CN102769607B - 一种基于网络数据包检测恶意代码的方法和系统 - Google Patents

一种基于网络数据包检测恶意代码的方法和系统 Download PDF

Info

Publication number
CN102769607B
CN102769607B CN201110452032.1A CN201110452032A CN102769607B CN 102769607 B CN102769607 B CN 102769607B CN 201110452032 A CN201110452032 A CN 201110452032A CN 102769607 B CN102769607 B CN 102769607B
Authority
CN
China
Prior art keywords
packet
data
malicious code
detection
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201110452032.1A
Other languages
English (en)
Other versions
CN102769607A (zh
Inventor
肖新光
李柏松
孟雅静
崔成
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing ahtech network Safe Technology Ltd
Original Assignee
Beijing Antiy Electronic Equipment Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Antiy Electronic Equipment Co Ltd filed Critical Beijing Antiy Electronic Equipment Co Ltd
Priority to CN201110452032.1A priority Critical patent/CN102769607B/zh
Publication of CN102769607A publication Critical patent/CN102769607A/zh
Application granted granted Critical
Publication of CN102769607B publication Critical patent/CN102769607B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种基于网络数据包检测恶意代码的方法,包括:在实际要监控的网络环境中,捕获网络连接中的数据包;利用已知的恶意代码的计算规则,对所捕获的当前数据包中部分或者全部的数据或者数据格式进行计算,生成动态检测规则;继续捕获网络连接中的数据包,将与所述当前数据包时序相邻的数据包作为待检测数据包,用所述动态检测规则和与待检测数据包中部分或者全部的数据或者数据格式进行匹配,如果匹配成功则判断存在恶意代码。本发明还公开了一种基于网络数据包检测恶意代码的系统。本发明技术方案在原有的检测规则匹配方法基础上,增加动态生成木马或后门的检测规则,使得检测木马或后门的网络行为的识别率提高。

Description

一种基于网络数据包检测恶意代码的方法和系统
技术领域
本发明涉及计算机网络安全技术领域,尤其涉及一种基于网络数据包检测恶意代码的方法和系统。
背景技术
随着近年来网络技术的飞速发展,与Internet有关的安全事件愈来愈多,安全问题日益突出,根据相关报告每年因木马病毒造成的损失就达到数十亿。并且每年有将近2000万新型木马生成,而木马和后门程序也变得越来越多样化,使得被感染的计算机成上升趋势。并且每年的损失也成上升趋势。
目前网络上监测木马和后门的方法有:
代理检测方法:系统利用部署的代理汇总网络活动行为,然后通过行为分析引擎识别是否属于网络攻击,这种检测方法属于动态监控法,其检出率比较低和误报率高,所以目前不适合检测。
特征匹配:通过对木马或后门初期建立连接时的网络传输数据包或样本文件进行分析,提取它们的网络行为特征,然后用这些特征行为来匹配网络数据包。如果网络数据包的内容可以匹配上特征码,就判断为病毒行为,否则认为正常数据包,相对于代理检测方法,此方法准确率比较高。
然而目前木马和后门病毒的编写者为了能让木马或后门活动有更好的隐蔽性,在病毒建立网络连接过程中规避使用特征匹配的网络检测。在病毒建立网络连接时通过特定的计算规则对前一个包的部分数据或全部数据进行运算并用运算出的结果来匹配后一个包,如果符合就建立病毒连接。由于此类木马和后门没有固定的病毒行为,也就不能用固定的检测规则进行匹配,所以传统的检测规则匹配就失去作用。
发明内容
本发明是在原有的检测规则匹配方法基础上,增加动态生成木马或后门的检测规则,使得检测木马或后门的网络行为的识别率提高。
本发明是基于动态生成所需的检测规则。动态生成检测规则是指对同一个数据流中时间序列相邻的两个数据包,通过特定的计算规则对时间序列在前的第一个数据包的全部或者部分数据进行运算,运算出的结果作为动态检测规则,然后就用此检测规则来匹配时间序列在后的第二个数据包,如果匹配成功就判断有恶意代码行为,没有匹配上就是认为是正常数据包。
为了解决上述技术问题,本发明提出了基于网络数据包检测恶意代码的方法,包括:
步骤a、在实际要监控的网络环境中,捕获网络连接中的数据包;
步骤b、利用已知的恶意代码的计算规则,对所捕获的当前数据包中部分或者全部的数据或者数据格式进行计算,生成动态检测规则;
步骤c、继续捕获网络连接中的数据包,将与所述当前数据包时序相邻的数据包作为待检测数据包,用所述动态检测规则和与待检测数据包中部分或者全部的数据或者数据格式进行匹配,如果匹配成功则判断存在恶意代码,否则返回步骤b继续监控。
所述已知的恶意代码的计算规则是指一种特定的算法,包括对已知的恶意代码所产生的时序相邻的两个通讯数据包进行分析后提取的计算规则,可以是运行恶意代码时对所述恶意代码产生的通讯方向相反、时序相邻的两个数据包的部分或全部的数据或数据格式进行分析后所提取的计算规则;
进一步的,步骤b还包括:使用过滤条件对当前数据包进行过滤,利用已知的恶意代码的计算规则对符合过滤条件的所述当前数据包中部分或者全部的数据或者数据格式进行计算,生成动态检测规则。
所述过滤条件包括:IP地址、端口、协议类型、数据包的大小。
所述过滤条件还包括:预先提取的恶意代码的通信数据包中相同的数据或者数据格式。
进一步的,步骤c还包括:继续捕获网络连接中的数据包,将与所述当前数据包通讯方向相反、时序相邻的数据包作为待检测数据包,用所述动态检测规则和与待检测数据包中部分或者全部的数据或者数据格式进行匹配,如果匹配成功则判断存在恶意代码,否则返回步骤b继续监控。
进一步的,记录所述当前数据包的获取时间并设置时间间隔,继续捕获网络连接中的数据包时对于超过所述时间间隔所捕获到的数据包不作为待检测数据包。
根据本发明的另一方面,还提供了一种基于网络数据包检测恶意代码的系统,包括:
捕获模块,用于在实际要监控的网络环境中,捕获网络连接中的数据包;
动态规则模块,用于利用已知的恶意代码的计算规则,对所捕获的当前数据包中部分或者全部的数据或者数据格式进行计算,生成动态检测规则;
匹配模块,用于将捕获到的与所述当前数据包时序相邻的数据包或者与所述当前数据包通讯方向相反、时序相邻的数据包作为待检测数据包,用所述动态检测规则和与待检测数据包中部分或者全部的数据或者数据格式进行匹配,如果匹配成功则判断存在恶意代码,否则继续监控。
所述系统还包括过滤模块,用于设置过滤条件,所述过滤条件包括:IP地址、端口、协议类型、数据包的大小以及预先提取的恶意代码的通信数据包中相同的数据或者数据格式。
所述匹配模块具体还用于记录所述当前数据包的获取时间并设置时间间隔,对于超过所述时间间隔所捕获到的数据包不作为待检测数据包。
本发明的技术效果是:
通过本发明的技术方案可以检测动态特征的木马和后门程序,从而使检测木马或后门的网络行为的识别率提高。
由于不是海量检测,所以检测时占用资源少,并且检测速度快。
本技术方案用于检测网络数据包,所以适用面很广,既适合PC又适合手机方向。
由于是动态生成检测规则,所以生成检测规则的算法也是动态的,适应能力强,可以根据木马后门的变化而变化,使得检测木马或后门的网络行为的识别率提高。
附图说明
为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明基于网络数据包检测恶意代码的方法流程图;
图2为本发明基于网络数据包检测恶意代码的系统示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明实施例中的技术方案,并使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明中技术方案作进一步详细的说明。
如图1所示,为本发明基于网络数据包检测恶意代码的方法流程图,包括:
S101、在实际要监控的网络环境中,捕获网络连接中的数据包;
S102、利用已知的恶意代码的计算规则,对所捕获的当前数据包中部分或者全部的数据或者数据格式进行计算,生成动态检测规则;
在利用已知的恶意代码的计算规则,为了提高检测效率,对所捕获的当前数据包中部分或者全部的数据或者数据格式进行计算之前,可以先使用过滤条件对当前数据包进行过滤,只对符合过滤条件的所述当前数据包中部分或者全部的数据或者数据格式进行计算,然后生成动态检测规则。
所述的过滤条件可以包括IP地址、端口、协议类型、数据包的大小。
还可以使用预先提取的恶意代码的通信数据包中相同的数据或者数据格式,即使用已知恶意代码的特征先进行过滤,得到疑似通讯数据的前提下,后续步骤中再使用动态检测规则进行匹配,大大提高了检测的效率和精度。
S103、继续捕获网络连接中的数据包,将与所述当前数据包时序相邻的数据包作为待检测数据包,用所述动态检测规则和与待检测数据包中部分或者全部的数据或者数据格式进行匹配,如果匹配成功则判断存在恶意代码,否则返回步骤S102继续监控。
优选的,可以将与所述当前数据包通讯方向相反、时序相邻的数据包作为待检测数据包,用所述动态检测规则和与待检测数据包中部分或者全部的数据或者数据格式进行匹配,如果匹配成功则判断存在恶意代码,否则返回步骤S102继续监控。
另外,为了避免数据包过多,生成过多模式和等待,可以设定时限。记录所述当前数据包的获取时间并设置时间间隔,继续捕获网络连接中的数据包时对于超过所述时间间隔所捕获到的数据包不作为待检测数据包。
如图2所示,为本发明基于网络数据包检测恶意代码的系统示意图,包括:
捕获模块201,用于在实际要监控的网络环境中,捕获网络连接中的数据包;
动态规则模块202,用于利用已知的恶意代码的计算规则,对所捕获的当前数据包中部分或者全部的数据或者数据格式进行计算,生成动态检测规则;
匹配模块203,用于将捕获到的与所述当前数据包时序相邻的数据包或者与所述当前数据包通讯方向相反、时序相邻的数据包作为待检测数据包,用所述动态检测规则和与待检测数据包中部分或者全部的数据或者数据格式进行匹配,如果匹配成功则判断存在恶意代码,否则继续监控。
所述系统还包括过滤模块204,用于设置过滤条件,所述过滤条件包括:IP地址、端口、协议类型、数据包的大小以及预先提取的恶意代码的通信数据包中相同的数据或者数据格式。
所述匹配模块203具体还用于记录所述当前数据包的获取时间并设置时间间隔,对于超过所述时间间隔所捕获到的数据包不作为待检测数据包。
虽然通过实施例描绘了本发明,本领域普通技术人员知道,本发明有许多变形和变化而不脱离本发明的精神,希望所附的权利要求包括这些变形和变化而不脱离本发明的精神。

Claims (9)

1.一种基于网络数据包检测恶意代码的方法,其特征在于,包括:
步骤a、在实际要监控的网络环境中,捕获网络连接中的数据包;
步骤b、利用已知的恶意代码的计算规则,对所捕获的当前数据包中部分或者全部的数据或者数据格式进行计算,生成动态检测规则;
步骤c、继续捕获网络连接中的数据包,将与所述当前数据包时序相邻的数据包作为待检测数据包,用所述动态检测规则和与待检测数据包中部分或者全部的数据或者数据格式进行匹配,如果匹配成功则判断存在恶意代码,否则返回步骤b继续监控。
2.如权利要求1所述的基于网络数据包检测恶意代码的方法,其特征在于,步骤b还包括:使用过滤条件对当前数据包进行过滤,利用已知的恶意代码的计算规则对符合过滤条件的所述当前数据包中部分或者全部的数据或者数据格式进行计算,生成动态检测规则。
3.如权利要求2所述的基于网络数据包检测恶意代码的方法,其特征在于,所述过滤条件包括:IP地址、端口、协议类型、数据包的大小。
4.如权利要求2所述的基于网络数据包检测恶意代码的方法,其特征在于,所述过滤条件还包括:预先提取的恶意代码的通信数据包中相同的数据或者数据格式。
5.如权利要求1所述的基于网络数据包检测恶意代码的方法,其特征在于,步骤c还包括:继续捕获网络连接中的数据包,将与所述当前数据包通讯方向相反、时序相邻的数据包作为待检测数据包,用所述动态检测规则和与待检测数据包中部分或者全部的数据或者数据格式进行匹配,如果匹配成功则判断存在恶意代码,否则返回步骤b继续监控。
6.如权利要求1或5所述的基于网络数据包检测恶意代码的方法,其特征在于,记录所述当前数据包的获取时间并设置时间间隔,继续捕获网络连接中的数据包时对于超过所述时间间隔所捕获到的数据包不作为待检测数据包。
7.一种基于网络数据包检测恶意代码的系统,其特征在于,包括:
捕获模块,用于在实际要监控的网络环境中,捕获网络连接中的数据包;
动态规则模块,用于利用已知的恶意代码的计算规则,对所捕获的当前数据包中部分或者全部的数据或者数据格式进行计算,生成动态检测规则;
匹配模块,用于将捕获到的与所述当前数据包时序相邻的数据包或者与所述当前数据包通讯方向相反、时序相邻的数据包作为待检测数据包,用所述动态检测规则和与待检测数据包中部分或者全部的数据或者数据格式进行匹配,如果匹配成功则判断存在恶意代码,否则继续监控。
8.如权利要求7所述的基于网络数据包检测恶意代码的系统,其特征在于,还包括过滤模块,用于设置过滤条件,所述过滤条件包括:IP地址、端口、协议类型、数据包的大小以及预先提取的恶意代码的通信数据包中相同的数据或者数据格式。
9.如权利要求7所述的基于网络数据包检测恶意代码的系统,其特征在于,匹配模块具体还用于记录所述当前数据包的获取时间并设置时间间隔,对于超过所述时间间隔所捕获到的数据包不作为待检测数据包。
CN201110452032.1A 2011-12-30 2011-12-30 一种基于网络数据包检测恶意代码的方法和系统 Active CN102769607B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201110452032.1A CN102769607B (zh) 2011-12-30 2011-12-30 一种基于网络数据包检测恶意代码的方法和系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201110452032.1A CN102769607B (zh) 2011-12-30 2011-12-30 一种基于网络数据包检测恶意代码的方法和系统

Publications (2)

Publication Number Publication Date
CN102769607A CN102769607A (zh) 2012-11-07
CN102769607B true CN102769607B (zh) 2015-01-07

Family

ID=47096857

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201110452032.1A Active CN102769607B (zh) 2011-12-30 2011-12-30 一种基于网络数据包检测恶意代码的方法和系统

Country Status (1)

Country Link
CN (1) CN102769607B (zh)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103425930B (zh) * 2012-12-27 2016-09-07 北京安天电子设备有限公司 一种在线实时脚本检测方法及系统
TWI515600B (zh) * 2013-10-25 2016-01-01 緯創資通股份有限公司 惡意程式防護方法與系統及其過濾表格更新方法
CN106817340B (zh) * 2015-11-27 2020-05-08 阿里巴巴集团控股有限公司 预警决策的方法、节点及子系统
CN108881129A (zh) * 2017-05-16 2018-11-23 中兴通讯股份有限公司 一种高级持续性威胁攻击检测方法及装置

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101572691A (zh) * 2008-04-30 2009-11-04 华为技术有限公司 一种入侵检测方法、系统和装置

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101572691A (zh) * 2008-04-30 2009-11-04 华为技术有限公司 一种入侵检测方法、系统和装置

