CN113839937A - 基于网络流量的使用跨会话技术检测未知木马的方法及系统 - Google Patents

基于网络流量的使用跨会话技术检测未知木马的方法及系统 Download PDF

Info

Publication number
CN113839937A
CN113839937A CN202111081415.2A CN202111081415A CN113839937A CN 113839937 A CN113839937 A CN 113839937A CN 202111081415 A CN202111081415 A CN 202111081415A CN 113839937 A CN113839937 A CN 113839937A
Authority
CN
China
Prior art keywords
trojan
session
data packet
cross
trojan horse
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202111081415.2A
Other languages
English (en)
Inventor
宋超
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shenzhou Wangyun Beijing Information Technology Co ltd
Original Assignee
Shenzhou Wangyun Beijing Information Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shenzhou Wangyun Beijing Information Technology Co ltd filed Critical Shenzhou Wangyun Beijing Information Technology Co ltd
Priority to CN202111081415.2A priority Critical patent/CN113839937A/zh
Publication of CN113839937A publication Critical patent/CN113839937A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了基于网络流量的使用跨会话技术检测未知木马的方法及系统,包括dpdk抓取交换机镜像过来的网络流量、解析数据包、五元组进行会话管理、调换源目的的ip地址、存在方向的ip对会话后判断创建时间、根据两个会话的协议类型剔除正常通信协议与输出木马检测结果七个步骤。本文提出基于对木马的通信行为进行检测,但不是采用统计规律来进行检测,而是由经验丰富的安全分析人员依据大量的实践经验,根据大量多种木马的通信活动总结出的通信特点来进行检测,可以检测出apt这一类的木马通信活动,具有检测新的未知木马能力;通过监控网络流量,判断分析隐藏在计算机木马程序上线激活的步骤,从而发现木马活动,最终发现失陷主机。

