[发明专利]一种基于网络行为的木马检测方法

说明书

技术领域

本发明属于涉及网络安全技术领域，更具体地说，涉及一种基于网络行为的木马检测方法。

背景技术

随着网络的广泛应用与规模的发展壮大，网络资源共享与信息交流为人类工作和生活提供了极大的便利。基于TCP/IP架构的计算机网络是一个开放和自由的网络，提高网络信息服务灵活性的同时，也方便了黑客的入侵和攻击。从当前APT(Advanced Persistent Threats，高级持续性威胁)流程中可以看到，木马仍然是攻击者用于渗透进目标网络，进行远程控制的首要手段。因此，对木马的网络行为进行检测是APT检测的一个重要环节。

目前，针对木马的检测和防御的方法大致可以分为两大类：一类是基于主机的木马检测，该方法需要提前知道木马的文件特征值，建立木马检验特征库，在对木马进行检测时，将恶意软件特征值与特征库中木马进行特征对比。但是，因为木马特征库的建立存在滞后性，所以，这种方法不能检测到未知的木马程序，同时对一些现存的木马程序的变种，也难以实现有效检测；一类是基于网络的木马检测，该方法主要分为基于特征匹配的检测技术和基于协议分析的检测技术。其中，基于特征匹配的检测技术同样存在滞后性，对于新出现的木马程序和已存木马的变种程序难以准确检测。基于协议分析的检测技术，是一种需要和其他检测技术协同工作才能达到较好检测效果的木马检测技术。

随着互联网技术的迅猛发展，木马的种类日趋复杂化，并且，密码程序对计算机的危害也越来越大。木马的网络行为主要指木马在网络中与其他计算机之间的通信行为。木马通过网络通信，以实现对网络进行攻击、盗取用户信息、远程操控受控主机的恶意目的。因此，针对木马的网络通信行为进行及时准确的识别尤为重要。

不同木马程序在目的、采用的网络协议以及所针对的操作系统方面可能存在较大的差别，但是，木马程序终将通过网络通信进行客户端和服务端的连接。所以，木马程序在网络通信行为上存在着一定相似性。通过对大量木马程序的网络通信流量样本进行分析可以将木马程序的网络通信行为可以分为建立连接、保持连接和命令交互三个阶段。木马程序在不同的阶段，网络通信流量上表现出不同的特征，可以使用这样的特征来检测木马。

发明内容

针对现有技术中存在的新出现的木马程序和已存木马的变种程序难以准确检测问题，本发明提供了一种基于网络行为的木马检测方法，它可以提高对木马程序的检测率，有效的对网络中存在的木马进行检测。

本发明的目的通过以下技术方案实现。

基于网络行为的木马检测方法，其特征在于，步骤如下：

S1对网络数据包进行协议解析，识别出完整的数据包内容，对原始数据进行规范化预处理，用于特征提取；

S2从基本、流量和内容三方面提取详细的特征；

S3采用R-SVM(Recursive Support Vector Machine，递归支持向量机)算法，根据各个特征的贡献度大小对提取出的大量数据特征进行降维处理，删除大量的冗余数据特征，然后根据筛选后的特征从原始数据集中提取，作为SVM分类器的训练集；

S4采用组合核函数构建SVM分类器，并利用网格搜索对核函数参数进行参数寻优。

更进一步的，步骤S1的具体步骤为1.对数据包进行协议解析；2.离散型数据连续化；3.将连续型数据归一化，针对网络数据流数据特征(均为非负数)，可减少存储空间和运算次数，有效提高分类效果。

更进一步的，步骤S2的具体步骤为1.提取网络数据基本特征；2.提取网络数据流量特征；3.提取网络数据内容特征。可提取提取的特征包括基本特征、流量特征和内容特征，而不是局限于提取流量特征或协议特征，可使原始数据集候选特征更为全面，供后期特征处理使用。

更进一步的，步骤S3的具体步骤为1.使用当前所有候选特征训练支持向量机；2.比较当前的所有特征在支持向量机中的相对贡献大小，并按照贡献大小进行排序；3.根据事先确定好的递归选择特征数，选择出排序在前面的特征，转步骤1，直到达到所希望选择的特征数目结束。对数据进行特征处理，是通过R-SVM算法，根据各个特征相对贡献度大小，筛选出所需特征数，以达到删除原始数据集冗余数据，降低特征空间维数的目的，从而在保证分类器分类准确性的前提下，提高分类速度。