一种基于通信行为的木马检测方法技术

本发明专利技术公开了一种基于通信行为的木马检测方法，首先采集网络原始数据包，通过旁路的方式获取网络原始数据包；接着对采集到的网络原始数据包进行解析重组，将数据包进行解析，解析出网络接口层、网络层、传输层的相关信息，包括四元组信息，四元组相同的则为同一条流，并在网络层及传输层进行数据包的重组；然后识别常用的已知的不可能为木马数据流的协议，并对这些协议数据流进行过滤；最后判断同一条流是否同时存在：心跳行为、心跳包外的每个上行小包都伴随下行一个或多个连续的大包、每组“上行小包+下行大包”都至少有一定的时间间隔，如果同时满足上述三个条件则判定为木马，否则判定为非木马。本发明专利技术简化了识别算法，提高了识别准确率。

【技术实现步骤摘要】
一种基于通信行为的木马检测方法
本专利技术属于信息安全领域，涉及木马的检测技术，具体涉及一种基于通信行为的木马检测方法。
技术介绍
APT(AdvancedPersistentThreat，高级持续性威胁)一直是互联网所面临的主要安全威胁，而木马仍然是APT的主要的攻击手段，因此对木马的检测防范在信息安全领域有着非常重要的意义。目前，木马检测技术主要有以下几种类型：(1)基于特征的已知木马检测方法。首先运行已知的木马样本并运行，提取通信数据的数据特征；然后用提取的特征和网络流量数据进行匹配，从而达到对木马的识别。这种木马的检测技术的优点是方案成熟，准确率也高，但却无法对未知木马进行检测，即使是对已知木马轻微修改的变种，因此不能构建一个统一的检测模型，需要不断地更新木马特征库。(2)基于通信行为的木马检测方法。这种检测方法理论上适用于已知木马和未知木马的检测，而且在时效性和扩展性方面有着明显优势。但是由于木马的多样性，要想用一种模型或算法对所有木马进行检测，就使得检测算法异常复杂，检测的准确率非常低。现有技术文献中，公告号为CN102523223B、名称为“一种木马检测的方法及装置”的本文档来自技高网...

【技术保护点】
一种基于通信行为的木马检测方法，其特征在于包含以下步骤：S1：采集网络原始数据包，通过旁路的方式获取网络原始数据包；S2：对采集到的网络原始数据包进行解析重组，将数据包进行解析，解析出网络接口层、网络层、传输层的相关信息，包括四元组信息，四元组相同的则为同一条流，并在网络层及传输层进行数据包的重组；S3：识别常用的已知的不可能为木马数据流的协议，并对这些协议数据流进行过滤；S4：判断同一条流是否同时存在：(1)心跳行为；(2)心跳包外的每个上行小包都伴随下行一个或多个连续的大包；(3)每组“上行小包+下行大包”都至少有一定的时间间隔(人为操作反应的时间间隔)；如果同时满足上述三个条件则判定为木...

【技术特征摘要】
1.一种基于通信行为的木马检测方法，其特征在于包含以下步骤：S1：采集网络原始数据包，通过旁路的方式获取网络原始数据包；S2：对采集到的网络原始数据包进行解析重组，将数据包进行解析，解析出网络接口层、网络层、传输层的相关信息，包括四元组信息，四元组相同的则为同一条流，并在网络层及传输层进行数据包的重组；S3：识别常用的已知的不可能为木马数据流的协议，并对这些协议数据流进行过滤；S4：判断同一条流是否同时存在：(1)心跳行为...

【专利技术属性】
技术研发人员：赵军安，孙宏跃，潘彪，吴明，
申请(专利权)人：南京中孚信息技术有限公司，
类型：发明
国别省市：江苏,32