[发明专利]基于网络数据流簇聚类的木马通信特征快速提取方法

说明书

技术领域

本发明涉及一种木马通信特征的提取方法，特别是涉及一种基于网络数据流簇聚类的木马通信特征快速提取方法。

背景技术

当前的窃密攻击大多数是采用木马实现，木马最大的特点即是其行为往往带有较强的隐蔽性。木马被成功植入到目标计算机后，木马控制端必须和被控端进行通信，以便给被控端下达控制指令或者控制被控端将所获取的信息回传给控制端。目前，现有的窃密型木马检测技术主要采用特征码匹配技术。相较于基于特征码匹配的检测技术，基于通信行为特征分析的检测技术在时效性和扩展性方面具有明显优势，有利于发现潜在的、未知的网络窃密行为和威胁，具有更广的应用前景。然而基于通信行为的木马检测算法往往存在计算复杂度较高的问题，在实时监控应用中，给监控系统带来庞大的计算开销。因此，如何有效提取木马通信特征，设计具有高检测性能且计算复杂度较低的检测算法，进而实时有效的检测窃密型木马的网络通信行为就成为当前一个重要的理论和技术问题。

基于通信行为的木马检测方法很多，但大部分已有方法的检测通用性较差，而且计算效率不高。

Borders等利用HTTP请求的时间间隔、请求包大小、包头格式、带宽占用、请求规则等特征构造各种过滤器检测木马通信。然而，木马可以通过在通信细节上的简单改变绕过文章中所构造的各种过滤器。例如：木马只需将请求包的大小限制在某一阈值内即可使请求包大小过滤器失去功效。此种方法只能针对HTTP协议进行检测，通用性较差。而且此种方法还需要对数据包内容进行详细解析，效率较低。

Pack等提出了一种通过使用数据流的行为轮廓对HTTP隐蔽通道进行检测的方法。行为轮廓基于大量的度量，如平均数据包大小、小数据包和大数据包比例、数据包模型变化、所有发送／接收数据包的总数和连接时间。如果一个数据流的观察特性偏离正常HTTP数据包的行为轮廓，则极有可能是HTTP隐蔽通道。方法主要针对HTTP隧道进行检测，通用性较差。

Tumoian等利用正常协议产生的连续TCP ISN号来训练Elman网络，然后将实际的ISN号与神经网络所预测的ISN号比对，当实际值与预测值的差异超过预先设定的阈值时则认为有隐蔽通道存在。作者通过这种方法实现了对NUSHU隐蔽通道的检测。但该方法只能对特定木马通信进行检测同样不具备通用性。

Zhang和Paxson利用数据包到达时间间隔和数据包大小描述了一种木马通信交互模型，用于检测木马和后门等恶意程序。该模型对木马通信行为进行如下描述：1、木马通信过程中相邻数据包到达时间间隔符合帕累托分布；2、由于木马通信过程中存在命令交互，所以小数据包应占一定比例。但实际木马通信过程中可以通过不同的算法使相邻数据包到达时间间隔满足各种分布要求，加之数据包到达时间间隔在很大程度上会受到网络拓扑的影响，所以数据包到达时间间隔用其作为行为描述存在一定弊端。且木马通信过程中的短命令可以隐藏在较大的HTML页面信息中，所以强调通信过程中的小数据包的比例并不能实现有效检测。

以下对本发明涉及的基本概念进行解释。

木马心跳：为了表征自身的存活性，木马会在客户端和服务器端之间建立并保持一个会话，直到任意一端的木马程序关闭或网络连接断开。这种会话的保持是通过向对方发送数据包来实现的。由于这种数据包大部分采用定时发送的方式，其存在方式和意义类似于动物的心脏跳动，故被称为“心跳包”。

心跳间隙：相邻的两次“心跳”过程间会有一定的时间间隔，称之为“心跳间隙”。根据“心跳间隙”是否为恒定值，可以将木马心跳方式分为以下两种：1、定时长心跳，即“心跳间隙”为恒定值。2、变时长心跳。由于定时长心跳规律明显，难以抵抗统计分析。因此攻击者常采用各种算法来将“心跳间隙”随机化，使其不再具有明显统计特征来抵抗检测。特别的，定时长心跳也可视为变时长心跳的平凡情形。

心跳过程：木马在每次发送“心跳包”时，木马被控端和控制端程序可能还会向对方发送一些其他数据包，表示对所收到数据包的确认，将“心跳包”和伴随其发送的一组确认数据包称为“心跳过程”。

木马通信过程：木马通信过程可分为两个阶段：保持连接无操作阶段和操作阶段。木马被植入到目标系统后，攻击者只会在有限的时间段内对木马进行操作(此时木马通信处于操作阶段)，其余大部分时间木马都处于空闲状态。部分木马在空闲状态下保持与攻击者之间联系过程称为保持连接无操作阶段。

四元组：称{源IP地址，源端口，目的IP地址，目的端口}为四元组。