[发明专利]一种窃密木马的TCP心跳行为的检测方法有效
| 申请号: | 201210555371.7 | 申请日: | 2012-12-19 |
| 公开(公告)号: | CN103036743A | 公开(公告)日: | 2013-04-10 |
| 发明(设计)人: | 陈小军;时金桥;张浩亮;蒲以国;谭庆丰;徐菲;胡兰兰 | 申请(专利权)人: | 中国科学院信息工程研究所 |
| 主分类号: | H04L12/26 | 分类号: | H04L12/26;H04L29/06 |
| 代理公司: | 北京轻创知识产权代理有限公司 11212 | 代理人: | 杨立 |
| 地址: | 100093 *** | 国省代码: | 北京;11 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 一种 窃密 木马 tcp 心跳 行为 检测 方法 | ||
1.一种窃密木马的TCP传输控制协议心跳行为的检测方法,其特征在于,包括:
步骤1,抓取网络数据包,还原成TCP数据流,并记录TCP数据流信息;
步骤2,检测是否有TCP保活心跳行为:判断来自服务端和客户端的心跳数据包数量是否超过最少心跳数据包数量,若是则存在TCP保活心跳行为,并执行步骤5,否则根据窃密木马的连接持续时间是否超过阈值,执行步骤3或步骤4;
步骤3,若连接持续时间超过阈值,检测是否有TCP连接内心跳行为:根据一个连接内每个方向的数据包的字节数和时间,判断字节数大小相似的数据包的发送序列是否具有周期性,若是则判断为可疑TCP连接内心跳行为,并执行步骤5,否则结束检测流程;
步骤4,若连接持续时间未超过阈值,检测是否有TCP连接级心跳行为:分析具有相同三元组的若干连续TCP短连接的时间和通信字节数,判断通信字节数相似的连接序列是否具有周期性,若是则判断为可疑TCP连接级心跳行为,并执行步骤5,否则结束检测流程;
步骤5,检测步骤2、步骤3或步骤4得到的相应心跳行为是否存在误判,若是则返回步骤1,否则结束检测流程。
2.根据权利要求1所述的检测方法,其特征在于,所述步骤1中的TCP数据流信息包括:通信开始时间、结束时间、源IP地址、目的IP地址、源端口、目的端口、数据包字节数、数据包到达时间、序列号和确认序列号。
3.根据权利要求1所述的检测方法,其特征在于,所述步骤2中判断一个数据包是否为心跳数据包的条件为:
式中,下标s和c分别表示数据包来自服务端和客户端,SeqAckc和SeqAcks分别表示来自客户端和服务端的数据包确认序列号,Seqc和Seqs分别表示来自客户端和服务端的数据包序列号,PacketLengthc和PacketLengths分别表示来自客户端和服务端的数据包字节数。
4.根据权利要求1所述的检测方法,其特征在于,所述步骤2中根据窃密木马连接持续时间是否超过阈值,执行步骤3或步骤4具体包括:若连接持续时间超过阈值,则为窃密木马建立的长连接,并执行步骤3,否则为窃密木马建立的短连接,并执行步骤4。
5.根据权利要求1所述的检测方法,其特征在于,所述步骤3中,判断字节数大小相似的数据包的发送序列是否具有周期性具体包括:过滤掉字节数超过数据包最大字节数的数据包,然后将字节数大小相似的数据包聚为一类,每一类中的数据包按到达时间排序,计算相邻数据包到达时间差值的均值和方差。判断该连接是否有TCP连接内心跳行为的条件为:
式中,Tk,i表示第k个类中的第i个数据包的到达时间,第k个类中共有nk个数据包,Δ是方差阈值,N是数据包数量阈值。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于中国科学院信息工程研究所,未经中国科学院信息工程研究所许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201210555371.7/1.html,转载请声明来源钻瓜专利网。
