(shí)質(zhì)上是對預(yù)處理后數(shù)據(jù)進(jìn)行匹配的問題�,是匹配可疑規(guī)則庫中規(guī)則的過程�����。借由本發(fā)明�����,實(shí)現(xiàn)對未知木馬的高效檢測�。
【專利說明】基于網(wǎng)絡(luò)通信行為的未知木馬檢測方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及未知木馬的檢測方法,特別是涉及一種基于網(wǎng)絡(luò)通信行為的未知木馬檢測方法����。
【背景技術(shù)】
[0002]當(dāng)前,木馬仍是互聯(lián)網(wǎng)最大的安全威脅之一�,如何檢測和防御木馬是信息安全領(lǐng)域需要解決的重要問題。
[0003]現(xiàn)有的木馬檢測方法主要有以下幾個(gè)類型:特征碼掃描����,特征碼掃描的對象包括代碼和關(guān)鍵字,這是一種被安全檢測領(lǐng)域廣泛應(yīng)用的技術(shù)�����,對于檢測已知的木馬具有很高的準(zhǔn)確率����,誤報(bào)率低,但是不能用來檢測未知類型的木馬�;完整性檢測,完整性檢測是通過檢測文件與原文件是否一致來達(dá)到檢測的目的���,這實(shí)際上是一種防止文件被修改的方法���,也就是防止木馬的注入,但是這種方法具有很高的誤報(bào)率��,且不適合檢測未知文件是否含有木馬程序���。跟蹤取證和RIPPER方法�����,這兩種方法都是從隨機(jī)和大量的數(shù)據(jù)中尋找有價(jià)值的信息��,但是花費(fèi)時(shí)間長���,復(fù)雜度高�����,而且準(zhǔn)確性低����。另外�,從另一個(gè)方面來看,木馬能在目標(biāo)機(jī)中運(yùn)行�����,需要木馬文件的支持�����,所以就出現(xiàn)了通過系統(tǒng)文件采用靜態(tài)分析和動(dòng)態(tài)分析來檢測文件中存在可疑代碼的技術(shù)�。靜態(tài)分析和動(dòng)態(tài)分析分別指不運(yùn)行和運(yùn)行被測文件來檢查惡意操作的檢測技術(shù)。
[0004]傳統(tǒng)的檢測技術(shù)只能檢測已知種類的木馬�,對于未知種類的木馬則無能為力。從木馬存在的本質(zhì)來看�����,木馬的存在是為了竊取敏感信息,如果能防止木馬向外傳輸敏感信息��,并在木馬試圖工作的時(shí)候及時(shí)通知管理員����,也就達(dá)到了檢測和防御木馬的目的���,這實(shí)際上就是檢測技術(shù)�����。
[0005]由此可見��,上述現(xiàn)有的木馬檢測方法在使用上��,顯然仍存在有不便與缺陷����,而亟待加以進(jìn)一步改進(jìn)����。
【發(fā)明內(nèi)容】
[0006]本發(fā)明的目的在于提供一種基于網(wǎng)絡(luò)通信行為的未知木馬檢測方法,其是針對傳統(tǒng)木馬檢測方法對未知木馬識(shí)別能力低下的缺陷��,建立有關(guān)通信行為的可疑規(guī)則庫,對疑似木馬的通信行為進(jìn)行描述����,實(shí)現(xiàn)對未知木馬的高效檢測。
[0007]本發(fā)明的目的是采用以下技術(shù)方案來實(shí)現(xiàn)的����。本發(fā)明提供一種基于網(wǎng)絡(luò)通信行為的未知木馬檢測方法,包括以下步驟:采集網(wǎng)絡(luò)通信行為的原始數(shù)據(jù)�����;對采集到的原始數(shù)據(jù)進(jìn)行預(yù)處理��;根據(jù)木馬通信特征�,提取經(jīng)預(yù)處理后數(shù)據(jù)中的特征;基于正常通信行為和木馬通信行為�����,建立可疑規(guī)則庫��;及利用可疑規(guī)則庫����,對預(yù)處理后數(shù)據(jù)進(jìn)行檢測����,以確定未知木馬����;其中,利用可疑規(guī)則庫對預(yù)處理后數(shù)據(jù)的檢測�����,實(shí)質(zhì)上是對預(yù)處理后數(shù)據(jù)進(jìn)行匹配的問題��,是匹配可疑規(guī)則庫中規(guī)則的過程��。
