CN106992992B - 一种基于通信行为的木马检测方法 - Google Patents
一种基于通信行为的木马检测方法 Download PDFInfo
- Publication number
- CN106992992B CN106992992B CN201710371748.6A CN201710371748A CN106992992B CN 106992992 B CN106992992 B CN 106992992B CN 201710371748 A CN201710371748 A CN 201710371748A CN 106992992 B CN106992992 B CN 106992992B
- Authority
- CN
- China
- Prior art keywords
- trojan horse
- packet
- network
- trojan
- horse
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
Abstract
本发明公开了一种基于通信行为的木马检测方法,首先采集网络原始数据包,通过旁路的方式获取网络原始数据包;接着对采集到的网络原始数据包进行解析重组,将数据包进行解析,解析出网络接口层、网络层、传输层的相关信息,包括四元组信息,四元组相同的则为同一条流,并在网络层及传输层进行数据包的重组;然后识别常用的已知的不可能为木马数据流的协议,并对这些协议数据流进行过滤;最后判断同一条流是否同时存在:心跳行为、心跳包外的每个上行小包都伴随下行一个或多个连续的大包、每组“上行小包+下行大包”都至少有一定的时间间隔,如果同时满足上述三个条件则判定为木马,否则判定为非木马。本发明简化了识别算法,提高了识别准确率。
Description
技术领域
本发明属于信息安全领域,涉及木马的检测技术,具体涉及一种基于通信行为的木马检测方法。
背景技术
APT(Advanced Persistent Threat,高级持续性威胁)一直是互联网所面临的主要安全威胁,而木马仍然是APT的主要的攻击手段,因此对木马的检测防范在信息安全领域有着非常重要的意义。
目前,木马检测技术主要有以下几种类型:
(1)基于特征的已知木马检测方法。首先运行已知的木马样本并运行,提取通信数据的数据特征;然后用提取的特征和网络流量数据进行匹配,从而达到对木马的识别。这种木马的检测技术的优点是方案成熟,准确率也高,但却无法对未知木马进行检测,即使是对已知木马轻微修改的变种,因此不能构建一个统一的检测模型,需要不断地更新木马特征库。
(2)基于通信行为的木马检测方法。这种检测方法理论上适用于已知木马和未知木马的检测,而且在时效性和扩展性方面有着明显优势。但是由于木马的多样性,要想用一种模型或算法对所有木马进行检测,就使得检测算法异常复杂,检测的准确率非常低。
现有技术文献中,公告号为CN102523223B、名称为“一种木马检测的方法及装置”的发明专利公开了一种木马检测的方法及装置,用以解决现有技术不能有效的对网络中存在的木马进行检测的问题。该方法当检测到会话中存在木马心跳检测时,根据木马心跳检测的频率是否固定,将记录的会话权值增加相应的权值并记录,并针对控制端向被控制端发送的每个报文,检测该报文是否符合木马控制命令报文的特征,若符合,则将记录的会话权值增加第三权值并记录,在会话权值达到告警阈值时发出告警,以通知该会话为木马发起的会话。由于通过对会话中的报文进行检测实现木马检测,因此可以检测到网络中存在的木马,并且对会话中的报文进行检测时,并不只是简单的字符串匹配。但该专利的缺点是检测准确率低,目前很多非木马的协议有它的心跳特征和木马控制命令报文的特征。
发明内容
本发明的目的是基于通信行为的木马检测方法,针对其中的一种类型木马,即心跳和数据传输在同一条流,被控制端被认为远程控制的木马进行检测,算法简单,能大大提高对该种类型木马检测的准确率。
为实现上述目的,本发明采用的技术方案为一种基于通信行为的木马检测方法,具体包含以下步骤:
S1:采集网络原始数据包,通过旁路的方式获取网络原始数据包;
S2:对采集到的网络原始数据包进行解析重组,将数据包进行解析,解析出网络接口层、网络层、传输层的相关信息,包括四元组信息,四元组相同的则为同一条流,并在网络层及传输层进行数据包的重组;
S3:识别常用的已知的不可能为木马数据流的协议,并对这些协议数据流进行过滤;
S4:判断同一条流是否同时存在:
(1)心跳行为;
(2)心跳包外的每个上行小包都伴随下行一个或多个连续的大包;
(3)每组“上行小包+下行大包”都至少有一定的时间间隔;
如果同时满足上述三个条件则判定为木马,否则判定为非木马。
进一步,上述通过旁路的方式包含交换机、路由器镜像。
进一步,上述步骤2中,所述四元组信息包括源IP、目的IP、源端口、目的端口。
与现有技术相比,本发明具有的有益效果:
本发明针对基于通信行为的木马检测方法存在的检测准确率异常低的问题,对心跳和数据传输在同一条流,被控制端被认为远程控制这种类型的木马的通信行为做出了精确提炼,简化了常用的对未知木马的识别算法,大大提高了对这类木马的识别准确率。
附图说明
图1为本发明的检测流程示意图。
具体实施方式
现结合附图对本发明做进一步详尽的说明。
