CN103944788A - 基于网络通信行为的未知木马检测方法 - Google Patents

Abstract

本发明是关于一种基于网络通信行为的未知木马检测方法，包括以下步骤：采集网络通信行为的原始数据；对采集到的原始数据进行预处理；根据木马通信特征，提取经预处理后数据中的特征；基于正常通信行为和木马通信行为，建立可疑规则库；及利用可疑规则库，对预处理后数据进行检测，以确定未知木马；其中，利用可疑规则库对预处理后数据的检测，实质上是对预处理后数据进行匹配的问题，是匹配可疑规则库中规则的过程。借由本发明，实现对未知木马的高效检测。

Description

基于网络通信行为的未知木马检测方法

技术领域

本发明涉及未知木马的检测方法，特别是涉及一种基于网络通信行为的未知木马检测方法。

背景技术

当前，木马仍是互联网最大的安全威胁之一，如何检测和防御木马是信息安全领域需要解决的重要问题。

现有的木马检测方法主要有以下几个类型：特征码扫描，特征码扫描的对象包括代码和关键字，这是一种被安全检测领域广泛应用的技术，对于检测已知的木马具有很高的准确率，误报率低，但是不能用来检测未知类型的木马；完整性检测，完整性检测是通过检测文件与原文件是否一致来达到检测的目的，这实际上是一种防止文件被修改的方法，也就是防止木马的注入，但是这种方法具有很高的误报率，且不适合检测未知文件是否含有木马程序。跟踪取证和RIPPER方法，这两种方法都是从随机和大量的数据中寻找有价值的信息，但是花费时间长，复杂度高，而且准确性低。另外，从另一个方面来看，木马能在目标机中运行，需要木马文件的支持，所以就出现了通过系统文件采用静态分析和动态分析来检测文件中存在可疑代码的技术。静态分析和动态分析分别指不运行和运行被测文件来检查恶意操作的检测技术。

传统的检测技术只能检测已知种类的木马，对于未知种类的木马则无能为力。从木马存在的本质来看，木马的存在是为了窃取敏感信息，如果能防止木马向外传输敏感信息，并在木马试图工作的时候及时通知管理员，也就达到了检测和防御木马的目的，这实际上就是检测技术。

由此可见，上述现有的木马检测方法在使用上，显然仍存在有不便与缺陷，而亟待加以进一步改进。

发明内容

本发明的目的在于提供一种基于网络通信行为的未知木马检测方法，其是针对传统木马检测方法对未知木马识别能力低下的缺陷，建立有关通信行为的可疑规则库，对疑似木马的通信行为进行描述，实现对未知木马的高效检测。

本发明的目的是采用以下技术方案来实现的。本发明提供一种基于网络通信行为的未知木马检测方法，包括以下步骤：采集网络通信行为的原始数据；对采集到的原始数据进行预处理；根据木马通信特征，提取经预处理后数据中的特征；基于正常通信行为和木马通信行为，建立可疑规则库；及利用可疑规则库，对预处理后数据进行检测，以确定未知木马；其中，利用可疑规则库对预处理后数据的检测，实质上是对预处理后数据进行匹配的问题，是匹配可疑规则库中规则的过程。

本发明的目的还可采用以下技术措施进一步实现。

前述的基于网络通信行为的未知木马检测方法，其中该对采集到的原始数据进行预处理的步骤包括：重组传输层连接，记录传输层连接的相关信息，并解析传输层连接的负载内容。

前述的基于网络通信行为的未知木马检测方法，其中传输层连接包括TCP连接和UDP连接。

前述的基于网络通信行为的未知木马检测方法，其中在该根据木马通信特征，提取经预处理后数据中的特征的步骤中，提取的特征包括内网服务器传输层连接方向、指定IP对某一域名请求的周期性、内网IP发起请求的时间、内网IP请求某域名时的被请求端口、通信连接的目的端口和部分负载内容、邮件服务器的DNS请求内容、HTTP请求头中的域名及实际请求解析的域名。

