[发明专利]一种木马通信通道检测方法及系统

说明书

本发明公开了一种木马通信通道检测方法及系统，包括：获取待检测数据流，设置检测分值为0。检查待检测数据流中是否存在可疑加密行为，若存在则增加检测分值；并检查是否存在可疑心跳行为，若存在则增加检测分值，并将存在可疑心跳行为的数据包从待检测数据流中删除，记为清洗后的待检测数据流。检查清洗后待检测数据中是否存在异常数据传输模式，若存在则增加检测分值；并检测是否存在异常上下行流量比，若存在则增加检测分值。根据检测分值的最终结果，判断网络连接是否为可疑木马通信通道。通过本发明的方案，能够从心跳行为、异常数据传输驱动模式、可疑加密行为、异常上下行流量比等特征上检测未知木马，降低漏报、误报等情况的发生。

技术领域

本发明涉及信息安全领域，具体涉及一种木马通信通道检测方法及系统。

背景技术

当前，APT(Advanced Persistent Threat：高级持续性威胁)已成为各级各类网络所面临的主要安全威胁。它使网络威胁从散兵游勇式的随机攻击变成有目的、有组织、有预谋的群体式攻击，使传统的以实时检测、实时阻断为主体的防御方式难以再发挥作用。从APT流程中可以看到，木马仍然是攻击者渗透进入目标网络后，实施远程控制的主要手段。因此检测木马通信通道成为了APT检测防御的重要环节。

当前主流木马通信通道的检测方法是：首先运行木马样本，提取木马通信时的网络连接特征；然后对捕获的网络流量进行特征匹配，识别其中的木马通信行为。这种方案的优势是误报率低，缺点是无法识别未知、加密、变形的木马程序的通信行为。

经对现有技术的文献检索发现，中国专利申请号201110157821.2，专利名称“基于心跳行为分析的快速木马检测方法”，提出了一种基于木马心跳信号检测未知木马的方法；中国专利申请号201110430821.5，专利名称“一种木马检测的方法及装置”，提出了一种基于木马心跳信号和木马控制命令报文检测未知木马的方法；中国专利申请号201310478492.0，专利名称“基于网络数据流簇聚类的木马通信特征快速提取方法”，提出了一种先通过数据流簇聚类算法将数据包进行聚类，从而将木马通信过程分为连接保持无操作阶段和操作阶段，在通过心跳信号检测、通信时长、数据包大小分布、上传下载流量比等特征进行木马检测。这些检测方法能够从一定程度上解决未知木马检测的问题，但却存在如下不足：

(1)一个典型的木马通信通道，是心跳行为与数据传输行为混合传输的通道，而这两种行为具有较大的差别。例如心跳行为一般为被控端主动发给控制端，控制端再回应被控端，且周期较为平稳，上下行流量差距不大；而数据传输行为一般为控制端先发送命令到被控端，被控端再回应控制端，且无明显的周期性，上下行流量差距较大。如果不将二者进行区分，直接从捕获的数据包中进行可疑行为检测，将会导致检测结果较大的误差。

(2)为了躲避检测设备通过特征匹配的方法检测木马通信，许多木马采用了加密通信的方法绕过检测，这将会影响基于木马命令控制报文的检测方法；同时一条本不应该加密的网络连接出现了异常加密行为，本身就应当作为木马通信通道的重要特征。因此如果检测算法中不考虑通道是否存在加密，会导致较大的漏报。

发明内容

为了解决上述问题，本发明提出了一种木马通信通道检测方法及系统，能够从心跳行为、异常数据传输驱动模式、可疑加密行为、异常上下行流量比等特征上检测未知木马，降低漏报、误报等情况的发生。

为了达到上述目的，本发明提出了一种木马通信通道检测方法，该方法包括：

以串行或并行接入的方式获取一个网络连接从开始到结束的全部数据包，记为待检测数据流，设置检测分值为0。

检查待检测数据流中是否存在可疑加密行为，如果存在则增加检测分值。

检查待检测数据流中是否存在可疑心跳行为，如果存在则增加检测分值，并将存在可疑心跳行为的数据包从待检测数据流中删除，将待检测数据流记为清洗后的待检测数据流。