CN108390864B - 一种基于攻击链行为分析的木马检测方法及系统 - Google Patents

Abstract

本发明涉及网络安全，旨在提供一种基于攻击链行为分析的木马检测方法及系统。该种基于攻击链行为分析的木马检测系统包括DNS域名异常检测模块、木马潜伏行为异常检测模块和木马通信行为异常检测模块，能依次针对木马渗透攻击过程中的三大行为过程：木马连接过程、木马潜伏过程、木马通信过程，进行异常检测；当木马连接过程、木马潜伏过程、木马通信过程的异常检测条件都满足时，即确认检测到木马，实现木马检测。本发明通过对木马三大行为过程：木马连接过程、木马潜伏过程、木马通信过程，依次关联分析，基于上述木马三个过程行为特征，分别提供全面、有效的木马检测方法及系统，使得木马检测的准确率更高，漏报率更低。

Description

一种基于攻击链行为分析的木马检测方法及系统

技术领域

本发明是关于网络安全领域，特别涉及一种基于攻击链行为分析的木马检测方法及系统。

背景技术

在网络安全领域，木马攻击威胁指数是仅次于软件漏洞排名第二，以木马为主的网络攻击行为危害日益严重，由此造成的经济损失也越来越大。木马攻击检测技术也一直是网络安全领域的研究热点，因为其攻击方式精心构造，攻击行为个性化极强，通过传统的入侵检测技术很难发现木马的攻击行为。

现有的木马检测技术主要采用以下两种方式：

1、基于木马代码静态特征：通过扫描主机内的所有文件，与所搜集到的木马静态代码特征库匹配。其弊端在于：1)其检测能力依赖于特征库；2)特征库不全面，容易引起漏报；3)无法发现0day木马，引起漏报；4)无法检测未知潜藏木马，引起漏报；5)正常文件调用与静态代码库的特征码，引起误报。

2、基于木马行为特征：从木马网络通信的本质出发，通过监视网络数据流，分析数据包以及链路各种特征属性，用以发现木马在网络中的异常行为。基于木马行为的检测方法相较于代码静态特征的检测方法，能检测更多未知木马程序，具有更强的通用性。

目前已知的行为特征检测木马，有专利1：一种木马检测的方法和装置(申请号：CN201110430821.5)该专利关注的是木马心跳行为特征及数据包木马报文特征，其弊端在于：现实平台中很多服务器之间的通信传递、数据同步等行为均利用自动化程序进行操作和控制，其也存在明显的心跳行为，且部分数据包也存在命令报文，但有很多是误报。有专利2：基于网络数据流分析的木马通信行为特征提取方法(申请号：CN201110158055.1)，该专利是利用通信时长、通信小包数量、被控端上传数据包量和下载数据包量的比值等指标进行阈值划分，检测判断是否木马操作阶段的行为特征，其弊端在于：现实互联网应用过程中，应用服务类型五花八门，通过应用服务器外传数据的时长以及数据包特征和木马的操作行为特征也具有一定的相似性，利用该方法进行检测会存在较多的误报。

发明内容

本发明的主要目的在于克服现有技术中的不足，提供一种基于木马连接过程、木马潜伏过程、木马通信过程的行为特征的木马检测方法及系统。为解决上述技术问题，本发明的解决方案是：

提供一种基于攻击链行为分析的木马检测系统，包括DNS域名异常检测模块、木马潜伏行为异常检测模块和木马通信行为异常检测模块；

所述DNS域名异常检测模块，包括域名异常检测子模块、域名查询响应异常检测子模块和动态域名异常检测子模块，能分别针对木马渗透攻击过程中的连接过程(木马连接过程行为特征：木马一旦被成功植入至用户计算机，均会通过DNS域名请求寻找控制端主机IP，其域名具有一定的随机性，且为了逃避安全设备检测及威胁情报的更新，其域名变化频繁)，进行木马检测；

所述域名异常检测子模块，能通过机器学习算法(如HMM模型、决策树、支持向量机算法)挖掘DNS域名字符串文本随机性特征，将域名的随机熵、长度、N-gram、HMM转化概率、后缀、Gibberish值指标进行归一化，并利用支持向量机(SVM)分类器对已知木马的域名进行黑白样本训练，获取支持向量机分类器参数，从而通过支持向量机分类器实时判断DNS请求的域名是否为随机域名；

所述域名查询响应异常检测子模块，预设域名响应时间的阈值，对查询响应时间超过阈值的域名，判断为异常域名(由于木马回连域名的特殊性，其在DNS服务器缓存时间较短，大多域名非常见且比较特殊，需要经过多层域名服务器才能找到)；

所述动态域名异常检测子模块，能对域名指向IP的变更行为进行异常检测；当满足下述两个条件中的任意一个时，判定为动态域名异常：

条件i：DNS查询返回的域名指向内网IP；

条件ii：DNS查询请求IP变化频率超过预设阈值(一般取每天变化2次及其以上)，且存在超过预设比例(一般取25％以上)的请求连接失败；

当攻击者主机即控制端关机时，动态域名通常会指向一个内网IP地址是无效的，内网IP地址主要分三类，A类：10.0.0.0-10.255.255.255，B类：72.16.0.0-172.31.255.255，C类：192.168.0.0-192.168.255.255；

所述木马潜伏行为异常检测模块，包括木马心跳行为检测子模块、木马注册行为检测子模块，能分别针对木马渗透攻击过程中的潜伏过程(大部分木马植入用户计算机成功后，潜伏在用户计算机期间会进行相关的关闭杀毒软件等行为，当木马成功运行后会告知控制端并发起连接请求；此时，会有明显的特征包括但不限于以下：心跳、反侦察)，进行木马检测；

所述木马心跳行为检测子模块，采集近一个周期T(一般为2小时一个周期，即T取2小时)内同一源IP和目的IP之间的会话数据，采集的会话数据信息包括请求时间t、请求包大小s；对周期T内采集的请求时间t进行傅立叶变换，计算得到平稳性系数，当平稳性系数小于预设阈值(这个预设阈值没有严格的取值范围界定，基于现场数据情况设置)，则进行判异；计算流量差值在10％以内(即流量差值和较小流量包的比值在10％以内，请求包的流量值即指请求包大小s)的相似请求包个数占请求包总个数的比值，当比值大于预设阈值(比值一般基于时间段不同进行设置，如早上晚上数据包比较少，比值可设置为50％，白天数据包量比较大，可设置为25％)，则进行判异；

所述木马注册行为检测子模块，(基于现有木马渗透行为特征学习)建立木马反侦察行为的特征库，将各类行为与特征库进行匹配以判定是否存在木马注册行为，若能实现匹配，即判异常；(木马植入成功后，会对内网服务器及资产进一步渗透，如关闭杀毒软件等，以便获取更多的权限进行控制及破坏)。

所述木马通信行为异常检测模块，包括木马回连行为检测子模块、流量异常检测子模块，能依次针对木马渗透攻击过程中的通信过程(大部分木马植入用户计算机成功后，与控制端建立连接进行通信时，会有明显特征包括但不限于以下：木马回连、流量异常)进行木马检测；

所述木马回连行为检测子模块，对DNS域名异常检测模块中DNS域名异常判定后的域名(即DNS域名异常检测模块中，域名异常检测子模块判定的随机域名、域名查询响应异常检测子模块判定的查询响应时长异常域名或者动态域名异常检测子模块判定的动态域名异常的域名，只要其中有一个模块异常，就判定为DNS域名异常，随后利用异常模块的DNS域名)，查询该域名指向的IP，若在此后预设的时间L(一般设这个时间周期L为1小时)内同该异常域名指向的IP进行通信会话数量大于预设阈值(一般取50次以上)，则判异；

所述流量异常检测子模块，对木马回连行为检测子模块中判异的域名，查询该域名指向的IP，采集近一段时间S(一般设这个时间周期S为1小时)内，目的IP为异常域名指向的IP的会话数据；若通信频率大于预定阈值(一般为50次以上)，且采集会话数据流出量与采集会话数据流入量比值大于指定阈值(一般为10以上)，则判异常。

