CN104796405B - 反弹连接检测方法和装置 - Google Patents
反弹连接检测方法和装置 Download PDFInfo
- Publication number
- CN104796405B CN104796405B CN201510119824.5A CN201510119824A CN104796405B CN 104796405 B CN104796405 B CN 104796405B CN 201510119824 A CN201510119824 A CN 201510119824A CN 104796405 B CN104796405 B CN 104796405B
- Authority
- CN
- China
- Prior art keywords
- session
- tracking
- connection
- rebound
- feature
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/1066—Session management
- H04L65/1083—In-session procedures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
Abstract
本发明提供了一种反弹连接检测方法和装置,该方法包括:跟踪会话;统计所述跟踪的会话的流量信息;按照预设周期而根据所述统计的流量信息提取对应预设流量行为特征集的特征;采用预训练分类器而根据所述提取的特征对所述跟踪的会话进行属于正常连接类或反弹连接类的分类,并在分类为反弹连接类时判定检测到反弹连接。本发明提供的反弹连接检测方法和装置,利用了模式分类手段来检测反弹连接,而且即使攻击者采用了隧道技术或者对传输的命令进行加密,也能通过流量行为特征分析出恶意反弹连接行为,可以有效检测到反弹连接。进而可以对检测到的反弹连接进行针对性的防御,也可以克服因封堵端口而带来的各种不便。
Description
技术领域
本发明涉及网络安全技术领域,特别是涉及一种反弹连接检测方法和装置。
背景技术
黑客在获取公司机密时,通常会选择一个安全防护较低的内网区域作为首选攻击点。比如说通过内网间谍拿到了企业内网计算机的普通权限。这时候黑客就会利用这台具有低权限的内网计算机,通过远程控制技术,对整个内网进行攻击,该内网计算机为被控端,实时远程控制的计算机则称为控制端。但是,如果对方装有防火墙设备或者通过NAT(Network Address Translation,网络地址转换)上网,黑客对内网被控端发起的控制首先会被防火墙拦截,导致连接失败。
目前,很多木马都利用了反弹连接技术,它的被控端会主动向控制端发起连接请求。比如一个SSH(Secure Shell,安全外壳协议)反弹连接的过程如图1所示,实现反弹连接而使控制端A控制被控端B的步骤如下:(1),内网被控端B的木马程序使用端口6666向外网控制端A的80端口发起连接请求。(2),控制端A回复被控端B的请求,同时在回复数据包中添加SSH请求报文。(3),被控端B的木马对回复数据包进行处理,同时将回复包中的SSH请求报文由本地的6666端口转发到本地的22端口,实现控制端A对被控端B的SSH反弹请求。(4)被控端B通过本地6666端口转发SSH连接确认包,之后A主机便可利用这条链路控制被控端B。
因此,运用“反弹连接技术”不仅可以访问到互联网上通过NAT上网的局域网计算机,还可以穿过防火墙,只要能浏览网页的计算机,这种木马都可以访问到,更隐秘的木马会使用结合“HTTP(Hypertext transfer protocol,超文本传送协议)隧道技术”来躲避防火墙对异常连接的检测。
然而,目前针对这种反弹连接行为,大部份防火墙均采用禁用端口访问或协议分析的方式,来达到阻断黑客在内网向外网建立连接。比如只放通了80端口,443端口这类访问网页的端口,其他全部封堵。这种防御方式并不能有效检测到反弹连接行为,对反弹连接的防御也有限,比如使用“HTTP隧道技术”便可以通过80端口建立连接,对于精心构造的协议包还可以绕过协议分析。
发明内容
基于此,有必要针对目前防火墙均采用禁用端口访问或协议分析的方式来防御反弹连接的方法,不能有效地检测到反弹连接并进行有效防御的问题,提供了一种反弹连接检测方法和装置。
一种反弹连接检测方法,所述方法包括:
跟踪会话;
统计所述跟踪的会话的流量信息;
按照预设周期而根据所述统计的流量信息提取对应预设流量行为特征集的特征;
采用预训练分类器而根据所述提取的特征对所述跟踪的会话进行属于正常连接类或反弹连接类的分类,并在分类为反弹连接类时判定检测到反弹连接。
一种反弹连接检测装置,所述装置包括:
会话跟踪模块,用于跟踪会话;
统计模块,用于统计所述跟踪的会话的流量信息;
行为分析模块,用于按照预设周期而根据所述统计的流量信息提取对应预设流量行为特征集的特征;采用预训练分类器而根据所述提取的特征对所述跟踪的会话进行属于正常连接类或反弹连接类的分类,并在分类为反弹连接类时判定检测到反弹连接。
上述反弹连接检测方法和装置,通过跟踪会话并统计其流量信息,从中提取特征后,采用预训练分类器对跟踪的会话进行分类,从而在将跟踪的会话分类为属于反弹连接类时判定检测到反弹连接。这样利用了模式分类手段来检测反弹连接,而且即使攻击者采用了隧道技术或者对传输的命令进行加密,也能通过流量行为特征分析出恶意反弹连接行为,可以有效检测到反弹连接。进而可以对检测到的反弹连接进行针对性的防御,也可以克服因封堵端口而带来的各种不便。
