一種基于終端流量的木馬檢測(cè)方法
【專利摘要】本發(fā)明提供一種基于終端流量的木馬檢測(cè)方法,包括以下步驟:捕獲數(shù)據(jù)流量信息����,并分析時(shí)間段流量;對(duì)終端上下行數(shù)據(jù)流量進(jìn)行分析����;通過(guò)智能分析的數(shù)據(jù)流量與通信白名單數(shù)據(jù)進(jìn)行核準(zhǔn)匹配���;終端流量數(shù)據(jù)包正確性檢測(cè)。本發(fā)明提供的基于終端流量的木馬檢測(cè)方法���,改變了原有根據(jù)已有特征碼���、樣本、惡意代碼等常規(guī)木馬檢測(cè)手段�����,對(duì)高隱藏�、免殺�����、不規(guī)則通信�����、系統(tǒng)程序文件注入式等方式的木馬不能進(jìn)行及時(shí)發(fā)現(xiàn)或查殺�,通過(guò)終端流量木馬檢測(cè)方法,可以對(duì)終端數(shù)據(jù)流量進(jìn)行實(shí)時(shí)監(jiān)控,通過(guò)多維度檢測(cè)模型判定程序產(chǎn)生的流量數(shù)據(jù)是否存在異常����,對(duì)變種木馬、高級(jí)木馬或殘留木馬深度檢測(cè)����,提高計(jì)算機(jī)安全性、降低誤報(bào)率�����、提高木馬定位準(zhǔn)確性����。
【專利說(shuō)明】一種基于終端流量的木馬檢測(cè)方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明屬于信息安全【技術(shù)領(lǐng)域】,具體涉及一種基于終端流量的木馬檢測(cè)方法����。
【背景技術(shù)】
[0002]木馬是網(wǎng)絡(luò)安全的一大威脅,隨著網(wǎng)絡(luò)技術(shù)日新月異�,殺毒軟件阻止了多種計(jì)算機(jī)病毒的傳播,受到利益驅(qū)使���,木馬程序也在不斷升級(jí)完善自己��,木馬程序制作者也采用多種技術(shù)手段優(yōu)化木馬程序��,將相關(guān)木馬程序進(jìn)行免殺處理��、自動(dòng)隱藏�、關(guān)閉安全防護(hù)軟件、采用反彈等技術(shù)或容錯(cuò)時(shí)間與外界通信等技術(shù)規(guī)避安全軟件的檢測(cè)����;未來(lái)木馬將更注重隱藏、底層通信��、Oday漏洞利用等技術(shù)進(jìn)行與查殺工具對(duì)抗���。
[0003]傳統(tǒng)木馬查殺技術(shù)基于程序動(dòng)作行為����、特征碼或具有針對(duì)性的查殺工具為主��,不能快速識(shí)別最新或已升級(jí)的木馬程序��,計(jì)算機(jī)用戶無(wú)法診斷判定程序是否為木馬或已種木馬�����,而且病毒木馬還在網(wǎng)絡(luò)中四溢擴(kuò)散播種�����,以往認(rèn)為導(dǎo)致傳播的途徑為U盤(pán)進(jìn)行多機(jī)器使用導(dǎo)致����,隨之推處針對(duì)U盤(pán)的病毒木馬查殺,終端查殺和U盤(pán)查殺還是沒(méi)有控制住病毒木馬的傳播的破壞�����,考慮到病毒木馬通過(guò)網(wǎng)絡(luò)進(jìn)行傳播���,又制定基于網(wǎng)絡(luò)流量的病毒木馬檢測(cè)手段��,來(lái)降低終端種病毒木馬的可能性����,在網(wǎng)絡(luò)層提高針對(duì)病毒木馬檢測(cè)能力外����,還能有效阻止傳統(tǒng)病毒木馬在網(wǎng)絡(luò)中傳播感染,可還是沒(méi)能有效的扼殺病毒木馬的傳播����,依然存在病毒木馬的破壞和泄漏信息事件���。
[0004]綜上所述,采取終端查殺���、U盤(pán)查殺和網(wǎng)絡(luò)流量木馬檢測(cè)等手段��,還是不能扼制病毒木馬的傳播��,最新病毒木馬繞過(guò)上述防護(hù)手段�,仍存在被控制或數(shù)據(jù)信息泄露等威脅����。