Description

基于网络流量的使用跨会话技术检测未知木马的方法及系统
技术领域
本发明属于跨会话检测未知木马技术领域,具体涉及基于网络流量的使用跨会话技术检测未知木马的方法及系统。
背景技术
随着网络技术的发展,网络安全已经成为重要的研究课题。目前,主要的安全威胁方式正从入侵攻击、网络蠕虫转向主要通过网页挂马等方式传播木马,攻击者可以通过木马窃取机密文件、隐私信息、各种账号,从而谋取暴利,并组建僵尸网络,发动群体攻击,木马严重威胁着网络用户的隐私和数据安全。因此,在开放的网络环境下,木马检测技术已成为现代计算机安全技术中的一个重要研究课题。按检测对象来划分有检测木马文件、检测木马通信流量、检测木马进程行为三大类。对木马文件进行检测需要事先获取木马样本,提取特征,比如文件的md5值,特征字符串或者二进制特有指令。检测木马进程行为需要在每台计算机上安装、运行检测工具,影响用户使用计算机。检测木马通信流量又可以分为已知流量特征和通信行为检测。流量特征也需要实现掌握对应的真实木马通信流量,然后提取特征。通信行为检测可以研究木马的具体通信行为,掌握通信行为规律,利用通信行为统计特征来进行检测,缺点是需要木马通信比较多,次数比较频繁。
现有的检测方式多基于已知特征的检测,缺点是需要提前获取、提取已知木马的样本,随着技术进步,木马样本可以随意变形,木马迭代升级速度也很快,获取样本的难度越来越大,样本数量极为庞大,以已知特征的检测方式越来越困难。基于通信行为的检测依赖于木马的多次通信行为。但apt类木马的通信次数很少,上线时间很少,大部分时间都在沉睡,这类木马的通信行为检测难度很大,检测样本量很少,为此我们提出基于网络流量的使用跨会话技术检测未知木马的方法及系统来解决现有技术中存在的问题。
发明内容
本发明的目的在于提供基于网络流量的使用跨会话技术检测未知木马的方法及系统,通过监控网络流量,判断分析隐藏在计算机木马程序上线激活的步骤,从而发现木马活动,最终发现失陷主机,以解决上述背景技术中提出现有技术中的问题。
为实现上述目的,本发明采用了如下技术方案:基于网络流量的使用跨会话技术检测未知木马的方法,包括如下步骤:
步骤1、dpdk抓取交换机镜像过来的网络流量;
步骤2、解析数据包,并解析出数据包的各种类型;
步骤3、五元组进行会话管理,保存会话的ip对;
步骤4、调换源目的的ip地址,用ip对在会话表中查询是否已经存在反向的会话;
步骤5、存在方向的ip对会话后判断创建时间是否在10分钟之内;
步骤6、根据两个会话的协议类型剔除ftp,rtsp等正常通信协议;
步骤7、输出木马检测结果:通信的两个ip地址。
优选的,步骤1中,复制数据包到合适大小的进程内存中,同时也使用引用计数方式管理,多处需要缓存数据包时就不再复制数据,仅增加引用计数即可。
优选的,步骤2中,数据包的各种类型包括ip类型,端口类型,协议类型。
优选的,步骤4中,普通会话查找是查找发起连接的ip,而要查找反向连接的会话则需要在历史会话缓存中查找是否存在当前会话ip对交换后的历史会话。
优选的,步骤5与步骤6中,用木马和控制服务器的多次通信的关联性来检测木马,就需要保存一定时间内的一个ip对之间的所有通信会话,当有符合特点的多个会话出现时则认为检测到木马。
优选的,在木马的监测过程中,一般需要一定的数据量才能确定检测到木马,确认告警时则把之前缓存的数据包和之后的数据包永久保存,便于后续分析、取证,超过一定数据量还没有检测到异常时则丢弃之前缓存的数据。
本发明还提出基于网络流量的使用跨会话技术检测未知木马的系统,包括:
抓包模块:利用DPDK技术通过操作系统的用户模式驱动UIO可以在用户态通过轮询的方式读取网卡的数据包;
包处理线程模块:默认情况下系统通过4kb大小来管理内存页面,但是通过与DPDK对应的大页内存技术可以将内存页面调节到1GB;
复制包处理模块:通过这个复制线程处理模块可以快速提高数据包的传输效率,把需要进行检测的数据包提取下来;
检测模块:通过把复制包处理线程模块处理完的数据流量包进行进一步流量的具体特征分析,将恶意流量的结果保存。
优选的,通过轮询的方式读取网卡的数据包,无需把数据包在内核空间和用户空间之前往复移动。
本发明的技术效果和优点:本发明提出的基于网络流量的使用跨会话技术检测未知木马的方法及系统,与现有技术相比,具有以下优点:
未知木马的检测是通过木马上线的行为,而木马上线是必然的步骤,这样检测手段长时间有效,具有未知木马的检测能力,通过该技术的流量分析模块,手段是通过调用目的IP地址、用IP对会话表中查询是否存在反向的会话时间在10分钟之内并且剔除ftp等正常通信协议,这种在流量中剔除白名单流量而保留位置名单流量的分析方式可以筛选出有异常的木马上线流量,从而具备未知木马的检测能力。由于木马上线必须回连到服务端IP,这种协议特征比较稳定,不需要通过多重特征来人工排除和确定,所以不需要经常更新特征库;
本文提出基于对木马的通信行为进行检测,但不是采用统计规律来进行检测,而是由经验丰富的安全分析人员依据大量的实践经验,根据大量多种木马的通信活动总结出的通信特点来进行检测,可以检测出apt这一类的木马通信活动,具有检测新的未知木马能力。
本发明的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在说明书、以及附图中所指出的结构来实现和获得。
附图说明
图1为木马活动过程的流程示意图;
图2为本发明中检测木马过程的流程示意图;
图3为本发明中系统线程分配情况的示意图;
图4为本发明中系统实现的处理流程的示意图;
图5为本发明中发掘未知木马的活动线索的流程示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明提供了如图1-5所示的实施例:
如图1所示,黑客等攻击者在需要启动木马时则先给非活动的木马发送激活数据包,这一动作可以表示为一个tcp会话,处于休眠状态的木马收到激活指令后主动回连控制服务器,接收进一步控制指令,然后加载功能模块,进行传输数据等活动;主动回连控制服务器这一动作又可以表示为一个tcp会话,和之前的会话合在一起具有连接方向相反的特点,两个会话时间接近的特殊性。正常网络协议只有一个会话,不会出现会话反连的情况,正常通信协议的反连情况需要加以排除,比如ftp协议,视频rtsp协议等。
基于网络流量的使用跨会话技术检测未知木马的方法,包括如下步骤:
步骤1、dpdk抓取交换机镜像过来的网络流量;
步骤2、解析数据包,并解析出数据包的各种类型;
步骤3、五元组进行会话管理,保存会话的ip对;
步骤4、调换源目的的ip地址,用ip对在会话表中查询是否已经存在反向的会话;
步骤5、存在方向的ip对会话后判断创建时间是否在10分钟之内;
步骤6、根据两个会话的协议类型剔除ftp,rtsp等正常通信协议;
步骤7、输出木马检测结果:通信的两个ip地址。
本发明还提出基于网络流量的使用跨会话技术检测未知木马的系统,包括:抓包模块:利用DPDK技术通过操作系统的用户模式驱动UIO可以在用户态通过轮询的方式读取网卡的数据包;
包处理线程模块:默认情况下系统通过4kb大小来管理内存页面,但是通过与DPDK对应的大页内存技术可以将内存页面调节到1GB;
复制包处理模块:通过这个复制线程处理模块可以快速提高数据包的传输效率,把需要进行检测的数据包提取下来;
检测模块:通过把复制包处理线程模块处理完的数据流量包进行进一步流量的具体特征分析,将恶意流量的结果保存;通过轮询的方式读取网卡的数据包,无需把数据包在内核空间和用户空间之前往复移动。
图3示出了系统线程的分配情况;
图4中,在进行完工程的设置以及网络适配器的设置后,可以对相应的抓包分析策略进行选择,系统为用户提供了六种分析策略,以供用户满足不同的分析需求,分别是前台实时分析并保存数据包;前台实时分析不保存数据包;前台实时分析并在后台同时进行详细分析;只分析黑域名和黑IP信息并保存数据包;只分析黑域名和黑IP信息不保存数据包;只抓取网络上的黑IP信息。
在设置完策略后,用户就可以进行系统抓包了,系统将捕获的数据包按照两个方向进行分析,其一是通过域名分析、特征码匹配、黑白名单过滤等分析网络流量中存在的已知木马的活动行为;另一方向是通过协议还原,还原出数据包的内容并对其进行全方位多角度的分析,发现与提取网络上存在的可疑行为,从而发掘未知木马的活动线索。
综上所述,本发明具有以下特点:
1、仅一次复制数据包;平衡了内存浪费和使用cpu复制数据的矛盾;dpdk抓包使用固定2k长度的大页内存,很浪费内存,尤其在需要缓存很多数据包时。复制数据包到合适大小的进程内存中,同时也使用引用计数方式管理,多处需要缓存数据包时就不再复制数据,仅增加引用计数即可。即节约了内存,有减少了cpu的使用,平衡了使用cpu复制数据和内存浪费的问题;
2、历史包缓存;可以回溯历史数据,便于确认告警的正确性;一般需要一定的数据量才能确定检测到木马,确认告警时则把之前缓存的数据包和之后的数据包永久保存,便于后续分析、取证。超过一定数据量还没有检测到异常时则丢弃之前缓存的数据;
3、历史会话缓存;缓存了同一ip对的多个会话;用木马和控制服务器的多次通信的关联性来检测木马,就需要保存一定时间内的一个ip对之间的所有通信会话,当有符合特点的多个会话出现时则认为检测到木马;
4、会话反向查找;查找木马和控制服务器间的反向连接;普通会话查找是查找发起连接的ip,而要查找反向连接的会话则需要在历史会话缓存中查找是否存在当前会话ip对交换后的历史会话;
5、并行多线程;单机高效处理万兆流量;万兆流量需要多个cpu核心并行同时处理数据包。同时cpu主频有限,单一线程的处理能力有限,就需要多个cpu核心流水线试顺序处理数据。即数据拆分为多份同时并行处理,且一份数据又流水线式多次、多线程处理;
6、高性能无锁消息队列;高效在线程间传递数据;流水线式顺序处理数据就需要在多个线程间顺序转接数据包,需要高效处理多线程互斥问题。无锁队列即高效又能平衡线程间处理速度不同的问题;
7、BPF数据包过滤;高效过滤数据包;初始化时把bpf表达式编译为内存中的x86cpu指令,在内存中执行cpu汇编代码,可以非常高效和灵活的对抓下的万兆流量数据包进行第一次过滤;
最后应说明的是:以上所述仅为本发明的优选实施例而已,并不用于限制本发明,尽管参照前述实施例对本发明进行了详细的说明,对于本领域的技术人员来说,其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (8)