附图说明
图1为一个实施例中SSH反弹连接的过程示意图;
图2为一个实施例中反弹连接检测方法的流程示意图;
图3为一个实施例中采用预训练分类器而根据所述提取的特征对所述跟踪的会话进行属于正常连接类或反弹连接类的分类的步骤的流程示意图;
图4为一个实施例中反弹连接检测装置的结构框图;
图5为另一个实施例中反弹连接检测装置的结构框图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
针对目前黑客控制内网被控端,并使用木马反弹连接攻击者主机,以此来绕过防火墙防御的攻击手段,由于反弹连接行为存在大量人参与的过程,在反弹连接行为的整个通信过程中,攻击者占主导地位,其流量行为特征与正常C/S(客户机/服务器)应用有明显的差异,本发明提供一种基于网络行为特征分析的反弹连接检测方法和装置,来识别这种反弹连接行为,并以此定位内网中可能存在受控威胁的设备。
如图2所示,在一个实施例中,提供了一种反弹连接检测方法,具体包括如下步骤:
步骤202,跟踪会话。
具体地,跟踪会话是指在检测到一个会话后跟踪该会话所产生的各种流量,包括上行流量和下行流量。其中上行流量是指内网中的网络节点向外网的网络节点发送的流量,相应地,下行流量是指外网中的网络节点向内网的网络节点发送的流量。流量是指用于传输数据的数据包流。
在一个实施例中,步骤202包括:对具有与预设用户策略匹配的源地址、源端口、目的地址、目的端口和传输层协议中的至少一种的会话进行跟踪。具体地,用户可以预先设定用户策略,用于限定对哪些会话进行跟踪,可以根据用户策略进行针对性地跟踪,提高检测效率。其中源地址和源端口是指发出数据包的设备的地址和端口,目的地址和目的端口则是接收该数据包的设备的地址和端口,传输层协议则是指传输层传输数据所采用的协议。
步骤204,统计跟踪的会话的流量信息。
跟踪的会话的流量信息是指与该会话的流量相关的信息,该流量是指该会话的上行或下行的数据包。具体可以按照预设周期来统计跟踪的会话的流量信息。跟踪的会话的流量信息包括但不限于:跟踪的会话的上、下行数据量,和/或,上、下行0字节数据包的数量,和/或,有效载荷低于20字节的小包的数量,和/或,连续的有效载荷低于20字节的小包的时间间隔,和/或,连接建立时间,和/或,连接维持时长。
其中,跟踪的会话的上、下行数据量是指该会话分别在上行流量和下行流量中的数据包的具体数量。跟踪的会话的上、下行0字节数据包的数量则是指该会话分别在上行流量和下行流量中0字节数据包的数量。有效载荷低于20字节的小包的数量则是上行流量或者下行流量中小包的数量,这里小包定义为有效载荷低于20字节的数据包。连续的有效载荷低于20字节的小包的时间间隔,则是在该会话过程中收到或者发出连续的小包的时间点之间的间隔。
步骤206,按照预设周期而根据统计的流量信息提取对应预设流量行为特征集的特征。
具体地,每隔预设周期的时间,根据统计的该跟踪的会话的流量信息,按照预设流量行为特征集中预先定义的流量行为特征,进行提取特征的操作。其中,预设流量行为特征集中定义的流量行为特征,是能够体现正常连接和反弹连接之间差异的特征。
步骤208,采用预训练分类器而根据提取的特征对跟踪的会话进行属于正常连接类或反弹连接类的分类,并在分类为反弹连接类时判定检测到反弹连接。
具体地,预训练分类器是预先训练获得的用于分类的计算机程序,经过训练后,可以通过计算将数据自动分类到已知分类中。这里采用预训练分类器将跟踪的会话划分到正常连接类和反弹连接类中的一类,进而在分类到反弹连接类时就可判定该会话存在反弹连接。训练预训练分类器时,采用已知对应于上述预设流量行为特征集的特征以及已知所属类别的若干会话样本进行训练。其中预训练分类器可以采用各种已知的分类器,包括但不限于BP(Back Propagation,反向传播)神经网络分类器、SVM(支持向量机)分类器等。
在一个实施例中,步骤208之后,还包括:在检测到反弹连接时,获取跟踪的会话所对应的被控端和控制端的信息并展示。具体地,当通过步骤208检测到反弹连接时,可以将该跟踪的会话的源地址、源端口等信息作为被控端的信息,将目的地址、目的端口等信息作为控制端的信息,并通过显示器展示出来。此外还可以展示表示检测到反弹连接的告警信息。可在检测到反弹连接时对跟踪的会话进行数据包拦截,而在检测为正常连接时对跟踪的会话的数据包放通。
上述反弹连接检测方法,通过跟踪会话并统计其流量信息,从中提取特征后,采用预训练分类器对跟踪的会话进行分类,从而在将跟踪的会话分类为属于反弹连接类时判定检测到反弹连接。这样利用了模式分类手段来检测反弹连接,而且即使攻击者采用了隧道技术或者对传输的命令进行加密,也能通过流量行为特征分析出恶意反弹连接行为,可以有效检测到反弹连接。进而可以对检测到的反弹连接进行针对性的防御,也可以克服因封堵端口而带来的各种不便。
在一个实施例中,预设流量行为特征集包括是否具有数据流量倒置特征、是否具有0字节数据包异常特征、是否具有小包数量异常特征、是否具有小包时间间隔异常特征、是否具有反弹连接的连接建立时间特征以及是否具有反弹连接的连接维持时长特征中的至少一种。具体地,通过分析正常连接会话和反弹连接会话的流量行为特征,上述预设流量行为特征集中的流量行为特征能够很好地区分正常连接会话和反弹连接会话。