前述的基于网络通信行为的未知木马检测方法，其中可疑规则库中的规则包括：(1)服务器主动外联公网地址；(2)某IP固定时间间隔请求某域名；(3)非工作时间内网主机主动外联；(4)内部IP请求域名后，连接该域名对应IP的非常用端口；(5)端口与通信内容协议不匹配；(6)邮件服务器发起的DNS请求不是mx记录；(7)HTTP报文中请求头的域名与实际请求解析的域名不一致。

前述的基于网络通信行为的未知木马检测方法，其中在对预处理后数据进行检测的过程中，利用上述提取的特征对传输层连接进行描述，并借由可疑规则库进行匹配识别。

借由上述技术方案，本发明的基于网络通信行为的未知木马检测方法至少具有下列优点及有益效果：

本发明的基于网络通信行为的未知木马检测方法，是针对传统木马检测方法对未知木马识别能力低下的缺陷，通过建立可疑规则库，对木马通信网络行为进行描述，从而实现对未知木马的高效检测。

上述说明仅是本发明技术方案的概述，为了能够更清楚了解本发明的技术手段，而可依照说明书的内容予以实施，并且为了让本发明的上述和其他目的、特征和优点能够更明显易懂，以下特举较佳实施例，并配合附图,详细说明如下。

附图说明

图1：本发明的基于网络通信行为的未知木马检测方法的结构示意图。

具体实施方式

为更进一步阐述本发明为达成预定发明目的所采取的技术手段及功效,以下结合附图及较佳实施例，对依据本发明提出的一种基于网络通信行为的未知木马检测方法的具体实施方式、结构、特征及其功效，详细说明如后。

本发明以在网络出入关口捕获的全量原始报文为基础，通过对网络流量及行为的统计来发现其中可疑的木马通信。木马通信虽然隐蔽性高、活跃周期不确定，但是由于其窃取机密数据的目的性，必然导致木马通信在网络流量上有迹可循。然而，木马为了去除数据通信过程中的指纹特征，其往往会对通讯信息进行加密、混淆处理，因此对木马通信特征的选取应结合其流量方向、通信时间、网络连接、资源交互以及通信内容特征等多个角度。

参阅图1所示，为本发明的基于网络通信行为的未知木马检测方法的结构示意图，该基于网络通信行为的未知木马检测方法包括以下步骤：

步骤1：采集网络通信行为的原始数据；

该方法是以原始数据为基础，对原始数据进行分析，以期发现隐藏在其中的木马通信数据。上述的原始数据，例如是采用旁路分光/镜像的方法将进出局域网关口的数据报文进行全量的捕获，并存储为pcap文件。

步骤2：对采集到的原始数据进行预处理；

在该步骤中，对获得到的原始数据进行的预处理，是对通信流量中的传输层连接进行重组(TCP和UDP)，记录传输层连接的相关信息，并解析传输层连接的负载内容。

具体来说，为某个五元组(例如，源IP、目的IP、源端口、目的端口、协议)的TCP连接设置连接计时器和划分阈值。根据TCP协议中的三次握手，当某个五元组出现第一个SYN标识位的数据包时，建立TCP(传输控制协议)连接，如果该五元组未建立连接，则抛弃所有与该五元组相关的TCP数据包。而当连接建立后出现以下三种情况时，认为连接结束：(1)在处理每个TCP包时，判断是否为FIN的数据包，如果是则进行连接划分，并将计时器重置为0；(2)在处理每个TCP包时，判断是否为RST的数据包，如果是则进行连接划分，并将计时器重置为0；(3)在处理每一个TCP包时，判断计时器是否超过预先设定的划分阈值，如果超过，则进行连接划分，开始一个新的该五元组的TCP连接，并将计时器重置为0，如果不超过则无需划分。

