[发明专利]基于网络数据流分析的木马通信行为特征提取方法

权利要求书

1.一种基于网络数据流分析的木马通信行为特征提取方法，其特征是：将木马通信过程分为三个阶段：建立连接阶段、连接保持无操作阶段和操作阶段，通过对网络数据流分析，分别针这三个阶段提取相应的通信行为特征；

在建立连接阶段，木马通信特征的提取含有DNS响应IP异常特征的提取和DNS请求流量异常特征的提取；

DNS响应IP异常特征的提取方法为：当被控端收到的域名解析数据包含有特殊IP时，即可判断发生了DNS响应IP异常，特殊IP是指国际互联网标准RFC规定的非广域网IP地址；

DNS请求流量异常特征的提取方法为：首先，被控端将DNS数据包按照源IP进行划分，即每个源IP作为会话的唯一标识，并选用哈希表作为记录会话的数据结构；其次，提取任意一个源IP对应的DNS流量特征序列其中x_i表示在时间间隔t内该源IP发出的DNS请求数据包的个数，n表示样本量；定义DNS请求流量特征为

Z1=0Zi=max{0,Zi-1+xi-k}]]>

其中，k为区分参数，当Z_i≥w时，即可判断发生了DNS请求流量异常，w为判断值；

在连接保持无操作阶段，首先，将捕获的TCP协议数据按照网络会话进行整理，然后，进行连接保持无操作阶段木马通信特征的提取，提取如下会话统计特征用于检测木马在连接保持无操作阶段的通信行为：“心跳间隙”的平稳性小于阈值；

在操作阶段，首先，将捕获的TCP协议数据按照网络会话进行整理，然后，进行操作阶段木马通信特征的提取；操作阶段木马通信特征的提取分四个方面，分别为：

第一：针对木马通信过程的长时交互的特点，提取以下行为特征：通信时长、通信小包数量，当通信时长大于92.8秒、通信小包数量大于10个时为异常特征；将长度小于200字节的数据包称为通信小包；

第二：针对木马被控端在通信中扮演资源服务器的角色，提取以下行为特征：被控主机上传通信量，被控主机上传通信量大于15700字节时为异常特征；

第三：针对木马通信过程中数据包分布特点，提取以下行为特征：会话接收小包数量与会话小包数量的比值，该特征值大于0.5时为异常特征；

第四：针对木马通信时的数据流表现为由内向外的上传流的特点，提取以下特征：被控端上传数据量与下载数据量的比值，该特征值大于1时为异常特征；

通信时长、通信小包数量、被控主机上传通信量、会话接收小包数量与会话小包数量的比值、被控端上传数据量与下载数据量的比值这些特征的定义均以被控主机为参照物。

2.根据权利要求1所述的基于网络数据流分析的木马通信行为特征提取方法，其特征是：所述将捕获的TCP协议数据按照网络会话进行整理是指：将数据包按照四元组进行会话划分，即每个会话通过四元组唯一标识，并选用会话链表作为记录会话的数据结构；每一个会话链表都要用四元组进行标识，系统需要根据数据包中四元组查找相应的会话，将数据包信息添加到相应的会话链表中。

3.根据权利要求2所述的基于网络数据流分析的木马通信行为特征提取方法，其特征是：所述四元组中的元素为源IP地址、源端口、目的IP地址和目的端口；系统采用数组链表结构来记录四元组，数组链表结构是指数组和链表相结合的数据结构；系统利用数组建立哈希表，将哈希表作为链表的索引来提高查找效率；系统针对数据包四元组中各元素的不同概率分布，把分布均匀的元素分量设为数组链表，把分布不均匀的元素分量设为链表。