如图1所示,本发明对木马的检测过程可以分为以下几个步骤:
(1)采集网络原始数据包;
比如可以通过旁路的方式(交换机、路由器镜像过来的数据)获取网络原始数据包。
(2)对采集到的网络原始数据包进行解析重组;
将数据包进行解析,解析出网络接口层、网络层、传输层的相关信息,包括四元组信息(源IP、目的IP、源端口、目的端口)等。四元组相同的则为同一条流,并在网络层及传输层进行数据包的重组。
(3)识别常用的已知的协议,并过滤这些协议数据流;
识别出常用的已知的不可能为木马数据流的协议,如smtp、pop3、ftp等,并将这些协议的数据流进行过滤,以提高数据流处理的效率,及检测的准确度;
(4)判断同一条流是否同时存在:1)心跳行为;2)心跳包外的每个上行小包都伴随下行一个或多个连续的大包;3)每组“上行小包+下行打包”都至少有一定的时间间隔,如果同时满足上述三个条件则判定为木马,否则判定为非木马。
本发明主要是检查这种类型的木马:所有的数据传输都在同一条中,且被控制端能被人为的远程控制。
经研究发现,这类木马有着这样的共同特征:
1)保持连接的周期性传递的心跳包;
2)木马运行时,被控制端被远程人为控制后,人工下发操作指令;而人工操作速度上是有一定的限制的,也就是两次操作之间有一定的时间间隔,且这个时间间隔相对于于正常的数据传输包之间的时间间隔要大得多;
3)每次人工操作,也即下发操作命令后,被控制端响应该命令,都会上传大量的数据,也就所说的“心跳包外的每个上行小包都伴随下行一个或多个连续的大包”。
通过上面的特征就能准确地判断数据包中是否包含该种木马。
本发明针对具有上述特征木马的通信行为做出了精确提炼,简化了常用的对未知木马的识别算法,大大提高了对这类木马的识别准确率。解决了目前基于通信行为的木马检测方法存在的检测准确率异常低的缺陷。
Claims (3)
1.一种基于通信行为的木马检测方法,其特征在于包含以下步骤:
S1:采集网络原始数据包,通过旁路的方式获取网络原始数据包;
S2:对采集到的网络原始数据包进行解析重组,将数据包进行解析,解析出网络接口层、网络层、传输层的相关信息,包括四元组信息,四元组相同的则为同一条流,并在网络层及传输层进行数据包的重组;
S3:识别常用的已知的不可能为木马数据流的协议,并对这些协议数据流进行过滤;
S4:判断同一条流是否同时存在:
(1)心跳行为;
(2)心跳包外的每个上行小包都伴随下行一个或多个连续的大包;
(3)每组“上行小包+下行大包”都至少有人为操作反应的时间间隔;
如果同时满足上述三个条件则判定为木马,否则判定为非木马。
2.根据权利要求1所述的基于通信行为的木马检测方法,其特征在于所述通过旁路的方式包含交换机、路由器镜像。
3.根据权利要求1所述的基于通信行为的木马检测方法,其特征在于步骤2中所述四元组信息包括源IP、目的IP、源端口、目的端口。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710371748.6A CN106992992B (zh) | 2017-05-24 | 2017-05-24 | 一种基于通信行为的木马检测方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710371748.6A CN106992992B (zh) | 2017-05-24 | 2017-05-24 | 一种基于通信行为的木马检测方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106992992A CN106992992A (zh) | 2017-07-28 |
| CN106992992B true CN106992992B (zh) | 2020-02-11 |
Family
ID=59419691
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710371748.6A Active CN106992992B (zh) | 2017-05-24 | 2017-05-24 | 一种基于通信行为的木马检测方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106992992B (zh) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2004021197A1 (en) * | 2002-08-30 | 2004-03-11 | Wholesecurity, Inc. | Method and apparatus for detecting malicious code in an information handling system |
| CN102201937A (zh) * | 2011-06-13 | 2011-09-28 | 刘胜利 | 基于心跳行为分析的快速木马检测方法 |
| CN102984177A (zh) * | 2012-12-24 | 2013-03-20 | 珠海市君天电子科技有限公司 | 一种识别远控木马的方法及其装置 |
