本發明涉及面向HTTPS隱蔽隧道的加密木馬檢測技術領域，具體涉及一種面向HTTPS隱蔽隧道的加密木馬檢測方法，首先從時序角度分析木馬會話，發現單條木馬會話具有可切分為多次小會話流的特點，提出結合時間分片算法切分逐次的交互會話的方法。然后進一步分析逐條小會話過程，發現木馬的心跳數據包會干擾會話中應用數據交互序列，提出利用頻繁向量挖掘算法過濾各個時間簇中的心跳數據包，最后提出利用樸素貝葉斯來區分木馬流量與正常會話，做到了在與協議無關的前提下實現了對木馬與正常通信的識別，可有效的檢測出木馬的命令控制行為，所得數據可表征木馬操作行為特征，實用性較好。

技術領域

本發明涉及面向HTTPS隱蔽隧道的加密木馬檢測技術領域，具體涉及一種面向HTTPS隱蔽隧道的加密木馬檢測方法。

背景技術

木馬主要用于主機控制及信息竊取，通常不會破壞用戶系統，也不會自我繁殖，具備較高的隱蔽性。近年來，越來越多的木馬程序借助隧道技術提高自身穿透性，并借助加密技術來對抗DPI檢測，給木馬通信流量識別帶來新的挑戰。無論木馬在主機中如何修改特征規避主機端檢測，或使用復雜的加密算法對載荷進行加密，其交互的過程不會改變，被控端都需要接受控制端的命令并做出反饋。因此，研究基于通信行為分析的加密木馬流量識別技術，有利于從骨干網絡關鍵節點的網絡流量中，檢測出潛在的木馬威脅。

到目前為止，在木馬檢測領域中，研究者已經從不同角度提出了多種木馬檢測的方法。木馬的識別方法總體上可以分為兩類，基于主機和基于網絡通信。針對加密木馬的檢測技術，主要有三種類型，基于木馬階段化行為特征，基于主機木馬樣本的動靜態特征和基于網絡流量特征。

部分學者將檢測重點放在木馬階段化特征來構建防御系統，這樣作為避免從木馬的加密載荷分析。如Ru Zhang提出了一種通過挖掘IDS安全日志來構建木馬攻擊場景的新方法，并使用構建的木馬攻擊場景來用于木馬檢測；Friedberg等人使用白名單方法來檢測木馬攻擊；Choiet al使用正常行為和異常模式的提取來檢測木馬攻擊的異常；Stech描述了防御者如何構建和定制網絡欺騙鏈方法；Zhang提出基于入侵殺死鏈構建攻擊樹模型，并分析攻擊日志形成攻擊路徑來預測木馬攻擊。

部分學者將檢測重點放在主機木馬樣本的動靜態特征。如Ajay Anto通過將可疑設備與安全設備控制流所建立的控制流圖進行比較，從而識別判斷設備是否感染木馬攻擊樣本。該方法雖然在開源平臺取得的比較好的成果，但缺乏通用性，尤其是針對部分閉源程序，難以建立內核的控制流圖；Weber等分析二進制文件的架構，判斷文件是否在編譯后被注入惡意代碼；Wang等則通過在內存中搜索木馬的特征路徑來檢測木馬。研究者們也對惡意程序進行的操作動態進行監控，尤其關注特定的敏感行為；Liu等利用捕獲分析IRPs監控訪問計算機敏感文件的進程來識別木馬進程；Chen等通過對比socket層和network層的通信流量的變化；Mungyu通過使用PE文件的API來提取惡性行為模式。