木馬檢測方法及系統(tǒng)技術(shù)方案

本發(fā)明專利技術(shù)公開了一種木馬檢測方法及系統(tǒng)，其中，所述木馬檢測方法包括：S1、采集網(wǎng)絡(luò)流量數(shù)據(jù)；S2、將所述網(wǎng)絡(luò)流量數(shù)據(jù)按照ip對分組；S3、將同一組ip對的數(shù)據(jù)包分別聚為一個(gè)或多個(gè)簇；S4、將由同一組ip對的數(shù)據(jù)包聚成的簇聚為一個(gè)或多個(gè)類；S5、將每一類對應(yīng)的時(shí)間序列標(biāo)準(zhǔn)化，所述時(shí)間序列由類中的簇間隔構(gòu)成；S6、分別計(jì)算標(biāo)準(zhǔn)化后的時(shí)間序列的時(shí)序統(tǒng)計(jì)量；S7、篩選出時(shí)序統(tǒng)計(jì)量不在第一閾值范圍內(nèi)的時(shí)間序列作為木馬序列，輸出木馬ip。本發(fā)明專利技術(shù)彌補(bǔ)了現(xiàn)有的木馬檢測不準(zhǔn)確的不足，能夠從多維度多變量的角度對網(wǎng)絡(luò)流量中可能存在的周期性的木馬心跳行為進(jìn)行有效地識別，客觀準(zhǔn)確檢測出木馬序列和木馬ip。

