本发明专利技术公开了一种木马远程shell行为检测装置及方法,检测装置包括数据包采集装置,数据流筛选过滤装置,数据流特征提取装置和木马shell行为特征检测装置。检测方法首先为获取网络入口实时网络流量数据;然后对实时网络流量数据进行数据流分类,过滤掉无关协议数据流;再提取每个数据流一个应答响应过程中出入包载荷比率、出入包数目比率、数据流应答间隔;最后将一定时间间隔内提取到的数据流特征构造成特征向量输入到构造的神经网络模型当中;最后通过神经网络模型计算得出结果,判断该数据流是否存在木马远程shell行为,并输出结果,同时将检测结果反馈到数据流筛选过滤中,适用于大规模网络环境,能够对已知和未知木马远程shell行为进行检测。
【技术实现步骤摘要】
一种木马远程shell行为检测装置及方法
本专利技术涉及通信
,尤其涉及一种木马远程shell行为检测装置及方法。
技术介绍
近几年来,网络安全问题已经成为各国关注的重点问题之一,“棱镜”事件的曝出,网络隐私与个人用户上网安全问题再一次成为公众关注的焦点。随着网络攻击技术的不断发展,各种新型木马技术不断涌出,尽管各大安全厂商也都与时俱进,不断推出运用新型技术的安全产品,安全问题依然形势严峻。随着时代的发展,以往网络病毒与木马的爆发式出现的概率越来越小,网络攻击者们已经转入地下,利用木马技术等发展出了完善的网络安全黑色产业链。木马的设计越来越具有针对性,通用型木马的使用已十分少见。对于军队和涉密单位等信息保密级别要求比较高的地方,极易受到这种针对性强的窃密木马侵入攻击行为。对于窃密型木马来说,获取远程主机shell是其最基本的一个功能。所以,如果能够检测出木马的远程shell行为,那么就很容易定位木马流量和感染主机了。然而,传统的木马查杀和检测技术,并不适合对此类木马的查杀检测。主要表现在以下几个方面:首先,传统的安装反病毒软件的木马检测技术是基于主机的检测,这种方法需要用户自己安装反病毒软件,实施复杂,同时无法对整个网络中的是否存在木马行为进行检测和监控。其实,反病毒软件查杀木马主要使用的是基于病毒木马特征码检测的方式,这种方法对于检测新型木马来说并不适用,因为这种针对性较强的木马,其特征码一般不会被杀毒软件所记录,木马的制作者一般都会对木马程序做“免杀”处理,杀毒软件很难提取到其特征码。而且,一般境外敌对势力使用的窃密木马其特征码也一般是未知的。目前主流的入侵检测系统和防火墙等,也大部分是基于规则的防火墙系统。这种基于规则的防护方式很难对未知的网络攻击流量进行区分和控制。虽然目前也有一些智能防火墙系统,但是效果一般,主要还是依靠传统的技术手段进行检测。从专利文献中检索到以下专利中:申请号为CN200910022718.X的网络窃密木马检测方法,此专利的思想是通过获取网络数据流,对通信地址进行分析、对通信协议进行分析、对通信行为进行分析、对通信关系进行分析,将高度疑似木马通信数据包,按照高度疑似木马通信所采用的网络通信协议,与相应的目的IP地址建立连接,并按照相应的通信协议构造探测数据包发送对方,如果对方返回的应答包中含有非协议规定的内容,即确定该节点是木马控制端。但是对于使用正常网络通信协议进行通信的木马通信流量,该方法并不适用。申请号为CN201010581622.X的一种木马检测方法、装置及系统,该专利技术的思想是以木马攻击过程中的特征执行的时间顺序为特征,在通过预置的木马特征库判断得到可疑的特征报文后,进一步利用木马攻击程序执行时序的特点,判断可疑的特征报文的执行时序是否和木马攻击程序的执行时序相同,如果相同,则确定可疑特征报文为木马特征报文。该方法虽然不是传统的特征码识别检测方法,但是仍然需要一个预置木马特征库。申请号为CN201110430821.5的一种木马检测的方法及装置,该专利的主要思想是:当检测到会话中存在木马心跳检测时,根据木马心跳检测的频率是否固定,将记录的会话权值增加相应的权值并记录,并针对控制端向被控制端发送的每个报文,检测该报文是否符合木马控制命令报文的特征,若符合,则将记录的会话权值增加第三权值并记录,在会话权值达到告警阈值时发出告警,以通知该会话为木马发起的会话。但是,该方法无法检测某些无心跳包的静默式木马。申请号为CN201110157821.2的基于心跳行为分析的快速木马检测方法,该专利技术也是一种基于心跳行为分析的木马检测方法,通过分析相邻两心跳过程之间的“心跳间隙”是否具有规律性以及心跳过程中被控端接收和发送的数据包数量比值是否相等,分析该阶段木马通信行为与正常网络通信行为之间的差别,挖掘二者之间的本质差别并提取行为特征,检测疑似木马。同上一专利技术,此方法也无法检测某些无心跳包的静默式木马。申请号为CN201210412347.8的一种基于网络流量中行为特征的智能木马检测装置及其方法,该专利是一种根据网络流量数据中反映出来的木马行为特征去智能地检测木马的方法,提供了一种基于网络流量中行为特征的智能木马检测方法及其装置,其主旨在于提供一种对新型未知木马的发现。但是该专利并未提出具体的木马特征提取方法。而且误报率和准确性也还有待验证。申请号为CN103095714A一种基于木马病毒种类分类建模的木马检测方法,该专利公开了一种基于木马病毒种类分类建模的木马检测方法,其中心思想是通过对已知木马按特征进行分类,建立木马特征识别模式库。然后依据该库来对木马进行检测。该方法具有一定的未知木马检测能力,但是从本质上来讲还是一种基于木马特征码的检测方式,对新型木马的检测误报率比较高。同时,该检测方式并不能对木马shell行为进行检测。
技术实现思路
本专利技术针对现有技术中存在的缺点和不足提供一种木马远程shell行为检测装置及方法,适用于大规模网络环境,能够对已知和未知木马远程shell行为进行检测。为了实现上述目的,本专利技术采用的技术方案是:一种木马远程shell行为检测装置,其特征在于,包括:数据包采集装置:用于获取网络入口实时网络流量数据的;数据流筛选过滤装置:用于对实时网络流量数据按源IP、源端口、目的IP、目的端口、协议类型进行数据流分类,过滤掉无关协议数据流;数据流特征提取装置:用于提取每个数据流一个应答响应过程中出入包载荷比率、出入包数目比率、数据流应答间隔;木马shell行为特征检测装置:用于将一定时间间隔内提取到的数据流特征构造成特征向量[x1,x2,x3]输入到构造的神经网络模型当中,x1代表数据流的一个应答响应过程中出入包载荷比率,x2代表数据流一个应答响应过程中出入包数目比,x3代表数据流一个连续应答响应过程的时间间隔,通过神经网络模型计算得出结果,判断该数据流是否存在木马远程shell行为,并输出结果,同时将检测结果反馈到数据流筛选过滤中的步骤。所述数据包采集装置,在大型或者高速网络的主干节点上,采用数据镜像的方式采集网络上的数据;是部署在局域网的出入口,采用数据包嗅探的方式获得网络数据包。所述数据流筛选过滤装置通过协议过滤或白名单过滤方式实现。所述数据流特征提取装置建立一个hash链表保存提取的数据包包头信息,hash链表以数据流五元组源IP、源端口、目的IP、目的端口、协议类型、中前四个元组hash值作为索引,链表字段包括了前述的三种特征及其他控制信息,根据协议类型不同,分别建立TCP和UDP数据包hash表。所述木马shell行为特征检测装置中的模型学习算法为神经网络模型,神经网络模型的函数表达为:y=wx,其中w为特征性向量系数矩阵[w1,w2,w3],x为特征值矩阵[x1,x2,x3]T,theta,为检测阀值,t为检测结果;对于某个输入[x1,x2,x3],a=w1x1+w2x2+w3x3≥theta,输出结果为1,表示检测到木马shell行为;反之输出结果0,没有检测到木马shell行为。一种木马远程shell行为检测方法,其特征在于,包括以下实施步骤:数据包采集装置获取网络入口实时网络流量数据的步骤;数据流筛选过滤装置对实时网络流量数据按本文档来自技高网...
【技术保护点】
一种木马远程shell行为检测装置,其特征在于,包括:数据包采集装置:用于获取网络入口实时网络流量数据的;数据流筛选过滤装置:用于对实时网络流量数据按源IP、源端口、目的IP、目的端口、协议类型进行数据流分类,过滤掉无关协议数据流;数据流特征提取装置:用于提取每个数据流一个应答响应过程中出入包载荷比率、出入包数目比率、数据流应答间隔;木马shell行为特征检测装置:用于将一定时间间隔内提取到的数据流特征构造成特征向量[x1?,x2?,x3]输入到构造的神经网络模型当中,x1?代表数据流的一个应答响应过程中出入包载荷比率,x2代表数据流一个应答响应过程中出入包数目比??,x3?代表数据流一个连续应答响应过程的时间间隔,通过神经网络模型计算得出结果,判断该数据流是否存在木马远程shell行为,并输出结果,同时将检测结果反馈到数据流筛选过滤中的步骤。
【技术特征摘要】
1.一种木马远程shell行为检测装置,其特征在于,包括:数据包采集装置:用于获取网络入口实时网络流量数据的;数据流筛选过滤装置:用于对实时网络流量数据按源IP、源端口、目的IP、目的端口、协议类型进行数据流分类,过滤掉无关协议数据流;数据流特征提取装置:用于提取每个数据流一个应答响应过程中出入包载荷比率、出入包数目比率、数据流应答间隔;木马shell行为特征检测装置:用于将一定时间间隔内提取到的数据流特征构造成特征向量[x1,x2,x3]输入到构造的神经网络模型当中,x1代表数据流的一个应答响应过程中出入包载荷比率,x2代表数据流一个应答响应过程中出入包数目比,x3代表数据流一个连续应答响应过程的时间间隔,通过神经网络模型计算得出结果,判断该数据流是否存在木马远程shell行为,并输出结果,同时将检测结果反馈到数据流筛选过滤中的步骤;所述木马shell行为特征检测装置中的模型学习算法为神经网络模型,神经网络模型的函数表达为:y=wx,其中w为特征性向量系数矩阵[w1,w2,w3],x为特征值矩阵[x1,x2,x3]T,theta,为检测阈值,t为检测结果;对于某个输入[x1,x2,x3],a=w1x1+w2x2+w3x3≥theta,输出结果为1,表示检测到木马shell行为;反之输出结果0,没有检测到木马shell行为。2.根据权利要求1所述的一种木马远程shell行为检测装置,其特征在于:所述数据包采集装置,在大型或者高速网络的主干节点上,采用数据镜像的方式采集网络上的数据;或是部署在局域网的出入口,采用数据包嗅探的方式获得网络数据包。3.根据权利要求1所述的一种木马远程shell行为检测装置,其特征在于:所述数据流筛选过滤装置通过协议过滤或白名单过滤方式实现。4.根据权利要求1所述的一种木马远程shell行为检测装置,其特征在于:所述数据流特征提取装置建立一个hash链表保存提取的数据包包头信息,hash链表以数据流五元组源IP、源端口、目的IP、目的端口、协议类型、中前四个元组hash值作为索引,链表字段包括了前述的三种特征及其他控制信息,根据协议类型不同,分别建立TCP和UDP数据包has...
【专利技术属性】
技术研发人员:张小松,黄金,牛伟纳,陈瑞东,王东,罗荣森,孙恩博,
申请(专利权)人:电子科技大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。