The embodiment of the application provides a threat detection method and a device, which relates to the field of network security and can effectively detect a rebound port type Trojan horse program. The method includes: acquiring a message in a TCP session between the first device and the second device, the originator of the TCP session being the first device, acquiring the first data stream transmitted from the first device to the second device and the second data stream transmitted from the second device to the first device in a TCP session, and acquiring the first data stream; The time information of each first message in a stream and each second message in a plurality of second packets in a second data stream; the activation rate, the response rate, and the number of interactions are calculated according to the time information of each first message and each second message; if the activation rate is greater than or equal to the first message A threshold, a response rate greater than or equal to the second threshold, and the number of interactions greater than or equal to the third threshold determine that the first device is threatened.
【技术实现步骤摘要】
一种威胁检测方法及装置
本申请实施例涉及网络安全领域,尤其涉及一种威胁检测方法及装置。
技术介绍
在互联网高度开放的今天,各种各样的恶意程序充斥在互联网中。木马程序是一种典型的恶意程序,攻击者可以通过木马程序来控制另一台计算机。木马程序对用户使用的计算机系统造成了不同程度的威胁。木马程序通常包含两个可执行程序:服务端程序和客户端程序。服务端程序和客户端程序之间的相互配合,能够实现主机控制、文件盗取、系统破坏等功能。服务端程序安装在被控制的主机上,即被木马程序攻击的设备;客户端程序安装在控制主机上,即攻击者使用的设备。现有防火墙为了防范木马程序对受保护网络中的主机造成破坏,对由外部网络接入受保护网络的连接往往进行严格的限制。为了逃避防火墙的检测,现在大部分木马程序都是反弹端口型木马程序。反弹端口型木马程序的特点是服务端程序通过某一标准的网络通信端口主动连接客户端程序。这种连接方式会造成防火墙误认为该连接是一个正常的网络连接而放行。这样,反弹端口型木马程序能够逃避防火墙的检测,对主机的计算机系统和文件等信息的安全性造成威胁。现有技术无法有效检测反弹端口型木马程序。
技术实现思路
本申请提供一种威胁检测方法及装置,能够有效的检测反弹端口型木马程序。为达到上述目的,本申请采用如下技术方案:第一方面,提供一种威胁检测方法,在第一设备位于受保护网络,第二设备位于另一网络,第一设备和第二设备之间存在一个传输控制协议(TransmissionControlProtocol,TCP)会话,且第一设备主动发起该TCP会话的场景中,威胁检测装置首先获取该TCP会话中的报文,并获取该...
【技术保护点】
1.一种威胁检测方法,其特征在于,包括:威胁检测装置获取第一设备和第二设备之间的一个传输控制协议TCP会话中的报文,所述TCP会话的发起端设备为所述第一设备,所述第一设备位于受保护网络,所述第二设备位于另一网络;所述威胁检测装置获取所述TCP会话中的第一数据流和第二数据流,所述第一数据流为从所述第一设备传输到所述第二设备的数据流,所述第二数据流为从所述第二设备传输到所述第一设备的数据流;所述威胁检测装置获取多个第一报文中每个第一报文的时间信息以及多个第二报文中每个第二报文的时间信息,其中,所述多个第一报文是指所述第一数据流中的报文,所述多个第二报文是指所述第二数据流中的报文;所述威胁检测装置根据所述每个第一报文的时间信息和所述每个第二报文的时间信息,计算激活率、响应率以及交互次数,所述激活率是指在所述TCP会话中所述第一设备向所述第二设备发送的数据是由所述第二设备触发的概率,所述响应率是指在所述TCP会话中所述第二设备向所述第一设备发送的数据得到所述第一设备及时响应的概率,所述交互次数为在所述TCP会话中所述第一设备与所述第二设备之间交互的次数;若所述激活率大于或等于第一阈值、所述响应...
【技术特征摘要】
