本发明专利技术公开一种木马攻击的检测方法与入侵检测系统,先根据统计的目的IP的通信数据包数量、上下行流量比与在特定周期内对应的源IP个数是否超过对应的预设阈值,来确定该目的IP是否为可疑;若源IP与可疑目的IP的通信数据包个数与上下行流量比也超过预设阈值则可以确定该源IP被控制;在前述的过程中,同时生成待检测的数据文件,通过关键字匹配进一步进行检测,从而提高了攻击检测的准确性。从而提高了攻击检测的准确性。
【技术实现步骤摘要】
木马攻击的检测方法与入侵检测系统
[0001]本专利技术属于网络安全
,尤其是涉及一种检测木马攻击的方法以及应用该方法的入侵检测系统。
技术介绍
[0002]木马攻击,也称作命令和控制通道,是一种违反安全策略,秘密传输信息的机制。攻击工具通过将有效数据嵌入在数据报文中,通过载体在网络中正常传输,从而达到有效数据的秘密传输而不被发现。攻击者将被控主机中的数据信息在网络中通过特定通道传送至个人主机,从而获取情报。同时,攻击者通过该通道能传送控制命令,从而达到长期控制被控主机的目的。例如,用户一旦阅读了恶意PDF文件或者打开了恶意屏幕保护程序,就会被植入木马。木马程序会变换多种花样驻留在受害人电脑中,并与攻击服务器进行通讯,收集的信息通常通过HTTP POST上传给攻击服务器。攻击者借助攻击服务器对木马下达各种指令,不断收集受害企业的敏感信息。
[0003]由于Internet和多媒体技术的广泛使用,木马入侵攻击的威胁越来越大,只要与外界保持一定的联系,这种威胁就不可避免。因此,需要通过数据包检测技术来识别木马攻击。
技术实现思路
[0004]鉴于以上背景,本专利技术旨在提出一种木马攻击的检测方法以及应用该检测方法的入侵检测系统。具体技术方案如下所述:一方面,提供一种木马攻击的检测方法,包括:统计每个目的IP在第一周期内的通信数据包个数、上下行流量与源IP个数;当所述数据包个数超过第一阈值且上下行流量比超过第二阈值,以及所述对应的源IP个数在所述第一周期内小于第三阈值和/或在第二周期内小于第四阈值,则将该目的IP标记为可疑;所述第二周期包括至少1个所述第一周期;若源IP与所述可疑目的IP通信的数据包个数超过第五阈值且上下行流量比超过第六阈值,则将该源IP标记为异常;对所述异常源IP与可疑目的IP通信的数据包进行字符串特征匹配,若匹配成功则将该可疑目的IP判断为攻击源,以及将该异常源IP判断为受控主机。
[0005]上述的对异常源IP与可疑目的IP通信的数据包进行字符串特征匹配,具体包括:保存每一对源IP与目的IP,每一次连接的前20个数据包,并生成待检测文件;当目的IP被标记可疑且源IP被标记异常时,读取并解析所述待检测文件,取出特定字符串与预设的攻击特征库进行关键字匹配,若匹配成功则判断发生攻击,进行告警并阻断所有源IP与所述攻击源的连接。
[0006]进一步的,上述的待检测文件为pcap格式,并且定时进行删除。
[0007]作为较佳的,为所述可疑目的IP与攻击源目的IP分别创建对应的Host列表,用于
维护目的IP与网站域名的关联关系;若请求的目标域名位于可疑目的IP的Host列表,则向请求端返回告警提示;若请求的目标域名位于攻击源目的IP的Host列表,则阻止请求并且不进行域名解析。
[0008]若请求端属于异常源IP,且目标域名位于可疑目的IP的Host列表,则阻止请求并且不进行域名解析。
[0009]进一步的,定时清空所述Host列表。
[0010]作为较佳的,捕获第一周期内的所有数据包,缓存数据包,当检测到可疑目的IP和/或攻击源IP后,删除该第一周期内捕获的包。
[0011]另一方面,提供一种入侵检测系统,包括抓包模块、统计模块与检测模块;其中:抓包模块,用于根据预设的第一周期捕获并解析数据包;统计模块,统计每个目的IP在第一周期内的通信数据包个数、上下行流量与源IP个数;当所述数据包个数超过第一阈值且上下行流量比超过第二阈值,以及所述对应的源IP个数在所述第一周期内小于第三阈值和/或在第二周期内小于第四阈值,则将该目的IP标记为可疑;若源IP与所述可疑目的IP通信的数据包个数超过第五阈值且上下行流量比超过第六阈值,则将该源IP标记为异常;检测模块,对所述异常源IP与可疑目的IP通信的数据包进行字符串特征匹配,若匹配成功则将该可疑目的IP判断为攻击源,以及将该异常源IP判断为受控主机。
[0012]作为较佳的,上述检测模块进行字符串特征匹配,具体包括:保存每一对源IP与目的IP,每一次连接的前20个数据包,并生成待检测文件;当目的IP被标记可疑且源IP被标记异常时,读取并解析所述待检测文件,取出特定字符串与预设的攻击特征库进行关键字匹配,若匹配成功则判断发生攻击,进行告警并阻断所有源IP与所述攻击源的连接。
[0013]采用上述技术方案的本专利技术实施例,至少具有以下有益效果:先根据统计的目的IP的通信数据包数量、上下行流量比与在特定周期内对应的源IP个数是否超过对应的预设阈值,来确定该目的IP是否为可疑;若源IP与可疑目的IP的通信数据包个数与上下行流量比也超过预设阈值则可以确定该源IP被控制;在前述的过程中,同时生成待检测的数据文件,通过关键字匹配进一步进行检测,从而提高了攻击检测的准确性。
具体实施方式
[0014]为使本专利技术实施例的目的、技术方案和优点更加清楚,下面将对本专利技术实施例中的技术方案进行清楚、完整地描述。
[0015]分析木马通信的原理与技术,研究木马的检测技术,有助于发现网络中存在的被控主机,切断被控主机的外界控制,消除网络和信息安全隐患,对提升网络安全有重大意义。
[0016]常见的木马攻击检测技术如基于特征匹配,基于协议异常分析,基于行为异常分析等。不同的检测技术具有不同特点,下面进行简要介绍。
[0017]基于特征匹配,主要对数据流的应用层特征信息与“特征数据库”(如HTTP协议隧道检测的URL、GET、POST等相关参数)进行匹配。对于已知攻击比较有效;但简单的字符串匹配易造成误报率较高,而且无法检测加密数据,不能归纳攻击模式、难以识别新型攻击。
[0018]基于协议异常分析,主要对数据流的协议进行分析,对违反协议规范的进行告警(如HTTP协议每一个“HTTP request”操作对应一个“HTTP response”操作,HTTP/1.1下的协议头部中必需有host字段等,当监控的数据流中出现了异常的协议操作,则告警)。具有寻找任何偏离标准或期望值行为的能力,因此能检测已知或未知攻击行为;但对于代理服务型和CGI脚本型通道工具显得无能为力。
[0019]基于行为异常分析,实时统计数据流量是否超过(流量)模型阈值来判断是否遭受攻击。不仅简单分析单次攻击事件,而且根据前后发生事件确认是否的确有攻击发生以及攻击行为是否生效。难点在于是否能通过模式识别、机器学习建立准确的流量模型。
[0020]结合行为异常分析与特征匹配技术,本专利技术实施例的技术方案旨在提高木马攻击检测的准确性和检测效率。
[0021]实施例一一种木马攻击的检测方法,包括:统计每个目的IP在第一周期内的通信数据包个数、上下行流量与源IP个数;当所述数据包个数超过第一阈值且上下行流量比超过第二阈值,以及所述对应的源IP个数在所述第一周期内小于第三阈值和/或在第二周期内小于第四阈值,则将该目的IP标记为可疑;所述第二周期包括至少1个所述第一周期;若源IP与所述可疑目的IP通信的数据包个数超过本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种木马攻击的检测方法,其特征在于,包括:统计每个目的IP在第一周期内的通信数据包个数、上下行流量与源IP个数;当所述数据包个数超过第一阈值且上下行流量比超过第二阈值,以及所述对应的源IP个数在所述第一周期内小于第三阈值和/或在第二周期内小于第四阈值,则将该目的IP标记为可疑;所述第二周期包括至少1个所述第一周期;若源IP与所述可疑目的IP通信的数据包个数超过第五阈值且上下行流量比超过第六阈值,则将该源IP标记为异常;对所述异常源IP与可疑目的IP通信的数据包进行字符串特征匹配,若匹配成功则将该可疑目的IP判断为攻击源,以及将该异常源IP判断为受控主机。2.根据权利要求1所述的攻击检测方法,其特征在于,所述对异常源IP与可疑目的IP通信的数据包进行字符串特征匹配,包括:保存每一对源IP与目的IP,每一次连接的前20个数据包,并生成待检测文件;当目的IP被标记可疑且源IP被标记异常时,读取并解析所述待检测文件,取出特定字符串与预设的攻击特征库进行关键字匹配,若匹配成功则判断发生攻击,进行告警并阻断所有源IP与所述攻击源的连接。3.根据权利要求2所述的攻击检测方法,其特征在于,所述待检测文件为pcap格式,并且定时进行删除。4.根据权利要求1所述的攻击检测方法,其特征在于,为所述可疑目的IP与攻击源目的IP分别创建对应的Host列表,用于维护目的IP与网站域名的关联关系;若请求的目标域名位于可疑目的IP的Host列表,则向请求端返回告警提示;若请求的目标域名位于攻击源目的IP的Host列表,则阻止请求并且不进行域名解析。5.根据权利要求...
【专利技术属性】
技术研发人员:刘亚轩,何建锋,
申请(专利权)人:西安交大捷普网络科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。