CN108540430A - 一种威胁检测方法及装置 - Google Patents

Abstract

本申请实施例提供一种威胁检测方法及装置，涉及网络安全领域，能够有效的检测反弹端口型木马程序。该方法包括：获取第一设备和第二设备之间的传输控制协议TCP会话中的报文，TCP会话的发起端设备为第一设备；获取TCP会话中从第一设备传输到第二设备的第一数据流和从第二设备传输到第一设备的第二数据流；获取第一数据流的多个第一报文中每个第一报文的时间信息以及第二数据流的多个第二报文中每个第二报文的时间信息；根据每个第一报文的时间信息和每个第二报文的时间信息，计算激活率、响应率以及交互次数；若激活率大于或等于第一阈值、响应率大于或等于第二阈值、且交互次数大于或等于第三阈值，确定第一设备受到威胁。

Description

一种威胁检测方法及装置

技术领域

本申请实施例涉及网络安全领域，尤其涉及一种威胁检测方法及装置。

背景技术

在互联网高度开放的今天，各种各样的恶意程序充斥在互联网中。木马程序是一种典型的恶意程序，攻击者可以通过木马程序来控制另一台计算机。木马程序对用户使用的计算机系统造成了不同程度的威胁。木马程序通常包含两个可执行程序：服务端程序和客户端程序。服务端程序和客户端程序之间的相互配合，能够实现主机控制、文件盗取、系统破坏等功能。服务端程序安装在被控制的主机上，即被木马程序攻击的设备；客户端程序安装在控制主机上，即攻击者使用的设备。

现有防火墙为了防范木马程序对受保护网络中的主机造成破坏，对由外部网络接入受保护网络的连接往往进行严格的限制。为了逃避防火墙的检测，现在大部分木马程序都是反弹端口型木马程序。反弹端口型木马程序的特点是服务端程序通过某一标准的网络通信端口主动连接客户端程序。这种连接方式会造成防火墙误认为该连接是一个正常的网络连接而放行。这样，反弹端口型木马程序能够逃避防火墙的检测，对主机的计算机系统和文件等信息的安全性造成威胁。

现有技术无法有效检测反弹端口型木马程序。

发明内容

本申请提供一种威胁检测方法及装置，能够有效的检测反弹端口型木马程序。

为达到上述目的，本申请采用如下技术方案：

第一方面，提供一种威胁检测方法，在第一设备位于受保护网络，第二设备位于另一网络，第一设备和第二设备之间存在一个传输控制协议(Transmission ControlProtocol，TCP)会话，且第一设备主动发起该TCP会话的场景中，威胁检测装置首先获取该TCP会话中的报文，并获取该TCP会话中从第一设备传输到第二设备的第一数据流中每个第一报文的时间信息，以及从第二设备传输到第一设备的第二数据流中每个第二报文的时间信息，然后，该威胁检测装置根据每个第一报文的时间信息和每个第二报文的时间信息，计算该TCP会话中第一设备向第二设备发送的数据是由第二设备触发的概率，即激活率，并计算第二设备向第一设备发送的数据得到第一设备及时响应的概率，即响应率，以及计算第一设备与第二设备之间交互的次数，即交互次数，若激活率大于或等于第一阈值、响应率大于或等于第二阈值、且交互次数大于或等于第三阈值，则该威胁检测装置确定第一设备与第二设备之间的连接方式为反向连接。在威胁检测装置确定第一设备与第二设备之间的连接方式为反向连接时，威胁检测装置确定第一设备受到威胁。

由于反弹端口型木马程序最基本的特点就是控制端设备与被控端设备之间的连接方式为反向连接，因此，不论是对于哪一类型的反弹端口型木马程序，本申请实施例中的威胁检测装置均可及时检测到，有效的提高了被控端设备的计算机系统和文件等信息的安全性。

可选的，在本申请的一种可能的实现方式中，威胁检测装置还获取每个第一报文的大小信息，这样，威胁检测装置获取到了每个第一报文的时间信息和每个第一报文的大小信息。在获取到每个第一报文的时间信息和每个第一报文的大小信息之后，威胁检测装置根据每个第一报文的时间信息和每个第一报文的大小信息，确定多个第一报文中是否包括心跳报文。具体的，若多个第一报文中未包括心跳报文、且第一设备与第二设备之间的连接方式为反向连接，则威胁检测装置确定第一设备受到第一等级的威胁。若多个第一报文中包括心跳报文、且第一设备与第二设备之间的连接方式为反向连接，则威胁检测装置确定第一设备受到第二等级的威胁。

反弹端口型木马程序具备反向连接和心跳机制的特点，因此，威胁检测装置还可通过判断多个第一报文中是否存在心跳报文，进一步地确定第一设备是否受到威胁，且受到威胁的等级。本申请实施例中的第二等级的威胁对第一设备的威胁程度比第一等级的威胁对第一设备的威胁程度严重，即第二等级的威胁比第一等级的威胁破坏第一设备的程度严重。

可选的，在本申请的另一种可能的实现方式中，威胁检测装置还检测第一数据流是否被加密。若第一数据流被加密、多个第一报文中未包括心跳报文、且第一设备与第二设备之间的连接方式为反向连接，威胁检测装置确定第一设备受到第一等级的威胁。若第一数据流被加密、多个第一报文中包括心跳报文、且第一设备与第二设备之间的连接方式为反向连接，威胁检测装置确定第一设备受到第三等级的威胁。

反弹端口型木马程序除了具备反向连接和心跳机制的特点以外，还具备数据被加密的特点，因此，威胁检测装置还可通过判断第一数据流是否被加密，进一步地确定第一设备是否受到威胁，且受到威胁的等级。本申请实施例中的第三等级的威胁对第一设备的威胁程度比第二等级的威胁对第一设备的威胁程度严重，即第三等级的威胁比第二等级的威胁破坏第一设备的程度严重。

可选的，在本申请的另一种可能的实现方式中，若第一数据流被加密、且第一设备与第二设备之间的连接方式为反向连接，威胁检测装置确定第一设备受到第一等级的威胁。若第一数据流未被加密、且第一设备与第二设备之间的连接方式为反向连接，威胁检测装置确定第一设备受到第一等级的威胁。

一般的，为了保证数据的安全性，大部分通信数据均会被加密，因此，无论第一数据流是否被加密，在未考虑多个第一报文中是否包括心跳报文的情况下，只要第一设备与第二设备之间的连接方式为反向连接，威胁检测装置即可确定第一设备受到第一等级的威胁。

可选的，在本申请的另一种可能的实现方式中，威胁检测装置根据每个第一报文的时间信息和每个第二报文的时间信息，计算激活率、响应率以及交互次数的方法为：威胁检测装置将多个第一报文的时间信息按照时间先后顺序依次排列，以生成第一时间序列，并将多个第二报文的时间信息按照时间先后顺序依次排列，以生成第二时间序列；威胁检测装置从第一时间序列中选择出N个第一时间信息，并从第二时间序列中选择出M个第二时间信息，其中，N个第一时间信息中的第j个第一时间信息在第一时间序列中，与排列在第j个第一时间信息之前、且与第j个第一时间信息相邻的时间信息之间的时间差大于或等于第四阈值；M个第二时间信息中的第n个第二时间信息在第二时间序列中，与排列在第n个第二时间信息之前、且与第n个第二时间信息相邻的时间信息之间的时间差大于或等于第五阈值；N≥1，M≥1，N≥j≥1,M≥n≥1；威胁检测装置从N个第一时间信息中筛选出X个第三时间信息，对于X个第三时间信息中的第p个第三时间信息，M个第二时间信息中存在一个在第p个第三时间信息之前、且与第p个第三时间信息的时间差小于或等于第六阈值的第二时间信息，其中，N≥X≥1，X≥p≥1；威胁检测装置从M个第二时间信息中筛选出Y个第四时间信息，对于Y个第四时间信息中的第q个第四时间信息，N个第一时间中存在一个在第q个第四时间信息之后、且与第q个第四时间信息的时间差小于或等于第七阈值的第一时间信息，其中，M≥Y≥1，Y≥q≥1；威胁检测装置利用N、M、X以及Y，计算激活率、响应率以及交互次数，激活率等于X除以N得到的值，响应率等于Y除以M得到的值，交互次数等于X与Y之间的最小值。

可选的，在本申请的另一种可能的实现方式中，威胁检测装置根据每个第一报文的时间信息和每个第一报文的大小信息，确定多个第一报文中是否包括心跳报文的方法为：威胁检测装置将多个第一报文中大小信息相同的第一报文划分为一组从而获得至少一组第一报文，根据至少一组第一报文中每组第一报文中每个第一报文的时间信息生成一个对应的时间信息集合，从而获得至少一个时间信息集合；针对至少一个时间信息集合中的第k个时间信息集合，威胁检测装置将第k个时间信息集合所包括的时间信息按照时间先后顺序依次排列生成一个第三时间序列，从而获得至少一个第三时间序列，k≥1；从至少一个第三时间序列中选择出一个第三时间序列，威胁检测装置对选择出的第三时间序列执行下述处理，直到处理完最后一个第三时间序列为止：威胁检测装置获取与选择出的第三时间序列对应的时间间隔序列，选择出的第三时间序列包括Q个时间信息，时间间隔序列包括Q-1个时间间隔，且Q-1个时间间隔中第i个时间间隔的数值等于选择出的第三时间序列中第i+1个时间信息与第i个时间信息之间的时间差，Q≥2，Q-1≥i≥1；威胁检测装置计算时间间隔序列的平稳度；若时间间隔序列的平稳度的数值大于或等于第八阈值，且Q-1大于或等于第九阈值，威胁检测装置确定多个第一报文中包括心跳报文。

可选的，在本申请的另一种可能的实现方式中，对于包括Q-1个时间间隔的时间间隔序列，威胁检测装置计算该时间间隔序列的平稳度的方法为：首先，威胁检测装置计算Q-1个时间间隔的平均值μ和标准差δ；然后，威胁检测装置采用P＝1-δ/μ计算时间间隔序列的平稳度P。

可选的，在本申请的另一种可能的实现方式中，威胁检测装置检测第一数据流是否被加密的方法为：首先，威胁检测装置获取字符集，该字符集包括每个第一报文的净荷所携带的字符；然后，威胁检测装置利用下述公式计算相对熵H：

其中，S为字符集包括的所有字符的数量，C_n为字符集包括的字符n的数量，j>1。具体的，若相对熵H的数值大于或等于第十阈值，威胁检测装置确定第一数据流被加密。

第二方面，提供一种威胁检测装置，该威胁检测装置包括处理单元、接收单元和存储单元。

本申请提供的各个单元模块所实现的功能具体如下：

上述接收单元用于：获取第一设备和第二设备之间的一个传输控制协议TCP会话中的报文，TCP会话的发起端设备为第一设备，第一设备位于受保护网络，第二设备位于另一网络。存储单元用于存储上述接收单元获取到的所述TCP会话中的报文。上述处理单元用于：获取所述存储单元存储的所述TCP会话中的报文的第一数据流和第二数据流，所述第一数据流为从所述第一设备传输到所述第二设备的数据流，所述第二数据流为从所述第二设备传输到所述第一设备的数据流，以及用于获取多个第一报文中每个第一报文的时间信息以及多个第二报文中每个第二报文的时间信息，其中，所述多个第一报文是指所述第一数据流中的报文，所述多个第二报文是指所述第二数据流中的报文。根据获取到的每个第一报文的时间信息和每个第二报文的时间信息，计算激活率、响应率以及交互次数，激活率是指在TCP会话中，第一设备向第二设备发送的数据是由第二设备触发的概率，响应率是指在TCP会话中，第二设备向第一设备发送的数据得到第一设备及时响应的概率，交互次数为在TCP会话中第一设备与第二设备之间交互的次数；若激活率大于或等于第一阈值、响应率大于或等于第二阈值、且交互次数大于或等于第三阈值，确定第一设备与第二设备之间的连接方式为反向连接；若第一设备与第二设备之间的连接方式为反向连接，确定第一设备受到威胁。

可选的，在本申请的一种可能的实现方式中，上述处理单元还用于获取每个第一报文的大小信息。上述处理单元，还用于根据每个第一报文的时间信息和每个第一报文的大小信息，确定多个第一报文中是否包括心跳报文。相应的，上述处理单元具体用于：若多个第一报文中未包括心跳报文、且第一设备与第二设备之间的连接方式为反向连接，确定第一设备受到第一等级的威胁；若多个第一报文中包括心跳报文、且第一设备与第二设备之间的连接方式为反向连接，确定第一设备受到第二等级的威胁。

可选的，在本申请的另一种可能的实现方式中，上述处理单元还用于：检测第一数据流是否被加密。相应的，上述处理单元，具体用于若第一数据流被加密、多个第一报文中未包括心跳报文、且第一设备与第二设备之间的连接方式为反向连接，确定第一设备受到第一等级的威胁；若第一数据流被加密、多个第一报文中包括心跳报文、且第一设备与第二设备之间的连接方式为反向连接，确定第一设备受到第三等级的威胁。

可选的，在本申请的另一种可能的实现方式中，上述处理单元具体用于：将多个第一报文的时间信息按照时间先后顺序依次排列，以生成第一时间序列，并将多个第二报文的时间信息按照时间先后顺序依次排列，以生成第二时间序列；从第一时间序列中选择出N个第一时间信息，并从第二时间序列中选择出M个第二时间信息，其中，N个第一时间信息中的第j个第一时间信息在第一时间序列中，与排列在第j个第一时间信息之前、且与第j个第一时间信息相邻的时间信息之间的时间差大于或等于第四阈值；M个第二时间信息中的第n个第二时间信息在第二时间序列中，与排列在第n个第二时间信息之前、且与第n个第二时间信息相邻的时间信息之间的时间差大于或等于第五阈值；N≥1，M≥1，N≥j≥1,M≥n≥1；从N个第一时间信息中筛选出X个第三时间信息，对于X个第三时间信息中的第p个第三时间信息，M个第二时间信息中存在一个在第p个第三时间信息之前、且与第p个第三时间信息的时间差小于或等于第六阈值的第二时间信息，其中，N≥X≥1，X≥p≥1；从M个第二时间信息中筛选出Y个第四时间信息，对于Y个第四时间信息中的第q个第四时间信息，N个第一时间中存在一个在第q个第四时间信息之后、且与第q个第四时间信息的时间差小于或等于第七阈值的第一时间信息，其中，M≥Y≥1，Y≥q≥1；利用N、M、X以及Y，计算激活率、响应率以及交互次数，激活率等于X除以N得到的值，响应率等于Y除以M得到的值，交互次数等于X与Y之间的最小值。

可选的，在本申请的另一种可能的实现方式中，上述处理单元具体用于：将多个第一报文中大小信息相同的第一报文划分为一组从而获得至少一组第一报文，根据至少一组第一报文中每组第一报文中每个第一报文的时间信息生成一个对应的时间信息集合，从而获得至少一个时间信息集合；针对至少一个时间信息集合中的第k个时间信息集合，将第k个时间信息集合所包括的时间信息按照时间先后顺序依次排列生成一个第三时间序列，从而获得至少一个第三时间序列，k≥1；从至少一个第三时间序列中选择出一个第三时间序列，对选择出的第三时间序列执行下述处理，直到处理完最后一个第三时间序列为止：获取与选择出的第三时间序列对应的时间间隔序列，选择出的第三时间序列包括Q个时间信息，时间间隔序列包括Q-1个时间间隔，且Q-1个时间间隔中第i个时间间隔的数值等于选择出的第三时间序列中第i+1个时间信息与第i个时间信息之间的时间差，Q≥2，Q-1≥i≥1；计算时间间隔序列的平稳度；若时间间隔序列的平稳度的数值大于或等于第八阈值，且Q-1大于或等于第九阈值，确定多个第一报文中包括心跳报文。

可选的，在本申请的另一种可能的实现方式中，上述处理单元具体用于：计算Q-1个时间间隔的平均值μ和标准差δ；采用P＝1-δ/μ计算时间间隔序列的平稳度P。

可选的，在本申请的另一种可能的实现方式中，上述处理单元具体用于：获取字符集，字符集包括每个第一报文的净荷所携带的字符；利用下述公式计算相对熵H：

其中，S为字符集包括的所有字符的数量，C_n为字符集包括的字符n的数量，j>1；若相对熵H的数值大于或等于第十阈值，确定第一数据流被加密。

第三方面，提供一种威胁检测装置，该威胁检测装置包括处理器、存储器和通信接口。其中，存储器用于存储计算机程序代码，计算机程序代码包括指令，处理器、通信接口与存储器通过总线连接，当威胁检测装置运行时，处理器执行存储器存储的指令，以使威胁检测装置执行如上述第一方面及其各种可能的实现方式所述的威胁检测方法。

