一种面向HTTPS隐蔽隧道的加密木马检测方法技术

本发明专利技术涉及面向HTTPS隐蔽隧道的加密木马检测技术领域，具体涉及一种面向HTTPS隐蔽隧道的加密木马检测方法，首先从时序角度分析木马会话，发现单条木马会话具有可切分为多次小会话流的特点，提出结合时间分片算法切分逐次的交互会话的方法。然后进一步分析逐条小会话过程，发现木马的心跳数据包会干扰会话中应用数据交互序列，提出利用频繁向量挖掘算法过滤各个时间簇中的心跳数据包，最后提出利用朴素贝叶斯来区分木马流量与正常会话，做到了在与协议无关的前提下实现了对木马与正常通信的识别，可有效的检测出木马的命令控制行为，所得数据可表征木马操作行为特征，实用性较好。

An Encrypted Trojan Horse Detection Method for HTTPS Hidden Tunnel

【技术实现步骤摘要】
一种面向HTTPS隐蔽隧道的加密木马检测方法
本专利技术涉及面向HTTPS隐蔽隧道的加密木马检测
，具体涉及一种面向HTTPS隐蔽隧道的加密木马检测方法。
技术介绍
木马主要用于主机控制及信息窃取，通常不会破坏用户系统，也不会自我繁殖，具备较高的隐蔽性。近年来，越来越多的木马程序借助隧道技术提高自身穿透性，并借助加密技术来对抗DPI检测，给木马通信流量识别带来新的挑战。无论木马在主机中如何修改特征规避主机端检测，或使用复杂的加密算法对载荷进行加密，其交互的过程不会改变，被控端都需要接受控制端的命令并做出反馈。因此，研究基于通信行为分析的加密木马流量识别技术，有利于从骨干网络关键节点的网络流量中，检测出潜在的木马威胁。到目前为止，在木马检测领域中，研究者已经从不同角度提出了多种木马检测的方法。木马的识别方法总体上可以分为两类，基于主机和基于网络通信。针对加密木马的检测技术，主要有三种类型，基于木马阶段化行为特征，基于主机木马样本的动静态特征和基于网络流量特征。部分学者将检测重点放在木马阶段化特征来构建防御系统，这样作为避免从木马的加密载荷分析。如RuZhang提出了一种通过挖掘I本文档来自技高网...

【技术保护点】
1.一种面向HTTPS隐蔽隧道的加密木马检测方法，其特征在于：包括以下步骤：步骤1：数据流预处理过滤(1)提取网络通信的基本五元组来标识一个三元组的TCP会话，其中，三元组包括：源IP地址、目的IP地址和上层协议，每个五元组对应一个TCP会话，可表示为<ipsrc，ipdst，pro>；(2)为TCP会话构建一个数据包列表flowi，记录会话中每个数据包的源IP地址、目的IP地址、到达时间和序列号；数据包向量可表示为packeti＝<ipsrc，ipdst，timestampi，seq_numberi>，其中1≤i≤n；timestampi为到达时间；seq_numbe...

【技术特征摘要】
1.一种面向HTTPS隐蔽隧道的加密木马检测方法，其特征在于：包括以下步骤：步骤1：数据流预处理过滤(1)提取网络通信的基本五元组来标识一个三元组的TCP会话，其中，三元组包括：源IP地址、目的IP地址和上层协议，每个五元组对应一个TCP会话，可表示为<ipsrc，ipdst，pro>；(2)为TCP会话构建一个数据包列表flowi，记录会话中每个数据包的源IP地址、目的IP地址、到达时间和序列号；数据包向量可表示为packeti＝<ipsrc，ipdst，timestampi，seq_numberi>，其中1≤i≤n；timestampi为到达时间；seq_numberi为序列号，将所有的特征向量存入对应的流列表可得到数据包列表flow＝{packet1，pakcet2，pakcet3...，packetn}；步骤2：依据时间序列进行数据流切片(1)时间阈值T由流内网络的运行状况决定：A为放大系数，A取值20；conpkti+1-conpkti表示TCP会话中两个有交互行为的相邻数据包的时间差；n为TCP会话中数据包总数；多次计算取平均值作为时间阈值T；(2)顺序遍历TCP会话数据包列表中的每一项，判断其与前一项的时间差是否大于T，若大于T，则新建一个数据包群组列表并存入此项；反之，则将该项添加到当前数据包群组末端；(3)得到多个TCP数据包群组列表，可表示为：其中，gather表示群组，k表示该群组中包个数，pki表示数据包；步骤3：基于朴素贝叶斯算法进行外部控制行为检测(1)将每组内的TCP数据包依据数据包的方向构建方向序列：U＝{pk1，pk2，pk3...，pkn}，用“0”表示方向由外向内的数据包，用“1”表示由内向外的数据包；当簇内包序列U出现...

【专利技术属性】
技术研发人员：王文冰，赵晓君，毛艳芳，张玲，孙海燕，
申请(专利权)人：郑州轻工业学院，
类型：发明
国别省市：河南,41