在一个实施例中,若预设流量行为特征集包括是否具有数据流量倒置特征,相应地提取的特征包括是否具有数据流量倒置特征,则步骤206具体包括:计算跟踪的会话的上行数据量总量和下行数据量总量的比值,若该比值大于第一预设阈值则判定跟踪的会话具有数据流量倒置特征,否则判定跟踪的会话不具有数据流量倒置特征。
具体地,比较正常连接会话和反弹连接会话,比如在正常的RDP(RDP,RemoteDesktop Protocol,远程桌面协议)连接会话中,内网主机由于要时刻获得相应的外网主机的系统情况、桌面信息等需要从外网主机获得大量的信息,这部分信息属于下行流量,而上行流量只包括用户的处理命令,相对比较小。而在反弹连接会话中,控制权在外网控制端,外网控制端占主导地位,需从内网被控端获取数据,因此上下行流量特征与正常C/S会话相反,将这种情况称为数据流量倒置。
假设当前跟踪的会话的上行数据量总量表示为TH_updata,而当前跟踪的会话的下行数据量总量表示为TH_downdata,第一预设阈值表示为TH_udd,则若TH_updata/TH_downdata>TH_udd成立,则判定跟踪的会话具有数据流量倒置特征;而若TH_updata/TH_downdata>TH_udd不成立,则判定跟踪的会话不具有数据流量倒置特征。第一预设阈值可通过统计分别属于正常连接类和反弹连接类的会话样本的上行数据量总量和下行数据量总量的比值而择优选择训练获得。
在一个实施例中,若预设流量行为特征集包括是否具有0字节数据包异常特征,相应地提取的特征包括是否具有0字节数据包异常特征,则步骤206具体包括:计算跟踪的会话的下行0字节数据包的总数量和上行0字节数据包的总数量的比值,若该比值大于第二预设阈值则判定跟踪的会话具有0字节数据包异常特征,否则判定跟踪的会话不具有0字节数据包异常特征。
具体地,在反弹连接会话中,控制端发起一个命令,然后便等待被控端发送数据,在这个过程中,控制端只需要对每个响应报文回复一个ACK(Acknowledgement,确认字符)数据包,而ACK数据包往往是空报文。因此在反弹连接会话中控制端所发送的0字节数据包数量要大于被控端发送的0字节数据包数量,这里将这种与正常连接会话中0字节数据包规律不同的情况称为0字节数据包异常。
假设跟踪的会话的下行0字节数据包的总数量表示为ZP_downdata,上行0字节数据包的总数量表示为ZP_updata,第二预设阈值表示为TH_zp,则若ZP_downdata/ZP_updata>TH_zp成立则判定该跟踪的会话具有0字节数据包异常特征;而若ZP_downdata/ZP_updata>TH_zp不成立则判定该跟踪的会话不具有0字节数据包异常特征。第二预设阈值可通过统计分别属于正常连接类和反弹连接类的会话样本的下行0字节数据包的总数量和上行0字节数据包的总数量的比值而择优选择训练获得。
在一个实施例中,若预设流量行为特征集包括是否具有小包数量异常特征,相应地提取的特征包括是否具有小包数量异常特征,则步骤206具体包括:计算跟踪的会话的下行小包总数量与下行数据量总量的比值,若该比值大于第三预设阈值,则判定跟踪的会话具有小包数量异常特征,否则判定跟踪的会话不具有小包数量异常特征。
具体地,反弹连接会话是一个命令交互的过程,SSH、RDP反弹连接都属于命令交互的过程。若一个由内网节点向外网发起的会话过程中,下行流量存在明显的反弹连接的命令交互特征,那么该会话极有可能存在反弹连接的风险,外网控制端正在对内网被控端进行命令操作。常见的反弹连接的命令交互特征包括但不限于小包数量异常特征和小包时间间隔异常特征。
通过计算,若跟踪的会话的下行小包总数量与下行数据量总量的比值大于第三预设阈值,则判定跟踪的会话具有小包数量异常特征;若该比值小于或等于第三预设阈值,则判定跟踪的会话不具有小包时间间隔异常特征。这里的第三预设阈值通过统计会话样本的下行小包总数量与下行数据量总量的比值而择优选择。第三预设阈值可通过统计分别属于正常连接类和反弹连接类的会话样本的下行小包总数量与下行数据量总量的比值而择优选择训练获得。
在一个实施例中,若预设流量行为特征集包括是否具有小包数量异常特征,相应地提取的特征包括是否具有小包数量异常特征,则步骤206具体包括:计算跟踪的会话的连续小包的时间间隔在预设时间间隔范围内的概率,若该概率大于第四预设阈值则判定跟踪的会话具有小包时间间隔异常特征,否则判定跟踪的会话不具有小包时间间隔异常特征。
小包时间间隔异常特征属于反弹连接的命令交互特征。可以统计跟踪的会话的连续小包达到的时间间隔,并计算在一段时间内该时间间隔落在预设时间间隔范围内概率。若该概率大于第四预设阈值则判定具有小包时间间隔异常特征,若小于或者等于第四预设阈值则判定不具有小包时间间隔异常特征。其中,预设时间间隔范围可为10毫秒~2秒,第四预设阈值可通过统计分别属于正常连接类和反弹连接类的会话样本的连续小包的时间间隔在预设时间间隔范围内的概率而择优选择训练获得。
在一个实施例中,若预设流量行为特征集包括是否具有反弹连接的连接建立时间特征,相应地提取的特征包括是否具有反弹连接的连接建立时间特征,则步骤206包括:若跟踪的会话的连接建立时间在预设时间范围内,则判定跟踪的会话具有反弹连接的连接建立时间特征,否则判定跟踪的会话不具有反弹连接的连接建立时间特征。
反弹连接在连接建立时间方面也存在较明显的特征,比如反弹连接一般出现在企业非工作时间,这样预设时间范围内就可以为表示企业非工作时间的时间区段。若跟踪的会话的连接建立时间在该预设时间范围内,说明该会话是反弹连接的可能性较大。其中预设时间范围可通过统计分别属于正常连接类和反弹连接类的会话样本的连接建立时间而择优选择训练获得。
