本發明公開了一種基于通信行為的木馬檢測方法，首先采集網絡原始數據包，通過旁路的方式獲取網絡原始數據包；接著對采集到的網絡原始數據包進行解析重組，將數據包進行解析，解析出網絡接口層、網絡層、傳輸層的相關信息，包括四元組信息，四元組相同的則為同一條流，并在網絡層及傳輸層進行數據包的重組；然后識別常用的已知的不可能為木馬數據流的協議，并對這些協議數據流進行過濾；最后判斷同一條流是否同時存在：心跳行為、心跳包外的每個上行小包都伴隨下行一個或多個連續的大包、每組“上行小包+下行大包”都至少有一定的時間間隔，如果同時滿足上述三個條件則判定為木馬，否則判定為非木馬。本發明簡化了識別算法，提高了識別準確率。

技術領域

本發明屬于信息安全領域，涉及木馬的檢測技術，具體涉及一種基于通信行為的木馬檢測方法。

背景技術

APT(Advanced Persistent Threat，高級持續性威脅)一直是互聯網所面臨的主要安全威脅，而木馬仍然是APT的主要的攻擊手段，因此對木馬的檢測防范在信息安全領域有著非常重要的意義。

目前，木馬檢測技術主要有以下幾種類型：

(1)基于特征的已知木馬檢測方法。首先運行已知的木馬樣本并運行，提取通信數據的數據特征；然后用提取的特征和網絡流量數據進行匹配，從而達到對木馬的識別。這種木馬的檢測技術的優點是方案成熟，準確率也高，但卻無法對未知木馬進行檢測，即使是對已知木馬輕微修改的變種，因此不能構建一個統一的檢測模型，需要不斷地更新木馬特征庫。

(2)基于通信行為的木馬檢測方法。這種檢測方法理論上適用于已知木馬和未知木馬的檢測，而且在時效性和擴展性方面有著明顯優勢。但是由于木馬的多樣性，要想用一種模型或算法對所有木馬進行檢測，就使得檢測算法異常復雜，檢測的準確率非常低。

現有技術文獻中，公告號為CN102523223B、名稱為“一種木馬檢測的方法及裝置”的發明專利公開了一種木馬檢測的方法及裝置，用以解決現有技術不能有效的對網絡中存在的木馬進行檢測的問題。該方法當檢測到會話中存在木馬心跳檢測時，根據木馬心跳檢測的頻率是否固定，將記錄的會話權值增加相應的權值并記錄，并針對控制端向被控制端發送的每個報文，檢測該報文是否符合木馬控制命令報文的特征，若符合，則將記錄的會話權值增加第三權值并記錄，在會話權值達到告警閾值時發出告警，以通知該會話為木馬發起的會話。由于通過對會話中的報文進行檢測實現木馬檢測，因此可以檢測到網絡中存在的木馬，并且對會話中的報文進行檢測時，并不只是簡單的字符串匹配。但該專利的缺點是檢測準確率低，目前很多非木馬的協議有它的心跳特征和木馬控制命令報文的特征。

發明內容

本發明的目的是基于通信行為的木馬檢測方法，針對其中的一種類型木馬，即心跳和數據傳輸在同一條流，被控制端被認為遠程控制的木馬進行檢測，算法簡單，能大大提高對該種類型木馬檢測的準確率。

為實現上述目的，本發明采用的技術方案為一種基于通信行為的木馬檢測方法，具體包含以下步驟：

S1：采集網絡原始數據包，通過旁路的方式獲取網絡原始數據包；

S2：對采集到的網絡原始數據包進行解析重組，將數據包進行解析，解析出網絡接口層、網絡層、傳輸層的相關信息，包括四元組信息，四元組相同的則為同一條流，并在網絡層及傳輸層進行數據包的重組；

S3：識別常用的已知的不可能為木馬數據流的協議，并對這些協議數據流進行過濾；

S4：判斷同一條流是否同時存在：

(1)心跳行為；

(2)心跳包外的每個上行小包都伴隨下行一個或多個連續的大包；

(3)每組“上行小包+下行大包”都至少有一定的時間間隔；

如果同時滿足上述三個條件則判定為木馬，否則判定為非木馬。