[发明专利]一种窃密木马的TCP心跳行为的检测方法

说明书

技术领域

本发明涉及窃密木马检测领域，是一种窃密木马的TCP（TransmissionControl Protocol，传输控制协议）心跳行为的检测方法。

背景技术

近年来，网络失泄密事件频频发生，给国家和社会造成了严重损失和重大影响。其中很大一部分泄密事件来自于窃密木马攻击，检测窃密木马对检测失泄密事件具有重要的积极意义。由于窃密木马具有隐蔽性、潜伏性等特征，一旦窃取敏感数据成功，轻则造成隐私泄露，重则使企业或国家遭受重大损失。简单地通过关键字匹配、特征码扫描等方式对加密传输木马和最新的木马已无能为力，一种能检测未知木马、基于网络行为的检测方法正逐渐流行。

大多数窃密木马控制端为了监控受控端的状态，两者直接会适时地通信，这种保活措施称为心跳行为，产生的数据包称为心跳数据包。这些数据包或者具有周期行为，或者为了躲避统计分析进行了随机化处理。目前窃密木马主要的心跳行为类型如表1所示。

表1窃密木马心跳行为说明

TCP保活心跳行为利用TCP协议自身提供的心跳机制，通信一端在空闲时向对端发送一个字节的数据，另一端返回ACK报文。TCP连接内心跳行为指在一个TCP连接内部，通信一端周期性的发送固定长度的报文。TCP连接级心跳行为指木马程序每隔一段时间想另一端发起TCP连接，连接成功后即断开连接，表现为TCP短连接。

目前对木马心跳行为已有的检测方法主要有三种。第一种是基于规则的检测，例如将“存在连续多个大小相同的报文，且到达间隔时间差小于某个阈值”作为一条检测规则。该方法能检测某些木马心跳行为，却无法检测到心跳数据包随机到达的窃密木马，容易产生漏报。第二种方法是基于傅里叶变换的周期检测方法。该方法对包的到达时间间隔进行离散傅里叶变换，由于窃密木马心跳具有周期性特征，其高频系数接近于0，低频系数很大，而正常通信的低频系数与高频系数差异不如窃密木马的心跳行为大，因此可以利用高低频系数的差异值可以作为木马心跳行为的检测依据。该方法的主要缺点是只考虑了报文的到达时间，没有考虑报文大小，容易产生误报，而且该方法计算复杂，开销较大。第三种方法是基于小波分解的方法。该方法简化了傅里叶变换的计算，只计算高频系数，如果高频系数低于阈值，则认为是心跳行为。这种方法计算简单，但继承了傅里叶变换检测方法中容易产生误报的缺点。

发明内容

本发明所要解决的技术问题是提供一种有效的窃密木马TCP心跳行为的检测方法，用于实现准确地检测多种窃密木马心跳行为。

本发明解决上述技术问题的技术方案如下：一种窃密木马的TCP心跳行为的检测方法，包括：

步骤1，抓取网络数据包，还原成TCP数据流，并记录TCP数据流信息；

步骤2，检测是否有TCP保活心跳行为：判断来自服务端和客户端的心跳数据包数量是否超过最少心跳数据包数量，若是则存在TCP保活心跳行为，并执行步骤5，否则根据窃密木马的连接持续时间是否超过阈值，执行步骤3或步骤4。

步骤3，若连接持续时间超过阈值，检测是否有TCP连接内心跳行为：根据一个连接内每个方向的数据包的字节数和时间，判断字节数大小相似的数据包的发送序列是否具有周期性，若周期性明显则判断为可疑TCP连接内心跳行为，并执行步骤5，否则结束检测流程；

步骤4，若连接持续时间未超过阈值，检测是否有TCP连接级心跳行为：分析具有相同三元组的若干连续TCP短连接的时间和通信字节数，判断通信字节数相似的连接序列是否具有周期性，若周期性明显则可判断为可疑TCP连接级心跳行为，并执行步骤5，否则结束检测流程；

步骤5，检测步骤2、步骤3或步骤4得到的相应心跳行为是否存在误判，若是则返回步骤1，否则结束检测流程。

在上述技术方案的基础上，本发明还可以做如下改进。

进一步，所述步骤1中的TCP数据流信息包括：通信开始时间、结束时间、源IP地址、目的IP地址、源端口、目的端口、数据包字节数、数据包到达时间、序列号和确认序列号。

进一步，所述步骤2中判断一个数据包是否为心跳数据包的条件为：