在一个实施例中,若预设流量行为特征集包括是否具有反弹连接的连接维持时长特征,相应地提取的特征包括具有反弹连接的连接维持时长特征,则步骤206具体包括:若跟踪的会话的连接维持时长在预设时长范围内,则判定跟踪的会话具有反弹连接的连接维持时长特征,否则判定跟踪的会话不具有反弹连接的连接维持时长特征。
反弹连接在连接维持时长方面也存在较明显的特征。可通过统计分别属于正常连接类和反弹连接类的会话样本的连接维持时长而择优确定预设时长范围,从而判断跟踪的会话的连接维持时长是否在该预设时长范围内,若是则判定跟踪的会话具有反弹连接的连接维持时长特征;若否则判定该跟踪的会话不具有反弹连接的连接维持时长特征。
上述各个实施例的判断跟踪的会话是否具有预设流量行为特征集中的流量行为特征的步骤可以组合,而且预设流量行为特征集所采用的流量行为特征越多,预训练分类器性能越好,越能够准确检测出反弹连接。
在一个实施例中,步骤208中采用预训练分类器而根据提取的特征对跟踪的会话进行属于正常连接类或反弹连接类的分类的步骤,具体包括:获取具有提取的特征的会话样本属于正常连接类的第一预训练概率和具有提取的特征的会话样本属于反弹连接类的第二预训练概率;根据提取的特征、第一预训练概率和第二预训练概率对跟踪的会话进行属于正常连接类或反弹连接类的分类。
具体地,第一预训练概率可以反映出具有上述提取的特征的会话属于正常连接类的概率和属于反弹连接类的可能,从而可以据以确定具有该提取的特征的跟踪的会话所属的类别。
具体可以采用决策树分类器,来根据提取的特征、第一预训练概率和第二预训练概率对跟踪的会话进行属于正常连接类或反弹连接类的分类。决策树分类器表示的是对象属性与对象值之间的一种映射关系,决策树分类器的非根结点处对应提取的特征,通过第一预训练概率和第二预训练概率可以进行决策以确定路径,从而在达到叶子结点时得到分类结果。
在一个实施例中,可以采用贝叶斯分类器来根据提取的特征、第一预训练概率和第二预训练概率对跟踪的会话进行属于正常连接类或反弹连接类的分类。具体地,该反弹连接检测方法还包括:获取会话样本属于正常连接类的第三预训练概率和会话样本属于反弹连接类的第四预训练概率。且步骤208中采用预训练分类器而根据提取的特征对跟踪的会话进行属于正常连接类或反弹连接类的分类的步骤,如图3所示,具体包括如下步骤:
步骤302,计算对应预设流量行为特征集的各个提取的特征各自所对应的第一预训练概率的乘积再乘以第三预训练概率,获得第一结果。
具体地,贝叶斯分类器所采用的贝叶斯公式如下:
P(Yi|X)=P(X|Yi)P(Yi)/P(X);
其中,集合X={X1,X2,……,Xn},表示按照预设流量行为特征集所提取的特征的集合,n表示提取的特征的种类数。集合Y={Y1,Y2},Y1表示正常连接类,Y2表示反弹连接类。P(Yi|X)表示具有提取出的所有特征的当前跟踪的会话属于Yi类的概率,P(X|Yi)表示Yi类的会话中具有提取出的所有特征的概率,P(Yi)表示会话属于Yi类的概率,P(X)表示具有提取出的所有特征的当前跟踪的会话出现的概率。
若通过计算,得出P(Y1|X)>P(Y2|X),则可判定跟踪的会话属于正常连接类;若P(Y1|X)<P(Y2|X),则可判定跟踪的会话属于反弹连接类。而对于同一个跟踪的会话,其P(X)是相同的,则只需比较P(X|Y1)P(Yi)和P(X|Y2)P(Y2)的值即可。又因为X集合中每种行为特征是相互独立的,所以有:P(X|Yi)P(Yi)=P(X1|Yi)*P(X 2|Yi)...P(Xn|Yi)*P(Yi),其中P(Xn|Yi)表示具有提取的特征Xn的会话属于Yi类的概率。
因此,步骤302中,计算对应预设流量行为特征集的各个提取的特征各自所对应的第一预训练概率的乘积就是P(X1|Y1)*P(X 2|Y1)...P(Xn|Y1),再乘以第三预训练概率P(Y1),获得的第一结果就是P(X1|Y1)*P(X 2|Y1)...P(Xn|Y1)*P(Y1)。
步骤304,计算对应预设流量行为特征集的各个提取的特征各自所对应的第二预训练概率的乘积再乘以第四预训练概率,获得第二结果。
具体地,计算对应预设流量行为特征集的各个提取的特征各自所对应的第二预训练概率的乘积就是P(X1|Y2)*P(X 2|Y2)...P(Xn|Y2),再乘以第四预训练概率P(Y2),获得的第二结果就是P(X1|Y2)*P(X 2|Y2)...P(Xn|Y2)*P(Y2)。
步骤306,比较第一结果和第二结果,若第一结果大于第二结果则判定跟踪的会话属于正常连接类,若第一结果小于第二结果则判定跟踪的会话属于反弹连接类。
可以将第一结果和第二结果做差比较是否大于0来比较两者大小,也可以将第一结果和第二结果作商比较是否大于1来比较两者大小。若第一结果大于第二结果则判定跟踪的会话属于正常连接类;若第一结果小于第二结果则判定跟踪的会话属于反弹连接类。
本实施例中,通过预训练的贝叶斯分类器来对跟踪的会话进行分类,通过实际应用可以达到很到的检测反弹连接的效果,检测准确率很高,性能良好。
如图4所示,在一个实施例中,提供了一种反弹连接检测装置400,用于实现一种反弹连接检测方法。该反弹连接检测装置400包括:会话跟踪模块402、统计模块404和行为分析模块406。