【技術(shù)實(shí)現(xiàn)步驟摘要】

本專利技術(shù)涉及網(wǎng)絡(luò)安全領(lǐng)域，尤其涉及一種木馬檢測方法及系統(tǒng)。
技術(shù)介紹
木馬是一種威脅網(wǎng)絡(luò)安全的常見病毒，目前存在很多檢測木馬的方法，但是這些方法在界定木馬心跳特征通常使用的是經(jīng)驗(yàn)值，評判標(biāo)準(zhǔn)比較單一，不具有足夠的說服力，不能有效地進(jìn)行自動化處理，并且檢測木馬的精度容易受到噪音影響，難以適應(yīng)復(fù)雜的網(wǎng)絡(luò)環(huán)境，容易出現(xiàn)誤判。
技術(shù)實(shí)現(xiàn)思路
本專利技術(shù)要解決的技術(shù)問題是為了克服現(xiàn)有技術(shù)中木馬檢測不準(zhǔn)確的缺陷，提供一種能夠準(zhǔn)確檢測出木馬序列和木馬ip的木馬檢測方法及系統(tǒng)。本專利技術(shù)是通過以下技術(shù)方案解決上述技術(shù)問題的：本專利技術(shù)提供一種木馬檢測方法，其特點(diǎn)是，所述木馬檢測方法包括：S1、采集網(wǎng)絡(luò)流量數(shù)據(jù)；S2、將所述網(wǎng)絡(luò)流量數(shù)據(jù)按照ip對分組；S3、將同一組ip對的數(shù)據(jù)包分別聚為一個(gè)或多個(gè)簇；S4、將由同一組ip對的數(shù)據(jù)包聚成的簇聚為一個(gè)或多個(gè)類；S5、將每一類對應(yīng)的時(shí)間序列標(biāo)準(zhǔn)化，所述時(shí)間序列由類中的簇間隔構(gòu)成；S6、分別計(jì)算標(biāo)準(zhǔn)化后的時(shí)間序列的時(shí)序統(tǒng)計(jì)量；S7、篩選出時(shí)序統(tǒng)計(jì)量不在第一閾值范圍內(nèi)的時(shí)間序列作為木馬序列，輸出木馬ip。其中，所述網(wǎng)絡(luò)流量數(shù)據(jù)通常包括網(wǎng)絡(luò)流量信息的基本五元組(源ip地址、源ip端口、目的ip地址、目的ip端口和數(shù)據(jù)包的長度)以及時(shí)間戳和協(xié)議號等信息。所述時(shí)間序列可以通過以下過程生成：每一個(gè)簇如上所述會擁有多個(gè)數(shù)據(jù)包，將這些數(shù)據(jù)包按時(shí)間戳的大小從小到大排序，選出最小值最為簇的開始時(shí)間戳，選出最大值作為簇的截止時(shí)間戳；然后按照每個(gè)簇的開始時(shí)間戳從小到大進(jìn)行排序，由于前部分分簇的操作，所以此處不會出現(xiàn)簇與簇的重疊；再對排好序的簇的序列，計(jì)算相鄰兩個(gè)簇間，前簇的截止時(shí)間和后簇的開始時(shí)間的差值。這樣會產(chǎn)生一個(gè)差值的序列。該差值的序列即為一個(gè)類對應(yīng)的時(shí)間序列。本技術(shù)方案結(jié)合了分簇和時(shí)序分析等多種技術(shù)方法，對網(wǎng)絡(luò)流量中可能存在的周期性的木馬心跳行為進(jìn)行有效地識別，不容易受到噪音影響，適應(yīng)復(fù)雜的網(wǎng)絡(luò)環(huán)境，客觀準(zhǔn)確地檢測出木馬序列，在篩選出木馬序列后，木馬序列對應(yīng)的ip對中一個(gè)ip為已知的ip(如客戶端的ip)，另一個(gè)即為木馬ip。本技術(shù)方案中分簇操作后，大大降低了單個(gè)零碎的包對整體判斷的影響，有效地降低了誤報(bào)率。時(shí)序分析中各個(gè)指標(biāo)參量則準(zhǔn)確地刻畫了每個(gè)類對應(yīng)的序列為木馬序列的可能。較佳地，S3包括分別對同一組ip對的數(shù)據(jù)包執(zhí)行以下步驟：S31、設(shè)定一分隔閾值，將相鄰的兩個(gè)時(shí)間間隔小于所述分隔閾值的數(shù)據(jù)包聚為一個(gè)簇。通過上述步驟，通信流中互相間隔小于分隔閾值的數(shù)據(jù)包聚為一個(gè)簇，即簇與簇之間的時(shí)間間隔均大于分隔閾值。分簇后以簇為最小分析單元，特征包括簇大小(即簇中數(shù)據(jù)包的個(gè)數(shù))、簇長度(即簇中數(shù)據(jù)包長度的總和)、簇跨度(即簇中首包到末包的時(shí)間間隔)、簇間隔(即與前一個(gè)簇之間的時(shí)間間隔)、簇中最小時(shí)間戳(即簇開始時(shí)間)以及簇中最大時(shí)間戳(即簇結(jié)尾時(shí)間)。其中，分隔閾值可以采用固定常量，即根據(jù)網(wǎng)絡(luò)環(huán)境設(shè)定某一個(gè)固定的值作為分隔閾值，也可以通過下一技術(shù)方案動態(tài)生成分隔閾值。較佳地，S31的分隔閾值通過以下步驟設(shè)定：S311、獲取該組ip對的前N個(gè)數(shù)據(jù)包中相鄰的兩個(gè)數(shù)據(jù)包的時(shí)間間隔，N為小于或等于該組ip對的數(shù)據(jù)包的總數(shù)的正整數(shù)；S312、計(jì)算該些時(shí)間間隔的平均時(shí)間間隔以及時(shí)間間隔標(biāo)準(zhǔn)差；S313、從該些時(shí)間間隔中，去除大于平均時(shí)間間隔加M倍的時(shí)間間隔標(biāo)準(zhǔn)差的時(shí)間間隔，M為正數(shù)；S314、計(jì)算剩余的時(shí)間間隔的平均時(shí)間間隔以及時(shí)間間隔標(biāo)準(zhǔn)差；S315、計(jì)算分隔閾值，分隔閾值等于S314中計(jì)算出的平均時(shí)間間隔加S314中計(jì)算出的時(shí)間間隔標(biāo)準(zhǔn)差。其中，N和M可以根據(jù)實(shí)際情況自由設(shè)定，如設(shè)定N等于20，設(shè)定M等于3。本技術(shù)方案能夠根據(jù)網(wǎng)絡(luò)環(huán)境自動動態(tài)生成分隔閾值，進(jìn)一步降低了單個(gè)零碎的包對整體判斷的影響，有效地降低了誤報(bào)率。較佳地，S6中計(jì)算的時(shí)序統(tǒng)計(jì)量包括方差，S7中若方差小于方差閾值，則時(shí)間序列為木馬序列；或，S6中計(jì)算的時(shí)序統(tǒng)計(jì)量包括不穩(wěn)定度instability，S7中若不穩(wěn)定度instability小于不穩(wěn)定度閾值，則時(shí)間序列為木馬序列，不穩(wěn)定度的計(jì)算公式如下： i n s t a b i l i t y = Σ i ( T k , i + 1 - T k , i ) 2 n k - ( T k , n k - T k , 0 ) 2 n k 2 ]]>式中nk為類k中簇的個(gè)數(shù)，Tk,i為類k中簇按時(shí)間先后順序排序后第i個(gè)簇的到達(dá)時(shí)間；或，S6中計(jì)算的時(shí)序統(tǒng)計(jì)量包括方差和不穩(wěn)定度instability，S7中若方差本文檔來自技高網(wǎng)...

