本發(fā)明提供一種CC信道混合檢測(cè)方法及系統(tǒng)，包括：獲取待測(cè)試流量；基于啟發(fā)式規(guī)則對(duì)所述待測(cè)試流量中的非CC流量進(jìn)行過(guò)濾，得到初始流量過(guò)濾結(jié)果；基于異常行為檢測(cè)模型對(duì)所述初始流量過(guò)濾結(jié)果進(jìn)行CC流量識(shí)別，得到異常檢測(cè)結(jié)果；根據(jù)預(yù)設(shè)判定規(guī)則對(duì)所述異常檢測(cè)結(jié)果進(jìn)行集成判定，得到最終CC流量檢測(cè)結(jié)果。本發(fā)明通過(guò)采用混合式CC信道檢測(cè)方法，組合運(yùn)用啟發(fā)式規(guī)則與異常式行為檢測(cè)模型，能實(shí)現(xiàn)準(zhǔn)確檢測(cè)保護(hù)場(chǎng)景中的CC信道。

技術(shù)領(lǐng)域

本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，尤其涉及一種CC信道混合檢測(cè)方法及系統(tǒng)。

背景技術(shù)

CC信道(CommandControl Channel:CC Channel)是僵尸網(wǎng)絡(luò)程序，以及木馬等先進(jìn)網(wǎng)絡(luò)惡意程序的一種必不可少的功能組件。此類(lèi)網(wǎng)絡(luò)惡意程序在成功感染主機(jī)或設(shè)備后，需與攻擊者控制服務(wù)器建立CC信道鏈接，以不斷獲取最新操作與攻擊命令，如更新自身代碼、竊取數(shù)據(jù)并傳送、下載攻擊代碼與工具、組成僵尸網(wǎng)絡(luò)并協(xié)同發(fā)動(dòng)大規(guī)模網(wǎng)絡(luò)攻擊等。同時(shí)，網(wǎng)絡(luò)惡意程序也通過(guò)CC信道不斷反饋當(dāng)前被感染主機(jī)與設(shè)備狀態(tài)、命令執(zhí)行結(jié)果等信息，以使攻擊者充分掌握當(dāng)前攻擊態(tài)勢(shì)、支撐后續(xù)攻擊決策、實(shí)現(xiàn)組合攻擊。

當(dāng)前，絕大多數(shù)的CC信道構(gòu)建于互聯(lián)網(wǎng)之上。針對(duì)于它們，傳統(tǒng)的檢測(cè)方法大多采用基于載荷識(shí)別的技術(shù)路線，即在網(wǎng)絡(luò)流量載荷內(nèi)容中，直接識(shí)別網(wǎng)絡(luò)惡意程序/CC信道特有的通信或攻擊標(biāo)識(shí)與特征來(lái)進(jìn)行判斷，著名的商業(yè)化或開(kāi)源IDS/IPS產(chǎn)品如Snort、Suricata、和Rishi均可用于識(shí)別較為傳統(tǒng)的CC信道。除此之外，一些研究者也提出了更新的載荷識(shí)別檢測(cè)方法，如ExecScent方法定義了控制協(xié)議模板(CPT)以捕捉惡意程序的HTTP類(lèi)型的CC信道請(qǐng)求。其可自動(dòng)適應(yīng)不同部署環(huán)境下的正常流量，以降低誤報(bào)率。其大致工作過(guò)程是將CC請(qǐng)求的載荷部分按結(jié)構(gòu)歸納、聚類(lèi)并生成CPT，再通過(guò)正常流量評(píng)估該CPT的特異性來(lái)保持高檢測(cè)率并降低誤報(bào)率。在運(yùn)用CPT的實(shí)際檢測(cè)過(guò)程中，若某流量與CPT高度相似，且該CPT特征性低，則認(rèn)定該流為惡意程序CC流。通過(guò)上述處理，ExecScent方法可針對(duì)不同場(chǎng)景自適應(yīng)地篩選出質(zhì)量上佳的CPT簽名集以確保低誤報(bào)率。Chiba等人則在ExecScent方法的基礎(chǔ)上改進(jìn)出了BotProfiler方法，其使用正則表達(dá)式替換了原有HTTP請(qǐng)求中的子字符串，實(shí)驗(yàn)結(jié)果表明其不但降低了誤報(bào)率，同時(shí)還提高了檢測(cè)率。

然而，傳統(tǒng)的載荷識(shí)別方法無(wú)法應(yīng)對(duì)采用加密CC通信協(xié)議的惡意程序，且只關(guān)注于載荷層面的特點(diǎn)與差異，對(duì)其他角度的現(xiàn)象與特征有所忽略，難以發(fā)現(xiàn)愈發(fā)先進(jìn)、隱蔽、狡猾的先進(jìn)惡意程序。為此，當(dāng)前主流方法采用了行為分析的技術(shù)路線，即從更多層次、更多角度對(duì)CC信道所表現(xiàn)出的諸多行為特點(diǎn)進(jìn)行分析、刻畫(huà)與檢測(cè)，以發(fā)現(xiàn)它們所特有的惡意行為或與正常網(wǎng)絡(luò)通信迥然不同的行為模式。有方法通過(guò)提取大量Netflow流記錄中的流尺寸、客戶端訪問(wèn)模式、及時(shí)序三類(lèi)行為特征來(lái)刻畫(huà)互聯(lián)網(wǎng)服務(wù)器，配合機(jī)器學(xué)習(xí)方法以識(shí)別CC服務(wù)器，并通過(guò)一系列額外措施有效降低了誤報(bào)率。還有方法同樣采取了監(jiān)督學(xué)習(xí)的思路，其定義了55個(gè)行為特征刻畫(huà)CC會(huì)話流量，并采用了隨機(jī)森林算法實(shí)現(xiàn)了較好的檢測(cè)性能。在大量統(tǒng)計(jì)行為特征的基礎(chǔ)上，針對(duì)不同類(lèi)型的檢測(cè)條件與場(chǎng)景選擇了多個(gè)不同的特征子集，并在多個(gè)機(jī)器學(xué)習(xí)算法下充分評(píng)估了它們?cè)贑C信道檢測(cè)問(wèn)題上的表現(xiàn)。簡(jiǎn)而言之，當(dāng)前主流的行為檢測(cè)方法大多通過(guò)各式行為特征來(lái)細(xì)致刻畫(huà)CC信道，并配合機(jī)器學(xué)習(xí)或深度學(xué)習(xí)方法來(lái)捕獲其與正常網(wǎng)絡(luò)通信的行為差異，并運(yùn)用于檢測(cè)中。