CN106657095B - 一种识别未知类远控木马的方法及系统 - Google Patents
一种识别未知类远控木马的方法及系统 Download PDFInfo
- Publication number
- CN106657095B CN106657095B CN201611245508.3A CN201611245508A CN106657095B CN 106657095 B CN106657095 B CN 106657095B CN 201611245508 A CN201611245508 A CN 201611245508A CN 106657095 B CN106657095 B CN 106657095B
- Authority
- CN
- China
- Prior art keywords
- network
- flow
- flows
- remote control
- recording
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种识别未知类远控木马的方法及系统,包括:对当前网络执行断网操作后恢复网络,获取网络中的所有流量;记录网络中的所有流量的五元组信息和上下行数据包大小;将每次恢复网络至下次断网记为一个周期,重复预设周期的上述操作;选取五元组信息相同的网络流量,并对比预设周期间的网络流量的重合度,若重合度大于等于预设值则判定存在未知类远控木马。本发明所述技术方案能够弥补主机侧检测的不足,有效解决未知类远控木马识别的问题。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种识别未知类远控木马的方法及系统。
背景技术
近年来,随着互联网的不断普及和我国网民数量的不断增加,木马、病毒等僵尸程序、问题后门程序也越来越受到人们的关注。
在这种情况下,传统的基于主机的检测手段,包括:防病毒软件、个人防火墙等,虽然可以有效地查杀木马、病毒等僵尸程序,可以抵挡一些网络攻击,但是近几年出现的某些杀毒软件的误删事件,证明基于主机侧的检测手段在防范和检测木马、病毒等僵尸程序时已经力不从心。
发明内容
针对上述技术问题,本发明通过分析远控类木马的行为习惯,得知每次断网并恢复网络后,远控木马会即刻尝试重新连接控制端。因此,本发明通过获取每次网络断开并恢复后的网络流量,并具体分析多个周期间网络流量的重合度进而有效识别远控类木马。
本发明采用如下方法来实现:一种识别未知类远控木马的方法,包括:
对当前网络执行断网操作后恢复网络,获取网络中的所有流量;
记录网络中的所有流量的五元组信息和上下行数据包大小;
将每次恢复网络至下次断网记为一个周期,重复预设周期的上述操作;
选取五元组信息相同的网络流量,并对比预设周期间的网络流量的重合度,若重合度大于等于预设值则判定存在未知类远控木马。
进一步地,所述获取网络中的所有流量,具体为:通过直路或者旁路的形式获取网络中的所有流量。
进一步地,所述获取网络中的所有流量之后,还包括:
将网络中的所有流量与常规通信规则库进行匹配,放行匹配成功的网络流量;其中,所述常规通信规则库中存储有已知软件或服务的数据通信规则。
更进一步地,所述放行匹配成功的网络流量后,还包括:
判断当前网络流量是否是始终持续的数据流,若是则继续记录网络中的所有流量的五元组信息和数据包大小,否则放行当前网络流量不做记录。
更进一步地,还包括:若重合度小于预设值则判定不存在未知类远控木马,并将当前网络流量涉及的五元组信息添加至所述常规通信规则库。
本发明可以采用如下系统来实现:一种识别未知类远控木马的系统,包括:
网络流量获取模块,用于对当前网络执行断网操作后恢复网络,获取网络中的所有流量;
流量信息记录模块,用于记录网络中的所有流量的五元组信息和上下行数据包大小;
周期重复调用模块,用于将每次恢复网络至下次断网记为一个周期,重复预设周期调用所述网络流量获取模块和所述流量信息记录模块;
重合度计算模块,用于选取五元组信息相同的网络流量,并对比预设周期间的网络流量的重合度,若重合度大于等于预设值则判定存在未知类远控木马。
进一步地,所述获取网络中的所有流量,具体为:通过直路或者旁路的形式获取网络中的所有流量。
进一步地,还包括:常规通信过滤模块,用于在所述网络流量获取模块获取网络中的所有流量后,将网络中的所有流量与常规通信规则库进行匹配,放行匹配成功的网络流量;其中,所述常规通信规则库中存储有已知软件或服务的数据通信规则。
更进一步地,还包括:持续流量匹配模块,用于获取匹配失败的网络流量并判断当前网络流量是否是始终持续的数据流,若是则将数据流转发至所述流量信息记录模块继续记录网络中的所有流量的五元组信息和数据包大小,否则放行当前网络流量不做记录。
更进一步地,还包括:规则库维护模块,用于若重合度小于预设值则判定不存在未知类远控木马,并将当前网络流量涉及的五元组信息添加至所述常规通信规则库。
综上,本发明给出一种识别未知类远控木马的方法及系统,通过对所有在线的机器进行断网,使得远控类木马不能进行连接,随后恢复网络后,远控类木马会重新尝试连接控制端。因此,通过预设周期次数的断开网络和恢复网络,进而获取从恢复网络到下次断网之间的所有网络流量,记录相关的五元组信息和上下行数据包的大小;主要选取每个周期中五元组信息相同的网络流量进行对比分析,若每个周期间网络流量的重合度达到预设值以上,则判定存在未知类远控木马,并进行相关告警和后续处理工作。
有益效果为:本发明所述技术方案能够有效监测网络中的未知类远控木马程序,并进一步根据未知类远控木马数据来分析是否有数据被控制者盗取,并进一步更新常规通信规则库,方便以后对网络流量的筛选和过滤。
附图说明
