[发明专利]一种木马远程shell行为检测装置及方法

权利要求书

1.一种木马远程shell行为检测装置，其特征在于，包括：

数据包采集装置：用于获取网络入口实时网络流量数据的；

数据流筛选过滤装置：用于对实时网络流量数据按源IP、源端口、目的IP、目的端口、协议类型进行数据流分类，过滤掉无关协议数据流；

数据流特征提取装置：用于提取每个数据流一个应答响应过程中出入包载荷比率、出入包数目比率、数据流应答间隔；

木马shell行为特征检测装置：用于将一定时间间隔内提取到的数据流特征构造成特征向量[x₁,x₂,x₃]输入到构造的神经网络模型当中，x₁代表数据流的一个应答响应过程中出入包载荷比率，x₂代表数据流一个应答响应过程中出入包数目比,x₃代表数据流一个连续应答响应过程的时间间隔，通过神经网络模型计算得出结果，判断该数据流是否存在木马远程shell行为，并输出结果，同时将检测结果反馈到数据流筛选过滤中的步骤；

所述木马shell行为特征检测装置中的模型学习算法为神经网络模型，神经网络模型的函数表达为：y＝wx，其中w为特征性向量系数矩阵[w₁,w₂,w₃]，x为特征值矩阵[x₁,x₂,x₃]^T，theta,为检测阈值，t为检测结果；对于某个输入[x₁,x₂,x₃]，a＝w₁x₁+w₂x₂₊w₃x₃≥theta，输出结果为1，表示检测到木马shell行为；反之输出结果0，没有检测到木马shell行为。

2.根据权利要求1所述的一种木马远程shell行为检测装置，其特征在于：

所述数据包采集装置，在大型或者高速网络的主干节点上，采用数据镜像的方式采集网络上的数据；或是部署在局域网的出入口，采用数据包嗅探的方式获得网络数据包。

3.根据权利要求1所述的一种木马远程shell行为检测装置，其特征在于：

所述数据流筛选过滤装置通过协议过滤或白名单过滤方式实现。

4.根据权利要求1所述的一种木马远程shell行为检测装置，其特征在于：

所述数据流特征提取装置建立一个hash链表保存提取的数据包包头信息，hash链表以数据流五元组源IP、源端口、目的IP、目的端口、协议类型、中前四个元组hash值作为索引，链表字段包括了前述的三种特征及其他控制信息，根据协议类型不同，分别建立TCP和UDP数据包hash表。