【技術(shù)保護(hù)點(diǎn)】
一種木馬檢測方法，其特征在于，所述木馬檢測方法包括：S1、采集網(wǎng)絡(luò)流量數(shù)據(jù)；S2、將所述網(wǎng)絡(luò)流量數(shù)據(jù)按照ip對分組；S3、將同一組ip對的數(shù)據(jù)包分別聚為一個(gè)或多個(gè)簇；S4、將由同一組ip對的數(shù)據(jù)包聚成的簇聚為一個(gè)或多個(gè)類；S5、將每一類對應(yīng)的時(shí)間序列標(biāo)準(zhǔn)化，所述時(shí)間序列由類中的簇間隔構(gòu)成；S6、分別計(jì)算標(biāo)準(zhǔn)化后的時(shí)間序列的時(shí)序統(tǒng)計(jì)量；S7、篩選出時(shí)序統(tǒng)計(jì)量不在第一閾值范圍內(nèi)的時(shí)間序列作為木馬序列，輸出木馬ip。

【技術(shù)特征摘要】
1.一種木馬檢測方法，其特征在于，所述木馬檢測方法包括：
S1、采集網(wǎng)絡(luò)流量數(shù)據(jù)；
S2、將所述網(wǎng)絡(luò)流量數(shù)據(jù)按照ip對分組；
S3、將同一組ip對的數(shù)據(jù)包分別聚為一個(gè)或多個(gè)簇；
S4、將由同一組ip對的數(shù)據(jù)包聚成的簇聚為一個(gè)或多個(gè)類；
S5、將每一類對應(yīng)的時(shí)間序列標(biāo)準(zhǔn)化，所述時(shí)間序列由類中的簇間隔構(gòu)
成；
S6、分別計(jì)算標(biāo)準(zhǔn)化后的時(shí)間序列的時(shí)序統(tǒng)計(jì)量；
S7、篩選出時(shí)序統(tǒng)計(jì)量不在第一閾值范圍內(nèi)的時(shí)間序列作為木馬序列，
輸出木馬ip。
2.如權(quán)利要求1所述的木馬檢測方法，其特征在于，S3包括分別對同
一組ip對的數(shù)據(jù)包執(zhí)行以下步驟：
S31、設(shè)定一分隔閾值，將相鄰的兩個(gè)時(shí)間間隔小于所述分隔閾值的數(shù)據(jù)
包聚為一個(gè)簇。
3.如權(quán)利要求2所述的木馬檢測方法，其特征在于，S31的分隔閾值通
過以下步驟設(shè)定：
S311、獲取該組ip對的前N個(gè)數(shù)據(jù)包中相鄰的兩個(gè)數(shù)據(jù)包的時(shí)間間隔，
N為小于或等于該組ip對的數(shù)據(jù)包的總數(shù)的正整數(shù)；
S312、計(jì)算該些時(shí)間間隔的平均時(shí)間間隔以及時(shí)間間隔標(biāo)準(zhǔn)差；
S313、從該些時(shí)間間隔中，去除大于平均時(shí)間間隔加M倍的時(shí)間間隔標(biāo)
準(zhǔn)差的時(shí)間間隔，M為正數(shù)；
S314、計(jì)算剩余的時(shí)間間隔的平均時(shí)間間隔以及時(shí)間間隔標(biāo)準(zhǔn)差；
S315、計(jì)算分隔閾值，分隔閾值等于S314中計(jì)算出的平均時(shí)間間隔加S314中計(jì)算出的時(shí)間間隔標(biāo)準(zhǔn)差。
4.如權(quán)利要求1所述的木馬檢測方法，其特征在于，S6中計(jì)算的時(shí)序
統(tǒng)計(jì)量包括方差，S7中若方差小于方差閾值，則時(shí)間序列為木馬序列；
或，S6中計(jì)算的時(shí)序統(tǒng)計(jì)量包括不穩(wěn)定度instability，S7中若不穩(wěn)定度

