一种基于网络流量中行为特征的智能木马检测装置及其方
法
技术领域
[0001] 本
发明是一种根据网络流量数据中反映出来的木马行为特征去智能地检测木马的方法,特别是对新型未知木马的发现有积极作用,并且拥有很高的检测效率和较低的误报、漏报率。
背景技术
[0002] 基于行为特征的木马检测技术是对传统木马检测技术中的基于特征码的木马检测的有
力改进,现已成为网络安全领域的重要研究课题。
[0003]
计算机网络就是像一把双刃剑,近年来,它给人们的生活带来了无穷便利,然而由于经济利益的驱使,木马数量激增,使得广大计算机用户和公司企业遭受到巨大损失。2011年,CNCERT全年共发现近890万个境内IP主机地址感染了木马或僵尸程序,较2010年增加78.5%。其中,感染窃密类木马的境内IP地址为5.6万余个,国家、企业以及网民的信息安全面临严重威胁。因此,网络安全中木马防御技术具有极其重要的研究价值。针对木马主要有两种防御手段,第一种是进行木马查杀,另一种就是使用
防火墙技术。几十年来,这两种方法一直是抵御大部分木马的主要方法。
[0004] 虽然传统的木马防御技术遏制了一些木马的攻击行为,但是目前许多杀毒
软件和木马查杀工具普遍采用的是基于特征码的检测,而该技术提取特征码滞后因而无法检测到新型木马,以及具有开销大和检测效率低下的
缺陷。随着攻击者技术的日趋成熟和攻击手段的复杂化、多样化等,平均每20秒就发生一次入侵计算机网络的事件,其中有超过1/3的防火墙被攻破。例如反弹端口木马中的“网络神偷”就是利用网络防火墙大都是监控从外面进来的数据而对从里面到外面传输的数据却不予理睬的缺陷成功躲开了防火墙的阻挡。
[0005] 现在,新型木马出现的
频率越来越高,在今年“十一”黄金周过后,360安全中心就发现一种名为“怪鱼”的新型木马肆意攻击着各种社交网络。而且,之前仅通过终端检测木马的方式针对网络形式的改变做出快速反应,所以基于网络流量的木马检测成为了新的研究热点。同时对于采用智能分析
算法的木马检测作为一种主动的木马防御技术,近年来得到了进一步的研究,并且基于行为特征的木马检测技术能够解决基于特征码检测的缺陷,所以提高智能性和基于行为特征的检测机制是目前木马检测研究领域的热点。因此,很有必要发明一种基于网络流量中反映行为特征的智能木马检测方法,并且该方法能够智能地、自适应地对未知类型的木马进行检测,以及具备较低的漏报率与误报率。
[0006]
专利一种基于行为特征的网页木马检测方法(
申请号:200610152530.3),此专利的思想是通过系统调用和内存变化等行为来监测网页中是否含有木马。该专利的基本原理为当网页中隐藏的木马被运行时,系统必定产生一个新的
进程,并且该新进程的
父进程为浏览器进程,因此通过对系统进程的监控可以快速、准确的检测网页中是否含有木马程序。虽然此专利实现了对网络中有害网页的快速检测,为上网用户提供了一个安全的网络环境。但是,此专利关注的是网页木马检测,和基于网络流量中行为特征的智能木马检测关系不大。
[0007] 专利一种木马检测的方法和装置(申请号:201110430821.5),虽然本专利使用的检测方法提高了检测效率并且降低了误报率,但是该专利关注的是木马心跳,和基于网络流量中行为特征的智能木马检测关系不大。
[0008] 专利网络窃密木马检测方法(申请号:200910022718.X),此专利的思想是首先获取网络数据流,再通过对通信地址、通信协议、通信行为和通信关系的分析,将高度疑似木马通信的数据包,按照高度疑似木马通信所采用的网络通信协议,与相应的目的IP地址建立连接,并按照相应的通信协议构造探测数据包发送对方,如果对方返回的应答包中含有不是协议规定的内容,即确定该
节点是木马控制端。本专利使用的方法给基于网络流量中行为特征的智能木马检测提供了想法,但是本专利的关注点仅限于网络窃密型木马。
[0009] 专利基于程序执行特征的网页木马检测方法(申请号:200810222212.9),此专利的思想是利用
网络爬虫抓取网页源码,然后经过多层解码后得到可识别的脚本程序,在保留脚本程序的同时对其进行反汇编处理得到汇编源码,再判断这些源码是否存在大量无效指令填充、调用系统级函数、明显的URL链接,最后通过汇编码来深层次的检测网页中是否含有木马。本专利主要是用来检测网页是否是网页木马的,和基于网络流量中行为特征的智能木马检测关系不大。