【發(fā)明內(nèi)容】
[0005]為了克服上述現(xiàn)有技術(shù)的不足,本發(fā)明提供一種基于終端流量的木馬檢測(cè)方法�,通過(guò)進(jìn)行上下流量檢測(cè)、進(jìn)程通信數(shù)據(jù)檢測(cè)和流量數(shù)據(jù)包正確性解析�,實(shí)現(xiàn)終端流量木馬檢測(cè)��。
[0006]為了實(shí)現(xiàn)上述發(fā)明目的�����,本發(fā)明采取如下技術(shù)方案:
[0007]本發(fā)明提供一種基于終端流量的木馬檢測(cè)方法,所述方法包括以下步驟:
[0008]步驟1:捕獲數(shù)據(jù)流量信息����,并分析時(shí)間段流量;
[0009]步驟2:對(duì)終端上下行數(shù)據(jù)流量進(jìn)行分析����;
[0010]步驟3:通過(guò)智能分析的數(shù)據(jù)流量與通信白名單數(shù)據(jù)進(jìn)行核準(zhǔn)匹配;
[0011 ] 步驟4:終端流量數(shù)據(jù)包正確性檢測(cè)��。
[0012]所述步驟I包括以下步驟:
[0013]步驟1-1:捕獲終端的數(shù)據(jù)流量信息�����,對(duì)所有產(chǎn)生的數(shù)據(jù)流量進(jìn)行記錄和統(tǒng)計(jì)��;
[0014]步驟1-2:時(shí)間段內(nèi)獲取數(shù)據(jù)流量信息�,實(shí)時(shí)記錄產(chǎn)生的數(shù)據(jù)流量信息,根據(jù)捕獲的數(shù)據(jù)包分析����,得到產(chǎn)生數(shù)據(jù)流量的源端口或目的端口,在通過(guò)源端口找到占用端口的進(jìn)程ID��,通過(guò)進(jìn)程ID找到此進(jìn)程的記錄項(xiàng)�;
[0015]步驟1-3:若沒(méi)有檢測(cè)到時(shí)間段內(nèi)產(chǎn)生的此進(jìn)程記錄項(xiàng)�����,則進(jìn)行自建進(jìn)程記錄項(xiàng)��,把數(shù)據(jù)包的長(zhǎng)度累加到記錄項(xiàng)的流量字段中�����。
[0016]所述步驟2包括以下步驟:
[0017]步驟2-1:建立數(shù)據(jù)流量檢測(cè)模型��,統(tǒng)計(jì)所有進(jìn)程的上行流量和下行流量��;
[0018]步驟2-2:通過(guò)數(shù)據(jù)流量檢測(cè)模型進(jìn)行進(jìn)程ID�����、進(jìn)程名稱���、上行流量、下行流量��、時(shí)間段����、數(shù)據(jù)包關(guān)鍵字、特征函數(shù)和惡意代碼的檢測(cè)���;
[0019]步驟2-3:判定數(shù)據(jù)流量中上行流量與下行流量是否存在差異��,若上行流量大于下行流量�,則通過(guò)數(shù)據(jù)包進(jìn)行關(guān)鍵字過(guò)濾分析�;
[0020]步驟2-4:對(duì)下行流量過(guò)大數(shù)據(jù)包進(jìn)行特征函數(shù)與惡意代碼的檢測(cè);
[0021]步驟2-5:若下行流量中存在特征函數(shù)或惡意代碼�,則表面存在異常流量數(shù)據(jù),通過(guò)進(jìn)程ID查找對(duì)應(yīng)的程序�����,自建的進(jìn)程記錄項(xiàng)與實(shí)時(shí)流量數(shù)據(jù)記錄信息進(jìn)行智能分析匹配定位對(duì)應(yīng)進(jìn)程���。
