CN109861952A - 一种基于统计学的网络木马行为识别系统 - Google Patents
一种基于统计学的网络木马行为识别系统 Download PDFInfo
- Publication number
- CN109861952A CN109861952A CN201711258833.8A CN201711258833A CN109861952A CN 109861952 A CN109861952 A CN 109861952A CN 201711258833 A CN201711258833 A CN 201711258833A CN 109861952 A CN109861952 A CN 109861952A
- Authority
- CN
- China
- Prior art keywords
- wooden horse
- packet
- recognition system
- statistical
- activity recognition
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于统计学的网络木马行为识别系统,该发明对单个包进行审计,审计信息较少导致误报率较高,易被木马开发者针对产生变种的不足,采用统计方法对包、会话、通联的行为特征与木马不可缺少的心跳,离线重连及数据获取,命令控制等行为特征进行识别匹配的方案,实现减少误报漏报的目的。
Description
技术领域
本发明涉及一种互联网通信技术领域,特别涉及一种基于统计学的网络木马行为识别系统。
背景技术
现有的木马识别方案主要是基于木马特征码识别,对已知木马识别率较高,但对木马变种及新木马无法识别;网络包的大小,端口,域名离散度进行审计,来判断木马通信,这种方法信息量较少,容易导致误报漏报。
发明内容
为克服现有技术的不足,本发明采用统计方法对包、会话、通联的行为特征与木马不可缺少的心跳,离线重连及数据获取,命令控制等行为特征进行识别匹配的方案,实现减少误报漏报的目的。
本发明本发明技术方案带来的有益效果:
本发明不依赖木马特征码,仅根据远控行为特征识别恶意行为,没有传统依赖特征码检测远控程序无法检测新恶意远控程序的局限性;对木马行为特征进行分析,总结出所有木马恶意行为所必需的行为特征,然后对此类行为进行监控,对大多数木马具有普遍的监控作用。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
图1为本发明的流程示意图;
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
具体实施方案:
1.一种基于统计学的网络木马行为识别系统,包括:捕获网络包,通联关系信息统计,木马行为特征匹配,误报预处理。
2.通联关系信息统计方法,单个统计周期(60s)内的数据字段或其任意组合的统计:
(1)会话次数:根据四元组汇总统计会话次数;
(2)平均会话用时:统计每次会话时长并汇总再计算平均每次会话用时;
(3)会话波动幅度:记录每次会话开始时间计算出相邻会话时间间隔,取最大时间间隔作为会话时间波动幅度;
小包上传个数占比:计算字节数小于200的上传包个数在总包数中的占比;
小包下载个数占比:计算字节数小于200的下载包个数在总包数中的占比;
大包上传个数占比:计算字节数大于200的上传包个数在总包数中的占比;
大包下载个数占比:计算字节数大于200的下载包个数在总包数中的占比;
小包上传字节占比:计算字节数小于200的上传包流量在总会话流量中的占比;
小包下载字节占比:计算字节数小于200的下载包流量在总会话流量中的占比;
大包上传字节占比:计算字节数大于200的上传包流量在总会话流量中的占比;
大包下载字节占比:计算字节数大于200的下载包流量在总会话流量中的占比;
SYN包个数占比:统计TCP标志位SYN包的个数在总会话报数中的占比;
PSH包个数占比:统计TCP标志位PSH包的个数在总会话报数中的占比;
总的SYN包个数:统计TCP标志位PSH包的个数;
总的PSH包个数:统计TCP标志位SYN包的个数;
(4)总包数:统计会话总包数;
(5)总的流量:统计会话总流量数。
3.木马行为特征匹配的步骤包括:
(1)离线木马重连特征匹配:离线木马客户端的重连特征:%100的SYN包,单个统计周期(60s)内的多次会话交互重连总包数>=6;
(2)在线未连接木马重连特征匹配:%50SYN上传包,%50下载RST包(小包),单个统计周期(60s)内的多次会话交互重连总包数>=6;
(3)在线已连接木马心跳特征匹配:PSH报数占比>=50%或者单个统计周期(60s)发报数>=30上传下载小包数占比>=80%;
(4)木马窃密行为特征匹配:小包下载,大包上传总数占比>=80%,PSH报数占比>=50%,大包上传字节占比大于80%,可设定上传数据达到一定阈值进行窃密告警。
4.误报预处理的步骤包括:增加白名单将常用可信并且具有远控行为特征的ip加入白名单,对告警进行过滤,提高告警准确度,比如:ftp,ssh,teamview等具有远控行为的程序所在电脑ip可根据客户需求设定白名单来确定是否告警。
以上对本发明实施例所提供的一种基于统计学的网络木马行为识别系统进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (3)
1.一种基于统计学的网络木马行为识别系统,该发明包含捕获网络包,通联关系信息统计,木马行为特征匹配,误报预处理,即采用统计方法对包、会话、通联的行为特征与木马不可缺少的心跳,离线重连及数据获取,命令控制等行为特征进行识别匹配的方案,实现减少误报漏报的目的。
2.根据权利要求1所述的一种基于统计学的网络木马行为识别系统,其特征在于,通联关系信息统计方法,单个统计周期(60s)内的数据字段或其任意组合的统计。
3.根据权利要求1所述的一种基于统计学的网络木马行为识别系统,其特征在于,误报预处理包含,增加白名单将常用可信并且具有远控行为特征的ip加入白名单,对告警进行过滤,提高告警准确度。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711258833.8A CN109861952B (zh) | 2017-11-30 | 2017-11-30 | 一种基于统计学的网络木马行为识别系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711258833.8A CN109861952B (zh) | 2017-11-30 | 2017-11-30 | 一种基于统计学的网络木马行为识别系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109861952A true CN109861952A (zh) | 2019-06-07 |
| CN109861952B CN109861952B (zh) | 2021-11-12 |
Family
ID=66889578