[0010] 专利一种木马检测方法、装置及系统(申请号:201010581622.X),此专利主要是依据木马攻击过程中的特征执行具有时间顺序这一特征,首先将获取到的报文与预置的木马特征库进行匹配,然后将判断为具有可疑特征的报文的执行时序和木马攻击程序的执行时序进行匹配,如果相同,则确定该可疑特征报文为木马特征报文。虽然该发明提高了木马检测的准确率,但是依然是基于特征码的检测,仍然无法识别出未知的新型木马。
[0011] 专利一种网页木马检测方法及系统(申请号:201110439572.6),此专利主要关注的是网页木马检测,所以和基于网络流量中行为特征的智能木马检测没有直接联系。
[0012] 专利一种通过分析网络行为检测木马程序的方法及装置(申请号:201010182380.7),本专利主要是通过分析网络行为来检测木马程序的。
发明内容
[0013] 本发明的目的在于提供一种高效率,适用于大规模和高速网络,能够对已知和未知木马进行检测,检测准确率高,误报率和漏报率很低的
一种基于网络流量中行为特征的智能木马检测装置及其方法。
[0014] 本发明为了实现上述目的采用以下技术方案:
[0015] 一种基于网络流量中行为特征的智能木马检测方法,包括以下步骤:
[0016] 1)采集TCP、UDP数据包;
[0017] 2)对采集的数据包进行预处理;
[0018] 3)对数据包根据神经网络进行过滤来识别出异常数据包;
[0019] 4)从异常的数据包中识别出具有木马行为的数据包;
[0020] 5)发现具有木马行为的数据包后就进行报警。
[0021] 上述方案中,所述步骤2)中所述流量
数据采集装置得到的数据转换为具有若干个分向量的
特征向量作为步骤3)所述的神经网络的输入。
[0022] 所述步骤3),采用两个独立的神经网络组成,并采用
异常检测方式,[0023] 异常检测方法包括:
[0024] 311)首先使用具有正常行为的样本库进行学习;
[0025] 312)使神经网络模型掌握用户正常行为模式的知识,然后该模型对预处理过的数据包进行检测,将偏离正常行为轮廓的异常数据包检测出来;
[0026] 313)如果检测出了异常数据包,进行步骤314),对于正常的数据包进行步骤315);
[0027] 314)将其送入异常
数据库,使用木马识别模
块来检测这些数据包中是否包含具有木马行为的数据包;
[0028] 315)对于正常的数据包,就直接过滤掉。
[0029] 上述方案中,步骤4中,对异常数据库中的数据包进行分析,采用行为特征分析,包括以下步骤,
[0030] 41)设置好不同类型木马具有的行为特性,并将其存入木马行为特征库中,[0031] 42)将数据包分离后的各字段内容与木马行为特征库的特征码进行匹配,检测网络中攻击型网络数据包,
[0032] 43)对于已知木马肯定是含有这些行为特性当中的某些行为特性的,对于未知木马如果含有这些行为特性中的某一个就认为是属于这种类型的木马。
[0033] 本发明还提供了一种基于网络流量中行为特征的智能木马检测装置,其特征在于包括:
[0034] 本发明所提出的基于网络流量中行为特征的智能木马检测系统由下面的装置构成:流量数据捕获装置,预处理装置,正常数据智能识别装置,木马识别装置和报警装置,下面分别给予描述。
[0035] 流量数据捕获装置:实时采集网络上传输的数据包;
[0036] 预处理装置:
对流量数据捕获装置解获得的TCP、UDP数据包进行预处理,生成神经网络的输入值;
[0037] 正常数据包智能识别装置:用于
自学习式地识别正常流量数据,并将异常数据包放到异常数据库中;
[0038] 木马识别装置:用于识别那些异常数据包中是否含有具有木马行为的数据包以及这些数据包中具有的木马行为属于哪种类型的木马;
[0039] 报警装置:根据木马识别装置的识别结果进行报警。
[0040] 上述装置中,所述预处理装置将流量数据捕获装置得到的数据转换为具有若干个分向量的特征向量作为正常数据包智能识别装置的神经网络的输入。
[0041] 上述装置中,所述正常数据包智能识别装置包括:
[0042] 异常入侵检测模块:使用具有正常行为的样本库进行学习,使神经网络模型掌握具有正常行为的知识,在神经网络内部的异常入侵检测模块建立起对正常行为识别的正常行为特征库,将偏离正常行为的异常数据包检测出来,如果检测出了异常数据包,则将其送入异常数据库,使木马识别装置从中检测出具有木马攻击行为的数据包;对于正常的数据包,则直接将其过滤掉。
