一種智能木馬識別裝置及方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及網(wǎng)絡(luò)安全領(lǐng)域,尤其涉及一種智能木馬識別裝置及方法���。
【背景技術(shù)】
[0002] 隨著互聯(lián)網(wǎng)在社會生活中的應(yīng)用越來越廣泛��,相應(yīng)涉及的網(wǎng)絡(luò)安全問題也受到各 方面的重視���,尤其是木馬的檢測與防護(hù)問題一直是網(wǎng)絡(luò)安全領(lǐng)域研究的重點問題之一����。
[0003] 目前市場上主流的木馬檢測技術(shù)主要存有三種:基于特征匹配的檢測技術(shù)�����、基于 協(xié)議分析的檢測技術(shù)和基于行為分析的檢測技術(shù)��。
[0004] 基于特征匹配的檢測技術(shù)通過建立并維護(hù)一個預(yù)先定義的木馬特征庫�����,用特征庫 中的特征碼與實際網(wǎng)絡(luò)數(shù)據(jù)流進(jìn)行匹配����,如果匹配成功,則命中木馬����,產(chǎn)生報警。目前許多 入侵檢測系統(tǒng)(如snorksuricate等)都是通過特征匹配的檢測技術(shù)檢測木馬����,但是這種 技術(shù)只能檢測特征庫中已知類型的木馬,無法檢測變種木馬和未知木馬檢測�。
[0005] 基于協(xié)議分析的檢測技術(shù)通過對捕獲的網(wǎng)絡(luò)數(shù)據(jù)流進(jìn)行協(xié)議分析����,如果發(fā)現(xiàn)數(shù)據(jù) 流中存在違背協(xié)議規(guī)范的行為則進(jìn)行告警��?����;趨f(xié)議分析的檢測技術(shù)能夠檢測到部分已知 和部分變形的木馬�����,但當(dāng)攻擊者使用設(shè)計完善的隱蔽通道工具進(jìn)行攻擊時(如代理服務(wù)型 和CGI腳本型通道工具)�����,基于協(xié)議分析的檢測技術(shù)就很難檢測到木馬攻擊行為�。
[0006] 基于行為的檢測技術(shù)是利用網(wǎng)絡(luò)中數(shù)據(jù)包自身的特點和網(wǎng)絡(luò)中的各種屬性來描 述一個網(wǎng)絡(luò)行為�����,當(dāng)檢測到網(wǎng)絡(luò)中的某些數(shù)據(jù)包行為偏離預(yù)期的網(wǎng)絡(luò)行為時��,判定該數(shù)據(jù) 包屬于異常數(shù)據(jù)包��,可能存在木馬攻擊行為,發(fā)出告警信息���。相比前兩種技術(shù)��,基于行為的 檢測技術(shù)具有能夠檢測未知木馬�、不受網(wǎng)絡(luò)數(shù)據(jù)包加密影響����,能夠適應(yīng)高速網(wǎng)絡(luò)環(huán)境等優(yōu) 點,因此該技術(shù)是當(dāng)前木馬檢測領(lǐng)域研究的重點和熱點�����,但是市場上還沒有一款成熟的基 于行為分析的木馬檢測裝置�����。
【發(fā)明內(nèi)容】
[0007] 為克服現(xiàn)有技術(shù)的缺陷�����,本發(fā)明提供了一種智能木馬識別裝置與方法����。該方法適 用于大規(guī)模和高速網(wǎng)絡(luò)�����,能夠?qū)σ阎臀粗抉R進(jìn)行檢測����。同時���,該方法具有較高的檢測性 能和計算效率����。
[0008] 本發(fā)明采用如下技術(shù)方案:
[0009] si.采集樣本數(shù)據(jù)構(gòu)造決策樹和規(guī)則集��;
[0010] S2.捕獲網(wǎng)絡(luò)中的TCP����、UDP數(shù)據(jù)包���;
[0011] S3.預(yù)處理捕獲的數(shù)據(jù)包����;
[0012] s4.將預(yù)處理后的數(shù)據(jù)包輸入異常數(shù)據(jù)包識別模塊來識別出異常數(shù)據(jù)包�����;
