本發明公開了一種基于代碼特征和流量行為的服務端惡意程序檢測方法，包括：收集服務器后門程序樣本，提取函數特征并取hash值，建立惡意程序樣本庫；提取代碼特征和流量行為向量；特征優化，得到新的特征集；特征訓練：將新的特征集作為特征訓練的訓練樣本集,將標注結果作為預期輸出,訓練分類器；將待檢測樣本代碼特征和流量行為綜合判定輸入到所述分類器，判斷是否為惡意程序，并輸出結果。本發明提高了服務器后門程序檢測的效率和準確率。

技術領域

本發明涉及惡意程序檢測技術領域，特別是一種基于代碼特征和流量行為的服務端惡意程序檢測方法。

背景技術

隨著攻防雙方的持續性對抗，以前常見于服務器后門程序以asp、jsp、php等腳本文件為主，也可稱為是一種網頁后門程序，而現在，除了網頁后門程序，基于powershell、bash文件、elf、exe等二進制可執行程序無文件落地攻擊方案也在悄然流行，攻擊者利用漏洞取得服務器控制權限后，一般會將服務器后門程序文件和網站服務器web目錄下正常腳本文件放在一起，然后再使用瀏覽器來訪問服務器后門程序文件，得到服務器后門程序命令執行環境，達到控制網站服務器的目的。如今，隨著對抗的升級發展,Web應用系統所提供的服務也越來豐富,越來越多的Web應用系統被廣泛地應用在各行各業,Web應用系統的安全問題也變得日益突出,攻擊者在對Web系統攻擊成功后,往往會利用SQL注入、文件上傳漏洞等上傳服務器后門程序,來達到對服務器的長久控制，長期控制的核心就是偽裝，將傳統的腳本類木馬偽裝加密混淆，或者將系統命令執行函數拆分去除特征從而躲避靜態規則檢測，因此，如何有效的檢測服務器后門程序，及時發現并對目標網站服務器做必要的漏洞修補，盡量的將損失降到最低，也是非常重要的，也是需要長期研究和迭代更新的技術，而這一方面攻擊者卻一直領先。

目前，檢測服務端后門程序的方式主要有如下兩種：

1、靜態檢測：傳統的靜態檢測是基于特征庫的匹配，這類基于特征字符的匹配一般通過正則表達式來實現，匹配出而正則表達式覆蓋面不全,會造成一定的漏報和誤報，而且攻擊者使用混淆手段很容易躲避這類檢測。

2、動態檢測：當服務器后門程序文件上傳到服務器后，攻擊者執行去執行服務器后門程序文件時所表現出來的特征我們稱為動態特征，但只能檢測正在上傳或者訪問服務器后門程序的行為，對網站中已有且未使用的服務器后門程序無法檢測，存在一定的漏報和誤報。

綜上所述：現有的服務器后門程序檢測方法，存在覆蓋面不全，誤報和漏報率高，不能對未知服務器后門程序檢測的問題。

發明內容

為解決現有技術中存在的問題，本發明的目的是提供一種基于代碼特征和流量行為的服務端惡意程序檢測方法，本發明提高了服務器后門程序檢測的效率和準確率。

為實現上述目的，本發明采用的技術方案是：一種基于代碼特征和流量行為的服務端惡意程序檢測方法，包括以下步驟：

步驟1、服務器后門程序樣本收集：收集服務器后門程序樣本，提取函數特征并取hash值，建立惡意程序樣本庫；

步驟2、特征提取：搭建后門程序文件通訊所需模擬環境，利用模擬客戶端和后門程序進行通信，使用wireshark抓取后門程序文件所有控制功能流量，基于urlparse模塊對流量進行分割，并編寫規則匹配出具備命令執行、文件讀取、寫入功能的危險函數，得到代碼特征和流量行為向量；

步驟3、特征優化：利用上傳的后門程序做hash取值、后門程序靜態特征學習，并利用Relief算法對步驟2中特征提取得到的流量行為進行優化，去掉正常服務端程序同樣具備的特征，得到新的特征集；

步驟4、特征訓練：將步驟3得到的新的特征集作為特征訓練的訓練樣本集,將標注結果作為預期輸出,訓練分類器；

步驟5、服務器后門程序檢測：將待檢測樣本代碼特征和流量行為綜合判定輸入到所述分類器，判斷是否為惡意程序，并輸出結果。