[发明专利]基于网络数据流簇聚类的木马通信特征快速提取方法

摘要

本发明公开了一种基于网络数据流簇聚类的木马通信特征快速提取方法，首先，将捕获的网络数据流按照基于时间戳的数据流簇聚类算法分成数据包簇，然后按照四元组进行会话划分会话链表；然后，进行木马通信特征的提取，木马通信特征的提取含有连接保持无操作阶段木马通信特征的提取和操作阶段木马通信特征的提取。本发明在对网络数据流进行簇聚类的基础上，以簇为单位处理网络数据包，针对窃密型木马通信过程的不同阶段，分析木马通信行为与正常网络通信行为的差别，并结合传统的统计分析、相关分析和时频分析等技术，深入挖掘二者之间的差别并提取网络通信特征，在保证检测精度的同时提高检测效率，利用本发明可以实现对网络中的窃密行为进行检测。

主权项

一种基于网络数据流簇聚类的木马通信特征快速提取方法，其特征在于，首先，将捕获的网络数据流，按照基于时间戳的数据流簇聚类算法分成数据包簇，所述基于时间戳的数据流簇聚类算法是：时间戳论域：设T＝{t1,t2,…,tn,…}是待划分通信过程的数据包时间戳集合，T中的每个对象ti是第i个数据包的时间戳，ti单位为秒，i、n为大于0的自然数；簇半径阈值：设ε为簇半径阈值，相邻数据包的时间戳间隔小于该阈值的将被聚类在一个簇中；簇集合：设数据流为Sj，数据流Sj＝{c1,c2,…,cm}是经划分得到的一次通信过程的簇的集合，P(ci)＝(ci1,ci2,…,cik)是Sj中的每个簇对象ci的特i征矢m量；在聚类得到簇之后根据特征矢量将簇分类，m为大于0的自然数；界标窗口：因为数据包是顺序到达的，因此选取界标窗口来存储时间戳论域T，界标窗口的长度ΔW为起始时间点到当前时间点为止记录的数据包的个数；将数据包簇按照四元组进行会话划分，即每个会话通过四元组唯一标识，并选用链表作为记录会话的数据结构，构建基于四元组的数据包簇的会话链表；基于时间戳的数据流簇聚类算法以数据流S和簇半径阈值ε为输入，数据流S使用TCP会话四元组标识，簇半径阈值ε的单位为秒，以生成的簇集合S'＝{(ci,P(ci))|(1≤i≤m)}为输出；顺序遍历数据流中的每个数据包，通过计算当前数据包与前一个数据包的时间间隔判断加入当前簇还是新建簇；1≤i≤m，1≤j≤m，i、j、m、n分别为大于0的自然数；计算簇集合S'时，顺序遍历数据流中的每个数据包，通过计算当前数据包与前一个数据包的时间间隔判断加入当前簇还是新建簇，方法如下：(1)如果数据流中没有簇，则建立一个簇，然后接收数据流中下一个数据包；(2)如果该数据包的到达时间和上一个的数据包到达时间差小于定义的簇半径阈值，则将该数据包加入到簇中，更新簇的信息；(3)如果数据包的到达时间和上一个数据包的到达时间大于簇半径阈值，则新建立一个簇；然后，进行木马通信特征的提取，木马通信特征的提取含有连接保持无操作阶段木马通信特征的提取和操作阶段木马通信特征的提取；在连接保持无操作阶段木马通信特征的提取中：提取两个数据包簇统计特征用于检测木马在连接保持无操作阶段的通信行为，该两个数据包簇统计特征为：“心跳过程”接收和发送的数据包比例相等、“心跳间隙”的平稳性小于阈值；所述“心跳过程”接收和发送的数据包比例相等是指：不同木马的心跳形式可能会存在差别，但是对于同一个木马而言其心跳过程是不变的，在每个“心跳过程”木马行为是一致的，发送和接收的数据包的数量也是相同的；所述“心跳间隙”的平稳性小于阈值是指：当“心跳间隙”的平稳性小于阈值时，则判定其为木马通信，反之则为正常网络通信；操作阶段木马通信特征的提取分四个方面，分别为：第一：针对木马通信过程的长时交互的特点，分别提取以下行为特征：通信时长、通信小包数量；将长度小于200字节的数据包称为通信小包；第二：针对木马被控端在通信中扮演资源服务器的角色，提取以下行为特征：被控主机的信息和文件资源异常上传通信量；第三：针对木马通信过程中数据包分布特点，提取以下行为特征：会话接收小包数量与会话小包数量的比值，该特征值大于0.5时为异常特征；第四：针对木马通信时的数据流表现为由内向外的上传流的特点，提取以下特征：会话上传数据量与下载数据量的比值，该特征值大于1时为异常特征；所述通信时长、通信小包数量、被控主机的信息和文件资源异常上传通信量、会话接收小包数量与会话小包数量的比值、会话上传数据量与下载数据量的比值这些特征的定义均以被控主机为参照物。