在本发明中，还设有端口异常检测模块，基于木马库端口数据的采集，利用排除法排除木马库中所有木马的端口，建立非木马端口白名单库，用于在通信会话数据检测提取过程(DNS域名异常检测模块中DNS域名异常判定后的域名，需要查询该域名对应的IP作为木马潜伏行为异常检测模块、木马通信行为异常检测模块所采集的会话数据的目的IP)中，剔除匹配到非木马端口白名单库的会话数据，提高检测结果的准确率。

提供一种基于攻击链行为分析的木马检测方法，能依次针对木马渗透攻击过程中的三大行为过程：木马连接过程、木马潜伏过程、木马通信过程，进行异常检测；当木马连接过程、木马潜伏过程、木马通信过程的异常检测条件都满足时，即确认检测到木马，实现木马检测；

在木马连接过程，能采用下述任意一种方法进行木马连接过程的异常检测：

方法(1A)：能通过机器学习算法(如HMM模型、决策树算法等)挖掘DNS域名字符串文本随机性特征，将域名的随机熵、长度、N-gram、HMM转化概率、后缀、Gibberish值指标进行归一化，并利用支持向量机(SVM)分类器对已知木马的域名进行黑白样本训练，获取分类器参数，从而通过分类器实时判断DNS请求的域名是否为随机域名；

方法(1B)：预设DNS域名请求响应时间阈值，对查询响应时间超过阈值的域名，判断为异常域名；

方法(1C)：能对动态域名异常进行检测；当满足下述两个条件中的任意一个时，判定为动态域名异常：

条件i：DNS查询返回的域名指向内网IP；

条件ii：DNS查询请求IP变化频率超过预设阈值，且存在超过预设比例的请求连接失败；

在木马潜伏过程，能采用下述任意一种方法进行木马潜伏过程的异常检测：

方法(2A)：采集近一段时间T内同一源IP和目的IP之间的会话数据，采集的会话数据信息包括请求时间t、请求包大小s；对周期T内采集的请求时间t进行傅立叶变换，计算得到平稳性系数，当平稳性系数小于预设阈值，则进行判异；计算流量差值在10％以内(即流量差值和较小流量包的比值在10％以内，请求包的流量值即指请求包大小s)的相似请求包个数占请求包总个数的比值，当比值大于预设阈值(比值一般基于时间段不同进行设置，如早上晚上数据包比较少，比值可设置为50％，白天数据包量比较大，可设置为25％)，则进行判异；

方法(2B)：(基于现有木马渗透行为特征学习)建立木马反侦察行为的特征库，将各类行为与特征库进行匹配以判定是否存在木马注册行为，若能实现匹配，即判异常；

在木马通信过程，进行木马通信过程异常检测的步骤为：

步骤(3A)：对于方法(1A)、方法(1B)或者方法(1C)中判异的DNS域名，查询该域名指向的IP，若在此后预设的时间L(一般设这个时间周期L为1小时)内同该异常域名指向的IP进行通信会话数量大于预设阈值(一般取50次以上)，则判定为木马回连；

步骤(3B)：对步骤(3A)中判定为木马回连的域名，采集近一段时间S内，该域名指向的IP和被控端进行通信的会话数据；若通信频率大于预定阈值(一般为50次以上)，且采集会话数据流出量与采集会话数据流入量比值大于指定阈值(一般为10以上)，则判定为木马流量异常。

与现有技术相比，本发明的有益效果是：

本发明通过对木马三大行为过程：木马连接过程、木马潜伏过程、木马通信过程，依次关联分析，基于上述木马三个过程行为特征，分别提供全面、有效的木马检测方法及系统，使得木马检测的准确率更高，漏报率更低。

附图说明

图1为本发明的工作流程图。

具体实施方式

首先需要说明的是，本发明是计算机技术在信息安全技术领域的一种应用。在本发明的实现过程中，会涉及到多个软件功能模块的应用。申请人认为，如在仔细阅读申请文件、准确理解本发明的实现原理和发明目的以后，在结合现有公知技术的情况下，本领域技术人员完全可以运用其掌握的软件编程技能实现本发明，凡本发明申请文件提及的软件功能模块均属此范畴，申请人不再一一列举。