1.一种威胁检测方法,其特征在于,包括:威胁检测装置获取第一设备和第二设备之间的一个传输控制协议TCP会话中的报文,所述TCP会话的发起端设备为所述第一设备,所述第一设备位于受保护网络,所述第二设备位于另一网络;所述威胁检测装置获取所述TCP会话中的第一数据流和第二数据流,所述第一数据流为从所述第一设备传输到所述第二设备的数据流,所述第二数据流为从所述第二设备传输到所述第一设备的数据流;所述威胁检测装置获取多个第一报文中每个第一报文的时间信息以及多个第二报文中每个第二报文的时间信息,其中,所述多个第一报文是指所述第一数据流中的报文,所述多个第二报文是指所述第二数据流中的报文;所述威胁检测装置根据所述每个第一报文的时间信息和所述每个第二报文的时间信息,计算激活率、响应率以及交互次数,所述激活率是指在所述TCP会话中所述第一设备向所述第二设备发送的数据是由所述第二设备触发的概率,所述响应率是指在所述TCP会话中所述第二设备向所述第一设备发送的数据得到所述第一设备及时响应的概率,所述交互次数为在所述TCP会话中所述第一设备与所述第二设备之间交互的次数;若所述激活率大于或等于第一阈值、所述响应率大于或等于第二阈值、且所述交互次数大于或等于第三阈值,所述威胁检测装置确定所述第一设备与所述第二设备之间的连接方式为反向连接;若所述第一设备与所述第二设备之间的连接方式为反向连接,所述威胁检测装置确定所述第一设备受到威胁。2.根据权利要求1所述的威胁检测方法,其特征在于,所述威胁检测方法还包括:所述威胁检测装置获取所述每个第一报文的大小信息;所述威胁检测装置根据所述每个第一报文的时间信息和所述每个第一报文的大小信息,确定所述多个第一报文中是否包括心跳报文;所述威胁检测装置确定所述第一设备受到威胁,具体包括:若所述多个第一报文中未包括所述心跳报文、且所述第一设备与所述第二设备之间的连接方式为所述反向连接,所述威胁检测装置确定所述第一设备受到第一等级的威胁;若所述多个第一报文中包括所述心跳报文、且所述第一设备与所述第二设备之间的连接方式为所述反向连接,所述威胁检测装置确定所述第一设备受到第二等级的威胁。3.根据权利要求2所述的威胁检测方法,其特征在于,所述威胁检测方法还包括:所述威胁检测装置检测所述第一数据流是否被加密;所述威胁检测装置确定所述第一设备受到威胁,具体包括:若所述第一数据流被加密、所述多个第一报文中未包括所述心跳报文、且所述第一设备与所述第二设备之间的连接方式为所述反向连接,所述威胁检测装置确定所述第一设备受到第一等级的威胁;若所述第一数据流被加密、所述多个第一报文中包括所述心跳报文、且所述第一设备与所述第二设备之间的连接方式为所述反向连接,所述威胁检测装置确定所述第一设备受到第三等级的威胁。4.根据权利要求1-3中任意一项所述的威胁检测方法,其特征在于,所述威胁检测装置根据所述每个第一报文的时间信息和所述每个第二报文的时间信息,计算激活率、响应率以及交互次数,包括:所述威胁检测装置将所述多个第一报文的时间信息按照时间先后顺序依次排列,以生成第一时间序列,并将所述多个第二报文的时间信息按照时间先后顺序依次排列,以生成第二时间序列;所述威胁检测装置从所述第一时间序列中选择出N个第一时间信息,并从所述第二时间序列中选择出M个第二时间信息,其中,所述N个第一时间信息中的第j个第一时间信息在第一时间序列中,与排列在所述第j个第一时间信息之前、且与所述第j个第一时间信息相邻的时间信息之间的时间差大于或等于第四阈值;所述M个第二时间信息中的第n个第二时间信息在第二时间序列中,与排列在所述第n个第二时间信息之前、且与所述第n个第二时间信息相邻的时间信息之间的时间差大于或等于第五阈值;N≥1,M≥1,N≥j≥1,M≥n≥1;所述威胁检测装置从所述N个第一时间信息中筛选出X个第三时间信息,对于所述X个第三时间信息中的第p个第三时间信息,所述M个第二时间信息中存在一个在所述第p个第三时间信息之前、且与所述第p个第三时间信息的时间差小于或等于第六阈值的第二时间信息,其中,N≥X≥1,X≥p≥1;所述威胁检测装置从所述M个第二时间信息中筛选出Y个第四时间信息,对于所述Y个第四时间信息中的第q个第四时间信息,所述N个第一时间中存在一个在所述第q个第四时间信息之后、且与所述第q个第四时间信息的时间差小于或等于第七阈值的第一时间信息,其中,M≥Y≥1,Y≥q≥1;所述威胁检测装置利用N、M、X以及Y,计算所述激活率、所述响应率以及所述交互次数,所述激活率等于X除以N得到的值,所述响应率等于Y除以M得到的值,所述交互次数等于X与Y之间的最小值。5.根据权利要求2或3所述的威胁检测方法,其特征在于,所述威胁检测装置根据所述每个第一报文的时间信息和所述每个第一报文的大小信息,确定所述多个第一报文中是否包括心跳报文,包括:所述威胁检测装置将所述多个第一报文中大小信息相同的第一报文划分为一组从而获得至少一组第一报文,根据至少一组第一报文中每组第一报文中每个第一报文的时间信息生成一个对应的时间信息集合,从而获得至少一个时间信息集合;针对所述至少一个时间信息集合中的第k个时间信息集合,所述威胁检测装置将所述第k个时间信息集合所包括的时间信息按照时间先后顺序依次排列生成一个第三时间序列,从而获得至少一个第三时间序列,k≥1;从所述至少一个第三时间序列中选择出一个第三时间序列,所述威胁检测装置对选择出的第三时间序列执行下述处理,直到处理完最后一个第三时间序列为止:所述威胁检测装置获取与所述选择出的第三时间序列对应的时间间隔序列,所述选择出的第三时间序列包括Q个时间信息,所述时间间隔序列包括Q-1个时间间隔,且所述Q-1个时间间隔中第i个时间间隔的数值等于所述选择出的第三时间序列中第i+1个时间信息与第i个时间信息之间的时间差,Q≥2,Q-1≥i≥1;所述威胁检测装置计算所述时间间隔序列的平稳度;若所述时间间隔序列的平稳度的数值大于或等于第八阈值,且Q-1大于或等于第九阈值,所述威胁检测装置确定所述多个第一报文中包括所述心跳报文。6.根据权利要求5所述的威胁检测方法,其特征在于,所述威胁检测装置计算所述时间间隔序列的平稳度,包括:所述威胁检测装置计算所述Q-1个时间间隔的平均值μ和标准差δ;所述威胁检测装置采用P=1-δ/μ计算所述时间间隔序列的平稳度P。7.根据权利要求3所述的威胁检测方法,其特征在于,所述威胁检测装置检测所述第一数据流是否被加密,包括:所述威胁检测装...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。