[发明专利]木马攻击的检测方法与入侵检测系统

权利要求书

1.一种木马攻击的检测方法，其特征在于，包括：

统计每个目的IP在第一周期内的通信数据包个数、上下行流量与源IP个数；

当所述数据包个数超过第一阈值且上下行流量比超过第二阈值，以及所述对应的源IP个数在所述第一周期内小于第三阈值和/或在第二周期内小于第四阈值，则将该目的IP标记为可疑；所述第二周期包括至少1个所述第一周期；

若源IP与所述可疑目的IP通信的数据包个数超过第五阈值且上下行流量比超过第六阈值，则将该源IP标记为异常；

对所述异常源IP与可疑目的IP通信的数据包进行字符串特征匹配，若匹配成功则将该可疑目的IP判断为攻击源，以及将该异常源IP判断为受控主机。

2.根据权利要求1所述的攻击检测方法，其特征在于，所述对异常源IP与可疑目的IP通信的数据包进行字符串特征匹配，包括：

保存每一对源IP与目的IP，每一次连接的前20个数据包，并生成待检测文件；

当目的IP被标记可疑且源IP被标记异常时，读取并解析所述待检测文件，取出特定字符串与预设的攻击特征库进行关键字匹配，若匹配成功则判断发生攻击，进行告警并阻断所有源IP与所述攻击源的连接。

3.根据权利要求2所述的攻击检测方法，其特征在于，所述待检测文件为pcap格式，并且定时进行删除。

4.根据权利要求1所述的攻击检测方法，其特征在于，为所述可疑目的IP与攻击源目的IP分别创建对应的Host列表，用于维护目的IP与网站域名的关联关系；

若请求的目标域名位于可疑目的IP的Host列表，则向请求端返回告警提示；若请求的目标域名位于攻击源目的IP的Host列表，则阻止请求并且不进行域名解析。

5.根据权利要求4所述的攻击检测方法，其特征在于，若请求端属于异常源IP，且目标域名位于可疑目的IP的Host列表，则阻止请求并且不进行域名解析。

6.根据权利要求4或5所述的攻击检测方法，其特征在于，定时清空所述Host列表。

7.根据权利要求1所述的攻击检测方法，其特征在于，捕获第一周期内的所有数据包，缓存数据包，当检测到可疑目的IP和/或攻击源IP后，删除该第一周期内捕获的包。

8.入侵检测系统，其特征在于，包括抓包模块、统计模块与检测模块；其中：

抓包模块，用于根据预设的第一周期捕获并解析数据包；

统计模块，统计每个目的IP在第一周期内的通信数据包个数、上下行流量与源IP个数；当所述数据包个数超过第一阈值且上下行流量比超过第二阈值，以及所述对应的源IP个数在所述第一周期内小于第三阈值和/或在第二周期内小于第四阈值，则将该目的IP标记为可疑；若源IP与所述可疑目的IP通信的数据包个数超过第五阈值且上下行流量比超过第六阈值，则将该源IP标记为异常；

检测模块，对所述异常源IP与可疑目的IP通信的数据包进行字符串特征匹配，若匹配成功则将该可疑目的IP判断为攻击源，以及将该异常源IP判断为受控主机。

9.根据权利要求8所述的系统，其特征在于，所述检测模块进行字符串特征匹配，具体包括：

保存每一对源IP与目的IP，每一次连接的前20个数据包，并生成待检测文件；

当目的IP被标记可疑且源IP被标记异常时，读取并解析所述待检测文件，取出特定字符串与预设的攻击特征库进行关键字匹配，若匹配成功则判断发生攻击，进行告警并阻断所有源IP与所述攻击源的连接。