第四方面，还提供一种计算机可读存储介质，该计算机可读存储介质中存储有指令；当其在威胁检测装置上运行时，使得威胁检测装置执行如上述第一方面及其各种可能的实现方式的威胁检测方法。

第五方面，还提供一种包含指令的计算机程序产品，当其在威胁检测装置上运行时，使得威胁检测装置执行如上述第一方面及其各种可能的实现方式的威胁检测方法。

在本申请中，上述威胁检测装置的名字对设备或功能模块本身不构成限定，在实际实现中，这些设备或功能模块可以以其他名称出现。只要各个设备或功能模块的功能和本申请类似，属于本申请权利要求及其等同技术的范围之内。

本申请中第二方面、第三方面、第四方面、第五方面及其各种实现方式的具体描述，可以参考第一方面及其各种实现方式中的详细描述；并且，第二方面、第三方面、第四方面、第五方面及其各种实现方式的有益效果，可以参考第一方面及其各种实现方式中的有益效果分析，此处不再赘述。

本申请的这些方面或其他方面在以下的描述中会更加简明易懂。

附图说明

图1为现有的网络系统的结构示意图；

图2为本申请实施例提供的网络系统的结构示意图；

图3为本申请实施例中威胁检测装置的硬件结构示意图；

图4为本申请实施例中反弹端口型木马程序的运行流程示意图；

图5为本申请实施例提供的威胁检测方法的流程示意图一；

图6为本申请实施例提供的威胁检测的方法的流程示意图二；

图7为本申请实施例提供的威胁检测的方法的流程示意图三；

图8为本申请实施例提供的威胁检测装置的结构示意图一。

具体实施方式

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行详细地描述。

本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”和“第四”等是用于区别不同对象，而不是用于限定特定顺序。

在本申请实施例中，“示例性的”或者“例如”等词用于表示作例子、例证或说明。本申请实施例中被描述为“示例性的”或者“例如”的任何实施例或设计方案不应被解释为比其它实施例或设计方案更优选或更具优势。确切而言，使用“示例性的”或者“例如”等词旨在以具体方式呈现相关概念。

一般的，木马程序包括服务端程序和客户端程序。本申请实施例将安装了服务端程序的被控制的主机称为被控端设备，本申请实施例将攻击者使用的控制主机称为控制端设备，控制端设备安装有客户端程序。对于传统的木马程序，安装在被控端设备上的服务端程序运行后，采用邮件或者其他方式向安装有客户端程序的控制端设备发送通知，并在被控端设备打开一个网络端口监听控制端设备的连接。控制端设备在接收到被控端设备发送的通知后，运行客户端程序，并向被控端设备发送连接请求。如此，被控端设备与控制端设备之间建立连接，攻击者可获得被控端设备的计算机系统的访问权限。这样，被控端设备的计算机系统和文件等信息的安全性就会受到威胁。

目前，大部分企业通过防火墙保护企业的内部网络(也称为私网)。企业的内部网络可以被视为受保护网络。防火墙能够有效的过滤访问受保护网络中主机的非标准端口的数据包，将非法连接拦截在防火墙外。因此，防火墙可有效的拦截传统木马程序，降低传统木马程序对被控端设备的计算机系统和文件等信息的威胁。

为逃避防火墙的阻断，攻击者发展出了反弹端口型木马程序。与传统的木马程序不同，反弹端口型木马程序中的服务端程序通过某一标准的网络通信端口主动连接客户端程序，这种连接方式会造成防火墙误认为该连接是一个正常的网络连接而放行。这样，被控端设备的计算机系统和文件等信息的安全性就会受到威胁。

示例性的，图1为反弹端口型木马程序攻击过程的示意图。如图1所示，企业的内部网络中包括至少一个终端设备和邮件服务器，且该内部网络受到防火墙的保护。攻击者使用控制端设备采用下述方法控制内部网络中的某一终端设备，其中，控制端设备安装有反弹端口型木马程序中的客户端程序，且该控制端设备位于外部网络(也称为公网)。为了简明起见，本申请下文中提及的服务端程序是指反弹端口型木马程序中的服务端程序，客户端程序是指反弹端口型木马程序中的客户端程序。

1、攻击者使用控制端设备通过发送邮件的方式，将服务端程序发送到内部网络的邮件服务器中。

2、内部网络的工作人员在使用终端设备打开携带有服务端程序的邮件后，从邮件服务器中下载服务端程序，此时，已下载到终端设备中的服务端程序被激活。该终端设备成为被控端设备。

3、被控端设备中服务端程序主动访问控制端设备中某一标准的网络通信端口，例如提供网页服务的80端口、提供文件服务器的21端口等等，主动连接客户端程序，并等待客户端程序下发指令。也就是说，被控端设备主动向控制端设备发送连接请求。

防火墙通常只对外部网络主动对受保护网络中主机的非标准端口发起的访问进行阻断。为了不影响受保护网络中用户的正常网络访问行为，防火墙并不对受保护网络中主机对外部网络中的主机的访问请求，尤其是不对受保护网络中主机对外部网络中的主机的标准端口的访问请求进行阻断。因此步骤3中服务端程序发起的连接被防火墙视为正常的网络连接。

4、由于步骤3中的连接为正常的网络连接，因此，防火墙可将上述连接建立后，控制端设备发送的控制指令转发给被控端设备。这样，攻击者即可实现对被控端设备的控制。

需要说明的是，企业的内部网络中，在终端设备与邮件服务器之间还存在若干网络设备，例如路由器、交换机等、终端设备与防火墙之间也存在若干网络设备。为了便于理解，图1中并未示出这些网络设备。

现有技术中主要采用某一杀毒软件来检测反弹端口型木马程序，以预防反弹端口型木马程序对被控端设备的计算机系统和文件等信息的安全性受到威胁。但是，现有的杀毒软件只能够检测出某些已知的反弹端口型木马程序或者具备特定特点的反弹端口型木马程序，而无法及时检测到最新出现的新类型的反弹端口型木马程序，这样，被控端设备的计算机系统和文件等信息的安全性可能受到威胁。简单的说，现有技术无法有效的检测反弹端口型木马程序。

针对上述问题，本申请实施例提供一种威胁检测方法，在第一设备位于受保护网络，第二设备位于另一网络，且第一设备主动发起某一TCP会话的场景中，威胁检测装置通过获取并分析该TCP会话中从第一设备传输到第二设备的第一数据流中每个第一报文的时间信息，以及获取并分析该TCP会话中从第二设备传输到第一设备的第二数据流中每个第二报文的时间信息，确定第一设备与第二设备之间的连接方式，在威胁检测装置确定第一设备与第二设备之间的连接方式为反向连接时，威胁检测装置确定第一设备受到威胁。由于反弹端口型木马程序最基本的特点就是控制端设备与被控端设备之间的连接方式为反向连接，因此，不论是对于哪一类型的反弹端口型木马程序，本申请实施例中的威胁检测装置均可及时检测到，有效的提高了被控端设备的计算机系统和文件等信息的安全性。

本申请实施例提供的威胁检测方法应用于网络系统。图2是本申请实施例提供的网络系统的结构示意图。参见图2，该网络系统包括位于公网中的控制端设备20、位于受保护网络中的至少一个终端设备21和威胁检测设备，该威胁检测装置可以为网络设备23，也可以是网络设备24。可选的，该网络系统还包括防火墙设备22，该防火墙设备22保护受保护网络内的设备不受木马程序的威胁。每个终端设备21均通过防火墙22与控制端设备20连接。其中，每个终端设备21与防火墙22之间还存在若干网络设备，例如路由器、交换机等，为了便于理解，图2中用网络设备23表示。由于防火墙22为可选的，因此，图2中用虚线表示。

结合图1，受保护网络可以是图1中的企业的内部网络，公网可以是图1中的外部网络。

控制端设备20和终端设备21均可以是无线终端，也可以是有线终端。无线终端可以是指向用户提供语音和/或数据连通性的设备，具有无线连接功能的手持式设备、或连接到无线调制解调器的其他处理设备。无线终端可以是移动终端，如移动电话(或称为“蜂窝”电话)和具有移动终端的计算机，也可以是便携式、袖珍式、手持式、计算机内置的移动装置。

