技術領域：

本發明涉及一種木馬通信行為的檢測方法，特別是涉及一種基于動態反饋的自適應木馬通信行為檢測方法。

背景技術：

目前，現有的竊密型木馬檢測技術主要采用特征碼匹配技術。相較于基于特征碼匹配的檢測技術，基于通信行為特征分析的檢測技術在準確性和擴展性方面具有明顯優勢，有利于發現潛在的、未知的網絡竊密行為和威脅，具有更廣的應用前景。現有的基于網絡通信數據統計分析的竊密木馬檢測方法通常是根據收集到的樣本和正常網絡行為數據建立二分類的靜態檢測模型，然后利用該模型對實際網絡通信數據進行判斷和預測。但隨著網絡通信行為和木馬分析技術的發展，通信信息出現“爆炸式”增長，網絡流量是不斷動態變化的，因此靜態檢測模型不能適應復雜多變的網絡環境。當得到新的樣本時，傳統的學習算法需要對所有數據進行重新學習來更新檢測模型，不僅學習時間長，并且隨著數據的增多，樣本集趨于無窮，將所有樣本存儲在介質上進行重新學習是不現實的。因此，如何設計具有自適應能力且計算復雜度較低的檢測算法，進而實時的發現木馬的網絡通信行為就成為當前一個重要的理論和技術問題。

基于通信行為的木馬檢測方法很多，但大部分已有方法的檢測自適應能力較差，而且計算效率不高。

Borders等利用HTTP請求的時間間隔、請求包大小、包頭格式、帶寬占用、請求規則等特征構造各種過濾器檢測木馬通信。然而，木馬可以通過在通信細節上的簡單改變繞過文章中所構造的各種過濾器。例如：木馬只需將請求包的大小限制在某一閾值內即可使請求包大小過濾器失去功效。此種方法只能針對HTTP協議進行檢測，通用性較差。而且此種方法還需要對數據包內容進行詳細解析，效率較低。

C.Rossow等人設計了一個名叫Sandnet的網絡數據采集分析環境，他們指出，對惡意代碼的行為進行長時間的跟蹤分析對理解其行為更有幫助。此外他們著重對惡意代碼常用的DNS和HTTP協議進行深入分析，根據協議中不同字 段的異常取值來檢測惡意代碼。該方法的優點在于選取了更長的時間，綜合協議的具體字段取值對惡意代碼進行分析檢測，缺點在于對遵守協議規范設計的惡意代碼會失去效果。

R.Perdisci等人提出，基于惡意代碼產生的HTTP通信數據流的結構相似性可以對惡意代碼的網絡通信行為進行聚類，并根據聚類結果自動的生成惡意代碼的網絡特征，以此來檢測基于HTTP通信的惡意代碼程序。這種方法改進了惡意代碼特征的提取方法，但是對不具備HTTP通信數據相似性的通信數據流失去提取特征并檢測的能力。

Shicong Li等人從TCP會話層面和IP流層面分析木馬的通信行為，選取多維屬性來描述木馬的網絡通信行為，并使用數據挖掘的分類算法建立了木馬檢測模型。對于實時檢測來說，他們選取了更廣泛的屬性，描述會話之間的相關性，但是這種方法仍局限于單個數據流，沒有對網絡通信數據流的規律性進行分析，木馬通過改變操作方式和通信方式可以躲避檢測。

孫海濤分析了木馬的概念、原理、通信技術及隱蔽性特點，給出了木馬通信的隱蔽性模型。并在此基礎上，分析不同階段木馬的通信行為。在連接保持無操作階段檢測木馬的“心跳行為”，在交互操作階段提取通信行為特征，使用C4.5決策樹算法構造分類器，實現了木馬通信行為檢測系統。該研究提出的檢測方法能夠有效的對實時數據流進行檢測，但也存在一定的缺點，檢測方法不具備自適應能力，且分析的時間短，對高隱蔽性的木馬可能會失效。

發明內容：

本發明要解決的技術問題是：克服現有技術的缺陷，提供一種基于動態反饋的自適應木馬通信行為檢測方法，該方法能夠對檢測的報警信息進行處理，在得到報警信息的基礎上檢測系統的準確率，動態的調整檢測系統的分類模型，具有較高的檢測準確度和自適應能力。

本發明的技術方案：一種基于動態反饋的自適應木馬通信行為檢測方法，對木馬檢測的報警信息進行處理，利用報警信息構造動態反饋學習的樣本集，所述動態反饋學習采用增量支持向量機算法，通過檢測數據流概念漂移確定檢測的更新時機；

對木馬檢測的報警信息進行處理包括以下內容：首先，將檢測的木馬報警信息經過規范化描述，存儲在數據庫的原始報警表中；其次，利用數據庫的便利性，對規范化描述后的報警信息進行合并和關聯處理，存儲處理后的報警信息；然后，將合并和關聯處理的報警信息建立攻擊軌跡事件，存儲在攻擊事件表中；經過處理的報警信息，能夠有效的去除冗余，便于減少誤報信息。

所述合并處理是指對報警信息進行相似度對比后進行合并：

①設行為報警信息B1、B2，合并條件應滿足：