本發(fā)明公開一種基于序列模式識別的木馬通信行為檢測方法，其特征在于，將木馬產生的網絡通信會話流按照時間進行對切片，通過時間聚合分離出應用程序的交互行為，將頻繁序列挖掘算法應用于心跳檢測，濾除心跳后，序列模式統(tǒng)計識別木馬。本發(fā)明針對會話流序列性進行檢測，分析竊密木馬的網絡行為，提出用模式序列挖掘過濾心跳，模式匹配檢測外部控制，再利用統(tǒng)計方法判斷會話流是否為木馬。方法輕量、簡潔、有效，檢測結果的物理可解釋性很強。

技術領域：

本發(fā)明涉及一種木馬通信行為的檢測方法，特別是涉及一種基于序列模式識別的木馬通信行為檢測方法。

背景技術：

近年，APT攻擊威脅著企業(yè)的數(shù)據(jù)安全。APT攻擊過程可分為七個階段：偵查、武器化、投放、利用、安裝、命令控制、收割。竊密木馬在APT攻擊的命令控制階段和收割階段起著竊取核心資料的重要作用。由于其用途和經濟價值，地下產業(yè)更是導致了技術壟斷，木馬曝光的時間較漫長，樣本缺乏，研究水平滯后于開發(fā)水平。目前，在網絡攻擊中發(fā)揮重要作用的遠程控制木馬，其樣本發(fā)現(xiàn)的時間往往滯后于木馬被投入使用的時間。無論木馬在主機中如何隱蔽自己的行蹤，最后都要用通過網絡將自己所竊取的信息傳送出來。基于網絡的檢測方法，一直是異常檢測的研究熱點。基于網絡的檢測建立在業(yè)務流量的基礎上，包括端口識別、深度報文檢測、行為特征分析等。由于網絡地址端口轉換技術的廣泛采用，大量終端用戶使用非默認端口，端口識別技術的鑒別能力逐漸下降。基于深度包的檢測通過提取應用層負載的特征值實現(xiàn)對木馬的檢測，準確率較高，但是只能檢測已知的木馬實例，識別能力依賴于特征庫的完備程度。基于網絡行為分析的檢測技術對木馬網絡行為進行識別，具有抗加密混淆，跨平臺，可檢測未知木馬的優(yōu)點，然而在準確率方面存在一定的局限性，在工業(yè)部署中，基于特征簽名的檢測方法仍是主流。相較于基于特征碼匹配的檢測技術，網絡流量分析是檢測新樣本的重要手段，其中多使用機器學習方法。常見的機器學習方法，由于不考慮數(shù)據(jù)流時序序列，單純使用集合屬性的特征，對于木馬的識別率還存在提高空間。

Sicong Li等對傳輸層連接進行了近似重組，從流量、訪問、IP數(shù)統(tǒng)計、周期性四個方面對網絡竊密行為進行了分析，提出了一個基于閾值法和樸素可信度模型的檢測系統(tǒng)。首先基于K-means聚類算法對流進行分類，檢測TCP連接的木馬CC通信行為，采用樸素貝葉斯分類器建立了一個通用的檢測模型。這種檢測方法實時性較差，只能對完整的流量會話進行分析，這也是很多基于網絡流量的木馬通信檢測方法存在的問題。

Dan Jiang等分析了10款遠控木馬和10款正常應用產生的通信會話流，發(fā)現(xiàn)木馬傾向于在會話建立的早期發(fā)送較少的數(shù)據(jù)包以隱藏自己，提出在會話開始的初期使用5種機器學習算法對流的六種特征進行分類，從而可在會話早期發(fā)現(xiàn)木馬。同一機構的Adachi等研究了24款木馬，通過在主機上將網絡會話與進程進行關聯(lián)，應用6種機器學習算法，得到了更好的結果。在這篇研究中，作者同樣提到了樣本不足的缺陷。

發(fā)明內容：

本發(fā)明要解決的技術問題是：克服現(xiàn)有研究的不足，提出了一種基于序列模式匹配的木馬通信檢測方法，將木馬程序一次完整的網絡活動中產生的流按時間進行切片，通過模式匹配分析每個切片的特點，從而從根本上檢測木馬網絡交互行為，其方法具有一定的穩(wěn)定性和高準確性，符合普遍的木馬通信規(guī)律。

本發(fā)明的技術方案：設計一個檢測木馬通信的引擎。其基本思路是通過時間聚合分離出應用程序的交互行為，將頻繁模式挖掘算法應用于心跳檢測，最后通過序列模式匹配識別木馬。該方法在一定的時間尺度內具有穩(wěn)定性，可在交互行為的初期檢測出木馬。將該方法應用于現(xiàn)實網絡數(shù)據(jù)集，可有效檢測木馬的外部控制行為，且具有較低的誤報。