CN110875918B - 一种木马通信行为的检测方法、装置及电子设备 - Google Patents
一种木马通信行为的检测方法、装置及电子设备 Download PDFInfo
- Publication number
- CN110875918B CN110875918B CN201811491095.6A CN201811491095A CN110875918B CN 110875918 B CN110875918 B CN 110875918B CN 201811491095 A CN201811491095 A CN 201811491095A CN 110875918 B CN110875918 B CN 110875918B
- Authority
- CN
- China
- Prior art keywords
- ping
- abnormal
- ping packet
- packet
- communication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/10—Active monitoring, e.g. heartbeat, ping or trace-route
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明的实施例公开一种木马通信行为的检测方法、装置及电子设备,涉及计算机安全技术领域,能够及时的检测出基于icmp协议的可疑木马通信行为。所述木马通信行为的检测方法,包括:按照预设的时间窗口依次接收ping包;确定当前时间窗口内接收到的ping包的指纹特征;将当前时间窗口内接收到的ping包的指纹特征,与正常ping包的指纹特征进行比对;若当前时间窗口内接收到的ping包的指纹特征,与正常ping包的指纹特征不匹配,则确定与正常ping包的指纹特征不匹配的ping包为异常ping包。本发明主要应用于基于icmp协议的木马通信。
Description
技术领域
本发明涉及计算机安全技术领域,尤其涉及一种木马通信行为的检测方法、装置及电子设备。
背景技术
木马通信是指运行在入侵者计算机和被入侵者计算机之间木马的信息交流,包括连接建立、指令、数据发送等一切行为。ping(Internet Control Message Protocol网络控制消息协议)木马通信是一种新型木马通信,该技术通过修改ICMP_ECHOREPLY包的包头结构,在其中的选项数据域中填写木马的控制命令和数据。因为ping包由系统内核或进程直接处理,不通过端口,所以就不会占用任何端口,难以被发觉;同时ping木马通信可穿透防火墙:目前大部分的防火墙会阻拦外部通向内部的连接,而ICMP_ECHOREPLY包是用来携带用户进行ping操作得到的返回信息,所以它往往不会出现在防火墙的过滤规则中,因而可以顺利地穿透防火墙,从而极大的提高了攻击的成功率。
现有的木马检测技术主要是针对文件和通信行为,但是基于文件的检测技术大多分析很困难,而且也不具有实时性;基于通信行为的检测技术基本都是针对TCP或者UDP协议很难适用于ICMP协议的木马,针对ICMP协议的又不能完整的匹配通信行为。
发明内容
有鉴于此,本发明实施例提供一种木马通信行为的检测方法、装置及电子设备,能够及时的检测出基于icmp协议的可疑木马通信行为。
第一方面,本发明实施例提供一种木马通信行为的检测方法,应用于基于icmp协议的木马通信;所述方法包括:按照预设的时间窗口依次接收ping包;确定当前时间窗口内接收到的ping包的指纹特征;将当前时间窗口内接收到的ping包的指纹特征,与正常ping包的指纹特征进行比对;若当前时间窗口内接收到的ping包的指纹特征,与正常ping包的指纹特征不匹配,则确定与正常ping包的指纹特征不匹配的ping包为异常ping包。
根据本发明实施例的一种具体实现方式,所述方法还包括:统计接收到的ping包中出现异常ping包的时间窗口的个数,并确定接收到的ping包中出现异常ping包的时间窗口的个数,是否达到预设个数;在所述预设个数的时间窗口内接收到的ping包中,确定各异常ping包的指纹特征;根据各异常ping包的指纹特征,确定发起各异常ping包的通信是否为木马通信。
根据本发明实施例的一种具体实现方式,所述根据各异常ping包的指纹特征,确定发起各异常ping包的通信是否为木马通信,包括:将所述预设个数的时间窗口内接收到的异常ping包,以IP为单位进行分类;确定单对IP所对应的异常ping包的指纹特征,是否命中预设的木马通信判断规则;若单对IP所对应的异常ping包的指纹特征,命中预设的木马通信判断规则,则确定发起该单对IP所对应的异常ping包的通信为木马通信。
根据本发明实施例的一种具体实现方式,所述指纹特征包括:连接特征、数据包方向特征、流量特征和/或载荷特征。
第二方面,本发明实施例提供一种木马通信行为的检测装置,应用于基于icmp协议的木马通信;所述装置包括:数据接收模块,用于按照预设的时间窗口依次接收ping包;第一指纹特征确定模块,用于确定当前时间窗口内接收到的ping包的指纹特征;指纹特征比对模块,用于将当前时间窗口内接收到的ping包的指纹特征,与正常ping包的指纹特征进行比对;异常数据确定模块,用于若当前时间窗口内接收到的ping包的指纹特征,与正常ping包的指纹特征不匹配,则确定与正常ping包的指纹特征不匹配的ping包为异常ping包。
根据本发明实施例的一种具体实现方式,所述装置还包括:统计模块,用于统计接收到的ping包中出现异常ping包的时间窗口的个数,并确定接收到的ping包中出现异常ping包的时间窗口的个数,是否达到预设个数;第二指纹特征确定模块,用于在所述预设个数的时间窗口内接收到的ping包中,确定各异常ping包的指纹特征;木马通信确定模块,用于根据各异常ping包的指纹特征,确定发起各异常ping包的通信是否为木马通信。
根据本发明实施例的一种具体实现方式,所述木马通信确定模块,包括:分类子模块,用于将所述预设个数的时间窗口内接收到的异常ping包,以IP为单位进行分类,规则命中判断子模块,用于确定单对IP所对应的异常ping包的指纹特征,是否命中预设的木马通信判断规则;木马通信确定子模块,用于若单对IP所对应的异常ping包的指纹特征,命中预设的木马通信判断规则,则确定发起该单对IP所对应的异常ping包的通信为木马通信。
根据本发明实施例的一种具体实现方式,所述指纹特征包括:连接特征、数据包方向特征、流量特征和/或载荷特征。
第三方面,本发明实施例提供一种电子设备,所述电子设备包括:壳体、处理器、存储器、电路板和电源电路,其中,电路板安置在壳体围成的空间内部,处理器和存储器设置在电路板上;电源电路,用于为上述电子设备的各个电路或器件供电;存储器用于存储可执行程序代码;处理器通过读取存储器中存储的可执行程序代码来运行与可执行程序代码对应的程序,用于执行前述任一实现方式所述的方法。
第四方面,本发明的实施例还提供一种应用程序,所述应用程序被执行以实现本发明任一实施方式所述的方法。
本发明实施例提供的一种木马通信行为的检测方法、装置及电子设备,通过按照预设的时间窗口依次接收ping包,并确定当前时间窗口内接收到的ping包的指纹特征,然后将当前时间窗口内接收到的ping包的指纹特征与正常ping包的指纹特征进行比对;若当前时间窗口内接收到的ping包的指纹特征与正常ping包的指纹特征不匹配,则确定与正常ping包的指纹特征不匹配的ping包为异常ping包。能够及时的检测出基于icmp协议的可疑木马通信行为。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
图1为木马服务端程序的工作流程图;
图2为木马客户端程序的工作流程图;
图3为本发明的木马通信行为的检测方法实施例一的流程图;
图4为本发明的木马通信行为的检测方法实施例二的流程图;
图5为本发明的木马通信行为的检测方法实施例二中步骤206的一可选实施方式的流程图;
图6为本发明的木马通信行为的检测装置实施例一的示意图;
图7为本发明的木马通信行为的检测装置实施例二的示意图;
图8为本发明电子设备一个实施例的结构示意图。
具体实施方式
下面结合附图对本发明实施例进行详细描述。
应当明确,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
基于icmp协议的木马通讯,木马利用icmp进行通讯,首先要加载winsock库,创建icmp原始套接字,使用原始套接字可以自己设定icmp包(即icmp数据包)的格式,填写icmp包的信息,icmp数据报文头部格式下图所示:
其数据结构定义如下:
Typedef struct ping_hdr
{
unsigned char ping_type;//消息类型
unsigned char ping_code;//代码
unsigned short ping_checksum;//16位校验和
unsigned short ping_id;//识别号(通常设置为进程ID)
unsigned short ping_sequence;//序列号
unsigned long ping_timestamp;//时间戳
}pingHead;
其中icmp包类型为echo reply,代码为0,进程号为当时木马服务器端程序的进程号,初始化的校验和为0,序列号为0。向选项数据域中填入木马的控制命令与数据信息,计算校验和并将其重新填入,设置时间戳,重新设置它的序列号,之后即可发送数据包。
