專利名稱：一種基于網(wǎng)絡(luò)流量中行為特征的智能木馬檢測裝置及其方法
技術(shù)領(lǐng)域：
本發(fā)明是一種根據(jù)網(wǎng)絡(luò)流量數(shù)據(jù)中反映出來的木馬行為特征去智能地檢測木馬的方法，特別是對新型未知木馬的發(fā)現(xiàn)有積極作用，并且擁有很高的檢測效率和較低的誤報(bào)、漏報(bào)率。
背景技術(shù)：
基于行為特征的木馬檢測技術(shù)是對傳統(tǒng)木馬檢測技術(shù)中的基于特征碼的木馬檢測的有力改進(jìn)，現(xiàn)已成為網(wǎng)絡(luò)安全領(lǐng)域的重要研究課題。計(jì)算機(jī)網(wǎng)絡(luò)就是像一把雙刃劍，近年來，它給人們的生活帶來了無窮便利，然而由于經(jīng)濟(jì)利益的驅(qū)使，木馬數(shù)量激增，使得廣大計(jì)算機(jī)用戶和公司企業(yè)遭受到巨大損失。2011年，CNCERT全年共發(fā)現(xiàn)近890萬個(gè)境內(nèi)IP主機(jī)地址感染了木馬或僵尸程序，較2010年增加78.5%。其中，感染竊密類木馬的境內(nèi)IP地址為5.6萬余個(gè)，國家、企業(yè)以及網(wǎng)民的信息安全面臨嚴(yán)重威脅。因此，網(wǎng)絡(luò)安全中木馬防御技術(shù)具有極其重要的研究價(jià)值。針對木馬主要有兩種防御手段，第一種是進(jìn)行木馬查殺，另一種就是使用防火墻技術(shù)。幾十年來，這兩種方法一直是抵御大部分木馬的主要方法。雖然傳統(tǒng)的木馬防御技術(shù)遏制了一些木馬的攻擊行為，但是目前許多殺毒軟件和木馬查殺工具普遍采用的是基于特征碼的檢測，而該技術(shù)提取特征碼滯后因而無法檢測到新型木馬，以及具有開銷大和檢測效率低下的缺陷。隨著攻擊者技術(shù)的日趨成熟和攻擊手段的復(fù)雜化、多樣化等，平均每20秒就發(fā)生一次入侵計(jì)算機(jī)網(wǎng)絡(luò)的事件，其中有超過1/3的防火墻被攻破。例如反彈端口木馬中的“網(wǎng)絡(luò)神偷”就是利用網(wǎng)絡(luò)防火墻大都是監(jiān)控從外面進(jìn)來的數(shù)據(jù)而對從里面到外面?zhèn)鬏數(shù)臄?shù)據(jù)卻不予理睬的缺陷成功躲開了防火墻的阻擋。

現(xiàn)在，新型木馬出現(xiàn)的頻率越來越高，在今年^一”黃金周過后，360安全中心就發(fā)現(xiàn)一種名為“怪魚”的新型木馬肆意攻擊著各種社交網(wǎng)絡(luò)。而且，之前僅通過終端檢測木馬的方式針對網(wǎng)絡(luò)形式的改變做出快速反應(yīng)，所以基于網(wǎng)絡(luò)流量的木馬檢測成為了新的研究熱點(diǎn)。同時(shí)對于采用智能分析算法的木馬檢測作為一種主動(dòng)的木馬防御技術(shù)，近年來得到了進(jìn)一步的研究，并且基于行為特征的木馬檢測技術(shù)能夠解決基于特征碼檢測的缺陷，所以提高智能性和基于行為特征的檢測機(jī)制是目前木馬檢測研究領(lǐng)域的熱點(diǎn)。因此，很有必要發(fā)明一種基于網(wǎng)絡(luò)流量中反映行為特征的智能木馬檢測方法，并且該方法能夠智能地、自適應(yīng)地對未知類型的木馬進(jìn)行檢測，以及具備較低的漏報(bào)率與誤報(bào)率。專利一種基于行為特征的網(wǎng)頁木馬檢測方法(申請?zhí)?200610152530.3)，此專利的思想是通過系統(tǒng)調(diào)用和內(nèi)存變化等行為來監(jiān)測網(wǎng)頁中是否含有木馬。該專利的基本原理為當(dāng)網(wǎng)頁中隱藏的木馬被運(yùn)行時(shí)，系統(tǒng)必定產(chǎn)生一個(gè)新的進(jìn)程，并且該新進(jìn)程的父進(jìn)程為瀏覽器進(jìn)程，因此通過對系統(tǒng)進(jìn)程的監(jiān)控可以快速、準(zhǔn)確的檢測網(wǎng)頁中是否含有木馬程序。雖然此專利實(shí)現(xiàn)了對網(wǎng)絡(luò)中有害網(wǎng)頁的快速檢測，為上網(wǎng)用戶提供了一個(gè)安全的網(wǎng)絡(luò)環(huán)境。但是，此專利關(guān)注的是網(wǎng)頁木馬檢測，和基于網(wǎng)絡(luò)流量中行為特征的智能木馬檢測關(guān)系不大。專利一種木馬檢測的方法和裝置(申請?zhí)?201110430821.5)，雖然本專利使用的檢測方法提高了檢測效率并且降低了誤報(bào)率，但是該專利關(guān)注的是木馬心跳，和基于網(wǎng)絡(luò)流量中行為特征的智能木馬檢測關(guān)系不大。專利網(wǎng)絡(luò)竊密木馬檢測方法(申請?zhí)?200910022718.X)，此專利的思想是首先獲取網(wǎng)絡(luò)數(shù)據(jù)流，再通過對通信地址、通信協(xié)議、通信行為和通信關(guān)系的分析，將高度疑似木馬通信的數(shù)據(jù)包，按照高度疑似木馬通信所采用的網(wǎng)絡(luò)通信協(xié)議，與相應(yīng)的目的IP地址建立連接，并按照相應(yīng)的通信協(xié)議構(gòu)造探測數(shù)據(jù)包發(fā)送對方，如果對方返回的應(yīng)答包中含有不是協(xié)議規(guī)定的內(nèi)容，即確定該節(jié)點(diǎn)是木馬控制端。本專利使用的方法給基于網(wǎng)絡(luò)流量中行為特征的智能木馬檢測提供了想法，但是本專利的關(guān)注點(diǎn)僅限于網(wǎng)絡(luò)竊密型木馬。專利基于程序執(zhí)行特征的網(wǎng)頁木馬檢測方法(申請?zhí)?200810222212.9)，此專利的思想是利用網(wǎng)絡(luò)爬蟲抓取網(wǎng)頁源碼，然后經(jīng)過多層解碼后得到可識(shí)別的腳本程序，在保留腳本程序的同時(shí)對其進(jìn)行反匯編處理得到匯編源碼，再判斷這些源碼是否存在大量無效指令填充、調(diào)用系統(tǒng)級(jí)函數(shù)、明顯的URL鏈接，最后通過匯編碼來深層次的檢測網(wǎng)頁中是否含有木馬。本專利主要是用來檢測網(wǎng)頁是否是網(wǎng)頁木馬的，和基于網(wǎng)絡(luò)流量中行為特征的智能木馬檢測關(guān)系不大。專利一種木馬檢測方法、裝置及系統(tǒng)(申請?zhí)?201010581622.x)，此專利主要是依據(jù)木馬攻擊過程中的特征執(zhí)行具有時(shí)間順序這一特征，首先將獲取到的報(bào)文與預(yù)置的木馬特征庫進(jìn)行匹配，然后將判斷為具有可疑特征的報(bào)文的執(zhí)行時(shí)序和木馬攻擊程序的執(zhí)行時(shí)序進(jìn)行匹配，如果相同，則確定該可疑特征報(bào)文為木馬特征報(bào)文。雖然該發(fā)明提高了木馬檢測的準(zhǔn)確率，但是依然是基于特征碼的檢測，仍然無法識(shí)別出未知的新型木馬。專利一種網(wǎng)頁木馬檢測方法及系統(tǒng)(申請?zhí)?201110439572.6)，此專利主要關(guān)注的是網(wǎng)頁木馬檢測，所以和基于網(wǎng)絡(luò)流量中行為特征的智能木馬檢測沒有直接聯(lián)系。專利一種通過分析網(wǎng)絡(luò)行為檢測木馬程序的方法及裝置(申請?zhí)?201010182380.7)，本專利主要是通過分析網(wǎng)絡(luò)行為來檢測木馬程序的。

發(fā)明內(nèi)容
本發(fā)明的目的在于提供一種高效率，適用于大規(guī)模和高速網(wǎng)絡(luò)，能夠?qū)σ阎臀粗抉R進(jìn)行檢測，檢測準(zhǔn)確率高，誤報(bào)率和漏報(bào)率很低的一種基于網(wǎng)絡(luò)流量中行為特征的智能木馬檢測裝置及其方法。本發(fā)明為了實(shí)現(xiàn)上述目的采用以下技術(shù)方案:
一種基于網(wǎng)絡(luò)流量中行為特征的智能木馬檢測方法，包括以下步驟:
1)采集TCP、UDP數(shù)據(jù)包；
2)對采集的數(shù)據(jù)包進(jìn)行預(yù)處理；
3)對數(shù)據(jù)包根據(jù)神經(jīng)網(wǎng)絡(luò)進(jìn)行過濾來識(shí)別出異常數(shù)據(jù)包；
4)從異常的數(shù)據(jù)包中識(shí)別出具有木馬行為的數(shù)據(jù)包；
5)發(fā)現(xiàn)具有木馬行為的數(shù)據(jù)包后就進(jìn)行報(bào)警。上述方案中，所述步驟2)中所述流量數(shù)據(jù)采集裝置得到的數(shù)據(jù)轉(zhuǎn)換為具有若干個(gè)分向量的特征向量作為步驟3)所述的神經(jīng)網(wǎng)絡(luò)的輸入。
所述步驟3)，采用兩個(gè)獨(dú)立的神經(jīng)網(wǎng)絡(luò)組成，并采用異常檢測方式，
異常檢測方法包括:
311)首先使用具有正常行為的樣本庫進(jìn)行學(xué)習(xí)；
312)使神經(jīng)網(wǎng)絡(luò)模型掌握用戶正常行為模式的知識(shí)，然后該模型對預(yù)處理過的數(shù)據(jù)包進(jìn)行檢測，將偏離正常行為輪廓的異常數(shù)據(jù)包檢測出來；
313)如果檢測出了異常數(shù)據(jù)包，進(jìn)行步驟314)，對于正常的數(shù)據(jù)包進(jìn)行步驟315)；
314)將其送入異常數(shù)據(jù)庫，使用木馬識(shí)別模塊來檢測這些數(shù)據(jù)包中是否包含具有木馬行為的數(shù)據(jù)包；
315 )對于正常的數(shù)據(jù)包，就直接過濾掉。上述方案中，步驟4中，對異常數(shù)據(jù)庫中的數(shù)據(jù)包進(jìn)行分析，采用行為特征分析，包括以下步驟，
41)設(shè)置好不同類型木馬具有的行為特性，并將其存入木馬行為特征庫中，
42)將數(shù)據(jù)包分離后的各字段內(nèi)容與木馬行為特征庫的特征碼進(jìn)行匹配，檢測網(wǎng)絡(luò)中攻擊型網(wǎng)絡(luò)數(shù)據(jù)包，
43)對于已知木馬肯定是含有這些行為特性當(dāng)中的某些行為特性的，對于未知木馬如果含有這些行為特性中的某一個(gè)就認(rèn)為是屬于這種類型的木馬。本發(fā)明還提供了一種基于網(wǎng)絡(luò)流量中行為特征的智能木馬檢測裝置，其特征在于包括:
本發(fā)明所提出的基于網(wǎng)絡(luò)流量中行為特征的智能木馬檢測系統(tǒng)由下面的裝置構(gòu)成:流量數(shù)據(jù)捕獲裝置，預(yù)處理裝置，正常數(shù)據(jù)智能識(shí)別裝置，木馬識(shí)別裝置和報(bào)警裝置，下面分別給予描述。流量數(shù)據(jù)捕獲裝置:實(shí)時(shí)采集網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)包；
預(yù)處理裝置:對流量數(shù)據(jù)捕獲裝置解獲得的TCP、UDP數(shù)據(jù)包進(jìn)行預(yù)處理，生成神經(jīng)網(wǎng)絡(luò)的輸入值；
正常數(shù)據(jù)包智能識(shí)別裝置:用于自學(xué)習(xí)式地識(shí)別正常流量數(shù)據(jù)，并將異常數(shù)據(jù)包放到異常數(shù)據(jù)庫中；
木馬識(shí)別裝置:用于識(shí)別那些異常數(shù)據(jù)包中是否含有具有木馬行為的數(shù)據(jù)包以及這些數(shù)據(jù)包中具有的木馬行為屬于哪種類型的木馬；
報(bào)警裝置:根據(jù)木馬識(shí)別裝置的識(shí)別結(jié)果進(jìn)行報(bào)警。上述裝置中，所述預(yù)處理裝置將流量數(shù)據(jù)捕獲裝置得到的數(shù)據(jù)轉(zhuǎn)換為具有若干個(gè)分向量的特征向量作為正常數(shù)據(jù)包智能識(shí)別裝置的神經(jīng)網(wǎng)絡(luò)的輸入。上述裝置中，所述正常數(shù)據(jù)包智能識(shí)別裝置包括:
異常入侵檢測模塊:使用具有正常行為的樣本庫進(jìn)行學(xué)習(xí)，使神經(jīng)網(wǎng)絡(luò)模型掌握具有正常行為的知識(shí)，在神經(jīng)網(wǎng)絡(luò)內(nèi)部的異常入侵檢測模塊建立起對正常行為識(shí)別的正常行為特征庫，將偏離正常行為的異常數(shù)據(jù)包檢測出來，如果檢測出了異常數(shù)據(jù)包，則將其送入異常數(shù)據(jù)庫，使木馬識(shí)別裝置從中檢測出具有木馬攻擊行為的數(shù)據(jù)包；對于正常的數(shù)據(jù)包，則直接將其過濾掉。本發(fā)明具有以下有益效果:
一、高效率，適用于大規(guī)模和高速網(wǎng)絡(luò)，本發(fā)明的檢測方法是基于異常行為的，而不是對所有數(shù)據(jù)包內(nèi)容進(jìn)行處理，因此檢測效率非常高，適用于大規(guī)模和高速網(wǎng)絡(luò)。二、能夠?qū)σ阎臀粗抉R進(jìn)行檢測，本發(fā)明的檢測方法不是依賴于木馬特征碼，而是根據(jù)木馬本質(zhì)的行為特征行為來進(jìn)行檢測，因此無論是已知還是未知的木馬都可以進(jìn)行很好的檢測。三、檢測準(zhǔn)確率高，誤報(bào)率低，本發(fā)明對通信木馬行為進(jìn)行了深刻的分析，并且使用了神經(jīng)網(wǎng)絡(luò)中改進(jìn)的BP算法和異常檢測技術(shù)，智能地實(shí)現(xiàn)了對正常數(shù)據(jù)的檢測，可以實(shí)現(xiàn)較高的檢測效率和較低的漏報(bào)率和誤報(bào)率。


圖1為本發(fā)明流程圖。
具體實(shí)施例方式下面對本發(fā)明做進(jìn)一步的解釋:
本發(fā)明的思想是采用分析對比行為特征的方式來檢測木馬，主要過程為首先搜集局域網(wǎng)內(nèi)的網(wǎng)絡(luò)行為，然后分析其典型行為特征，通過木馬外連、信息竊取和信息外發(fā)網(wǎng)絡(luò)行為，實(shí)時(shí)檢測木馬。本裝置主要由采集器和分析機(jī)兩部分組成，采集器負(fù)責(zé)采集網(wǎng)絡(luò)數(shù)據(jù)包并將采集到的數(shù)據(jù)包發(fā)送給分析機(jī)，分析機(jī)的主要任務(wù)是重組數(shù)據(jù)包，并提取其典型行為特征，然后與木馬特征庫進(jìn)行關(guān)聯(lián)分析，最后生成安全事件報(bào)告并呈現(xiàn)給前端系統(tǒng)。本發(fā)明使用基于行為特征分析的技術(shù)來檢測木馬，不僅能夠檢測已知類型的木馬，而且能檢測未知類型的木馬，但是卻不具備智能性。本發(fā)明技術(shù)實(shí)現(xiàn)的具體實(shí)施例
