[发明专利]一种基于终端流量的木马检测方法

说明书

技术领域

本发明属于信息安全技术领域，具体涉及一种基于终端流量的木马检测方法。

背景技术

木马是网络安全的一大威胁，随着网络技术日新月异，杀毒软件阻止了多种计算机病毒的传播，受到利益驱使，木马程序也在不断升级完善自己，木马程序制作者也采用多种技术手段优化木马程序，将相关木马程序进行免杀处理、自动隐藏、关闭安全防护软件、采用反弹等技术或容错时间与外界通信等技术规避安全软件的检测；未来木马将更注重隐藏、底层通信、0day漏洞利用等技术进行与查杀工具对抗。

传统木马查杀技术基于程序动作行为、特征码或具有针对性的查杀工具为主，不能快速识别最新或已升级的木马程序，计算机用户无法诊断判定程序是否为木马或已种木马，而且病毒木马还在网络中四溢扩散播种，以往认为导致传播的途径为U盘进行多机器使用导致，随之推处针对U盘的病毒木马查杀，终端查杀和U盘查杀还是没有控制住病毒木马的传播的破坏，考虑到病毒木马通过网络进行传播，又制定基于网络流量的病毒木马检测手段，来降低终端种病毒木马的可能性，在网络层提高针对病毒木马检测能力外，还能有效阻止传统病毒木马在网络中传播感染，可还是没能有效的扼杀病毒木马的传播，依然存在病毒木马的破坏和泄漏信息事件。

综上所述，采取终端查杀、U盘查杀和网络流量木马检测等手段，还是不能扼制病毒木马的传播，最新病毒木马绕过上述防护手段，仍存在被控制或数据信息泄露等威胁。

发明内容

为了克服上述现有技术的不足，本发明提供一种基于终端流量的木马检测方法，通过进行上下流量检测、进程通信数据检测和流量数据包正确性解析，实现终端流量木马检测。

为了实现上述发明目的，本发明采取如下技术方案：

本发明提供一种基于终端流量的木马检测方法，所述方法包括以下步骤：

步骤1：捕获数据流量信息，并分析时间段流量；

步骤2：对终端上下行数据流量进行分析；

步骤3：通过智能分析的数据流量与通信白名单数据进行核准匹配；

步骤4：终端流量数据包正确性检测。

所述步骤1包括以下步骤：

步骤1-1：捕获终端的数据流量信息，对所有产生的数据流量进行记录和统计；

步骤1-2：时间段内获取数据流量信息，实时记录产生的数据流量信息，根据捕获的数据包分析，得到产生数据流量的源端口或目的端口，在通过源端口找到占用端口的进程ID，通过进程ID找到此进程的记录项；

步骤1-3：若没有检测到时间段内产生的此进程记录项，则进行自建进程记录项，把数据包的长度累加到记录项的流量字段中。

所述步骤2包括以下步骤：

步骤2-1：建立数据流量检测模型，统计所有进程的上行流量和下行流量；

步骤2-2：通过数据流量检测模型进行进程ID、进程名称、上行流量、下行流量、时间段、数据包关键字、特征函数和恶意代码的检测；

步骤2-3：判定数据流量中上行流量与下行流量是否存在差异，若上行流量大于下行流量，则通过数据包进行关键字过滤分析；

步骤2-4：对下行流量过大数据包进行特征函数与恶意代码的检测；

步骤2-5：若下行流量中存在特征函数或恶意代码，则表面存在异常流量数据，通过进程ID查找对应的程序，自建的进程记录项与实时流量数据记录信息进行智能分析匹配定位对应进程。

所述步骤3中，根据木马行为特性，构建基于进程名称、源通信端口、目的IP地址和目的端口关联的通信白名单，在获取数据流量信息后，通过流量数据找到相应进程，根据数据包分析，查找产生流量进程源端口与外界通信的目的IP地址与目的端口，记录并与已构建通信白名单进行对比匹配，判定是否为木马程序。

终端流量数据包正确性检测包括协议正确性检测和协议数据包长度检测。

所述步骤4具体包括以下步骤：

步骤4-1：建立基于数据包的协议正确性检测模型，协议正确性检测模型涵盖字段包括端口号、协议、协议的特征、协议的数据包长度阀值信息；

步骤4-2：根据上行流量目的端口识别出相应的协议，根据协议特征对数据包内容进行验证；

步骤4-3：根据上行流量协议数据包长度的最大值进行检测，超过设定的某协议的最大数据包长度，就属于可疑数据包，其发送程序就属于可疑进程，完成协议数据包长度检测。

与现有技术相比，本发明的有益效果在于：