[发明专利]一种基于统计学的网络木马行为识别系统

说明书

本发明公开了一种基于统计学的网络木马行为识别系统，该发明对单个包进行审计，审计信息较少导致误报率较高,易被木马开发者针对产生变种的不足，采用统计方法对包、会话、通联的行为特征与木马不可缺少的心跳，离线重连及数据获取，命令控制等行为特征进行识别匹配的方案，实现减少误报漏报的目的。

技术领域

本发明涉及一种互联网通信技术领域，特别涉及一种基于统计学的网络木马行为识别系统。

背景技术

现有的木马识别方案主要是基于木马特征码识别，对已知木马识别率较高，但对木马变种及新木马无法识别；网络包的大小，端口，域名离散度进行审计，来判断木马通信，这种方法信息量较少，容易导致误报漏报。

发明内容

为克服现有技术的不足，本发明采用统计方法对包、会话、通联的行为特征与木马不可缺少的心跳，离线重连及数据获取，命令控制等行为特征进行识别匹配的方案，实现减少误报漏报的目的。

本发明本发明技术方案带来的有益效果：

本发明不依赖木马特征码，仅根据远控行为特征识别恶意行为，没有传统依赖特征码检测远控程序无法检测新恶意远控程序的局限性；对木马行为特征进行分析，总结出所有木马恶意行为所必需的行为特征，然后对此类行为进行监控，对大多数木马具有普遍的监控作用。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其它的附图。

图1为本发明的流程示意图；

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

具体实施方案：

1.一种基于统计学的网络木马行为识别系统，包括：捕获网络包，通联关系信息统计，木马行为特征匹配，误报预处理。

2.通联关系信息统计方法，单个统计周期60s内的数据字段或其任意组合的统计：

(1)会话次数:根据四元组汇总统计会话次数；

(2)平均会话用时:统计每次会话时长并汇总再计算平均每次会话用时；

(3)会话波动幅度:记录每次会话开始时间计算出相邻会话时间间隔,取最大时间间隔作为会话时间波动幅度；

小包上传个数占比:计算字节数小于200的上传包个数在总包数中的占比；

小包下载个数占比:计算字节数小于200的下载包个数在总包数中的占比；

大包上传个数占比:计算字节数大于200的上传包个数在总包数中的占比；

大包下载个数占比:计算字节数大于200的下载包个数在总包数中的占比；

小包上传字节占比:计算字节数小于200的上传包流量在总会话流量中的占比；

小包下载字节占比:计算字节数小于200的下载包流量在总会话流量中的占比；

大包上传字节占比:计算字节数大于200的上传包流量在总会话流量中的占比；

大包下载字节占比:计算字节数大于200的下载包流量在总会话流量中的占比；