[发明专利]一种基于通信行为的木马检测方法

说明书

本发明公开了一种基于通信行为的木马检测方法，首先采集网络原始数据包，通过旁路的方式获取网络原始数据包；接着对采集到的网络原始数据包进行解析重组，将数据包进行解析，解析出网络接口层、网络层、传输层的相关信息，包括四元组信息，四元组相同的则为同一条流，并在网络层及传输层进行数据包的重组；然后识别常用的已知的不可能为木马数据流的协议，并对这些协议数据流进行过滤；最后判断同一条流是否同时存在：心跳行为、心跳包外的每个上行小包都伴随下行一个或多个连续的大包、每组“上行小包+下行大包”都至少有一定的时间间隔，如果同时满足上述三个条件则判定为木马，否则判定为非木马。本发明简化了识别算法，提高了识别准确率。

技术领域

本发明属于信息安全领域，涉及木马的检测技术，具体涉及一种基于通信行为的木马检测方法。

背景技术

APT(Advanced Persistent Threat，高级持续性威胁)一直是互联网所面临的主要安全威胁，而木马仍然是APT的主要的攻击手段，因此对木马的检测防范在信息安全领域有着非常重要的意义。

目前，木马检测技术主要有以下几种类型：

(1)基于特征的已知木马检测方法。首先运行已知的木马样本并运行，提取通信数据的数据特征；然后用提取的特征和网络流量数据进行匹配，从而达到对木马的识别。这种木马的检测技术的优点是方案成熟，准确率也高，但却无法对未知木马进行检测，即使是对已知木马轻微修改的变种，因此不能构建一个统一的检测模型，需要不断地更新木马特征库。

(2)基于通信行为的木马检测方法。这种检测方法理论上适用于已知木马和未知木马的检测，而且在时效性和扩展性方面有着明显优势。但是由于木马的多样性，要想用一种模型或算法对所有木马进行检测，就使得检测算法异常复杂，检测的准确率非常低。

现有技术文献中，公告号为CN102523223B、名称为“一种木马检测的方法及装置”的发明专利公开了一种木马检测的方法及装置，用以解决现有技术不能有效的对网络中存在的木马进行检测的问题。该方法当检测到会话中存在木马心跳检测时，根据木马心跳检测的频率是否固定，将记录的会话权值增加相应的权值并记录，并针对控制端向被控制端发送的每个报文，检测该报文是否符合木马控制命令报文的特征，若符合，则将记录的会话权值增加第三权值并记录，在会话权值达到告警阈值时发出告警，以通知该会话为木马发起的会话。由于通过对会话中的报文进行检测实现木马检测，因此可以检测到网络中存在的木马，并且对会话中的报文进行检测时，并不只是简单的字符串匹配。但该专利的缺点是检测准确率低，目前很多非木马的协议有它的心跳特征和木马控制命令报文的特征。

发明内容

本发明的目的是基于通信行为的木马检测方法，针对其中的一种类型木马，即心跳和数据传输在同一条流，被控制端被认为远程控制的木马进行检测，算法简单，能大大提高对该种类型木马检测的准确率。

为实现上述目的，本发明采用的技术方案为一种基于通信行为的木马检测方法，具体包含以下步骤：

S1：采集网络原始数据包，通过旁路的方式获取网络原始数据包；

S2：对采集到的网络原始数据包进行解析重组，将数据包进行解析，解析出网络接口层、网络层、传输层的相关信息，包括四元组信息，四元组相同的则为同一条流，并在网络层及传输层进行数据包的重组；

S3：识别常用的已知的不可能为木马数据流的协议，并对这些协议数据流进行过滤；

S4：判断同一条流是否同时存在：

(1)心跳行为；

(2)心跳包外的每个上行小包都伴随下行一个或多个连续的大包；

(3)每组“上行小包+下行大包”都至少有一定的时间间隔；

如果同时满足上述三个条件则判定为木马，否则判定为非木马。