CN103532949A - 基于动态反馈的自适应木马通信行为检测方法 - Google Patents

Abstract

本发明公开了一种基于动态反馈的自适应木马通信行为检测方法，对木马检测的报警信息进行处理，利用报警信息构造动态反馈学习的样本集，通过检测数据流概念漂移确定检测的更新时机；其中，对木马检测的报警信息进行处理包括对规范化描述后的报警信息进行合并和关联处理，然后建立攻击轨迹事件并存储在攻击事件表中。本发明针对窃密木马检测的自适应问题，分析窃密木马检测的报警信息，结合相似度分析、聚类分析等方法，加上主动探测获取目的IP的相关信息，通过报警信息构建动态反馈学习的样本集，采用增量支持向量机算法作为动态反馈学习的算法，通过检测数据流概念漂移确定检测系统的更新时机。

Description

基于动态反馈的自适应木马通信行为检测方法

技术领域：

本发明涉及一种木马通信行为的检测方法，特别是涉及一种基于动态反馈的自适应木马通信行为检测方法。

背景技术：

目前，现有的窃密型木马检测技术主要采用特征码匹配技术。相较于基于特征码匹配的检测技术，基于通信行为特征分析的检测技术在准确性和扩展性方面具有明显优势，有利于发现潜在的、未知的网络窃密行为和威胁，具有更广的应用前景。现有的基于网络通信数据统计分析的窃密木马检测方法通常是根据收集到的样本和正常网络行为数据建立二分类的静态检测模型，然后利用该模型对实际网络通信数据进行判断和预测。但随着网络通信行为和木马分析技术的发展，通信信息出现“爆炸式”增长，网络流量是不断动态变化的，因此静态检测模型不能适应复杂多变的网络环境。当得到新的样本时，传统的学习算法需要对所有数据进行重新学习来更新检测模型，不仅学习时间长，并且随着数据的增多，样本集趋于无穷，将所有样本存储在介质上进行重新学习是不现实的。因此，如何设计具有自适应能力且计算复杂度较低的检测算法，进而实时的发现木马的网络通信行为就成为当前一个重要的理论和技术问题。

基于通信行为的木马检测方法很多，但大部分已有方法的检测自适应能力较差，而且计算效率不高。

Borders等利用HTTP请求的时间间隔、请求包大小、包头格式、带宽占用、请求规则等特征构造各种过滤器检测木马通信。然而，木马可以通过在通信细节上的简单改变绕过文章中所构造的各种过滤器。例如：木马只需将请求包的大小限制在某一阈值内即可使请求包大小过滤器失去功效。此种方法只能针对HTTP协议进行检测，通用性较差。而且此种方法还需要对数据包内容进行详细解析，效率较低。

C.Rossow等人设计了一个名叫Sandnet的网络数据采集分析环境，他们指出，对恶意代码的行为进行长时间的跟踪分析对理解其行为更有帮助。此外他们着重对恶意代码常用的DNS和HTTP协议进行深入分析，根据协议中不同字段的异常取值来检测恶意代码。该方法的优点在于选取了更长的时间，综合协议的具体字段取值对恶意代码进行分析检测，缺点在于对遵守协议规范设计的恶意代码会失去效果。

R.Perdisci等人提出，基于恶意代码产生的HTTP通信数据流的结构相似性可以对恶意代码的网络通信行为进行聚类，并根据聚类结果自动的生成恶意代码的网络特征，以此来检测基于HTTP通信的恶意代码程序。这种方法改进了恶意代码特征的提取方法，但是对不具备HTTP通信数据相似性的通信数据流失去提取特征并检测的能力。

Shicong Li等人从TCP会话层面和IP流层面分析木马的通信行为，选取多维属性来描述木马的网络通信行为，并使用数据挖掘的分类算法建立了木马检测模型。对于实时检测来说，他们选取了更广泛的属性，描述会话之间的相关性，但是这种方法仍局限于单个数据流，没有对网络通信数据流的规律性进行分析，木马通过改变操作方式和通信方式可以躲避检测。

