[发明专利]一种基于计算机内存取证技术的恶意流量检测方法

说明书

本发明涉及一种基于计算机内存取证技术的恶意流量检测方法。本发明首先对计算机物理内存建立转储文件；然后利用Volatility取证框架获取操作系统版本和配置文件信息；在操作系统版本和配置文件信息支持下提取物理内存中的流量数据包，应用回归模型来分析流量数据并检测与可疑活动相关的异常模式，方法能够根据不同需求设置不同异常模式，最后通过决策器决定各个异常模式是否触发并对流量是否恶意作出判断，辅助取证分析人员检测和提取被害主机中存留的恶意流量。

技术领域：

本发明涉及一种基于计算机取内存证技术的恶意流量检测方法，该方法在计算机内存取证领域中有着很好的应用，主要用于检测计算机内存中是否存在恶意流量。

背景技术：

目前，任何连接到互联网的主机不是绝对安全的，都有可能受到网络攻击。攻击的类型和复杂程度随着攻击技术的发展而增加，其动机之一是网络犯罪分子能够从网络犯罪活动中获利。

检测与攻击相关的异常对于确保网络安全和取证分析都是必不可少的。及时发现可以阻止攻击造成的损失；对异常的取证分析不仅有助于调查网络犯罪，而且有助于洞悉攻击流程。内存中缓存着大量的流量数据，而内存取证技术能够对计算机物理内存镜像进行分析与取证，能够有效与恶意流量检测相结合。

发明内容：

为了辅助取证分析人员检测内存中是否包含恶意流量，本发明公开了一种基于计算机取内存证技术的恶意流量检测方法。

为此，本发明提供了如下技术方案：

1.基于计算机取内存证技术的恶意流量检测方法，该方法包括以下步骤：

步骤1：获取计算机物理内存的转储文件。

步骤2：使用Volatility取证框架提取内存镜像中的流量。

步骤3：对流量会话建立模型并检测异常模式。

步骤4：检测网络端口扫描，以及非法的TCP状态序列。

步骤5：收集并关联异常模式，并对流量是否异常做出最终决定。

2.根据权利要求1所述的基于计算机取内存证技术的恶意流量检测方法，其特征在于，所述步骤1中，获取计算机物理内存的转储文件，具体步骤为：

步骤1-1判断被害主机是否为虚拟机，若是则拍摄快照文件，若不是进行步骤1-2；

步骤1-2判断被害主机是否处于运行状态，若不是，则检查磁盘中的休眠文件和崩溃转储，若被害主机处于运行状态进行步骤1-3；

步骤1-3判断是否拥有被害主机的操作权限，若拥有权限，则通过运行DumpIt生成转储文件。

3.根据权利要求1所述的基于计算机取内存证技术的恶意流量检测方法，其特征在于，所述步骤2中，使用Volatility取证框架提取内存镜像中的流量，具体步骤为：

步骤2-1查找并解析内核调试数据块_KDDEBUGGER_DATA64；

步骤2-2通过内核调试数据块获取被害主机操作系统版本信息；

步骤2-3根据版本信息导入配置文件；

步骤2-4通过使用ethscan模块从被害主机中提取出数据包。

4.根据权利要求1所述的基于计算机取内存证技术的恶意流量检测方法，其特征在于，所述步骤3中，对流量会话建立模型并检测异常模式，具体步骤为：

步骤3-1定义流量会话；

步骤3-2表示流量到达时间间隔的特征；

步骤3-3表示流量的大小特征；

步骤3-4表示终端主机的等级特征。