一种基于终端流量的木马检测方法

一种基于终端流量的木马检测方法
【专利摘要】本发明提供一种基于终端流量的木马检测方法，包括以下步骤：捕获数据流量信息，并分析时间段流量；对终端上下行数据流量进行分析；通过智能分析的数据流量与通信白名单数据进行核准匹配；终端流量数据包正确性检测。本发明提供的基于终端流量的木马检测方法，改变了原有根据已有特征码、样本、恶意代码等常规木马检测手段，对高隐藏、免杀、不规则通信、系统程序文件注入式等方式的木马不能进行及时发现或查杀，通过终端流量木马检测方法，可以对终端数据流量进行实时监控，通过多维度检测模型判定程序产生的流量数据是否存在异常，对变种木马、高级木马或残留木马深度检测，提高计算机安全性、降低误报率、提高木马定位准确性。
【专利说明】一种基于终端流量的木马检测方法
【技术领域】
[0001]本发明属于信息安全【技术领域】，具体涉及一种基于终端流量的木马检测方法。
【背景技术】
[0002]木马是网络安全的一大威胁，随着网络技术日新月异，杀毒软件阻止了多种计算机病毒的传播，受到利益驱使，木马程序也在不断升级完善自己，木马程序制作者也采用多种技术手段优化木马程序，将相关木马程序进行免杀处理、自动隐藏、关闭安全防护软件、采用反弹等技术或容错时间与外界通信等技术规避安全软件的检测；未来木马将更注重隐藏、底层通信、Oday漏洞利用等技术进行与查杀工具对抗。
[0003]传统木马查杀技术基于程序动作行为、特征码或具有针对性的查杀工具为主，不能快速识别最新或已升级的木马程序，计算机用户无法诊断判定程序是否为木马或已种木马，而且病毒木马还在网络中四溢扩散播种，以往认为导致传播的途径为U盘进行多机器使用导致，随之推处针对U盘的病毒木马查杀，终端查杀和U盘查杀还是没有控制住病毒木马的传播的破坏，考虑到病毒木马通过网络进行传播，又制定基于网络流量的病毒木马检测手段，来降低终端种病毒木马的可能性，在网络层提高针对病毒木马检测能力外，还能有效阻止传统病毒木马在网络中传播感染，可还是没能有效的扼杀病毒木马的传播，依然存在病毒木马的破坏和泄漏信息事件。
[0004]综上所述，采取终端查杀、U盘查杀和网络流量木马检测等手段，还是不能扼制病毒木马的传播，最新病毒木马绕过上述防护手段，仍存在被控制或数据信息泄露等威胁。

【发明内容】

[0005]为了克服上述现有技术的不足，本发明提供一种基于终端流量的木马检测方法，通过进行上下流量检测、进程通信数据检测和流量数据包正确性解析，实现终端流量木马检测。
[0006]为了实现上述发明目的，本发明采取如下技术方案:
[0007]本发明提供一种基于终端流量的木马检测方法，所述方法包括以下步骤:
[0008]步骤1:捕获数据流量信息，并分析时间段流量；
[0009]步骤2:对终端上下行数据流量进行分析；
[0010]步骤3:通过智能分析的数据流量与通信白名单数据进行核准匹配；
[0011 ] 步骤4:终端流量数据包正确性检测。
[0012]所述步骤I包括以下步骤:
[0013]步骤1-1:捕获终端的数据流量信息，对所有产生的数据流量进行记录和统计；
[0014]步骤1-2:时间段内获取数据流量信息，实时记录产生的数据流量信息，根据捕获的数据包分析，得到产生数据流量的源端口或目的端口，在通过源端口找到占用端口的进程ID，通过进程ID找到此进程的记录项；
[0015]步骤1-3:若没有检测到时间段内产生的此进程记录项，则进行自建进程记录项，把数据包的长度累加到记录项的流量字段中。
[0016]所述步骤2包括以下步骤:
[0017]步骤2-1:建立数据流量检测模型，统计所有进程的上行流量和下行流量；
[0018]步骤2-2:通过数据流量检测模型进行进程ID、进程名称、上行流量、下行流量、时间段、数据包关键字、特征函数和恶意代码的检测；
[0019]步骤2-3:判定数据流量中上行流量与下行流量是否存在差异，若上行流量大于下行流量，则通过数据包进行关键字过滤分析；
[0020]步骤2-4:对下行流量过大数据包进行特征函数与恶意代码的检测；
[0021]步骤2-5:若下行流量中存在特征函数或恶意代码，则表面存在异常流量数据，通过进程ID查找对应的程序，自建的进程记录项与实时流量数据记录信息进行智能分析匹配定位对应进程。