会话跟踪模块402,用于跟踪会话。会话跟踪模块402具体可用于对具有与预设用户策略匹配的源地址、源端口、目的地址、目的端口和传输层协议中的至少一种的会话进行跟踪。在一个实施例中,如图5所示,该反弹连接检测装置400还包括用户策略模块401,用于提供用户策略的配置信息以及配置接口。
统计模块404,用于统计跟踪的会话的流量信息。统计模块404具体可用于统计跟踪的会话的上、下行数据量,和/或,上、下行0字节数据包的数量,和/或,有效载荷低于20字节的小包的数量,和/或,连续的有效载荷低于20字节的小包的时间间隔,和/或,连接建立时间,和/或,连接维持时长这些流量信息。
行为分析模块406,用于按照预设周期而根据统计的流量信息提取对应预设流量行为特征集的特征;采用预训练分类器而根据提取的特征对跟踪的会话进行属于正常连接类或反弹连接类的分类,并在分类为反弹连接类时判定检测到反弹连接。
在一个实施例中,行为分析模块406用于计算跟踪的会话的上行数据量总量和下行数据量总量的比值,若该比值大于第一预设阈值则判定跟踪的会话具有数据流量倒置特征,否则判定跟踪的会话不具有数据流量倒置特征。
在一个实施例中,行为分析模块406用于计算跟踪的会话的下行0字节数据包的总数量和上行0字节数据包的总数量的比值,若该比值大于第二预设阈值则判定跟踪的会话具有0字节数据包异常特征,否则判定跟踪的会话不具有0字节数据包异常特征。
在一个实施例中,行为分析模块406用于计算跟踪的会话的下行小包总数量与下行数据量总量的比值,若该比值大于第三预设阈值,则判定跟踪的会话具有小包数量异常特征,否则判定跟踪的会话不具有小包数量异常特征。
在一个实施例中,行为分析模块406用于计算跟踪的会话的连续小包的时间间隔在预设时间间隔范围内的概率,若该概率大于第四预设阈值则判定跟踪的会话具有小包时间间隔异常特征,否则判定跟踪的会话不具有小包时间间隔异常特征。
在一个实施例中,行为分析模块406用于若跟踪的会话的连接建立时间在预设时间范围内,则判定跟踪的会话具有反弹连接的连接建立时间特征,否则判定跟踪的会话不具有反弹连接的连接建立时间特征。
在一个实施例中,若跟踪的会话的连接维持时长在预设时长范围内,则判定跟踪的会话具有反弹连接的连接维持时长特征,否则判定跟踪的会话不具有反弹连接的连接维持时长特征。
在一个实施例中,行为分析模块406具体用于获取具有提取的特征的会话样本属于正常连接类的第一预训练概率和具有提取的特征的会话样本属于反弹连接类的第二预训练概率;根据提取的特征、第一预训练概率和第二预训练概率对跟踪的会话进行属于正常连接类或反弹连接类的分类。
在一个实施例中,该反弹连接检测装置400还包括告警模块407,用于在检测到反弹连接时,获取跟踪的会话所对应的被控端和控制端的信息并展示。
在一个实施例中,行为分析模块406还用于获取会话样本属于正常连接类的第三预训练概率和会话样本属于反弹连接类的第四预训练概率;计算对应预设流量行为特征集的各个提取的特征各自所对应的第一预训练概率的乘积再乘以第三预训练概率,获得第一结果;计算对应预设流量行为特征集的各个提取的特征各自所对应的第二预训练概率的乘积再乘以第四预训练概率,获得第二结果;比较第一结果和第二结果,若第一结果大于第二结果则判定跟踪的会话属于正常连接类,若第一结果小于第二结果则判定跟踪的会话属于反弹连接类。
上述反弹连接检测装置400,通过跟踪会话并统计其流量信息,从中提取特征后,采用预训练分类器对跟踪的会话进行分类,从而在将跟踪的会话分类为属于反弹连接类时判定检测到反弹连接。这样利用了模式分类手段来检测反弹连接,而且即使攻击者采用了隧道技术或者对传输的命令进行加密,也能通过流量行为特征分析出恶意反弹连接行为,可以有效检测到反弹连接。进而可以对检测到的反弹连接进行针对性的防御,也可以克服因封堵端口而带来的各种不便。
以上所述实施例仅表达了本发明的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对本发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。因此,本发明专利的保护范围应以所附权利要求为准。
Claims (12)
1.一种反弹连接检测方法,所述方法包括:
跟踪与控制端之间的会话;
统计跟踪的会话的流量信息,所述流量信息是与所述会话的上行或下行数据包相关的信息;
按照预设周期而根据统计的流量信息提取对应预设流量行为特征集的特征;所述预设流量行为特征集包括是否具有数据流量倒置特征、是否具有0字节数据包异常特征、是否具有小包数量异常特征、是否具有小包时间间隔异常特征、是否具有反弹连接的连接建立时间特征以及是否具有反弹连接的连接维持时长特征;
获取具有所述提取的特征的会话样本属于正常连接类的第一预训练概率和具有所述提取的特征的会话样本属于反弹连接类的第二预训练概率;
获取会话样本属于正常连接类的第三预训练概率和会话样本属于反弹连接类的第四预训练概率;
计算对应所述预设流量行为特征集的各个所述提取的特征各自所对应的第一预训练概率的乘积再乘以所述第三预训练概率,获得第一结果;
计算对应所述预设流量行为特征集的各个所述提取的特征各自所对应的第二预训练概率的乘积再乘以所述第四预训练概率,获得第二结果;
比较所述第一结果和所述第二结果,若所述第一结果大于所述第二结果则判定所述跟踪的会话属于正常连接类,若所述第一结果小于所述第二结果则判定所述跟踪的会话属于反弹连接类。
2.根据权利要求1所述的方法,其特征在于,所述跟踪与控制端之间的会话的步骤,包括:对具有与预设用户策略匹配的源地址、源端口、目的地址、目的端口和传输层协议中的至少一种的会话进行跟踪。
3.根据权利要求1所述的方法,其特征在于,所述统计的流量信息包括:所述跟踪的会话的上、下行数据量,和/或
上、下行0字节数据包的数量,和/或,
有效载荷低于20字节的小包的数量,和/或,
连续的有效载荷低于20字节的小包的时间间隔,和/或,
连接建立时间,和/或,
连接维持时长。
4.根据权利要求2所述的方法,其特征在于,所述统计的流量信息包括:
所述跟踪的会话的上、下行数据量,和/或
上、下行0字节数据包的数量,和/或,
有效载荷低于20字节的小包的数量,和/或,
连续的有效载荷低于20字节的小包的时间间隔,和/或,
连接建立时间,和/或,
连接维持时长。
5.根据权利要求3或4所述的方法,其特征在于,所述按照预设周期而根据所述统计的流量信息提取对应预设流量行为特征集的特征,包括:
计算所述跟踪的会话的上行数据量总量和下行数据量总量的比值,若该比值大于第一预设阈值则判定所述跟踪的会话具有数据流量倒置特征,否则判定所述跟踪的会话不具有数据流量倒置特征;和/或,
计算所述跟踪的会话的下行0字节数据包的总数量和上行0字节数据包的总数量的比值,若该比值大于第二预设阈值则判定所述跟踪的会话具有0字节数据包异常特征,否则判定所述跟踪的会话不具有0字节数据包异常特征;和/或,
计算所述跟踪的会话的下行小包总数量与下行数据量总量的比值,若该比值大于第三预设阈值,则判定所述跟踪的会话具有小包数量异常特征,否则判定所述跟踪的会话不具有小包数量异常特征;和/或,
计算所述跟踪的会话的连续小包的时间间隔在预设时间间隔范围内的概率,若该概率大于第四预设阈值则判定所述跟踪的会话具有小包时间间隔异常特征,否则判定所述跟踪的会话不具有小包时间间隔异常特征;和/或,
若所述跟踪的会话的连接建立时间在预设时间范围内,则判定所述跟踪的会话具有反弹连接的连接建立时间特征,否则判定所述跟踪的会话不具有反弹连接的连接建立时间特征;和/或,
若所述跟踪的会话的连接维持时长在预设时长范围内,则判定所述跟踪的会话具有反弹连接的连接维持时长特征,否则判定所述跟踪的会话不具有反弹连接的连接维持时长特征。
6.根据权利要求1所述的方法,其特征在于,所述方法还包括:
在检测到反弹连接时,获取所述跟踪的会话所对应的被控端和控制端的信息并展示。
7.一种反弹连接检测装置,其特征在于,所述装置包括:
会话跟踪模块,用于跟踪与控制端之间的会话;
统计模块,用于统计跟踪的会话的流量信息,所述流量信息是与所述会话的上行或下行数据包相关的信息;
行为分析模块,用于按照预设周期而根据统计的流量信息提取对应预设流量行为特征集的特征;获取具有所述提取的特征的会话样本属于正常连接类的第一预训练概率和具有所述提取的特征的会话样本属于反弹连接类的第二预训练概率;获取会话样本属于正常连接类的第三预训练概率和会话样本属于反弹连接类的第四预训练概率;计算对应所述预设流量行为特征集的各个所述提取的特征各自所对应的第一预训练概率的乘积再乘以所述第三预训练概率,获得第一结果;计算对应所述预设流量行为特征集的各个所述提取的特征各自所对应的第二预训练概率的乘积再乘以所述第四预训练概率,获得第二结果;比较所述第一结果和所述第二结果,若所述第一结果大于所述第二结果则判定所述跟踪的会话属于正常连接类,若所述第一结果小于所述第二结果则判定所述跟踪的会话属于反弹连接类;所述预设流量行为特征集包括是否具有数据流量倒置特征、是否具有0字节数据包异常特征、是否具有小包数量异常特征、是否具有小包时间间隔异常特征、是否具有反弹连接的连接建立时间特征以及是否具有反弹连接的连接维持时长特征。
8.根据权利要求7所述的装置,其特征在于,所述会话跟踪模块还用于对具有与预设用户策略匹配的源地址、源端口、目的地址、目的端口和传输层协议中的至少一种的会话进行跟踪。
9.根据权利要求7所述的装置,其特征在于,所述统计的流量信息包括:所述跟踪的会话的上、下行数据量,和/或
上、下行0字节数据包的数量,和/或,
有效载荷低于20字节的小包的数量,和/或,
连续的有效载荷低于20字节的小包的时间间隔,和/或,
连接建立时间,和/或,
连接维持时长。
10.根据权利要求8所述的装置,其特征在于,所述统计的流量信息包括:
所述跟踪的会话的上、下行数据量,和/或
上、下行0字节数据包的数量,和/或,
有效载荷低于20字节的小包的数量,和/或,
连续的有效载荷低于20字节的小包的时间间隔,和/或,
连接建立时间,和/或,
连接维持时长。
11.根据权利要求9或10所述的装置,其特征在于,所述行为分析模块还用于计算所述跟踪的会话的上行数据量总量和下行数据量总量的比值,若该比值大于第一预设阈值则判定所述跟踪的会话具有数据流量倒置特征,否则判定所述跟踪的会话不具有数据流量倒置特征;和/或,
所述行为分析模块还用于计算所述跟踪的会话的下行0字节数据包的总数量和上行0字节数据包的总数量的比值,若该比值大于第二预设阈值则判定所述跟踪的会话具有0字节数据包异常特征,否则判定所述跟踪的会话不具有0字节数据包异常特征;和/或,
所述行为分析模块还用于计算所述跟踪的会话的下行小包总数量与下行数据量总量的比值,若该比值大于第三预设阈值,则判定所述跟踪的会话具有小包数量异常特征,否则判定所述跟踪的会话不具有小包数量异常特征;和/或,
所述行为分析模块还用于计算所述跟踪的会话的连续小包的时间间隔在预设时间间隔范围内的概率,若该概率大于第四预设阈值则判定所述跟踪的会话具有小包时间间隔异常特征,否则判定所述跟踪的会话不具有小包时间间隔异常特征;和/或,
所述行为分析模块还用于若检测到所述跟踪的会话的连接建立时间在预设时间范围内,则判定所述跟踪的会话具有反弹连接的连接建立时间特征,否则判定所述跟踪的会话不具有反弹连接的连接建立时间特征;和/或,
所述行为分析模块还用于若检测到所述跟踪的会话的连接维持时长在预设时长范围内,则判定所述跟踪的会话具有反弹连接的连接维持时长特征,否则判定所述跟踪的会话不具有反弹连接的连接维持时长特征。
12.根据权利要求7所述的装置,其特征在于,所述装置还包括:告警模块,用于在检测到反弹连接时,获取所述跟踪的会话所对应的被控端和控制端的信息并展示。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510119824.5A CN104796405B (zh) | 2015-03-18 | 2015-03-18 | 反弹连接检测方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510119824.5A CN104796405B (zh) | 2015-03-18 | 2015-03-18 | 反弹连接检测方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104796405A CN104796405A (zh) | 2015-07-22 |
| CN104796405B true CN104796405B (zh) | 2019-04-12 |
Family
ID=53560917
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510119824.5A Active CN104796405B (zh) | 2015-03-18 | 2015-03-18 | 反弹连接检测方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104796405B (zh) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2017193271A1 (zh) * | 2016-05-10 | 2017-11-16 | 华为技术有限公司 | 检测网络攻击的方法及设备 |
| CN108540430B (zh) | 2017-03-03 | 2019-06-11 | 华为技术有限公司 | 一种威胁检测方法及装置 |
| CN107070952A (zh) * | 2017-05-27 | 2017-08-18 | 郑州云海信息技术有限公司 | 一种网络节点流量异常分析方法及系统 |
| CN111049782B (zh) * | 2018-10-12 | 2023-02-17 | 北京奇虎科技有限公司 | 反弹式网络攻击的防护方法、装置、设备、系统 |
| CN111049781B (zh) * | 2018-10-12 | 2023-08-15 | 三六零科技集团有限公司 | 一种反弹式网络攻击的检测方法、装置、设备及存储介质 |
| CN113139193A (zh) * | 2021-04-23 | 2021-07-20 | 杭州安恒信息技术股份有限公司 | 一种反弹shell风险判定方法、装置和系统 |
| CN113839937A (zh) * | 2021-09-15 | 2021-12-24 | 神州网云(北京)信息技术有限公司 | 基于网络流量的使用跨会话技术检测未知木马的方法及系统 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101060443A (zh) * | 2006-04-17 | 2007-10-24 | 中国科学院自动化研究所 | 基于改进的自适应提升算法的互联网入侵检测方法 |
| CN102882880A (zh) * | 2012-10-10 | 2013-01-16 | 常州大学 | 针对DNS服务的DDoS攻击的检测方法和系统 |
| CN102202064B (zh) * | 2011-06-13 | 2013-09-25 | 刘胜利 | 基于网络数据流分析的木马通信行为特征提取方法 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7069316B1 (en) * | 2002-02-19 | 2006-06-27 | Mcafee, Inc. | Automated Internet Relay Chat malware monitoring and interception |
| CN101572711B (zh) * | 2009-06-08 | 2012-10-10 | 北京理工大学 | 一种基于网络的反弹端口型木马的检测方法 |
| CN102761458B (zh) * | 2011-12-20 | 2014-11-05 | 北京安天电子设备有限公司 | 一种反弹式木马的检测方法和系统 |
| CN103051627B (zh) * | 2012-12-21 | 2016-04-27 | 公安部第一研究所 | 一种反弹式木马的检测方法 |
-
2015