[0013] s5.從異常數(shù)據(jù)包中識別出包含已知木馬類型的數(shù)據(jù)包;
[0014] s6.對于不同的木馬行為觸發(fā)不同的響應(yīng)動作���。
[0015] 樣本數(shù)據(jù)包括有木馬行為的網(wǎng)絡(luò)屬性向量和沒有木馬行為的網(wǎng)路屬性向量各若 干條����。
[0016] 捕獲網(wǎng)路數(shù)據(jù)包技術(shù)為網(wǎng)絡(luò)安全領(lǐng)域常見的技術(shù)之一�����。
[0017] 預(yù)處理動作包括:IP分片重組和TCP數(shù)據(jù)包重組����,并從重組后的數(shù)據(jù)中提取出特 征向量作為異常數(shù)據(jù)包識別模塊輸入?yún)?shù)。
[0018] 其中���,從重組后的數(shù)據(jù)中提取出特征向量步驟如下將重組好的數(shù)據(jù)包按照五元組 會話(源IP�����、目的IP��、源端口號�����、目的端口號�、傳輸層協(xié)議)進(jìn)行分類,并建立五元組會話層 面上的η維特征向量E = [Vp V2.....�����,VJ�。所述五元組會話層面上的η維特征向量又分 為3類,具體描述如下:
[0019] 首先是基于時間決策的η維特征向量為6維向量�,包括接收小包/會話小包的比 例值、發(fā)送大包/會話大包的比例值����、上傳的字節(jié)數(shù)/下載的字節(jié)數(shù)比例值���、有RST錯誤的 數(shù)據(jù)包數(shù)/總的數(shù)據(jù)包數(shù)比例值����、非正常會話過程的數(shù)據(jù)包數(shù)/總的數(shù)據(jù)包數(shù)比例值�、平均 會話時間6個值。其中,上述描述中的會話是指一次tcp或者udp連接中的五元組信息完全 相同的通信過程����;本發(fā)明中的所有統(tǒng)計數(shù)據(jù)均以局域網(wǎng)主機(jī)為統(tǒng)計對象(若會話雙方均為 局域網(wǎng)主機(jī),則不統(tǒng)計這類數(shù)據(jù)包���,以下所有統(tǒng)計數(shù)據(jù)均使用此方法���,并不贅述);上述描 述中的小包是指會話過程中���,流量在〇~200byte范圍內(nèi)的數(shù)據(jù)包�����,大包是指會話過程中��, 流量超過200byte的數(shù)據(jù)包���;上述描述中的有RST錯誤的數(shù)據(jù)包是指會話過程中含有RST 信息的數(shù)據(jù)包;上述描述中的非正常會話過程的數(shù)據(jù)包是指會話過程中沒有正常建立tcp 三次握手過程或者沒有正常執(zhí)行tcp四次握手釋放過程的數(shù)據(jù)包���。
[0020] 其次是基于會話決策的η維特征向量為7維向量�����,包括連接保持階段向量和交互 保持階段向量兩部分�����;其中連接保持階段向量包括上行字節(jié)數(shù)/下載字節(jié)比例值����、心跳間 隙平穩(wěn)性值2個值;其中交互保持階段向量包括接收小包/會話小包比例值���、發(fā)送大包/會 話大包比例值���、上傳的字節(jié)數(shù)/下載的字節(jié)數(shù)比例值、有RST錯誤的會話包數(shù)/總的會話 包數(shù)比例值���、非正常會話包數(shù)/總的會話包數(shù)比例值3個值���。其中�����,本發(fā)明中所述的會話、 小包�、大包等關(guān)鍵字含義均和前文所述一致;上述描述中的連接保持階段是指上傳字節(jié)數(shù) /下載字節(jié)數(shù)>10的會話��,交互保持階段是指上傳字節(jié)數(shù)/下載字節(jié)數(shù)〈10的會話�;上述 描述中的心跳間隙平穩(wěn)性值采用二次小波計算心跳間隙平穩(wěn)性,計算公式為