[0022]所述步驟3中��,根據(jù)木馬行為特性����,構(gòu)建基于進(jìn)程名稱����、源通信端口��、目的IP地址和目的端口關(guān)聯(lián)的通信白名單���,在獲取數(shù)據(jù)流量信息后,通過(guò)流量數(shù)據(jù)找到相應(yīng)進(jìn)程�����,根據(jù)數(shù)據(jù)包分析��,查找產(chǎn)生流量進(jìn)程源端口與外界通信的目的IP地址與目的端口��,記錄并與已構(gòu)建通信白名單進(jìn)行對(duì)比匹配�����,判定是否為木馬程序���。
[0023]終端流量數(shù)據(jù)包正確性檢測(cè)包括協(xié)議正確性檢測(cè)和協(xié)議數(shù)據(jù)包長(zhǎng)度檢測(cè)���。
[0024]所述步驟4具體包括以下步驟:
[0025]步驟4-1:建立基于數(shù)據(jù)包的協(xié)議正確性檢測(cè)模型,協(xié)議正確性檢測(cè)模型涵蓋字段包括端口號(hào)����、協(xié)議���、協(xié)議的特征�����、協(xié)議的數(shù)據(jù)包長(zhǎng)度閥值信息��;
[0026]步驟4-2:根據(jù)上行流量目的端口識(shí)別出相應(yīng)的協(xié)議���,根據(jù)協(xié)議特征對(duì)數(shù)據(jù)包內(nèi)容進(jìn)行驗(yàn)證����;
[0027]步驟4-3:根據(jù)上行流量協(xié)議數(shù)據(jù)包長(zhǎng)度的最大值進(jìn)行檢測(cè)���,超過(guò)設(shè)定的某協(xié)議的最大數(shù)據(jù)包長(zhǎng)度��,就屬于可疑數(shù)據(jù)包����,其發(fā)送程序就屬于可疑進(jìn)程��,完成協(xié)議數(shù)據(jù)包長(zhǎng)度檢測(cè)。
[0028]與現(xiàn)有技術(shù)相比���,本發(fā)明的有益效果在于:
[0029]本發(fā)明提供的基于終端流量的木馬檢測(cè)方法�����,改變了原有根據(jù)已有特征碼���、樣本、惡意代碼等常規(guī)木馬檢測(cè)手段����,對(duì)高隱藏、免殺���、不規(guī)則通信����、系統(tǒng)程序文件注入式等方式的木馬不能進(jìn)行及時(shí)發(fā)現(xiàn)或查殺���,通過(guò)終端流量木馬檢測(cè)方法�����,可以對(duì)終端數(shù)據(jù)流量進(jìn)行實(shí)時(shí)監(jiān)控���,通過(guò)多維度檢測(cè)模型判定程序產(chǎn)生的流量數(shù)據(jù)是否存在異常�����,對(duì)變種木馬����、高級(jí)木馬或殘留木馬深度檢測(cè)���,提高計(jì)算機(jī)安全性、降低誤報(bào)率���、提高木馬定位準(zhǔn)確性����。
【專利附圖】
【附圖說(shuō)明】
[0030]圖1是基于終端流量的木馬檢測(cè)方法流程圖�����。
【具體實(shí)施方式】
[0031]下面結(jié)合附圖對(duì)本發(fā)明作進(jìn)一步詳細(xì)說(shuō)明��。
[0032]如圖1,本發(fā)明提供一種基于終端流量的木馬檢測(cè)方法��,所述方法包括以下步驟:
[0033]步驟1:捕獲數(shù)據(jù)流量信息����,并分析時(shí)間段流量;
[0034]步驟2:對(duì)終端上下行數(shù)據(jù)流量進(jìn)行分析���;[0035]步驟3:通過(guò)智能分析的數(shù)據(jù)流量與通信白名單數(shù)據(jù)進(jìn)行核準(zhǔn)匹配�;
[0036]步驟4:終端流量數(shù)據(jù)包正確性檢測(cè)���。
[0037]所述步驟I包括以下步驟:
[0038]步驟1-1:捕獲終端的數(shù)據(jù)流量信息�,對(duì)所有產(chǎn)生的數(shù)據(jù)流量進(jìn)行記錄和統(tǒng)計(jì)�����;
[0039]步驟1-2:時(shí)間段內(nèi)獲取數(shù)據(jù)流量信息���,實(shí)時(shí)記錄產(chǎn)生的數(shù)據(jù)流量信息��,根據(jù)捕獲的數(shù)據(jù)包分析�,得到產(chǎn)生數(shù)據(jù)流量的源端口或目的端口��,在通過(guò)源端口找到占用端口的進(jìn)程ID,通過(guò)進(jìn)程ID找到此進(jìn)程的記錄項(xiàng)�����;
[0040]步驟1-3:若沒(méi)有檢測(cè)到時(shí)間段內(nèi)產(chǎn)生的此進(jìn)程記錄項(xiàng)����,則進(jìn)行自建進(jìn)程記錄項(xiàng),把數(shù)據(jù)包的長(zhǎng)度累加到記錄項(xiàng)的流量字段中�����。
[0041]所述步驟2包括以下步驟:
[0042]步驟2-1:建立數(shù)據(jù)流量檢測(cè)模型���,統(tǒng)計(jì)所有進(jìn)程的上行流量和下行流量;
[0043]步驟2-2:通過(guò)數(shù)據(jù)流量檢測(cè)模型進(jìn)行進(jìn)程ID����、進(jìn)程名稱、上行流量���、下行流量��、時(shí)間段�����、數(shù)據(jù)包關(guān)鍵字��、特征函數(shù)和惡意代碼的檢測(cè)����;
[0044]步驟2-3:判定數(shù)據(jù)流量中上行流量與下行流量是否存在差異,若上行流量大于下行流量����,則通過(guò)數(shù)據(jù)包進(jìn)行關(guān)鍵字過(guò)濾分析;
[0045]步驟2-4:對(duì)下行流量過(guò)大數(shù)據(jù)包進(jìn)行特征函數(shù)與惡意代碼的檢測(cè)����;
[0046]步驟2-5:若下行流量中存在特征函數(shù)或惡意代碼,則表面存在異常流量數(shù)據(jù)�����,通過(guò)進(jìn)程ID查找對(duì)應(yīng)的程序���,自建的進(jìn)程記錄項(xiàng)與實(shí)時(shí)流量數(shù)據(jù)記錄信息進(jìn)行智能分析匹配定位對(duì)應(yīng)進(jìn)程�����。
[0047]所述步驟3中�����,根據(jù)木馬行為特性�,構(gòu)建基于進(jìn)程名稱、源通信端口�����、目的IP地址和目的端口關(guān)聯(lián)的通信白名單����,在獲取數(shù)據(jù)流量信息后,通過(guò)流量數(shù)據(jù)找到相應(yīng)進(jìn)程��,根據(jù)數(shù)據(jù)包分析���,查找產(chǎn)生流量進(jìn)程源端口與外界通信的目的IP地址與目的端口,記錄并與已構(gòu)建通信白名單進(jìn)行對(duì)比匹配��,判定是否為木馬程序�。
[0048]終端流量數(shù)據(jù)包正確性檢測(cè)包括協(xié)議正確性檢測(cè)和協(xié)議數(shù)據(jù)包長(zhǎng)度檢測(cè)。
[0049]所述步驟4具體包括以下步驟:
[0050]步驟4-1:建立基于數(shù)據(jù)包的協(xié)議正確性檢測(cè)模型����,協(xié)議正確性檢測(cè)模型涵蓋字段包括端口號(hào)�����、協(xié)議���、協(xié)議的特征、協(xié)議的數(shù)據(jù)包長(zhǎng)度閥值信息��;
[0051]步驟4-2:根據(jù)上行流量目的端口識(shí)別出相應(yīng)的協(xié)議�����,根據(jù)協(xié)議特征對(duì)數(shù)據(jù)包內(nèi)容進(jìn)行驗(yàn)證�;
