[发明专利]一种木马通信通道检测方法及系统

权利要求书

1.一种木马通信通道检测方法，其特征在于，所述方法包括：

以串行或并行接入的方式获取一个网络连接从开始到结束的全部数据包，记为待检测数据流，设置检测分值为0；

检查所述待检测数据流中是否存在可疑加密行为，如果存在则增加所述检测分值；

检查所述待检测数据流中是否存在可疑心跳行为，如果存在则增加所述检测分值，并将存在可疑心跳行为的数据包从所述待检测数据流中删除，将所述待检测数据流记为清洗后的待检测数据流；

检查所述清洗后待检测数据流中是否存在异常数据传输模式，如果存在则增加所述检测分值；

检测所述清洗后的待检测数据流中是否存在异常上下行流量比，如果存在则增加所述检测分值；

根据所述检测分值的最终结果，判断所述网络连接是否为可疑木马通信通道；

其中，所述检测清洗后的待检测数据流中是否存在异常数据传输模式，如果存在则增加所述检测分值具体包括以下步骤：

根据所述清洗后的待检测数据流，生成两个时间序列：客户端到服务器端数据传输时间序列和服务器端到客户端数据传输时间序列；

找到两个时间序列中的活跃点，生成两个活跃时间点序列：客户端到服务器端活跃时间点序列和服务器端到客户端活跃时间点序列；

查找服务器端到客户端的活跃时间点中，有多少个所述活跃时间点得到了客户端的响应；

计算服务器端到客户端活跃时间点的响应率，计算客户端到服务器端活跃时间点的激活率；如果二者的比例均超过设定的阈值Tr，且服务器端和客户端的命令-响应交互次数超过了设定的阈值Tmn，则产生检测到所述异常数据传输模式的报警，同时根据检测结果增加所述检测分值的取值，所述响应率是指：从服务器端到客户端的活跃数据传输中，得到了客户端及时响应的概率；所述激活率是指：从客户端到服务器端的活跃数据传输中，数据传输行为是由于被服务器端激活才发生的概率。

2.如权利要求1所述的方法，其特征在于，所述检测所述待检测数据流中是否存在可疑加密行为，如果存在则增加所述检测分值具体包括以下步骤：

取所述待检测数据流中的前N个数据包，其中，N为设定的正整数；如果所述待检测数据流中的总数据包数小于N，则取所述待检测数据流中的全部数据；

对于每个数据包，去除所述数据包的包头部分，取所述数据包的传输层的有效载荷部分；

将所述有效载荷部分视为由单个字节的字符组成的字符串，统计前N个数据包中每个字符出现的次数，如果所述待检测数据流中的总数据包数小于N，则统计所述待检测数据流中的全部数据包中每个字符出现的次数；

根据所述每个字符出现的次数，通过下式计算所述待检测数据流的信息熵：

其中，S为所有字符的总数，c_n为字符n出现的次数；

如果所述待检测数据流的信息熵超过了设定的阈值Te，则判定所述待检测数据流中存在可疑加密行为，并根据偏离Te的程度增加检测分值的取值。

3.如权利要求1所述的方法，其特征在于，所述可疑心跳行为包括以下特征：数据包从被控端发往控制端；数据包的大小固定，且不超过设定值Ns；数据包发送时间间隔稳定。

4.如权利要求3所述的方法，其特征在于，所述检测待检测数据流中是否存在可疑心跳行为，如果存在则增加所述检测分值具体包括以下步骤：

生成一个包含Ns个元素的结构数组，遍历从被控端发送到控制端的数据包，Ns为大于1的正整数；对于小于Ns的数据包，根据数据包大小，分别在预定义的结构中记录相同大小数据包的发送时间、前后两个数据包的发送间隔；

遍历整个结构数组，计算每个相同大小数据包发送时间间隔序列的均值μ和标准差σ；

通过下述等式计算所述每个相同大小数据包发送时间间隔序列的平稳度：

通过所述平稳度P查找最为平稳的时间间隔序列，如果所述平稳度P超过了设定的阈值Ti，且心跳次数超过了设定的阈值Thb，则产生检测到可疑心跳信号报警，同时根据平稳度P的结果增加所述检测分值的取值；

删除会话数据包中从客户端发往服务器端的疑似心跳数据包，以及从服务器端发往客户端的疑似心跳应答数据包。