[发明专利]基于网络通信行为特征的木马识别方法

说明书

技术领域

本发明属于信息安全技术领域，特别地，涉及一种基于网络通信行为特征的木马识别方法。

背景技术

随着计算机和网络的普及与应用，人们对计算机和网络的依赖程度也越来越高。在每个工作用和家庭用的电脑上保存着大量的非公开或保密的重要文档和个人信息.这些电脑一旦被植入木马程序，其信息会被窃取，从而造成重要信息泄漏、秘密文件泄密、个人隐私信息暴露以及经济上的损失等等问题。此外，木马还可以破坏信息系统，致使系统瘫痪和重要数据丢失。

目前，木马的检测和防护方法可以分为两大类：

一类是传统的基于文件特征码的检测方式，该方法首先提取木马程序文件的特征码，然后通过扫描检测文件中是否包含特征码来识别木马文件。但是木马制造者通常会给木马程序文件加上各种形式的“外壳”，使得木马以多种类、多特征码的方式进行传播，从而给采集、监控、查杀和预防木马带来了越来越大的挑战。

另一类是木马防火墙，其是安装在用户主机端的软件工具，它采用动态监控的方式，网络中的可疑连接进行监控，过滤掉不安全的网络连接，从而保护主机免受外界攻击的危险。但是，由于需要运行在用户主机系统中，在工作过程中需要占用用户主机系统的CPU和内存资源，从而影响了系统其它工作的性能，并且此类方法非常容易产生误报。

随着国际互联网的迅猛发展，木马的种类愈加繁杂，其对于计算机的危害也越来越严重。木马网络行为主要是指木马与网络上其它主机间的通信行为。通过网络行为木马可以达到实施网络攻击、窃取保密信息、操作受控主机等目的。因此，对木马网络行为及时、准确的识别就显得至关重要。

不同的木马程序在功能、针对的操作系统及采用的网络通信协议方面存在很大差异，但在通信行为上又具有一定的相似性。通过对大量主流木马样本进行分析发现：木马整个通信过程按通信行为特征划分为三个阶段，建立连接阶段、保持连接阶段和交互连接阶段。木马不同阶段的网络通信行为在流量上表现为不同的特征，使用这种特征可以区分不同的木马工作阶段。

发明内容

鉴于以上所述现有技术的缺点，本发明的目的在于提供一种基于网络通信行为特征的木马识别方法，通过使用木马通信行为特征及其时序性来实现对木马的识别，可以有效避免木马变形加壳等规避技术对木马检测结果的影响。

为实现上述目的及其他相关目的，本发明提供一种基于网络通信行为特征的木马识别方法，所述木马识别方法至少包括以下步骤：建立木马数据流量的马尔科夫模型；对网络上的数据流量进行监测；对所监测到的网络通信行为进行筛选；若所监测到的网络通信行为并非木马通信会话，则证明当前数据流量为无关流量；若所监测到的网络通信行为为木马通信会话，则得到所述网络通信行为的时序序列；将实际网络数据流量还原成若干的网络会话，再将网络会话与马尔科夫模型进行匹配；若二者不匹配，则证明当前网络会话并非木马通信数据；若二者匹配，则证明当前网络会话为木马通信数据。

根据上的基于网络通信行为特征的木马识别方法，其中：还包括以下步骤：证明当前网络会话为木马通信数据后，发出木马识别的报警。

根据上的基于网络通信行为特征的木马识别方法，其中：对网络上的数据流量进行监测时，采用交换机获得网络数据流量的镜像数据流量。

根据上的基于网络通信行为特征的木马识别方法，其中：所述马尔科夫模型中，采用包长度、包方向和包间隔作为属性来描述木马的网络通信行为特征，并以一个TCP会话为研究的基本单元。

根据上的基于网络通信行为特征的木马识别方法，其中：所述马尔科夫模型中，由木马通信会话过程中发送的一个具有负载的数据包来触发一次行为状态的迁移。

根据上的基于网络通信行为特征的木马识别方法，其中：所述网络通信行为包括目录浏览、文件下载、远程终端、键盘记录、屏幕监控。

根据上的基于网络通信行为特征的木马识别方法，其中：将还原的网络会话与马尔科夫模型匹配时，根据马尔科夫模型中的转移矩阵判断木马的网络通信行为发生的阶段。

如上所述，本发明的基于网络通信行为特征的木马识别方法，具有以下有益效果：

（1）木马的网络通信行为与正常的网络应用相比具有一定的特殊性，因此使用木马的网络通信行为特征及其时序性来实现对木马的识别，可以有效避免木马变形加壳等规避技术对木马检测结果的影响；

（2）有效提高了网络木马检测的效率和准确率。

附图说明

图1显示为木马交互连接阶段的数据属性采集序列示意图；