[0043] 本发明具有以下有益效果:
[0044] 一、高效率,适用于大规模和高速网络,本发明的检测方法是基于异常行为的,而不是对所有数据包内容进行处理,因此检测效率非常高,适用于大规模和高速网络。
[0045] 二、能够对已知和未知木马进行检测,本发明的检测方法不是依赖于木马特征码,而是根据木马本质的行为特征行为来进行检测,因此无论是已知还是未知的木马都可以进行很好的检测。
[0046] 三、检测准确率高,误报率低,本发明对通信木马行为进行了深刻的分析,并且使用了神经网络中改进的BP算法和异常检测技术,智能地实现了对正常数据的检测,可以实现较高的检测效率和较低的漏报率和误报率。
附图说明
具体实施方式
[0048] 下面对本发明做进一步的解释:
[0049] 本发明的思想是采用分析对比行为特征的方式来检测木马,主要过程为首先搜集局域网内的网络行为,然后分析其典型行为特征,通过木马外连、信息窃取和信息外发网络行为,实时检测木马。本装置主要由采集器和分析机两部分组成,采集器负责采集网络数据包并将采集到的数据包发送给分析机,分析机的主要任务是重组数据包,并提取其典型行为特征,然后与木马特征库进行关联分析,最后生成安全事件报告并呈现给前端系统。本发明使用基于行为特征分析的技术来检测木马,不仅能够检测已知类型的木马,而且能检测未知类型的木马,但是却不具备智能性。
[0051] 下面给出本发明提出的蠕虫检测方法的一个具体实施例,本实施例只是对TCP协议和UDP协议的蠕虫检测方法进行了详细描述,但本专利可以适用于所有协议。
[0052] 面对日趋复杂的安全威胁形势,要求入侵检测系统具有一定的智能,能够对攻击方法进行学习以增强其自适应能力。
[0053] 本发明实施例一:
[0054] 流量数据捕获装置的实施方式
[0055] 目前主流的数据包捕获工具有Libpcap,Winpcap等,不同的平台可以选择不同的捕获工具,例如Windows平台下可以选择Winpcap,Unix平台下可以选择Libpcap。本实例采用Winpcap这款数据包捕获工具,Winpcap由NPF、packet.dll和wpcap.dll这三个模块组成,NPF是数据包捕获驱动程序,packet.dll是底层的动态链接库而wpcap.dll是高层的动态链接库。因为木马基本都是基于TCP协议和UDP协议进行传输的,所以这里需要进行基于协议的过滤,只捕获TCP和UDP数据包。无论选择哪种捕获工具都在本专利保护范围内。
[0056] 预处理装置的实施方式
[0057] 本实施方案用于将流量数据捕获装置得到的TCP/UDP数据包转换为具有若干个分向量的特征向量作为神经网络的输入。选取适当地特征向量是本模块的关键之处,本系统主要考虑基于TCP、UDP数据包,它们分别采用不同的特征向量。
[0058] TCP数据包的特征向量应包含有源和目的IP地址、端口号、包序列号和确认号以及终止位这六项。UDP数据包的特征向量应包含有源和目的IP地址、端口号这四项。
[0059] 正常数据包智能识别装置的实施方式
[0060] 由于TCP、UDP这两种数据包的特征向量维数不同,所以本装置由两个独立的BP神经网络组成,并采用异常检测技术。
[0061] 异常入侵检测模型首先使用具有正常行为的样本库进行学习,使神经网络模型掌握用户正常行为模式的知识,然后该模型对使用误用入侵检测模型无法判别的行为进行异常行为的检测,从而将偏离正常行为轮廓的入侵行为检测出来。如果检测出了新的入侵行为模式,则将其特征值送入入侵特征库,使误用入侵检测模型在经过学习之后能够检测出这种攻击行为;对于正常的行为模式,则送入正常行为特征库以进一步完善用户的正常行为轮廓使用正常行为的数据作为样本进行学习,使得神经网络模型掌握正常行为模型的知识。
[0062] 木马识别装置的实施方式
[0063] 本装置用于对异常数据库中那些数据包进行分析,主要是采用行为特征分析。首先设置好不同类型木马具有的行为特性,并将其存入木马行为特征库中,然后将异常数据库中的数据包进行分离,并将分离后的各字段内容与木马行为特征库的特征码进行匹配,检测网络中攻击型网络数据包,如ARP攻击,3389远程桌面等,这样就可以识别出已知木马和未知木马。
[0064] 报警装置的实施方式
[0065] 如果检测到木马就进行报警,便向管理员输出响应消息,弹出对话框显示是属于哪一种木马,提醒管理员及时处理。