孙海涛分析了木马的概念、原理、通信技术及隐蔽性特点，给出了木马通信的隐蔽性模型。并在此基础上，分析不同阶段木马的通信行为。在连接保持无操作阶段检测木马的“心跳行为”，在交互操作阶段提取通信行为特征，使用C4.5决策树算法构造分类器，实现了木马通信行为检测系统。该研究提出的检测方法能够有效的对实时数据流进行检测，但也存在一定的缺点，检测方法不具备自适应能力，且分析的时间短，对高隐蔽性的木马可能会失效。

发明内容：

本发明要解决的技术问题是：克服现有技术的缺陷，提供一种基于动态反馈的自适应木马通信行为检测方法，该方法能够对检测的报警信息进行处理，在得到报警信息的基础上检测系统的准确率，动态的调整检测系统的分类模型，具有较高的检测准确度和自适应能力。

本发明的技术方案：一种基于动态反馈的自适应木马通信行为检测方法，对木马检测的报警信息进行处理，利用报警信息构造动态反馈学习的样本集，所述动态反馈学习是采用增量支持向量机算法进行动的，通过检测数据流概念漂移确定检测的更新时机；

对木马检测的报警信息进行处理包括以下内容：首先，将检测的木马报警信息经过规范化描述，存储在数据库的原始报警表中；其次，利用数据库的便利性，对规范化描述后的报警信息进行合并和关联处理，存储处理后的报警信息；然后，将合并和关联的不同类型而相关联的报警信息建立攻击轨迹事件，存储在攻击事件表中；经过处理的报警信息，能够有效的去除冗余，便于减少误报信息。

所述合并处理是指对报警信息进行相似度对比后进行合并：

①设行为报警信息B1、B2，合并条件应满足：

当合并条件成立时，直接将两条报警信息用一条报警信息表示，合并后的时间信息，可以用其中一个时间值表示；

其中t₁ ^*是时间长度，单位为秒，表示两次报警的时间邻近度，例如t₁ ^*=72000。Ips为源IP地址，ipD为目的IP地址，dport为目的端口，sport为源端口，T1表示B1报警产生的时间，T2表示B2报警产生的时间；B1.ip_S表示B1的源IP地址，B1.ip_D表示B1的目的IP地址，B2.ip_S∧B1.ip_D表示B2的源IP地址与B1的目标IP地址同时成立。Sim(B1,B2)=1标示报警信息B1和B2合并成立的条件，

表示等价推导关系。假设Sim(B1,B2)=1即合并条件成立，应当B1.ip_S=B2.ip_S∧B1.ip_D=B2.ip_D∧B1.dport=B2.dport∧B1.sport=B2.sport|B1.T₂-B2.T₁|≤t₁*。当合并条件成立时，直接将两条报警信息用一条报警信息表示，合并后的时间信息，可以用其中一个时间值表示。

②设心跳报警信息H1={IP_S1,IP_D1,SPort₁,DPort₁,Inter₁,T₁}，

H2={IP_S2,IP_D2,SPort₂,DPort₂,Inter₂,T₂}，合并条件应满足：

当合并条件成立时，直接将两条报警信息用一条报警信息表示，合并后的时间信息，可以用其中一个时间值表示；

其中t₂ ^*是时间长度，单位为秒，表示两次报警的时间邻近度，例如：t₂ ^*=1200，将不同类型的报警信息进行关联，减少误报；针对H1报警，Ips1为源IP地址，ipD1为目的IP地址，dport1为目的端口，sport1为源端口，T1表示H1报警产生的时间。Sim(H1,H2)=1标示报警信息H1和H2合并成立的条件，

表示等价推导关系。假设Sim(H1,H2)=1即合并条件成立，应当

H1.ip_S=H2.ip_S∧H1.ip_D=H2.ip_D∧H1.dport=H2.dport∧H1.Inter=H2.Inter

∧H1.T₂-H2.T₁≤t₂ ^*

当合并条件成立时，直接将两条报警信息用一条报警信息表示，合并后的时间信息，可以用其中一个时间值表示。

针对H2报警，Ips2为源IP地址，ipD2为目的IP地址，dport2为目的端口，sport2为源端口，T2表示H2报警产生的时间。

所述关联处理是指将“行为报警”和“心跳报警”类型的信息关联处理，描述一次攻击事件的两种异常行为，用于判断报警信息的准确度，减少误报提供依据；关联处理如下：

设行为报警信息B1={IP_S1,IP_D1,{SPort_i}₁,{DPort_i}₁,T₁}，心跳报警信息H1={IP_S2,IP_D2,SPort₂,DPort₂,T₂}。

