[发明专利]基于网络数据流分析的木马通信行为特征提取方法

说明书

(一)、技术领域：本发明涉及一种木马通信行为特征提取方法，特别是涉及一种基于网络数据流分析的木马通信行为特征提取方法。

(二)、背景技术：目前，现有的窃密型木马检测技术主要采用特征码匹配技术。相较于基于特征码匹配的检测技术，基于通信行为特征分析的检测技术在时效性和扩展性方面具有明显优势，有利于发现潜在的、未知的网络窃密行为和威胁，具有更广的应用前景。然而基于通信行为的木马检测算法往往存在计算复杂度较高的问题，在实时监控应用中，给监控系统带来庞大的计算开销。因此，如何设计具有高检测性能且计算复杂度较低的检测算法，进而实时有效的检测窃密型木马的网络通信行为就成为当前一个重要的理论和技术问题。

基于通信行为的木马检测方法很多，但大部分已有方法的检测通用性较差，检测能有力有限，而且计算效率不高。

Borders等利用HTTP请求的时间间隔、请求包大小、包头格式、带宽占用、请求规则等特征构造各种过滤器检测木马通信。然而，木马可以通过在通信细节上的简单改变绕过文章中所构造的各种过滤器。例如：木马只需将请求包的大小限制在某一阈值内即可使请求包大小过滤器失去功效。此种方法只能针对HTTP协议进行检测，通用性较差。而且此种方法还需要对数据包内容进行详细解析，效率较低。

Pack等提出了一种通过使用数据流的行为轮廓对HTTP隐蔽通道进行检测的方法。行为轮廓基于大量的度量，如平均数据包大小、小数据包和大数据包比例、数据包模型变化、所有发送/接收数据包的总数和连接时间。如果一个数据流的观察特性偏离正常HTTP数据包的行为轮廓，则极有可能是HTTP隐蔽通道。方法主要针对HTTP隧道进行检测，通用性较差。

Tumoian等利用正常协议产生的连续TCP ISN号来训练Elman网络，然后将实际的ISN号与神经网络所预测的ISN号比对，当实际值与预测值的差异超过预先设定的阈值时则认为有隐蔽通道存在。作者通过这种方法实现了对NUSHU隐蔽通道的检测。但该方法只能对特定木马通信进行检测同样不具备通用性。

Zhang和Paxson利用数据包到达时间间隔和数据包大小描述了一种木马通信交互模型，用于检测木马和后门等恶意程序。该模型对木马通信行为进行如下描述：1、木马通信过程中相邻数据包到达时间间隔符合帕累托分布；2、由于木马通信过程中存在命令交互，所以小数据包应占一定比例。但实际木马通信过程中可以通过不同的算法使相邻数据包到达时间间隔满足各种分布要求，加之数据包到达时间间隔在很大程度上会受到网络拓扑的影响，所以数据包到达时间间隔用其作为行为描述存在一定弊端。且木马通信过程中的短命令可以隐藏在较大的HTML页面信息中，所以强调通信过程中的小数据包的比例并不能实现有效检测。

(三)、发明内容：

本发明要解决的技术问题是：克服现有技术的缺陷，提供一种基于网络数据流分析的木马通信行为特征提取方法，该方法能够针对木马通信不同阶段的行为特点，通过分析网络数据流有效提取木马的通信行为特征，对木马通信进行全面的检测，具有较高的性能和计算效率。

本发明的技术方案：

一种基于网络数据流分析的木马通信行为特征提取方法，将木马通信过程分为三个阶段：建立连接阶段、连接保持无操作阶段和操作阶段，通过对网络数据流分析，分别针这三个阶段提取相应的通信行为特征；

目前主流木马采用如下连接模式：首先，木马被控端按照控制端预设的控制域名向远程域名服务器发送DNS请求，进而根据收到的DNS响应报文解析出控制端的IP地址，并向控制端的IP地址发起连接；建立连接阶段的木马通信与正常网络通信的区别包括：DNS响应IP异常和DNS请求流量异常。

DNS响应IP异常是由于部分木马程序被控端上线策略中采用了静默模式，所谓静默模式，即由于控制端在不需要被控端上线时，会将控制域名对应的IP改为特殊IP；当被控端收到内容为特殊IP的域名解析数据包时，进入静默状态；采用静默模式可增强木马的隐蔽性。

DNS请求流量异常是由于当木马控制端与被控端的网络不连通时，被控端通常会误以为域名解析存在错误，从而反复大量的发出DNS请求。

在建立连接阶段，木马通信特征的提取含有DNS响应IP异常特征的提取和DNS请求流量异常特征的提取；

DNS响应IP异常特征的提取方法为：当被控端收到的域名解析数据包含有特殊IP时，即可判断发生了DNS响应IP异常，特殊I P是指国际互联网标准RFC规定的非广域网IP地址；常见的特殊IP如：127.0.0.1，0.0.0.0等。