1.基于网络流量的使用跨会话技术检测未知木马的方法,其特征在于,包括如下步骤:
步骤1、dpdk抓取交换机镜像过来的网络流量;
步骤2、解析数据包,并解析出数据包的各种类型;
步骤3、五元组进行会话管理,保存会话的ip对;
步骤4、调换源目的的ip地址,用ip对在会话表中查询是否已经存在反向的会话;
步骤5、存在方向的ip对会话后判断创建时间是否在10分钟之内;
步骤6、根据两个会话的协议类型剔除ftp,rtsp等正常通信协议;
步骤7、输出木马检测结果:通信的两个ip地址。
2.根据权利要求1所述的基于网络流量的使用跨会话技术检测未知木马的方法,其特征在于:步骤1中,复制数据包到合适大小的进程内存中,同时也使用引用计数方式管理,多处需要缓存数据包时就不再复制数据,仅增加引用计数即可。
3.根据权利要求1所述的基于网络流量的使用跨会话技术检测未知木马的方法,其特征在于:步骤2中,数据包的各种类型包括ip类型,端口类型,协议类型。
4.根据权利要求1所述的基于网络流量的使用跨会话技术检测未知木马的方法,其特征在于:步骤4中,普通会话查找是查找发起连接的ip,而要查找反向连接的会话则需要在历史会话缓存中查找是否存在当前会话ip对交换后的历史会话。
5.根据权利要求1所述的基于网络流量的使用跨会话技术检测未知木马的方法,其特征在于:步骤5与步骤6中,用木马和控制服务器的多次通信的关联性来检测木马,就需要保存一定时间内的一个ip对之间的所有通信会话,当有符合特点的多个会话出现时则认为检测到木马。
6.根据权利要求1所述的基于网络流量的使用跨会话技术检测未知木马的方法,其特征在于:在木马的监测过程中,一般需要一定的数据量才能确定检测到木马,确认告警时则把之前缓存的数据包和之后的数据包永久保存,便于后续分析、取证,超过一定数据量还没有检测到异常时则丢弃之前缓存的数据。
7.基于网络流量的使用跨会话技术检测未知木马的系统,其特征在于,包括:
抓包模块:利用DPDK技术通过操作系统的用户模式驱动UIO可以在用户态通过轮询的方式读取网卡的数据包;
包处理线程模块:默认情况下系统通过4kb大小来管理内存页面,但是通过与DPDK对应的大页内存技术可以将内存页面调节到1GB;
复制包处理模块:通过这个复制线程处理模块可以快速提高数据包的传输效率,把需要进行检测的数据包提取下来;
检测模块:通过把复制包处理线程模块处理完的数据流量包进行进一步流量的具体特征分析,将恶意流量的结果保存。
8.根据权利要求7所述的基于网络流量的使用跨会话技术检测未知木马的系统,其特征在于:通过轮询的方式读取网卡的数据包,无需把数据包在内核空间和用户空间之前往复移动。
CN202111081415.2A 2021-09-15 2021-09-15 基于网络流量的使用跨会话技术检测未知木马的方法及系统 Pending CN113839937A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111081415.2A CN113839937A (zh) 2021-09-15 2021-09-15 基于网络流量的使用跨会话技术检测未知木马的方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111081415.2A CN113839937A (zh) 2021-09-15 2021-09-15 基于网络流量的使用跨会话技术检测未知木马的方法及系统

