[发明专利]基于网络数据流分析的木马通信行为特征提取方法

摘要

本发明涉及一种基于网络数据流分析的木马通信行为特征提取方法；具体为：将木马通信过程分为三个阶段：建立连接阶段、连接保持无操作阶段和操作阶段；在建立连接阶段，进行DNS响应IP异常特征和DNS请求流量异常特征的提取；在连接保持无操作阶段，先将捕获的TCP协议数据按照网络会话进行整理，再提取如下会话统计特征：“心跳间隙”的平稳性小于阈值；在操作阶段，先将捕获的TCP协议数据按照网络会话进行整理，再提取如下特征：通信时长、通信小包数量、被控主机上传通信量、会话接收小包数量与会话小包数量的比值、被控端上传数据量与下载数据量的比值；本发明能够对木马通信进行全面的检测，具有较高的性能和计算效率。

主权项

1.一种基于网络数据流分析的木马通信行为特征提取方法，其特征是：将木马通信过程分为三个阶段：建立连接阶段、连接保持无操作阶段和操作阶段，通过对网络数据流分析，分别针这三个阶段提取相应的通信行为特征；在建立连接阶段，木马通信特征的提取含有DNS响应IP异常特征的提取和DNS请求流量异常特征的提取；DNS响应IP异常特征的提取方法为：当被控端收到的域名解析数据包含有特殊IP时，即可判断发生了DNS响应IP异常，特殊IP是指国际互联网标准RFC规定的非广域网IP地址；DNS请求流量异常特征的提取方法为：首先，被控端将DNS数据包按照源IP进行划分，即每个源IP作为会话的唯一标识，并选用哈希表作为记录会话的数据结构；其次，提取任意一个源IP对应的DNS流量特征序列其中x_i表示在时间间隔t内该源IP发出的DNS请求数据包的个数，n表示样本量；定义DNS请求流量特征为Z1=0Zi=max{0,Zi-1+xi-k}]]>其中，k为区分参数，当Z_i≥w时，即可判断发生了DNS请求流量异常，w为判断值；在连接保持无操作阶段，首先，将捕获的TCP协议数据按照网络会话进行整理，然后，进行连接保持无操作阶段木马通信特征的提取，提取如下会话统计特征用于检测木马在连接保持无操作阶段的通信行为：“心跳间隙”的平稳性小于阈值；在操作阶段，首先，将捕获的TCP协议数据按照网络会话进行整理，然后，进行操作阶段木马通信特征的提取；操作阶段木马通信特征的提取分四个方面，分别为：第一：针对木马通信过程的长时交互的特点，提取以下行为特征：通信时长、通信小包数量，当通信时长大于92.8秒、通信小包数量大于10个时为异常特征；将长度小于200字节的数据包称为通信小包；第二：针对木马被控端在通信中扮演资源服务器的角色，提取以下行为特征：被控主机上传通信量，被控主机上传通信量大于15700字节时为异常特征；第三：针对木马通信过程中数据包分布特点，提取以下行为特征：会话接收小包数量与会话小包数量的比值，该特征值大于0.5时为异常特征；第四：针对木马通信时的数据流表现为由内向外的上传流的特点，提取以下特征：被控端上传数据量与下载数据量的比值，该特征值大于1时为异常特征；通信时长、通信小包数量、被控主机上传通信量、会话接收小包数量与会话小包数量的比值、被控端上传数据量与下载数据量的比值这些特征的定义均以被控主机为参照物。