[0052]步驟4-3:根據(jù)上行流量協(xié)議數(shù)據(jù)包長(zhǎng)度的最大值進(jìn)行檢測(cè),超過(guò)設(shè)定的某協(xié)議的最大數(shù)據(jù)包長(zhǎng)度�����,就屬于可疑數(shù)據(jù)包�,其發(fā)送程序就屬于可疑進(jìn)程,完成協(xié)議數(shù)據(jù)包長(zhǎng)度檢測(cè)����。
[0053]本發(fā)明通過(guò)對(duì)終端數(shù)據(jù)流量進(jìn)行采集分析��,采用時(shí)間段流量采集統(tǒng)計(jì)�,設(shè)計(jì)一種基于終端上下行數(shù)據(jù)流量進(jìn)行分析模型�,記錄產(chǎn)生流量程序的進(jìn)程,構(gòu)建進(jìn)程通信數(shù)據(jù)模型檢測(cè)��,通過(guò)智能分析數(shù)據(jù)流量與已知通信白名單數(shù)據(jù)進(jìn)行核準(zhǔn)匹配��,最后進(jìn)行終端流量協(xié)議正確性檢測(cè)和協(xié)議數(shù)據(jù)包長(zhǎng)度檢測(cè)��,通過(guò)多維度檢測(cè)模型判定程序產(chǎn)生的流量數(shù)據(jù)是否存在異常����,對(duì)變種木馬、高級(jí)木馬或殘留木馬深度檢測(cè)�����,提高計(jì)算機(jī)安全性��、降低誤報(bào)率����、提高木馬定位準(zhǔn)確性�����。
[0054]最后應(yīng)當(dāng)說(shuō)明的是:以上實(shí)施例僅用以說(shuō)明本發(fā)明的技術(shù)方案而非對(duì)其限制,盡管參照上述實(shí)施例對(duì)本發(fā)明進(jìn)行了詳細(xì)的說(shuō)明���,所屬領(lǐng)域的普通技術(shù)人員應(yīng)當(dāng)理解:依然可以對(duì)本發(fā)明的【具體實(shí)施方式】進(jìn)行修改或者等同替換��,而未脫離本發(fā)明精神和范圍的任何修改或者等同替換��,其均應(yīng)涵蓋在本發(fā)明的權(quán)利要求范圍當(dāng)中��。
【權(quán)利要求】
1.一種基于終端流量的木馬檢測(cè)方法��,其特征在于:所述方法包括以下步驟: 步驟1:捕獲數(shù)據(jù)流量信息����,并分析時(shí)間段流量���; 步驟2:對(duì)終端上下行數(shù)據(jù)流量進(jìn)行分析�����; 步驟3:通過(guò)智能分析的數(shù)據(jù)流量與通信白名單數(shù)據(jù)進(jìn)行核準(zhǔn)匹配��; 步驟4:終端流量數(shù)據(jù)包正確性檢測(cè)�����。
2.根據(jù)權(quán)利要求1所述的基于終端流量的木馬檢測(cè)方法�����,其特征在于:所述步驟I包括以下步驟: 步驟1-1:捕獲終端的數(shù)據(jù)流量信息�,對(duì)所有產(chǎn)生的數(shù)據(jù)流量進(jìn)行記錄和統(tǒng)計(jì); 步驟1-2:時(shí)間段內(nèi)獲取數(shù)據(jù)流量信息���,實(shí)時(shí)記錄產(chǎn)生的數(shù)據(jù)流量信息���,根據(jù)捕獲的數(shù)據(jù)包分析,得到產(chǎn)生數(shù)據(jù)流量的源端口或目的端口����,在通過(guò)源端口找到占用端口的進(jìn)程ID,通過(guò)進(jìn)程ID找到此進(jìn)程的記錄項(xiàng)���; 步驟1-3:若沒(méi)有檢測(cè)到時(shí)間段內(nèi)產(chǎn)生的此進(jìn)程記錄項(xiàng)��,則進(jìn)行自建進(jìn)程記錄項(xiàng)�����,把數(shù)據(jù)包的長(zhǎng)度累加到記錄項(xiàng)的流量字段中��。