Publications (1)

Publication Number Publication Date
CN113839937A true CN113839937A (zh) 2021-12-24

Family

ID=78959457

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111081415.2A Pending CN113839937A (zh) 2021-09-15 2021-09-15 基于网络流量的使用跨会话技术检测未知木马的方法及系统

Country Status (1)

Country Link
CN (1) CN113839937A (zh)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101572711A (zh) * 2009-06-08 2009-11-04 北京理工大学 一种基于网络的反弹端口型木马的检测方法
CN104796405A (zh) * 2015-03-18 2015-07-22 深信服网络科技(深圳)有限公司 反弹连接检测方法和装置
CN108540430A (zh) * 2017-03-03 2018-09-14 华为技术有限公司 一种威胁检测方法及装置
CN110995678A (zh) * 2019-11-22 2020-04-10 北京航空航天大学 一种面向工控网络的高效入侵检测系统
CN111371779A (zh) * 2020-02-29 2020-07-03 苏州浪潮智能科技有限公司 一种基于dpdk虚拟化管理系统的防火墙及其实现方法

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101572711A (zh) * 2009-06-08 2009-11-04 北京理工大学 一种基于网络的反弹端口型木马的检测方法
CN104796405A (zh) * 2015-03-18 2015-07-22 深信服网络科技(深圳)有限公司 反弹连接检测方法和装置
CN108540430A (zh) * 2017-03-03 2018-09-14 华为技术有限公司 一种威胁检测方法及装置
CN110995678A (zh) * 2019-11-22 2020-04-10 北京航空航天大学 一种面向工控网络的高效入侵检测系统
CN111371779A (zh) * 2020-02-29 2020-07-03 苏州浪潮智能科技有限公司 一种基于dpdk虚拟化管理系统的防火墙及其实现方法

Similar Documents

Publication Publication Date Title
US9256831B2 (en) Match engine for detection of multi-pattern rules
US7596809B2 (en) System security approaches using multiple processing units
Aurangzeb et al. On the classification of Microsoft-Windows ransomware using hardware profile
Kaur et al. Automatic attack signature generation systems: A review
WO2016209450A1 (en) Query engine for remote endpoint information retrieval
CN112532642B (zh) 一种基于改进Suricata引擎的工控系统网络入侵检测方法
CN113542311B (zh) 一种实时检测失陷主机并回溯的方法
Gomes et al. Cryingjackpot: Network flows and performance counters against cryptojacking
Yang et al. Intrusion detection system for high-speed network
Wang et al. Behavior‐based botnet detection in parallel
Liu et al. Loocipher ransomware detection using lightweight packet characteristics
CN111641589A (zh) 高级可持续威胁检测方法、系统、计算机以及存储介质
Han et al. Data mining aided signature discovery in network-based intrusion detection system
Hu et al. Detecting cryptojacking traffic based on network behavior features
JP2023546687A (ja) コード類似性検索
Choi et al. Implementation and Design of a Zero‐Day Intrusion Detection and Response System for Responding to Network Security Blind Spots
CN113839937A (zh) 基于网络流量的使用跨会话技术检测未知木马的方法及系统
Chai et al. Research of intelligent intrusion detection system based on web data mining technology
CN112994931B (zh) 一种规则匹配的方法及其设备
Najafi et al. Nlp-based entity behavior analytics for malware detection
Wan et al. Multi-core processors based network intrusion detection method
Hung et al. Fast parallel network packet filter system based on CUDA
Hung et al. Parallel botnet detection system by using GPU
CN117077138B (zh) 一种基于浏览器的异常检测方法、系统、介质及设备
Hughes A Content-Based Approach to Data Carving Portable Document Format (PDF) Files

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20211224

RJ01 Rejection of invention patent application after publication