示例性的，在本申请实施例中，图2所示的控制端设备20和终端设备21为通用计算机设备。

本申请实施例中的威胁检测装置可以是任一具备大数据分析功能、且存储空间较大的通用计算机设备，该设备具有网络接口。威胁检测装置可以图2中的网络设备23，也可以为图2中与网络设备23连接的网络设备24，本申请实施例对此不作具体限定。

需要说明的是，威胁检测装置可以归属于受保护网络，也可以归属于公网，本申请实施例对此不作具体限定。为了便于理解，图2中示出的网络设备24也归属于受保护网络。

下面结合图3，具体介绍本申请实施例中的威胁检测装置的各个构成部件。

如图3所示，威胁检测装置包括：通信接口30、处理器31、存储器32。其中，通信接口30、处理器31与存储器32之间通过系统总线33连接，并完成相互间通信。

通信接口30用于与其他设备通信，例如获得镜像流量数据。如果威胁检测装置是附图2中的网络设备24，那么镜像流量数据来自于附图2中的网络设备23。镜像流量中包含分别属于受保护网络和公网的两个设备之间的一个TCP会话中的报文。该TCP会话中包含方向不同的第一数据流和第二数据流。第一数据流中包含的报文是第一报文。第二数据流中包含的报文是第二报文。

存储器32可用于存储多个第一报文中每个第一报文的时间信息和多个第二报文中每个第二报文的时间信息，也可以用于存储软件程序以及应用模块，处理器31通过运行存储在存储器32的软件程序以及应用模块，从而执行威胁检测装置的各种功能应用以及数据处理。

存储器32可主要包括存储程序区320和存储数据区321，其中，存储程序区320可存储操作系统、至少一个功能所需的应用程序，比如检测第一设备与第二设备之间的连接方式等；存储数据区321可存储多个第一报文中每个第一报文的时间信息和多个第二报文中每个第二报文的时间信息。在本申请实施方式中，所述操作系统可以为Windows操作系统，也可以是Vxworks这类的嵌入式操作系统。

在本申请实施例中，存储器32可以包括易失性存储器，例如非挥发性动态随机存取内存(Nonvolatile Random Access Memory，NVRAM)、相变化随机存取内存(PhaseChange RAM，PRAM)、磁阻式随机存取内存(Magnetic Random Access Memory，MRAM)等；存储器32还可以包括非易失性存储器，例如至少一个磁盘存储器件、电子可擦除可编程只读存储器(Electrically Erasable Programmable Read-Only Memory，EEPROM)、闪存器件，例如反或闪存(NOR flash memory)或是反及闪存(NAND flash memory)。非易失存储器储存处理器31所执行的操作系统及应用程序。处理器31从非易失存储器加载运行程序与数据到内存并将数据内容储存于大量储存装置中。

存储器32可以是独立存在，通过系统总线33与处理器31相连接。存储器32也可以和处理器31集成在一起。

处理器31是威胁检测装置的控制中心。处理器31利用各种接口和线路连接整个威胁检测装置的各个部分，通过运行或执行存储在存储器32内的软件程序和/或应用模块，以及调用存储在存储器32内的数据，执行威胁检测装置的各种功能和处理数据，从而对威胁检测装置整体监控。

处理器31可以仅包括中央处理器(Central Processing Unit，CPU)，也可以是CPU、数字信号处理器(Digital Signal Processor，DSP)以及通信单元中的控制芯片的组合。在本申请实施方式中，CPU可以是单运算核心，也可以包括多运算核心。在具体实现中，作为一种实施例，处理器31可以包括一个或多个CPU，例如图3中的处理器31包括CPU 0和CPU 1。

系统总线33可以是工业标准体系结构(Industry Standard Architecture，ISA)总线、外部设备互连(Peripheral Component Interconnect，PCI)总线或扩展工业标准体系结构(Extended Industry Standard Architecture，EISA)总线等。该系统总线33可以分为地址总线、数据总线、控制总线等。本申请实施例中为了清楚说明，在图3中将各种总线都示意为系统总线33。

为了方便理解本申请实施例，在此分析对反弹端口型木马程序的特点。

结合图1，图4简单示出了反弹端口型木马程序的工作流程。在客户端程序与服务端程序的连接过程中，由于防火墙的限制，客户端程序无法正常的主动与服务端程序连接，因此，服务端程序主动连接客户端程序。在二者连接完成后，被控端设备与控制端设备之间的通信具备下述特点：

1、反向连接

如图4所示，被控端设备与控制端设备正常通信后，二者均处于静默期，静默期是指在预设时长内未传输报文，例如该预设时长为5秒或者7秒。控制端设备在静默期后，会主动向被控端设备发送数据。这种情况为客户端程序主动向服务端程序发送指令，以通知服务端程序执行相关动作，此时，服务端程序有应答，即被控端设备向控制端设备发送响应。

被控端设备发起了控制端设备与被控端设备之间的会话，但是，控制端设备向被控端设备主动发送指令，且被控端设备在接收到该指令后，向控制端设备发送响应的过程为反向连接。

其中，反向连接为反弹端口型木马程序的最基本的特点。

2、心跳机制

如图4所示，为了保持被控端设备与控制端设备之间的所有设备的会话的存活，服务端程序需要周期性发送心跳报文，且每个心跳报文的大小相同。

3、数据被加密

服务端程序在接收到客户端程序发送的指令后，会向客户端程度发送某些重要数据。为了避免审计，服务端程序将待发送数据加密或重新编码，然后发送加密或重新编码后的待发送数据。

图5是本申请实施例提供的威胁检测方法的流程示意图，该威胁检测方法可以应用在图2所示的网络系统中。本申请实施例中提及到的第一设备可以视为图2中的终端设备21，第二设备可以视为图2中的控制端设备20。

参见图5，该威胁检测方法包括：

S500、威胁检测装置获取第一设备和第二设备之间的TCP会话中的第一数据流和第二数据流。在本申请中，数据流是指从一个源计算机向一个目的方发送的一系列报文。目的方可以是另一个计算机，一个多播组或者一个广播域。关于数据流的定义请参考相关技术标准，示例性地，如征求意见稿(英语：Request For Comments，RFC)2722，RFC 3697等等。

其中，TCP会话的发起端设备为第一设备，第一设备位于受保护网络，第二设备位于另一网络。第一数据流为从第一设备传输到第二设备的数据流，第二数据流为从第二设备传输到第一设备的数据流。

S501、威胁检测装置获取多个第一报文中每个第一报文的时间信息和多个第二报文中每个第二报文的时间信息。

多个第一报文是指第一数据流中的报文，多个第二报文是指第二数据流中的报文。

S502、威胁检测装置根据每个第一报文的时间信息和每个第二报文的时间信息，计算激活率、响应率以及交互次数。

激活率是指在上述TCP会话中第一设备向第二设备发送的数据是由第二设备触发的概率，响应率是指在上述TCP会话中第二设备向第一设备发送的数据得到第一设备及时响应的概率，交互次数为在上述TCP会话中第一设备与第二设备之间交互的次数。

S503、若激活率大于或等于第一阈值、响应率大于或等于第二阈值、且交互次数大于或等于第三阈值，威胁检测装置确定第一设备与第二设备之间的连接方式为反向连接。

S504、若第一设备与第二设备之间的连接方式为反向连接，威胁检测装置确定第一设备受到威胁。

S505、若未满足S503所提及的任一条件，威胁检测装置确定第一设备与第二设备之间的连接方式为正常连接。

S506、若第一设备与第二设备之间的连接方式为正常连接，威胁检测装置确定第一设备未受到反弹端口型木马程序的威胁。

结合图2，本申请实施例中的威胁检测装置可以为网络设备23，也可以是网络设备24。

在本申请实施例中，威胁检测装置通过分析第一设备与第二设备之间传输的数据流，进而确定第一设备是否受到威胁。具体的，威胁检测装置先获取第一设备和第二设备之间的TCP会话中的第一数据流和第二数据流，便于后续分析，即执行S500。

若威胁检测装置为网络设备23，则威胁检测装置在监测到第一数据流时，对该第一数据流镜像，以获取第一数据流，并在监测到第二数据流时，对该第二数据流镜像，以获取第二数据流。

若威胁检测装置为网络设备24，则网络设备23在监测到第一数据流时，对该第一数据流镜像，并向威胁检测装置发送对第一数据流镜像后的镜像数据流，这样，威胁检测装置可获取到第一数据流。同理，网络设备23在监测到第二数据流时，对该第二数据流镜像，并向威胁检测装置发送对第二数据流镜像后的镜像数据流，这样，威胁检测装置可获取到第二数据流。

