[发明专利]基于网络流量的使用跨会话技术检测未知木马的方法及系统

权利要求书

1.基于网络流量的使用跨会话技术检测未知木马的方法，其特征在于，包括如下步骤：

步骤1、dpdk抓取交换机镜像过来的网络流量；

步骤2、解析数据包，并解析出数据包的各种类型；

步骤3、五元组进行会话管理，保存会话的ip对；

步骤4、调换源目的的ip地址，用ip对在会话表中查询是否已经存在反向的会话；

步骤5、存在方向的ip对会话后判断创建时间是否在10分钟之内；

步骤6、根据两个会话的协议类型剔除ftp，rtsp等正常通信协议；

步骤7、输出木马检测结果：通信的两个ip地址。

2.根据权利要求1所述的基于网络流量的使用跨会话技术检测未知木马的方法，其特征在于：步骤1中，复制数据包到合适大小的进程内存中，同时也使用引用计数方式管理，多处需要缓存数据包时就不再复制数据，仅增加引用计数即可。

3.根据权利要求1所述的基于网络流量的使用跨会话技术检测未知木马的方法，其特征在于：步骤2中，数据包的各种类型包括ip类型，端口类型，协议类型。

4.根据权利要求1所述的基于网络流量的使用跨会话技术检测未知木马的方法，其特征在于：步骤4中，普通会话查找是查找发起连接的ip，而要查找反向连接的会话则需要在历史会话缓存中查找是否存在当前会话ip对交换后的历史会话。

5.根据权利要求1所述的基于网络流量的使用跨会话技术检测未知木马的方法，其特征在于：步骤5与步骤6中，用木马和控制服务器的多次通信的关联性来检测木马，就需要保存一定时间内的一个ip对之间的所有通信会话，当有符合特点的多个会话出现时则认为检测到木马。

6.根据权利要求1所述的基于网络流量的使用跨会话技术检测未知木马的方法，其特征在于：在木马的监测过程中，一般需要一定的数据量才能确定检测到木马，确认告警时则把之前缓存的数据包和之后的数据包永久保存，便于后续分析、取证，超过一定数据量还没有检测到异常时则丢弃之前缓存的数据。

7.基于网络流量的使用跨会话技术检测未知木马的系统，其特征在于，包括：

抓包模块：利用DPDK技术通过操作系统的用户模式驱动UIO可以在用户态通过轮询的方式读取网卡的数据包；

包处理线程模块：默认情况下系统通过4kb大小来管理内存页面，但是通过与DPDK对应的大页内存技术可以将内存页面调节到1GB；

复制包处理模块：通过这个复制线程处理模块可以快速提高数据包的传输效率，把需要进行检测的数据包提取下来；

检测模块：通过把复制包处理线程模块处理完的数据流量包进行进一步流量的具体特征分析，将恶意流量的结果保存。

8.根据权利要求7所述的基于网络流量的使用跨会话技术检测未知木马的系统，其特征在于：通过轮询的方式读取网卡的数据包，无需把数据包在内核空间和用户空间之前往复移动。