[发明专利]基于无控制端流量分析的木马检测方法

说明书

技术领域

本发明涉及一种基于通信数据流量分析的木马检测技术，特别是涉及一种基于无控制端流量分析的木马检测方法。

背景技术

当前的窃密攻击大多数是采用木马实现，木马最大的特点即是其行为往往带有较强的隐蔽性。木马被成功植入到目标计算机后，木马控制端必须和被控端进行通信，以便给被控端下达控制指令或者控制被控端将所获取的信息回传给控制端。现阶段对木马通信流量的检测识别主要针对木马被控制端程序和控制端程序已经建立连接的情形，对控制端程序未上线的情况关注较少。在网络中，木马的控制端未上线情况下，木马被控端程序同样会向控制端发送连接请求，产生无控制端的通信数据流(简称无控制端流量)，并且这些数据流量少，不能形成完整的数据流会话，传统基于通信数据流的木马检测方法对于这类无控制端木马流量不具备检测能力。通过对木马程序产生的无控制端流量进行检测，可以有效提高局域网的安全性，增强基于数据流统计特征木马检测方法的检测能力。因此，如何有效检测木马被控制端程序产生的无控制端流量就成为信息安全领域一个重要的理论和技术问题。

目前，基于通信数据流的木马检测方法很多，主要方法集中在攻击者与被控端之间的交互操作行为的检测，还未出现针对木马无控制端流量进行检测的方法，而且此类方法均存在一定缺陷，并且不具备良好的通用性。

李世淙对木马的通信全过程进行了简要的描述，并根据木马的通信特征将木马通信过程划分成一条主要连接和多条次要连接，并提取各数据流中数据包数量的上传下载比、数据量的上传下载比、通信会话的持续时间与主连接持续时间之比、主连接上的数据包时间间隔的均值等统计特征建立木马检测模型。木马连接中主连接和次连接的划分有时候并不是非常明显，导致部分数据流特征提取不够精确，影响检测的准确率。

Tegeler通过从两个终端的通信数据中提取Trace，以Trace为单位提取平均包间隔时间，平均流持续时间，平均上行字节数，平均下行字节数，以及对通信控制流的快速傅立叶变换这5个特征对局域网内部的通信流量进行检测。通过对7款木马程序进行实验测试，发现对不同的木马程序，各属性的识别权重不同，其中快速傅立叶变换在多数木马通信的检测中很重要。但是作者对于Trace的定义没有描述清晰，导致实现难度较大，同时对部分木马程序的检测率较低。

陈利对五元组(源IP、目的IP、源端口、目的端口、协议)中的数据包进行聚类形成数据包簇，提取数据包簇的八个统计特征，并计算数据包簇之间的加权欧氏距离，以此作为木马检测的依据。该方法对数据流中数据包的到达时间间隔依赖过高，当木马的数据包规律不明显时，数据包聚类效果变差，会导致该方法失效。

刘璇使用NetFlow技术对通信数据流进行采集，并选取了源IP和目的IP对之间数据包字节数、数据包数量、数据流来源子网个数、源端口个数、目的端口个数、各协议所占总流量比例、各源端口所占总流量比例、各目的端口所占总流量比例等特征对用户的行为进行分析统计，并设计用户行为距离公式，检测非正常用户的通信流量行为。由于对用户建模选取的有不同端口的数据，木马程序利用隐蔽通道技术，将自己的通信速度降低，弱化自己的流量特征会导致该方法失效。

以下对本发明涉及的基本概念进行解释.

数据流：数据流是由应用程序发送和接收的网络数据包组成，是两台主机信息交流的集合，即将五元组信息(源IP、目的IP、源端口、目的端口、协议)相同的数据包按照协议规范要求和时间顺序组成的数据包队列。数据流f可以表示成：f＝{pkt₁,pkt₂,……,pkt_n}，其中n为数据流中数据包个数，pk表示顺序到达的数据包。

四元组：称{源IP地址、目的IP地址、目的端口、协议}为四元组。

五元组：称{源IP地址、目的IP地址、源端口、目的端口、协议}为五元组。