基于網(wǎng)絡(luò)通信行為特征的木馬識別方法
【專利摘要】本發(fā)明提供一種基于網(wǎng)絡(luò)通信行為特征的木馬識別方法，包括建立木馬數(shù)據(jù)流量的馬爾科夫模型；對網(wǎng)絡(luò)上的數(shù)據(jù)流量進(jìn)行監(jiān)測；對所監(jiān)測到的網(wǎng)絡(luò)通信行為進(jìn)行篩選；若所監(jiān)測到的網(wǎng)絡(luò)通信行為并非木馬通信會話，則證明當(dāng)前數(shù)據(jù)流量為無關(guān)流量；否則，得到所述網(wǎng)絡(luò)通信行為的時序序列；將實際網(wǎng)絡(luò)數(shù)據(jù)流量還原成若干的網(wǎng)絡(luò)會話，再將網(wǎng)絡(luò)會話與馬爾科夫模型進(jìn)行匹配；若二者不匹配，則證明當(dāng)前網(wǎng)絡(luò)會話并非木馬通信數(shù)據(jù)；否則證明當(dāng)前網(wǎng)絡(luò)會話為木馬通信數(shù)據(jù)。本發(fā)明使用木馬通信行為特征及其時序性來實現(xiàn)對木馬通信行為的監(jiān)測，有效避免木馬變形加殼等規(guī)避技術(shù)對木馬檢測結(jié)果的影響，提高了網(wǎng)絡(luò)木馬檢測的效率和準(zhǔn)確率。
【專利說明】基于網(wǎng)絡(luò)通信行為特征的木馬識別方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明屬于信息安全【技術(shù)領(lǐng)域】，特別地，涉及一種基于網(wǎng)絡(luò)通信行為特征的木馬識別方法。
【背景技術(shù)】
[0002]隨著計算機和網(wǎng)絡(luò)的普及與應(yīng)用，人們對計算機和網(wǎng)絡(luò)的依賴程度也越來越高。在每個工作用和家庭用的電腦上保存著大量的非公開或保密的重要文檔和個人信息.這些電腦一旦被植入木馬程序，其信息會被竊取，從而造成重要信息泄漏、秘密文件泄密、個人隱私信息暴露以及經(jīng)濟上的損失等等問題。此外，木馬還可以破壞信息系統(tǒng)，致使系統(tǒng)癱瘓和重要數(shù)據(jù)丟失。
[0003]目前，木馬的檢測和防護(hù)方法可以分為兩大類:
[0004]一類是傳統(tǒng)的基于文件特征碼的檢測方式，該方法首先提取木馬程序文件的特征碼，然后通過掃描檢測文件中是否包含特征碼來識別木馬文件。但是木馬制造者通常會給木馬程序文件加上各種形式的“外殼”，使得木馬以多種類、多特征碼的方式進(jìn)行傳播，從而給采集、監(jiān)控、查殺和預(yù)防木馬帶來了越來越大的挑戰(zhàn)。
[0005]另一類是木馬防火墻，其是安裝在用戶主機端的軟件工具，它采用動態(tài)監(jiān)控的方式，網(wǎng)絡(luò)中的可疑連接進(jìn)行監(jiān)控，過濾掉不安全的網(wǎng)絡(luò)連接，從而保護(hù)主機免受外界攻擊的危險。但是，由于需要運行在用戶主機系統(tǒng)中，在工作過程中需要占用用戶主機系統(tǒng)的CPU和內(nèi)存資源，從而影響了系統(tǒng)其它工作的性能，并且此類方法非常容易產(chǎn)生誤報。
[0006]隨著國際互聯(lián)網(wǎng)的迅猛發(fā)展，木馬的種類愈加繁雜，其對于計算機的危害也越來越嚴(yán)重。木馬網(wǎng)絡(luò)行為主要是指木馬與網(wǎng)絡(luò)上其它主機間的通信行為。通過網(wǎng)絡(luò)行為木馬可以達(dá)到實施網(wǎng)絡(luò)攻擊、竊取保密信息、操作受控主機等目的。因此，對木馬網(wǎng)絡(luò)行為及時、準(zhǔn)確的識別就顯得至關(guān)重要。