B1和H1是相关的

其中t'是时间长度，单位为秒，表示“心跳报警”与“行为报警”的时间间隔，例如：t'=300。

为进一步去除误报信息，构造HTTP的GET请求包和进行IP-DNS对应查询，探测控制端的信息，根据探测的信息，修正报警信息，构建动态反馈学习的样本集，使用增量支持向量机算法，根据检测数据流概念漂移确定检测的更新时机，实现动态反馈自适应检测。

所述动态反馈学习样本集以向量的形式存储在文件中，向量以(x_i,y_i)的形式存储；其中x_i为con_j，con_j={sip,dip,sport,dport,y_j}；y_i为类标号，取值范围为{1，-1}，y_i为整数，其中sip为源IP，dip为目的IP地址，sport为源端口，dport为目的端口；y_j为描述会话信息的特征，y_j={RSPkts/SPkts,SLPkts/LPkts,RPkts/SPkts,Sbytes/Rbytes}，其中RSPkts/SPkts为会话接收小包数量/会话小包数量、SLPkts/LPkts为会话发送大包数量/会话大包数量、RPkts/SPkts为会话接收数据包数量/发送数据包数量、Sbytes/Rbytes为会话发送数据量/接收数据量，其中，i和j为大于0的自然数。

选择分类错误率作为判断数据流概念漂移的依据，

分类错误率： $p=\frac{f\_\mathrm{pos}}{t\_\mathrm{pos}+f\_\mathrm{pos}}$

其中t_pos为被正确分类的TCP会话的数目，f_pos为被错误分类的TCP会话的数目；

设分类函数在训练集C上的分类错误率为p_c，训练集C中样本数量为n，当前基本窗口的数据的分类错误率为p_i，1≤i≤m，通过判断使用训练集C生成的分类函数对当前窗口的数据的分类错误率判断是否发生概念漂移；当p_m∈(p_c-σ*z_α/2,p_c+σ*z_α/2)时有1-α的置信度表明当前窗口数据对于训练集C上的分类函数没有发生概念漂移；其中

z_α/2为由置信度1-α和标准正态分布所决定的常数（这个常数，在概率分布中，由查“标准正态分布表”得到的）。其中，训练集C表示得到分类函数时使用的木马通信样本数据集。1-α为置信度，是概率分布，由用户自己设定的值，根据这个置信度，根据该概率分布，可以确定一个置信区间。

本发明的有益效果：本发明针对窃密木马检测的自适应问题，分析窃密木马检测的报警信息，结合相似度分析、聚类分析等方法，加上主动探测获取目的IP的相关信息，通过报警信息构建动态反馈学习的样本集，采用增量支持向量机算法作为动态反馈学习的算法，通过检测数据流概念漂移确定检测系统的更新时机，综合以上问题，发明了基于动态反馈的自适应窃密木马检测方法，利用本发明可以实现木马检测系统的自适应机制。

附图说明：

图1为主动探测数据包示例图；

图2为窃密木马控制端IP探测结果图；

图3为基于支持向量机的增量学习算法图；

图4为动态反馈自适应木马检测流程图。

具体实施方式：

实施例一：一种基于动态反馈的自适应木马通信行为检测方法，首先，将检测的报警信息经过规范化描述，存储在数据库的原始报警表中；利用数据库的便利性，对报警信息进行合并、关联，存储处理后的报警信息，在此基础上将不同类型而相关联的报警信息建立攻击轨迹事件，存储在攻击事件表中。经过处理的报警信息，能够有效的去除冗余，便于减少误报信息。报警信息的融合处理逻辑结构图如附图1。

有如下定义：

定义1：(F,D_V)称为木马通信数据流检测模型。

定义2：网络通信行为特征集合F用一组向量表示。

F={con_j|1≤j≤w}，其中w为TCP会话数（TcpSNum），j为大于或等于1的自然数。con_j={sip,dip,sport,dport,y_j}，y_j为描述会话信息的特征，其中sip为源IP，dip为目的IP地址，sport为源端口，dport为目的端口。

y_j={RSPkts/SPkts,SLPkts/LPkts,RPkts/SPkts,Sbytes/Rbytes}。其中RSPkts/SPkts为会话接收小包数量/会话小包数量、SLPkts/LPkts为会话发送大包数量/会话大包数量、RPkts/SPkts为会话接收数据包数量/发送数据包数量、Sbytes/Rbytes为会话发送数据量/接收数据量。

定义3：定义多项式时间可计算的函数D_V为与F一致的分类器，其中

D_V:F→{-1,1}

这里1表示正常网络通信，-1表示木马通信。

（1）报警信息规范化：规范化不仅需要将警报转换成统一的格式，还需要将报警信息的特征按照规范的格式输出，存储在数据库报警表中。

对于行为特征检测的报警，使用以下属性标识：

alarmB={源IP、目的IP、源端口、目的端口、报警时间、y_j、报警类型、报警次数}。报警类型为{“行为报警”，“心跳报警”}；

对于“心跳”行为检测的报警，使用以下属性标识：

alarmH={源IP、目的IP、源端口、目的端口、协议、报警时间、数据包簇中包个数、平均簇时间间隔、报警类型、报警次数}。

（2）报警信息聚合：分别对行为报警和心跳报警两种不同类型的报警信息进行聚合，将报警信息中符合一定相似度的信息合并为一条信息，删除冗余信息。

相似度函数定义为： $\mathrm{Sim}(a,b)=\left\{\begin{array}{cc}1& a.\mathrm{attribute}=b.\mathrm{attribute}\\ 0& \mathrm{otherwise}\end{array}\right.$

由于木马检测的报警信息类型较单一，在对报警信息进行聚合时，只考虑IP四元组和时间之间的相似性，将重复的报警信息聚合，减少冗余。

①设行为报警信息B1、B2，

其中t₁ ^*是时间长度（单位：秒），表示两次报警的时间邻近度，本文定义t₁ ^*=72000。

②设心跳报警信息H1={IP_S1,IP_D1,SPort₁,DPort₁,Inter₁,T₁}，

H2={IP_S2,IP_D2,SPort₂,DPort₂,Inter₂,T₂}。

其中t₂ ^*是时间长度（单位：秒），表示两次报警的时间邻近度，本文定义t₂ ^*=1200。

（3）报警信息关联：将“行为报警”和“心跳报警”类型的信息关联处理，描述一次攻击事件的两种异常行为，为判断报警信息的准确度，减少误报提供依据。

设行为报警信息B1={IP_S1,IP_D1,{SPort_i}₁,{DPort_i}₁,T₁}，心跳报警信息H1={IP_S2,IP_D2,SPort₂,DPort₂,T₂}。

B1和H1是相关的

其中t'是时间长度（单位：秒），表示“心跳报警”与“行为报警”的时间间隔，本文定义t'=300。

（4）攻击事件轨迹分析：将一次攻击的多次、不同类型的报警信息串行表示，描述一次攻击在时间上的连续性。

①根据报警信息合并得到的相似度判断，将一次攻击的行为报警信息用如下形式表示：

alarmB={源IP、目的IP、源端口_i、目的端口_i、报警起始时间、最后一次报警时间、y_j、重复报警次数、报警类型}。每当得到新的报警信息时，与最后一次报警时间相比较求时间的邻近度，更新该报警信息，用最新一次的报警信息的流特征数据y_j作为该报警的流特征。

根据心跳报警信息的相似度判断，用如下形式表示：

alarmH={源IP、目的IP、源端口、目的端口、协议、报警时间、数据包簇中包个数、平均簇时间间隔、报警类型}。每当得到新的报警信息时，与已有报警信息的时间相比较求时间的邻近度，将报警时间较新的心跳报警作为本次攻击的心跳报警信息。

②根据报警信息关联分析结果，在一次攻击的行为报警和心跳报警信息之间建立关联联系，用攻击事件数据表存储关联的结果，用如下形式表示：

event_i={源IP、目的IP、{源端口_i、目的端口_i}、

、{报警时间_i}}，{源端口_i、目的端口_i}为所有产生过报警的端口对，{报警时间_i}表示关联的心跳报警和行为报警的时间列表。攻击事件更形式化的表示了一个攻击事件的多行为异常以及攻击的连续性。

主动探测减少误报。初始的检测模型的报警结果必然会存在误报这类噪声数据。若单纯依靠人工修正所有报警，不仅速度慢，时间长，而且报警数据不直观，增加了人工修正的难度。本文提出主动探测的方法验证窃密木马控制端IP地址的可信度，为减少误报提供帮助。

基于C/S架构的木马控制端大多开启80端口进行监听，本文以目的IP的可信度为研究对象，通过主动探测获取目的IP的相关信息，提供更加直观的信息降低人工修正的难度。木马的控制端监听80端口，但并不建立真正的Web服务器对HTTP请求进行回应，因此对正常的web服务器发出HTTP请求探测，会收到关于服务器信息，如图1，回应信息中包含了服务器的信息；对木马控制端进行HTTP请求探测，不会收到服务器的信息，甚至不能成功建立连接，如图2。本文通过构造HTTP的GET请求包和进行IP-DNS对应查询，探测控制端的信息。例如：

httpRequest=“GET”+”Http://”+host+”:”+”.”+”HTTP/1.1\r\n”+”Host:”+host+”\r\n”……

利用如上探测数据包和IP-DNS查询，本文能够得到如下相关信息：

ip_detail={IP归属地，IP服务器信息，IP对应域名信息，内容类型，内容长度，修改时间}，攻击事件信息增加目的IP的详细信息项，用如下形式表示：

eventi={源IP、目的IP、{源端口i、目的端口i}、

、报警时间、ip_detail}针对探测结果，结合人工修正，就可以得到准确的报警信息，减少大部分误报。

通过人工修正，将较为准确的报警信息和人工添加的样本特征以(x_i,y_i)的形式存储，其中x_i为con_j，y_i为类标号，取值范围为{1，-1}，作为动态反馈学习的样本集，其中，i和j为大于0的自然数。

然后，确定动态反馈学习的机器学习算法。随着网络技术的发展，新型网络应用不断涌现，许多木马的行为特征会被正常的网络应用所吸收、借鉴，木马也会变换通信方式，模仿正常的网络应用行为。更何况真实网络中存在许多无法预料的情况，所以检测需要自学习的能力，对木马通信行为的学习，减少漏报。漏报产生原因在于数据流发生概念漂移。首先是构造机器学习算法实现动态反馈学习；其次是根据分类错误率来检测是否发生数据流概念漂移，确定动态反馈学习的更新时机。

增量学习和重复学习是解决数据流概念漂移的两种方法，增量学习无需保存全部历史数据，减小了存储空间，又对历史数据的轮廓具有记忆功能，因此无论从学习速度和学习效果上都略胜一筹。

分类错误是数据样本违反KKT条件的特定情况，支持向量机的增量学习算法，将KKT条件作为判定新增数据样本是否更新现有SVM分类函数的依据，如果新增数据样本违背KKT条件，则原训练样本集中的非支持向量可能转化为支持向量。根据该思想本文将采用的增量支持向量机算法描述如图3。

其次，判断动态反馈学习的更新时机。选择分类错误率作为判断数据流概念漂移的依据，原因有以下几点：①分类错误率是评价系统的检测能力的最重要的标准；②分类错误率便于计算和理解。当分类的错误率超过在训练集上分类函数错误率的置信区间时，认为系统发生概念漂移，执行动态反馈学习构造新的分类函数。

