一種基於網絡數據包檢測惡意代碼的方法和系統的製作方法

2023-09-16 14:26:20 2

專利名稱：一種基於網絡數據包檢測惡意代碼的方法和系統的製作方法
技術領域：
本發明涉及計算機網絡安全技術領域，尤其涉及一種基於網絡數據包檢測惡意代碼的方法和系統。
背景技術：
隨著近年來網絡技術的飛速發展，與Internet有關的安全事件愈來愈多，安全問題日益突出，根據相關報告每年因木馬病毒造成的損失就達到數十億。並且每年有將近2000萬新型木馬生成，而木馬和後門程序也變得越來越多樣化，使得被感染的計算機成上升趨勢。並且每年的損失也成上升趨勢。目前網絡上監測木馬和後門的方法有
代理檢測方法系統利用部署的代理匯總網絡活動行為，然後通過行為分析引擎識別是否屬於網絡攻擊，這種檢測方法屬於動態監控法，其檢出率比較低和誤報率高，所以目前不適合檢測。特徵匹配通過對木馬或後門初期建立連接時的網絡傳輸數據包或樣本文件進行分析，提取它們的網絡行為特徵，然後用這些特徵行為來匹配網絡數據包。如果網絡數據包的內容可以匹配上特徵碼，就判斷為病毒行為，否則認為正常數據包，相對於代理檢測方法，此方法準確率比較高。然而目前木馬和後門病毒的編寫者為了能讓木馬或後門活動有更好的隱蔽性，在病毒建立網絡連接過程中規避使用特徵匹配的網絡檢測。在病毒建立網絡連接時通過特定的計算規則對前一個包的部分數據或全部數據進行運算並用運算出的結果來匹配後一個包，如果符合就建立病毒連接。由於此類木馬和後門沒有固定的病毒行為，也就不能用固定的檢測規則進行匹配，所以傳統的檢測規則匹配就失去作用。

發明內容
本發明是在原有的檢測規則匹配方法基礎上，增加動態生成木馬或後門的檢測規則，使得檢測木馬或後門的網絡行為的識別率提高。本發明是基於動態生成所需的檢測規則。動態生成檢測規則是指對同一個數據流中時間序列相鄰的兩個數據包，通過特定的計算規則對時間序列在前的第一個數據包的全部或者部分數據進行運算，運算出的結果作為動態檢測規則，然後就用此檢測規則來匹配時間序列在後的第二個數據包，如果匹配成功就判斷有惡意代碼行為，沒有匹配上就是認為是正常數據包。為了解決上述技術問題，本發明提出了基於網絡數據包檢測惡意代碼的方法，包括
步驟a、在實際要監控的網絡環境中，捕獲網絡連接中的數據包；
步驟b、利用已知的惡意代碼的計算規則，對所捕獲的當前數據包中部分或者全部的數據或者數據格式進行計算，生成動態檢測規則；步驟C、繼續捕獲網絡連接中的數據包，將與所述當前數據包時序相鄰的數據包作為待檢測數據包，用所述動態檢測規則和與待檢測數據包中部分或者全部的數據或者數據格式進行匹配，如果匹配成功則判斷存在惡意代碼，否則返回步驟b繼續監控。所述已知的惡意代碼的計算規則是指一種特定的算法，包括對已知的惡意代碼所產生的時序相鄰的兩個通訊數據包進行分析後提取的計算規則，可以是運行惡意代碼時對所述惡意代碼產生的通訊方向相反、時序相鄰的兩個數據包的部分或全部的數據或數據格式進行分析後所提取的計算規則；
進一步的，步驟b還包括使用過濾條件對當前數據包進行過濾，利用已知的惡意代碼的計算規則對符合過濾條件的所述當前數據包中部分或者全部的數據或者數據格式進行計算，生成動態檢測規則。

所述過濾條件包括IP位址、埠、協議類型、數據包的大小。所述過濾條件還包括預先提取的惡意代碼的通信數據包中相同的數據或者數據格式。進一步的，步驟c還包括繼續捕獲網絡連接中的數據包，將與所述當前數據包通訊方向相反、時序相鄰的數據包作為待檢測數據包，用所述動態檢測規則和與待檢測數據包中部分或者全部的數據或者數據格式進行匹配，如果匹配成功則判斷存在惡意代碼，否則返回步驟b繼續監控。進一步的，記錄所述當前數據包的獲取時間並設置時間間隔，繼續捕獲網絡連接中的數據包時對於超過所述時間間隔所捕獲到的數據包不作為待檢測數據包。根據本發明的另一方面，還提供了一種基於網絡數據包檢測惡意代碼的系統，包括
捕獲模塊，用於在實際要監控的網絡環境中，捕獲網絡連接中的數據包；
動態規則模塊，用於利用已知的惡意代碼的計算規則，對所捕獲的當前數據包中部分或者全部的數據或者數據格式進行計算，生成動態檢測規則；
匹配模塊，用於將捕獲到的與所述當前數據包時序相鄰的數據包或者與所述當前數據包通訊方向相反、時序相鄰的數據包作為待檢測數據包，用所述動態檢測規則和與待檢測數據包中部分或者全部的數據或者數據格式進行匹配，如果匹配成功則判斷存在惡意代碼，否則繼續監控。所述系統還包括過濾模塊，用於設置過濾條件，所述過濾條件包括IP位址、埠、協議類型、數據包的大小以及預先提取的惡意代碼的通信數據包中相同的數據或者數據格式。所述匹配模塊具體還用於記錄所述當前數據包的獲取時間並設置時間間隔，對於超過所述時間間隔所捕獲到的數據包不作為待檢測數據包。本發明的技術效果是
通過本發明的技術方案可以檢測動態特徵的木馬和後門程序，從而使檢測木馬或後門的網絡行為的識別率提聞。由於不是海量檢測，所以檢測時佔用資源少，並且檢測速度快。本技術方案用於檢測網絡數據包，所以適用面很廣，既適合PC又適合手機方向。由於是動態生成檢測規則，所以生成檢測規則的算法也是動態的，適應能力強，可以根據木馬後門的變化而變化，使得檢測木馬或後門的網絡行為的識別率提高。


為了更清楚地說明本發明或現有技術中的技術方案，下面將對實施例或現有技術描述中所需要使用的附圖作簡單地介紹，顯而易見地，下面描述中的附圖僅僅是本發明中記載的一些實施例，對於本領域普通技術人員來講，在不付出創造性勞動的前提下，還可以根據這些附圖獲得其他的附圖。圖I為本發明基於網絡數據包檢測惡意代碼的方法流程 圖2為本發明基於網絡數據包檢測惡意代碼的系統示意圖。
具體實施例方式為了使本技術領域的人員更好地理解本發明實施例中的技術方案，並使本發明的上述目的、特徵和優點能夠更加明顯易懂，下面結合附圖對本發明中技術方案作進一步詳細的說明。如圖I所示，為本發明基於網絡數據包檢測惡意代碼的方法流程圖，包括
5101、在實際要監控的網絡環境中，捕獲網絡連接中的數據包；
5102、利用已知的惡意代碼的計算規則，對所捕獲的當前數據包中部分或者全部的數據或者數據格式進行計算，生成動態檢測規則；
在利用已知的惡意代碼的計算規則，為了提高檢測效率，對所捕獲的當前數據包中部分或者全部的數據或者數據格式進行計算之前，可以先使用過濾條件對當前數據包進行過濾，只對符合過濾條件的所述當前數據包中部分或者全部的數據或者數據格式進行計算，然後生成動態檢測規則。所述的過濾條件可以包括IP位址、埠、協議類型、數據包的大小。還可以使用預先提取的惡意代碼的通信數據包中相同的數據或者數據格式，即使用已知惡意代碼的特徵先進行過濾，得到疑似通訊數據的前提下，後續步驟中再使用動態檢測規則進行匹配，大大提高了檢測的效率和精度。S103、繼續捕獲網絡連接中的數據包，將與所述當前數據包時序相鄰的數據包作為待檢測數據包，用所述動態檢測規則和與待檢測數據包中部分或者全部的數據或者數據格式進行匹配，如果匹配成功則判斷存在惡意代碼，否則返回步驟S102繼續監控。優選的，可以將與所述當前數據包通訊方向相反、時序相鄰的數據包作為待檢測數據包，用所述動態檢測規則和與待檢測數據包中部分或者全部的數據或者數據格式進行匹配，如果匹配成功則判斷存在惡意代碼，否則返回步驟S102繼續監控。另外，為了避免數據包過多，生成過多模式和等待，可以設定時限。記錄所述當前數據包的獲取時間並設置時間間隔，繼續捕獲網絡連接中的數據包時對於超過所述時間間隔所捕獲到的數據包不作為待檢測數據包。如圖2所示，為本發明基於網絡數據包檢測惡意代碼的系統示意圖，包括
捕獲模塊201，用於在實際要監控的網絡環境中，捕獲網絡連接中的數據包；
動態規則模塊202，用於利用已知的惡意代碼的計算規則，對所捕獲的當前數據包中部分或者全部的數據或者數據格式進行計算，生成動態檢測規則；匹配模塊203，用於將捕獲到的與所述當前數據包時序相鄰的數據包或者與所述當前數據包通訊方向相反、時序相鄰的數據包作為待檢測數據包，用所述動態檢測規則和與待檢測數據包中部分或者全部的數據或者數據格式進行匹配，如果匹配成功則判斷存在惡意代碼，否則繼續監控。所述系統還包括過濾模塊204，用於設置過濾條件，所述過濾條件包括IP位址、埠、協議類型、數據包的大小以及預先提取的惡意代碼的通信數據包中相同的數據或者數據格式。所述匹配模塊203具體還用於記錄所述當前數據包的獲取時間並設置時間間隔，對於超過所述時間間隔所捕獲到的數據包不作為待檢測數據包。雖然通過實施例描繪了本發明，本領域普通技術人員知道，本發明有許多變形和變化而不脫離本發明的精神，希望所附的權利要求包括這些變形和變化而不脫離本發明的 精神。
權利要求
1.一種基於網絡數據包檢測惡意代碼的方法，其特徵在於，包括 步驟a、在實際要監控的網絡環境中，捕獲網絡連接中的數據包； 步驟b、利用已知的惡意代碼的計算規則，對所捕獲的當前數據包中部分或者全部的數據或者數據格式進行計算，生成動態檢測規則； 步驟C、繼續捕獲網絡連接中的數據包，將與所述當前數據包時序相鄰的數據包作為待檢測數據包，用所述動態檢測規則和與待檢測數據包中部分或者全部的數據或者數據格式進行匹配，如果匹配成功則判斷存在惡意代碼，否則返回步驟b繼續監控。
2.如權利要求I所述的基於網絡數據包檢測惡意代碼的方法，其特徵在於，步驟b還包括使用過濾條件對當前數據包進行過濾，利用已知的惡意代碼的計算規則對符合過濾條件的所述當前數據包中部分或者全部的數據或者數據格式進行計算，生成動態檢測規則。
3.如權利要求2所述的基於網絡數據包檢測惡意代碼的方法，其特徵在於，所述過濾條件包括IP位址、埠、協議類型、數據包的大小。
4.如權利要求2所述的基於網絡數據包檢測惡意代碼的方法，其特徵在於，所述過濾條件還包括預先提取的惡意代碼的通信數據包中相同的數據或者數據格式。
5.如權利要求I所述的基於網絡數據包檢測惡意代碼的方法，其特徵在於，步驟c還包括繼續捕獲網絡連接中的數據包，將與所述當前數據包通訊方向相反、時序相鄰的數據包作為待檢測數據包，用所述動態檢測規則和與待檢測數據包中部分或者全部的數據或者數據格式進行匹配，如果匹配成功則判斷存在惡意代碼，否則返回步驟b繼續監控。
6.如權利要求I或5所述的基於網絡數據包檢測惡意代碼的方法，其特徵在於，記錄所述當前數據包的獲取時間並設置時間間隔，繼續捕獲網絡連接中的數據包時對於超過所述時間間隔所捕獲到的數據包不作為待檢測數據包。
7.一種基於網絡數據包檢測惡意代碼的系統，其特徵在於，包括 捕獲模塊，用於在實際要監控的網絡環境中，捕獲網絡連接中的數據包； 動態規則模塊，用於利用已知的惡意代碼的計算規則，對所捕獲的當前數據包中部分或者全部的數據或者數據格式進行計算，生成動態檢測規則； 匹配模塊，用於將捕獲到的與所述當前數據包時序相鄰的數據包或者與所述當前數據包通訊方向相反、時序相鄰的數據包作為待檢測數據包，用所述動態檢測規則和與待檢測數據包中部分或者全部的數據或者數據格式進行匹配，如果匹配成功則判斷存在惡意代碼，否則繼續監控。
8.如權利要求7所述的基於網絡數據包檢測惡意代碼的系統，其特徵在於，還包括過濾模塊，用於設置過濾條件，所述過濾條件包括IP位址、埠、協議類型、數據包的大小以及預先提取的惡意代碼的通信數據包中相同的數據或者數據格式。
9.如權利要求7所述的基於網絡數據包檢測惡意代碼的系統，其特徵在於，匹配模塊具體還用於記錄所述當前數據包的獲取時間並設置時間間隔，對於超過所述時間間隔所捕獲到的數據包不作為待檢測數據包。
全文摘要
本發明公開了一種基於網絡數據包檢測惡意代碼的方法，包括在實際要監控的網絡環境中，捕獲網絡連接中的數據包；利用已知的惡意代碼的計算規則，對所捕獲的當前數據包中部分或者全部的數據或者數據格式進行計算，生成動態檢測規則；繼續捕獲網絡連接中的數據包，將與所述當前數據包時序相鄰的數據包作為待檢測數據包，用所述動態檢測規則和與待檢測數據包中部分或者全部的數據或者數據格式進行匹配，如果匹配成功則判斷存在惡意代碼。本發明還公開了一種基於網絡數據包檢測惡意代碼的系統。本發明技術方案在原有的檢測規則匹配方法基礎上，增加動態生成木馬或後門的檢測規則，使得檢測木馬或後門的網絡行為的識別率提高。
文檔編號H04L29/06GK102769607SQ20111045203
公開日2012年11月7日 申請日期2011年12月30日 優先權日2011年12月30日
發明者孟雅靜, 崔成, 李柏松, 肖新光 申請人:北京安天電子設備有限公司