主办单位: 共青团中央   中国科协   教育部   中国社会科学院   全国学联  

承办单位: 贵州大学     

基本信息

项目名称:
浮云系统
小类:
信息技术
简介:
本作品通过分析提取常见木马的在不同通信阶段的行为特征,提出通用性较强的隐蔽通信行为检测方法,开发具有较低虚警率和漏报率,且计算复杂度满足实际应用需求的网络木马检测系统。本作品不仅可以对已知木马进行有效检测,还对变种木马、变形木马和加密木马具有较强的检测能力。
详细介绍:
近年来,借助木马工具的网络窃密案件不断发生,本作品设计的目的是通过在网络端检测木马、木马变种和未知木马来提高关键网络的安全性,可用于网络安全管理和网络失窃密行为的取证,“让什么木马都变成浮云。” 本作品的基本思路是通过分析提取常见木马的在不同通信阶段的行为特征,提出通用性较强的隐蔽通信行为检测方法,开发具有较低虚警率和漏报率,且计算复杂度满足实际应用需求的网络木马检测系统。不仅可以对已知木马进行有效检测,还对变种木马、变形木马和加密木马具有较强的检测能力。 主要采用如下技术: (1)基于通信行为特征的木马检测技术 现有的木马检测技术主要采用特征码匹配技术,本作品主要采用基于通信行为特征分析的检测技术。相较于基于特征码匹配的检测技术,基于通信行为特征分析的检测技术在时效性和扩展性方面具有明显优势,有利于发现潜在的、未知的网络窃密行为和威胁,具有更广的应用前景。 (2)基于时频分析的通信行为特征提取 现有对木马通信行为的分析均采用传统概率统计方法,本作品则提出新的时频分析方法对木马通信行为进行分析,并提取有效的检测特征。通过考察木马通信行为在频域上的信号特性,获取更有利于检测木马通信的行为特征。其中,基于小波变换思想构造了快速的二阶差分特征,解决了木马通信变长度心跳行为的检测难题。 (3)低计算复杂度的木马通信行为检测方法 为满足实际应用中对网络数据处理速度的要求,本作品在设计过程中充分考虑了计算复杂度因素。在网络会话重组阶段,抛弃传统的链表式会话提取算法,专门设计了基于数组链表的快速会话提取算法。在通信行为检测特征提取阶段,筛选出分类性能优良且计算复杂度不超过线性对数级的通信行为特征。通过引入高效的C4.5决策树分类算法作为训练和分类器,进一步降低了检测系统的计算开销。

作品图片

  • 浮云系统

作品专业信息

设计、发明的目的和基本思路、创新点、技术关键和主要技术指标

近年来,借助木马工具的网络窃密案件不断发生,本作品(“浮云”系统)设计的目的是通过在网络端检测木马、木马变种和未知木马来提高关键网络的安全性,可用于网络安全管理和网络失窃密行为的取证,“让什么木马都变成浮云。” 本作品的基本思路是通过分析提取常见木马的在不同通信阶段的行为特征,提出通用性较强的隐蔽通信行为检测方法,开发具有较低虚警率和漏报率,且计算复杂度满足实际应用需求的网络木马检测系统。 主要创新点: (1)基于通信行为特征的木马检测技术 (2)基于时频分析的通信行为特征提取 (3)低计算复杂度的木马通信行为检测方法 技术关键: 本作品通过对木马的建立连接、保持连接无操作和交互操作等三个不同阶段分别进行分析,提取针对性较强的行为特征属性用于木马通信行为检测。在主要技术上,除了结合传统的数据挖掘和流量分析技术,还创新的引入信号处理领域的时频分析技术,构造了有较强通用性的木马检测特征。 (1)连接建立阶段。 (2)保持连接无操作阶段。 (3)交互操作阶段。 主要技术指标: (1)能够检测PcShare、灰鸽子等主流木马及其变种; (2)至少能够检测采用HTTP、HTTPS隧道类型的木马; (3)至少支持100Mbps带宽的网络; (4)木马处于普通连接状态时,在漏检率为5%条件下,虚警率控制在1%以下;木马处于数据下载状态时,在漏检率为5%条件下,虚警率控制在1%以下。

科学性、先进性

目前在针对木马通信的检测,主要存在以下三种检测技术,分别是:基于特征匹配的检测技术、基于协议分析的检测技术和基于行为分析的检测技术。 总体而言,现阶段安全产品对木马的检测方法主要是采用基于特征的检测技术,但是随着木马的不断更新,木马通信中的特征字串在不断变化,甚至不存在特征字串,基于特征的检测设备“反应迟缓”的特点会给网络安全带来极大的隐患。同时,各种新型网络隐蔽通道及各种变形技术的不断出现也使得基于特征的检测设备效率极低,传统的基于特征匹配的检测技术具有很大局限性。相较于特征字匹配技术,基于通信行为分析的木马检测技术具有较强的通用性,该技术作为检测木马隐蔽通信的首选技术,已成为中外学者的研究热点。但目前由于基于行为的检测方法实现困难,且普遍存在虚警率和漏报率高的现象,性能还无法满足网络安全监控的实际需求。

获奖情况及鉴定结果

作品所处阶段

中试阶段

技术转让方式

专利技术转让

作品可展示的形式

■实物、产品 ■模型 ■磁盘 ■现场演示 ■图片 ■样品

使用说明,技术特点和优势,适应范围,推广前景的技术性说明,市场分析,经济效益预测

“浮云”系统可以采用串接和并接两种方式部署在被监控网络中。为用户提供网络安全保护管理或对网络失窃密行为进行审计取证。 每年在我国发生的网络失窃密事件不计其数,对网络安全造成了严重威胁。本作品的研究成果对于提高关键网络的安全性和减少窃密案件发生具有重要意义,可提高窃密攻击检测的效率,提升对窃密攻击的监测能力。研究成果可应用于公安、安全、等级测评等单位进行安全检查与风险评估,也可为政府机关、军队、重要企业等部门提供日常的网络安全保护,通过部署于网络出口处,有效检测窃密型木马网络隐蔽通信,减少损失,为网络安全保护和审计取证工作提供有力的技术支撑,产生良好的社会和经济效益。

同类课题研究水平概述

目前针对木马通信的检测主要存在三种检测技术,分别是:基于特征匹配的检测技术、基于协议分析的检测技术和基于行为分析的检测技术。其中,基于特征匹配的检测技术通过建立并维护一个预先定义的特征数据库,用数据库中的特征信息与所监视网络数据流进行匹配,如果匹配成功则产生报警。基于协议分析的检测技术通过对网络数据流进行协议分析,如果发现数据流中存在违背协议规范的行为则产生报警。基于行为的检测技术利用数据包自身特点和链路的各种特征属性来描述网络行为,检测木马攻击。 在上述三种检测技术中,基于行为的检测技术被认为是最有前景的木马检测方法,代表着该领域未来的发展趋势。相较于特征字匹配技术,基于行为的检测技术具有较强的通用性,该技术作为检测窃密型木马的首选技术,已成为中外学者的研究热点。 目前国内的安全产品对窃密型木马的检测方法主要是采用基于特征码匹配的检测技术,公开市场上尚未出现成熟的基于通信行为的检测设备。但是随着木马的不断更新,木马通信中的特征字串在不断变化,甚至不存在特征字串,基于特征码的检测设备时滞性特点会给网络安全带来极大的隐患。同时,各种新型木马通信及各种变形技术的不断出现也使得基于特征的检测设备效率极低,传统的基于特征匹配的检测技术具有很大局限性。
建议反馈 返回顶部