申请/专利权人：国家计算机网络与信息安全管理中心

申请日：2023-11-08

公开（公告）日：2024-03-01

公开（公告）号：CN117640158A

主分类号：H04L9/40

分类号：H04L9/40

优先权：

专利状态码：在审-实质审查的生效

法律状态：2024.03.19#实质审查的生效;2024.03.01#公开

摘要：本发明是有关于一种基于序列比对的木马通信特征自动提取方法，该方法借鉴生物信息学序列比对算法，以可接受的时间复杂度对恶意流量中隐含的特征进行提取，并使用控制变量分析法判断流量中的特征序列与木马某因素间的关联关系。在序列比对阶段，本发明针对不同场景下，提出了基于随机化的多子串提取及基于滑动窗口子串提取的两种方法。将提取出的子串清洗后转换为当前IDS工具可直接使用的Snort规则，对真实流量做检测。本发明无需花费人工成本，极大的提高了远控木马检测效率，对于现有的远控木马具有普遍的可检测性，检测精度高，检测算法的可扩展性好，可以应用于大规模木马数据检测。

主权项：1.一种基于序列比对的木马通信特征自动提取方法，用于检测恶意流量，其特征在于：包括如下步骤：步骤S1：提取原始数据的IP头部与Payload部分，提取网络层即IP协议和传输层所使用的协议头部信息，采用键值对的形式进行分类标记，对Payload部分，以字节为单位，采用16进制字符串的形式进行存储；步骤S2：基于序列比对算法提取攻击特征最长公共子串，包括：基于随机化的多子串提取方法：其是对M个输入字符串进行随机排列后，将排列后的字符串按顺序两两分为一组，采用动态规划算法计算每组中两个字符串的最长公共子序列，然后进行迭代计算LCS，保留迭代过程中最长公共子序列；基于滑动窗口的子串提取方法：其是给定一个长度为L的滑动窗口，窗口从第一条包序列开始滑动，滑动步长也设为L，在滑动过程中，窗口内的任意两个包序列进行一次比对，对提取出的子串进行权重分配与排序，将权重较高的子串看作重要特征，得到用于检测的最优木马特征子串；步骤S3：进行Snort规则转换，过滤非连续短字节序列，定义规则转换字段映射关系，将清洗后的子串映射转换为Snort规则，然后将转换为Snort规则集放入IDS检测工具对真实流监测。

全文数据：

权利要求：

百度查询： 国家计算机网络与信息安全管理中心 一种基于序列比对的木马通信特征自动提取方法

免责声明
1、本报告根据公开、合法渠道获得相关数据和信息，力求客观、公正，但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解，仅供参考使用，不能作为本公司承担任何法律责任的依据或者凭证。

阅读全文 双屏查看 官方信息 专利公告 收藏专利 下载PDF 下载WORD