[发明专利]基于心跳行为分析的快速木马检测方法

说明书

技术领域

本发明涉及一种基于通信行为分析的木马检测技术，特别是涉及一种基于心跳行为分析的快速木马检测方法。

背景技术

当前的窃密攻击大多数是采用木马实现，木马最大的特点即是其行为往往带有较强的隐蔽性。木马被成功植入到目标计算机后，木马控制端必须和被控端进行通信，以便给被控端下达控制指令或者控制被控端将所获取的信息回传给控制端。通信的隐蔽性在很大程度上决定了木马的生存能力。近年来兴起的网络隐蔽通道技术，即将通信数据嵌入到正常的网络通信协议中进行传递的技术，极大的满足了木马通信的需求。利用网络隐蔽通道进行通信已成为木马进行信息传输的主要方式，攻击者常通过HTTP、HTTPS等常用协议建立隐蔽通道对被控制的主机进行远程控制，窃取信息。木马通信技术的迅速发展已经对国家安全稳定造成了严重威胁。因此，如何有效检测木马的网络通信行为就成为信息安全领域一个重要的理论和技术问题。

目前，基于通信行为的木马检测方法很多，主要方法集中在攻击者与被控端之间的交互操作行为的检测，还未出现针对木马心跳行为进行检测的方法，而且此类方法均存在一定缺陷，并且不具备良好的通用性。

Borders等利用HTTP请求的时间间隔、请求包大小、包头格式、带宽占用、请求规则等特征构造各种过滤器检测木马通信。然而，木马可以通过简单修改某些通信细节就能绕过Borders等所构造的各种过滤器。例如：木马只需将请求包的大小限制在某一阈值内即可使请求包大小过滤器失去功效。

Pack等提出了一种通过使用数据流的行为轮廓对HTTP隐蔽通道进行检测的方法。行为轮廓基于大量的度量，如平均数据包大小、小数据包和大数据包比例、数据包模型变化、所有发送/接收数据包的总数和连接时间。如果一个数据流的观察特性偏离正常HTTP数据包的行为轮廓，则极有可能是HTTP隐蔽通道。方法主要针对HTTP隧道进行检测，通用性较差。

Tumoian等利用正常协议产生的连续TCP ISN号来训练Elman网络，然后将实际的ISN号与神经网络所预测的ISN号比对，当实际值与预测值的差异超过预先设定的阈值时则认为有隐蔽通道存在。作者通过这种方法实现了对NUSHU隐蔽通道的检测。但该方法只能对特定木马通信进行检测同样不具备通用性。

Zhang和Paxson利用数据包到达时间间隔和数据包大小描述了一种木马通信交互模型，用于检测木马和后门等恶意程序。该模型对木马通信行为进行如下描述：1、木马通信过程中相邻数据包到达时间间隔符合帕累托分布；2、由于木马通信过程中存在命令交互，所以小数据包应占一定比例。但实际木马通信过程中可以通过不同的算法使相邻数据包到达时间间隔满足各种分布要求，加之数据包到达时间间隔在很大程度上会受到网络拓扑的影响，所以数据包到达时间间隔用其作为行为描述存在一定弊端。且木马通信过程中的短命令可以隐藏在较大的HTML页面信息中，所以强调通信过程中的小数据包的比例并不能实现有效检测。

以下对本发明涉及的基本概念进行解释。

木马心跳：为了表征自身的存活性，木马会在客户端和服务器端之间建立并保持一个会话，直到任意一端的木马程序关闭或网络连接断开。这种会话的保持是通过向对方发送数据包来实现的。由于这种数据包大部分采用定时发送的方式，其存在方式和意义类似于动物的心脏跳动，故被称为“心跳包”。

心跳间隙：相邻的两次“心跳”过程间会有一定的时间间隔，称之为“心跳间隙”。根据“心跳间隙”是否为恒定值，可以将木马心跳方式分为以下两种：1、定时长心跳，即“心跳间隙”为恒定值。2、变时长心跳。由于定时长心跳规律明显，难以抵抗统计分析。因此攻击者常采用各种算法来将“心跳间隙”随机化，使其不再具有明显统计特征来抵抗检测。特别的，定时长心跳也可视为变时长心跳的平凡情形。

心跳过程：木马在每次发送“心跳包”时，木马被控端和控制端程序可能还会向对方发送一些其他数据包，表示对所收到数据包的确认，将“心跳包”和伴随其发送的一组确认数据包称为“心跳过程”。

木马通信过程：木马通信过程可分为两个阶段：保持连接无操作阶段和操作阶段。木马被植入到目标系统后，攻击者只会在有限的时间段内对木马进行操作(此时木马通信处于操作阶段)，其余大部分时间木马都处于空闲状态。部分木马在空闲状态下保持与攻击者之间联系过程称为保持连接无操作阶段。

四元组：称{源IP地址，源端口，目的IP地址，目的端口}为四元组。