为了更清楚地说明本发明的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明提供的一种识别未知类远控木马的方法实施例1流程图;
图2为本发明提供的一种识别未知类远控木马的方法实施例2流程图;
图3为本发明提供的一种识别未知类远控木马的系统实施例结构图。
具体实施方式
本发明给出了一种识别未知类远控木马的方法及系统实施例,为了使本技术领域的人员更好地理解本发明实施例中的技术方案,并使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明中技术方案作进一步详细的说明:
本发明首先提供了一种识别未知类远控木马的方法实施例1,如图1所示,包括:
S101:对当前网络执行断网操作后恢复网络,获取网络中的所有流量。
具体为:通过直路或者旁路的形式获取网络中的所有流量。此处执行断网操作并恢复网络的目的是,让远控类木马在断开网络后接入网络时,会发送一些数据包,进而寻求与控制端的通信。
S102:记录网络中的所有流量的五元组信息和上下行数据包大小。具体为,记录网络中的所有流量的源端口、目的端口、源IP地址、目的IP地址、传输层协议、每个数据包的大小、甚至包括是上行还是下行、开始时间等等。
S103:将每次恢复网络至下次断网记为一个周期,判断是否已经达到预设周期,若是,则继续执行S104,否则执行S101。其中,所述预设周期的具体数量根据需要设定,能够足够体现远控类木马的行为规律即可。具体地,此处可以选择六个周期。
S104:选取五元组信息相同的网络流量,并对比预设周期间的网络流量的重合度,若重合度大于等于预设值则判定存在未知类远控木马。其中,所述选取五元组信息相同的网络流量,具体为选取各周期中源IP地址、源端口、目的IP地址和目的端口一致的网络流量进行对比,若每次网络恢复后,相同五元组的网络流量趋势是非常相似的并大于等于预设值,则判定存在未知类远控木马。随后可以对记录的上行下行数据进行分析,判断是否有信息窃取的情况存在。所述预设值根据需要设定,可以设置为90%。
本发明同时提供了一种识别未知类远控木马的方法实施例2,如图2所示,包括:
S201:对当前网络执行断网操作后恢复网络,获取网络中的所有流量。
S202:将网络中的所有流量与常规通信规则库进行匹配,放行匹配成功的网络流量。
其中,所述常规通信规则库中存储有已知软件或服务的数据通信规则。设置所述常规通信规则库是为了在分析之前过滤掉常规已知软件或者服务,例如过滤掉正常的IP、域名等,所述已知软件或者服务包括但不限于:迅雷、迅雷看看、下载软件、即时通讯工具等等,如果与常规通信规则库匹配成功,则说明当前网络流量为正常通信流量,则予以放行,进而减轻系统的处理压力。
S203:判断当前网络流量是否是始终持续的数据流,若是则继续执行S204,否则放行当前网络流量不做记录。其中,所述始终持续的数据流是指在开机或恢复网络连接后到关机或断网间都有数据进行传输。
S204:记录网络中的所有流量的五元组信息和上下行数据包大小。
S205:将每次恢复网络至下次断网记为一个周期,判断是否已经达到预设周期,若是,则继续执行S206,否则执行S201。
S206:选取五元组信息相同的网络流量,判断各预设周期间的网络流量的重合度是否大于等于预设值,若是则判定存在未知类远控木马,否则判定不存在未知类远控木马,并执行S207。
其中,所述判断各预设周期间的网络流量的重合度是否大于等于预设值,具体可以:依次对比六个周期下从网络恢复后第一个数据包、第二个数据包、直到断网前的最后一个数据包的大小,进而判断重合度是否大于等于预设值。
S207:将当前网络流量涉及的五元组信息添加至所述常规通信规则库。
本发明其次提供了一种识别未知类远控木马的系统实施例,如图3所示,包括:
网络流量获取模块301,用于对当前网络执行断网操作后恢复网络,获取网络中的所有流量;
流量信息记录模块302,用于记录网络中的所有流量的五元组信息和上下行数据包大小;
周期重复调用模块303,用于将每次恢复网络至下次断网记为一个周期,重复预设周期调用所述网络流量获取模块和所述流量信息记录模块;
重合度计算模块304,用于选取五元组信息相同的网络流量,并对比预设周期间的网络流量的重合度,若重合度大于等于预设值则判定存在未知类远控木马。
优选地,所述获取网络中的所有流量,具体为:通过直路或者旁路的形式获取网络中的所有流量。
优选地,还包括:常规通信过滤模块,用于将网络中的所有流量与常规通信规则库进行匹配,放行匹配成功的网络流量;其中,所述常规通信规则库中存储有已知软件或服务的数据通信规则。
更优选地,还包括:持续流量匹配模块,用于判断当前网络流量是否是始终持续的数据流,若是则继续记录网络中的所有流量的五元组信息和数据包大小,否则放行当前网络流量不做记录。
更优选地,还包括:规则库维护模块,用于若重合度小于预设值则判定不存在未知类远控木马,并将当前网络流量涉及的五元组信息添加至所述常规通信规则库。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同或相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于系统实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
如上所述,上述实施例给出了一种识别未知类远控木马的方法及系统实施例,通过重复预设周期次数对网络进行断开和恢复的操作,并记录网络恢复后的所有数据包直到下次断网操作;选取具备相同五元组信息的网络流量进行对比,判断各预设周期间反复记录的网络流量之间的重合度如何,进而判定是否是远控类木马。本发明上述实施例不仅能够有效识别远控类木马程序,而且其利用网络流量变化规律来识别是否存在远控类木马,能够有效克服在主机侧检测远控木马所存在的问题和局限性。
