[发明专利]一种威胁检测方法及装置

说明书

本申请实施例提供一种威胁检测方法及装置，涉及网络安全领域，能够有效的检测反弹端口型木马程序。该方法包括：获取第一设备和第二设备之间的传输控制协议TCP会话中的报文，TCP会话的发起端设备为第一设备；获取TCP会话中从第一设备传输到第二设备的第一数据流和从第二设备传输到第一设备的第二数据流；获取第一数据流的多个第一报文中每个第一报文的时间信息以及第二数据流的多个第二报文中每个第二报文的时间信息；根据每个第一报文的时间信息和每个第二报文的时间信息，计算激活率、响应率以及交互次数；若激活率大于或等于第一阈值、响应率大于或等于第二阈值、且交互次数大于或等于第三阈值，确定第一设备受到威胁。

技术领域

本申请实施例涉及网络安全领域，尤其涉及一种威胁检测方法及装置。

背景技术

在互联网高度开放的今天，各种各样的恶意程序充斥在互联网中。木马程序是一种典型的恶意程序，攻击者可以通过木马程序来控制另一台计算机。木马程序对用户使用的计算机系统造成了不同程度的威胁。木马程序通常包含两个可执行程序：服务端程序和客户端程序。服务端程序和客户端程序之间的相互配合，能够实现主机控制、文件盗取、系统破坏等功能。服务端程序安装在被控制的主机上，即被木马程序攻击的设备；客户端程序安装在控制主机上，即攻击者使用的设备。

现有防火墙为了防范木马程序对受保护网络中的主机造成破坏，对由外部网络接入受保护网络的连接往往进行严格的限制。为了逃避防火墙的检测，现在大部分木马程序都是反弹端口型木马程序。反弹端口型木马程序的特点是服务端程序通过某一标准的网络通信端口主动连接客户端程序。这种连接方式会造成防火墙误认为该连接是一个正常的网络连接而放行。这样，反弹端口型木马程序能够逃避防火墙的检测，对主机的计算机系统和文件等信息的安全性造成威胁。

现有技术无法有效检测反弹端口型木马程序。

发明内容

本申请提供一种威胁检测方法及装置，能够有效的检测反弹端口型木马程序。

为达到上述目的，本申请采用如下技术方案：

第一方面，提供一种威胁检测方法，在第一设备位于受保护网络，第二设备位于另一网络，第一设备和第二设备之间存在一个传输控制协议(Transmission ControlProtocol，TCP)会话，且第一设备主动发起该TCP会话的场景中，威胁检测装置首先获取该TCP会话中的报文，并获取该TCP会话中从第一设备传输到第二设备的第一数据流中每个第一报文的时间信息，以及从第二设备传输到第一设备的第二数据流中每个第二报文的时间信息，然后，该威胁检测装置根据每个第一报文的时间信息和每个第二报文的时间信息，计算该TCP会话中第一设备向第二设备发送的数据是由第二设备触发的概率，即激活率，并计算第二设备向第一设备发送的数据得到第一设备及时响应的概率，即响应率，以及计算第一设备与第二设备之间交互的次数，即交互次数，若激活率大于或等于第一阈值、响应率大于或等于第二阈值、且交互次数大于或等于第三阈值，则该威胁检测装置确定第一设备与第二设备之间的连接方式为反向连接。在威胁检测装置确定第一设备与第二设备之间的连接方式为反向连接时，威胁检测装置确定第一设备受到威胁。

由于反弹端口型木马程序最基本的特点就是控制端设备与被控端设备之间的连接方式为反向连接，因此，不论是对于哪一类型的反弹端口型木马程序，本申请实施例中的威胁检测装置均可及时检测到，有效的提高了被控端设备的计算机系统和文件等信息的安全性。