下面給出本發(fā)明提出的蠕蟲檢測方法的一個(gè)具體實(shí)施例，本實(shí)施例只是對TCP協(xié)議和UDP協(xié)議的蠕蟲檢測方法進(jìn)行了詳細(xì)描述，但本專利可以適用于所有協(xié)議。面對日趨復(fù)雜的安全威脅形勢，要求入侵檢測系統(tǒng)具有一定的智能，能夠?qū)舴椒ㄟM(jìn)行學(xué)習(xí)以增強(qiáng)其自適應(yīng)能力。本發(fā)明實(shí)施例一:
流量數(shù)據(jù)捕獲裝置的實(shí)施方式
目前主流的數(shù)據(jù)包捕獲工具有Libpcap，Winpcap等，不同的平臺(tái)可以選擇不同的捕獲工具，例如Windows平臺(tái)下可以選擇Winpcap,Unix平臺(tái)下可以選擇Libpcap。本實(shí)例采用Winpcap這款數(shù)據(jù)包捕獲工具,Winpcap由NPF、packet.dll和wpcap.dll這三個(gè)模塊組成，NPF是數(shù)據(jù)包捕獲驅(qū)動(dòng)程序，packet, dll是底層的動(dòng)態(tài)鏈接庫而wpcap.dll是高層的動(dòng)態(tài)鏈接庫。因?yàn)槟抉R基本都是基于TCP協(xié)議和UDP協(xié)議進(jìn)行傳輸?shù)?，所以這里需要進(jìn)行基于協(xié)議的過濾，只捕獲TCP和UDP數(shù)據(jù)包。無論選擇哪種捕獲工具都在本專利保護(hù)范圍內(nèi)。預(yù)處理裝置的實(shí)施方式
本實(shí)施方案用于將流量數(shù)據(jù)捕獲裝置得到的TCP/UDP數(shù)據(jù)包轉(zhuǎn)換為具有若干個(gè)分向量的特征向量作為神經(jīng)網(wǎng)絡(luò)的輸入。選取適當(dāng)?shù)靥卣飨蛄渴潜灸K的關(guān)鍵之處，本系統(tǒng)主要考慮基于TCP、UDP數(shù)據(jù)包，它們分別采用不同的特征向量。TCP數(shù)據(jù)包的特征向量應(yīng)包含有源和目的IP地址、端口號(hào)、包序列號(hào)和確認(rèn)號(hào)以及終止位這六項(xiàng)。UDP數(shù)據(jù)包的特征向量應(yīng)包含有源和目的IP地址、端口號(hào)這四項(xiàng)。
正常數(shù)據(jù)包智能識(shí)別裝置的實(shí)施方式
由于TCP、UDP這兩種數(shù)據(jù)包的特征向量維數(shù)不同，所以本裝置由兩個(gè)獨(dú)立的BP神經(jīng)網(wǎng)絡(luò)組成，并采用異常檢測技術(shù)。異常入侵檢測模型首先使用具有正常行為的樣本庫進(jìn)行學(xué)習(xí)，使神經(jīng)網(wǎng)絡(luò)模型掌握用戶正常行為模式的知識(shí)，然后該模型對使用誤用入侵檢測模型無法判別的行為進(jìn)行異常行為的檢測，從而將偏離正常行為輪廓的入侵行為檢測出來。如果檢測出了新的入侵行為模式，則將其特征值送入入侵特征庫，使誤用入侵檢測模型在經(jīng)過學(xué)習(xí)之后能夠檢測出這種攻擊行為；對于正常的行為模式，則送入正常行為特征庫以進(jìn)一步完善用戶的正常行為輪廓使用正常行為的數(shù)據(jù)作為樣本進(jìn)行學(xué)習(xí)，使得神經(jīng)網(wǎng)絡(luò)模型掌握正常行為模型的知識(shí)。木馬識(shí)別裝置的實(shí)施方式
本裝置用于對異常數(shù)據(jù)庫中那些數(shù)據(jù)包進(jìn)行分析，主要是采用行為特征分析。首先設(shè)置好不同類型木馬具有的行為特性，并將其存入木馬行為特征庫中，然后將異常數(shù)據(jù)庫中的數(shù)據(jù)包進(jìn)行分離，并將分離后的各字段內(nèi)容與木馬行為特征庫的特征碼進(jìn)行匹配，檢測網(wǎng)絡(luò)中攻擊型網(wǎng)絡(luò)數(shù)據(jù)包，如ARP攻擊，3389遠(yuǎn)程桌面等，這樣就可以識(shí)別出已知木馬和未知木馬。報(bào)警裝置的實(shí)施方式
如果檢測到木馬就進(jìn)行報(bào)警，便向管理員輸出響應(yīng)消息，彈出對話框顯示是屬于哪一種木馬，提醒管理員及時(shí)處理。
權(quán)利要求
1.一種基于網(wǎng)絡(luò)流量中行為特征的智能木馬檢測方法，包括以下步驟: 1)采集TCP、UDP數(shù)據(jù)包； 2)對采集的數(shù)據(jù)包進(jìn)行預(yù)處理； 3)對數(shù)據(jù)包根據(jù)神經(jīng)網(wǎng)絡(luò)進(jìn)行過濾來識(shí)別出異常數(shù)據(jù)包； 4)從異常的數(shù)據(jù)包中識(shí)別出具有木馬行為的數(shù)據(jù)包； 5)發(fā)現(xiàn)具有木馬行為的數(shù)據(jù)包后就進(jìn)行報(bào)警。
2.根據(jù)權(quán)利要求1所述的一種基于網(wǎng)絡(luò)流量中行為特征的智能木馬檢測方法，其特征在于:所述步驟2)中所述流量數(shù)據(jù)采集裝置得到的數(shù)據(jù)轉(zhuǎn)換為具有若干個(gè)分向量的特征向量作為步驟3)所述的神經(jīng)網(wǎng)絡(luò)的輸入。
3.根據(jù)權(quán)利要求1所述的一種基于網(wǎng)絡(luò)流量中行為特征的智能木馬檢測方法，其特征在于:所述步驟3)，采用兩個(gè)獨(dú)立的神經(jīng)網(wǎng)絡(luò)組成，并采用異常檢測方式， 異常檢測方法包括: 311)首先使用具有正常行為的樣本庫進(jìn)行學(xué)習(xí)； 312)使神經(jīng)網(wǎng)絡(luò)模型掌握用戶正常行為模式的知識(shí)，然后該模型對預(yù)處理過的數(shù)據(jù)包進(jìn)行檢測，將偏離正常行為輪廓的異常數(shù)據(jù)包檢測出來； 313)如果檢測出了異常數(shù)據(jù)包，進(jìn)行步驟314)，對于正常的數(shù)據(jù)包進(jìn)行步驟315)； 314)將其送入異常數(shù)據(jù)庫，使 用木馬識(shí)別模塊來檢測這些數(shù)據(jù)包中是否包含具有木馬行為的數(shù)據(jù)包； 315 )對于正常的數(shù)據(jù)包，就直接過濾掉。
4.據(jù)權(quán)利要求1所述的一種基于網(wǎng)絡(luò)流量中行為特征的智能木馬檢測方法，其特征在于:步驟4中，對異常數(shù)據(jù)庫中的數(shù)據(jù)包進(jìn)行分析，采用行為特征分析，包括以下步驟， 41)設(shè)置好不同類型木馬具有的行為特性，并將其存入木馬行為特征庫中， 42)將數(shù)據(jù)包分離后的各字段內(nèi)容與木馬行為特征庫的特征碼進(jìn)行匹配，檢測網(wǎng)絡(luò)中攻擊型網(wǎng)絡(luò)數(shù)據(jù)包， 43)對于已知木馬肯定是含有這些行為特性當(dāng)中的某些行為特性的，對于未知木馬如果含有這些行為特性中的某一個(gè)就認(rèn)為是屬于這種類型的木馬。
5.一種基于網(wǎng)絡(luò)流量中行為特征的智能木馬檢測裝置，其特征在于包括: 本發(fā)明所提出的基于網(wǎng)絡(luò)流量中行為特征的智能木馬檢測系統(tǒng)由下面的裝置構(gòu)成:流量數(shù)據(jù)捕獲裝置，預(yù)處理裝置，正常數(shù)據(jù)包智能識(shí)別裝置，木馬識(shí)別裝置和報(bào)警裝置，下面分別給予描述； 流量數(shù)據(jù)捕獲裝置:實(shí)時(shí)采集網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)包； 預(yù)處理裝置:對流量數(shù)據(jù)捕獲裝置解獲得的TCP、UDP數(shù)據(jù)包進(jìn)行預(yù)處理，生成神經(jīng)網(wǎng)絡(luò)的輸入值； 正常數(shù)據(jù)包智能識(shí)別裝置:用于自學(xué)習(xí)式地識(shí)別正常流量數(shù)據(jù)，并將異常數(shù)據(jù)包放到異常數(shù)據(jù)庫中； 木馬識(shí)別裝置:用于識(shí)別那些異常數(shù)據(jù)包中是否含有具有木馬行為的數(shù)據(jù)包以及這些數(shù)據(jù)包中具有的木馬行為屬于哪種類型的木馬； 報(bào)警裝置:根據(jù)木馬識(shí)別裝置的識(shí)別結(jié)果進(jìn)行報(bào)警。
6.根據(jù)權(quán)利要求5所述的一種基于網(wǎng)絡(luò)流量中行為特征的智能木馬檢測裝置，其特征在于:所述預(yù)處理裝置將流量數(shù)據(jù)捕獲裝置得到的數(shù)據(jù)轉(zhuǎn)換為具有若干個(gè)分向量的特征向量作為正常數(shù)據(jù)包智能識(shí)別裝置的神經(jīng)網(wǎng)絡(luò)的輸入。
7.根據(jù)權(quán)利要求4所述的一種基于網(wǎng)絡(luò)流量中行為特征的智能木馬檢測裝置，所述正常數(shù)據(jù)包智能識(shí)別裝置包括: 異常入侵檢測模塊:使用具有正常行為的樣本庫進(jìn)行學(xué)習(xí)，使神經(jīng)網(wǎng)絡(luò)模型掌握具有正常行為的知識(shí)，在神經(jīng)網(wǎng)絡(luò)內(nèi)部的異常入侵檢測模塊建立起對正常行為識(shí)別的正常行為特征庫，將偏離正常行為的異常數(shù)據(jù)包檢測出來，如果檢測出了異常數(shù)據(jù)包，則將其送入異常數(shù)據(jù)庫，使木馬識(shí)別裝置從中檢測出具有木馬攻擊行為的數(shù)據(jù)包；對于正常的數(shù)據(jù)包，則直接將其過濾掉。
全文摘要
本發(fā)明是一種根據(jù)網(wǎng)絡(luò)流量數(shù)據(jù)中反映出來的木馬行為特征去智能地檢測木馬的方法，提供了一種基于網(wǎng)絡(luò)流量中行為特征的智能木馬檢測方法及其裝置，其主旨在于提供一種對新型未知木馬的發(fā)現(xiàn)有積極作用，并且擁有很高的檢測效率和較低的誤報(bào)、漏報(bào)率的木馬檢測方法及其裝置。該方法包括以下步驟1)采集TCP、UDP數(shù)據(jù)包；2)對采集的數(shù)據(jù)包進(jìn)行預(yù)處理；3)對數(shù)據(jù)包根據(jù)神經(jīng)網(wǎng)絡(luò)進(jìn)行過濾來識(shí)別出異常數(shù)據(jù)包；4)從異常的數(shù)據(jù)包中識(shí)別出具有木馬行為的數(shù)據(jù)包；5)發(fā)現(xiàn)具有木馬行為的數(shù)據(jù)包后就進(jìn)行報(bào)警。
文檔編號(hào)H04L29/06GK103179105SQ20121041234
公開日2013年6月26日 申請日期2012年10月25日 優(yōu)先權(quán)日2012年10月25日
發(fā)明者王電鋼, 黃昆, 牛偉納, 李建彬, 張小松, 陳瑞東 申請人:四川省電力公司信息通信公司, 電子科技大學(xué)