[0008]本發(fā)明的目的還可采用以下技術(shù)措施進(jìn)一步實(shí)現(xiàn)����。
[0009]前述的基于網(wǎng)絡(luò)通信行為的未知木馬檢測方法�,其中該對采集到的原始數(shù)據(jù)進(jìn)行預(yù)處理的步驟包括:重組傳輸層連接,記錄傳輸層連接的相關(guān)信息�����,并解析傳輸層連接的負(fù)載內(nèi)容�。
[0010]前述的基于網(wǎng)絡(luò)通信行為的未知木馬檢測方法��,其中傳輸層連接包括TCP連接和UDP連接���。
[0011]前述的基于網(wǎng)絡(luò)通信行為的未知木馬檢測方法,其中在該根據(jù)木馬通信特征����,提取經(jīng)預(yù)處理后數(shù)據(jù)中的特征的步驟中,提取的特征包括內(nèi)網(wǎng)服務(wù)器傳輸層連接方向����、指定IP對某一域名請求的周期性、內(nèi)網(wǎng)IP發(fā)起請求的時(shí)間����、內(nèi)網(wǎng)IP請求某域名時(shí)的被請求端口、通信連接的目的端口和部分負(fù)載內(nèi)容���、郵件服務(wù)器的DNS請求內(nèi)容���、HTTP請求頭中的域名及實(shí)際請求解析的域名。
[0012]前述的基于網(wǎng)絡(luò)通信行為的未知木馬檢測方法�����,其中可疑規(guī)則庫中的規(guī)則包括:
(I)服務(wù)器主動(dòng)外聯(lián)公網(wǎng)地址;⑵某IP固定時(shí)間間隔請求某域名��;⑶非工作時(shí)間內(nèi)網(wǎng)主機(jī)主動(dòng)外聯(lián)��;(4)內(nèi)部IP請求域名后��,連接該域名對應(yīng)IP的非常用端口 ����;(5)端口與通信內(nèi)容協(xié)議不匹配;(6)郵件服務(wù)器發(fā)起的DNS請求不是mx記錄��;(7) HTTP報(bào)文中請求頭的域名與實(shí)際請求解析的域名不一致����。
[0013]前述的基于網(wǎng)絡(luò)通信行為的未知木馬檢測方法�����,其中在對預(yù)處理后數(shù)據(jù)進(jìn)行檢測的過程中��,利用上述提取的特征對傳輸層連接進(jìn)行描述���,并借由可疑規(guī)則庫進(jìn)行匹配識(shí)別��。
[0014]借由上述技術(shù)方案�,本發(fā)明的基于網(wǎng)絡(luò)通信行為的未知木馬檢測方法至少具有下列優(yōu)點(diǎn)及有益效果:
[0015]本發(fā)明的基于網(wǎng)絡(luò)通信行為的未知木馬檢測方法,是針對傳統(tǒng)木馬檢測方法對未知木馬識(shí)別能力低下的缺陷�����,通過建立可疑規(guī)則庫�,對木馬通信網(wǎng)絡(luò)行為進(jìn)行描述,從而實(shí)現(xiàn)對未知木馬的高效檢測����。
[0016]上述說明僅是本發(fā)明技術(shù)方案的概述,為了能夠更清楚了解本發(fā)明的技術(shù)手段��,而可依照說明書的內(nèi)容予以實(shí)施�����,并且為了讓本發(fā)明的上述和其他目的�、特征和優(yōu)點(diǎn)能夠更明顯易懂,以下特舉較佳實(shí)施例��,并配合附圖��,詳細(xì)說明如下。
【專利附圖】
【附圖說明】
[0017]圖1:本發(fā)明的基于網(wǎng)絡(luò)通信行為的未知木馬檢測方法的結(jié)構(gòu)示意圖�����。
【具體實(shí)施方式】
[0018]為更進(jìn)一步闡述本發(fā)明為達(dá)成預(yù)定發(fā)明目的所采取的技術(shù)手段及功效����,以下結(jié)合附圖及較佳實(shí)施例,對依據(jù)本發(fā)明提出的一種基于網(wǎng)絡(luò)通信行為的未知木馬檢測方法的【具體實(shí)施方式】�����、結(jié)構(gòu)��、特征及其功效��,詳細(xì)說明如后���。
