CN107370752A - 一种高效的远控木马检测方法 - Google Patents

Abstract

本发明公开了一种高效的远控木马检测方法，该方法通过网络行为特征来判断网络中是否存在远控木马。该方法能够应用于实际网络流量的检测中，误报率接近为0。整个方法包括如下四个阶段：第一阶段，流量收集；第二阶段，行为特征提取；第三阶段，方法的实现：结合了SMOTE过采样和XGBoost分类方法，SMOTE过采样算法在数据层面解决了不平衡数据集的分类问题。将机器学***衡数据集的分类问题。第四阶段，方法的优化评估。本方法注重通过网络混合流量的挖掘发现规律，适合完成已知木马的识别工作，也能检测出未知的远控木马。

Description

一种高效的远控木马检测方法

技术领域

本发明属于信息技术领域，具体涉及一种高效的远控木马检测方法。实现准确检测出混杂流量中的已知远控木马，还能够识别出未知的远控木马，对维护网络安全，减少国家、企业和个人的损失具有重要的意义。

背景技术

近年来，远控木马不断地被攻击者用来远程控制和信息窃取，对网络安全带来了严重的威胁，给国家、企业和个人造成了严重影响和巨大损失。远控木马由控制端(客户端)和受控端(服务器端)两个部分组成。通常情况下，攻击者利用鱼叉式钓鱼和社会工程学攻击寻找能够感染的机器，找到后利用标准的TCP/IP或UDP协议，实现控制端与受控端的实时通信。攻击者通过控制端发送控制指令，而受控端在受害者主机内监听控制指令后执行相应的受控行为，并将结果通过网络回传给控制端。与传统的来自病毒和木马的安全威胁不同的是：此类木马功能全面，常用于APT攻击中的数据窃取和隐私窥探，具有隐蔽性和长持久性，危害极大。知名的远控木马，例如：灰鸽子，Gh0st，PcShare，Nuclear，DarkComent，XtreamRAT，冰河，PlugX，等，多至三十多种，一些未知的和这些已知木马的变体正在在网络中悄悄地影响着我们的隐私。更严重的是，一旦主机***被攻破，入侵者就可以用这台主机将远控木马分发到其他易受攻击的计算机，建立僵尸网络。当前的入侵检测***在设计上主要是针对局域网内各类安全问题进行设计的，可能忽略了远控木马的特殊性，从而远控木马很可能绕过入侵检测***的检测机制。如何快速、有效地检测并进一步防范远控木马，成为安全领域面临的一个重要挑战。

根据基于不同环境的远控木马检测技术，远控木马的检测可分为基于主机和基于网络的检测，以及融合主机和网络特征的检测方式。随着木马变异速度越来越快，使得基于主机行为特征的检测效率大大降低，而基于网络行为的检测更适用于检测网络中存在的新生的未知威胁。基于主机以及融合主机和网络特征的检测方式的共性是都需要在主机上提取行为特征。为了我们得的方法有更好的移植性，我们不考虑从主机上提取行为特征，只关注如何选择有效的网络上的特征，配合寻找适当的检测算法，生成高效的远控木马检测方法。近些年，大多数研究人员将机器学习的方法应用于基于通信行为的木马检测，但大部分已有方法的检测误报率较高且并不适用于特种远控木马的检测。

Dan Jiang等人，致力于在远控木马通信初期就进行检测，从网络传输层数据包间隔小于1S的数据中提取出七个网络特征。通过随机森林算法实现检测方法。此实验虽然有较高的准确率，但是误报率较高，样本的选取只是远控木马样本和10款正常应用样本，方法并不适用于混杂流量。

李巍等人，详细分析了木马的通讯特征，选取了周期性DNS，上下行字节比值，上下行包的比值，小包占比等7个网络行为特征，选择了KNN和C4.5算法，但同样存在误报较高的问题。

Shicong Li等人，通过聚类算法实现对木马的检测，该算法选择了网络层和IP层的特征，完成了混杂流量的检测方法，但是该方法选取的特征应用于远控类木马的检测并不一定有效。我们提出的检测方法准确率和误报率都优于此方法。

以下对本发明涉及的基本概念进行解释。

流：将搜集到的流量进行筛选处理，选取基于TCP协议的流量，并按照[源IP地址，目的IP地址]的不同提取出不同的“流”。本方法中的每条流k是一段以标志位为”SYN”为起始的三次握手开始获取，直至达到时间阈值T(T＝300S)为止的流量，这段流量总长度记为F_k(k＝1，2，3,...k)。

会话：会话是由流的重组和过滤形成。每个流可分解成1到n个不同的[源IP地址，源端口，目的IP地址，目的端口]通信“会话”。

定期流：获取每相邻两个包之间的“传送时间间隔”定义为t，T_Linternal用来存放流中的所有包的间隔，记做T_Linternal＝{t₀，t₁，t₂.........t_N-1}；将所有T_Linternal中元素之和记为总时间，用SUMT表示；将T范围内的所有流称作“定期流”，定期流所有时间间隔集合为T_Linternal。

发明内容

本发明所要解决的技术问题是对远控类木马的检测，主要提供一种有效检测远控木马的检测方法，用于实现准确地检测已知和未知的远控木马。包括：

1.收集网络通信数据包，按照[源IP地址，目的IP地址]的不同提取出不同的“流”；

2.对每个捕获的流要求对以标志位为”SYN”为起始的三次握手开始，直至达到时间阈值T(T＝300S)为止的一段流量分析，提取如下特征：

f₀：统计定期流中标志位为[FIN，ACK]或者[RAT，ACK]的所有包个数；

f₁：统计定期流包含的会话个数；

f₂：从定期流中提出最长会话，对最长会话所有上行包组成的序列求方差；

f₃：计算定期流中上行平均每个标志位为[PUSH,ACK]包大小减去下行每个标志位为[PUSH,ACK]包大小的值；如果大于0赋值为1，等于0赋值为0，小于0赋值为-1；记T时间内上行flag为PUSH的包的字节和为P_bup，个数为C_bup；下行标志位为[PUSH,ACK]的包的字节和为P_bdown，个数为C_bdown。则有：

f₄：定期流中平均下行每秒发送字节数。我们求得了T时间内所有下行发包总字节数P_down，并根据T_Linternal求得T时间内下行发包所用的总时间T_down；

f₅：定期流中上行平均每秒字节数除以下行平均每秒字节数。根据T_Linternal求得T时间内上行发包所用的总时间为T_up，T时间内所有上行发包总字节数P_up，则：

f₆：定期流中包的大小大于90的包的个数；

f₇：定期流中每秒发送的下行包数，即下行包的总个数除以下行包所用的时间；记T时间内所有下行包的个数为C_down，则有

3.为每个捕获的流做标签，远控木马通信流量标为1，正常通信流量标为0。将标签和对应的8种行为特征数据存入数据库，生成训练集；

4.将SMOTE采样算法和XGBoost分类算法相结合，通过数据层面和算法层面的同时改进来解决不平衡数据集的分类问题。随后通过SMOTE采样算法处理得到新的的训练集。利用XGBoost算法对新的合成训练集进行分类学习，得到原始的分类器。

5.利用栅格搜索方法，实现***地遍历多种分类器参数组合，通过交叉验证确定最佳参数，然后在整个训练中使用这些参数优化原始分类器。

6.将实际网络流量作为检测对象，分析方法的检测结果。

本发明的有益效果是：本发明选取了基于网络数据包的大小、包的个数、标识和时间等特征，有效实现了远控木马检测方法。本方法的主要贡献在于结合了SMOTE过采样和XGBoost分类方法，通过数据层面和算法层面的同时改进来解决不平衡数据集的分类问题。生成方法不局限于对主机端流量的检测，同时可用于检测网络关键节点的是否存在已知或者未知的远控木马。

附图说明

图1.本方法流程示意图。

具体实施方式

S1.本远控木马检测方法，方法的生成主要包含以下四个模块：流量收集模块，行为特征提取模块，分类器创建模块，分类器的优化评估模块。

S2.流量收集模块负责采集方法创建和检测所需的数据集；

S21.流量收集：利用NetAnalyzer和wireshark软件，在可控的环境下捕获七台计算机的通信流量(其中两台植入木马程序)，这些通信流量可分为三种，一是国内外搜集到的24种远控木马样本通信流量，二是已知的10种正常的应用软件通信流量，三是混杂的网络流量。最终我们共收集到了291.17小时的通信流量，这些通信流量以.pcap文件格式存储。

S22.流量筛选：通信流量的过滤。从保存后的.pcap文件中选取基于TCP协议的流量，并按照[源IP地址，目的IP地址]的不同提取出不同的“流”。

S23.通信流量的重组满足下列两个条件：(1)以标志位为”SYN”为起始的三次握手开始，直至达到时间阈值T(T＝300S)为止的一段流，，每个流可由1到N个不同的[源IP地址，源端口，目的IP地址，目的端口]通信“会话”组成；(2)整段流的时长大于1S，即不考虑小于1S就结束的流；

