CN105656944A - 一种基于网络数据流的木马探测方法 - Google Patents

一种基于网络数据流的木马探测方法 Download PDF

Info

Publication number
CN105656944A
CN105656944A CN201610165413.4A CN201610165413A CN105656944A CN 105656944 A CN105656944 A CN 105656944A CN 201610165413 A CN201610165413 A CN 201610165413A CN 105656944 A CN105656944 A CN 105656944A
Authority
CN
China
Prior art keywords
data
data packet
network
wooden horse
time interval
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201610165413.4A
Other languages
English (en)
Inventor
吴春明
陈双喜
蔡扬
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Zhejiang University ZJU
Original Assignee
Zhejiang University ZJU
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Zhejiang University ZJU filed Critical Zhejiang University ZJU
Priority to CN201610165413.4A priority Critical patent/CN105656944A/zh
Publication of CN105656944A publication Critical patent/CN105656944A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种基于网络数据流的木马探测方法,本发明首次采用会话长度,上传下载比,传输中的长度小于Size(Size=200)的包占比和命令包占比等四个特征进行分类处理,筛选出木马数据。首先利用现有网络数据包采集工具进行数据包获取,然后通过本方法进行木马分类识别,最后通过HOOK网络发包API和栈回溯的方法定位出木马文件位置。本发明采用从网络行为到本地行为的联合分析顺序,优于传统的网络行为或者本地行为独立分析的方法。

Description

一种基于网络数据流的木马探测方法
技术领域
本发明涉及木马检测技术领域,尤其涉及一种基于网络数据流的木马探测方法。
背景技术
随着现代社会电子化和信息化的发展,木马程序随之在技术上也快速更新,严重影响互联网安全,威胁互联网用户的安全。我国每年都会发生大量的网络盗窃案件,其中许多案件涉及政府和军队等要害单位的信息,这些案件大多通过木马手段进行攻击,因此研究木马检测技术有着至关重要的意义。而随着木马隐藏技术的不断提升,木马在系统中变得越来越难以发现,很多常规手段都难以发现其踪迹。因此,木马检测技术正面临着一个瓶颈,需要有一系列技术来解决这些问题。
传统的木马检测技术都是特征码或者本地行为分析,并不对网络行为做太多的监控,而针对网络行为的入侵检测系统却只检测网络行为,并不能够定位到本地木马的具体位置,入侵检测系统如果发现了网络数据异常,往往需要大费周章来进行系统扫描。
发明内容
本发明的目的在于针对现有技术的不足,提供一种基于网络数据流行为和本地行为联合分析的木马探测方法。
本发明的目的是通过以下技术方案来实现的:一种基于网络数据流的木马探测方法,该方法包括以下步骤:
(1)、网络数据的筛选分类,该步骤通过以下子步骤来实现(时间的单位为秒):
(1.1)、抓取两个IP之间一段互相通信的网络数据D,并且记D的截止时间为T0,开始时间为T1,D的源IP和目的IP之间的IP地址对IPpair=(IPsrc,IPdst),式中,IPsrc为D的源IP,IPdst为D的目的IP;
(1.2)、计算t秒内Dt的总发包数PacketDt,其中Dt为D中离T0最近的t秒数据;
(1.3)、计算t秒内Dt的上传下载比RateDt=UpDt/DownDt,其中UpDt为Dt中的上传数据量,DownDt为Dt中的下载数据量;
(1.4)、计算t秒内Dt的长度小于200的数据包占比TinyDt=TinyCountDt/TotalCountDt,其中TinyCountDt为Dt中长度小于200的数据包的总数,TotalCountDt为Dt中的数据包总数;
(1.5)、计算t秒内Dt的命令数量CommandDt,其中命令包的定义为:X为D中一个下载的包,X的发包时刻记作TX,在时间区间[TX-30,TX-0.5]中没有收发任何数据包,在时间区间[TX-0.5,TX]中发送1个或者没有发送数据包,并且没有接受任何数据包,在时间区间[TX,TX+0.5]中至少发送1个数据包,则称X为命令包;
(1.6)、计算T0时,D的会话长度TimeD,计算方法为:对数据D从T0时刻往回溯,直到时刻T2(T2>T1),使在一定时间区间中,没有收发任何数据包,则TimeD=T0-T2;若T2-30>T1,所述时间区间为[T2-30,T2],若T2-30<T1,则所述时间区间为[T1,T2];
(1.7)、以PacketDt,RateD,TinyDt,CommandDt,TimeD五个计算结果为特征,通过C5.0决策树算法来对数据D进行判定,判定其是否为木马数据;
(2)、若D被判定为木马数据,则对操作系统中木马文件进行定位,该步骤通过以下子步骤来实现;
(2.1)、通过编写底层驱动的方法得到步骤1中木马数据D的发包程序X;
(2.2)、将程序X中的所有网络发包API函数进行HOOK处理,监视程序X的所有发包情况,直到地址为IPpair的包P再次被发送;
(2.3)、通过已被HOOK处理的API函数中的堆栈情况,回溯出发出数据包P的API函数的调用者:文件T;所述T即为所需的木马文件。
本发明的有益效果是,本发明的方法基于网络数据行为,通过筛选分类,并反向追踪本地木马文件。本发明根据木马程序的网络行为选出的五个特征作为机器学习算法的输入,可以有效地筛选出木马数据,进而通过本地行为回溯的方法找出木马本体的正确位置。本发明在发现网络数据异常的时候就直接进行本地的行为分析,大大提升了木马的探测率。
附图说明
图1是本发明的方法流程图。
具体实施方式
如图1所示,本发明提供一种基于网络数据行为,通过筛选分类,并反向追踪本地木马文件位置的方法。木马检测技术主要用于泄密检测,服务器防护,个人电脑安全等,是计算机安全领域的一个重要内容。具体的实施过程包括两个大的步骤,分别是网络数据的筛选分类、操作系统中木马文件的定位。
1、网络数据的筛选分类,该步骤通过以下子步骤来实现(时间的单位为秒):
1.1、抓取两个IP之间一段互相通信的网络数据D,并且记D的截止时间为T0,开始时间为T1,D的源IP和目的IP之间的IP地址对IPpair=(IPsrc,IPdst),式中,IPsrc为D的源IP,IPdst为D的目的IP。
1.2、计算t秒内Dt的总发包数PacketDt,其中Dt为D中离T0最近的t秒数据。
1.3、计算t秒内Dt的上传下载比RateDt=UpDt/DownDt,其中UpDt为Dt中的上传数据量,DownDt为Dt中的下载数据量。
1.4、计算t秒内Dt的长度小于200的数据包占比TinyDt=TinyCountDt/TotalCountDt,其中TinyCountDt为Dt中长度小于200的数据包的总数,TotalCountDt为Dt中的数据包总数。
1.5、计算t秒内Dt的命令数量CommandDt,其中命令包的定义为:X为D中一个下载的包,X的发包时刻记作TX,在时间区间[TX-30,TX-0.5]中没有收发任何数据包,在时间区间[TX-0.5,TX]中发送1个或者没有发送数据包,并且没有接受任何数据包,在时间区间[TX,TX+0.5]中至少发送1个数据包,则称X为命令包。
1.6、计算T0时,D的会话长度TimeD,计算方法为:对数据D从T0时刻往回溯,直到时刻T2(T2>T1),使在一定时间区间中,没有收发任何数据包,则TimeD=T0-T2;若T2-30>T1,所述时间区间为[T2-30,T2],若T2-30<T1,则所述时间区间为[T1,T2]。
1.7、以PacketDt,RateD,TinyDt,CommandDt,TimeD五个计算结果为特征,通过C5.0决策树算法来对数据D进行判定,判定其是否为木马数据。
2、若D被判定为木马数据,则对操作系统中木马文件进行定位,该步骤通过以下子步骤来实现。
2.1、通过编写底层驱动的方法得到步骤1中木马数据D的发包程序X。
2.2、将程序X中的所有网络发包API函数进行HOOK处理,监视程序X的所有发包情况,直到地址为IPpair的包P再次被发送。
2.3、通过已被HOOK处理的API函数中的堆栈情况,回溯出发出数据包P的API函数的调用者:文件T;所述T即为所需的木马文件。
本发明根据木马程序的网络行为选出的五个特征作为机器学习算法的输入,可以有效地筛选出木马数据,进而通过本地行为回溯的方法找出木马本体的正确位置。

Claims (1)

1.一种基于网络数据流的木马探测方法,其特征在于,该方法包括以下步骤:
(1)、网络数据的筛选分类,该步骤通过以下子步骤来实现(时间的单位为秒):
(1.1)、抓取两个IP之间一段互相通信的网络数据D,并且记D的截止时间为T0,开始时间为T1,D的源IP和目的IP之间的IP地址对IPpair=(IPsrc,IPdst),式中,IPsrc为D的源IP,IPdst为D的目的IP。
(1.2)、计算t秒内Dt的总发包数PacketDt,其中Dt为D中离T0最近的t秒数据。
(1.3)、计算t秒内Dt的上传下载比RateDt=UpDt/DownDt,其中UpDt为Dt中的上传数据量,DownDt为Dt中的下载数据量。
(1.4)、计算t秒内Dt的长度小于200的数据包占比TinyDt=TinyCountDt/TotalCountDt,其中TinyCountDt为Dt中长度小于200的数据包的总数,TotalCountDt为Dt中的数据包总数。
(1.5)、计算t秒内Dt的命令数量CommandDt,其中命令包的定义为:X为D中一个下载的包,X的发包时刻记作TX,在时间区间[TX-30,TX-0.5]中没有收发任何数据包,在时间区间[TX-0.5,TX]中发送1个或者没有发送数据包,并且没有接受任何数据包,在时间区间[TX,TX+0.5]中至少发送1个数据包,则称X为命令包。
(1.6)、计算T0时,D的会话长度TimeD,计算方法为:对数据D从T0时刻往回溯,直到时刻T2(T2>T1),使在一定时间区间中,没有收发任何数据包,则TimeD=T0-T2;若T2-30>T1,所述时间区间为[T2-30,T2],若T2-30<T1,则所述时间区间为[T1,T2]。
(1.7)、以PacketDt,RateD,TinyDt,CommandDt,TimeD五个计算结果为特征,通过C5.0决策树算法来对数据D进行判定,判定其是否为木马数据。
(2)、若D被判定为木马数据,则对操作系统中木马文件进行定位,该步骤通过以下子步骤来实现。
(2.1)、通过编写底层驱动的方法得到步骤1中木马数据D的发包程序X。
(2.2)、将程序X中的所有网络发包API函数进行HOOK处理,监视程序X的所有发包情况,直到地址为IPpair的包P再次被发送。
(2.3)、通过已被HOOK处理的API函数中的堆栈情况,回溯出发出数据包P的API函数的调用者:文件T;所述T即为所需的木马文件。
CN201610165413.4A 2016-03-19 2016-03-19 一种基于网络数据流的木马探测方法 Pending CN105656944A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610165413.4A CN105656944A (zh) 2016-03-19 2016-03-19 一种基于网络数据流的木马探测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610165413.4A CN105656944A (zh) 2016-03-19 2016-03-19 一种基于网络数据流的木马探测方法

Publications (1)

Publication Number Publication Date
CN105656944A true CN105656944A (zh) 2016-06-08

Family

ID=56495279

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610165413.4A Pending CN105656944A (zh) 2016-03-19 2016-03-19 一种基于网络数据流的木马探测方法

Country Status (1)

Country Link
CN (1) CN105656944A (zh)

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103107912A (zh) * 2011-11-11 2013-05-15 无锡南理工科技发展有限公司 基于离群挖掘的异常检测系统
CN103532949A (zh) * 2013-10-14 2014-01-22 刘胜利 基于动态反馈的自适应木马通信行为检测方法
CN103685222A (zh) * 2013-09-05 2014-03-26 北京科能腾达信息技术股份有限公司 基于确定性有穷状态自动机的数据匹配检测方法
US20140086102A1 (en) * 2012-09-25 2014-03-27 Ashok Babu Doddapaneni Intelligent feedback loop to iteratively reduce incoming network data for analysis
CN103701769A (zh) * 2013-11-07 2014-04-02 江南大学 一种检测网络危害源头的方法与系统
CN104283897A (zh) * 2014-10-29 2015-01-14 刘胜利 基于多数据流聚类分析的木马通信特征快速提取方法
CN104715190A (zh) * 2015-02-03 2015-06-17 中国科学院计算技术研究所 一种基于深度学习的程序执行路径的监控方法及系统

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103107912A (zh) * 2011-11-11 2013-05-15 无锡南理工科技发展有限公司 基于离群挖掘的异常检测系统
US20140086102A1 (en) * 2012-09-25 2014-03-27 Ashok Babu Doddapaneni Intelligent feedback loop to iteratively reduce incoming network data for analysis
CN103685222A (zh) * 2013-09-05 2014-03-26 北京科能腾达信息技术股份有限公司 基于确定性有穷状态自动机的数据匹配检测方法
CN103532949A (zh) * 2013-10-14 2014-01-22 刘胜利 基于动态反馈的自适应木马通信行为检测方法
CN103701769A (zh) * 2013-11-07 2014-04-02 江南大学 一种检测网络危害源头的方法与系统
CN104283897A (zh) * 2014-10-29 2015-01-14 刘胜利 基于多数据流聚类分析的木马通信特征快速提取方法
CN104715190A (zh) * 2015-02-03 2015-06-17 中国科学院计算技术研究所 一种基于深度学习的程序执行路径的监控方法及系统

Similar Documents

Publication Publication Date Title
CN111277578B (zh) 加密流量分析特征提取方法、系统、存储介质、安全设备
CN107749859B (zh) 一种面向网络加密流量的恶意移动应用检测方法
CN107968791B (zh) 一种攻击报文的检测方法及装置
NL2002694C2 (en) Method and system for alert classification in a computer network.
WO2016082284A1 (zh) 基于OCSVM双轮廓模型的Modbus TCP通信行为异常检测方法
CN108718298B (zh) 一种恶意外连流量检测方法及装置
CN109347853B (zh) 基于深度包解析的面向综合电子系统的异常检测方法
CN109639734B (zh) 一种具有计算资源自适应性的异常流量检测方法
CN110086811B (zh) 一种恶意脚本检测方法及相关装置
CN110620760A (zh) 一种SVM和贝叶斯网络的FlexRay总线融合入侵检测方法和检测装置
CN110839042B (zh) 一种基于流量的自反馈恶意软件监测系统和方法
CN111182002A (zh) 基于http首个问答包聚类分析的僵尸网络检测装置
TWI543011B (zh) Method and system for extracting digital fingerprints of malicious files
JP2004312083A (ja) 学習データ作成装置、侵入検知システムおよびプログラム
CN117097578B (zh) 一种网络流量的安全监控方法、系统、介质及电子设备
KR101940512B1 (ko) 공격특성 dna 분석 장치 및 그 방법
CN113037748A (zh) 一种c&amp;c信道混合检测方法及系统
CN117033501A (zh) 大数据采集分析系统
CN105656944A (zh) 一种基于网络数据流的木马探测方法
CN114584391A (zh) 异常流量处理策略的生成方法、装置、设备及存储介质
CN106411816B (zh) 一种工业控制系统、安全互联系统及其处理方法
US9049170B2 (en) Building filter through utilization of automated generation of regular expression
Yu et al. Mining anomaly communication patterns for industrial control systems
US8289854B1 (en) System, method, and computer program product for analyzing a protocol utilizing a state machine based on a token determined utilizing another state machine
Yu et al. Anomaly network detection model based on mobile agent

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
WD01 Invention patent application deemed withdrawn after publication

Application publication date: 20160608

WD01 Invention patent application deemed withdrawn after publication