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201711258833.8A Active CN109861952B (zh) | 2017-11-30 | 2017-11-30 | 一种基于统计学的网络木马行为识别系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109861952B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115134096A (zh) * | 2021-03-11 | 2022-09-30 | 深信服科技股份有限公司 | 一种rat连接检测方法、流量审计设备及介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20090138968A1 (en) * | 2005-12-28 | 2009-05-28 | Pablo Daniel Serber | Distributed network protection |
| US20140344935A1 (en) * | 2011-12-20 | 2014-11-20 | NSFOCUS Information Technology Co., Ltd. | Trojan detection method and device |
| CN104283897A (zh) * | 2014-10-29 | 2015-01-14 | 刘胜利 | 基于多数据流聚类分析的木马通信特征快速提取方法 |
| CN105227408A (zh) * | 2015-10-22 | 2016-01-06 | 蓝盾信息安全技术股份有限公司 | 一种智能木马识别装置及方法 |
-
2017
- 2017-11-30 CN CN201711258833.8A patent/CN109861952B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20090138968A1 (en) * | 2005-12-28 | 2009-05-28 | Pablo Daniel Serber | Distributed network protection |
| US20140344935A1 (en) * | 2011-12-20 | 2014-11-20 | NSFOCUS Information Technology Co., Ltd. | Trojan detection method and device |
| CN104283897A (zh) * | 2014-10-29 | 2015-01-14 | 刘胜利 | 基于多数据流聚类分析的木马通信特征快速提取方法 |
| CN105227408A (zh) * | 2015-10-22 | 2016-01-06 | 蓝盾信息安全技术股份有限公司 | 一种智能木马识别装置及方法 |
Non-Patent Citations (2)
| Title |
|---|
| 李巍 等: "远控型木马通信三阶段流量行为特征分析", 《信息网络安全》 * |
| 樊梦娇: "基于行为特征的网络异常检测平台的设计与实现", 《中国优秀硕士学位论文全文数据库 信息科技辑》 * |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115134096A (zh) * | 2021-03-11 | 2022-09-30 | 深信服科技股份有限公司 | 一种rat连接检测方法、流量审计设备及介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109861952B (zh) | 2021-11-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Hamza et al. | Detecting volumetric attacks on lot devices via sdn-based monitoring of mud activity | |
| Qin et al. | DDoS attack detection using flow entropy and clustering technique | |
| CN110708215B (zh) | 深度包检测规则库生成方法、装置、网络设备及存储介质 | |
| US9973520B2 (en) | Explaining causes of network anomalies | |
| CN111277570A (zh) | 数据的安全监测方法和装置、电子设备、可读介质 | |
| CN105429977B (zh) | 基于信息熵度量的深度包检测设备异常流量监控方法 | |
| CN101567884B (zh) | 网络窃密木马检测方法 | |
| CN100531073C (zh) | 一种基于状态检测的协议异常检测方法及系统 | |
| WO2017218636A1 (en) | System and method for automated network monitoring and detection of network anomalies | |
| CN105429963A (zh) | 基于Modbus/Tcp的入侵检测分析方法 | |
| CN105554016A (zh) | 网络攻击的处理方法和装置 | |
| CN106416171A (zh) | 一种特征信息分析方法及装置 | |
| Barbosa et al. | Exploiting traffic periodicity in industrial control networks | |
| KR20010085057A (ko) | 네트워크 흐름 분석에 의한 침입 탐지 장치 | |
| CN106034056A (zh) | 一种业务安全分析的方法和系统 | |
| CN105959290A (zh) | 攻击报文的检测方法及装置 | |
| KR102129375B1 (ko) | 딥러닝 모델 기반 토르 사이트 액티브 핑거프린팅 시스템 및 방법 | |
| CN110719286A (zh) | 一种基于大数据的网络优化方案共享系统及其方法 | |
| CN105357071B (zh) | 一种网络复杂流量识别方法及识别系统 | |
| CN107070888A (zh) | 网关安全管理方法和设备 | |
| Ubik et al. | Evaluating application-layer classification using a Machine Learning technique over different high speed networks | |
| Siregar et al. | Implementation of network monitoring and packets capturing using random early detection (RED) method | |
| CN109861952A (zh) | 一种基于统计学的网络木马行为识别系统 | |
| CN101980477B (zh) | 检测影子用户的数目的方法和装置及网络设备 | |
| CN111526109A (zh) | 自动检测web威胁识别防御系统的运行状态的方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |