基於網絡通信行為特徵的木馬識別方法
2023-05-18 20:21:56
基於網絡通信行為特徵的木馬識別方法
【專利摘要】本發明提供一種基於網絡通信行為特徵的木馬識別方法,包括建立木馬數據流量的馬爾科夫模型;對網絡上的數據流量進行監測;對所監測到的網絡通信行為進行篩選;若所監測到的網絡通信行為並非木馬通信會話,則證明當前數據流量為無關流量;否則,得到所述網絡通信行為的時序序列;將實際網絡數據流量還原成若干的網絡會話,再將網絡會話與馬爾科夫模型進行匹配;若二者不匹配,則證明當前網絡會話並非木馬通信數據;否則證明當前網絡會話為木馬通信數據。本發明使用木馬通信行為特徵及其時序性來實現對木馬通信行為的監測,有效避免木馬變形加殼等規避技術對木馬檢測結果的影響,提高了網絡木馬檢測的效率和準確率。
【專利說明】基於網絡通信行為特徵的木馬識別方法
【技術領域】
[0001]本發明屬於信息安全【技術領域】,特別地,涉及一種基於網絡通信行為特徵的木馬識別方法。
【背景技術】
[0002]隨著計算機和網絡的普及與應用,人們對計算機和網絡的依賴程度也越來越高。在每個工作用和家庭用的電腦上保存著大量的非公開或保密的重要文檔和個人信息.這些電腦一旦被植入木馬程序,其信息會被竊取,從而造成重要信息洩漏、秘密文件洩密、個人隱私信息暴露以及經濟上的損失等等問題。此外,木馬還可以破壞信息系統,致使系統癱瘓和重要數據丟失。
[0003]目前,木馬的檢測和防護方法可以分為兩大類:
[0004]一類是傳統的基於文件特徵碼的檢測方式,該方法首先提取木馬程序文件的特徵碼,然後通過掃描檢測文件中是否包含特徵碼來識別木馬文件。但是木馬製造者通常會給木馬程序文件加上各種形式的「外殼」,使得木馬以多種類、多特徵碼的方式進行傳播,從而給採集、監控、查殺和預防木馬帶來了越來越大的挑戰。
[0005]另一類是木馬防火牆,其是安裝在用戶主機端的軟體工具,它採用動態監控的方式,網絡中的可疑連接進行監控,過濾掉不安全的網絡連接,從而保護主機免受外界攻擊的危險。但是,由於需要運行在用戶主機系統中,在工作過程中需要佔用用戶主機系統的CPU和內存資源,從而影響了系統其它工作的性能,並且此類方法非常容易產生誤報。
[0006]隨著國際網際網路的迅猛發展,木馬的種類愈加繁雜,其對於計算機的危害也越來越嚴重。木馬網絡行為主要是指木馬與網絡上其它主機間的通信行為。通過網絡行為木馬可以達到實施網絡攻擊、竊取保密信息、操作受控主機等目的。因此,對木馬網絡行為及時、準確的識別就顯得至關重要。
[0007]不同的木馬程序在功能、針對的作業系統及採用的網絡通信協議方面存在很大差異,但在通信行為上又具有一定的相似性。通過對大量主流木馬樣本進行分析發現:木馬整個通信過程按通信行為特徵劃分為三個階段,建立連接階段、保持連接階段和交互連接階段。木馬不同階段的網絡通信行為在流量上表現為不同的特徵,使用這種特徵可以區分不同的木馬工作階段。
【發明內容】
[0008]鑑於以上所述現有技術的缺點,本發明的目的在於提供一種基於網絡通信行為特徵的木馬識別方法,通過使用木馬通信行為特徵及其時序性來實現對木馬的識別,可以有效避免木馬變形加殼等規避技術對木馬檢測結果的影響。
[0009]為實現上述目的及其他相關目的,本發明提供一種基於網絡通信行為特徵的木馬識別方法,所述木馬識別方法至少包括以下步驟:建立木馬數據流量的馬爾科夫模型;對網絡上的數據流量進行監測;對所監測到的網絡通信行為進行篩選;若所監測到的網絡通信行為並非木馬通信會話,則證明當前數據流量為無關流量;若所監測到的網絡通信行為為木馬通信會話,則得到所述網絡通信行為的時序序列;將實際網絡數據流量還原成若干的網絡會話,再將網絡會話與馬爾科夫模型進行匹配;若二者不匹配,則證明當前網絡會話並非木馬通信數據;若二者匹配,則證明當前網絡會話為木馬通信數據。
[0010]根據上的基於網絡通信行為特徵的木馬識別方法,其中:還包括以下步驟:證明當前網絡會話為木馬通信數據後,發出木馬識別的報警。
[0011]根據上的基於網絡通信行為特徵的木馬識別方法,其中:對網絡上的數據流量進行監測時,採用交換機獲得網絡數據流量的鏡像數據流量。
[0012]根據上的基於網絡通信行為特徵的木馬識別方法,其中:所述馬爾科夫模型中,採用包長度、包方向和包間隔作為屬性來描述木馬的網絡通信行為特徵,並以一個TCP會話為研究的基本單兀。
[0013]根據上的基於網絡通信行為特徵的木馬識別方法,其中:所述馬爾科夫模型中,由木馬通信會話過程中發送的一個具有負載的數據包來觸發一次行為狀態的遷移。
[0014]根據上的基於網絡通信行為特徵的木馬識別方法,其中:所述網絡通信行為包括目錄瀏覽、文件下載、遠程終端、鍵盤記錄、屏幕監控。
[0015]根據上的基於網絡通信行為特徵的木馬識別方法,其中:將還原的網絡會話與馬爾科夫模型匹配時,根據馬爾科夫模型中的轉移矩陣判斷木馬的網絡通信行為發生的階段。
[0016]如上所述,本發明的基於網絡通信行為特徵的木馬識別方法,具有以下有益效果:
[0017](I)木馬的網絡通信行為與正常的網絡應用相比具有一定的特殊性,因此使用木馬的網絡通信行為特徵及其時序性來實現對木馬的識別,可以有效避免木馬變形加殼等規避技術對木馬檢測結果的影響;
[0018](2)有效提高了網絡木馬檢測的效率和準確率。
【專利附圖】
【附圖說明】
[0019]圖1顯示為木馬交互連接階段的數據屬性採集序列示意圖;
[0020]圖2顯示為木馬建立連接階段、保持連接階段的數據屬性採集序列示意圖;
[0021]圖3顯示為正常瀏覽網頁、即時通訊、郵件收發、數據下載行為時的數據屬性採集序列示意圖;
[0022]圖4顯示為PI木馬通行的流程圖;
[0023]圖5顯示為本發明的基於網絡通信行為特徵的木馬識別系統的結構;
[0024]圖6顯示為本發明的基於網絡通信行為特徵的木馬識別方法的流程圖。
【具體實施方式】
[0025]以下通過特定的具體實例說明本發明的實施方式,本領域技術人員可由本說明書所揭露的內容輕易地了解本發明的其他優點與功效。本發明還可以通過另外不同的【具體實施方式】加以實施或應用,本說明書中的各項細節也可以基於不同觀點與應用,在沒有背離本發明的精神下進行各種修飾或改變。[0026]需要說明的是,本實施例中所提供的圖示僅以示意方式說明本發明的基本構想,遂圖式中僅顯示與本發明中有關的組件而非按照實際實施時的組件數目、形狀及尺寸繪製,其實際實施時各組件的型態、數量及比例可為一種隨意的改變,且其組件布局型態也可能更為複雜。
[0027]通常,一種應用的網絡通信行為在流量上表現為不同的特徵,使用這種特徵可以區分不同的網絡應用。這種網絡通信特徵可用網絡流量的一組不同的屬性進行描述,這些屬性包括:包間隔時間、包長度、包方向、連接持續時間、TCP標誌位等等。
[0028]本發明針對木馬網絡通信行為的特點,通過使用馬爾可夫模型對木馬數據流量進行建模,繼而進行木馬的識別。首先,考察TCP流前N個具有負載的數據包,將其刻畫為一個馬爾可夫鏈以描述其通信特徵,從而實現對木馬網絡通信行為的識別。考慮到木馬網絡通信行為的具體特點,本發明使用包長度、包方向和包間隔作為屬性通過建模來描述木馬的網絡通信行為特徵,並以一個TCP會話為研究的基本單元。
[0029]用馬爾可夫過程來描述木馬的網絡通信行為,選擇由木馬通信會話過程中發送的一個具有負載的數據包來觸發一次行為狀態的遷移。為了在模型中刻畫數據包的方向、負載和間隔,使用正負號加上數據包長度和正負號加上時間間隔來描述一個狀態,正值代表從客戶端發往服務端的方向,負值代表從服務端發往客戶端的方向,狀態的絕對值則是數據包負載長度和包間隔時間。
[0030]設馬爾可夫過程的初始狀態概率向量為Π,在任意一個時刻\處於某一狀態Si,客戶端和服務端之間每發送一個數據包時就觸發一次網絡行為過程的狀態變遷,使其進入了下一個特定的狀態。每一個狀態由包大小包間隔加上正負號進行描述,即狀態空間為S={Si|-MSS<=Si<=MSS, ei; i=0,l,2,…}。其中,ei為包間隔,MSS最大分片大小,轉移概率矩陣為A。但是,以包長度作為建模屬性帶來的問題是,由於理論上包長度可能的取值為[-MSS,MSS],包時間間隔可能的取值為[0,+ °°),這使得使狀態空間規模變得十分龐大,增加了計算複雜度,且在訓練過程中,狀態的轉移概率分布過於分散,不便於確定模型的各項參數。因此,在實際的實現過程中,根據木馬的網絡通信行為特徵將包長度劃分為幾個區間,如[-MSS,-1400](在轉移矩陣中定義為_3),[-1399,-257](在轉移矩陣中定義為_2),[-256,-1](在轉移矩陣中定義為-1),[0,256](在轉移矩陣中定義為I ),[257,1399](在轉移矩陣中定義為2),[1399,MSS](在轉移矩陣中定義為3)。包時間間隔劃分為幾個區間,如(0,1](在轉移矩陣中定義為1),(1,2](在轉移矩陣中定義為2),(2,5](在轉移矩陣中定義為3),(5, + -](在轉移矩陣中定義為4)。這樣一來,狀態空間數就下降為區間數的笛卡爾積,大大減少了馬爾科夫模型的複雜度。
[0031]對於一種木馬,其要達到遠程控制主機和竊取信息等目的則必然產生網絡流量。根據控制的時序、方式、意圖的不同,一種木馬會產生多種具有多種不同流量特徵的網絡通信行為。木馬網絡通信行為包括目錄瀏覽、文件下載、遠程終端、鍵盤記錄、屏幕監控等等。木馬的控制端和被控端建立連接之後,控制端在實施以上任何一種網絡行為的時候一般都再重新建立一個專門的連接用於此特定的控制行為,而一個新的TCP會話上也將具有其特定的流量特徵。
[0032]木馬交互連接階段數據屬性採集序列如圖1所示。由圖可知,Y軸正方向為被控端數據屬性,其屬性值範圍為(-3,-1),Y軸負方向為控制端數據屬性,其屬性值範圍為(1,3),X軸為時間軸,其屬性值範圍為(1,4)。由於木馬的竊密屬性可以看出木馬交互連接階段,被控端數據明顯多於控制端數據。
[0033]將木馬交互階連接段數據屬性採集值輸入馬爾可夫模型,計算得到轉移矩陣如下:
[0034]
【權利要求】
1.一種基於網絡通信行為特徵的木馬識別方法,其特徵在於,所述木馬識別方法至少包括以下步驟: 建立木馬數據流量的馬爾科夫模型; 對網絡上的數據流量進行監測; 對所監測到的網絡通信行為進行篩選;若所監測到的網絡通信行為並非木馬通信會話,則證明當前數據流量為無關流量; 若所監測到的網絡通信行為為木馬通信會話,則得到所述網絡通信行為的時序序列; 將實際網絡數據流量還原成若干的網絡會話,再將網絡會話與馬爾科夫模型進行匹配;若二者不匹配,則證明當前網絡會話並非木馬通信數據; 若二者匹配,則證明當前網絡會話為木馬通信數據。
2.根據權利要求1所述的基於網絡通信行為特徵的木馬識別方法,其特徵在於:還包括以下步驟:證明當前網絡會話為木馬通信數據後,發出木馬識別的報警。
3.根據權利要求1所述的基於網絡通信行為特徵的木馬識別方法,其特徵在於:對網絡上的數據流量進行監測時,採用交換機獲得網絡數據流量的鏡像數據流量。
4.根據權利要求1所述的基於網絡通信行為特徵的木馬識別方法,其特徵在於:所述馬爾科夫模型中,採用包長度、包方向和包間隔作為屬性來描述木馬的網絡通信行為特徵,並以一個TCP會話為研究的基本單元。
5.根據權利要求1所述的基於網絡通信行為特徵的木馬識別方法,其特徵在於:所述馬爾科夫模型中,由木馬通信會話過程中發送的一個具有負載的數據包來觸發一次行為狀態的遷移。
6.根據權利要求1所述的基於網絡通信行為特徵的木馬識別方法,其特徵在於:所述網絡通信行為包括目錄瀏覽、文件下載、遠程終端、鍵盤記錄、屏幕監控。
7.根據權利要求1所述的基於網絡通信行為特徵的木馬識別方法,其特徵在於:將還原的網絡會話與馬爾科夫模型匹配時,根據馬爾科夫模型中的轉移矩陣判斷木馬的網絡通信行為發生的階段。
【文檔編號】H04L29/06GK103475663SQ201310419949
【公開日】2013年12月25日 申請日期:2013年9月13日 優先權日:2013年9月13日
【發明者】耿振民 申請人:無錫華御信息技術有限公司