[0019]本發(fā)明以在網(wǎng)絡(luò)出入關(guān)口捕獲的全量原始報(bào)文為基礎(chǔ),通過對網(wǎng)絡(luò)流量及行為的統(tǒng)計(jì)來發(fā)現(xiàn)其中可疑的木馬通信����。木馬通信雖然隱蔽性高、活躍周期不確定����,但是由于其竊取機(jī)密數(shù)據(jù)的目的性�����,必然導(dǎo)致木馬通信在網(wǎng)絡(luò)流量上有跡可循�����。然而,木馬為了去除數(shù)據(jù)通信過程中的指紋特征����,其往往會(huì)對通訊信息進(jìn)行加密����、混淆處理,因此對木馬通信特征的選取應(yīng)結(jié)合其流量方向、通信時(shí)間����、網(wǎng)絡(luò)連接、資源交互以及通信內(nèi)容特征等多個(gè)角度��。
[0020]參閱圖1所示�����,為本發(fā)明的基于網(wǎng)絡(luò)通信行為的未知木馬檢測方法的結(jié)構(gòu)示意圖�����,該基于網(wǎng)絡(luò)通信行為的未知木馬檢測方法包括以下步驟:[0021]步驟1:采集網(wǎng)絡(luò)通信行為的原始數(shù)據(jù)�;
[0022]該方法是以原始數(shù)據(jù)為基礎(chǔ)�,對原始數(shù)據(jù)進(jìn)行分析,以期發(fā)現(xiàn)隱藏在其中的木馬通信數(shù)據(jù)�。上述的原始數(shù)據(jù)���,例如是采用旁路分光/鏡像的方法將進(jìn)出局域網(wǎng)關(guān)口的數(shù)據(jù)報(bào)文進(jìn)行全量的捕獲�,并存儲(chǔ)為Pcap文件�����。
[0023]步驟2:對采集到的原始數(shù)據(jù)進(jìn)行預(yù)處理;
[0024]在該步驟中����,對獲得到的原始數(shù)據(jù)進(jìn)行的預(yù)處理,是對通信流量中的傳輸層連接進(jìn)行重組(TCP和UDP)����,記錄傳輸層連接的相關(guān)信息,并解析傳輸層連接的負(fù)載內(nèi)容��。
[0025]具體來說����,為某個(gè)五元組(例如,源IP�����、目的IP�、源端口、目的端口�、協(xié)議)的TCP連接設(shè)置連接計(jì)時(shí)器和劃分閾值���。根據(jù)TCP協(xié)議中的三次握手���,當(dāng)某個(gè)五元組出現(xiàn)第一個(gè)SYN標(biāo)識(shí)位的數(shù)據(jù)包時(shí)��,建立TCP (傳輸控制協(xié)議)連接��,如果該五元組未建立連接��,則拋棄所有與該五元組相關(guān)的TCP數(shù)據(jù)包�。而當(dāng)連接建立后出現(xiàn)以下三種情況時(shí)���,認(rèn)為連接結(jié)束:
(1)在處理每個(gè)TCP包時(shí)�����,判斷是否為FIN的數(shù)據(jù)包����,如果是則進(jìn)行連接劃分�,并將計(jì)時(shí)器重置為O ; (2)在處理每個(gè)TCP包時(shí),判斷是否為RST的數(shù)據(jù)包�����,如果是則進(jìn)行連接劃分,并將計(jì)時(shí)器重置為O ; (3)在處理每一個(gè)TCP包時(shí)�,判斷計(jì)時(shí)器是否超過預(yù)先設(shè)定的劃分閾值,如果超過����,則進(jìn)行連接劃分,開始一個(gè)新的該五元組的TCP連接���,并將計(jì)時(shí)器重置為0�����,如果不超過則無需劃分�����。
[0026]根據(jù)某個(gè)五元組發(fā)送的第一個(gè)UDP包建立相應(yīng)的UDP (用戶數(shù)據(jù)報(bào)協(xié)議)連接�����,UDP連接的劃分規(guī)則包括:(I)在處理目的端口為53的UDP包時(shí)�����,每個(gè)UDP包為一個(gè)連接�;
(2)在處理其他的UDP包時(shí),要設(shè)置UDP連接計(jì)時(shí)器和劃分閾值�,在UDP連接建立時(shí),計(jì)時(shí)器設(shè)置為0���,在處理每個(gè)UDP包時(shí),判斷計(jì)時(shí)器是否超過預(yù)先設(shè)定的劃分閾值���,如果超過�,則進(jìn)行連接劃分�����,開始一個(gè)新的該五元組的UDP連接����,并將計(jì)時(shí)器重置為0,如果不超過則無需劃分����。
[0027]其中,下面列舉本發(fā)明要用到的一些變量:
[0028]1、傳輸層連接參數(shù)變量
[0029]
【權(quán)利要求】
1.一種基于網(wǎng)絡(luò)通信行為的未知木馬檢測方法����,其特征在于其包括以下步驟: 采集網(wǎng)絡(luò)通信行為的原始數(shù)據(jù); 對采集到的原始數(shù)據(jù)進(jìn)行預(yù)處理����; 根據(jù)木馬通信特征,提取經(jīng)預(yù)處理后數(shù)據(jù)中的特征�����; 基于正常通信行為和木馬通信行為�����,建立可疑規(guī)則庫 '及 利用可疑規(guī)則庫��,對預(yù)處理后數(shù)據(jù)進(jìn)行檢測�����,以確定未知木馬�; 其中,利用可疑規(guī)則庫對預(yù)處理后數(shù)據(jù)的檢測�,實(shí)質(zhì)上是對預(yù)處理后數(shù)據(jù)進(jìn)行匹配的問題�,是匹配可疑規(guī)則庫中規(guī)則的過程�。
2.根據(jù)權(quán)利要求1所述的基于網(wǎng)絡(luò)通信行為的未知木馬檢測方法,其特征在于��,其中該對采集到的原始數(shù)據(jù)進(jìn)行預(yù)處理的步驟包括: 重組傳輸層連接����,記錄傳輸層連接的相關(guān)信息,并解析傳輸層連接的負(fù)載內(nèi)容�。
3.根據(jù)權(quán)利要求2所述的基于網(wǎng)絡(luò)通信行為的未知木馬檢測方法,其特征在于�����,其中傳輸層連接包括TCP連接和UDP連接���。
4.根據(jù)權(quán)利要求2所述的基于網(wǎng)絡(luò)通信行為的未知木馬檢測方法,其特征在于�����,其中在該根據(jù)木馬通信特征�����,提取經(jīng)預(yù)處理后數(shù)據(jù)中的特征的步驟中,提取的特征包括內(nèi)網(wǎng)服務(wù)器傳輸層連接方向�、指定IP對某一域名請求的周期性、內(nèi)網(wǎng)IP發(fā)起請求的時(shí)間����、內(nèi)網(wǎng)IP請求某域名時(shí)的被請求端口、通信連接的目的端口和部分負(fù)載內(nèi)容�����、郵件服務(wù)器的DNS請求內(nèi)容�、HTTP請求頭中的域名及實(shí)際請求解析的域名。
5.根據(jù)權(quán)利要求1或4所述的基于網(wǎng)絡(luò)通信行為的未知木馬檢測方法�����,其特征在于�����,其中上述可疑規(guī)則庫中的規(guī)則包括:(I)服務(wù)器主動(dòng)外聯(lián)公網(wǎng)地址���;(2)某IP固定時(shí)間間隔請求某域名�;(3)非工作時(shí)間內(nèi)網(wǎng)主機(jī)主動(dòng)外聯(lián)�;(4)內(nèi)部IP請求域名后�,連接該域名對應(yīng)IP的非常用端口 ���;(5)端口與通信內(nèi)容協(xié)議不匹配�����;(6)郵件服務(wù)器發(fā)起的DNS請求不是mx記錄���;(7)HTTP報(bào)文中請求頭的域名與實(shí)際請求解析的域名不一致。
6.根據(jù)權(quán)利要求5所述的基于網(wǎng)絡(luò)通信行為的未知木馬檢測方法��,其特征在于���,其中在對預(yù)處理后數(shù)據(jù)進(jìn)行檢測的過程中,利用上述提取的特征對傳輸層連接進(jìn)行描述���,并借由可疑規(guī)則庫進(jìn)行匹配識(shí)別���。
【文檔編號】H04L29/06GK103944788SQ201410188835
【公開日】2014年7月23日 申請日期:2014年5月6日 優(yōu)先權(quán)日:2014年5月6日
【發(fā)明者】李佳, 王明華, 云曉春, 高勝, 李志輝, 李世淙 申請人:國家計(jì)算機(jī)網(wǎng)絡(luò)與信息安全管理中心