[0022]所述步骤3中，根据木马行为特性，构建基于进程名称、源通信端口、目的IP地址和目的端口关联的通信白名单，在获取数据流量信息后，通过流量数据找到相应进程，根据数据包分析，查找产生流量进程源端口与外界通信的目的IP地址与目的端口，记录并与已构建通信白名单进行对比匹配，判定是否为木马程序。
[0023]终端流量数据包正确性检测包括协议正确性检测和协议数据包长度检测。
[0024]所述步骤4具体包括以下步骤:
[0025]步骤4-1:建立基于数据包的协议正确性检测模型，协议正确性检测模型涵盖字段包括端口号、协议、协议的特征、协议的数据包长度阀值信息；
[0026]步骤4-2:根据上行流量目的端口识别出相应的协议，根据协议特征对数据包内容进行验证；
[0027]步骤4-3:根据上行流量协议数据包长度的最大值进行检测，超过设定的某协议的最大数据包长度，就属于可疑数据包，其发送程序就属于可疑进程，完成协议数据包长度检测。
[0028]与现有技术相比，本发明的有益效果在于:
[0029]本发明提供的基于终端流量的木马检测方法，改变了原有根据已有特征码、样本、恶意代码等常规木马检测手段，对高隐藏、免杀、不规则通信、系统程序文件注入式等方式的木马不能进行及时发现或查杀，通过终端流量木马检测方法，可以对终端数据流量进行实时监控，通过多维度检测模型判定程序产生的流量数据是否存在异常，对变种木马、高级木马或残留木马深度检测，提高计算机安全性、降低误报率、提高木马定位准确性。
【专利附图】

【附图说明】
[0030]图1是基于终端流量的木马检测方法流程图。
【具体实施方式】
[0031]下面结合附图对本发明作进一步详细说明。
[0032]如图1，本发明提供一种基于终端流量的木马检测方法，所述方法包括以下步骤:
[0033]步骤1:捕获数据流量信息，并分析时间段流量；
[0034]步骤2:对终端上下行数据流量进行分析；[0035]步骤3:通过智能分析的数据流量与通信白名单数据进行核准匹配；
[0036]步骤4:终端流量数据包正确性检测。
[0037]所述步骤I包括以下步骤:
[0038]步骤1-1:捕获终端的数据流量信息，对所有产生的数据流量进行记录和统计；
[0039]步骤1-2:时间段内获取数据流量信息，实时记录产生的数据流量信息，根据捕获的数据包分析，得到产生数据流量的源端口或目的端口，在通过源端口找到占用端口的进程ID，通过进程ID找到此进程的记录项；
[0040]步骤1-3:若没有检测到时间段内产生的此进程记录项，则进行自建进程记录项，把数据包的长度累加到记录项的流量字段中。
[0041]所述步骤2包括以下步骤:
[0042]步骤2-1:建立数据流量检测模型，统计所有进程的上行流量和下行流量；
[0043]步骤2-2:通过数据流量检测模型进行进程ID、进程名称、上行流量、下行流量、时间段、数据包关键字、特征函数和恶意代码的检测；
[0044]步骤2-3:判定数据流量中上行流量与下行流量是否存在差异，若上行流量大于下行流量，则通过数据包进行关键字过滤分析；
[0045]步骤2-4:对下行流量过大数据包进行特征函数与恶意代码的检测；
[0046]步骤2-5:若下行流量中存在特征函数或恶意代码，则表面存在异常流量数据，通过进程ID查找对应的程序，自建的进程记录项与实时流量数据记录信息进行智能分析匹配定位对应进程。
[0047]所述步骤3中，根据木马行为特性，构建基于进程名称、源通信端口、目的IP地址和目的端口关联的通信白名单，在获取数据流量信息后，通过流量数据找到相应进程，根据数据包分析，查找产生流量进程源端口与外界通信的目的IP地址与目的端口，记录并与已构建通信白名单进行对比匹配，判定是否为木马程序。
[0048]终端流量数据包正确性检测包括协议正确性检测和协议数据包长度检测。
[0049]所述步骤4具体包括以下步骤:
[0050]步骤4-1:建立基于数据包的协议正确性检测模型，协议正确性检测模型涵盖字段包括端口号、协议、协议的特征、协议的数据包长度阀值信息；
[0051]步骤4-2:根据上行流量目的端口识别出相应的协议，根据协议特征对数据包内容进行验证；
[0052]步骤4-3:根据上行流量协议数据包长度的最大值进行检测，超过设定的某协议的最大数据包长度，就属于可疑数据包，其发送程序就属于可疑进程，完成协议数据包长度检测。
[0053]本发明通过对终端数据流量进行采集分析，采用时间段流量采集统计，设计一种基于终端上下行数据流量进行分析模型，记录产生流量程序的进程，构建进程通信数据模型检测，通过智能分析数据流量与已知通信白名单数据进行核准匹配，最后进行终端流量协议正确性检测和协议数据包长度检测，通过多维度检测模型判定程序产生的流量数据是否存在异常，对变种木马、高级木马或残留木马深度检测，提高计算机安全性、降低误报率、提高木马定位准确性。
[0054]最后应当说明的是:以上实施例仅用以说明本发明的技术方案而非对其限制，尽管参照上述实施例对本发明进行了详细的说明，所属领域的普通技术人员应当理解:依然可以对本发明的【具体实施方式】进行修改或者等同替换，而未脱离本发明精神和范围的任何修改或者等同替换，其均应涵盖在本发明的权利要求范围当中。
【权利要求】
1.一种基于终端流量的木马检测方法，其特征在于:所述方法包括以下步骤: 步骤1:捕获数据流量信息，并分析时间段流量； 步骤2:对终端上下行数据流量进行分析； 步骤3:通过智能分析的数据流量与通信白名单数据进行核准匹配； 步骤4:终端流量数据包正确性检测。
2.根据权利要求1所述的基于终端流量的木马检测方法，其特征在于:所述步骤I包括以下步骤: 步骤1-1:捕获终端的数据流量信息，对所有产生的数据流量进行记录和统计； 步骤1-2:时间段内获取数据流量信息，实时记录产生的数据流量信息，根据捕获的数据包分析，得到产生数据流量的源端口或目的端口，在通过源端口找到占用端口的进程ID，通过进程ID找到此进程的记录项； 步骤1-3:若没有检测到时间段内产生的此进程记录项，则进行自建进程记录项，把数据包的长度累加到记录项的流量字段中。
3.根据权利要求1所述的基于终端流量的木马检测方法，其特征在于:所述步骤2包括以下步骤: 步骤2-1:建立数据流量检测模型，统计所有进程的上行流量和下行流量； 步骤2-2:通过数据流量检测模型进行进程ID、进程名称、上行流量、下行流量、时间段、数据包关键字、特征函数和恶意代码的检测； 步骤2-3:判定数据流量中上行流量与下行流量是否存在差异，若上行流量大于下行流量，则通过数据包进行关键字过滤分析； 步骤2-4:对下行流量过大数据包进行特征函数与恶意代码的检测； 步骤2-5:若下行流量中存在特征函数或恶意代码，则表面存在异常流量数据，通过进程ID查找对应的程序，自建的进程记录项与实时流量数据记录信息进行智能分析匹配定位对应进程。
4.根据权利要求1所述的基于终端流量的木马检测方法，其特征在于:所述步骤3中，根据木马行为特性，构建基于进程名称、源通信端口、目的IP地址和目的端口关联的通信白名单，在获取数据流量信息后，通过流量数据找到相应进程，根据数据包分析，查找产生流量进程源端口与外界通信的目的IP地址与目的端口，记录并与已构建通信白名单进行对比匹配，判定是否为木马程序。
5.根据权利要求1所述的基于终端流量的木马检测方法，其特征在于:终端流量数据包正确性检测包括协议正确性检测和协议数据包长度检测。
6.根据权利要求5所述的基于终端流量的木马检测方法，其特征在于:所述步骤4具体包括以下步骤: 步骤4-1:建立基于数据包的协议正确性检测模型，协议正确性检测模型涵盖字段包括端口号、协议、协议的特征、协议的数据包长度阀值信息； 步骤4-2:根据上行流量目的端口识别出相应的协议，根据协议特征对数据包内容进行验证； 步骤4-3:根据上行流量协议数据包长度的最大值进行检测，超过设定的某协议的最大数据包长度，就属于可疑数据包，其发送程序就属于可疑进程，完成协议数据包长度检测
【文档编号】H04L29/06GK103957205SQ201410169874
【公开日】2014年7月30日 申请日期:2014年4月25日 优先权日:2014年4月25日
【发明者】高昆仑, 杨成明, 郝增帅, 魏桂臣, 李凌 申请人:国家电网公司, 中国电力科学研究院