[发明专利]一种木马行为识别方法与系统

说明书

技术领域

本发明涉及网络安全领域，尤其涉及一种木马行为识别方法与系统。

背景技术

目前，随着计算机网络的快速发展，网络信息系统已经成为人们共享信息与交流的重要工具，同时与黑客和早期病毒相比，木马已经成为互联网的主要危害，木马以偷窥别人隐私和获得经济利益为目的，具有隐蔽性强、攻击范围广与危害大等特点，目前部署到网络安全设备上的木马检测功能，存在以下问题：

（1）只能基于木马静态代码特征识别植入过程中的木马；

（2）只能基于不够全面的木马行为特征识别通信过程中的木马。

发明内容

本发明要解决的技术问题是如何有效识别木马行为。

为了解决上述问题，本发明提供了一种木马行为的识别方法，包括：

配置木马行为特征；

捕获网络包；

基于所述木马行为特征识别所述网络包的木马行为状态；

记录识别出的木马行为状态，基于该记录识别木马行为。

可选地，所述木马行为特征包括以下任一情况或其任意组合：

响应内容为域名:端口或IP地址:端口格式；

响应包长度小于200个字节，并且内容离散度大于0.3；

内网终端发送到外网终端的数据包长度大于200个字节。

可选地，所述基于木马行为特征识别网络包的木马行为状态的步骤包括：

当响应内容为域名:端口或IP地址:端口格式时，将所述网络包识别为木马控制端信息获取行为状态；

当响应包长度小于200个字节，并且内容离散度大于0.3时，将所述网络包识别为木马连接与认证行为状态；

当内网发送到外网的数据包长度大于200个字节时，将所述网络包识别为木马窃密行为状态。

可选地，所述记录识别出的木马行为状态，基于该记录识别木马行为的步骤包括：

当将所述网络包识别为木马控制端信息获取行为状态、木马连接与认证行为状态和木马窃密行为状态中任一种时，记录传输该网络包的内网终端和外网终端，并记录该内网终端和外网终端具备所识别出的木马行为状态；

根据该记录，将同时具备上述状态的内网终端或外网终端分别识别为木马行为内网终端和木马行为外网终端。

可选地，所述的方法还包括：

配置木马控制特征和木马控制命令；所述木马控制特征为：数据包长度小于200个字节，并且外网终端发送到内网终端的数据包长度与内网终端发送到外网终端的数据包长度比例大于1；

所述记录识别出的木马行为状态，基于该记录识别木马行为的步骤后还包括：

对于所述木马行为外网终端发送给内网终端的网络包，或所述木马行为内网终端从外网终端接收的网络包，基于所述木马控制特征识别木马控制行为状态；

将识别为木马控制行为状态的网络包的载荷与木马控制命令进行匹配；基于匹配成功的木马控制命令识别木马名称，并将发送该网络包的外网终端识别为控制端，将接收该网络包的内网终端识别为被控制端。

本申请还提供了一种木马行为的识别系统，包括：

管理模块，用于配置木马行为特征；

捕包模块，用于捕获网络包；

识别模块，用于基于所述木马行为特征识别所述网络包的木马行为状态；

关联模块，用于记录识别出的木马行为状态，基于该记录识别木马行为。

可选地，木马行为特征包括以下任一情况或其任意组合：

响应内容为域名:端口或IP地址:端口格式；

响应包长度小于200个字节，并且内容离散度大于0.3；

内网发送到外网的数据包长度大于200个字节。

可选地，所述识别模块基于所述木马行为特征识别网络包的木马行为状态是指：

所述识别模块当响应内容为域名:端口或IP地址:端口格式时，将所述网络包识别为木马控制端信息获取行为状态；当响应包长度小于200个字节，并且内容离散度大于0.3时，将所述网络包识别为木马连接与认证行为状态；当内网发送到外网的数据包长度大于200个字节时，将所述网络包识别为木马窃密行为状态。

可选地，所述关联模块记录识别出的木马行为状态，基于该记录识别木马行为是指：