Also Published As

Publication number Publication date
CN102769607A (zh) 2012-11-07

Similar Documents

Publication Publication Date Title
Meidan et al. N-baiot—network-based detection of iot botnet attacks using deep autoencoders
CN106909847B (zh) 一种恶意代码检测的方法、装置及系统
CN103428196B (zh) 一种基于url白名单的web应用入侵检测方法
KR102040990B1 (ko) 응답이 없는 아웃고잉 네트워크 트래픽의 분석을 통한 감염된 네트워크 장치의 검출
CN102799814B (zh) 一种钓鱼网站查找系统及方法
CN108881263B (zh) 一种网络攻击结果检测方法及系统
CN103051627B (zh) 一种反弹式木马的检测方法
CN102223267B (zh) 一种ids的检测方法及检测设备
CN104601556A (zh) 一种面向web的攻击检测方法及系统
KR101132197B1 (ko) 악성 코드 자동 판별 장치 및 방법
CN102769607B (zh) 一种基于网络数据包检测恶意代码的方法和系统
CN105260662A (zh) 一种未知应用漏洞威胁检测装置及方法
CN104392177A (zh) 基于安卓平台的病毒取证系统及其方法
CN104794051A (zh) 一种Android平台恶意软件自动化检测方法
CN103957205A (zh) 一种基于终端流量的木马检测方法
CN110851834A (zh) 融合多特征分类的安卓恶意应用检测方法
CN104598820A (zh) 一种基于特征行为分析的木马病检测方法
CN111049783A (zh) 一种网络攻击的检测方法、装置、设备及存储介质
CN110839042B (zh) 一种基于流量的自反馈恶意软件监测系统和方法
CN114785567B (zh) 一种流量识别方法、装置、设备及介质
CN101719906B (zh) 一种基于蠕虫传播行为的蠕虫检测方法
CN105656730A (zh) 一种基于tcp数据包的网络应用快速发现方法和系统
CN101286979B (zh) 一种网络攻击检测方法
CN101409623B (zh) 一种面向高速网络的模式匹配方法
CN107463493A (zh) 一种面向主机防病毒产品的测试系统和测试方法

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C53 Correction of patent for invention or patent application
CB02 Change of applicant information

Address after: 100080 Haidian District City, Zhongguancun, the main street, No. 1 Hailong building, room 1415, room 14

Applicant after: Beijing Antiy Electronic Installation Co., Ltd.

Address before: 100084, 2B-521, bright city, No. 1, Nongda South Road, Beijing, Haidian District

Applicant before: Beijing Antiy Electronic Installation Co., Ltd.

C14 Grant of patent or utility model
GR01 Patent grant
CP03 Change of name, title or address

Address after: 100080 Beijing city Haidian District minzhuang Road No. 3, Tsinghua Science Park Building 1 Yuquan Huigu a

Patentee after: Beijing ahtech network Safe Technology Ltd

Address before: 100080 Haidian District City, Zhongguancun, the main street, No. 1 Hailong building, room 1415, room 14

Patentee before: Beijing Antiy Electronic Installation Co., Ltd.

CP03 Change of name, title or address
PE01 Entry into force of the registration of the contract for pledge of patent right

Denomination of invention: Malicious code detecting method and system based on network packet

Effective date of registration: 20190719

Granted publication date: 20150107

Pledgee: Bank of Longjiang, Limited by Share Ltd, Harbin Limin branch

Pledgor: Beijing ahtech network Safe Technology Ltd

Registration number: 2019230000008

PE01 Entry into force of the registration of the contract for pledge of patent right
PC01 Cancellation of the registration of the contract for pledge of patent right

Date of cancellation: 20210810

Granted publication date: 20150107

Pledgee: Bank of Longjiang Limited by Share Ltd. Harbin Limin branch

Pledgor: BEIJING ANTIY NETWORK TECHNOLOGY Co.,Ltd.

Registration number: 2019230000008

PC01 Cancellation of the registration of the contract for pledge of patent right