[0007]不同的木馬程序在功能、針對的操作系統(tǒng)及采用的網(wǎng)絡(luò)通信協(xié)議方面存在很大差異，但在通信行為上又具有一定的相似性。通過對大量主流木馬樣本進(jìn)行分析發(fā)現(xiàn):木馬整個通信過程按通信行為特征劃分為三個階段，建立連接階段、保持連接階段和交互連接階段。木馬不同階段的網(wǎng)絡(luò)通信行為在流量上表現(xiàn)為不同的特征，使用這種特征可以區(qū)分不同的木馬工作階段。

【發(fā)明內(nèi)容】

[0008]鑒于以上所述現(xiàn)有技術(shù)的缺點，本發(fā)明的目的在于提供一種基于網(wǎng)絡(luò)通信行為特征的木馬識別方法，通過使用木馬通信行為特征及其時序性來實現(xiàn)對木馬的識別，可以有效避免木馬變形加殼等規(guī)避技術(shù)對木馬檢測結(jié)果的影響。
[0009]為實現(xiàn)上述目的及其他相關(guān)目的，本發(fā)明提供一種基于網(wǎng)絡(luò)通信行為特征的木馬識別方法，所述木馬識別方法至少包括以下步驟:建立木馬數(shù)據(jù)流量的馬爾科夫模型；對網(wǎng)絡(luò)上的數(shù)據(jù)流量進(jìn)行監(jiān)測；對所監(jiān)測到的網(wǎng)絡(luò)通信行為進(jìn)行篩選；若所監(jiān)測到的網(wǎng)絡(luò)通信行為并非木馬通信會話，則證明當(dāng)前數(shù)據(jù)流量為無關(guān)流量；若所監(jiān)測到的網(wǎng)絡(luò)通信行為為木馬通信會話，則得到所述網(wǎng)絡(luò)通信行為的時序序列；將實際網(wǎng)絡(luò)數(shù)據(jù)流量還原成若干的網(wǎng)絡(luò)會話，再將網(wǎng)絡(luò)會話與馬爾科夫模型進(jìn)行匹配；若二者不匹配，則證明當(dāng)前網(wǎng)絡(luò)會話并非木馬通信數(shù)據(jù)；若二者匹配，則證明當(dāng)前網(wǎng)絡(luò)會話為木馬通信數(shù)據(jù)。
[0010]根據(jù)上的基于網(wǎng)絡(luò)通信行為特征的木馬識別方法，其中:還包括以下步驟:證明當(dāng)前網(wǎng)絡(luò)會話為木馬通信數(shù)據(jù)后，發(fā)出木馬識別的報警。
[0011]根據(jù)上的基于網(wǎng)絡(luò)通信行為特征的木馬識別方法，其中:對網(wǎng)絡(luò)上的數(shù)據(jù)流量進(jìn)行監(jiān)測時，采用交換機獲得網(wǎng)絡(luò)數(shù)據(jù)流量的鏡像數(shù)據(jù)流量。
[0012]根據(jù)上的基于網(wǎng)絡(luò)通信行為特征的木馬識別方法，其中:所述馬爾科夫模型中，采用包長度、包方向和包間隔作為屬性來描述木馬的網(wǎng)絡(luò)通信行為特征，并以一個TCP會話為研究的基本單兀。
[0013]根據(jù)上的基于網(wǎng)絡(luò)通信行為特征的木馬識別方法，其中:所述馬爾科夫模型中，由木馬通信會話過程中發(fā)送的一個具有負(fù)載的數(shù)據(jù)包來觸發(fā)一次行為狀態(tài)的遷移。
[0014]根據(jù)上的基于網(wǎng)絡(luò)通信行為特征的木馬識別方法，其中:所述網(wǎng)絡(luò)通信行為包括目錄瀏覽、文件下載、遠(yuǎn)程終端、鍵盤記錄、屏幕監(jiān)控。
[0015]根據(jù)上的基于網(wǎng)絡(luò)通信行為特征的木馬識別方法，其中:將還原的網(wǎng)絡(luò)會話與馬爾科夫模型匹配時，根據(jù)馬爾科夫模型中的轉(zhuǎn)移矩陣判斷木馬的網(wǎng)絡(luò)通信行為發(fā)生的階段。
[0016]如上所述，本發(fā)明的基于網(wǎng)絡(luò)通信行為特征的木馬識別方法，具有以下有益效果:
[0017](I)木馬的網(wǎng)絡(luò)通信行為與正常的網(wǎng)絡(luò)應(yīng)用相比具有一定的特殊性，因此使用木馬的網(wǎng)絡(luò)通信行為特征及其時序性來實現(xiàn)對木馬的識別，可以有效避免木馬變形加殼等規(guī)避技術(shù)對木馬檢測結(jié)果的影響；
[0018](2)有效提高了網(wǎng)絡(luò)木馬檢測的效率和準(zhǔn)確率。
【專利附圖】

【附圖說明】
[0019]圖1顯示為木馬交互連接階段的數(shù)據(jù)屬性采集序列示意圖；
[0020]圖2顯示為木馬建立連接階段、保持連接階段的數(shù)據(jù)屬性采集序列示意圖；
[0021]圖3顯示為正常瀏覽網(wǎng)頁、即時通訊、郵件收發(fā)、數(shù)據(jù)下載行為時的數(shù)據(jù)屬性采集序列示意圖；
[0022]圖4顯示為PI木馬通行的流程圖；
[0023]圖5顯示為本發(fā)明的基于網(wǎng)絡(luò)通信行為特征的木馬識別系統(tǒng)的結(jié)構(gòu)；
[0024]圖6顯示為本發(fā)明的基于網(wǎng)絡(luò)通信行為特征的木馬識別方法的流程圖。
【具體實施方式】
[0025]以下通過特定的具體實例說明本發(fā)明的實施方式，本領(lǐng)域技術(shù)人員可由本說明書所揭露的內(nèi)容輕易地了解本發(fā)明的其他優(yōu)點與功效。本發(fā)明還可以通過另外不同的【具體實施方式】加以實施或應(yīng)用，本說明書中的各項細(xì)節(jié)也可以基于不同觀點與應(yīng)用，在沒有背離本發(fā)明的精神下進(jìn)行各種修飾或改變。[0026]需要說明的是，本實施例中所提供的圖示僅以示意方式說明本發(fā)明的基本構(gòu)想，遂圖式中僅顯示與本發(fā)明中有關(guān)的組件而非按照實際實施時的組件數(shù)目、形狀及尺寸繪制，其實際實施時各組件的型態(tài)、數(shù)量及比例可為一種隨意的改變，且其組件布局型態(tài)也可能更為復(fù)雜。
[0027]通常，一種應(yīng)用的網(wǎng)絡(luò)通信行為在流量上表現(xiàn)為不同的特征，使用這種特征可以區(qū)分不同的網(wǎng)絡(luò)應(yīng)用。這種網(wǎng)絡(luò)通信特征可用網(wǎng)絡(luò)流量的一組不同的屬性進(jìn)行描述，這些屬性包括:包間隔時間、包長度、包方向、連接持續(xù)時間、TCP標(biāo)志位等等。
[0028]本發(fā)明針對木馬網(wǎng)絡(luò)通信行為的特點，通過使用馬爾可夫模型對木馬數(shù)據(jù)流量進(jìn)行建模，繼而進(jìn)行木馬的識別。首先，考察TCP流前N個具有負(fù)載的數(shù)據(jù)包，將其刻畫為一個馬爾可夫鏈以描述其通信特征，從而實現(xiàn)對木馬網(wǎng)絡(luò)通信行為的識別?？紤]到木馬網(wǎng)絡(luò)通信行為的具體特點，本發(fā)明使用包長度、包方向和包間隔作為屬性通過建模來描述木馬的網(wǎng)絡(luò)通信行為特征，并以一個TCP會話為研究的基本單元。
[0029]用馬爾可夫過程來描述木馬的網(wǎng)絡(luò)通信行為，選擇由木馬通信會話過程中發(fā)送的一個具有負(fù)載的數(shù)據(jù)包來觸發(fā)一次行為狀態(tài)的遷移。為了在模型中刻畫數(shù)據(jù)包的方向、負(fù)載和間隔，使用正負(fù)號加上數(shù)據(jù)包長度和正負(fù)號加上時間間隔來描述一個狀態(tài)，正值代表從客戶端發(fā)往服務(wù)端的方向，負(fù)值代表從服務(wù)端發(fā)往客戶端的方向，狀態(tài)的絕對值則是數(shù)據(jù)包負(fù)載長度和包間隔時間。
[0030]設(shè)馬爾可夫過程的初始狀態(tài)概率向量為Π，在任意一個時刻\處于某一狀態(tài)Si,客戶端和服務(wù)端之間每發(fā)送一個數(shù)據(jù)包時就觸發(fā)一次網(wǎng)絡(luò)行為過程的狀態(tài)變遷，使其進(jìn)入了下一個特定的狀態(tài)。每一個狀態(tài)由包大小包間隔加上正負(fù)號進(jìn)行描述，即狀態(tài)空間為S={Si|-MSS<=Si<=MSS, ei； i=0，l，2，…}。其中，ei為包間隔，MSS最大分片大小，轉(zhuǎn)移概率矩陣為A。但是，以包長度作為建模屬性帶來的問題是，由于理論上包長度可能的取值為[-MSS，MSS]，包時間間隔可能的取值為[0，+ °°)，這使得使?fàn)顟B(tài)空間規(guī)模變得十分龐大，增加了計算復(fù)雜度，且在訓(xùn)練過程中，狀態(tài)的轉(zhuǎn)移概率分布過于分散，不便于確定模型的各項參數(shù)。因此，在實際的實現(xiàn)過程中，根據(jù)木馬的網(wǎng)絡(luò)通信行為特征將包長度劃分為幾個區(qū)間，如[-MSS，-1400](在轉(zhuǎn)移矩陣中定義為_3)，[-1399,-257](在轉(zhuǎn)移矩陣中定義為_2)，[-256,-1](在轉(zhuǎn)移矩陣中定義為-1)，[0，256](在轉(zhuǎn)移矩陣中定義為I )，[257，1399](在轉(zhuǎn)移矩陣中定義為2)，[1399，MSS](在轉(zhuǎn)移矩陣中定義為3)。包時間間隔劃分為幾個區(qū)間，如(0，1](在轉(zhuǎn)移矩陣中定義為1)，(1，2](在轉(zhuǎn)移矩陣中定義為2)，(2，5](在轉(zhuǎn)移矩陣中定義為3)，(5, + -](在轉(zhuǎn)移矩陣中定義為4)。這樣一來，狀態(tài)空間數(shù)就下降為區(qū)間數(shù)的笛卡爾積，大大減少了馬爾科夫模型的復(fù)雜度。
[0031]對于一種木馬，其要達(dá)到遠(yuǎn)程控制主機和竊取信息等目的則必然產(chǎn)生網(wǎng)絡(luò)流量。根據(jù)控制的時序、方式、意圖的不同，一種木馬會產(chǎn)生多種具有多種不同流量特征的網(wǎng)絡(luò)通信行為。木馬網(wǎng)絡(luò)通信行為包括目錄瀏覽、文件下載、遠(yuǎn)程終端、鍵盤記錄、屏幕監(jiān)控等等。木馬的控制端和被控端建立連接之后，控制端在實施以上任何一種網(wǎng)絡(luò)行為的時候一般都再重新建立一個專門的連接用于此特定的控制行為，而一個新的TCP會話上也將具有其特定的流量特征。
[0032]木馬交互連接階段數(shù)據(jù)屬性采集序列如圖1所示。由圖可知，Y軸正方向為被控端數(shù)據(jù)屬性，其屬性值范圍為(-3，-1)，Y軸負(fù)方向為控制端數(shù)據(jù)屬性，其屬性值范圍為(1，3)，X軸為時間軸,其屬性值范圍為(1,4)。由于木馬的竊密屬性可以看出木馬交互連接階段，被控端數(shù)據(jù)明顯多于控制端數(shù)據(jù)。
[0033]將木馬交互階連接段數(shù)據(jù)屬性采集值輸入馬爾可夫模型，計算得到轉(zhuǎn)移矩陣如下:
[0034]
【權(quán)利要求】
1.一種基于網(wǎng)絡(luò)通信行為特征的木馬識別方法，其特征在于，所述木馬識別方法至少包括以下步驟: 建立木馬數(shù)據(jù)流量的馬爾科夫模型； 對網(wǎng)絡(luò)上的數(shù)據(jù)流量進(jìn)行監(jiān)測； 對所監(jiān)測到的網(wǎng)絡(luò)通信行為進(jìn)行篩選；若所監(jiān)測到的網(wǎng)絡(luò)通信行為并非木馬通信會話，則證明當(dāng)前數(shù)據(jù)流量為無關(guān)流量； 若所監(jiān)測到的網(wǎng)絡(luò)通信行為為木馬通信會話，則得到所述網(wǎng)絡(luò)通信行為的時序序列； 將實際網(wǎng)絡(luò)數(shù)據(jù)流量還原成若干的網(wǎng)絡(luò)會話，再將網(wǎng)絡(luò)會話與馬爾科夫模型進(jìn)行匹配；若二者不匹配，則證明當(dāng)前網(wǎng)絡(luò)會話并非木馬通信數(shù)據(jù)； 若二者匹配，則證明當(dāng)前網(wǎng)絡(luò)會話為木馬通信數(shù)據(jù)。
2.根據(jù)權(quán)利要求1所述的基于網(wǎng)絡(luò)通信行為特征的木馬識別方法，其特征在于:還包括以下步驟:證明當(dāng)前網(wǎng)絡(luò)會話為木馬通信數(shù)據(jù)后，發(fā)出木馬識別的報警。
3.根據(jù)權(quán)利要求1所述的基于網(wǎng)絡(luò)通信行為特征的木馬識別方法，其特征在于:對網(wǎng)絡(luò)上的數(shù)據(jù)流量進(jìn)行監(jiān)測時，采用交換機獲得網(wǎng)絡(luò)數(shù)據(jù)流量的鏡像數(shù)據(jù)流量。
4.根據(jù)權(quán)利要求1所述的基于網(wǎng)絡(luò)通信行為特征的木馬識別方法，其特征在于:所述馬爾科夫模型中，采用包長度、包方向和包間隔作為屬性來描述木馬的網(wǎng)絡(luò)通信行為特征，并以一個TCP會話為研究的基本單元。
5.根據(jù)權(quán)利要求1所述的基于網(wǎng)絡(luò)通信行為特征的木馬識別方法，其特征在于:所述馬爾科夫模型中，由木馬通信會話過程中發(fā)送的一個具有負(fù)載的數(shù)據(jù)包來觸發(fā)一次行為狀態(tài)的遷移。
6.根據(jù)權(quán)利要求1所述的基于網(wǎng)絡(luò)通信行為特征的木馬識別方法，其特征在于:所述網(wǎng)絡(luò)通信行為包括目錄瀏覽、文件下載、遠(yuǎn)程終端、鍵盤記錄、屏幕監(jiān)控。
7.根據(jù)權(quán)利要求1所述的基于網(wǎng)絡(luò)通信行為特征的木馬識別方法，其特征在于:將還原的網(wǎng)絡(luò)會話與馬爾科夫模型匹配時，根據(jù)馬爾科夫模型中的轉(zhuǎn)移矩陣判斷木馬的網(wǎng)絡(luò)通信行為發(fā)生的階段。
【文檔編號】H04L29/06GK103475663SQ201310419949
【公開日】2013年12月25日 申請日期:2013年9月13日 優(yōu)先權(quán)日:2013年9月13日
【發(fā)明者】耿振民 申請人:無錫華御信息技術(shù)有限公司