[发明专利]一种基于网络数据包检测恶意代码的方法和系统

说明书

技术领域

本发明涉及计算机网络安全技术领域，尤其涉及一种基于网络数据包检测恶意代码的方法和系统。

背景技术

随着近年来网络技术的飞速发展,与Internet有关的安全事件愈来愈多,安全问题日益突出，根据相关报告每年因木马病毒造成的损失就达到数十亿。并且每年有将近2000万新型木马生成，而木马和后门程序也变得越来越多样化，使得被感染的计算机成上升趋势。并且每年的损失也成上升趋势。

目前网络上监测木马和后门的方法有：

代理检测方法：系统利用部署的代理汇总网络活动行为，然后通过行为分析引擎识别是否属于网络攻击，这种检测方法属于动态监控法，其检出率比较低和误报率高，所以目前不适合检测。

特征匹配：通过对木马或后门初期建立连接时的网络传输数据包或样本文件进行分析，提取它们的网络行为特征，然后用这些特征行为来匹配网络数据包。如果网络数据包的内容可以匹配上特征码，就判断为病毒行为，否则认为正常数据包，相对于代理检测方法，此方法准确率比较高。

然而目前木马和后门病毒的编写者为了能让木马或后门活动有更好的隐蔽性，在病毒建立网络连接过程中规避使用特征匹配的网络检测。在病毒建立网络连接时通过特定的计算规则对前一个包的部分数据或全部数据进行运算并用运算出的结果来匹配后一个包，如果符合就建立病毒连接。由于此类木马和后门没有固定的病毒行为，也就不能用固定的检测规则进行匹配，所以传统的检测规则匹配就失去作用。

发明内容

本发明是在原有的检测规则匹配方法基础上，增加动态生成木马或后门的检测规则，使得检测木马或后门的网络行为的识别率提高。

本发明是基于动态生成所需的检测规则。动态生成检测规则是指对同一个数据流中时间序列相邻的两个数据包，通过特定的计算规则对时间序列在前的第一个数据包的全部或者部分数据进行运算，运算出的结果作为动态检测规则，然后就用此检测规则来匹配时间序列在后的第二个数据包，如果匹配成功就判断有恶意代码行为，没有匹配上就是认为是正常数据包。

为了解决上述技术问题，本发明提出了基于网络数据包检测恶意代码的方法，包括：

步骤a、在实际要监控的网络环境中，捕获网络连接中的数据包；

步骤b、利用已知的恶意代码的计算规则，对所捕获的当前数据包中部分或者全部的数据或者数据格式进行计算，生成动态检测规则；

步骤c、继续捕获网络连接中的数据包，将与所述当前数据包时序相邻的数据包作为待检测数据包，用所述动态检测规则和与待检测数据包中部分或者全部的数据或者数据格式进行匹配，如果匹配成功则判断存在恶意代码，否则返回步骤b继续监控。

所述已知的恶意代码的计算规则是指一种特定的算法，包括对已知的恶意代码所产生的时序相邻的两个通讯数据包进行分析后提取的计算规则，可以是运行恶意代码时对所述恶意代码产生的通讯方向相反、时序相邻的两个数据包的部分或全部的数据或数据格式进行分析后所提取的计算规则；

进一步的，步骤b还包括：使用过滤条件对当前数据包进行过滤，利用已知的恶意代码的计算规则对符合过滤条件的所述当前数据包中部分或者全部的数据或者数据格式进行计算，生成动态检测规则。

所述过滤条件包括：IP地址、端口、协议类型、数据包的大小。

所述过滤条件还包括：预先提取的恶意代码的通信数据包中相同的数据或者数据格式。

进一步的，步骤c还包括：继续捕获网络连接中的数据包，将与所述当前数据包通讯方向相反、时序相邻的数据包作为待检测数据包，用所述动态检测规则和与待检测数据包中部分或者全部的数据或者数据格式进行匹配，如果匹配成功则判断存在恶意代码，否则返回步骤b继续监控。

进一步的，记录所述当前数据包的获取时间并设置时间间隔，继续捕获网络连接中的数据包时对于超过所述时间间隔所捕获到的数据包不作为待检测数据包。

根据本发明的另一方面，还提供了一种基于网络数据包检测恶意代码的系统，包括：

捕获模块，用于在实际要监控的网络环境中，捕获网络连接中的数据包；

动态规则模块，用于利用已知的恶意代码的计算规则，对所捕获的当前数据包中部分或者全部的数据或者数据格式进行计算，生成动态检测规则；

匹配模块，用于将捕获到的与所述当前数据包时序相邻的数据包或者与所述当前数据包通讯方向相反、时序相邻的数据包作为待检测数据包，用所述动态检测规则和与待检测数据包中部分或者全部的数据或者数据格式进行匹配，如果匹配成功则判断存在恶意代码，否则继续监控。