以上实施例用以说明而非限制本发明的技术方案。不脱离本发明精神和范围的任何修改或局部替换,均应涵盖在本发明的权利要求范围当中。
Claims (10)
1.一种识别未知类远控木马的方法,其特征在于,包括:
对当前网络执行断网操作后恢复网络,获取网络中的所有流量;
记录网络中的所有流量的五元组信息和上下行数据包大小;
将每次恢复网络至下次断网记为一个周期,重复预设周期的上述操作;
选取五元组信息相同的网络流量,并对比预设周期间的网络流量的重合度,若重合度大于等于预设值则判定存在未知类远控木马。
2.如权利要求1所述的方法,其特征在于,所述获取网络中的所有流量,具体为:通过直路或者旁路的形式获取网络中的所有流量。
3.如权利要求1所述的方法,其特征在于,所述获取网络中的所有流量之后,还包括:
将网络中的所有流量与常规通信规则库进行匹配,放行匹配成功的网络流量;其中,所述常规通信规则库中存储有已知软件或服务的数据通信规则。
4.如权利要求3所述的方法,其特征在于,所述放行匹配成功的网络流量后,还包括:
判断当前网络流量是否是始终持续的数据流,若是则继续记录网络中的所有流量的五元组信息和数据包大小,否则放行当前网络流量不做记录。
5.如权利要求3所述的方法,其特征在于,还包括:若重合度小于预设值则判定不存在未知类远控木马,并将当前网络流量涉及的五元组信息添加至所述常规通信规则库。
6.一种识别未知类远控木马的系统,其特征在于,包括:
网络流量获取模块,用于对当前网络执行断网操作后恢复网络,获取网络中的所有流量;
流量信息记录模块,用于记录网络中的所有流量的五元组信息和上下行数据包大小;
周期重复调用模块,用于将每次恢复网络至下次断网记为一个周期,重复预设周期调用所述网络流量获取模块和所述流量信息记录模块;
重合度计算模块,用于选取五元组信息相同的网络流量,并对比预设周期间的网络流量的重合度,若重合度大于等于预设值则判定存在未知类远控木马。
7.如权利要求6所述的系统,其特征在于,所述获取网络中的所有流量,具体为:通过直路或者旁路的形式获取网络中的所有流量。
8.如权利要求6所述的系统,其特征在于,还包括:常规通信过滤模块,用于在所述网络流量获取模块获取网络中的所有流量后,将网络中的所有流量与常规通信规则库进行匹配,放行匹配成功的网络流量;其中,所述常规通信规则库中存储有已知软件或服务的数据通信规则。
9.如权利要求8所述的系统,其特征在于,还包括:持续流量匹配模块,用于获取匹配失败的网络流量并判断当前网络流量是否是始终持续的数据流,若是则将数据流转发至所述流量信息记录模块继续记录网络中的所有流量的五元组信息和数据包大小,否则放行当前网络流量不做记录。
10.如权利要求8所述的系统,其特征在于,还包括:规则库维护模块,用于若重合度小于预设值则判定不存在未知类远控木马,并将当前网络流量涉及的五元组信息添加至所述常规通信规则库。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201611245508.3A CN106657095B (zh) | 2016-12-29 | 2016-12-29 | 一种识别未知类远控木马的方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201611245508.3A CN106657095B (zh) | 2016-12-29 | 2016-12-29 | 一种识别未知类远控木马的方法及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN106657095A CN106657095A (zh) | 2017-05-10 |
CN106657095B true CN106657095B (zh) | 2020-07-28 |
Family
ID=58836062
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201611245508.3A Active CN106657095B (zh) | 2016-12-29 | 2016-12-29 | 一种识别未知类远控木马的方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN106657095B (zh) |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP1546891A1 (en) * | 2002-08-30 | 2005-06-29 | Wholesecurity, Inc. | Method and apparatus for detecting malicious code in an information handling system |
CN101605074A (zh) * | 2009-07-06 | 2009-12-16 | 中国人民解放军信息技术安全研究中心 | 基于网络通讯行为特征监测木马的方法与系统 |
CN104144164A (zh) * | 2014-08-06 | 2014-11-12 | 武汉安问科技发展有限责任公司 | 基于网络入侵的扩展防御方法 |
-
2016
- 2016-12-29 CN CN201611245508.3A patent/CN106657095B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP1546891A1 (en) * | 2002-08-30 | 2005-06-29 | Wholesecurity, Inc. | Method and apparatus for detecting malicious code in an information handling system |
CN101605074A (zh) * | 2009-07-06 | 2009-12-16 | 中国人民解放军信息技术安全研究中心 | 基于网络通讯行为特征监测木马的方法与系统 |
CN104144164A (zh) * | 2014-08-06 | 2014-11-12 | 武汉安问科技发展有限责任公司 | 基于网络入侵的扩展防御方法 |
Non-Patent Citations (1)
Title |
---|
"远控型木马通信三阶段流量行为特征分析";李巍;《技术研究》;20150510;全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN106657095A (zh) | 2017-05-10 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109525558B (zh) | 数据泄露检测方法、系统、装置及存储介质 | |
KR102040990B1 (ko) | 응답이 없는 아웃고잉 네트워크 트래픽의 분석을 통한 감염된 네트워크 장치의 검출 | |
US9979739B2 (en) | Automated forensics of computer systems using behavioral intelligence | |
US8490192B2 (en) | Method and system for cleaning malicious software and computer program product and storage medium | |
JP6142702B2 (ja) | 監視装置、監視方法及びプログラム | |
CA2968201A1 (en) | Systems and methods for malicious code detection | |
CN108293039B (zh) | 处理网络威胁的计算设备、方法和存储介质 | |
CN106778229B (zh) | 一种基于vpn的恶意应用下载拦截方法及系统 | |
CN110798427A (zh) | 一种网络安全防御中的异常检测方法、装置及设备 | |
US20160337385A1 (en) | Network monitoring method and network monitoring device | |
CN112738095A (zh) | 一种检测非法外联的方法、装置、系统、存储介质及设备 | |
CN102111400B (zh) | 一种木马检测方法、装置及系统 | |
JP6711452B2 (ja) | 抽出装置、抽出方法、及びプログラム | |
CN111641589A (zh) | 高级可持续威胁检测方法、系统、计算机以及存储介质 | |
CN106790020B (zh) | 一种基于攻击范式的互联网异常行为检测方法与系统 | |
CN111131180B (zh) | 一种大规模云环境中分布式部署的http协议post拦截方法 | |
JP5531064B2 (ja) | 通信装置、通信システム、通信方法、および、通信プログラム | |
CN106657095B (zh) | 一种识别未知类远控木马的方法及系统 | |
JP2010250607A (ja) | 不正アクセス解析システム、不正アクセス解析方法、および不正アクセス解析プログラム | |
CN105049273A (zh) | 一种模拟网络活动检测木马的方法及系统 | |
CN105763365B (zh) | 一种异常处理方法及装置 | |
CN109889552A (zh) | 电力营销终端异常流量监控方法、系统及电力营销系统 | |
CN114244610B (zh) | 一种文件传输方法、装置,网络安全设备及存储介质 | |
US20150101036A1 (en) | Network filtering device, network filtering method and computer-readable recording medium having stored therein a program | |
JP6229504B2 (ja) | ネットワーク監視装置、監視方法及びプログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
CB02 | Change of applicant information | ||
CB02 | Change of applicant information |
Address after: 100080 Beijing city Haidian District minzhuang Road No. 3, Tsinghua Science Park Building 1 Yuquan Huigu a Applicant after: Beijing ahtech network Safe Technology Ltd Address before: 100080 Zhongguancun Haidian District street, No. 14, layer, 1 1415-16 Applicant before: Beijing Antiy Electronic Installation Co., Ltd. |
|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |