一种基于网络流量中行为特征的智能木马检测装置及其方法

摘要

本发明是一种根据网络流量数据中反映出来的木马行为特征去智能地检测木马的方法，提供了一种基于网络流量中行为特征的智能木马检测方法及其装置，其主旨在于提供一种对新型未知木马的发现有积极作用，并且拥有很高的检测效率和较低的误报、漏报率的木马检测方法及其装置。该方法包括以下步骤：1）采集TCP、UDP数据包；2）对采集的数据包进行预处理；3）对数据包根据神经网络进行过滤来识别出异常数据包；4）从异常的数据包中识别出具有木马行为的数据包；5）发现具有木马行为的数据包后就进行报警。

主权项

一种基于网络流量中行为特征的智能木马检测方法，包括以下步骤：1)采集TCP、UDP数据包，其中，所述TCP、UDP数据包由流量数据捕获装置采集；2)对采集的数据包进行预处理；3)对数据包根据神经网络进行过滤来识别出异常数据包，其中，所述步骤2)中所述流量数据捕获装置得到的数据转换为具有若干个分向量的特征向量作为步骤3)所述的神经网络的输入，所述TCP数据包的特征向量包含有源和目的IP地址、端口号、包序列号和确认号以及终止符，所述UDP数据包的特征向量包含有源和目的IP地址以及端口号；4)从异常的数据包中识别出具有木马行为的数据包；5)发现具有木马行为的数据包后就进行报警；其中，所述步骤3)，采用两个独立的神经网络组成，并采用异常检测方法，异常检测方法包括：311)首先使用具有正常行为的样本库进行学习；312)使神经网络模型掌握用户正常行为模式的知识，然后该模型对预处理过的数据包进行检测，将偏离正常行为轮廓的异常数据包检测出来；313)如果检测出了异常数据包，进行步骤314)，对于正常的数据包进行步骤315)；314)将其送入异常数据库，使用木马识别模块来检测这些数据包中是否包含具有木马行为的数据包；315)对于正常的数据包，就直接过滤掉；步骤4)中，对异常数据库中的数据包进行分析，采用行为特征分析，包括以下步骤：41)设置好不同类型木马具有的行为特性，并将其存入木马行为特征库中，42)将数据包分离后的各字段内容与木马行为特征库的特征码进行匹配，检测网络中攻击型网络数据包，43)对于已知木马肯定是含有这些行为特性当中的某些行为特性的，对于未知木马如果含有这些行为特性中的某一个就认为是属于这种类型的木马。