3.根據(jù)權(quán)利要求1所述的基于終端流量的木馬檢測(cè)方法�,其特征在于:所述步驟2包括以下步驟: 步驟2-1:建立數(shù)據(jù)流量檢測(cè)模型����,統(tǒng)計(jì)所有進(jìn)程的上行流量和下行流量; 步驟2-2:通過(guò)數(shù)據(jù)流量檢測(cè)模型進(jìn)行進(jìn)程ID��、進(jìn)程名稱����、上行流量、下行流量���、時(shí)間段�����、數(shù)據(jù)包關(guān)鍵字����、特征函數(shù)和惡意代碼的檢測(cè); 步驟2-3:判定數(shù)據(jù)流量中上行流量與下行流量是否存在差異����,若上行流量大于下行流量,則通過(guò)數(shù)據(jù)包進(jìn)行關(guān)鍵字過(guò)濾分析�; 步驟2-4:對(duì)下行流量過(guò)大數(shù)據(jù)包進(jìn)行特征函數(shù)與惡意代碼的檢測(cè); 步驟2-5:若下行流量中存在特征函數(shù)或惡意代碼�����,則表面存在異常流量數(shù)據(jù)��,通過(guò)進(jìn)程ID查找對(duì)應(yīng)的程序����,自建的進(jìn)程記錄項(xiàng)與實(shí)時(shí)流量數(shù)據(jù)記錄信息進(jìn)行智能分析匹配定位對(duì)應(yīng)進(jìn)程。
4.根據(jù)權(quán)利要求1所述的基于終端流量的木馬檢測(cè)方法�,其特征在于:所述步驟3中,根據(jù)木馬行為特性����,構(gòu)建基于進(jìn)程名稱、源通信端口���、目的IP地址和目的端口關(guān)聯(lián)的通信白名單�����,在獲取數(shù)據(jù)流量信息后����,通過(guò)流量數(shù)據(jù)找到相應(yīng)進(jìn)程�����,根據(jù)數(shù)據(jù)包分析����,查找產(chǎn)生流量進(jìn)程源端口與外界通信的目的IP地址與目的端口,記錄并與已構(gòu)建通信白名單進(jìn)行對(duì)比匹配�����,判定是否為木馬程序�����。
5.根據(jù)權(quán)利要求1所述的基于終端流量的木馬檢測(cè)方法���,其特征在于:終端流量數(shù)據(jù)包正確性檢測(cè)包括協(xié)議正確性檢測(cè)和協(xié)議數(shù)據(jù)包長(zhǎng)度檢測(cè)�����。
6.根據(jù)權(quán)利要求5所述的基于終端流量的木馬檢測(cè)方法���,其特征在于:所述步驟4具體包括以下步驟: 步驟4-1:建立基于數(shù)據(jù)包的協(xié)議正確性檢測(cè)模型��,協(xié)議正確性檢測(cè)模型涵蓋字段包括端口號(hào)��、協(xié)議��、協(xié)議的特征��、協(xié)議的數(shù)據(jù)包長(zhǎng)度閥值信息�; 步驟4-2:根據(jù)上行流量目的端口識(shí)別出相應(yīng)的協(xié)議�����,根據(jù)協(xié)議特征對(duì)數(shù)據(jù)包內(nèi)容進(jìn)行驗(yàn)證�����; 步驟4-3:根據(jù)上行流量協(xié)議數(shù)據(jù)包長(zhǎng)度的最大值進(jìn)行檢測(cè)�,超過(guò)設(shè)定的某協(xié)議的最大數(shù)據(jù)包長(zhǎng)度,就屬于可疑數(shù)據(jù)包�,其發(fā)送程序就屬于可疑進(jìn)程����,完成協(xié)議數(shù)據(jù)包長(zhǎng)度檢測(cè)
【文檔編號(hào)】H04L29/06GK103957205SQ201410169874
【公開(kāi)日】2014年7月30日 申請(qǐng)日期:2014年4月25日 優(yōu)先權(quán)日:2014年4月25日
【發(fā)明者】高昆侖, 楊成明, 郝增帥, 魏桂臣, 李凌 申請(qǐng)人:國(guó)家電網(wǎng)公司, 中國(guó)電力科學(xué)研究院