技術領域

本發明涉及一種木馬通信特征的提取方法，特別是涉及一種基于網絡數據流簇聚類的木馬通信特征快速提取方法。

背景技術

當前的竊密攻擊大多數是采用木馬實現，木馬最大的特點即是其行為往往帶有較強的隱蔽性。木馬被成功植入到目標計算機后，木馬控制端必須和被控端進行通信，以便給被控端下達控制指令或者控制被控端將所獲取的信息回傳給控制端。目前，現有的竊密型木馬檢測技術主要采用特征碼匹配技術。相較于基于特征碼匹配的檢測技術，基于通信行為特征分析的檢測技術在時效性和擴展性方面具有明顯優勢，有利于發現潛在的、未知的網絡竊密行為和威脅，具有更廣的應用前景。然而基于通信行為的木馬檢測算法往往存在計算復雜度較高的問題，在實時監控應用中，給監控系統帶來龐大的計算開銷。因此，如何有效提取木馬通信特征，設計具有高檢測性能且計算復雜度較低的檢測算法，進而實時有效的檢測竊密型木馬的網絡通信行為就成為當前一個重要的理論和技術問題。

基于通信行為的木馬檢測方法很多，但大部分已有方法的檢測通用性較差，而且計算效率不高。

Borders等利用HTTP請求的時間間隔、請求包大小、包頭格式、帶寬占用、請求規則等特征構造各種過濾器檢測木馬通信。然而，木馬可以通過在通信細節上的簡單改變繞過文章中所構造的各種過濾器。例如：木馬只需將請求包的大小限制在某一閾值內即可使請求包大小過濾器失去功效。此種方法只能針對HTTP協議進行檢測，通用性較差。而且此種方法還需要對數據包內容進行詳細解析，效率較低。

Pack等提出了一種通過使用數據流的行為輪廓對HTTP隱蔽通道進行檢測的方法。行為輪廓基于大量的度量，如平均數據包大小、小數據包和大數據包比例、數據包模型變化、所有發送／接收數據包的總數和連接時間。如果一個數據流的觀察特性偏離正常HTTP數據包的行為輪廓，則極有可能是HTTP隱蔽通道。方法主要針對HTTP隧道進行檢測，通用性較差。

Tumoian等利用正常協議產生的連續TCP?ISN號來訓練Elman網絡，然后將實際的ISN號與神經網絡所預測的ISN號比對，當實際值與預測值的差異超過預先設定的閾值時則認為有隱蔽通道存在。作者通過這種方法實現了對NUSHU隱蔽通道的檢測。但該方法只能對特定木馬通信進行檢測同樣不具備通用性。

Zhang和Paxson利用數據包到達時間間隔和數據包大小描述了一種木馬通信交互模型，用于檢測木馬和后門等惡意程序。該模型對木馬通信行為進行如下描述：1、木馬通信過程中相鄰數據包到達時間間隔符合帕累托分布；2、由于木馬通信過程中存在命令交互，所以小數據包應占一定比例。但實際木馬通信過程中可以通過不同的算法使相鄰數據包到達時間間隔滿足各種分布要求，加之數據包到達時間間隔在很大程度上會受到網絡拓撲的影響，所以數據包到達時間間隔用其作為行為描述存在一定弊端。且木馬通信過程中的短命令可以隱藏在較大的HTML頁面信息中，所以強調通信過程中的小數據包的比例并不能實現有效檢測。

以下對本發明涉及的基本概念進行解釋。

木馬心跳：為了表征自身的存活性，木馬會在客戶端和服務器端之間建立并保持一個會話，直到任意一端的木馬程序關閉或網絡連接斷開。這種會話的保持是通過向對方發送數據包來實現的。由于這種數據包大部分采用定時發送的方式，其存在方式和意義類似于動物的心臟跳動，故被稱為“心跳包”。

心跳間隙：相鄰的兩次“心跳”過程間會有一定的時間間隔，稱之為“心跳間隙”。根據“心跳間隙”是否為恒定值，可以將木馬心跳方式分為以下兩種：1、定時長心跳，即“心跳間隙”為恒定值。2、變時長心跳。由于定時長心跳規律明顯，難以抵抗統計分析。因此攻擊者常采用各種算法來將“心跳間隙”隨機化，使其不再具有明顯統計特征來抵抗檢測。特別的，定時長心跳也可視為變時長心跳的平凡情形。

心跳過程：木馬在每次發送“心跳包”時，木馬被控端和控制端程序可能還會向對方發送一些其他數據包，表示對所收到數據包的確認，將“心跳包”和伴隨其發送的一組確認數據包稱為“心跳過程”。

木馬通信過程：木馬通信過程可分為兩個階段：保持連接無操作階段和操作階段。木馬被植入到目標系統后，攻擊者只會在有限的時間段內對木馬進行操作(此時木馬通信處于操作階段)，其余大部分時間木馬都處于空閑狀態。部分木馬在空閑狀態下保持與攻擊者之間聯系過程稱為保持連接無操作階段。

四元組：稱{源IP地址，源端口，目的IP地址，目的端口}為四元組。