技術領域

本發明涉及信息安全領域，尤指一種基于通信行為聚類的木馬檢測方法。?

背景技術

近年來，網絡信息安全威脅發生了巨大變化，黑客攻擊行為從傳統帶有惡作劇與技術炫耀性質的個人行為，逐步轉變為有組織、有特定目標、持續時間極長并以追逐商業或其他特定利益的專業行為。為了突破傳統的網絡安全防御方法，一種名為APT（Advanced?Persistent?Threat高級持續性威脅，簡稱APT）的攻擊手段迅速發展起來，并已經發展成為近年來最大的網絡安全威脅。木馬作為APT攻擊中最為重要的環節之一，已經成為網絡安全的重點研究和防范對象。

通常新的APT攻擊發起之初，用于輔助其攻擊的木馬尚未廣泛傳播，這意味著對于反病毒廠商和IDS（Intrusion?Detection?System入侵檢測系統，簡稱IDS）、IPS（Intrusion?Prevention?System入侵防御系統，簡稱IPS）而言，這種木馬及其特征仍然是未知的，稱為未知木馬。利用0-day漏洞或合法的特征標簽，未知木馬可以很輕易的繞過安全檢測軟件。在特定的網絡環境中，IDS能夠自動檢測網絡通信流量異常行為。但是，對于大部分未知木馬，IDS是無效的。未知木馬在網絡層通過控制和模擬正常的網絡行為，使得其在網絡流量上并沒有明顯特征，未知木馬以此來繞過IDS。因此，對于未知木馬，繞過IDS檢測是輕而易舉的，及時檢測和防護未知木馬是值得研究的問題。通常，木馬攻擊主要有兩種目的，其一是破壞目標的網絡和終端設施；其二是收集并竊取機密信息。

木馬的運行機制與其他惡意代碼不同，由于在系統層面的隱藏特性，從系統變動角度幾乎無法發現。目前，針對木馬的檢測技術可分為以下四類：基于主機特征標簽的檢測、基于網絡特征標簽的檢測、基于協議分析的檢測和基于網絡行為分析的檢測。基于主機特征標簽的檢測，主要是將檢測器安裝在主機上，通過特征標簽模式匹配進行檢測。基于網絡特征標簽的檢測，主要將檢測器安裝在網絡上，如IDS或IPS，通過網絡監控獲得的網絡行為與預先設定的入侵模式進行比較和匹配以實現檢測；由于特征標簽的滯后性，而且未知木馬引起的網絡通信流量中不攜帶特征標簽，基于網絡特征標簽的木馬檢測技術難以應對未知的或變異的木馬，該方法檢測性能較低，且漏報率較高。基于協議分析的檢測技術不能單獨實現對木馬的檢測，需要與其他技術配合使用。基于網絡行為分析的檢測技術，主要根據木馬的通信行為特征進行檢測，由于該方法不使用特征匹配技術，不存在特征標簽不足的情況，使得該方法能夠有效實現針對未知木馬或變異木馬的檢測。在現有技術條件下，基于網絡行為分析的木馬檢測技術是木馬檢測方法中相對優異的檢測方案。本發明即利用了木馬網絡行為分析中的通信行為特征，并結合適當的聚類算法，實現了對未知木馬的實時檢測。

從木馬的本質看，其最終目的是惡意的，其最根本的網絡特征是接受控制端的控制命令，并將其從受控端主機獲得的敏感信息發送給控制端，即攻擊者。為實現木馬的惡意目的，木馬的通信行為與正常的網絡通信行為差異較大。鑒于當前的主流方法對于木馬通信TCP（Transmission?Control?Protocol傳輸控制協議，簡稱TCP）會話的異常行為特征描述有限，存在誤報率較高的問題，本發明通過分析木馬的行為特征提出了更為全面的木馬通信行為特征，這些木馬行為的異常之處通常表現為以下幾點：

上下行流量異常：木馬在與控制端的通信過程中，控制端向木馬發送控制指令，木馬需要向控制端發送大量其竊取的數據。這將導致木馬通信中下行流量往往遠小于上行流量，而正常的瀏覽網頁和下載數據，下行流量通常遠大于上行流量。根據一個TCP會話中數據的傳輸方向、數據包大小，分別計算受控端到控制端的數據包總大小和控制端到受控端的數據包總大小，二者之比值即為上下行流量比。如果上下行流量比超過設定的閾值，說明在當前TCP會話中受控端發送出去的數據量遠大于其接收到的數據量，這與木馬的竊取數據行為非常相似，可判斷為異常。