y其中
Xl表示連接保持階段單向數(shù)據(jù)流數(shù)據(jù)包時間間隔采樣集合(單 位:秒)�����。
[0021] 最后是基于主機(jī)決策的η維特征向量為4維向量����,包括同一主機(jī)的會話數(shù)量/總 會話數(shù)量比例值、同一主機(jī)同一端口會話數(shù)量/同一主機(jī)會話數(shù)量比例值���、有RST錯誤的數(shù) 據(jù)包數(shù)/總的數(shù)據(jù)包數(shù)比例值��、非正常會話的包數(shù)/總的會話包數(shù)比例值4個值���。其中, 上述描述中的同一主機(jī)的會話數(shù)量是指需要檢測的內(nèi)網(wǎng)主機(jī)在掃描時間內(nèi)的會話數(shù)量����,同 一主機(jī)同一端口會話數(shù)量是指需要檢測的內(nèi)網(wǎng)主機(jī)四元組(源ip�、目的ip��、源端口���、目的端 口)相同的會話數(shù)量�。
[0022] 異常數(shù)據(jù)包識別模塊利用決策樹知識進(jìn)行木馬檢測�����,并使用異常檢測方法����,利用 決策樹的規(guī)則集來檢查預(yù)處理過的數(shù)據(jù)包,將異常數(shù)據(jù)包檢測出來�����。
[0023] 其中�����,所用決策樹使用C4. 5算法構(gòu)造決策樹�����,使用后剪枝的方法優(yōu)化決策樹���,然 后生成規(guī)則集����,步驟如下:
[0024] 首先是利用包含已知樣本的訓(xùn)練集進(jìn)行學(xué)習(xí)��,生成決策樹�����;
[0025] 其次是使用測試集來檢驗生成的決策樹�����,并根據(jù)測試結(jié)果對決策樹進(jìn)行修剪���;
[0026] 最后是將剪枝后的決策樹轉(zhuǎn)化為規(guī)則集�����。
[0027] 識別已知類型木馬技術(shù)采用特征碼檢測技術(shù)對異常數(shù)據(jù)包進(jìn)行匹配分析���。具體特 征碼檢測技術(shù)如下:
[0028] 首先將收集到的木馬行為特征碼存入木馬特征庫中�;
[0029] 然后將異常數(shù)據(jù)包識別模塊識別出來的異常數(shù)據(jù)包分離后的各字段內(nèi)容與木馬 行為特征庫中的特征碼進(jìn)行匹配:如果匹配到特征庫中某些特性碼���,則判定該數(shù)據(jù)包中含 有特定木馬�;如果在特征庫中沒有匹配到任何特征碼��,則判定該數(shù)據(jù)包中含有未知木馬��。
[0030] 響應(yīng)行為包括:對于已知木馬�,上報到告警中心;對于未知木馬則將異常數(shù)據(jù)包 存入數(shù)據(jù)庫����,并發(fā)送告警郵件通知系統(tǒng)維護(hù)人員對異常數(shù)據(jù)包進(jìn)行分析,更新木馬特征庫����。
[0031] 本發(fā)明還提供了一種智能木馬檢測裝置,具體內(nèi)容如下:
[0032] 本發(fā)明所提出的一種智能木馬識別系統(tǒng)由下面的裝置構(gòu)成:數(shù)據(jù)包捕獲裝置�、數(shù) 據(jù)包預(yù)處理裝置、異常數(shù)據(jù)包智能識別裝置���、木馬識別裝置��、報警和反饋裝置�����,各部分裝置 具體描述如下:
[0033] 數(shù)據(jù)包捕獲裝置:實時采集網(wǎng)絡(luò)中的數(shù)據(jù)包����;該裝置的功能是利用網(wǎng)絡(luò)安全領(lǐng)域 常用的數(shù)據(jù)包捕獲技術(shù)實時捕獲目標(biāo)網(wǎng)絡(luò)中的數(shù)據(jù)包��;
[0034] 預(yù)處理裝置:對采集到的網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行重組�,并對重組后的數(shù)據(jù)包預(yù)處理,生成 決策樹的輸入值�;該功能包括IP分片重組和TCP數(shù)據(jù)包重組,并從重組后的數(shù)據(jù)中提取出 所需向量作為決策樹的輸入?yún)?shù)�;
[0035] 異常數(shù)據(jù)包智能識別裝置:利用決策樹的自學(xué)習(xí)特性識別網(wǎng)絡(luò)流量中的異常數(shù)據(jù) 包,放行流量中的正常數(shù)據(jù)包���;該裝置的主要功能是使用樣本庫中的樣本進(jìn)行學(xué)習(xí)���,生成決 策樹,然后使用驗證數(shù)據(jù)集檢驗����、調(diào)整、修剪決策樹,最后將得到的決策樹轉(zhuǎn)化為規(guī)則集����,并 使用該規(guī)則集檢測重組后的數(shù)據(jù)包,從中識別出異常數(shù)據(jù)包�����;
[0036] 木馬識別裝置:根據(jù)建立的木馬規(guī)則庫來匹配異常數(shù)據(jù)包中的數(shù)據(jù)流����,識別出規(guī) 則庫中已知類型的木馬;該裝置的功能是利用建立的木馬特征庫匹配異常數(shù)據(jù)包智能識別 裝置檢測出來的異常數(shù)據(jù)包���;
[0037] 報警和反饋裝置:對木馬識別裝置的識別結(jié)果觸發(fā)報警或反饋動作����;該裝置的主 要功能是:對于實時數(shù)據(jù)包的識別結(jié)果���,將已知類型的木馬上報到告警中心�����,將包含未知 木馬的異常數(shù)據(jù)包存儲到數(shù)據(jù)庫����,并發(fā)郵件通知系統(tǒng)維護(hù)人員對該類型的未知木馬進(jìn)行分 析,并將分析結(jié)果寫入規(guī)則庫��。
[0038] 本發(fā)明技術(shù)方案帶來的有益效果:
[0039] 本發(fā)明的檢測方法是基于異常行為檢測技術(shù)實現(xiàn)的����,并不需解析數(shù)據(jù)包內(nèi)容�,因 此具有較高的檢測效率,適用于大規(guī)模和高速網(wǎng)絡(luò)��;本發(fā)明將木馬行為特征檢測技術(shù)和木 馬特征碼檢測技術(shù)結(jié)合起來檢測木馬���,因此無論是已知的還是未知的木馬都可以進(jìn)行很好 的檢測���;本發(fā)明基于決策樹C4. 5算法實現(xiàn)木馬檢測技術(shù),能夠智能的檢測出網(wǎng)絡(luò)中的異常 數(shù)據(jù)包���,并使用特征碼檢測技術(shù)識別已知類型的木馬��,同時對未知類型的木馬���,通知系統(tǒng)維 護(hù)人員進(jìn)行分析,及時更新木馬特征庫,從而使木馬檢測系統(tǒng)的特征庫保持新鮮性����,以便及 時、準(zhǔn)確的檢測出網(wǎng)絡(luò)中的木馬��。
【附圖說明】
[0040] 為了更清楚地說明本發(fā)明實施例或現(xiàn)有技術(shù)中的技術(shù)方案�����,下面將對實施例或現(xiàn) 有技術(shù)描述中所需要使用的附圖作簡單地介紹�����,顯而易見地�����,下面描述中的附圖僅僅是本 發(fā)明的一些實施例���,對于本領(lǐng)域普通技術(shù)人員來講�,在不付出創(chuàng)造性勞動的前提下�,還可以 根據(jù)這些附圖獲得其它的附圖。
[0041] 圖1為本發(fā)明流程圖���;
[0042] 圖2為本實施例的組成框架圖��。
【具體實施方式】
[0043] 下面將結(jié)合本發(fā)明實施例中的附圖�����,對本發(fā)明實施例中的技術(shù)方案進(jìn)行清楚���、完 整地描述��,顯然�����,所描述的實施例僅僅是本發(fā)明一部分實施例,而不是全部的實施例����。基于 本發(fā)明中的實施例����,本領(lǐng)域普通技術(shù)人員在沒有作出創(chuàng)造性勞動前提