本发明专利技术公开了一种基于心跳行为分析的快速木马检测方法,通过分析相邻两心跳过程之间的“心跳间隙”是否具有规律性以及心跳过程中被控端接收和发送的数据包数量比值是否相等,分析该阶段木马通信行为与正常网络通信行为之间的差别,挖掘二者之间的本质差别并提取行为特征,检测疑似木马。目的是通过对木马心跳行为的分析实现对网络中木马通信的有效检测,以便及时切断木马被控端与攻击者之间的联系,有效阻止失窃密事件的发生。具体是提供一种基于心跳行为分析的快速木马检测方法。
【技术实现步骤摘要】
本专利技术涉及一种基于通信行为分析的木马检测技术,特别是涉及一种。
技术介绍
当前的窃密攻击大多数是采用木马实现,木马最大的特点即是其行为往往带有较强的隐蔽性。木马被成功植入到目标计算机后,木马控制端必须和被控端进行通信,以便给被控端下达控制指令或者控制被控端将所获取的信息回传给控制端。通信的隐蔽性在很大程度上决定了木马的生存能力。近年来兴起的网络隐蔽通道技术,即将通信数据嵌入到正常的网络通信协议中进行传递的技术,极大的满足了木马通信的需求。利用网络隐蔽通道进行通信已成为木马进行信息传输的主要方式,攻击者常通过HTTP、HTTPS等常用协议建立隐蔽通道对被控制的主机进行远程控制,窃取信息。木马通信技术的迅速发展已经对国家安全稳定造成了严重威胁。因此,如何有效检测木马的网络通信行为就成为信息安全领域一个重要的理论和技术问题。目前,基于通信行为的木马检测方法很多,主要方法集中在攻击者与被控端之间的交互操作行为的检测,还未出现针对木马心跳行为进行检测的方法,而且此类方法均存在一定缺陷,并且不具备良好的通用性。Borders等利用HTTP请求的时间间隔、请求包大小、包头格式、带宽占用、请求规则等特征构造各种过滤器检测木马通信。然而,木马可以通过简单修改某些通信细节就能绕过Borders等所构造的各种过滤器。例如木马只需将请求包的大小限制在某一阈值内即可使请求包大小过滤器失去功效。Pack等提出了一种通过使用数据流的行为轮廓对HTTP隐蔽通道进行检测的方法。行为轮廓基于大量的度量,如平均数据包大小、小数据包和大数据包比例、数据包模型变化、所有发送/接收数据包的总数和连接时间。如果一个数据流的观察特性偏离正常 HTTP数据包的行为轮廓,则极有可能是HTTP隐蔽通道。方法主要针对HTTP隧道进行检测, 通用性较差。Tumoian等利用正常协议产生的连续TCP ISN号来训练Elman网络,然后将实际的ISN号与神经网络所预测的ISN号比对,当实际值与预测值的差异超过预先设定的阈值时则认为有隐蔽通道存在。作者通过这种方法实现了对NUSHU隐蔽通道的检测。但该方法只能对特定木马通信进行检测同样不具备通用性。Zhang和I^axson利用数据包到达时间间隔和数据包大小描述了一种木马通信交互模型,用于检测木马和后门等恶意程序。该模型对木马通信行为进行如下描述1、木马通信过程中相邻数据包到达时间间隔符合帕累托分布;2、由于木马通信过程中存在命令交互,所以小数据包应占一定比例。但实际木马通信过程中可以通过不同的算法使相邻数据包到达时间间隔满足各种分布要求,加之数据包到达时间间隔在很大程度上会受到网络拓扑的影响,所以数据包到达时间间隔用其作为行为描述存在一定弊端。且木马通信过程中的短命令可以隐藏在较大的HTML页面信息中,所以强调通信过程中的小数据包的比例并不能实现有效检测。以下对本专利技术涉及的基本概念进行解释。木马心跳为了表征自身的存活性,木马会在客户端和服务器端之间建立并保持一个会话,直到任意一端的木马程序关闭或网络连接断开。这种会话的保持是通过向对方发送数据包来实现的。由于这种数据包大部分采用定时发送的方式,其存在方式和意义类似于动物的心脏跳动,故被称为“心跳包”。心跳间隙相邻的两次“心跳”过程间会有一定的时间间隔,称之为“心跳间隙”。 根据“心跳间隙”是否为恒定值,可以将木马心跳方式分为以下两种1、定时长心跳,即“心跳间隙”为恒定值。2、变时长心跳。由于定时长心跳规律明显,难以抵抗统计分析。因此攻击者常采用各种算法来将“心跳间隙”随机化,使其不再具有明显统计特征来抵抗检测。特别的,定时长心跳也可视为变时长心跳的平凡情形。心跳过程木马在每次发送“心跳包”时,木马被控端和控制端程序可能还会向对方发送一些其他数据包,表示对所收到数据包的确认,将“心跳包”和伴随其发送的一组确认数据包称为“心跳过程”。木马通信过程木马通信过程可分为两个阶段保持连接无操作阶段和操作阶段。木马被植入到目标系统后,攻击者只会在有限的时间段内对木马进行操作(此时木马通信处于操作阶段),其余大部分时间木马都处于空闲状态。部分木马在空闲状态下保持与攻击者之间联系过程称为保持连接无操作阶段。四元组称{源IP地址,源端口,目的IP地址,目的端口 }为四元组。等价四元组若四元组{apbpCpdJ和Ia2,b2,c2,d2}满足 = C2且Id1 = d2且 C1 = EI2 且 Cl1 = Iv 则称 k,b1 C1, dj 禾口 {a2,b2,c2, d2}为等价四元组。