校验和域在自定义的icmp报文中具有重要的作用,可用来检验数据包在网络传输中是否出差错,其计算方法为:将数据以字为单位累加到一个双字中,如果数据长度为奇数,最后一个字节将被扩展到字,累加的结果是一个双字,最后将这个双字的高16bit和低16bit相加后取反,便得到了校验和。
木马服务端程序的工作流程如图1所示,第1步首先加载winsock库,第2步创建icmp原始套接字,第3步接收客户端发来的icmp包,从中解析出木马客户端发送过来的操作指令,并根据其中所携带的不同操作命令,木马服务进程进行相对应的操作,第4步将服务端进程操作完成后的结果数据填入icmp包后再向客户端发送之后再转入第3步循环进行。
木马客户端程序的工作流程如图2所示,第1步加载winsock库,第2步创建icmp原始套接字,第3步设置icmp包的目的地址,第4步将木马的控制命令和数据写入icmp包中,第5步向服务端发送icmp包,第6步接收从服务端返回的icmp包,从中获取被控制机器的相关信息,之后再转入第4步循环进行。
第一方面,本发明实施例提供一种木马通信行为的检测方法,以检测基于icmp协议的木马通信行为。
图3为本发明实施例一的木马通信行为的检测方法的流程示意图,如图3所示,本实施例应用于基于icmp(Internet Control Message Protocol网络控制消息协议)协议的木马通信。
本实施例的方法可以包括:
步骤101、按照预设的时间窗口依次接收ping包;
本实施例中,按照预设的时间窗口接受的ping包,包括正常的ping包和携带木马的ping包;所述预设的时间窗口,可以根据检测过程中的实际需要提前设定,例如:时间窗口为1秒;或者,所述预设的时间窗口,可以以一个通信周期为一个时间窗口。本实施例中,以一个时间窗口为单位接收该时间窗口内的所有ping包,当前时间窗口的ping包接收完毕后,按照时间顺序接收下一个时间窗口内的ping包。
步骤102、确定当前时间窗口内接收到的ping包的指纹特征;
本实施例中,所述指纹特征是指ping包具有的特异性,本实施例中对当前时间窗口内接收到的所有ping包进行综合分析,并确定每一个ping包的指纹特征。
步骤103、将当前时间窗口内接收到的ping包的指纹特征,与正常ping包的指纹特征进行比对;
本实施例中,预先设定正常ping包的指纹特征,将当前时间窗口内接收到的ping包的指纹特征与正常ping包的指纹特征进行比对。
若当前时间窗口内接收到的ping包的指纹特征,与正常ping包的指纹特征不匹配,则执行步骤104;否则,继续执行步骤101。
步骤104、确定与正常ping包的指纹特征不匹配的ping包为异常ping包。
本实施例中,若当前时间窗口内接收到的ping包的指纹特征与正常ping包的指纹特征不匹配,则确定与正常ping包的指纹特征不匹配的ping包为异常ping包。
本实施例,通过预设的时间窗口接收网络主机之间相互传递的ping包,并采集所述ping包的指纹特征,将所述采集的ping包的指纹特征与正常ping包的指纹特征进行匹配,若采集的ping包的指纹特征与正常ping包的指纹特征不匹配,则确定接收的ping包为异常ping包。本实施例主要应用在基于网络控制消息协议(icmp)的木马通信行为,能够及时的检测出基于网络控制消息协议的可疑木马通信行为。
实施例二
图4为本发明实施例二的木马通信行为的检测方法的流程图,如图4所示,本实施例的方法可以包括:
步骤201、按照预设的时间窗口依次接收ping包;
本实施例中,按照预设的时间窗口依次接收ping包的技术方案与上述步骤101中的技术方案,其实现原理和技术效果类似,此处不再赘述。
步骤202、确定当前时间窗口内接收到的ping包的指纹特征;
本实施例中,所述指纹特征包括:连接特征、数据包方向特征、流量特征和/或载荷特征。所述连接特征包括连接频率、连接周期和/或连接时间(请求响应时间);所述数据包方向特征表示数据包的传输特征,例如:控制端主动连接被控制端,被控端主动连接控制端;所述流量特征包括IP地址和/或数据包大小;所述载荷特征包括消息类型、标识符、代码、序号和/或数据段特征。本实施例中对当前时间窗口内接收到的所有ping包进行综合分析,并确定每一个ping包的指纹特征。
步骤203、将当前时间窗口内接收到的ping包的指纹特征,与正常ping包的指纹特征进行比对;
本实施例中,所述正常ping包的指纹特征为:
连接特征,一个发送周期内一般都是隔1s发送一个ping包,发送ping包的周期具有随机性;
数据包方向特征,主动发起方具有随机性,且主动发起方发送请求之后有可ping通的回复信息或者回复信息携带不能进行通信的信息。
流量特征,数据包大小基本都是74字节,IP地址在不同通信周期中不固定;