S3.行为特征提取模块负责分析远控木马和主机网络通信流的差异，寻找出有效适用于此类检测的网络通信特征。将处理后的每段定期流记为F_k(k＝1，2，3...k)，行为提取模块包含如下步骤：

S31.统计双向流中标志位为[FIN，ACK]或者[RAT，ACK]的总个数记为f₀；

S32.统计F_k中包的大小大于90的包的个数；将定期流过滤和重组，可分解成1到n个不同的[源IP地址，源端口，目的IP地址，目的端口]通信“会话”组成，将最长会话记为M_s，统计会话的个数并将其记为f₁；对M_s中所有上行包组成新的序列并计算这段序列的方差记为f₂；

S33.定期流F_k中上行平均每个标志位为[PUSH,ACK]包大小减去下行每个标志位为[PUSH,ACK]包大小，记为f₃；如果大于0赋值为1，等于0赋值为0，小于0赋值为-1；记T时间内上行标志位为[PUSH,ACK]的包的字节和为P_bup，个数为C_bup；下行标志位为[PUSH,ACK]的包的字节和为P_bdown，个数为C_bdown。则有：

S35.计算定期流中平均下行每秒发送字节数，记为f₄；我们求得了T时间内所有下行发包总字节数P_down，并根据T_Linternal求得T时间内下行发包所用的总时间T_down。

S36.计算定期流中上行平均每秒字节数除以下行平均每秒字节数记为f₅；根据T_Linternal求得T时间内上行发包所用的总时间为T_up，T时间内所有上行发包总字节数P_up，则：

S37.计算定期流中每秒发送的下行包数记为f₇，即下行包的总个数除以下行包所用的时间；记T时间内所有下行包的个数为C_down，则有

S4.分类器创建模块负责利用XGBoost算法对利用SMOTE算法新合成得的训练集分类学习，生成一个原始分类器；

S41.对捕获的每条流打标签，远控木马通信流量标为1，正常通信流量标为0。将标签和对应的8种行为特征存入数据库，生成方法训练集；训练集T1是由七台机器291.17个小时的流量筛选过滤后得到的1862条流，其中的119条流是由远控木马产生。我们将T1中70％数据用作训练，记为TR1，余下的30％数据用作测试，记为TE1；随后利用SMOTE算法处理TR1的数据，初始TR1中正常流和远控木马流的比例为：1214：89；

S42.考虑到此类训练集样本中类别比例不平衡问题，实现SMOTE采样算法。经过SMOTE算法对原始数据集执行一些操作后得到新的合成样本中正常流和远控木马的比例为：1214：1246.新合成的训练集记为Tsynthesis.此外，测试集TE2是由另五台机器共计145.83小时的流量筛过滤后得到的1342条流，其中的86条流是由远控木马产生。

S43.利用XGBoost算法进行分类学***均数作为此K-CV下分类器的性能指标.本文中，本方法交叉验证K值定为6。最终生成一个检测方法；

S5.分类器的优化评估模块是指对选取原始分类器的重要参数选取，以及评估最优分类器的检测效果。

S51.利用栅格搜索方法，实现***地遍历多种参数组合，通过交叉验证确定最佳参数，然后在整个训练中使用这些参数设置优化方法。确定参数包括估计器数目为72，最小叶子节点样本权重的和为1，树的最大深度为6，每棵树随机采样的比例为0.9，每棵随机采样的列数的占比为0.8，节点***所需的最小损失函数下降值为0.2。

S52.将最佳参数带入到原始分类器中，生成最优的检测分类器。

S53.将测试集放入检测分类器中识别，检测分类器对测试集中的数据进行判断，如存在远控木马通信，则对应的通信流量输出为1，否则为0.实验结果表明按照如上方法生成的分类器能够有效检测出测试集中全部的远控木马通信(如表3所示，误报率几乎为0；

表1.本模型选用的木马名称以及对应的版本数

RAT样本	版本数	RAT样本	版本数
				Nuclear	3	Gh0st	2
Bandook	1	上兴远控	1
				大白鲨	1	DarkComent	2
灰鸽子	1	remote	1
				Bozok	1	Taidoor	1
CyberGate RAT	1	PoisionIvy	2
				Pandora RAT	1	SpyNet	1
Comet Rat	1	孔聚远控	1
				Star RAT	1	Xtreme RAT	2
Pcshare	1	njRAT	3
				VanToM RAT	1	Plugx	2
X RAT	1	HAKOPS RAT	1

表2.四种检测交叉验证检测结果对比

表3.三种方法检测结果对比

Claims (2)

1.一种远控木马检测方法，其特征在于，方法的生成包含四个主要模块；模块一，模块二，模块三，模块四分别代表：流量收集模块，行为特征提取模块，分类器创建模块，分类器的优化评估模块；流量收集模块负责采集分类器创建和检测所需的数据集；筛选出基于传输层TCP协议的通讯流量，按照[源IP地址，目的IP地址]对通讯流量划分，得到多条流；行为特征提取模块负责分析远控木马和主机网络通信流的差异，寻找出适用于此类检测的网络通信特征；分类器创建模块利用已生成的训练集，生成原始分类器；分类器的优化评估模块是指为生成的分类器匹配参数，优化原始分类器，得到新的分类器，再利用新的分类器对测试集分类评估检测结果；

模块一按照下述方式实现：对每个划分后的流k要求对以标志位为”SYN”为起始的三次握手开始，直至达到时间阈值T为止的一段流量分析，这段流量记为定期流F_k(k＝1,2,3...k)；时间阈值T为设定值；

行为特征提取模块对模块一处理后的每段定期流F_k(k＝1,2,3...k)，按照如下步骤提取特征：

步骤一：统计双向流中标志位为[FIN，ACK]或者[RAT，ACK]的总个数记为f₀；

步骤二：统计F_k中包的大小大于90的包的个数；将定期流过滤和重组，可分解成1到n个不同的[源IP地址，源端口，目的IP地址，目的端口]通信“会话”组成，将最长会话记为M_s，统计会话的个数并将其记为f₁；对M_s中所有上行包组成新的序列并计算这段序列的方差记为f₂；

步骤三：定期流F_k中上行平均每个标志位为[PUSH,ACK]包大小减去下行每个标志位为[PUSH,ACK]包大小，记为f₃；如果大于0赋值为1，等于0赋值为0，小于0赋值为-1；记T时间内上行flag为PUSH的包的字节和为P_bup，个数为C_bup；下行flag为[PUSH,ACK]的包的字节和为P_bdown，个数为C_bdown；则有：

<mfenced open = "{" close = "}"> <mtable> <mtr> <mtd> <mrow> <mfrac> <msub> <mi>P</mi> <mrow> <mi>b</mi> <mi>u</mi> <mi>p</mi> </mrow> </msub> <msub> <mi>C</mi> <mrow> <mi>b</mi> <mi>u</mi> <mi>p</mi> </mrow> </msub> </mfrac> <mo>&gt;</mo> <mfrac> <msub> <mi>P</mi> <mrow> <mi>b</mi> <mi>d</mi> <mi>o</mi> <mi>w</mi> <mi>n</mi> </mrow> </msub> <msub> <mi>C</mi> <mrow> <mi>b</mi> <mi>d</mi> <mi>o</mi> <mi>w</mi> <mi>n</mi> </mrow> </msub> </mfrac> <mo>,</mo> <msub> <mi>f</mi> <mn>3</mn> </msub> <mo>=</mo> <mn>1</mn> </mrow> </mtd> </mtr> <mtr> <mtd> <mrow> <mfrac> <msub> <mi>P</mi> <mrow> <mi>b</mi> <mi>u</mi> <mi>p</mi> </mrow> </msub> <msub> <mi>C</mi> <mrow> <mi>b</mi> <mi>u</mi> <mi>p</mi> </mrow> </msub> </mfrac> <mo>=</mo> <mfrac> <msub> <mi>P</mi> <mrow> <mi>b</mi> <mi>d</mi> <mi>o</mi> <mi>w</mi> <mi>n</mi> </mrow> </msub> <msub> <mi>C</mi> <mrow> <mi>b</mi> <mi>d</mi> <mi>o</mi> <mi>w</mi> <mi>n</mi> </mrow> </msub> </mfrac> <mo>,</mo> <msub> <mi>f</mi> <mn>3</mn> </msub> <mo>=</mo> <mn>0</mn> </mrow> </mtd> </mtr> <mtr> <mtd> <mrow> <mfrac> <msub> <mi>P</mi> <mrow> <mi>b</mi> <mi>u</mi> <mi>p</mi> </mrow> </msub> <msub> <mi>C</mi> <mrow> <mi>b</mi> <mi>u</mi> <mi>p</mi> </mrow> </msub> </mfrac> <mo>&lt;</mo> <mfrac> <msub> <mi>P</mi> <mrow> <mi>b</mi> <mi>d</mi> <mi>o</mi> <mi>w</mi> <mi>n</mi> </mrow> </msub> <msub> <mi>C</mi> <mrow> <mi>b</mi> <mi>d</mi> <mi>o</mi> <mi>w</mi> <mi>n</mi> </mrow> </msub> </mfrac> <mo>,</mo> <msub> <mi>f</mi> <mn>3</mn> </msub> <mo>=</mo> <mo>-</mo> <mn>1</mn> </mrow> </mtd> </mtr> </mtable> </mfenced>

步骤四：计算定期流中平均下行每秒发送字节数，记为f₄；我们求得了T时间内所有下行发包总字节数P_down，并根据T_Linternal求得T时间内下行发包所用的总时间T_down；

<mrow> <msub> <mi>f</mi> <mn>4</mn> </msub> <mo>=</mo> <mfrac> <msub> <mi>P</mi> <mrow> <mi>d</mi> <mi>o</mi> <mi>w</mi> <mi>n</mi> </mrow> </msub> <msub> <mi>T</mi> <mrow> <mi>d</mi> <mi>o</mi> <mi>w</mi> <mi>n</mi> </mrow> </msub> </mfrac> </mrow>

步骤五：计算定期流中上行平均每秒字节数除以下行平均每秒字节数记为f₅；根据T_Linternal求得T时间内上行发包所用的总时间为T_up，T时间内所有上行发包总字节数P_up，则：

<mrow> <msub> <mi>f</mi> <mn>5</mn> </msub> <mo>=</mo> <mfrac> <mrow> <msub> <mi>P</mi> <mrow> <mi>u</mi> <mi>p</mi> </mrow> </msub> <mo>.</mo> <msub> <mi>T</mi> <mrow> <mi>d</mi> <mi>o</mi> <mi>w</mi> <mi>n</mi> </mrow> </msub> </mrow> <mrow> <msub> <mi>T</mi> <mrow> <mi>u</mi> <mi>p</mi> </mrow> </msub> <mo>.</mo> <msub> <mi>P</mi> <mrow> <mi>d</mi> <mi>o</mi> <mi>w</mi> <mi>n</mi> </mrow> </msub> </mrow> </mfrac> </mrow>

步骤六：统计定期流中包的大小大于90的包的个数，记为f6；

步骤七：计算定期流中每秒发送的下行包数记为f₇，即下行包的总个数除以下行包所用的时间；记T时间内所有下行包的个数为C_down，则有

<mrow> <msub> <mi>f</mi> <mn>7</mn> </msub> <mo>=</mo> <mfrac> <msub> <mi>C</mi> <mrow> <mi>d</mi> <mi>o</mi> <mi>w</mi> <mi>n</mi> </mrow> </msub> <msub> <mi>T</mi> <mrow> <mi>d</mi> <mi>o</mi> <mi>w</mi> <mi>n</mi> </mrow> </msub> </mfrac> </mrow> 1

模块三按照下述方式实现：

对捕获的每条流打标签，远控木马通信流量标为1，正常通信流量标为0；将标签和对应的8种行为特征值存入数据库，作为方法训练集；针对此类训练集样本中类别比例不平衡问题，实现SMOTE采样算法，生成新的合成训练集；利用XGBoost算法对新的合成训练集进行分类学习，生成一个原始分类器。

2.根据权利要求1所述方法，其特征在于：模块四按照下述方式实现：

步骤一：利用栅格搜索方法，实现***地遍历多种参数组合，通过交叉验证确定最佳参数，然后在整个训练中使用这些参数设置优化原始分类器；确定参数包括估计器数目为72，最小叶子节点样本权重的和为1，树的最大深度为6，每棵树随机采样的比例为0.9，每棵随机采样的列数的占比为0.8，节点***所需的最小损失函数下降值为0.2；

步骤二：将步骤一得到的最佳参数，带入生成的原始分类器中，生成最优分类器；

步骤三：利用模块一和模块二处理测试样本；将待检测数据经过行为特征提取后生成的测试集放入最优分类器中识别分类器将输出对测试集中的数据的判断结果，如存在远控木马通信，则对应的通信流量输出为1，否则为0。