本發明提出了基于六維空間流量分析模型的木馬回聯檢測系統及方法，將流量數據拓展擴大，以六維空間、23元組的數據來觀察使用了DGA算法的木馬回聯流量，得到更為高效、準確的檢測方法。本發明不再利用傳統的固定特征識別方式，而采用模型化、統計化的檢測方式；本發明不用維護一個龐大的特征庫，并且可以高效、準確的檢測到使用DGA算法的木馬回聯流量；本發明將流量特征發散到23元組，將流量各部分特征通過六維空間模型表征出來，通過該模型能夠有效實現對流量更加全面的分析；進一步地，本發明可對惡意行為進行追蹤溯源。

技術領域

本發明涉及信息安全技術領域，尤其涉及基于六維空間流量分析模型的木馬回聯檢測系統及方法。

背景技術

早期的木馬回聯流量檢測技術多是基于固定特征的檢測方法，這也主要是因為早期的木馬回聯地址很多都是加密或非加密的硬編碼在惡意樣本中的，所以通過樣本分析，提取其回聯地址加入特征庫，即可檢測出被感染終端的回聯行為，以此精確定位到被感染終端，實現安全防護。

而攻擊者為了躲避這一類安全檢測，產生了DGA算法。DGA(Domain GenerationAlgorithm)算法，也即域名生成算法，常被用在Botnet中，惡意代碼利用一個私有的隨機字符串生成算法，按照日期或隨機種子，每天生成一些隨機字符串域名，然后選擇其中一些作為CC域名，以此來逃避特征匹配的檢測。當惡意代碼回聯CC域名時，會依次訪問DGA生成的域名，并在其中尋找可以訪問成功的，以此濾過干擾域名。針對這一類樣本，基于傳統七元組模型的特征檢測方法是無法實現安全防護的。所以，需要更為高效、準確的檢測方法來解決這一技術問題。

發明內容

針對上述現有技術中存在的問題，本發明提出了基于六維空間流量分析模型的木馬回聯檢測系統及方法，將流量數據拓展擴大，以六維空間、23元組的數據來觀察使用了DGA算法的木馬回聯流量，得到更為高效、準確的檢測方法。

具體發明內容包括：

一種六維空間流量分析模型生成系統，包括：

維度建立模塊，用于建立由源IP、源端口、目的IP、目的端口、協議號組成的基本要素維度；建立由每一次會話的開始時間和結束時間組成的時間維度；建立由斜率、傳輸速度組成的變化維度；建立由固定關鍵字、浮動關鍵字、關鍵載荷信息、用戶身份標識、應用標識組成的信息維度；建立根據相同五元組包數形成的關聯維度；建立由源IP經度、源IP緯度、源IP國家、源IP城市、目的IP經度、目的IP緯度、目的IP國家、目的IP城市組成的空間維度；

其中，時間維度記錄每一次會話、每一次IP通信時長，包括每一次攻擊行為、每一個攻擊動作的持續時長；變化維度記錄每一對上下行通信數據包比例，以及每一次通信數據包大小與時間的比例；信息維度不負責信息的還原，只按照需求、規定和場景記錄安全分析所需要的關鍵信息；相同五元組代表一次會話，并代表零散信息的關聯性，五元組包數多少代表一次通信時間長短以及傳輸信息的大小，故而關聯維度可對攻擊行為的類別以及動作內容做初步的判斷；空間維度記錄每一個通信IP的精確地理位置，包括每一次攻擊的精確的源發起地理位置；

模型建立模塊，用于將所述基本要素維度、時間維度、變化維度、信息維度、關聯維度、空間維度進行組合，得到六維空間流量分析模型。

進一步地，所述斜率，其計算方式為：具有相同五元組的數據包中，上行數據包的個數與下行數據包的個數進行求商計算。

進一步地，所述傳輸速度，其計算方式為：數據包大小之和與傳輸時間進行求商計算。

一種基于六維空間流量分析模型的木馬回聯檢測系統，包括：

數據提取模塊，用于根據六維空間流量分析模型中基本要素維度、時間維度、信息維度所包含的表征元素提取待分析流量中相應的信息，并將提取的信息相應的映射到基本要素維度、時間維度、信息維度上；