下面结合附图与具体实施方式对本发明作进一步详细描述：

如图1所示的基于攻击链行为分析的木马检测系统，根据木马渗透攻击不同过程的行为特征，分为三大检测模块：DNS域名异常检测模块、木马潜伏行为异常检测模块、木马通信行为异常检测模块。

(1)DNS域名异常检测模块

木马连接过程行为特征：木马一旦被成功植入至用户计算机，均会通过DNS域名请求寻找控制端主机IP，其域名具有一定的随机性，且为了逃避安全设备检测及威胁情报的更新，其域名变化频繁。

基于上述特征，本发明提供DNS域名异常检测模块具体包括域名异常检测子模块、域名查询响应异常检测子模块、动态域名异常检测子模块。

(1.1)域名异常检测子模块

1.1-1、木马域名随机性特征：DGA(域名生成算法)是一种利用随机字符来生成C&C域名,从而逃避域名黑名单检测的技术手段。木马通常会采用DGA生成域名。

1.1-2、机器学习检测域名随机性：通过机器学习算法(如HMM模型、决策树算法等)挖掘DNS域名字符串文本随机性特征，将域名的随机熵、长度、N-gram、HMM转化概率、后缀、Gibberish值等指标进行归一化，并利用支持向量机(SVM)分类器进行离线训练模型参数；模型参数包括但不限于以下：域名得分、异常域名区间。

1.1-3、域名判异：根据步骤1.1-2建立的模型及参数，计算待检测域名的随机性指数。

(1.2)域名查询响应异常检测子模块

1.2-1、木马域名响应特征：DNS服务器在接收到域名解析请求后，会向域名指定的NS服务器发出解析请求从而获得解析记录。常用域名内容一般很少更改，因此查询速度快。而非常用域名经常变换指向的IP值，因此响应时间较长。由于，攻击者为逃避追踪及检测，会频繁变换其主机即控制端IP地址，因此，木马在进行连接时，域名响应时间会较长。

1.2-2、计算域名响应时间异常值：通过现有随机域名的DNS查询时间计算，预设域名响应时间阈值；

1.2-3域名响应时间判异：若当前域名响应时间超过步骤1.2-2的域名响应时间阈值，则判异。

(1.3)动态域名异常检测子模块

1.3-1、木马动态域名特征：为了逃避检测及追踪,攻击者通常会频繁变换其主机IP。因此木马往往通过动态域名，连接到攻击者主机即控制端。

1.3-2、计算IP变化频率异常值：通常DNS域名指向长时间内较为固定，基于木马的域名指向IP变化频率经验值，配置域名指向的IP变化频率阀值。

1.3-3、动态域名判异：当攻击者主机即控制端关机时，动态域名通常会指向一个内网IP地址是无效的，内网IP地址主要分三类，A类：10.0.0.0-10.255.255.255，B类：72.16.0.0-172.31.255.255，C类：192.168.0.0-192.168.255.255。从两方面对动态域名异常进行检测：

i、DNS查询返回的域名指向内网IP；

ii、DNS查询请求IP变化频率超过1.3-2中指定阈值，且存在超过一定比例(预设值)的请求连接失败；

满足以上2个条件之一的，可判定为动态域名异常。

特别指出，基于木马DNS域名异常检测模块的异常检测，查询域名对应的IP为下述木马潜伏行为、木马通信行为分析所采集的会话数据的目的IP，且为了进一步提高检测结果的准确率，本发明基于木马库端口数据的采集，利用排除法排除所有木马端口，建立非木马端口白名单库，在提取会话的同时剔除所有非木马端口的会话数据。

(2)木马潜伏行为异常检测模块

大部分木马植入用户计算机成功后，潜伏在用户计算机期间会进行相关的关闭杀毒软件等行为，当木马成功运行后会告知控制端并发起连接请求。此时，会有明显的特征包括但不限于以下：心跳、反侦察。

基于上述特征，本发明提供木马潜伏行为异常检测模块具体包括木马心跳行为检测子模块、木马注册行为检测子模块。

(2.1)木马心跳行为检测子模块

2.1-1、木马心跳行为特征：a、请求连接时间间隔相似性；b、请求包大小相似性。

2.1-2、采集会话数据：通过采集近一段时间T内同一源IP和目的IP之间的会话数据。采集的会话数据信息包括：请求时间间隔t、请求包大小s。

2.1-3、会话数据判异：通过请求时间的傅立叶变换，当平稳性系数小于指定阈值，则可判定请求时间具有相似性；通过计算相似流量包个数占总流量包个数的比值，当比值大于指定的阈值，则可判定该流量包具有相似性。

(2.2)木马注册行为检测子模块

木马植入成功后，会对内网服务器及资产进一步渗透，如关闭杀毒软件等，以便获取更多的权限进行控制及破坏。基于现有木马渗透行为特征学习，建立木马反侦察行为的特征库；对各类行为与特征库进行匹配进行判定是否存在木马注册行为。

2.2-1、木马注册行为特征：大部分木马植入用户计算机后注册时，会下载免杀插件、关闭相应的安全工具，以达到反侦察目的。

2.2-2、建立反侦察特征库：通常免杀插件文件是具备文件特征码、关闭安全工具是具备行为特侦码。基于现有木马渗透行为特征学习，建立木马反侦察行为的特征库；

2.2-3、行为判异：根据步骤2.2-2的反侦察特征库，能够精准匹配到木马注册行为，即判异。

(3)木马通信行为异常检测模块

大部分木马植入用户计算机成功后，与控制端建立连接进行通信时，会有明显特征包括但不限于以下：木马回连、流量异常。

基于上述特征，本发明提供木马通信行为异常检测模块具体包括木马回连行为检测子模块、流量异常检测子模块。

(3.1)木马回连行为检测子模块

3.1-1、木马回连特征：木马通过DNS查询域名对应的IP，随后向该IP发起控制请求，进行相应的通信连接。

3.1-2、采集回连流量：通过采集近一段时间L内源IP和同一目的IP之间的流量。

3.1-3、回连行为检测：若3.1-2中采集的流量通信会话数量大于预设阈值，则判异。

(3.2)流量异常检测子模块

3.2-1、木马流量特征：木马通常以窃取数据或者远程控制为目的，就会出现大量的文件传输，或者对应的GET请求行为，而很少出现POST请求，从而导致上下行流量比远超正常的网络行为，且流量集中在某一短期时间爆发，其频率高、流量大。

3.2-2、采集通信流量：采集近段时间S内源IP的流量，并分别提取流量大小、请求方式以及计算单位时间的请求频率。

3.2-3、流量判异：若采集到的进出流量比值大与预设阈值、请求方式为GET且请求频率大于预设阈值，则判异。

最后，需要注意的是，以上列举的仅是本发明的具体实施例。显然，本发明不限于以上实施例，还可以有很多变形。本领域的普通技术人员能从本发明公开的内容中直接导出或联想到的所有变形，均应认为是本发明的保护范围。

Claims (3)

1.一种基于攻击链行为分析的木马检测系统，其特征在于，包括DNS域名异常检测模块、木马潜伏行为异常检测模块和木马通信行为异常检测模块；

所述DNS域名异常检测模块，包括域名异常检测子模块、域名查询响应异常检测子模块和动态域名异常检测子模块，能分别针对木马渗透攻击过程中的连接过程，进行木马检测；

所述域名异常检测子模块，能通过机器学习算法挖掘DNS域名字符串文本随机性特征，将域名的随机熵、长度、N-gram、HMM转化概率、后缀、Gibberish值指标进行归一化，并利用支持向量机分类器对已知木马的域名进行黑白样本训练，获取支持向量机分类器参数，从而通过支持向量机分类器实时判断DNS请求的域名是否为随机域名；

所述域名查询响应异常检测子模块，预设域名响应时间的阈值，对查询响应时间超过阈值的域名，判断为异常域名；

所述动态域名异常检测子模块，能对域名指向IP的变更行为进行异常检测；当满足下述两个条件中的任意一个时，判定为动态域名异常：

条件i：DNS查询返回的域名指向内网IP；

条件ii：DNS查询请求IP变化频率超过预设阈值，且存在超过预设比例的请求连接失败；

所述木马潜伏行为异常检测模块，包括木马心跳行为检测子模块、木马注册行为检测子模块，能分别针对木马渗透攻击过程中的潜伏过程，进行木马检测；

所述木马心跳行为检测子模块，采集近一个周期T内同一源IP和目的IP之间的会话数据，采集的会话数据信息包括请求时间t、请求包大小s；对周期T内采集的请求时间t进行傅立叶变换，计算得到平稳性系数，当平稳性系数小于预设阈值，则进行判异；计算流量差值在10％以内的相似请求包个数占请求包总个数的比值，当比值大于预设阈值，则进行判异；

