[发明专利]木马攻击的检测方法与入侵检测系统

说明书

本发明公开一种木马攻击的检测方法与入侵检测系统，先根据统计的目的IP的通信数据包数量、上下行流量比与在特定周期内对应的源IP个数是否超过对应的预设阈值，来确定该目的IP是否为可疑；若源IP与可疑目的IP的通信数据包个数与上下行流量比也超过预设阈值则可以确定该源IP被控制；在前述的过程中，同时生成待检测的数据文件，通过关键字匹配进一步进行检测，从而提高了攻击检测的准确性。

技术领域

本发明属于网络安全技术领域，尤其是涉及一种检测木马攻击的方法以及应用该方法的入侵检测系统。

背景技术

木马攻击，也称作命令和控制通道，是一种违反安全策略，秘密传输信息的机制。攻击工具通过将有效数据嵌入在数据报文中，通过载体在网络中正常传输，从而达到有效数据的秘密传输而不被发现。攻击者将被控主机中的数据信息在网络中通过特定通道传送至个人主机，从而获取情报。同时，攻击者通过该通道能传送控制命令，从而达到长期控制被控主机的目的。例如，用户一旦阅读了恶意PDF文件或者打开了恶意屏幕保护程序，就会被植入木马。木马程序会变换多种花样驻留在受害人电脑中，并与攻击服务器进行通讯，收集的信息通常通过HTTP POST上传给攻击服务器。攻击者借助攻击服务器对木马下达各种指令，不断收集受害企业的敏感信息。

由于Internet和多媒体技术的广泛使用，木马入侵攻击的威胁越来越大，只要与外界保持一定的联系，这种威胁就不可避免。因此，需要通过数据包检测技术来识别木马攻击。

发明内容

鉴于以上背景，本发明旨在提出一种木马攻击的检测方法以及应用该检测方法的入侵检测系统。具体技术方案如下所述：

一方面，提供一种木马攻击的检测方法，包括：

统计每个目的IP在第一周期内的通信数据包个数、上下行流量与源IP个数；

当所述数据包个数超过第一阈值且上下行流量比超过第二阈值，以及所述对应的源IP个数在所述第一周期内小于第三阈值和/或在第二周期内小于第四阈值，则将该目的IP标记为可疑；所述第二周期包括至少1个所述第一周期；

若源IP与所述可疑目的IP通信的数据包个数超过第五阈值且上下行流量比超过第六阈值，则将该源IP标记为异常；

对所述异常源IP与可疑目的IP通信的数据包进行字符串特征匹配，若匹配成功则将该可疑目的IP判断为攻击源，以及将该异常源IP判断为受控主机。

上述的对异常源IP与可疑目的IP通信的数据包进行字符串特征匹配，具体包括：保存每一对源IP与目的IP，每一次连接的前20个数据包，并生成待检测文件；当目的IP被标记可疑且源IP被标记异常时，读取并解析所述待检测文件，取出特定字符串与预设的攻击特征库进行关键字匹配，若匹配成功则判断发生攻击，进行告警并阻断所有源IP与所述攻击源的连接。

进一步的，上述的待检测文件为pcap格式，并且定时进行删除。

作为较佳的，为所述可疑目的IP与攻击源目的IP分别创建对应的Host列表，用于维护目的IP与网站域名的关联关系；

若请求的目标域名位于可疑目的IP的Host列表，则向请求端返回告警提示；若请求的目标域名位于攻击源目的IP的Host列表，则阻止请求并且不进行域名解析。

若请求端属于异常源IP，且目标域名位于可疑目的IP的Host列表，则阻止请求并且不进行域名解析。

进一步的，定时清空所述Host列表。

作为较佳的，捕获第一周期内的所有数据包，缓存数据包，当检测到可疑目的IP和/或攻击源IP后，删除该第一周期内捕获的包。

另一方面，提供一种入侵检测系统，包括抓包模块、统计模块与检测模块；其中：

抓包模块，用于根据预设的第一周期捕获并解析数据包；