载荷特征,Type(消息类型)基本都为0或8,Code(代码)为0,Identifer(标识符)(BE)为1,Identifer(标识符)(LE)为256,Sequence number(序号)(BE)每个请求包(回包)递增1,Sequence number(序号)(LE)每个请求包(回包)递增256,Data(数据)段每个包内容一致。
本实施例中,考虑到window系统与Linux系统发出的ping报文(主要指ping应用字段而非包含IP头的ping包)的字节顺序不一样,将windows系统中的所述标识符和序号标记为LE(little-endian byte order),将Linux系统中的所述标识符和序号标记为BE(big-endian)。
本实施例中,将步骤202中确定的ping包的指纹特征包含的信息与上述正常ping包的指纹特征包含的信息进行一一比对。
若当前时间窗口内接收到的ping包的指纹特征,与正常ping包的指纹特征不匹配,则执行步骤204;否则,继续执行步骤201。
步骤204、确定与正常ping包的指纹特征不匹配的ping包为异常ping包。
本实施例中,若当前时间窗口内接收到的ping包的指纹特征,与正常ping包的指纹特征不完全匹配,则确定所述与正常ping包的指纹特征不匹配的ping包为异常ping包,并对所述异常ping包标记异常。
步骤205、统计接收到的ping包中出现异常ping包的时间窗口的个数,并确定接收到的ping包中出现异常ping包的时间窗口的个数,是否达到预设个数。本实施例中,在判断当前时间窗口内接收到的ping包中是否出现异常ping包之后,再确定下一时间窗口内接受到的ping包中是否出现异常ping包,以此类推,直到接收的ping包中出现异常ping包的时间窗口的个数达到预设个数。
步骤206、在所述预设个数的时间窗口内接收到的ping包中,确定各异常ping包的指纹特征;
本实施例,在所述预设个数的时间窗口内接收到的ping包中,确定各异常ping包的指纹特征包括:对该预设个数的时间窗口内的所有异常的ping包进行综合分析,进一步确定各异常ping包的指纹特征,并对所述异常ping包的指纹特征中的信息进行标记。所述标记方法如下:(1)若同一IP对之间的ping包发送间隔不为1s或其中有3次的连接具有一定的规律性时,记录并将连接特征标记为1,否则标记为0;(2)若主动发起方基本不变或能ping通但是没有回复信息或服务器和客户端会通过互换自身标志信息进行鉴别认证时,记录并将数据包方向特征标记为1,否则为0;(3)若数据包大小不为74字节或每次通信IP较为集中时(比如同一周期中的通信IP有60%以上的IP都相同时,此IP可看作是比较集中的行为),记录并将流量特征标记为1,否则为0;(4)若Code不为0或Identifer(BE)不为1或Identifer(LE)不为256或Sequencenumber(BE)每个包递增不为1或Sequence number(LE)每个包递增不为256或Data字段每个包内容不一致,或字段中包含明显的木马行为特征时,记录并将载荷特征标记为1,否则为0。
本实施例中,通过预设时间窗口的个数,当接收到的ping包中出现异常ping包的时间窗口达到预设个数时,对该预设个数的时间窗口内的所有异常的ping包进行综合分析,进一步确定各异常ping包的指纹特征,并根据各异常ping包进一步确定的指纹特征,确定发起各异常ping包的通信是否为木马通信,能够更加准确的确定出基于icmp协议的木马通信行为。
步骤207、根据各异常ping包的指纹特征,确定发起各异常ping包的通信是否为木马通信。
本实施例中,如图5所示,作为一可选实施方式,所述根据各异常ping包的指纹特征,确定发起各异常ping包的通信是否为木马通信,包括:
步骤2071、将所述预设个数的时间窗口内接收到的异常ping包,以IP为单位进行分类;
本实施例中,所述ping包是在两个进行网络通信的IP之间进行传输的,同一个IP可能与多个IP进行通信,故本实施例中接收到的异常ping包可能对应多对IP,对所述预设个数的时间窗口内接收到的异常ping包,以IP为单位进行分类,以实现对单对IP之间的通信行为进行分析。
步骤2072、确定单对IP所对应的异常ping包的指纹特征,是否命中预设的木马通信判断规则;
本实施例中,所述预设的木马通信判断规则包括:
行为1:连接特征、数据包方向特征、流量特征、载荷特征中有3个标记为1;
行为2:数据包方向特征中包含“能‘ping通’但是没有回复消息”且木马连接特征的标记为1,或服务器和客户端会通过互换自身标志信息进行鉴别认证;
行为3:载荷特征中数据字段包含明显的木马行为特征时,如:执行某个命令、自定义的关键字等。
行为4:在3个时间窗口内某对IP基本用固定的周期进行通信,且其他任意特征为1。
步骤2073、若单对IP所对应的异常ping包的指纹特征,命中预设的木马通信判断规则,则确定发起该单对IP所对应的异常ping包的通信为木马通信。