\tinstability小于不穩(wěn)定度閾值，則時(shí)間序列為木馬序列，不穩(wěn)定度的計(jì)算公
式如下：
i n s t a b i l i t y = Σ i ( T k , i + 1 - T k , i ) 2 n k - ( T k , n k - T k , 0 ) 2 n k 2 ]]>式中nk為類k中簇的個(gè)數(shù)，Tk,i為類k中簇按時(shí)間先后順序排序后第i
個(gè)簇的到達(dá)時(shí)間；
或，S6中計(jì)算的時(shí)序統(tǒng)計(jì)量包括方差和不穩(wěn)定度instability，S7中若方
差小于方差閾值且不穩(wěn)定度instability小于不穩(wěn)定度閾值，則時(shí)間序列為木
馬序列。
5.如權(quán)利要求1所述的木馬檢測方法，其特征在于，S7還包括：
S71、計(jì)算標(biāo)準(zhǔn)化后的時(shí)間序列的頻域統(tǒng)計(jì)量；
S72、篩選出時(shí)序統(tǒng)計(jì)量在第一閾值范圍內(nèi)且頻域統(tǒng)計(jì)量不在第二閾值范
圍內(nèi)的時(shí)間序列作為木馬序列，輸出木馬ip。
6.如權(quán)利要求5所述的木馬檢測方法，其特征在于，S71包括：
S711、對標(biāo)準(zhǔn)化后的時(shí)間序列進(jìn)行離散傅立葉變換，得到一組傅立葉系
數(shù)；
S712、分別用相位和振幅計(jì)算模值，形成一個(gè)新的序列；
S713、計(jì)算所述新的序列對應(yīng)的自相關(guān)系數(shù)；
S714、剔除0階的自相關(guān)系數(shù)，計(jì)算剩余的自相關(guān)系數(shù)的絕對值的均值；
S72包括篩選出時(shí)序統(tǒng)計(jì)量在第一閾值范圍內(nèi)且S714計(jì)算的均值小于均
值閾值的時(shí)間序列作為木馬序列，輸出木馬ip。
7.如權(quán)利要求1所述的木馬檢測方法，其特征在于，S1還包括對所述
網(wǎng)絡(luò)流量數(shù)據(jù)預(yù)處理，去除含有空值的網(wǎng)絡(luò)流量數(shù)據(jù)。
8.如權(quán)利要求1所述的木馬檢測方法，其特征在于，S2包括：將相互
通信的兩個(gè)ip作為一個(gè)ip對，將相同的ip對分為一組。
9.如權(quán)利要求1所述的木馬檢測方法，其特征在于，S4包括：
S41、獲取同一組ip對的數(shù)據(jù)包聚成的簇的簇大小和簇長度；
S42、將簇大小和簇長度均相同的簇聚為一個(gè)類。
10.如權(quán)利要求1所述的木馬檢測方法，其特征在于，S4還包括：對聚
成的類進(jìn)行過濾。
11.如權(quán)利要求10所述的木馬檢測方法，其特征在于，S4是通過以下
步驟中的一種或多種對聚成的類進(jìn)行過濾的：
S431、剔除包含簇的數(shù)量小于一數(shù)量閾值的類；
S432、根據(jù)每個(gè)類對應(yīng)的時(shí)間序列的時(shí)間間隔計(jì)算每個(gè)類對應(yīng)的平均心
跳間隔，剔除平均心跳間隔小于一心跳間隔閾值的類；
S433、剔除所包含的簇的簇大小均為1的類。
12.一種木馬檢測系統(tǒng)，其特征在于，所述木馬檢測系統(tǒng)包括：
一采集單元，用于采集網(wǎng)絡(luò)流量數(shù)據(jù)；
一分組單元，用于將所述網(wǎng)絡(luò)流量數(shù)據(jù)按照ip對分組；
一包聚簇單元，用于將同一組ip對的數(shù)據(jù)包分別聚為一個(gè)或多個(gè)簇；
一簇聚類單元，用于將由同一組ip對的數(shù)據(jù)包...

【專利技術(shù)屬性】
技術(shù)研發(fā)人員：寶鵬慶，周海燕，唐力，劉嬙，王志海，
申請(專利權(quán))人：攜程計(jì)算機(jī)技術(shù)上海有限公司，
類型：發(fā)明
國別省市：上海;31