设报警信息按照时间组织成形如A₁,A₂…A_i,…的时间序列，基本窗口对应固定长度的时间区间，每个窗口长度w代表时间区间内的报警信息数量，一系列的基本窗口组成滑动窗口W=w₁,…,w_i,…w_m，其中w_i为滑动窗口中代表第i个时间区间的基本窗口，w_m为保存最新数据的当前窗口，W是滑动窗口的大小，代表保存m个时间区间的报警数据。

定义4：分类错误率：

$p=\frac{f\_\mathrm{pos}}{t\_\mathrm{pos}+f\_\mathrm{pos}}$

其中t_pos为被正确分类的TCP会话的数目，f_pos为被错误分类的TCP会话的数目。

设分类函数在训练集C上的分类错误率为p_c，训练集C中样本数量为n，当前基本窗口的数据的分类错误率为p_m，（1≤i≤m），通过判断使用训练集C生成的分类函数对当前窗口的数据的分类错误率判断是否发生概念漂移。

当p_m∈(p_c-σ*z_α/2,p_c+σ*z_α/2)时有1-α的置信度表明当前窗口数据对于训练集C上的分类函数没有发生概念漂移。其中

z_α/2为由置信度1-α和标准正态分布所决定的常数。

采用上述判断方法，在主动探测和人工修正确定报警信息后，计算当前分类函数在新增报警信息上的分类精度，当分类精度不符合上述定理时，此时即为需要更新的时机，将当前新增的报警信息构造为增量学习的样本集，采用图3的动态反馈增量学习算法训练学习。

最后，综合以上，进行动态反馈学习。结构图如附图4，图中粗黑线代表了两次动态反馈学习过程。其中检测阶段为在线实时数据流检测，训练阶段为离线数据学习过程，离线学习的结果将反馈给实时检测，更新实时检测的分类模型。用户行为统计学习是与实时检测同步进行的。

下面分别进行计算复杂度分析：

（1）增量支持向量机分类算法的计算复杂度分析如下：

支持向量机分类算法的复杂度受到训练集规模L、样本描述向量的维度D和支持向量的个数n_sv的影响，实验证明，大多数情况下n_sv/L＜＜1，此时分类器的计算复杂度为

设增量学习样本集的大小为L'，增量学习得到的支持向量个数n_sv'，n_sv'/n_sv≈1，所以增量学习的复杂度为

远小于重新学习的复杂度

因此增量学习支持向量机分类算法更适合处理实时网络数据流。

（2）自适应木马检测方法的时间复杂度分析如下：

从效率的角度分析，检测模型对效率的要求主要体现在实时数据流检测过程。数据流的特性在于海量、快速、只允许单遍扫描。该模型实时检测过程对数据流的处理采用单遍扫描的方式，通过解析、累加数据包头的信息提取适用于分类的特征向量。设IP层数据流数据包个数为n，检测对每个数据包进行单遍扫描，最坏时间复杂度为O(n)，效率符合实时检测要求。

综上所述，本发明所选取的行为特征的最坏时间复杂度为O(n)，因此本发明的效率较高。

Claims (5)

1.一种基于动态反馈的自适应木马通信行为检测方法，其特征是：对木马检测的报警信息进行处理，利用报警信息构造动态反馈学习的样本集，所述动态反馈学习是采用增量支持向量机算法进行动的，通过检测数据流概念漂移确定检测的更新时机；

对木马检测的报警信息进行处理包括以下内容：首先，将检测的木马报警信息经过规范化描述，存储在数据库的原始报警表中；其次，利用数据库的便利性，对规范化描述后的报警信息进行合并和关联处理，存储处理后的报警信息；然后，将合并和关联的不同类型而相关联的报警信息建立攻击轨迹事件，存储在攻击事件表中；

所述合并处理是指对报警信息进行相似度对比后进行合并：

①设行为报警信息B1、B2，合并条件应满足：

当合并条件成立时，直接将两条报警信息用一条报警信息表示，合并后的时间信息，用其中一个时间值表示；

其中t₁ ^*是时间长度，单位为秒，表示两次报警的时间邻近度，Ips为源IP地址，ipD为目的IP地址，dport为目的端口，sport为源端口，T1表示B1报警产生的时间，T2表示B2报警产生的时间；B1.ip_S表示B1的源IP地址，B1.ip_D表示B1的目的IP地址，B2.ip_S∧B1.ip_D表示B2的源IP地址与B1的目标IP地址同时成立；

