[发明专利]一种基于行为分析的反弹型远控木马网络流量检测方法

说明书

本发明公开了一种基于行为分析的反弹型远控木马网络流量检测方法，首先对训练样本进行TCP会话重组、会话特征提取及会话标记后，将会话特征及会话标记输入随机森林检测模型。通过对比不同参数下模型的指标性能，调整模型，并最终确定优化后的木马检测模型。然后对于探针上采集的实时原始流量数据进行TCP会话重组及会话特征提取，将会话特征输入第一阶段优化后的木马检测模型中，模型将其分类为木马流量或正常业务流量。本发明的技术效果在于，从木马自身特点所产生的流量特征出发，通过模型直接对流量文件进行检测，故本发明不依赖已有的木马特征库，也能够检测未知的新型远控木马，还能够检测出通信流量进行了加密的木马。

技术领域

本发明涉及网络安全领域，特别涉及一种基于行为分析的反弹型远控木马网络流量检测方法。

背景技术

由于黑客可通过远程控制木马盗取企业敏感数据、监控关键用户行为和执行恶意操作，远控木马已成为企业面临的重要信息安全威胁之一。远控木马程序由独立的两部分组成——控制端及被控制端，这两部分通过互联网进行数据交互。被控制端程序通过钓鱼邮件或U盘摆渡等方式秘密安装在受感染的计算机上，并远程接收黑客的命令。控制端程序被黑客掌握，并向受感染的计算机发送命令。根据木马连接的方向可将远控木马分为两类：前向远控木马和反弹远控木马。在前向远控木马连接中，被控制端开启服务接口，控制端主动连接被控制端，但是在反弹远控木马中，是被控端主动连接控制端上的端口。

前向远控木马可以通过防火墙或交换机中的端口过滤策略结合企业开放端口白名单的方式来防范，但这种安全策略对反弹远控木马是无效的，因为仅从端口无法区分反弹木马与正常业务的网络流量。利用深度数据包检测技术开展远控木马检测是业内一种主流技术方向，主要思路是将网络流量包负载与木马特征库进行比对，但此方法无法对加密数据包进行检测，并且计算复杂度高，难以做到企业级的实时木马检测。另一种木马检测技术是基于主机行为检测的，但它需要在每台主机上安装检测程序，较难推广。另外，部分高级木马能够感知到安全检测程序，并隐藏木马进程已逃避检测。

从网络行为分析的角度，反弹远控型木马与正常业务行为之间必定存在差异之处，但目前尚未有公开文献提出一种方法能够智能分析网络行为，高效准确地检测出反弹远控木马的网络流量。

发明内容

本发明提出了基于行为分析的反弹远控木马网络流量检测方法。该方法实时提取网络流量中的行为特征，并利用机器学习的方法训练木马检测模型，从而实现对反弹远控木马的准确检测。

本发明的技术方案是：

一种基于行为分析的反弹型远控木马网络流量检测方法，包括以下步骤：

步骤一，训练木马检测模型：采集木马流量文件和正常网络业务流量文件这两种不同类型的流量文件；然后从流量文件中提取每个TCP会话的完整网络流量；再从TCP会话流量中提取包括上传与下载流量包负载长度之比、标志位PSH Flag值等于1的流量包比例、会话初始阶段的数据包数量和心跳行为标识的会话行为特征；最后将会话行为特征与流量文件类型输入到基于随机森林算法的木马检测模型中进行训练，在训练过程中调整模型中决策树的数量，直到得到识别木马流量文件和正常网络业务流量文件最为准确的木马检测模型。这样就完成了对于模型的训练，即可通过该模型来自动识别木马流量和正常网络业务流量。

步骤二，根据步骤一中得到的木马检测模型进行检测：首先监测实时网络流量，然后从流量中提取每个TCP会话的完整网络流量，再从TCP会话流量中提取会话行为特征，最后将提取到的会话行为特征输入至木马检测模型中，模型根据输入将每个TCP会话分类为木马流量或正常网络业务流量。

所述的方法，所述的步骤一中，从流量文件中提取每个TCP会话的完整网络流量包括以下步骤：

将流量文件以TCP会话为单位重新组织，基于流量包中的Flag值包含 SYN来判断会话开始，包含RST或FIN来判断会话结束，并从所有TCP会话中筛选出从内部网络向外部网络发起的会话，丢弃从外部网络连入的TCP 会话。