容易理解的是，若第一设备与第二设备之间的通信时长较短，可以理解为二者之间的通信时长小于预设时长，则威胁检测装置获取到的第一数据流可以为从第一设备传输到第二设备的完整数据流，相应的，威胁检测装置获取到的第二数据流可以为从第二设备传输到第一设备的完整数据流。

相反，若第一设备与第二设备之间的通信时长较长，可以理解为二者之间的通信时长大于或等于预设时长，则威胁检测装置获取到的第一数据流可以为从第一设备传输到第二设备的完整数据流的其中一部分，相应的，威胁检测装置获取到的第二数据流可以为从第二设备传输到第一设备的完整数据流的其中一部分。本申请实施例对此不作具体限定。

威胁检测装置在获取到第一数据流和第二数据流之后，分析第一数据流中的第一报文和第二数据流中的第二报文。

第一数据流包括多个第一报文，第二数据流包括多个第二报文。本申请实施例中的威胁检测装置可以分析第一数据流中所有的第一报文，也可以按照某一选取规则从第一数据流的所有第一报文中选取一部分第一报文，并分析选取出的第一报文。同理，威胁检测装置可以分析第二数据流中所有的第二报文，也可以按照某一选取规则从第二数据流的所有第二报文中选取一部分第二报文。并分析选取出的第二报文。

可以看出，无论威胁检测装置采用上述哪种方式获取第一报文或第二报文，威胁检测装置均可以获取到多个报文，并分析获取到的每个报文。

具体的，威胁检测装置获取多个第一报文中每个第一报文的时间信息和多个第二报文中每个第二报文的时间信息，即执行S501。

每个第一报文的时间信息用于表示上述网络设备23对该第一报文镜像处理的时间，每个第二报文的时间信息用于表示上述网络设备23对该第二报文镜像处理的时间。

由于第一数据流为从第一设备传输到第二设备的数据流，第二数据流为从第二设备传输到第一设备的数据流，因此，威胁检测装置通过分析其获取到的每个第一报文的时间信息和每个第二报文的时间信息，可以计算出激活率、响应率以及交互次数，进而根据计算出的激活率、响应率以及交互次数确定出第一设备是否属于被控端设备。也就是说，威胁检测装置根据每个第一报文的时间信息和每个第二报文的时间信息，计算激活率、响应率以及交互次数，执行S502。

具体的，威胁检测装置可以通过S502a-S502d确定第一设备与第二设备之间的连接方式。S502a-S502d的具体流程如下：

S502a、威胁检测装置将多个第一报文的时间信息按照时间先后顺序依次排列，以生成第一时间序列，并将多个第二报文的时间信息按照时间先后顺序依次排列，以生成第二时间序列。

S502b、威胁检测装置从第一时间序列中选择出N个第一时间信息，并从第二时间序列中选择出M个第二时间信息，N≥1，M≥1。

其中，N个第一时间信息中的第j个第一时间信息在第一时间序列中，与排列在第j个第一时间信息之前、且与第j个第一时间信息相邻的时间信息之间的时间差大于或等于第四阈值，N≥j≥1。M个第二时间信息中的第n个第二时间信息在第二时间序列中，与排列在第n个第二时间信息之前、且与第n个第二时间信息相邻的时间信息之间的时间差大于或等于第五阈值，M≥n≥1。

示例性的，第一时间序列为{t1、t2、……、tn}，若t2与t1之间的时间差大于或等于第四阈值，则t2为第一时间序列中的第一时间信息。同理，第二时间序列为{t1'、t2'、……、tn'}，若t2'与t1'之间的时间差大于或等于第五阈值，则t2'为第二时间序列中的第二时间信息。

本申请实施例对第四阈值和第五阈值的具体数值均不限定。

S502c、威胁检测装置从N个第一时间信息中筛选出X个第三时间信息，并从M个第二时间信息中筛选出Y个第四时间信息，N≥X≥1，M≥Y≥1。

其中，对于X个第三时间信息中的第p个第三时间信息，M个第二时间信息中存在一个在第p个第三时间信息之前、且与第p个第三时间信息的时间差小于或等于第六阈值的第二时间信息，N≥X≥1，X≥p≥1。对于Y个第四时间信息中的第q个第四时间信息，N个第一时间中存在一个在第q个第四时间信息之后、且与第q个第四时间信息的时间差小于或等于第七阈值的第一时间信息，M≥Y≥1，Y≥q≥1。

示例性的，N个第一时间信息为{t1、t2、……、tN}，M个第二时间信息为{t1'、t2'、……、tM'}，若t1'早于t1，且t1'与t1的时间差小于或等于第六阈值，则t1为第三时间信息。若t2晚于t2'，且t2'与t2的时间差小于或等于第七阈值，则t2'为第四时间信息。

容易理解的是，t1所表示的第一报文是由t1'所表示的第二报文触发传输的。因此，威胁检测装置可以认为此次通信为第二设备向第一设备发送指令，且第一设备根据该指令向第二设备发送相关数据的过程。

结合上述描述，可以理解为，第三时间信息所表示的报文是被某一第二时间信息所表示的报文激活的，第四时间信息所表示的报文得到了某一第一时间信息所表示的报文的响应。

S502d、威胁检测装置利用N、M、X以及Y，计算激活率、响应率以及交互次数。

具体的，威胁检测装置利用X除以N计算得到激活率，Y除以M计算得到响应率，并确定出第一设备与第二设备之间的交互次数为min(X，Y)，min(X，Y)表示X和Y之间的最小值。

威胁检测装置在计算出激活率、响应率以及交互次数后，根据计算出的激活率、响应率以及交互次数确定第一设备与第二设备之间的连接方式。

具体的，若激活率大于或等于第一阈值、响应率大于或等于第二阈值、且交互次数大于或等于第三阈值，则威胁检测装置确定第一设备与第二设备之间的连接方式为反向连接，即执行S503。

由于激活率是指在TCP会话中第一设备向第二设备发送的数据是由第二设备触发的概率，响应率是指在TCP会话中第二设备向第一设备发送的数据得到第一设备及时响应的概率，交互次数为在TCP会话中第一设备与第二设备之间交互的次数，因此，在激活率大于或等于第一阈值、响应率大于或等于第二阈值、且交互次数大于或等于第三阈值的情况下，可以确定出第一设备与第二设备之间频繁交互，且二者之间的交互是由第二设备主动触发，且在第二设备向第一设备发送数据后，第一设备向第二设备发送相应的响应，符合反向连接的特点，因此，在这种情况下，威胁检测装置确定第一设备与第二设备之间的连接方式为反向连接。

结合上述描述可知，反向连接为反弹端口型木马程序的最基本的特点。因此，若威胁检测装置确定第一设备与第二设备之间的连接方式为反向连接，则该威胁检测装置可初步确定第一设备受到威胁，即执行S504。

相应的，若未满足下述任一条件，威胁检测装置确定第一设备与第二设备之间的连接方式为正常连接，这里提到的条件为：激活率大于或等于第一阈值、响应率大于或等于第二阈值、交互次数大于或等于第三阈值。在威胁检测装置确定第一设备与第二设备之间的连接方式为正常连接的情况下，威胁检测装置确定第一设备未受到反弹端口型木马程序的威胁，即执行S505和S506。

本申请实施例中的威胁检测装置在确定出第一设备与第二设备之间的连接方式为反向连接时，确定第一设备受到威胁。因此，不论是对于哪一类型的反弹端口型木马程序，威胁检测装置均可及时检测到，这样，网络管理人员可及时预防被控端设备的计算机系统和文件等信息受到威胁，有效的提高了第一设备的计算机系统和文件等信息的安全性。

从前面描述可知，反弹端口型木马程序还存在心跳机制这一特点，因此，本申请实施例中的威胁检测装置还可以通过判断多个第一报文中是否包括心跳报文，以确定第一设备受到威胁的等级。

具体的，结合图5，如图6所示，本申请实施例提供的威胁检测方法在S500之后，还包括：

S600、威胁检测装置获取多个第一报文中每个第一报文的大小信息。

S601、威胁检测装置根据每个第一报文的时间信息和每个第一报文的大小信息，确定多个第一报文中是否包括心跳报文。

S602、若多个第一报文中未包括心跳报文、且第一设备与第二设备之间的连接方式为反向连接，威胁检测装置确定第一设备受到第一等级的威胁。

S603、若多个第一报文中包括心跳报文、且第一设备与第二设备之间的连接方式为反向连接，威胁检测装置确定第一设备受到第二等级的威胁。

从前面描述可知，被控端设备是周期性向控制端设备发送心跳报文，且每个心跳报文的大小相同。因此，本申请实施例中的威胁检测装置通过分析每个第一报文的时间信息和每个第一报文的大小信息，可确定出多个第一报文中是否包括心跳报文。