②设心跳报警信息H1={IP_S1,IP_D1,SPort₁,DPort₁,Inter₁,T₁}，

H2={IP_S2,IP_D2,SPort₂,DPort₂,Inter₂,T₂}，合并条件应满足：

当合并条件成立时，直接将两条报警信息用一条报警信息表示，合并后的时间信息，可以用其中一个时间值表示；

其中t₂ ^*是时间长度，单位为秒，表示两次报警的时间邻近度，将不同类型的报警信息进行关联，减少误报；针对H1报警，Ips1为源IP地址，ipD1为目的IP地址，dport1为目的端口，sport1为源端口，T1表示H1报警产生的时间；

针对H2报警，Ips2为源IP地址，ipD2为目的IP地址，dport2为目的端口，sport2为源端口，T2表示H2报警产生的时间。

所述关联处理是指将“行为报警”和“心跳报警”类型的信息关联处理，描述一次攻击事件的两种异常行为，用于判断报警信息的准确度，减少误报提供依据；关联处理如下：

设行为报警信息B1={IP_S1,IP_D1,{SPort_i}₁,{DPort_i}₁,T₁}，心跳报警信息H1={IP_S2,IP_D2,SPort₂,DPort₂,T₂}。

B1和H1是相关的

其中t'是时间长度，单位为秒，表示“心跳报警”与“行为报警”的时间间隔。

2.根据权利要求1所述的基于动态反馈的自适应木马通信行为检测方法，其特

征是：t₁ ^*=72000，t₂ ^*=1200，t'=300。

3.根据权利要求1所述的基于动态反馈的自适应木马通信行为检测方法，其特征是：为进一步去除误报信息，构造HTTP的GET请求包和进行IP-DNS对应查询，探测控制端的信息，根据探测的信息，修正报警信息，构建动态反馈学习的样本集，使用增量支持向量机算法，根据检测数据流概念漂移确定检测的更新时机，实现动态反馈自适应检测。

4.所述动态反馈学习样本集以向量的形式存储在文件中，向量以(x_i,y_i)的形式存储；其中x_i为con_j，con_j={sip,dip,sport,dport,y_j}；y_i为类标号，取值范围为{1，-1}，y_i为整数，其中sip为源IP，dip为目的IP地址，sport为源端口，dport为目的端口；y_j为描述会话信息的特征，y_j={RSPkts/SPkts,SLPkts/LPkts,RPkts/SPkts,Sbytes/Rbytes}，其中RSPkts/SPkts为会话接收小包数量/会话小包数量、SLPkts/LPkts为会话发送大包数量/会话大包数量、RPkts/SPkts为会话接收数据包数量/发送数据包数量、Sbytes/Rbytes为会话发送数据量/接收数据量，其中，i和j为大于0的自然数。

5.根据权利要求1所述的基于动态反馈的自适应木马通信行为检测方法，其特征是：选择分类错误率作为判断数据流概念漂移的依据，

分类错误率： $p=\frac{f\_\mathrm{pos}}{t\_\mathrm{pos}+f\_\mathrm{pos}}$

其中t_pos为被正确分类的TCP会话的数目，f_pos为被错误分类的TCP会话的数目；

设分类函数在训练集C上的分类错误率为p_c，训练集C中样本数量为n，当前基本窗口的数据的分类错误率为p_i，1≤i≤m，通过判断使用训练集C生成的分类函数对当前窗口的数据的分类错误率判断是否发生概念漂移；当p_m∈(p_c-σ*z_α/2,p_c+σ*z_α/2)时有1-α的置信度表明当前窗口数据对于训练集C上的分类函数没有发生概念漂移；其中z_α/2为由置信度1-α和标准正态分布所决定的；其中，训练集C表示得到分类函数时使用的木马通信样本数据集。

Images