所述木马注册行为检测子模块，建立木马反侦察行为的特征库，将各类行为与特征库进行匹配以判定是否存在木马注册行为，若能实现匹配，即判异常；

所述木马通信行为异常检测模块，包括木马回连行为检测子模块、流量异常检测子模块，能依次针对木马渗透攻击过程中的通信过程进行木马检测；

所述木马回连行为检测子模块，对DNS域名异常检测模块中DNS域名异常判定后的域名，查询该域名指向的IP，若在此后预设的时间L内同该异常域名指向的IP进行通信会话数量大于预设阈值，则判异；

所述流量异常检测子模块，对木马回连行为检测子模块中判异的域名，查询该域名指向的IP，采集近一段时间S内，目的IP为异常域名指向的IP的会话数据；若通信频率大于预定阈值，且采集会话数据流出量与采集会话数据流入量比值大于指定阈值，则判异常。

2.根据权利要求1所述的一种基于攻击链行为分析的木马检测系统，其特征在于，还设有端口异常检测模块，基于木马库端口数据的采集，利用排除法排除木马库中所有木马的端口，建立非木马端口白名单库，用于在通信会话数据检测提取过程中，剔除匹配到非木马端口白名单库的会话数据，提高检测结果的准确率。

3.一种基于攻击链行为分析的木马检测方法，其特征在于，能依次针对木马渗透攻击过程中的三大行为过程：木马连接过程、木马潜伏过程、木马通信过程，进行异常检测；当木马连接过程、木马潜伏过程、木马通信过程的异常检测条件都满足时，即确认检测到木马，实现木马检测；

在木马连接过程，能采用下述任意一种方法进行木马连接过程的异常检测：

方法(1A)：能通过机器学习算法挖掘DNS域名字符串文本随机性特征，将域名的随机熵、长度、N-gram、HMM转化概率、后缀、Gibberish值指标进行归一化，并利用支持向量机分类器对已知木马的域名进行黑白样本训练，获取分类器参数，从而通过分类器实时判断DNS请求的域名是否为随机域名；

方法(1B)：预设DNS域名请求响应时间阈值，对查询响应时间超过阈值的域名，判断为异常域名；

方法(1C)：能对动态域名异常进行检测；当满足下述两个条件中的任意一个时，判定为动态域名异常：

条件i：DNS查询返回的域名指向内网IP；

条件ii：DNS查询请求IP变化频率超过预设阈值，且存在超过预设比例的请求连接失败；

在木马潜伏过程，能采用下述任意一种方法进行木马潜伏过程的异常检测：

方法(2A)：采集近一段时间T内同一源IP和目的IP之间的会话数据，采集的会话数据信息包括请求时间t、请求包大小s；对周期T内采集的请求时间t进行傅立叶变换，计算得到平稳性系数，当平稳性系数小于预设阈值，则进行判异；计算流量差值在10％以内的相似请求包个数占请求包总个数的比值，当比值大于预设阈值，则进行判异；

方法(2B)：建立木马反侦察行为的特征库，将各类行为与特征库进行匹配以判定是否存在木马注册行为，若能实现匹配，即判异常；

在木马通信过程，进行木马通信过程异常检测的步骤为：

步骤(3A)：对于方法(1A)、方法(1B)或者方法(1C)中判异的DNS域名，查询该域名指向的IP，若在此后预设的时间L内同该异常域名指向的IP进行通信会话数量大于预设阈值，则判定为木马回连；

步骤(3B)：对步骤(3A)中判定为木马回连的域名，采集近一段时间S内，该域名指向的IP和被控端进行通信的会话数据；若通信频率大于预定阈值，且采集会话数据流出量与采集会话数据流入量比值大于指定阈值，则判定为木马流量异常。

Images