- 2015-03-18 CN CN201510119824.5A patent/CN104796405B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101060443A (zh) * | 2006-04-17 | 2007-10-24 | 中国科学院自动化研究所 | 基于改进的自适应提升算法的互联网入侵检测方法 |
| CN102202064B (zh) * | 2011-06-13 | 2013-09-25 | 刘胜利 | 基于网络数据流分析的木马通信行为特征提取方法 |
| CN102882880A (zh) * | 2012-10-10 | 2013-01-16 | 常州大学 | 针对DNS服务的DDoS攻击的检测方法和系统 |
Non-Patent Citations (1)
| Title |
|---|
| "一种基于网络行为分析的反弹式木马检测方法";赵天福等;《第26 次全国计算机安全学术交流会 论文集》;20110915(第9期);正文第80-83页 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104796405A (zh) | 2015-07-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104796405B (zh) | 反弹连接检测方法和装置 | |
| US11038906B1 (en) | Network threat validation and monitoring | |
| CN106464577B (zh) | 网络系统、控制装置、通信装置以及通信控制方法 | |
| US10135844B2 (en) | Method, apparatus, and device for detecting e-mail attack | |
| CN111131137B (zh) | 可疑封包检测装置及其可疑封包检测方法 | |
| CN107623661A (zh) | 阻断访问请求的系统、方法及装置,服务器 | |
| CN102055674B (zh) | Ip报文及基于该ip报文的信息处理方法及装置 | |
| CN109587179A (zh) | 一种基于旁路网络全流量的ssh协议行为模式识别与告警方法 | |
| CN109768981B (zh) | 一种在sdn架构下基于机器学习的网络攻击防御方法和系统 | |
| CN104836702A (zh) | 一种大流量环境下主机网络异常行为检测及分类方法 | |
| CN106790313A (zh) | 入侵防御方法及装置 | |
| TW202019127A (zh) | 異常流量偵測裝置及其異常流量偵測方法 | |
| KR100684602B1 (ko) | 세션 상태전이를 이용한 시나리오 기반 침입대응 시스템 및그 방법 | |
| CN105915532A (zh) | 一种失陷主机的识别方法及装置 | |
| CN101286896A (zh) | 基于流的IPSec VPN协议深度检测方法 | |
| CN109951419A (zh) | 一种基于攻击链攻击规则挖掘的apt入侵检测方法 | |
| CN107911244A (zh) | 一种云网结合的多用户蜜罐终端系统及其实现方法 | |
| CN109040140A (zh) | 一种慢速攻击检测方法及装置 | |
| CN109743314A (zh) | 网络异常的监控方法、装置、计算机设备及其存储介质 | |
| CN108777650A (zh) | 一种基于受控节点的匿名网络溯源方法 | |
| CN113163406A (zh) | 用于移动通信系统的威胁侦测系统及其中心装置与本地装置 | |
| CN101431521A (zh) | 一种防木马的网络安全系统及方法 | |
| CN100366026C (zh) | 一种在路由设备中实现报文转发控制的方法 | |
| CN101888296A (zh) | 一种影子用户检测方法、装置、设备和系统 | |
| CN107018116A (zh) | 监控网络流量的方法、装置及服务器 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| EXSB | Decision made by sipo to initiate substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20200619 Address after: Nanshan District Xueyuan Road in Shenzhen city of Guangdong province 518000 No. 1001 Nanshan Chi Park building A1 layer Patentee after: SANGFOR TECHNOLOGIES Inc. Address before: Nanshan District Xueyuan Road in Shenzhen city of Guangdong province 518000 No. 1001 Nanshan Chi Park A1 building five floor Patentee before: Shenxin network technology (Shenzhen) Co.,Ltd. |