| CN105227408A (zh) * | 2015-10-22 | 2016-01-06 | 蓝盾信息安全技术股份有限公司 | 一种智能木马识别装置及方法 |
| CN106302520A (zh) * | 2016-09-14 | 2017-01-04 | 恒安嘉新(北京)科技有限公司 | 一种远控类木马清除方法及装置 |
-
2017
- 2017-05-24 CN CN201710371748.6A patent/CN106992992B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2004021197A1 (en) * | 2002-08-30 | 2004-03-11 | Wholesecurity, Inc. | Method and apparatus for detecting malicious code in an information handling system |
| CN102201937A (zh) * | 2011-06-13 | 2011-09-28 | 刘胜利 | 基于心跳行为分析的快速木马检测方法 |
| CN102984177A (zh) * | 2012-12-24 | 2013-03-20 | 珠海市君天电子科技有限公司 | 一种识别远控木马的方法及其装置 |
| CN105227408A (zh) * | 2015-10-22 | 2016-01-06 | 蓝盾信息安全技术股份有限公司 | 一种智能木马识别装置及方法 |
| CN106302520A (zh) * | 2016-09-14 | 2017-01-04 | 恒安嘉新(北京)科技有限公司 | 一种远控类木马清除方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN106992992A (zh) | 2017-07-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111277578B (zh) | 加密流量分析特征提取方法、系统、存储介质、安全设备 | |
| CN108282497B (zh) | 针对SDN控制平面的DDoS攻击检测方法 | |
| CN101741862B (zh) | 基于数据包序列特征的irc僵尸网络检测系统和检测方法 | |
| CN109379341B (zh) | 一种基于行为分析的反弹型远控木马网络流量检测方法 | |
| US8065722B2 (en) | Semantically-aware network intrusion signature generator | |
| CN103023725B (zh) | 一种基于网络流量分析的异常检测方法 | |
| CN109768981B (zh) | 一种在sdn架构下基于机器学习的网络攻击防御方法和系统 | |
| CN111064678A (zh) | 基于轻量级卷积神经网络的网络流量分类方法 | |
| CN104468507B (zh) | 基于无控制端流量分析的木马检测方法 | |
| WO2011050545A1 (zh) | 一种未知应用层协议自动分析方法 | |
| CN101640666A (zh) | 一种面向目标网络的流量控制装置及方法 | |
| CN114143037B (zh) | 一种基于进程行为分析的恶意加密信道检测方法 | |
| CN110958233B (zh) | 一种基于深度学习的加密型恶意流量检测系统和方法 | |
| CN104022924A (zh) | 一种http通信内容检测的方法 | |
| CN111294342A (zh) | 一种软件定义网络中DDos攻击的检测方法及系统 | |
| CN112688946A (zh) | 异常检测特征的构造方法、模块、存储介质、设备及系统 | |
| CN110839042B (zh) | 一种基于流量的自反馈恶意软件监测系统和方法 | |
| CN110266680B (zh) | 一种基于双重相似性度量的工业通信异常检测方法 | |
| CN111182002A (zh) | 基于http首个问答包聚类分析的僵尸网络检测装置 | |
| CN111586075A (zh) | 基于多尺度流分析技术的隐蔽信道检测方法 | |
| CN107689899A (zh) | 一种基于比特流的未知协议识别方法及系统 | |
| CN106992992B (zh) | 一种基于通信行为的木马检测方法 | |
| US20210194850A1 (en) | Smart network switching systems and related methods | |
| US11374838B1 (en) | Using a data processing unit (DPU) as a pre-processor for graphics processing unit (GPU) based machine learning | |
| CN109698835A (zh) | 一种面向https隐蔽隧道的加密木马检测方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |