一种基于网络数据包检测恶意代码的方法和系统的制作方法

专利名称：一种基于网络数据包检测恶意代码的方法和系统的制作方法
技术领域：
本发明涉及计算机网络安全技术领域，尤其涉及一种基于网络数据包检测恶意代码的方法和系统。
背景技术：
随着近年来网络技术的飞速发展，与Internet有关的安全事件愈来愈多，安全问题日益突出，根据相关报告每年因木马病毒造成的损失就达到数十亿。并且每年有将近2000万新型木马生成，而木马和后门程序也变得越来越多样化，使得被感染的计算机成上升趋势。并且每年的损失也成上升趋势。目前网络上监测木马和后门的方法有
代理检测方法系统利用部署的代理汇总网络活动行为，然后通过行为分析引擎识别是否属于网络攻击，这种检测方法属于动态监控法，其检出率比较低和误报率高，所以目前不适合检测。特征匹配通过对木马或后门初期建立连接时的网络传输数据包或样本文件进行分析，提取它们的网络行为特征，然后用这些特征行为来匹配网络数据包。如果网络数据包的内容可以匹配上特征码，就判断为病毒行为，否则认为正常数据包，相对于代理检测方法，此方法准确率比较高。然而目前木马和后门病毒的编写者为了能让木马或后门活动有更好的隐蔽性，在病毒建立网络连接过程中规避使用特征匹配的网络检测。在病毒建立网络连接时通过特定的计算规则对前一个包的部分数据或全部数据进行运算并用运算出的结果来匹配后一个包，如果符合就建立病毒连接。由于此类木马和后门没有固定的病毒行为，也就不能用固定的检测规则进行匹配，所以传统的检测规则匹配就失去作用。

发明内容
本发明是在原有的检测规则匹配方法基础上，增加动态生成木马或后门的检测规则，使得检测木马或后门的网络行为的识别率提高。本发明是基于动态生成所需的检测规则。动态生成检测规则是指对同一个数据流中时间序列相邻的两个数据包，通过特定的计算规则对时间序列在前的第一个数据包的全部或者部分数据进行运算，运算出的结果作为动态检测规则，然后就用此检测规则来匹配时间序列在后的第二个数据包，如果匹配成功就判断有恶意代码行为，没有匹配上就是认为是正常数据包。为了解决上述技术问题，本发明提出了基于网络数据包检测恶意代码的方法，包括
步骤a、在实际要监控的网络环境中，捕获网络连接中的数据包；
步骤b、利用已知的恶意代码的计算规则，对所捕获的当前数据包中部分或者全部的数据或者数据格式进行计算，生成动态检测规则；步骤C、继续捕获网络连接中的数据包，将与所述当前数据包时序相邻的数据包作为待检测数据包，用所述动态检测规则和与待检测数据包中部分或者全部的数据或者数据格式进行匹配，如果匹配成功则判断存在恶意代码，否则返回步骤b继续监控。所述已知的恶意代码的计算规则是指一种特定的算法，包括对已知的恶意代码所产生的时序相邻的两个通讯数据包进行分析后提取的计算规则，可以是运行恶意代码时对所述恶意代码产生的通讯方向相反、时序相邻的两个数据包的部分或全部的数据或数据格式进行分析后所提取的计算规则；
进一步的，步骤b还包括使用过滤条件对当前数据包进行过滤，利用已知的恶意代码的计算规则对符合过滤条件的所述当前数据包中部分或者全部的数据或者数据格式进行计算，生成动态检测规则。

所述过滤条件包括IP地址、端口、协议类型、数据包的大小。所述过滤条件还包括预先提取的恶意代码的通信数据包中相同的数据或者数据格式。进一步的，步骤c还包括继续捕获网络连接中的数据包，将与所述当前数据包通讯方向相反、时序相邻的数据包作为待检测数据包，用所述动态检测规则和与待检测数据包中部分或者全部的数据或者数据格式进行匹配，如果匹配成功则判断存在恶意代码，否则返回步骤b继续监控。进一步的，记录所述当前数据包的获取时间并设置时间间隔，继续捕获网络连接中的数据包时对于超过所述时间间隔所捕获到的数据包不作为待检测数据包。根据本发明的另一方面，还提供了一种基于网络数据包检测恶意代码的系统，包括
捕获模块，用于在实际要监控的网络环境中，捕获网络连接中的数据包；
动态规则模块，用于利用已知的恶意代码的计算规则，对所捕获的当前数据包中部分或者全部的数据或者数据格式进行计算，生成动态检测规则；
匹配模块，用于将捕获到的与所述当前数据包时序相邻的数据包或者与所述当前数据包通讯方向相反、时序相邻的数据包作为待检测数据包，用所述动态检测规则和与待检测数据包中部分或者全部的数据或者数据格式进行匹配，如果匹配成功则判断存在恶意代码，否则继续监控。所述系统还包括过滤模块，用于设置过滤条件，所述过滤条件包括IP地址、端口、协议类型、数据包的大小以及预先提取的恶意代码的通信数据包中相同的数据或者数据格式。所述匹配模块具体还用于记录所述当前数据包的获取时间并设置时间间隔，对于超过所述时间间隔所捕获到的数据包不作为待检测数据包。本发明的技术效果是
通过本发明的技术方案可以检测动态特征的木马和后门程序，从而使检测木马或后门的网络行为的识别率提闻。由于不是海量检测，所以检测时占用资源少，并且检测速度快。本技术方案用于检测网络数据包，所以适用面很广，既适合PC又适合手机方向。由于是动态生成检测规则，所以生成检测规则的算法也是动态的，适应能力强，可以根据木马后门的变化而变化，使得检测木马或后门的网络行为的识别率提高。


为了更清楚地说明本发明或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明中记载的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。图I为本发明基于网络数据包检测恶意代码的方法流程 图2为本发明基于网络数据包检测恶意代码的系统示意图。
具体实施例方式为了使本技术领域的人员更好地理解本发明实施例中的技术方案，并使本发明的上述目的、特征和优点能够更加明显易懂，下面结合附图对本发明中技术方案作进一步详细的说明。如图I所示，为本发明基于网络数据包检测恶意代码的方法流程图，包括
5101、在实际要监控的网络环境中，捕获网络连接中的数据包；
5102、利用已知的恶意代码的计算规则，对所捕获的当前数据包中部分或者全部的数据或者数据格式进行计算，生成动态检测规则；
在利用已知的恶意代码的计算规则，为了提高检测效率，对所捕获的当前数据包中部分或者全部的数据或者数据格式进行计算之前，可以先使用过滤条件对当前数据包进行过滤，只对符合过滤条件的所述当前数据包中部分或者全部的数据或者数据格式进行计算，然后生成动态检测规则。所述的过滤条件可以包括IP地址、端口、协议类型、数据包的大小。还可以使用预先提取的恶意代码的通信数据包中相同的数据或者数据格式，即使用已知恶意代码的特征先进行过滤，得到疑似通讯数据的前提下，后续步骤中再使用动态检测规则进行匹配，大大提高了检测的效率和精度。S103、继续捕获网络连接中的数据包，将与所述当前数据包时序相邻的数据包作为待检测数据包，用所述动态检测规则和与待检测数据包中部分或者全部的数据或者数据格式进行匹配，如果匹配成功则判断存在恶意代码，否则返回步骤S102继续监控。优选的，可以将与所述当前数据包通讯方向相反、时序相邻的数据包作为待检测数据包，用所述动态检测规则和与待检测数据包中部分或者全部的数据或者数据格式进行匹配，如果匹配成功则判断存在恶意代码，否则返回步骤S102继续监控。另外，为了避免数据包过多，生成过多模式和等待，可以设定时限。记录所述当前数据包的获取时间并设置时间间隔，继续捕获网络连接中的数据包时对于超过所述时间间隔所捕获到的数据包不作为待检测数据包。如图2所示，为本发明基于网络数据包检测恶意代码的系统示意图，包括
捕获模块201，用于在实际要监控的网络环境中，捕获网络连接中的数据包；
动态规则模块202，用于利用已知的恶意代码的计算规则，对所捕获的当前数据包中部分或者全部的数据或者数据格式进行计算，生成动态检测规则；匹配模块203，用于将捕获到的与所述当前数据包时序相邻的数据包或者与所述当前数据包通讯方向相反、时序相邻的数据包作为待检测数据包，用所述动态检测规则和与待检测数据包中部分或者全部的数据或者数据格式进行匹配，如果匹配成功则判断存在恶意代码，否则继续监控。所述系统还包括过滤模块204，用于设置过滤条件，所述过滤条件包括IP地址、端口、协议类型、数据包的大小以及预先提取的恶意代码的通信数据包中相同的数据或者数据格式。所述匹配模块203具体还用于记录所述当前数据包的获取时间并设置时间间隔，对于超过所述时间间隔所捕获到的数据包不作为待检测数据包。虽然通过实施例描绘了本发明，本领域普通技术人员知道，本发明有许多变形和变化而不脱离本发明的精神，希望所附的权利要求包括这些变形和变化而不脱离本发明的 精神。
权利要求
1.一种基于网络数据包检测恶意代码的方法，其特征在于，包括 步骤a、在实际要监控的网络环境中，捕获网络连接中的数据包； 步骤b、利用已知的恶意代码的计算规则，对所捕获的当前数据包中部分或者全部的数据或者数据格式进行计算，生成动态检测规则； 步骤C、继续捕获网络连接中的数据包，将与所述当前数据包时序相邻的数据包作为待检测数据包，用所述动态检测规则和与待检测数据包中部分或者全部的数据或者数据格式进行匹配，如果匹配成功则判断存在恶意代码，否则返回步骤b继续监控。
2.如权利要求I所述的基于网络数据包检测恶意代码的方法，其特征在于，步骤b还包括使用过滤条件对当前数据包进行过滤，利用已知的恶意代码的计算规则对符合过滤条件的所述当前数据包中部分或者全部的数据或者数据格式进行计算，生成动态检测规则。
3.如权利要求2所述的基于网络数据包检测恶意代码的方法，其特征在于，所述过滤条件包括IP地址、端口、协议类型、数据包的大小。
4.如权利要求2所述的基于网络数据包检测恶意代码的方法，其特征在于，所述过滤条件还包括预先提取的恶意代码的通信数据包中相同的数据或者数据格式。
5.如权利要求I所述的基于网络数据包检测恶意代码的方法，其特征在于，步骤c还包括继续捕获网络连接中的数据包，将与所述当前数据包通讯方向相反、时序相邻的数据包作为待检测数据包，用所述动态检测规则和与待检测数据包中部分或者全部的数据或者数据格式进行匹配，如果匹配成功则判断存在恶意代码，否则返回步骤b继续监控。
6.如权利要求I或5所述的基于网络数据包检测恶意代码的方法，其特征在于，记录所述当前数据包的获取时间并设置时间间隔，继续捕获网络连接中的数据包时对于超过所述时间间隔所捕获到的数据包不作为待检测数据包。
7.一种基于网络数据包检测恶意代码的系统，其特征在于，包括 捕获模块，用于在实际要监控的网络环境中，捕获网络连接中的数据包； 动态规则模块，用于利用已知的恶意代码的计算规则，对所捕获的当前数据包中部分或者全部的数据或者数据格式进行计算，生成动态检测规则； 匹配模块，用于将捕获到的与所述当前数据包时序相邻的数据包或者与所述当前数据包通讯方向相反、时序相邻的数据包作为待检测数据包，用所述动态检测规则和与待检测数据包中部分或者全部的数据或者数据格式进行匹配，如果匹配成功则判断存在恶意代码，否则继续监控。
8.如权利要求7所述的基于网络数据包检测恶意代码的系统，其特征在于，还包括过滤模块，用于设置过滤条件，所述过滤条件包括IP地址、端口、协议类型、数据包的大小以及预先提取的恶意代码的通信数据包中相同的数据或者数据格式。
9.如权利要求7所述的基于网络数据包检测恶意代码的系统，其特征在于，匹配模块具体还用于记录所述当前数据包的获取时间并设置时间间隔，对于超过所述时间间隔所捕获到的数据包不作为待检测数据包。
全文摘要
本发明公开了一种基于网络数据包检测恶意代码的方法，包括在实际要监控的网络环境中，捕获网络连接中的数据包；利用已知的恶意代码的计算规则，对所捕获的当前数据包中部分或者全部的数据或者数据格式进行计算，生成动态检测规则；继续捕获网络连接中的数据包，将与所述当前数据包时序相邻的数据包作为待检测数据包，用所述动态检测规则和与待检测数据包中部分或者全部的数据或者数据格式进行匹配，如果匹配成功则判断存在恶意代码。本发明还公开了一种基于网络数据包检测恶意代码的系统。本发明技术方案在原有的检测规则匹配方法基础上，增加动态生成木马或后门的检测规则，使得检测木马或后门的网络行为的识别率提高。
文档编号H04L29/06GK102769607SQ20111045203
公开日2012年11月7日 申请日期2011年12月30日 优先权日2011年12月30日
发明者孟雅静, 崔成, 李柏松, 肖新光 申请人:北京安天电子设备有限公司