技术实现思路
本专利技术的目的是通过对木马心跳行为的分析实现对网络中木马通信的有效检测, 以便及时切断木马被控端与攻击者之间的联系,有效阻止失窃密事件的发生。具体是提供一种。技术方案一种,通过分析相邻两心跳过程之间的“心跳间隙”是否具有规律性以及心跳过程中被控端接收和发送的数据包数量比值是否相等,检测疑似木马。为便于提取心跳行为特征,需将网络数据组建为会话链表形式。组建会话链表的效率直接影响对心跳行为特征的提取效率,对此提出一种快速建立会话链表的算法。将捕获的网络数据按照网络会话进行整理将监控对象的IP地址和端口作为源 IP地址和源端口。将数据包按照等价四元组进行会话划分,即每个会话通过等价四元组唯一标识(此时每个会话链表包含双向数据流),并选用会话链表作为存储会话的数据结构。选用会话链表作为记录会话的数据结构的原因是由于网络通信是一个动态的过程,会话中的数据包随着通信的进行而不断增加,用于保存会话的数据结构也要随之发生动态变化。组建会话链表过程中,需根据链表结点的等价四元组查找数据包对应的位置,并将其插入至该位置中。因此,会话的记录方式和查找速度将直接影响会话重组效率。会话可以使用多维数组或多级链表进行保存;多维数组具有存储效率高、查找方便、存取速度快等优点,但是多维数组要求预先为其分配存储空间,一旦建立无法改变多维数组大小,容易造成空间浪费,而且网络会话数量不固定,无法为其预先分配空间;链表的优点是可动态添加或删除、不需要预先分配空间,但缺点是查找速度慢。本专利技术采用结合哈希表和多级链表的数组链表结构来重组会话。数组链表结构是指数组和链表相结合的数据结构;数组链表可通过牺牲较小的存储空间有效提高查找效率。可根据等价四元组中各元素的不同特性设定数组链表的链接顺序,通过把取值范围适中且对应会话数量分布最均勻的元素设为数组链表的第一级,依次设定链接顺序,以获得更高的会话重组效率。具体分析如下设会话数量为S,若将所有的会话以传统的单链表的形式进行组建,每次接收到数据包后都要对会话链表进行顺序查找,顺序查找的平均计算复杂度为0(S/2)。以数组链表的形式整理会话,设数组具有η个下标,数组第i个下标串接的会话链表个数为α”则接收数据包加入数组第i个下标的概率为本文档来自技高网...
【技术保护点】
1.一种基于心跳行为分析的快速木马检测方法,其特征在于:首先,将捕获的网络数据按照网络会话进行整理:将数据包按照等价四元组进行会话划分,即每个会话通过等价四元组唯一标识,并选用会话链表作为存储会话的数据结构;每一个会话链表都要用等价四元组进行标识,根据数据包中等价四元组查找相应的会话,将数据包信息添加到相应的会话链表中;其次,在连接保持无操作阶段木马通信特征的提取中,提取两个会话统计特征用于检测木马在连接保持无操作阶段的通信行为,该两个会话统计特征为:“心跳过程”接收和发送的数据包比例相等、“心跳间隙”的平稳性小于或等于阈值;若接收和发送的数据包数量相等则为疑似木马心跳行为,若“心跳间隙”的平稳性小于或等于阈值则为疑似木马心跳行为。
【技术特征摘要】
1.一种基于心跳行为分析的快速木马检测方法,其特征在于首先,将捕获的网络数据按照网络会话进行整理将数据包按照等价四元组进行会话划分,即每个会话通过等价四元组唯一标识,并选用会话链表作为存储会话的数据结构;每一个会话链表都要用等价四元组进行标识,根据数据包中等价四元组查找相应的会话,将数据包信息添加到相应的会话链表中;其次,在连接保持无操作阶段木马通信特征的提取中,提取两个会话统计特征用于检测木马在连接保持无操作阶段的通信行为,该两个会话统计特征为“心跳过程”接收和发送的数据包比例相等、“心跳间隙”的平稳性小于或等于阈值;若接收和发送的数据包数量相等则为疑似木马心跳行为,若“心跳间隙”的平稳性小于或等于阈值则为疑似木马心跳行为。2.根据权利要求1所述的木马检测方法,其特征在于关于“心跳过程”接收和发送的数据包比例相等的判断,对连续m个t长时间段,分别计算接收和发送的数据包比值βρ i =1,2,. . .m’ . . .,m。若{我丨中不存在至少有m'个值相等的情形,则判断会话中不存在疑似木马心跳行为。3.根据权利要求2所述的木...
【专利技术属性】
技术研发人员:刘胜利,陈嘉勇,孟磊,吴林锦,曾诚,
申请(专利权)人:刘胜利,
类型:发明
国别省市:41
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。