[发明专利]基于无控制端流量分析的木马检测方法

摘要

本发明公开了一种基于无控制端流量分析的木马检测方法，首先，将捕获的网络数据包进行整理按照五元组信息和协议规范要求组织成数据流；然后对这些数据流按照等价四元组进行分类，形成一个个由四元组标识的数据流集合；然后采用基于时间戳的数据流聚类算法对数据流集合中的数据流进行聚类，形成数据流簇。本发明在对网络数据流进行聚类形成数据流簇的基础上，以数据流簇为单位处理数据流，分析木马通信行为与正常网络通信行为的差别，并结合统计分析、数据挖掘等技术，深入挖掘二者之间的差别并提取网络通信特征，利用本发明可以实现对网络中的无控制端木马流量进行检测。

主权项

一种基于无控制端流量分析的木马检测方法，其特征在于：包括以下步骤：(1)将捕获的网络无控制端数据包进行整理：按照五元组信息和协议规范要求组织成数据流，数据流f＝{pkt1,pkt2,L L,pktn}，数据流是多条五元组信息相同的数据包时间队列，其中n为数据流中数据包个数，pk表示顺序到达的数据包，各个数据流f由五元组信息标识；所述无控制端流量是指木马被控制端程序在无法连接到木马控制端情况下，产生的网络流量；其中，pk表示顺序到达的数据包，ti是第i个数据流的开始时间戳，1≤i≤n；(2)对这些数据流按照等价四元组进行分类，形成多个由四元组标识的数据流集合；将四元组信息相同的数据流聚集在一个四元组标识的数据流集合U中，四元组分类后的数据流集合U＝{f1,f2L L,fn}，fi表示数据流，其中fj∈U，fi和fj的四元组信息相同；(3)采用基于时间戳的数据流聚类算法对数据流集合中的数据流进行聚类，形成数据流簇；基于时间戳的数据流聚类算法是：时间戳论域：设T＝{(t1,t′1),(t2,t′2),L,(tn,t′n),L}是待划分的数据流开始时间戳和结束时间戳集合，T中的每个对象ti是第i个数据流的开始时间戳，t′i是第i个数据流的结束时间戳；簇半径阈值：设ε为簇半径阈值，数据流簇的结束时间和下个数据流的开始时间间隔小于该阈值的将被聚类在一个数据流簇中；簇集合：设Sj＝{c1,c2,L,cm}是数据流集合Sj经划分得到的一个个数据流簇的集合，P(ci)＝{ci1,ci2,L,cik}是Sj中的每个数据流簇ci(1≤i≤m)的特征矢量；界标窗口：选取界标窗口来存储时间戳论域T，界标窗口的长度ΔW为起始时间点到当前时间点为止记录的数据流个数；基于时间戳的数据流聚类算法以数据流集合S和簇半径阈值ε为输入，数据流集合S使用会话四元组源IP、目的IP、目的端口和协议标识，簇半径阈值ε的单位为秒，以生成的S'＝{(ci,P(ci))|(1≤i≤m)}为输出；顺序遍历数据流集合中的每个数据流，通过计算当前数据流的开始时间与数据流簇的结束时间间隔判断加入当前簇还是新建簇，1≤i≤m，1≤j≤m，i、j、m、n分别为大于0的自然数；(4)在数据流簇上提取数据流最小差异度和源端口有序度：数据流簇的最小数据流差异度的判断，数据流簇中两条数据流差异度diff计算方法为：diff=Σi=1n-1(((ti+1-ti)-(ti+1′-ti′))2+(qi-qi′)2)n-1]]>用t和q表示数据包的时间戳和数据长度两个属性；数据流簇的最小数据流差异度min_diff是所有数据流差异度diff的最小值；数据流簇的端口有序度的判断，数据流簇的源端口有序度order计算方法为：order=n-1Σi=1n-2[(ai+1-ai)2-(ai+2-ai+1)2]2]]>其中n＞2，ai表示第i(1≤i≤n)个端口号大小；(5)检测疑似木马：当数据流簇的最小数据流差异度min_diff＝0，且数据流簇中数据流数n>2(n为整数)时，判断为木马流量；或者，当数据流簇的最小数据流差异度0<min_diff<0.375且源端口号有序度order>0.45时，判断为木马流量。