基于网络通信行为的未知木马检测方法
【专利摘要】本发明是关于一种基于网络通信行为的未知木马检测方法,包括以下步骤:采集网络通信行为的原始数据;对采集到的原始数据进行预处理;根据木马通信特征,提取经预处理后数据中的特征;基于正常通信行为和木马通信行为,建立可疑规则库;及利用可疑规则库,对预处理后数据进行检测,以确定未知木马;其中,利用可疑规则库对预处理后数据的检测,实质上是对预处理后数据进行匹配的问题,是匹配可疑规则库中规则的过程。借由本发明,实现对未知木马的高效检测。
【专利说明】基于网络通信行为的未知木马检测方法
【技术领域】
[0001]本发明涉及未知木马的检测方法,特别是涉及一种基于网络通信行为的未知木马检测方法。
【背景技术】
[0002]当前,木马仍是互联网最大的安全威胁之一,如何检测和防御木马是信息安全领域需要解决的重要问题。
[0003]现有的木马检测方法主要有以下几个类型:特征码扫描,特征码扫描的对象包括代码和关键字,这是一种被安全检测领域广泛应用的技术,对于检测已知的木马具有很高的准确率,误报率低,但是不能用来检测未知类型的木马;完整性检测,完整性检测是通过检测文件与原文件是否一致来达到检测的目的,这实际上是一种防止文件被修改的方法,也就是防止木马的注入,但是这种方法具有很高的误报率,且不适合检测未知文件是否含有木马程序。跟踪取证和RIPPER方法,这两种方法都是从随机和大量的数据中寻找有价值的信息,但是花费时间长,复杂度高,而且准确性低。另外,从另一个方面来看,木马能在目标机中运行,需要木马文件的支持,所以就出现了通过系统文件采用静态分析和动态分析来检测文件中存在可疑代码的技术。静态分析和动态分析分别指不运行和运行被测文件来检查恶意操作的检测技术。
[0004]传统的检测技术只能检测已知种类的木马,对于未知种类的木马则无能为力。从木马存在的本质来看,木马的存在是为了窃取敏感信息,如果能防止木马向外传输敏感信息,并在木马试图工作的时候及时通知管理员,也就达到了检测和防御木马的目的,这实际上就是检测技术。
[0005]由此可见,上述现有的木马检测方法在使用上,显然仍存在有不便与缺陷,而亟待加以进一步改进。
【发明内容】
[0006]本发明的目的在于提供一种基于网络通信行为的未知木马检测方法,其是针对传统木马检测方法对未知木马识别能力低下的缺陷,建立有关通信行为的可疑规则库,对疑似木马的通信行为进行描述,实现对未知木马的高效检测。
[0007]本发明的目的是采用以下技术方案来实现的。本发明提供一种基于网络通信行为的未知木马检测方法,包括以下步骤:采集网络通信行为的原始数据;对采集到的原始数据进行预处理;根据木马通信特征,提取经预处理后数据中的特征;基于正常通信行为和木马通信行为,建立可疑规则库;及利用可疑规则库,对预处理后数据进行检测,以确定未知木马;其中,利用可疑规则库对预处理后数据的检测,实质上是对预处理后数据进行匹配的问题,是匹配可疑规则库中规则的过程。
[0008]本发明的目的还可采用以下技术措施进一步实现。
[0009]前述的基于网络通信行为的未知木马检测方法,其中该对采集到的原始数据进行预处理的步骤包括:重组传输层连接,记录传输层连接的相关信息,并解析传输层连接的负载内容。
[0010]前述的基于网络通信行为的未知木马检测方法,其中传输层连接包括TCP连接和UDP连接。
[0011]前述的基于网络通信行为的未知木马检测方法,其中在该根据木马通信特征,提取经预处理后数据中的特征的步骤中,提取的特征包括内网服务器传输层连接方向、指定IP对某一域名请求的周期性、内网IP发起请求的时间、内网IP请求某域名时的被请求端口、通信连接的目的端口和部分负载内容、邮件服务器的DNS请求内容、HTTP请求头中的域名及实际请求解析的域名。
[0012]前述的基于网络通信行为的未知木马检测方法,其中可疑规则库中的规则包括:
(I)服务器主动外联公网地址;⑵某IP固定时间间隔请求某域名;⑶非工作时间内网主机主动外联;(4)内部IP请求域名后,连接该域名对应IP的非常用端口 ;(5)端口与通信内容协议不匹配;(6)邮件服务器发起的DNS请求不是mx记录;(7) HTTP报文中请求头的域名与实际请求解析的域名不一致。
[0013]前述的基于网络通信行为的未知木马检测方法,其中在对预处理后数据进行检测的过程中,利用上述提取的特征对传输层连接进行描述,并借由可疑规则库进行匹配识别。
[0014]借由上述技术方案,本发明的基于网络通信行为的未知木马检测方法至少具有下列优点及有益效果:
[0015]本发明的基于网络通信行为的未知木马检测方法,是针对传统木马检测方法对未知木马识别能力低下的缺陷,通过建立可疑规则库,对木马通信网络行为进行描述,从而实现对未知木马的高效检测。
[0016]上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其他目的、特征和优点能够更明显易懂,以下特举较佳实施例,并配合附图,详细说明如下。
【专利附图】
【附图说明】
[0017]图1:本发明的基于网络通信行为的未知木马检测方法的结构示意图。
【具体实施方式】
[0018]为更进一步阐述本发明为达成预定发明目的所采取的技术手段及功效,以下结合附图及较佳实施例,对依据本发明提出的一种基于网络通信行为的未知木马检测方法的【具体实施方式】、结构、特征及其功效,详细说明如后。
[0019]本发明以在网络出入关口捕获的全量原始报文为基础,通过对网络流量及行为的统计来发现其中可疑的木马通信。木马通信虽然隐蔽性高、活跃周期不确定,但是由于其窃取机密数据的目的性,必然导致木马通信在网络流量上有迹可循。然而,木马为了去除数据通信过程中的指纹特征,其往往会对通讯信息进行加密、混淆处理,因此对木马通信特征的选取应结合其流量方向、通信时间、网络连接、资源交互以及通信内容特征等多个角度。
[0020]参阅图1所示,为本发明的基于网络通信行为的未知木马检测方法的结构示意图,该基于网络通信行为的未知木马检测方法包括以下步骤:[0021]步骤1:采集网络通信行为的原始数据;
[0022]该方法是以原始数据为基础,对原始数据进行分析,以期发现隐藏在其中的木马通信数据。上述的原始数据,例如是采用旁路分光/镜像的方法将进出局域网关口的数据报文进行全量的捕获,并存储为Pcap文件。
[0023]步骤2:对采集到的原始数据进行预处理;
[0024]在该步骤中,对获得到的原始数据进行的预处理,是对通信流量中的传输层连接进行重组(TCP和UDP),记录传输层连接的相关信息,并解析传输层连接的负载内容。
[0025]具体来说,为某个五元组(例如,源IP、目的IP、源端口、目的端口、协议)的TCP连接设置连接计时器和划分阈值。根据TCP协议中的三次握手,当某个五元组出现第一个SYN标识位的数据包时,建立TCP (传输控制协议)连接,如果该五元组未建立连接,则抛弃所有与该五元组相关的TCP数据包。而当连接建立后出现以下三种情况时,认为连接结束:
(1)在处理每个TCP包时,判断是否为FIN的数据包,如果是则进行连接划分,并将计时器重置为O ; (2)在处理每个TCP包时,判断是否为RST的数据包,如果是则进行连接划分,并将计时器重置为O ; (3)在处理每一个TCP包时,判断计时器是否超过预先设定的划分阈值,如果超过,则进行连接划分,开始一个新的该五元组的TCP连接,并将计时器重置为0,如果不超过则无需划分。
[0026]根据某个五元组发送的第一个UDP包建立相应的UDP (用户数据报协议)连接,UDP连接的划分规则包括:(I)在处理目的端口为53的UDP包时,每个UDP包为一个连接;
(2)在处理其他的UDP包时,要设置UDP连接计时器和划分阈值,在UDP连接建立时,计时器设置为0,在处理每个UDP包时,判断计时器是否超过预先设定的划分阈值,如果超过,则进行连接划分,开始一个新的该五元组的UDP连接,并将计时器重置为0,如果不超过则无需划分。
[0027]其中,下面列举本发明要用到的一些变量:
[0028]1、传输层连接参数变量
[0029]
【权利要求】
1.一种基于网络通信行为的未知木马检测方法,其特征在于其包括以下步骤: 采集网络通信行为的原始数据; 对采集到的原始数据进行预处理; 根据木马通信特征,提取经预处理后数据中的特征; 基于正常通信行为和木马通信行为,建立可疑规则库 '及 利用可疑规则库,对预处理后数据进行检测,以确定未知木马; 其中,利用可疑规则库对预处理后数据的检测,实质上是对预处理后数据进行匹配的问题,是匹配可疑规则库中规则的过程。
2.根据权利要求1所述的基于网络通信行为的未知木马检测方法,其特征在于,其中该对采集到的原始数据进行预处理的步骤包括: 重组传输层连接,记录传输层连接的相关信息,并解析传输层连接的负载内容。
3.根据权利要求2所述的基于网络通信行为的未知木马检测方法,其特征在于,其中传输层连接包括TCP连接和UDP连接。
4.根据权利要求2所述的基于网络通信行为的未知木马检测方法,其特征在于,其中在该根据木马通信特征,提取经预处理后数据中的特征的步骤中,提取的特征包括内网服务器传输层连接方向、指定IP对某一域名请求的周期性、内网IP发起请求的时间、内网IP请求某域名时的被请求端口、通信连接的目的端口和部分负载内容、邮件服务器的DNS请求内容、HTTP请求头中的域名及实际请求解析的域名。
5.根据权利要求1或4所述的基于网络通信行为的未知木马检测方法,其特征在于,其中上述可疑规则库中的规则包括:(I)服务器主动外联公网地址;(2)某IP固定时间间隔请求某域名;(3)非工作时间内网主机主动外联;(4)内部IP请求域名后,连接该域名对应IP的非常用端口 ;(5)端口与通信内容协议不匹配;(6)邮件服务器发起的DNS请求不是mx记录;(7)HTTP报文中请求头的域名与实际请求解析的域名不一致。
6.根据权利要求5所述的基于网络通信行为的未知木马检测方法,其特征在于,其中在对预处理后数据进行检测的过程中,利用上述提取的特征对传输层连接进行描述,并借由可疑规则库进行匹配识别。
【文档编号】H04L29/06GK103944788SQ201410188835
【公开日】2014年7月23日 申请日期:2014年5月6日 优先权日:2014年5月6日
【发明者】李佳, 王明华, 云晓春, 高胜, 李志辉, 李世淙 申请人:国家计算机网络与信息安全管理中心