根据某个五元组发送的第一个UDP包建立相应的UDP(用户数据报协议)连接，UDP连接的划分规则包括：(1)在处理目的端口为53的UDP包时，每个UDP包为一个连接；(2)在处理其他的UDP包时，要设置UDP连接计时器和划分阈值，在UDP连接建立时，计时器设置为0，在处理每个UDP包时，判断计时器是否超过预先设定的划分阈值，如果超过，则进行连接划分，开始一个新的该五元组的UDP连接，并将计时器重置为0，如果不超过则无需划分。

其中，下面列举本发明要用到的一些变量：

1、传输层连接参数变量

序号	变量名称	说明
			1	timenow	当前时间，“YYYYMMDD hh24:mm:ss”
2	year	年，yyyy
			3	month	月，MM
4	day	日，dd
			5	hour	小时，hh
6	minute	分钟，mm
			7	second	秒，ss
8	sip	源地址
			9	dip	目的地址
10	sport	源端口
			11	dport	目的端口
12	proto	协议(传输层协议)
			13	domain	域名
14	dnsip	DNS解析后的ip地址
			15	direction	传输层连接的方向
16	flags	TCP数据包的标志位
			17	app_proto	协议(应用层)
17	payload	数据包的有效载荷信息
			18	url	url信息

2、集合变量

(1)IP_IN：内网IP名单集合；

(2)IP_IN_SERV：内网服务器名单集合；

(3)WORK_TIME：工作时间；

(4)IP_MAIL_SERVER：邮件服务器IP；

(5)IP_WEB_SERVER：web服务器IP。

3、常用协议与类型变量

(1)常用协议变量集合COMSET：IP、TCP、UDP、DNS、HTTP、HTTPS、FTP、SFTP、TFTP、TELNET、POP3、SMTP；

(2)常用协议与端口对照集合PRO_PORT:(DNS:53),(HTTP:80,8080),(HTTPS:443),(FTP:21),(SFTP:22),(TFTP:69),(TELNET:23),(POP3:110),(SMTP:25)；

(3)类型变量：MX、A(DNS记录类型)。

4、运算符变量

(1)比较运算符，如，“<”，“>”，“＝＝”，“！＝”；

(2)位运算符，如，“&”，“|”；

(3)与、或、非操作，如“&&”，“||”，“！”；

(4)赋值运算符，如“:＝”；

(5)集合运算，如“∈”“”。

5、函数

MATCH(a,b):对象a和对象b相同，其中值为1；否则，其值为0。

步骤3：根据木马通信特征，提取经预处理后数据中的特征；

根据对正常通信流量和木马实例网络通信行为的分析，发现正常行为和木马的通信行为有以下明显特点：(1)部署在内网的服务器是作为被请求方对外提供服务的，不会主动向外发起连接；(2)目前，绝大多数的木马都是反向连接的木马，木马被控端会周期性的请求存有控制端IP地址的服务器的域名，直到成功与控制端建立连接为止；(3)木马为了避开流量的高峰期和隐藏自己的通信行为，会选择非工作时间对外发起连接；(4)当内部IP请求域名后，会与该域名对应IP的常用端口建立连接(比如80端口)；(5)常用的通信协议会使用规定的端口进行通信，如TELNET协议使用23端口，POP3协议使用110端口，DNS协议使用53端口等；(6)邮件服务器发起的DNS请求为mx记录；(7)HTTP报文里请求头中的域名和实际请求解析的域名为同一个域名。

所以，针对上面描述的正常网络流量特征和木马通信行为特征，提取经预处理后数据中的七个特征，分别为:内网服务器传输层连接方向、指定IP对某一域名请求的周期性、内网IP发起请求的时间、内网IP请求某域名时的被请求端口、通信连接的目的端口和部分负载内容、邮件服务器的DNS请求内容、HTTP请求头中的域名及实际请求解析的域名。值得说明的是，针对正常网络流量特征和木马通信行为，可以提取的预处理后数据中的特征不限定为上述七个特征，可以根据实际情况选定。

以下对上述六个特点，进行详细说明：

内网服务器传输层连接方向(Serv_direction)：如果内网服务器的传输层连接是由外部IP请求内网服务器而发起，则认为内网服务器的传输层的连接方向是向内的,如果内网服务器的传输层连接是由内网服务器发起的，则认为内网服务器的传输层的连接方向是向外的。

指定IP对某一域名请求的周期性(Request_url_period)：内网中某一IP对某一域名进行连续的请求，取其中连续的m次请求，其请求时间分别为t₁，t₂...t_m,请求间隔分别为q₁＝t₂-t₁,q₂＝t₃-t₂...q_m-1＝t_m-t_m-1,平均请求间隔 $\mathrm{ave}=\frac{t_m-t_1}{m-1},$ 则， $\mathrm{Request}\_\mathrm{period}={\mathrm{\&Sigma;}}_{t=1}^{m-1}\frac{\mathrm{Min}(\mathrm{ave},q_i)}{\mathrm{Max}(\mathrm{ave},q_i)}/(m-1).$

内网IP发起请求的时间(Request_time)：内网IP发起建立连接的时间，等于该连接中的第一个数据包的时间。

内网IP请求某域名时的被请求端口(Request_port)：被内网IP请求的某一域名解析成IP地址后，内网IP与解析后IP建立连接的目的端口。

通信连接的目的端口和部分负载内容(Port_payload):常用的通信协议(通信协议变量集合中的协议)的通信端口都是固定的，它们的通信内容也都会有固定的格式，如果通信连接的目的端口(port)和通信内容格式(payload)是同一个常用的通信协议的特征，则MATCH(port,payload)＝Port_payload＝1，如果通信连接的目的端口(port)和通信内容格式(payload)不是同一个常用的通信协议的特征，则MATCH(port,payload)＝Port_payload＝0。

邮件服务器的DNS请求内容(Mail_dns)：邮件服务器发起的DNS查询类型。

HTTP请求头中的域名及实际请求解析的域名(Http_url)：通常HTTP请求头中的域名与实际请求解析的域名为同一个域名，如果HTTP请求头中的域名(head_url)与实际请求解析的域名(req_url)是同一个域名，则MATCH(head_url,req_url)＝Http_url＝1,如果HTTP请求头中的域名(head_url)与实际请求解析的域名(req_url)不是同一个域名，则MATCH(head_url,req_url)＝Http_url＝0。

步骤4：基于正常通信行为和木马通信行为，建立可疑规则库；

下面先介绍一下可疑规则库中规则的自然语言描述：(1)服务器主动外联公网地址；(2)某IP固定时间间隔请求某域名；(3)非工作时间内网主机主动外联；(4)内部IP请求域名后，连接该域名对应IP的非常用端口；(5)端口与通信内容协议不匹配；(6)邮件服务器发起的DNS请求不是mx记录；(7)HTTP报文中请求头的域名与实际请求解析的域名不一致。该可疑规则库是有关通信行为的可疑规则库。

对于任一传输层连接，可由传输层连接参数集合中的18个参数组成描述变量，根据其他可疑规则描述变量建立可疑规则库，详细如下：

步骤5：利用可疑规则库，对预处理后数据进行检测，以确定未知木马。

简单来说，在本发明中，提取的特征都是在传输层连接的基础上提取的，所以本发明把对木马网络通信行为的检测转化为对传输层连接的检测，即能否建立起有效的识别木马通信行为的可疑规则库是检测木马通信的关键。也就是，利用可疑规则库对预处理后数据的检测，实质上是对预处理后数据命中可疑规则库中规则的问题，是匹配可疑规则库中规则的过程。

举例来说，在检测过程中，把集合I＝{I₁,I₂……I_n}视为一组传输层连接，每一个传输层连接I_i可以用一组特征向量来描述，I_i＝{I_ij|1≤j≤m}，其中m为传输层连接参数变量的数目，在本方法中m＝18，I_ij为集合中第i个传输层连接的第j个特征值。而集合R＝{R₁,R₂...R₇}为可疑规则库，本方法中的可疑规则库共有7个可疑规则。因此，对传输层连接I_i的检测，转化对传输层连接I_i的匹配问题，如果I_i为可疑木马的通信连接，则在与可疑规则库匹配时，会有结果输出。

在利用可疑规则库，对预处理后数据进行检测的步骤中，可分为以下步骤：

步骤51：根据具体的网络环境，设定表示传输层连接的参数变量、集合变量、常用协议与类型变量、运算符变量、函数以及各阈值变量。

步骤52：利用可疑规则库，对任一通信连接I_i进行检测。

也就是说，在对预处理后数据进行检测的过程中，利用上述提取的特征对传输层连接进行描述，并借由可疑规则库进行匹配识别。详细的，I_i∈I在与可疑规则库进行匹配的过程中，被描述为一个由上述七个特征组成的向量I_i＝[Ii₁，I_i2，I_i3，I_i4、I_i5，Ii₆，I_i7}＝{Serv_direction,Request_url_period,Request_time,Request_port,Port_payload,Mail_dns,Http_url}，如果匹配有输出结果，则认为I_i为可疑的木马通信连接，否则认为I_i为正常的通信连接。

以上所述，仅是本发明的较佳实施例而已，并非对本发明作任何形式上的限制，虽然本发明已以较佳实施例揭露如上，然而并非用以限定本发明,任何熟悉本专业的技术人员，在不脱离本发明技术方案范围内,当可利用上述揭示的技术内容作出些许更动或修饰为等同变化的等效实施例,但凡是未脱离本发明技术方案的内容，依据本发明的技术实质对以上实施例所作的任何简单修改、等同变化与修饰，均仍属于本发明技术方案的范围内。

Claims (6)

1.一种基于网络通信行为的未知木马检测方法，其特征在于其包括以下步骤：

采集网络通信行为的原始数据；

对采集到的原始数据进行预处理；

根据木马通信特征，提取经预处理后数据中的特征；

基于正常通信行为和木马通信行为，建立可疑规则库；及

利用可疑规则库，对预处理后数据进行检测，以确定未知木马；

其中，利用可疑规则库对预处理后数据的检测，实质上是对预处理后数据进行匹配的问题，是匹配可疑规则库中规则的过程。

2.根据权利要求1所述的基于网络通信行为的未知木马检测方法，其特征在于，其中该对采集到的原始数据进行预处理的步骤包括：

重组传输层连接，记录传输层连接的相关信息，并解析传输层连接的负载内容。

3.根据权利要求2所述的基于网络通信行为的未知木马检测方法，其特征在于，其中传输层连接包括TCP连接和UDP连接。

4.根据权利要求2所述的基于网络通信行为的未知木马检测方法，其特征在于，其中在该根据木马通信特征，提取经预处理后数据中的特征的步骤中，提取的特征包括内网服务器传输层连接方向、指定IP对某一域名请求的周期性、内网IP发起请求的时间、内网IP请求某域名时的被请求端口、通信连接的目的端口和部分负载内容、邮件服务器的DNS请求内容、HTTP请求头中的域名及实际请求解析的域名。

5.根据权利要求1或4所述的基于网络通信行为的未知木马检测方法，其特征在于，其中上述可疑规则库中的规则包括：(1)服务器主动外联公网地址；(2)某IP固定时间间隔请求某域名；(3)非工作时间内网主机主动外联；(4)内部IP请求域名后，连接该域名对应IP的非常用端口；(5)端口与通信内容协议不匹配；(6)邮件服务器发起的DNS请求不是mx记录；(7)HTTP报文中请求头的域名与实际请求解析的域名不一致。

6.根据权利要求5所述的基于网络通信行为的未知木马检测方法，其特征在于，其中在对预处理后数据进行检测的过程中，利用上述提取的特征对传输层连接进行描述，并借由可疑规则库进行匹配识别。