具体的，威胁检测装置在获取到第一数据流之后，获取第一数据流的多个第一报文中每个第一报文的大小信息，即执行S600。

需要说明的是，本申请实施例中的威胁检测装置可以先执行S501，再执行S600，也可以先执行S600，再执行S501，还可以同时执行S501和S600，本申请实施例对此不作具体限定。

在威胁检测装置获取到每个第一报文的时间信息和每个第一报文的大小信息后，威胁检测装置根据其获取到的时间信息和大小信息，确定多个第一报文中是否包括心跳报文，即执行S601。

具体的，威胁检测装置可以通过S601a-S601c确定多个第一报文中是否包括心跳报文。S601a-S601c的具体流程如下：

S601a、威胁检测装置将多个第一报文中大小信息相同的第一报文划分为一组从而获得至少一组第一报文，并根据至少一组第一报文中每组第一报文中的每个第一报文的时间信息生成一个对应的时间信息集合，从而获得至少一个时间信息集合。

S601b、针对至少一个时间信息集合中的第k个时间信息集合，威胁检测装置将第k个时间信息集合所包括的时间信息按照时间先后顺序依次排列生成一个第三时间序列，从而获得至少一个第三时间序列，k≥1。

S601c、威胁检测装置从至少一个第三时间序列中选择出一个第三时间序列，并对选择出的第三时间序列执行下述处理，直到处理完最后一个第三时间序列为止：首先，威胁检测装置获取与选择出的第三时间序列对应的时间间隔序列，选择出的第三时间序列包括Q个时间信息，时间间隔序列包括Q-1个时间间隔，且Q-1个时间间隔中第i个时间间隔的数值等于选择出的第三时间序列中第i+1个时间信息与第i个时间信息之间的时间差，Q≥2，Q-1≥i≥1；然后，威胁检测装置计算该时间间隔序列的平稳度；若时间间隔序列的平稳度的数值大于或等于第八阈值，且Q-1大于或等于第九阈值，威胁检测装置确定多个第一报文中包括心跳报文。

具体的，对于包括Q-1个时间间隔的时间间隔序列，威胁检测装置计算Q-1个时间间隔的平均值μ和标准差δ，并采用P＝1-δ/μ计算时间间隔序列的平稳度P。

可以理解的是，某一时间间隔序列的平稳度的数值大于或等于第八阈值，且该时间间隔序列包括的时间间隔的数量大于或等于第九阈值，符合前面描述的心跳机制这一特点。因此，若某一时间间隔序列的平稳度的数值大于或等于第八阈值，且该时间间隔序列包括的时间间隔的数量大于或等于第九阈值，则说明与该时间间隔序列对应的报文属于心跳报文，也就说明多个第一报文中包括心跳报文。

具体的，威胁检测装置可根据第一设备与第二设备之间的连接方式以及多个第一报文中是否包括心跳报文的结果，确定第一设备受到威胁的等级。若多个第一报文中未包括心跳报文、且第一设备与第二设备之间的连接方式为反向连接，威胁检测装置确定第一设备受到第一等级的威胁，即执行S602。若多个第一报文中包括心跳报文、且第一设备与第二设备之间的连接方式为反向连接，威胁检测装置确定第一设备受到第二等级的威胁，即执行S603。此外，不论多个第一报文是否包括心跳报文，若第一设备与第二设备之间的连接方式为正常连接，威胁检测装置即可确定第一设备未受到反弹端口型木马程序的威胁。

这里，第二等级的威胁对第一设备造成的威胁程度比第一等级的威胁对第一设备造成的威胁程度严重，即第二等级的威胁比第一等级的威胁破坏第一设备的程度严重。第一等级的威胁可以为低级别威胁或轻度威胁，第二等级可以为中级别威胁或者中度威胁。

此外，反弹端口型木马程序还存在数据被加密的特点，因此，本申请实施例中的威胁检测装置在上述方法的基础上，还可以通过判断第一数据流是否被加密，以进一步确定第一设备受到威胁的等级。

具体的，结合图6，如图7所示，本申请实施例提供的威胁监测方法在S500之后，还包括：

S700、威胁检测装置检测第一数据流是否被加密。

本申请实施例中的威胁检测装置可以先执行S501，再执行S700，也可以先执行S700，再执行S501，还可以同时执行S501和S700，本申请实施例对此不作具体限定。

同理，本申请实施例中的威胁检测装置可以先执行S600，再执行S700，也可以先执行S700，再执行S600，还可以同时执行S600和S700，本申请实施例对此不作具体限定。

具体的，威胁检测装置在获取到第一数据流后，获取第一数据流的多个第一报文中每个第一报文的净荷所携带的字符，以生成字符集。

从前面描述可知，本申请实施例中的第一数据流为TCP会话的数据流，因此，每个第一报文的净荷是指该第一报文中除TCP包头以外的数据。

示例性的，若第一数据流包括第一报文1和第一报文2，第一报文1的净荷所携带的字符为A、B和C，第一报文2的净荷所携带的字符为B、C和D，则威胁检测装置根据第一报文1的净荷所携带的字符和第一报文2的净荷所携带的字符生成的字符集为{A、B、C、B、C、D}。

在生成字符集之后，威胁检测装置利用下述公式计算相对熵H：

其中，S为字符集包括的所有字符的数量，C_n为字符集包括的字符n的数量，j>1。

若相对熵H的数值大于或等于第十阈值，威胁检测装置确定第一数据流被加密。

具体的，威胁检测装置可根据第一设备与第二设备之间的连接方式、多个第一报文中是否包括心跳报文的结果以及第一数据流是否被加密的检测结果，确定第一设备受到威胁的等级。如图7所示，本申请实施例提供的威胁检测方法还包括：

S701、若第一数据流被加密、多个第一报文中未包括心跳报文、且第一设备与第二设备之间的连接方式为反向连接，威胁检测装置确定第一设备受到第一等级的威胁。

从前面描述可知，威胁检测装置在确定第一设备与第二设备之间的连接方式为反向连接时，该威胁检测装置确定第一设备受到第一等级的威胁。

一般的，为了保证数据的安全性，大部分通信数据均会被加密，因此，在第一数据流被加密、多个第一报文中未包括心跳报文、且第一设备与第二设备之间的连接方式为反向连接时，威胁检测装置依然确定第一设备受到第一等级的威胁。

可选的，威胁检测装置可以在确定出第一设备与第二设备之间的连接方式为反向连接，并确定第一数据流被加密后，未检测多个第一报文中是否包括心跳报文之前，确定第一设备受到第一等级的威胁。

S702、若第一数据流被加密、多个第一报文中包括心跳报文、且第一设备与第二设备之间的连接方式为反向连接，威胁检测装置确定第一设备受到第三等级的威胁。

在第一数据流被加密、多个第一报文中包括心跳报文、且第一设备与第二设备之间的连接方式为反向连接的情况下，第一数据流符合反弹端口型木马程序的所有特点，因此，威胁检测装置确定第一设备受到第三等级的威胁。

这里，第三等级的威胁对第一设备造成的威胁程度比第二等级的威胁对第一设备造成的威胁程度严重，即第三等级的威胁比第二等级的威胁破坏第一设备的程度严重。第三等级的威胁可以为高级别威胁或重度威胁。

此外，由于反向连接为反弹端口型木马程序最基本的特点，因此，在威胁检测装置确定第一设备与第二设备之间的连接方式为正常连接的场景中，即使威胁检测装置确定出多个第一报文中包括心跳报文、且第一数据流被加密，威胁检测装置也可确定第一设备不会受到威胁。

综上所述，利用反弹端口型木马程序的特点，本申请实施例中的威胁检测装置分析第一数据流和第二数据流，可及时确定出第一设备是否受到反弹端口型木马程序的威胁，并且确定出受到威胁的等级。第一设备为被控端设备，因此，本申请实施例能够有效的提高被控端设备的计算机系统和文件等信息的安全性。

本申请实施例提供一种威胁检测装置，该威胁检测装置用于执行以上方法实施例中的威胁检测装置所执行的步骤。本申请实施例提供的威胁检测装置可以包括相应步骤所对应的模块。

本申请实施例可以根据上述方法示例对威胁检测装置进行功能模块的划分，例如，可以对应各个功能划分各个功能模块，也可以将两个或两个以上的功能集成在一个处理模块中。上述集成的模块既可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。本申请实施例中对模块的划分是示意性的，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式。

在采用对应各个功能划分各个功能模块的情况下，图8示出了上述实施例中所涉及的威胁检测装置的一种可能的结构示意图。如图8所示，威胁检测装置包括接收单元80、存储单元81以及处理单元82。接收单元80用于支持该威胁检测装置执行上述图5-图7中任附图所示实施例中的从网络中获取第一设备和第二设备之间的TCP会话中的报文。

存储单元81用于存储TCP会话中的报文，还可以用于存储该威胁检测装置的程序代码和数据。处理单元82用于支持该威胁检测装置执行上述图5所示实施例中的S500-S506，以及执行上述图6所示实施例中的S600-S603，以及还执行上述图7所示实施例中的S700-S702。其中，上述方法实施例涉及的各步骤的所有相关内容均可以援引到对应功能模块的功能描述，在此不再赘述。其中，该威胁检测装置还可以包括输出单元83，输出单元83用于输出所述处理单元82确定所述第一设备是否受到威胁的结果，以供管理人员参考。

在硬件实现上，上述接收单元80可以为上述图3中的通信接口30，上述存储单元81可以是上述图3中的存储器32。上述处理单元82可以为上述图3中的处理器31。输出单元83可以是显示器、打印机等等。此处不再进行详细赘述。

相应的，本发明实施例还提供一种计算机可读存储介质，计算机可读存储介质中存储有指令，当其在威胁检测装置上运行时，使得威胁检测装置执行上述图5-图7中任一附图所示的方法实施例所示的方法流程中威胁检测装置执行的各个步骤。

在上述实施例中，可以全部或部分的通过软件，硬件，固件或者其任意组合来实现。当使用软件程序实现时，可以全部或部分地以计算机程序产品的形式出现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时，全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。该可用介质可以是磁性介质，(例如，软盘，硬盘、磁带)、光介质(例如，DVD)或者半导体介质(例如固态硬盘Solid State Disk(SSD))等。

通过以上的实施方式的描述，所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，仅以上述各功能模块的划分进行举例说明，实际应用中，可以根据需要而将上述功能分配由不同的功能模块完成，即将装置的内部结构划分成不同的功能模块，以完成以上描述的全部或者部分功能。上述描述的系统，装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本申请各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。

所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)或处理器执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：快闪存储器、移动硬盘、只读存储器、随机存取存储器、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述，仅为本申请的具体实施方式，但本申请的保护范围并不局限于此，任何在本申请揭露的技术范围内的变化或替换，都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应以所述权利要求的保护范围为准。

Claims (14)

1.一种威胁检测方法，其特征在于，包括：

威胁检测装置获取第一设备和第二设备之间的一个传输控制协议TCP会话中的报文，所述TCP会话的发起端设备为所述第一设备，所述第一设备位于受保护网络，所述第二设备位于另一网络；

所述威胁检测装置获取所述TCP会话中的第一数据流和第二数据流，所述第一数据流为从所述第一设备传输到所述第二设备的数据流，所述第二数据流为从所述第二设备传输到所述第一设备的数据流；

所述威胁检测装置获取多个第一报文中每个第一报文的时间信息以及多个第二报文中每个第二报文的时间信息，其中，所述多个第一报文是指所述第一数据流中的报文，所述多个第二报文是指所述第二数据流中的报文；

所述威胁检测装置根据所述每个第一报文的时间信息和所述每个第二报文的时间信息，计算激活率、响应率以及交互次数，所述激活率是指在所述TCP会话中所述第一设备向所述第二设备发送的数据是由所述第二设备触发的概率，所述响应率是指在所述TCP会话中所述第二设备向所述第一设备发送的数据得到所述第一设备及时响应的概率，所述交互次数为在所述TCP会话中所述第一设备与所述第二设备之间交互的次数；

若所述激活率大于或等于第一阈值、所述响应率大于或等于第二阈值、且所述交互次数大于或等于第三阈值，所述威胁检测装置确定所述第一设备与所述第二设备之间的连接方式为反向连接；

若所述第一设备与所述第二设备之间的连接方式为反向连接，所述威胁检测装置确定所述第一设备受到威胁。

2.根据权利要求1所述的威胁检测方法，其特征在于，

所述威胁检测方法还包括：

所述威胁检测装置获取所述每个第一报文的大小信息；所述威胁检测装置根据所述每个第一报文的时间信息和所述每个第一报文的大小信息，确定所述多个第一报文中是否包括心跳报文；

所述威胁检测装置确定所述第一设备受到威胁，具体包括：

若所述多个第一报文中未包括所述心跳报文、且所述第一设备与所述第二设备之间的连接方式为所述反向连接，所述威胁检测装置确定所述第一设备受到第一等级的威胁；

若所述多个第一报文中包括所述心跳报文、且所述第一设备与所述第二设备之间的连接方式为所述反向连接，所述威胁检测装置确定所述第一设备受到第二等级的威胁。

3.根据权利要求2所述的威胁检测方法，其特征在于，

所述威胁检测方法还包括：

所述威胁检测装置检测所述第一数据流是否被加密；

所述威胁检测装置确定所述第一设备受到威胁，具体包括：

若所述第一数据流被加密、所述多个第一报文中未包括所述心跳报文、且所述第一设备与所述第二设备之间的连接方式为所述反向连接，所述威胁检测装置确定所述第一设备受到第一等级的威胁；

若所述第一数据流被加密、所述多个第一报文中包括所述心跳报文、且所述第一设备与所述第二设备之间的连接方式为所述反向连接，所述威胁检测装置确定所述第一设备受到第三等级的威胁。

4.根据权利要求1-3中任意一项所述的威胁检测方法，其特征在于，所述威胁检测装置根据所述每个第一报文的时间信息和所述每个第二报文的时间信息，计算激活率、响应率以及交互次数，包括：

所述威胁检测装置将所述多个第一报文的时间信息按照时间先后顺序依次排列，以生成第一时间序列，并将所述多个第二报文的时间信息按照时间先后顺序依次排列，以生成第二时间序列；

所述威胁检测装置从所述第一时间序列中选择出N个第一时间信息，并从所述第二时间序列中选择出M个第二时间信息，其中，所述N个第一时间信息中的第j个第一时间信息在第一时间序列中，与排列在所述第j个第一时间信息之前、且与所述第j个第一时间信息相邻的时间信息之间的时间差大于或等于第四阈值；所述M个第二时间信息中的第n个第二时间信息在第二时间序列中，与排列在所述第n个第二时间信息之前、且与所述第n个第二时间信息相邻的时间信息之间的时间差大于或等于第五阈值；N≥1，M≥1，N≥j≥1,M≥n≥1；

所述威胁检测装置从所述N个第一时间信息中筛选出X个第三时间信息，对于所述X个第三时间信息中的第p个第三时间信息，所述M个第二时间信息中存在一个在所述第p个第三时间信息之前、且与所述第p个第三时间信息的时间差小于或等于第六阈值的第二时间信息，其中，N≥X≥1，X≥p≥1；

所述威胁检测装置从所述M个第二时间信息中筛选出Y个第四时间信息，对于所述Y个第四时间信息中的第q个第四时间信息，所述N个第一时间中存在一个在所述第q个第四时间信息之后、且与所述第q个第四时间信息的时间差小于或等于第七阈值的第一时间信息，其中，M≥Y≥1，Y≥q≥1；

所述威胁检测装置利用N、M、X以及Y，计算所述激活率、所述响应率以及所述交互次数，所述激活率等于X除以N得到的值，所述响应率等于Y除以M得到的值，所述交互次数等于X与Y之间的最小值。

5.根据权利要求2或3所述的威胁检测方法，其特征在于，所述威胁检测装置根据所述每个第一报文的时间信息和所述每个第一报文的大小信息，确定所述多个第一报文中是否包括心跳报文，包括：

所述威胁检测装置将所述多个第一报文中大小信息相同的第一报文划分为一组从而获得至少一组第一报文，根据至少一组第一报文中每组第一报文中每个第一报文的时间信息生成一个对应的时间信息集合，从而获得至少一个时间信息集合；

针对所述至少一个时间信息集合中的第k个时间信息集合，所述威胁检测装置将所述第k个时间信息集合所包括的时间信息按照时间先后顺序依次排列生成一个第三时间序列，从而获得至少一个第三时间序列，k≥1；

从所述至少一个第三时间序列中选择出一个第三时间序列，所述威胁检测装置对选择出的第三时间序列执行下述处理，直到处理完最后一个第三时间序列为止：

所述威胁检测装置获取与所述选择出的第三时间序列对应的时间间隔序列，所述选择出的第三时间序列包括Q个时间信息，所述时间间隔序列包括Q-1个时间间隔，且所述Q-1个时间间隔中第i个时间间隔的数值等于所述选择出的第三时间序列中第i+1个时间信息与第i个时间信息之间的时间差，Q≥2，Q-1≥i≥1；

所述威胁检测装置计算所述时间间隔序列的平稳度；

若所述时间间隔序列的平稳度的数值大于或等于第八阈值，且Q-1大于或等于第九阈值，所述威胁检测装置确定所述多个第一报文中包括所述心跳报文。

6.根据权利要求5所述的威胁检测方法，其特征在于，所述威胁检测装置计算所述时间间隔序列的平稳度，包括：

所述威胁检测装置计算所述Q-1个时间间隔的平均值μ和标准差δ；

所述威胁检测装置采用P＝1-δ/μ计算所述时间间隔序列的平稳度P。

7.根据权利要求3所述的威胁检测方法，其特征在于，所述威胁检测装置检测所述第一数据流是否被加密，包括：

所述威胁检测装置获取字符集，所述字符集包括所述每个第一报文的净荷所携带的字符；

所述威胁检测装置利用下述公式计算相对熵H：

其中，S为所述字符集包括的所有字符的数量，C_n为所述字符集包括的字符n的数量，j>1；

若所述相对熵H的数值大于或等于第十阈值，所述威胁检测装置确定所述第一数据流被加密。

8.一种威胁检测装置，其特征在于，包括：

接收单元，用于获取第一设备和第二设备之间的一个传输控制协议TCP会话中的报文，所述TCP会话的发起端设备为所述第一设备，所述第一设备位于受保护网络，所述第二设备位于另一网络；

存储单元，用于存储所述接收单元获取到的所述TCP会话中的报文；

处理单元，用于获取所述存储单元存储的所述TCP会话中的报文的第一数据流和第二数据流，所述第一数据流为从所述第一设备传输到所述第二设备的数据流，所述第二数据流为从所述第二设备传输到所述第一设备的数据流，以及用于获取多个第一报文中每个第一报文的时间信息以及多个第二报文中每个第二报文的时间信息，其中，所述多个第一报文是指所述第一数据流中的报文，所述多个第二报文是指所述第二数据流中的报文；根据所述每个第一报文的时间信息和所述每个第二报文的时间信息，计算激活率、响应率以及交互次数，所述激活率是指在所述TCP会话中，所述第一设备向所述第二设备发送的数据是由所述第二设备触发的概率，所述响应率是指在所述TCP会话中，所述第二设备向所述第一设备发送的数据得到所述第一设备及时响应的概率，所述交互次数为在所述TCP会话中所述第一设备与所述第二设备之间交互的次数，以及用于若所述激活率大于或等于第一阈值、所述响应率大于或等于第二阈值、且所述交互次数大于或等于第三阈值，确定所述第一设备与所述第二设备之间的连接方式为反向连接，以及用于若所述第一设备与所述第二设备之间的连接方式为反向连接，确定所述第一设备受到威胁。

9.根据权利要求8所述的威胁检测装置，其特征在于，

所述处理单元，还用于获取所述每个第一报文的大小信息；

所述处理单元，还用于根据所述接收单元获取到的所述每个第一报文的时间信息和所述每个第一报文的大小信息，确定所述多个第一报文中是否包括心跳报文；

所述处理单元具体用于：若所述多个第一报文中未包括所述心跳报文、且所述第一设备与所述第二设备之间的连接方式为所述反向连接，确定所述第一设备受到第一等级的威胁；若所述多个第一报文中包括所述心跳报文、且所述第一设备与所述第二设备之间的连接方式为所述反向连接，确定所述第一设备受到第二等级的威胁。

10.根据权利要求9所述的威胁检测装置，其特征在于，

所述处理单元还用于：检测所述第一数据流是否被加密；

所述处理单元具体用于：若所述第一数据流被加密、所述多个第一报文中未包括所述心跳报文、且所述第一设备与所述第二设备之间的连接方式为所述反向连接，确定所述第一设备受到所述第一等级的威胁；若所述第一数据流被加密、所述多个第一报文中包括所述心跳报文、且所述第一设备与所述第二设备之间的连接方式为所述反向连接，确定所述第一设备受到第三等级的威胁。

11.根据权利要求8-10中任意一项所述的威胁检测装置，其特征在于，所述处理单元具体用于：

将所述多个第一报文的时间信息按照时间先后顺序依次排列，以生成第一时间序列，并将所述多个第二报文的时间信息按照时间先后顺序依次排列，以生成第二时间序列；

从所述第一时间序列中选择出N个第一时间信息，并从所述第二时间序列中选择出M个第二时间信息，其中，所述N个第一时间信息中的第j个第一时间信息在第一时间序列中，与排列在所述第j个第一时间信息之前、且与所述第j个第一时间信息相邻的时间信息之间的时间差大于或等于第四阈值；所述M个第二时间信息中的第n个第二时间信息在第二时间序列中，与排列在所述第n个第二时间信息之前、且与所述第n个第二时间信息相邻的时间信息之间的时间差大于或等于第五阈值；N≥1，M≥1，N≥j≥1,M≥n≥1；

从所述N个第一时间信息中筛选出X个第三时间信息，对于所述X个第三时间信息中的第p个第三时间信息，所述M个第二时间信息中存在一个在所述第p个第三时间信息之前、且与所述第p个第三时间信息的时间差小于或等于第六阈值的第二时间信息，其中，N≥X≥1，X≥p≥1；

从所述M个第二时间信息中筛选出Y个第四时间信息，对于所述Y个第四时间信息中的第q个第四时间信息，所述N个第一时间中存在一个在所述第q个第四时间信息之后、且与所述第q个第四时间信息的时间差小于或等于第七阈值的第一时间信息，其中，M≥Y≥1，Y≥q≥1；

利用N、M、X以及Y，计算所述激活率、所述响应率以及所述交互次数，所述激活率等于X除以N得到的值，所述响应率等于Y除以M得到的值，所述交互次数等于X与Y之间的最小值。

12.根据权利要求9或10所述的威胁检测装置，其特征在于，所述处理单元具体用于：

将所述多个第一报文中大小信息相同的第一报文划分为一组从而获得至少一组第一报文，根据至少一组第一报文中每组第一报文中每个第一报文的时间信息生成一个对应的时间信息集合，从而获得至少一个时间信息集合；

针对所述至少一个时间信息集合中的第k个时间信息集合，将所述第k个时间信息集合所包括的时间信息按照时间先后顺序依次排列生成一个第三时间序列，从而获得至少一个第三时间序列，k≥1；

从所述至少一个第三时间序列中选择出一个第三时间序列，对选择出的第三时间序列执行下述处理，直到处理完最后一个第三时间序列为止：

获取与所述选择出的第三时间序列对应的时间间隔序列，所述选择出的第三时间序列包括Q个时间信息，所述时间间隔序列包括Q-1个时间间隔，且所述Q-1个时间间隔中第i个时间间隔的数值等于所述选择出的第三时间序列中第i+1个时间信息与第i个时间信息之间的时间差，Q≥2，Q-1≥i≥1；

计算所述时间间隔序列的平稳度；

若所述时间间隔序列的平稳度的数值大于或等于第八阈值，且Q-1大于或等于第九阈值，确定所述多个第一报文中包括所述心跳报文。

13.根据权利要求12所述的威胁检测装置，其特征在于，所述处理单元具体用于：

计算所述Q-1个时间间隔的平均值μ和标准差δ；

采用P＝1-δ/μ计算所述时间间隔序列的平稳度P。

14.根据权利要求10所述的威胁检测装置，其特征在于，所述处理单元具体用于：

获取字符集，所述字符集包括所述每个第一报文的净荷所携带的字符；

利用下述公式计算相对熵H：

其中，S为所述字符集包括的所有字符的数量，C_n为所述字符集包括的字符n的数量，j>1；

若所述相对熵H的数值大于或等于第十阈值，确定所述第一数据流被加密。