本实施例中,对单对IP对应的异常ping包进行单独分析,并判断单对IP所对应的异常ping包的指纹特征是否命中预设的木马通信判断规则,使对木马通信行为的判断更加准确。
可选的,若确定发起该单对IP所对应的异常ping包的通信为木马通信,则将所述异常ping包的指纹特征上告报警。
可选的,若确定发起该单对IP所对应的异常ping包的通信为木马通信,存储所述异常ping包的指纹特征。
本实施例中,可以将所述异常ping包的指纹特征存储在哈希表里,存储的所述异常ping包的指纹特征即木马通信行为特征,在下次确定接收到的ping包为异常ping包后,可以将该异常ping包的指纹特征与存储的所述异常ping包的指纹特征进行比对,若该异常ping包的指纹特征与存储的所述异常ping包的指纹特征匹配,则确定发起该异常ping包的通信为木马通信,否则,继续按照原步骤执行。
可选的,本实施例中的木马通信行为的检测方法适用于旁路的场景模式,对现有网络环境无影响。旁路部署时可用于检测APT攻击(Advanced Persistent Threat,是指高级持续性威胁),持续对网络环境中的ping木马行为进行发现识别。
本实施例的方法,以木马通过互联网传输的行为特点为研究对象,分析其通信特征、网络行为特征、使用特征等方面的特异性,归纳分析出木马在连接阶段、控制阶段和传输阶段的通信指纹特征,通过收集网络主机行为及主机之间相互传播的ping包,并对ping包进行综合分析,从而在网络层面检测并精确识别木马。
第二方面,本发明实施例提供一种木马通信行为的检测装置,以检测基于icmp协议的木马通信行为。
图6为本发明木马通信行为的检测装置实施例一的结构示意图,如图6所示,本实施例的装置应用于基于icmp协议的木马通信;所述装置包括:数据接收模块31,用于按照预设的时间窗口依次接收ping包;第一指纹特征确定模块32,用于确定当前时间窗口内接收到的ping包的指纹特征;指纹特征比对模块33,用于将当前时间窗口内接收到的ping包的指纹特征,与正常ping包的指纹特征进行比对;异常数据确定模块34,用于若当前时间窗口内接收到的ping包的指纹特征,与正常ping包的指纹特征不匹配,则确定与正常ping包的指纹特征不匹配的ping包为异常ping包。
本实施例的装置,可以用于执行图3所示方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
图7为本发明木马通信行为的检测装置实施例二的结构示意图,如图7所示,所述装置包括:数据接收模块41,用于按照预设的时间窗口依次接收ping包;第一指纹特征确定模块42,用于确定当前时间窗口内接收到的ping包的指纹特征;指纹特征比对模块43,用于将当前时间窗口内接收到的ping包的指纹特征,与正常ping包的指纹特征进行比对;异常数据确定模块44,用于若当前时间窗口内接收到的ping包的指纹特征,与正常ping包的指纹特征不匹配,则确定与正常ping包的指纹特征不匹配的ping包为异常ping包。
进一步地,所述装置还包括:统计模块,用于统计接收到的ping包中出现异常ping包的时间窗口的个数,并确定接收到的ping包中出现异常ping包的时间窗口的个数,是否达到预设个数;第二指纹特征确定模块45,用于在所述预设个数的时间窗口内接收到的ping包中,确定各异常ping包的指纹特征;木马通信确定模块46,用于根据各异常ping包的指纹特征,确定发起各异常ping包的通信是否为木马通信。所述木马通信确定模块46,包括:分类子模块461,用于将所述预设个数的时间窗口内接收到的异常ping包,以IP为单位进行分类;规则命中判断子模块462,用于确定单对IP所对应的异常ping包的指纹特征,是否命中预设的木马通信判断规则;木马通信确定子模块463,用于若单对IP所对应的异常ping包的指纹特征,命中预设的木马通信判断规则,则确定发起该单对IP所对应的异常ping包的通信为木马通信。所述指纹特征包括:连接特征、数据包方向特征、流量特征和/或载荷特征。
本实施例的装置,可以用于执行图4或图5所示方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
第三方面,本发明实施例还提供一种电子设备,所述电子设备包含前述任一实施例所述的装置。
图8为本发明电子设备一个实施例的结构示意图,可以实现本发明图3-6所示实施例的流程,如图8所示,上述电子设备可以包括:壳体51、处理器52、存储器53、电路板54和电源电路55,其中,电路板54安置在壳体51围成的空间内部,处理器52和存储器53设置在电路板54上;电源电路55,用于为上述电子设备的各个电路或器件供电;存储器53用于存储可执行程序代码;处理器52通过读取存储器53中存储的可执行程序代码来运行与可执行程序代码对应的程序,用于执行前述任一实施例所述的木马通信行为的检测方法。
处理器52对上述步骤的具体执行过程以及处理器52通过运行可执行程序代码来进一步执行的步骤,可以参见本发明图3-5所示实施例的描述,在此不再赘述。
该电子设备以多种形式存在,包括但不限于:
(1)移动通信设备:这类设备的特点是具备移动通信功能,并且以提供话音、数据通信为主要目标。这类终端包括:智能手机(例如iPhone)、多媒体手机、功能性手机,以及低端手机等。
(2)超移动个人计算机设备:这类设备属于个人计算机的范畴,有计算和处理功能,一般也具备移动上网特性。这类终端包括:PDA、MID和UMPC设备等,例如iPad。
(3)便携式娱乐设备:这类设备可以显示和播放多媒体内容。该类设备包括:音频、视频播放器(例如iPod),掌上游戏机,电子书,以及智能玩具和便携式车载导航设备。
(4)服务器:提供计算服务的设备,服务器的构成包括处理器、硬盘、内存、系统总线等,服务器和通用的计算机架构类似,但是由于需要提供高可靠的服务,因此在处理能力、稳定性、可靠性、安全性、可扩展性、可管理性等方面要求较高。
(5)其他具有数据交互功能的电子设备。
第四方面,本发明的实施例还提供一种应用程序,所述应用程序被执行以实现本发明任一实施例提供的方法。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将
一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。
尤其,对于装置实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
为了描述的方便,描述以上装置是以功能分为各种单元/模块分别描述。当然,在实施本发明时可以把各单元/模块的功能在同一个或多个软件和/或硬件中实现。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)或随机存储记忆体(Random AccessMemory,RAM)等。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。
Claims (6)
1.一种木马通信行为的检测方法,其特征在于,应用于基于icmp协议的木马通信;所述方法包括:
按照预设的时间窗口依次接收ping包;
确定当前时间窗口内接收到的ping包的指纹特征;
将当前时间窗口内接收到的ping包的指纹特征,与正常ping包的指纹特征进行比对;
若当前时间窗口内接收到的ping包的指纹特征,与正常ping包的指纹特征不匹配,则确定与正常ping包的指纹特征不匹配的ping包为异常ping包;
统计接收到的ping包中出现异常ping包的时间窗口的个数,并确定接收到的ping包中出现异常ping包的时间窗口的个数是否达到预设个数;
在所述预设个数的时间窗口内接收到的ping包中,确定各异常ping包的指纹特征;
根据各异常ping包的指纹特征,确定发起各异常ping包的通信是否为木马通信;
其中,所述根据各异常ping包的指纹特征,确定发起各异常ping包的通信是否为木马通信,包括:
将所述预设个数的时间窗口内接收到的异常ping包,以IP为单位进行分类;
确定单对IP所对应的异常ping包的指纹特征,是否命中预设的木马通信判断规则;
若单对IP所对应的异常ping包的指纹特征,命中预设的木马通信判断规则,则确定发起该单对IP所对应的异常ping包的通信为木马通信。
2.根据权利要求1所述的木马通信行为的检测方法,其特征在于,所述指纹特征包括:连接特征、数据包方向特征、流量特征和/或载荷特征。
3.一种木马通信行为的检测装置,其特征在于,应用于基于icmp协议的木马通信;所述装置包括:
数据接收模块,用于按照预设的时间窗口依次接收ping包;
第一指纹特征确定模块,用于确定当前时间窗口内接收到的ping包的指纹特征;
指纹特征比对模块,用于将当前时间窗口内接收到的ping包的指纹特征,与正常ping包的指纹特征进行比对;
异常数据确定模块,用于若当前时间窗口内接收到的ping包的指纹特征,与正常ping包的指纹特征不匹配,则确定与正常ping包的指纹特征不匹配的ping包为异常ping包;
统计模块,用于统计接收到的ping包中出现异常ping包的时间窗口的个数,并确定接收到的ping包中出现异常ping包的时间窗口的个数,是否达到预设个数;
第二指纹特征确定模块,用于在所述预设个数的时间窗口内接收到的ping包中,确定各异常ping包的指纹特征;
木马通信确定模块,用于根据各异常ping包的指纹特征,确定发起各异常ping包的通信是否为木马通信;
其中,所述木马通信确定模块,包括:
分类子模块,用于将所述预设个数的时间窗口内接收到的异常ping包,以IP为单位进行分类,
规则命中判断子模块,用于确定单对IP所对应的异常ping包的指纹特征,是否命中预设的木马通信判断规则;
木马通信确定子模块,用于若单对IP所对应的异常ping包的指纹特征,命中预设的木马通信判断规则,则确定发起该单对IP所对应的异常ping包的通信为木马通信。
4.根据权利要求3所述的木马通信行为的检测装置,其特征在于,所述指纹特征包括:连接特征、数据包方向特征、流量特征和/或载荷特征。
5.一种电子设备,其特征在于,所述电子设备包括:壳体、处理器、存储器、电路板和电源电路,其中,电路板安置在壳体围成的空间内部,处理器和存储器设置在电路板上;电源电路,用于为上述电子设备的各个电路或器件供电;存储器用于存储可执行程序代码;处理器通过读取存储器中存储的可执行程序代码来运行与可执行程序代码对应的程序,用于执行权利要求1至2中任一项所述的方法。
6.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现权利要求1至2中任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811491095.6A CN110875918B (zh) | 2018-12-06 | 2018-12-06 | 一种木马通信行为的检测方法、装置及电子设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811491095.6A CN110875918B (zh) | 2018-12-06 | 2018-12-06 | 一种木马通信行为的检测方法、装置及电子设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110875918A CN110875918A (zh) | 2020-03-10 |
CN110875918B true CN110875918B (zh) | 2022-02-11 |
Family
ID=69716299
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201811491095.6A Active CN110875918B (zh) | 2018-12-06 | 2018-12-06 | 一种木马通信行为的检测方法、装置及电子设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110875918B (zh) |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101247281A (zh) * | 2008-03-21 | 2008-08-20 | 华为技术有限公司 | 一种协议报文的检测方法、系统及设备 |
CN101753562A (zh) * | 2009-12-28 | 2010-06-23 | 成都市华为赛门铁克科技有限公司 | 僵尸网络的检测方法、装置及网络安全防护设备 |
CN103856470A (zh) * | 2012-12-06 | 2014-06-11 | 腾讯科技(深圳)有限公司 | 分布式拒绝服务攻击检测方法及检测装置 |
CN106789935A (zh) * | 2016-11-29 | 2017-05-31 | 上海辰锐信息科技公司 | 一种终端异常检测方法 |
CN107292154A (zh) * | 2017-06-09 | 2017-10-24 | 北京奇安信科技有限公司 | 一种终端特征识别方法及系统 |
CN108390864A (zh) * | 2018-02-01 | 2018-08-10 | 杭州安恒信息技术股份有限公司 | 一种基于攻击链行为分析的木马检测方法及系统 |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8176178B2 (en) * | 2007-01-29 | 2012-05-08 | Threatmetrix Pty Ltd | Method for tracking machines on a network using multivariable fingerprinting of passively available information |
JP6906928B2 (ja) * | 2015-11-09 | 2021-07-21 | 韓國電子通信研究院Electronics and Telecommunications Research Institute | ネットフロー基盤の接続フィンガープリントの生成及び経由地逆追跡方法 |
-
2018
- 2018-12-06 CN CN201811491095.6A patent/CN110875918B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101247281A (zh) * | 2008-03-21 | 2008-08-20 | 华为技术有限公司 | 一种协议报文的检测方法、系统及设备 |
CN101753562A (zh) * | 2009-12-28 | 2010-06-23 | 成都市华为赛门铁克科技有限公司 | 僵尸网络的检测方法、装置及网络安全防护设备 |
CN103856470A (zh) * | 2012-12-06 | 2014-06-11 | 腾讯科技(深圳)有限公司 | 分布式拒绝服务攻击检测方法及检测装置 |
CN106789935A (zh) * | 2016-11-29 | 2017-05-31 | 上海辰锐信息科技公司 | 一种终端异常检测方法 |
CN107292154A (zh) * | 2017-06-09 | 2017-10-24 | 北京奇安信科技有限公司 | 一种终端特征识别方法及系统 |
CN108390864A (zh) * | 2018-02-01 | 2018-08-10 | 杭州安恒信息技术股份有限公司 | 一种基于攻击链行为分析的木马检测方法及系统 |
Also Published As
Publication number | Publication date |
---|---|
CN110875918A (zh) | 2020-03-10 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10218733B1 (en) | System and method for detecting a malicious activity in a computing environment | |
WO2015165296A1 (zh) | 协议类型的识别方法和装置 | |
US20120099597A1 (en) | Method and device for detecting a packet | |
US10218717B1 (en) | System and method for detecting a malicious activity in a computing environment | |
US10264004B2 (en) | System and method for connection fingerprint generation and stepping-stone traceback based on netflow | |
CN110198251B (zh) | 一种获得客户端地址的方法及装置 | |
CN108809926A (zh) | 入侵检测规则优化方法、装置、电子设备及存储介质 | |
CN110868380A (zh) | 网络流量安全监测方法、装置、电子设备及存储介质 | |
CN110875918B (zh) | 一种木马通信行为的检测方法、装置及电子设备 | |
CN113079157A (zh) | 获取网络攻击者位置的方法、装置、电子设备 | |
CN114760216B (zh) | 一种扫描探测事件确定方法、装置及电子设备 | |
CN109257384B (zh) | 基于访问节奏矩阵的应用层DDoS攻击识别方法 | |
CN110858132B (zh) | 一种打印设备的配置安全检测方法及装置 | |
CN108650274B (zh) | 一种网络入侵检测方法及系统 | |
CN115225347B (zh) | 靶场资源监控的方法和装置 | |
CN106961393B (zh) | 网络会话中udp报文的检测方法及装置 | |
CN114363059A (zh) | 一种攻击识别方法、装置及相关设备 | |
TW201928746A (zh) | 偵測惡意程式的方法和裝置 | |
CN114006955A (zh) | 一种数据处理方法、装置、设备及可读存储介质 | |
WO2016184079A1 (zh) | 一种处理系统日志报文的方法和装置 | |
CN108881151B (zh) | 一种无关节点确定方法、装置及电子设备 | |
CN113992404B (zh) | 一种攻击证据记录方法及装置 | |
CN114157713B (zh) | 一种捕获隐藏服务流量的方法和系统 | |
CN115038089B (zh) | 一种基于信息抽取的多端数据监听采集方法 | |
CN114172709B (zh) | 一种网络多步攻击检测方法、装置、设备及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |