知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公表特許公報(A)
(11)【公表番号】特表2015-507259(P2015-507259A)
(43)【公表日】2015年3月5日
(54)【発明の名称】トロイの木馬検出方法及び装置
(51)【国際特許分類】
G06F 21/56 20130101AFI20150206BHJP
H04L 12/66 20060101ALI20150206BHJP
H04L 12/70 20130101ALI20150206BHJP
【FI】
G06F21/56 360
H04L12/66 B
H04L12/70 100Z
【審査請求】有
【予備審査請求】未請求
【全頁数】26
(21)【出願番号】特願2014-547697(P2014-547697)
(86)(22)【出願日】2012年12月18日
(85)【翻訳文提出日】2014年7月4日
(86)【国際出願番号】CN2012086871
(87)【国際公開番号】WO2013091534
(87)【国際公開日】20130627
(31)【優先権主張番号】201110430821.5
(32)【優先日】2011年12月20日
(33)【優先権主張国】CN
(81)【指定国】
AP(BW,GH,GM,KE,LR,LS,MW,MZ,NA,RW,SD,SL,SZ,TZ,UG,ZM,ZW),EA(AM,AZ,BY,KG,KZ,RU,TJ,TM),EP(AL,AT,BE,BG,CH,CY,CZ,DE,DK,EE,ES,FI,FR,GB,GR,HR,HU,IE,IS,IT,LT,LU,LV,MC,MK,MT,NL,NO,PL,PT,RO,RS,SE,SI,SK,SM,TR),OA(BF,BJ,CF,CG,CI,CM,GA,GN,GQ,GW,ML,MR,NE,SN,TD,TG),AE,AG,AL,AM,AO,AT,AU,AZ,BA,BB,BG,BH,BN,BR,BW,BY,BZ,CA,CH,CL,CN,CO,CR,CU,CZ,DE,DK,DM,DO,DZ,EC,EE,EG,ES,FI,GB,GD,GE,GH,GM,GT,HN,HR,HU,ID,IL,IN,IS,JP,KE,KG,KM,KN,KP,KR,KZ,LA,LC,LK,LR,LS,LT,LU,LY,MA,MD,ME,MG,MK,MN,MW,MX,MY,MZ,NA,NG,NI,NO,NZ,OM,PA,PE,PG,PH,PL,PT,QA,RO,RS,RU,RW,SC,SD,SE,SG,SK,SL,SM,ST,SV,SY,TH,TJ,TM,TN,TR,TT,TZ,UA,UG,US,UZ,VC
(71)【出願人】
【識別番号】511009499
【氏名又は名称】北京神州▲緑▼盟信息安全科技股▲分▼有限公司
(74)【代理人】
【識別番号】110000671
【氏名又は名称】八田国際特許業務法人
(72)【発明者】
【氏名】段 宇 ▲せん▼
(72)【発明者】
【氏名】程 利 軍
(72)【発明者】
【氏名】韓 鵬
【テーマコード(参考)】
5K030
【Fターム(参考)】
5K030GA15
5K030JA10
5K030KA06
5K030KA07
5K030MA04
5K030MB09
5K030MB11
5K030MB12
5K030MB13
(57)【要約】
(課題)本発明は、従来技術によりネットワークに存在するトロイの木馬を検出できない問題を解決するように、トロイの木馬検出方法及び装置を提供する。当該方法において、セッションにトロイの木馬ハートビート検出が存在することを検出した場合、トロイの木馬ハートビート検出頻度が安定されるかどうかに基づいて、記録されたセッション重み値に対応する重み値を加算して記録し、そして制御側から被制御側に送信されるメッセージに対して、当該メッセージがトロイの木馬制御命令メッセージの特徴に一致するかどうかを検出し、一致しれば、記録されたセッション重み値に第3の重み値を加算して記録し、セッション重み値が警報閾値に達する時に警報を出して、当該セッションがトロイの木馬より開始されたセッションであることを通知する。本発明の実施形態は、セッションにおけるメッセージを検出することによりトロイの木馬検出を実現するので、ネットワークに存在するトロイの木馬を検出でき、且つセッションにおけるメッセージを検出する時に、簡単な文字列マッチングだけでなく、したがって、誤警報率を低下させて、ネットワークに存在するトロイの木馬を効果的に検出することができる。
【特許請求の範囲】
【請求項1】
制御側から被制御側に送信された各メッセージに基づいて、前記制御側と前記被制御側とのセッションにトロイの木馬ハートビート検出が存在するかどうかを検出するステップと、
トロイの木馬ハートビート検出が存在することを検出しない場合、前記セッションにトロイの木馬ハートビートが存在するかどうかを検出し続けるステップと、
トロイの木馬ハートビートが存在することを検出した場合、前記セッションに存在するトロイの木馬ハートビート検出の頻度が安定されるかどうかを判断し、安定される場合、記録されたセッション重み値に第1の重み値を加算して記録し、安定されない場合、記録されたセッション重み値に第2の重み値を加算して記録するステップと、
前記制御側から前記被制御側に送信された各メッセージに対して、当該メッセージの特徴がトロイの木馬制御命令メッセージの特徴に一致するかどうかを検出するステップと、
一致する場合、記録されたセッション重み値に第3の重み値を加算して記録し、一致しない場合、次のメッセージの特徴がトロイの木馬制御命令メッセージの特徴に一致するかどうかを検出し続けるステップと、
記録されたセッション重み値が警報閾値に達する時に警報を出して、前記セッションがトロイの木馬より開始されたセッションであることを通知するステップと、を含むことを特徴とするトロイの木馬検出方法。
トロイの木馬ハートビート検出が存在することを検出しない場合、前記セッションにトロイの木馬ハートビートが存在するかどうかを検出し続けるステップと、
トロイの木馬ハートビートが存在することを検出した場合、前記セッションに存在するトロイの木馬ハートビート検出の頻度が安定されるかどうかを判断し、安定される場合、記録されたセッション重み値に第1の重み値を加算して記録し、安定されない場合、記録されたセッション重み値に第2の重み値を加算して記録するステップと、
前記制御側から前記被制御側に送信された各メッセージに対して、当該メッセージの特徴がトロイの木馬制御命令メッセージの特徴に一致するかどうかを検出するステップと、
一致する場合、記録されたセッション重み値に第3の重み値を加算して記録し、一致しない場合、次のメッセージの特徴がトロイの木馬制御命令メッセージの特徴に一致するかどうかを検出し続けるステップと、
記録されたセッション重み値が警報閾値に達する時に警報を出して、前記セッションがトロイの木馬より開始されたセッションであることを通知するステップと、を含むことを特徴とするトロイの木馬検出方法。
【請求項2】
制御側から被制御側に送信された各メッセージに基づいて、前記制御側と被制御側とのセッションにトロイの木馬ハートビート検出が存在するかどうかを検出することは、
前記制御側から前記被制御側に送信された各メッセージに対して、保存されたトロイの木馬ハートビート検出メッセージの特徴に基づいて、当該メッセージの特徴が前記トロイの木馬ハートビート検出メッセージの特徴に一致するかどうかを判断し、
前記メッセージの特徴が前記トロイの木馬ハートビート検出メッセージの特徴に一致する場合、現在記録されたトロイの木馬ハートビート検出メッセージの数量に1を加算し、
前記メッセージの特徴が前記トロイの木馬ハートビート検出メッセージの特徴に一致しない場合、次のメッセージの特徴がトロイの木馬ハートビート検出メッセージの特徴に一致するかどうかを判断し続け、
記録されたトロイの木馬ハートビート検出メッセージの数量が設定された数量に達する場合、前記セッションにトロイの木馬ハートビート検出が存在することを検出したことを確定し、
記録されたトロイの木馬ハートビート検出メッセージの数量が設定された数量に達しない場合、前記セッションにトロイの木馬ハートビート検出が存在することを検出しないことを確定することを含むことを特徴とする請求項1に記載の方法。
前記制御側から前記被制御側に送信された各メッセージに対して、保存されたトロイの木馬ハートビート検出メッセージの特徴に基づいて、当該メッセージの特徴が前記トロイの木馬ハートビート検出メッセージの特徴に一致するかどうかを判断し、
前記メッセージの特徴が前記トロイの木馬ハートビート検出メッセージの特徴に一致する場合、現在記録されたトロイの木馬ハートビート検出メッセージの数量に1を加算し、
前記メッセージの特徴が前記トロイの木馬ハートビート検出メッセージの特徴に一致しない場合、次のメッセージの特徴がトロイの木馬ハートビート検出メッセージの特徴に一致するかどうかを判断し続け、
記録されたトロイの木馬ハートビート検出メッセージの数量が設定された数量に達する場合、前記セッションにトロイの木馬ハートビート検出が存在することを検出したことを確定し、
記録されたトロイの木馬ハートビート検出メッセージの数量が設定された数量に達しない場合、前記セッションにトロイの木馬ハートビート検出が存在することを検出しないことを確定することを含むことを特徴とする請求項1に記載の方法。
【請求項3】
当該メッセージの特徴が前記トロイの木馬ハートビート検出メッセージの特徴に一致することは、
当該メッセージの特徴が下記の特徴の1つ以上に一致することを含み、
当該メッセージに対応する送信元ポート番号と宛先ポート番号がいずれも設定された値より大きいことと、
当該メッセージの負荷長さが第1の設定範囲内にあることと、
当該メッセージの負荷長さがこの前の各メッセージの負荷長さと同じであることと、
当該メッセージの負荷内容がこの前の各メッセージの負荷内容と比較して、負荷内容が同じである又は負荷内容が規則的に変化することとを含むことを特徴とする請求項2に記載の方法。
当該メッセージの特徴が下記の特徴の1つ以上に一致することを含み、
当該メッセージに対応する送信元ポート番号と宛先ポート番号がいずれも設定された値より大きいことと、
当該メッセージの負荷長さが第1の設定範囲内にあることと、
当該メッセージの負荷長さがこの前の各メッセージの負荷長さと同じであることと、
当該メッセージの負荷内容がこの前の各メッセージの負荷内容と比較して、負荷内容が同じである又は負荷内容が規則的に変化することとを含むことを特徴とする請求項2に記載の方法。
【請求項4】
前記セッションに存在するトロイの木馬ハートビート検出の頻度が安定されるかどうかを判断することは、
前記トロイの木馬ハートビート検出メッセージの特徴に一致すると確定された各メッセージに含まれるメッセージ送信時間の順番で、前記トロイの木馬ハートビート検出メッセージの特徴に一致すると確定された各メッセージをソーティングし、
ソーティングされたメッセージに、隣接する2つあたりのメッセージのメッセージ送信時間間の時間間隔をそれぞれ確定し、
それぞれ確定された各時間間隔間の差が第2の設定範囲にあるかどうかを判断し、そうであれば、前記セッションに存在するトロイの木馬ハートビート検出の頻度が安定されることを確定し、そうでなければ、前記セッションに存在するトロイの木馬ハートビート検出の頻度が安定されないことを確定することを含むことを特徴とする請求項2に記載の方法。
前記トロイの木馬ハートビート検出メッセージの特徴に一致すると確定された各メッセージに含まれるメッセージ送信時間の順番で、前記トロイの木馬ハートビート検出メッセージの特徴に一致すると確定された各メッセージをソーティングし、
ソーティングされたメッセージに、隣接する2つあたりのメッセージのメッセージ送信時間間の時間間隔をそれぞれ確定し、
それぞれ確定された各時間間隔間の差が第2の設定範囲にあるかどうかを判断し、そうであれば、前記セッションに存在するトロイの木馬ハートビート検出の頻度が安定されることを確定し、そうでなければ、前記セッションに存在するトロイの木馬ハートビート検出の頻度が安定されないことを確定することを含むことを特徴とする請求項2に記載の方法。
【請求項5】
当該メッセージの特徴がトロイの木馬制御命令メッセージの特徴に一致することは、
当該メッセージの特徴が下、
当該メッセージの負荷長さが第3の設定範囲にある特徴と、
当該メッセージのフィールド構造が保存された少なくとも1つのトロイの木馬制御命令メッセージのフィールド構造と同じである特徴と、
当該メッセージのコードがこの前の各メッセージのコードと比較して、規則的に変化する特徴と、
前記制御側が各メッセージを送信する送信順番で、当該メッセージに対応する動作、及びこの前の各メッセージに対応する動作を組み合わせて、前記セッションの動作組み合わせを取得し、取得された前記セッションの動作組み合わせが保存された少なくとも1つのトロイの木馬動作組み合わせと同じである特徴と、のうちの1つ以上に一致することを含むことを特徴とする請求項1に記載の方法。
当該メッセージの特徴が下、
当該メッセージの負荷長さが第3の設定範囲にある特徴と、
当該メッセージのフィールド構造が保存された少なくとも1つのトロイの木馬制御命令メッセージのフィールド構造と同じである特徴と、
当該メッセージのコードがこの前の各メッセージのコードと比較して、規則的に変化する特徴と、
前記制御側が各メッセージを送信する送信順番で、当該メッセージに対応する動作、及びこの前の各メッセージに対応する動作を組み合わせて、前記セッションの動作組み合わせを取得し、取得された前記セッションの動作組み合わせが保存された少なくとも1つのトロイの木馬動作組み合わせと同じである特徴と、のうちの1つ以上に一致することを含むことを特徴とする請求項1に記載の方法。
【請求項6】
前記制御側が前記セッションのセッション確立メッセージを送信する送信時間を確定するステップと、
前記セッションのプロセスに負荷長さが設定された長さより大きいメッセージが初めて出現する出現時間を確定するステップと、
前記送信時間から前記出現時間までの時間間隔を確定するステップと、
確定された前記時間間隔が設定された時間間隔より大きいことを確定した場合、記録されたセッション重み値に第4の重み値を加算して記録するステップと、をさらに含むことを特徴とする請求項1に記載の方法。
前記セッションのプロセスに負荷長さが設定された長さより大きいメッセージが初めて出現する出現時間を確定するステップと、
前記送信時間から前記出現時間までの時間間隔を確定するステップと、
確定された前記時間間隔が設定された時間間隔より大きいことを確定した場合、記録されたセッション重み値に第4の重み値を加算して記録するステップと、をさらに含むことを特徴とする請求項1に記載の方法。
【請求項7】
記録されたセッション重み値が設定された閾値に達する場合、現在の前記セッションにおける前記被制御側の上りリンクデータトラフィックと下りリンクデータトラフィックを確定し、ここで、前記設定された閾値が前記警報閾値より小さいステップと、
上りリンクデータトラフィックと下りリンクデータトラフィックの比を確定し、そして前記比が所属する比範囲を確定するステップと、
予め設定された各比範囲に対応する重み値に基づいて、記録されたセッション重み値に、確定された前記比が所属する比範囲に対応する重み値を加算して記録するステップと、をさらに含むことを特徴とする請求項1に記載の方法。
上りリンクデータトラフィックと下りリンクデータトラフィックの比を確定し、そして前記比が所属する比範囲を確定するステップと、
予め設定された各比範囲に対応する重み値に基づいて、記録されたセッション重み値に、確定された前記比が所属する比範囲に対応する重み値を加算して記録するステップと、をさらに含むことを特徴とする請求項1に記載の方法。
【請求項8】
制御側から被制御側に送信された各メッセージに基づいて、前記制御側と前記被制御側とのセッションにトロイの木馬ハートビート検出が存在するかどうかを検出することに用いられるハートビート検出モジュールと、
前記ハートビート検出モジュールがトロイの木馬ハートビートを検出した場合、前記セッションに存在するトロイの木馬ハートビートの頻度が安定されるかどうかを判断することに用いられる頻度検出モジュールと、
前記ハートビート検出モジュールがトロイの木馬ハートビート検出が存在することを検出した場合、前記制御側から前記被制御側に送信された各メッセージに対して、当該メッセージの特徴がトロイの木馬制御命令メッセージの特徴に一致するかどうかを検出し、一致しない場合、次のメッセージの特徴がトロイの木馬制御命令メッセージの特徴に一致するかどうかを検出し続けることに用いられる制御命令検出モジュールと、
前記頻度検出モジュールが前記セッションに存在するトロイの木馬ハートビート検出の頻度が安定されることを確定した場合、記録されたセッション重み値に第1の重み値を加算して記録し、前記頻度検出モジュールが前記セッションに存在するトロイの木馬ハートビート検出の頻度が安定されないことを確定した場合、記録されたセッション重み値に第2の重み値を加算して記録し、そして前記制御命令検出モジュールが当該メッセージの特徴がトロイの木馬制御命令メッセージの特徴に一致することを確定した場合、記録されたセッション重み値に第3の重み値を加算して記録することに用いられる重み記録モジュールと、
前記重み記録モジュールにより記録されたセッション重み値が警報閾値に達する時に警報し、前記セッションがトロイの木馬より開始されたセッションであることを通知することに用いられる警報モジュールと、を備えることを特徴とするトロイの木馬検出装置。
前記ハートビート検出モジュールがトロイの木馬ハートビートを検出した場合、前記セッションに存在するトロイの木馬ハートビートの頻度が安定されるかどうかを判断することに用いられる頻度検出モジュールと、
前記ハートビート検出モジュールがトロイの木馬ハートビート検出が存在することを検出した場合、前記制御側から前記被制御側に送信された各メッセージに対して、当該メッセージの特徴がトロイの木馬制御命令メッセージの特徴に一致するかどうかを検出し、一致しない場合、次のメッセージの特徴がトロイの木馬制御命令メッセージの特徴に一致するかどうかを検出し続けることに用いられる制御命令検出モジュールと、
前記頻度検出モジュールが前記セッションに存在するトロイの木馬ハートビート検出の頻度が安定されることを確定した場合、記録されたセッション重み値に第1の重み値を加算して記録し、前記頻度検出モジュールが前記セッションに存在するトロイの木馬ハートビート検出の頻度が安定されないことを確定した場合、記録されたセッション重み値に第2の重み値を加算して記録し、そして前記制御命令検出モジュールが当該メッセージの特徴がトロイの木馬制御命令メッセージの特徴に一致することを確定した場合、記録されたセッション重み値に第3の重み値を加算して記録することに用いられる重み記録モジュールと、
前記重み記録モジュールにより記録されたセッション重み値が警報閾値に達する時に警報し、前記セッションがトロイの木馬より開始されたセッションであることを通知することに用いられる警報モジュールと、を備えることを特徴とするトロイの木馬検出装置。
【請求項9】
前記ハートビート検出モジュールは、具体的に、前記制御側から前記被制御側に送信された各メッセージに対して、保存されたトロイの木馬ハートビート検出メッセージの特徴に基づいて、当該メッセージの特徴が前記トロイの木馬ハートビート検出メッセージの特徴に一致するかどうかを判断し、
前記メッセージの特徴が前記トロイの木馬ハートビート検出メッセージの特徴に一致する場合、現在記録されたトロイの木馬ハートビート検出メッセージの数量に1を加算し、
前記メッセージの特徴が前記トロイの木馬ハートビート検出メッセージの特徴に一致しない場合、次のメッセージの特徴がトロイの木馬ハートビート検出メッセージの特徴に一致するかどうかを判断し続け、記録されたトロイの木馬ハートビート検出メッセージの数量が設定された数量に達する場合、検出された前記セッションにトロイの木馬ハートビート検出が存在することを確定し、記録されたトロイの木馬ハートビート検出メッセージの数量が設定された数量に達しない場合、前記セッションにトロイの木馬ハートビート検出が存在することを検出しないことを確定することに用いられることを特徴とする請求項8に記載の装置。
前記メッセージの特徴が前記トロイの木馬ハートビート検出メッセージの特徴に一致する場合、現在記録されたトロイの木馬ハートビート検出メッセージの数量に1を加算し、
前記メッセージの特徴が前記トロイの木馬ハートビート検出メッセージの特徴に一致しない場合、次のメッセージの特徴がトロイの木馬ハートビート検出メッセージの特徴に一致するかどうかを判断し続け、記録されたトロイの木馬ハートビート検出メッセージの数量が設定された数量に達する場合、検出された前記セッションにトロイの木馬ハートビート検出が存在することを確定し、記録されたトロイの木馬ハートビート検出メッセージの数量が設定された数量に達しない場合、前記セッションにトロイの木馬ハートビート検出が存在することを検出しないことを確定することに用いられることを特徴とする請求項8に記載の装置。
【請求項10】
前記ハートビート検出モジュールは、具体的に、当該メッセージの特徴が下記の特徴の1つ以上に一致する場合、当該メッセージの特徴が前記トロイの木馬ハートビート検出メッセージの特徴に一致することを確定することに用いられ、当該メッセージに対応する送信元ポート番号と宛先ポート番号がいずれも設定された値より大きいこと、及び、当該メッセージの負荷長さが第1の設定範囲内にあること、及び、当該メッセージの負荷長さがこの前の各メッセージの負荷長さと同じであること、及び、当該メッセージの負荷内容がこの前の各メッセージの負荷内容と比較して、負荷内容が同じである又は負荷内容が規則的に変化することを特徴とする請求項9に記載の装置。
【請求項11】
前記頻度検出モジュールは、具体的に、前記トロイの木馬ハートビート検出メッセージの特徴に一致すると確定された各メッセージに含まれるメッセージ送信時間の順番で、前記トロイの木馬ハートビート検出メッセージの特徴に一致すると確定された各メッセージをソーティングし、ソーティングされたメッセージに、隣接する2つあたりのメッセージのメッセージ送信時間間の時間間隔をそれぞれ確定し、それぞれ確定された各時間間隔間の差が第2の設定範囲にあるかどうかを判断し、そうであれば、前記セッションに存在するトロイの木馬ハートビート検出の頻度が安定されることを確定し、そうでなければ、前記セッションに存在するトロイの木馬ハートビート検出の頻度が安定されないことに用いられることを特徴とする請求項9に記載の装置。
【請求項12】
前記制御命令検出モジュールは、具体的に、当該メッセージの特徴が下記の特徴の1つ以上に一致する場合、当該メッセージの特徴がトロイの木馬制御命令メッセージの特徴に一致することを確定することに用いられ、当該メッセージの負荷長さが第3の設定範囲内にあること、及び、当該メッセージのフィールド構造が保存された少なくとも1つのトロイの木馬制御命令メッセージのフィールド構造と同じであること、及び、当該メッセージのコートがこの前の各メッセージのコートと比較して、規則的に変化すること、及び、前記制御側が各メッセージを送信する送信順番で、当該メッセージに対応する動作及びこの前の各メッセージに対応する動作を組み合わせて、前記セッションの動作組み合わせを取得し、取得された前記動作組み合わせが保存された少なくとも1つのトロイの木馬動作組み合わせと同じであることを特徴とする請求項8に記載の装置。
【請求項13】
前記制御側が前記セッションのセッション確立メッセージを送信する送信時間を確定し、前記セッションのプロセスに負荷長さが設定された長さより大きいメッセージが初めて出現する出現時間を確定し、前記送信時間から前記出現時間までの時間間隔を確定することに用いられる時間検出モジュールをさらに備え、
前記重み値記録モジュールは、さらに、確定された前記時間間隔が設定された時間間隔より大きいことを確定した場合、記録されたセッション重み値に第4の重み値を加算して記録することに用いられることを特徴とする請求項8に記載の装置。
前記重み値記録モジュールは、さらに、確定された前記時間間隔が設定された時間間隔より大きいことを確定した場合、記録されたセッション重み値に第4の重み値を加算して記録することに用いられることを特徴とする請求項8に記載の装置。
【請求項14】
記録されたセッション重み値が設定された閾値に達する場合、現在の前記セッションにおける前記被制御側の上りリンクデータトラフィックと下りリンクデータトラフィックを確定し、上りリンクデータトラフィックと下りリンクデータトラフィックの比を確定し、そして前記比が所属する比範囲を確定することに用いられ、ここで、前記設定された閾値が前記警報閾値より小さいトラフィック統計モジュールをさらに備え、
前記重み値記録モジュールは、さらに、予め設定された各比範囲に対応する重み値に基づいて、記録されたセッション重み値に、確定された前記比が所属する比範囲に対応する重み値を加算して記録することに用いられることを特徴とする請求項8に記載の装置。
前記重み値記録モジュールは、さらに、予め設定された各比範囲に対応する重み値に基づいて、記録されたセッション重み値に、確定された前記比が所属する比範囲に対応する重み値を加算して記録することに用いられることを特徴とする請求項8に記載の装置。
【発明の詳細な説明】
【技術分野】
【0001】
本出願は、2011年12月20日に中国特許庁に提出された特許出願番号201110430821.5、発明の名称「トロイの木馬検出方法及び装置」の優先権の利益を享受し、その全ての内容が本出願において援用される。
【0002】
本発明は、通信技術分野に関し、特に、トロイの木馬検出方法及び装置に関する。
【背景技術】
【0003】
インターネット技術の普及に伴い、ネットワーク安全問題がますます顕著になり、特にトロイの木馬プログラムの氾濫が直接様々な重要情報の不正盗難や破壊を引き起こす。現在、トロイの木馬プログラムは、すでにネットワーク攻撃者が攻撃する一般的なツールになり、攻撃者は、トロイの木馬プログラムによりターゲットホストの制御権限を取得し、ユーザーアカウント、パスワードなどの重要な情報を盗む。したがって、どのようにトロイの木馬を検出し、傍受して防止するかは、緊急に解決されるべき問題になる。
【0004】
従来技術において、トロイの木馬検出方法は、あるプログラムにより生成されたローカルファイルの特徴、例えば特徴文字列、サイズ、存在するディレクトリなどを、トロイの木馬プログラムにより生成されたローカルファイルの特徴とマッチングし、そして当該プログラムのローカルでのいくつかの一般的な動作、例えばレジストリの変更、ファイル自己起動項目の設定、システムファイル構成の変更などの動作を監視して、トロイの木馬プログラムの検出を実現する。
【0005】
しかし、この方法は、ローカルに存在するトロイの木馬の検出のみに限られるが、ネットワークに存在するトロイの木馬を検出して防止することができない。しかも、トロイの木馬は、「変わりやすい」ことで知られているので、静的ファイルの分析のみに基づくトロイの木馬検出方法がトロイの木馬の異なる変異体を効果的に検出することは、困難である。
【0006】
従来技術における別のトロイの木馬検出方法は、トロイの木馬通信データストリームにおける共通文字列を抽出し、1つの共通文字列ライブラリを確立し、そしてネットワーク通信データストリームにおける文字列を当該共通文字列ライブラリにおける文字列とマッチングし、マッチングが成功した場合、トロイの木馬通信が存在すると考えられる。
【0007】
しかし、ネットワークに様々な通信プロトコルと通信データが存在するので、当該方法は、簡単な文字列マッチングのみを行うなら、必然的に誤警報率が高まる。
【0008】
したがって、従来技術におけるトロイの木馬検出方法は、ネットワークに存在するトロイの木馬を効果的に検出することができない。
【発明の概要】
【発明が解決しようとする課題】
【0009】
本発明の実施形態は、従来技術によりネットワークに存在するトロイの木馬を効果的に検出することができない問題を解決するように、トロイの木馬検出方法及び装置を提供する。
【課題を解決するための手段】
【0010】
本発明の実施形態に係るトロイの木馬検出方法は、制御側から被制御側に送信された各メッセージに基づいて、前記制御側と前記被制御側とのセッションにトロイの木馬ハートビート検出が存在するかどうかを検出するステップと、
トロイの木馬ハートビート検出が存在することを検出しない場合、前記セッションにトロイの木馬ハートビート検出が存在するかどうかを検出し続けるステップと、
トロイの木馬ハートビート検出が存在することを検出した場合、前記セッションに存在するトロイの木馬ハートビート検出の頻度が安定されるかどうかを判断し、安定される場合、記録されたセッション重み値に第1の重み値を加算して記録し、安定されない場合、記録されたセッション重み値に第2の重み値を加算するステップと、
前記制御側から前記被制御側に送信された各メッセージに対して、当該メッセージの特徴がトロイの木馬制御命令メッセージの特徴に一致するかどうかを検出するステップと、
前記特徴が一致する場合、記録されたセッション重み値に第3の重み値を加算して記録し、
前記特徴が一致しない場合、次のメッセージの特徴がトロイの木馬制御命令メッセージの特徴に一致するかどうかを検出し続けるステップと、
記録されたセッション重み値が警報閾値に達する時に警報を出して、前記セッションがトロイの木馬より開始されたセッションであることを通知するステップと、を含む。
【0011】
本発明の実施形態に係るトロイの木馬検出装置は、制御側から被制御側に送信された各メッセージに基づいて、前記制御側と前記被制御側とのセッションにトロイの木馬ハートビート検出が存在するかどうかを検出し、トロイの木馬ハートビート検出が存在することを検出しない場合、前記セッションにトロイの木馬ハートビート検出が存在するかどうかを検出し続けることに用いられるハートビート検出モジュールと、
前記ハートビート検出モジュールがトロイの木馬ハートビートが存在することを検出した場合、前記セッションに存在するトロイの木馬ハートビート検出の頻度が安定されるかどうかを判断することに用いられる頻度検出モジュールと、
前記ハートビート検出モジュールがトロイの木馬ハートビート検出が存在することを検出した場合、前記制御側から前記被制御側に送信された各メッセージに対して、当該メッセージの特徴がトロイの木馬制御命令メッセージの特徴に一致するかどうかを検出し、一致しない場合、次のメッセージの特徴がトロイの木馬制御命令メッセージの特徴に一致するかどうかを検出し続けることに用いられる制御命令検出モジュールと、
前記頻度検出モジュールが前記セッションに存在するトロイの木馬ハートビート検出の頻度が安定されることを確定した場合、記録されたセッション重み値に第1の重み値を加算して記録し、前記頻度検出モジュールが前記セッションに存在するトロイの木馬ハートビート検出の頻度が安定されないことを確定した場合、記録されたセッション重み値に第2の重み値を加算して記録し、そして前記制御命令検出モジュールが当該メッセージの特徴がトロイの木馬制御命令メッセージの特徴に一致することを確定した場合、記録されたセッション重み値に第3の重み値を加算して記録することに用いられる重み記録モジュールと、
前記重み記録モジュールにより記録されたセッション重み値が警報閾値に達する時に警報を出して、前記セッションがトロイの木馬より開始されたセッションであることを通知することに用いられる警報モジュールと、を備える。
【0012】
本発明の実施形態に係るトロイの木馬検出方法及び装置では、当該方法は、制御側より被制御側へ開始されたあるセッションに対して、当該セッションにトロイの木馬ハートビートが存在することを検出した場合、存在する当該トロイの木馬ハートビート検出の頻度が安定されるかどうかに基づいて、記録されたセッション重み値に対応する重み値を加算して記録し、そして制御側から被制御側へ送信された各メッセージに対して、当該メッセージの特徴がトロイの木馬制御命令メッセージの特徴に一致するかどうかを検出し、一致する場合、記録されたセッション重み値に第3の重み値を加算して記録し、記録されたセッション重み値が警報閾値に達する時に警報を出して、当該セッションがトロイの木馬より開始されたセッションであることを通知する。本発明の実施形態は、セッションにおけるメッセージを検出することによりトロイの木馬検出を実現するので、ネットワークに存在するトロイの木馬を検出することができ、且つセッションにおけるメッセージを検出する時に、簡単な文字列マッチングだけでなく、したがって、誤警報率を低下させて、ネットワークに存在するトロイの木馬を効果的に検出することができる。
【図面の簡単な説明】
【0013】
【図1】本発明の実施形態に係るトロイの木馬検出のプロセスである。
【図2】本発明の実施形態に係るトロイの木馬検出の詳細なプロセスである。
【図3】本発明の実施形態に係るトロイの木馬検出装置の構造を示す図である。
【発明を実施するための形態】
【0014】
ほとんどすべてのトロイの木馬より開始されたセッションにトロイの木馬ハートビート検出が存在するので、1つのセッションにトロイの木馬ハートビート検出が存在するかどかを検出することにより、当該セッションがトロイの木馬より開始されたセッションであるかどうかを検出することができる。そして、トロイの木馬より開始されたセッションに、制御側から被制御側へ送信された、トロイの木馬制御命令とするメッセージがいくつかの特殊な特徴を有するので、1つのセッションにおけるメッセージがトロイの木馬制御命令メッセージの特徴に一致するかどうかを検出することにより、当該セッションがトロイの木馬より開始されたセッションであるかどうかを検出することができる。本発明の実施形態においてトロイの木馬ハートビート検出とトロイの木馬制御命令を組み合わせてトロイの木馬を検出することにより、ネットワークに存在するトロイの木馬を検出でき、且つ誤警報率を低下させ、そのため、ネットワークに存在するトロイの木馬を効果的に検出することができる。
【0015】
以下、説明書の図面を参照して、本発明の実施形態を詳しく説明する。
【0016】
図1は、本発明の実施形態に係るトロイの木馬検出のプロセスであり、具体的に以下のステップを含む。
【0017】
S101:制御側から被制御側へ送信された各メッセージに基づいて、制御側と被制御側とのセッションにトロイの木馬ハートビート検出が存在するかどうかを検出し、存在する場合、ステップS102を実行し、存在しない場合、ステップS101に戻る。
【0018】
本発明の実施形態において、セッションの開始側を制御側とし、セッションの受信側を被制御側とし、制御側から被制御側に送信された各メッセージにより、当該セッションにハートビート検出が存在するかどかを検出することができ、具体的に、制御側から被制御側に送信された各メッセージの特徴に基づいて、当該セッションにトロイの木馬ハートビート検出が存在するかどうかを検出することができる。トロイの木馬ハートビート検出が存在することを検出した場合、当該セッションがトロイの木馬より開始されたセッションであるかもしれないことを示し、後の制御命令メッセージ検出ステップを実行する。トロイの木馬ハートビート検出が存在することを検出しない場合、当該セッションにトロイの木馬ハートビート検出が存在するかどうかを検出し続け、即ちステップS101に戻る。
【0019】
S102:当該セッションに存在するトロイの木馬ハートビート検出の頻度が安定されるかどうかを判断し、安定される場合、ステップS103を実行し、安定されない場合、ステップS104を実行する。
【0020】
一般的なトロイの木馬ハートビート検出の頻度が安定され、一般的なセッションのハートビート検出の頻度が変化するので、当該セッションにトロイの木馬ハートビート検出が存在することを検出した場合、さらに存在する当該トロイの木馬ハートビート検出の頻度が安定されるかどうかを判断することができる。
【0021】
本発明の実施形態において、当該セッションがトロイの木馬より開始されたセッションであるかどうかを検出する場合、当該セッションに対応するセッション重み値を予め保存し、当該セッション重み値の初期値が0である。当該セッション重み値は、当該セッションがトロイの木馬より開始される疑わしさの度合を示し、記録されたセッション重み値が大きいほど、当該セッションがトロイの木馬より開始されたセッションである可能性が高い。したがって、トロイの木馬検出の正確さをさらに向上させるために、トロイの木馬ハートビート検出が存在することを確定した場合、当該トロイの木馬ハートビート検出の頻度が安定されるかどうかに基づいて、セッション重み値に対応する重み値を加算することができる。トロイの木馬ハートビート検出が存在し、且つ頻度が安定される場合、当該セッションがトロイの木馬より開始されたセッションである疑わしさの度合が高いことを示し、記録されたセッション重み値に1つの大きな重み値を加算する必要がある。逆に、トロイの木馬ハートビート検出が存在し、頻度が安定されない場合、当該セッションがトロイの木馬より開始されたセッションである疑わしさの度合が低いことを示し、トロイの木馬ハートビート検出が存在するので、記録されたセッション重み値に1つの小さい値を加算する必要がある。
【0022】
S103:記録されたセッション重み値に第1の重み値を加算して記録し、ステップS105を実行する。
【0023】
S104:記録されたセッション重み値に第2の重み値を加算して記録し、ステップS105を実行する。
【0024】
ここで、第1の重み値は、第2の重み値より大きい。
【0025】
S105:制御側から被制御側に送信された各メッセージに対して、当該メッセージの特徴がトロイの木馬制御命令メッセージの特徴に一致するかどうかを検出し、一致する場合、ステップS106を実行し、一致しない場合、ステップS105に戻る。
【0026】
本発明の実施形態において、当該セッションにトロイの木馬ハートビート検出が存在することを確定した場合、さらに当該セッションにおける各メッセージの特徴がトロイの木馬制御命令メッセージの特徴に一致するかどうかを検出して、さらに当該セッションがトロイの木馬より開始されたセッションであるかどうかを検出する。そして、各メッセージに対して、当該メッセージの特徴がトロイの木馬制御命令メッセージの特徴に一致しないことを確定した場合、次のメッセージの特徴がトロイの木馬制御命令メッセージの特徴に一致するかどうかを検出し続けて、ステップS105に戻る。
【0027】
S106:記録されたセッション重み値に第3の重み値を加算して記録する。
【0028】
当該セッション重み値は、当該セッションがトロイの木馬より開始されたセッションである疑わしさの度合を示し、記録されたセッション重み値が大きいほど、当該セッションがトロイの木馬より開始された可能性が高いので、本発明の実施形態において、当該セッションにトロイの木馬ハートビート検出が存在することを確定した場合、トロイの木馬制御命令メッセージの特徴に一致するメッセージを検出するたびに、当該セッションがトロイの木馬より開始されたセッションである可能性がさらに高くなることを示し、現在記録された当該セッション重み値に第3の重み値を加算して記録する。
【0029】
S107:記録されたセッション重み値が警報閾値に達する時に警報を出して、当該セッションがトロイの木馬より開始されたセッションであることを通知する。
【0030】
トロイの木馬制御命令メッセージの特徴に一致するメッセージを検出するたびに、記録されたセッション重み値に当該第3の重み値を1回加算するので、記録されたセッション重み値が予め設定された警報閾値に達する場合、当該セッションがトロイの木馬より開始されたセッションであることを確定して、更に警報する。ここで、当該警報閾値は、需要に応じて設定されることができる。
【0031】
上記プロセスに、制御側から被制御側へ開始されたセッションに対して、当該セッションにトロイの木馬ハートビート検出が存在することを検出した場合、存在するトロイの木馬ハートビート検出の頻度が安定されるかどうかに基づいて、記録されたセッション重み値に対応する重み値を加算して記録し、そして制御側から被制御側へ送信される各メッセージに対して、当該メッセージの特徴がトロイの木馬制御命令メッセージの特徴に一致するかどうかを検出し、一致する場合、記録されたセッション重み値に第3の重み値を加算して記録し、記録されたセッション重み値が警報閾値に達する時に警報を出して、当該セッションがトロイの木馬より開始されたセッションであることを通知する。本発明の実施形態は、セッションにおけるメッセージを検出することによりトロイの木馬検出を実現するので、ネットワークに存在するトロイの木馬を検出することができ、且つセッションにおけるメッセージを検出する時に、簡単な文字列マッチングだけでなく、したがって、誤警報率を低下させて、ネットワークに存在するトロイの木馬を効果的に検出することができる。
【0032】
図1に示すステップS101において、制御側と被制御側とのセッションにトロイの木馬ハートビート検出が存在するかどうかを検出する場合、制御側から被制御側に送信された、トロイの木馬ハートビート検出メッセージの特徴に一致する各メッセージの数量に基づいて検出することができる。具体的には、制御側から被制御側に送信された各メッセージに対して、保存されたトロイの木馬ハートビート検出メッセージの特徴に基づいて、当該メッセージの特徴が当該トロイの木馬ハートビート検出メッセージの特徴に一致するかどうかを検出し、一致する場合、現在記録されたトロイの木馬ハートビート検出メッセージの数量に1を加算し、一致しない場合、次のメッセージの特徴がトロイの木馬ハートビート検出メッセージの特徴に一致するかどうかを検出し続け、記録されたトロイの木馬ハートビート検出メッセージの数量が設定された数量に達する場合、当該セッションにトロイの木馬ハートビート検出が存在することを検出したことを確定し、記録されたトロイの木馬ハートビート検出メッセージの数量が設定された数量に達しない場合、当該セッションにトロイの木馬ハートビート検出が存在することを検出しないことを確定する。すなわち、制御側から被制御側に送信された、トロイの木馬ハートビート検出メッセージの特徴に一致するメッセージを検出するたびに、現在記録されたトロイの木馬ハートビート検出メッセージの数量に1を加算し、ここで、トロイの木馬ハートビート検出メッセージの数量の初期値が0である。トロイの木馬ハートビート検出メッセージの特徴に一致するメッセージの数量が設定された数量に達する場合、即ち記録された当該数量が設定された数量に達する場合、当該セッションにトロイの木馬ハートビート検出が存在することを検出したことを確定し、そして後の頻度検出及び制御命令メッセージ検出のステップを実行する。
【0033】
ここで、当該トロイの木馬ハートビート検出メッセージの特徴は、予めまとめられたトロイの木馬セッションに存在するハートビート検出メッセージの特徴であってもよい。具体的には、当該トロイの木馬ハートビート検出メッセージの特徴は、以下のいくつかの特徴を含むことができる。
【0034】
トロイの木馬より開始されたセッションは、一般的に高いポートでメッセージを送受信し、即ち当該セッションにおけるメッセージにおけるメッセージに対応する送信元ポート番号と宛先ポート番号が設定値より大きく、当該設定値が実際の状況によって確定されることができる。例えば、現在高いポートは、一般的にポート番号が1024より大きいポートであり、このため、トロイの木馬より開始されたセッションにおけるメッセージに対応する送信元ポート番号と宛先ポート番号は、一般的に1024より大きい。
【0035】
トロイの木馬より開始されたセッションに存在するハートビート検出メッセージの負荷長さが一般的にある範囲にあり、且つ各ハートビート検出メッセージの負荷長さが安定され、当該範囲が実際な状況によって確定されることができる。例えば、現在トロイの木馬より開始されたセッションにおけるハートビート検出メッセージの負荷長さは、一般的に100バイト以内であり、このため、トロイの木馬ハートビート検出メッセージの負荷長さは、100バイト以下であり、且つ負荷長さが安定される。
【0036】
トロイの木馬より開始されたセッションに存在するハートビート検出メッセージの負荷内容は、一般的に安定されるが、トロイの木馬の異なる変異体トロイの木馬に対して、変異体トロイの木馬より開始されたセッションに存在するハートビート検出メッセージの負荷内容は、安定されるかもしれなく、またあるルールに従って変化するかもしれない。
【0037】
したがって、以上まとめられたトロイの木馬ハートビート検出メッセージの特徴に基づいて、本発明の実施形態において制御側から被制御側に送信された各メッセージに対して、当該メッセージの特徴がトロイの木馬ハートビート検出メッセージの特徴に一致することを確定する方法は、具体的には、当該メッセージの特徴が下記の特徴の1つ以上に一致する場合、当該メッセージの特徴がトロイの木馬ハートビート検出メッセージの特徴に一致することを確定する。
【0038】
当該メッセージに対応する送信元ポート番号がいずれも設定値より大きく、当該設定値が1024であってよいこと、及び、当該メッセージの負荷長さが第1の設定範囲内にあり、当該第1の設定範囲が100バイト以内であってよいこと、及び、
当該メッセージの負荷長さがこの前の各メッセージの負荷長さと同じであり、即ち各メッセージの負荷長さが安定されること、及び、
当該メッセージの負荷内容がこの前の各メッセージの負荷内容に比べて、負荷内容が同じである又は負荷内容が規則的に変化し、即ち各メッセージの負荷内容が同じである又は負荷内容が規則的に変化する。
【0039】
トロイの木馬検出の正確さをさらに向上させ、当該メッセージの特徴がトロイの木馬ハートビート検出メッセージの特徴に一致するかどうかを判断するために、当該メッセージの特徴が上述したすべての特徴に一致することを確定した場合、当該メッセージの特徴がトロイの木馬ハートビート検出メッセージの特徴に一致することを確定し、当該メッセージの特徴が少なくとも1つの上記特徴に一致しないことを確定した場合、当該メッセージの特徴がトロイの木馬ハートビート検出メッセージの特徴に一致しないことを確定することができる。
【0040】
また、図1に示すステップS102において、当該セッションに存在するトロイの木馬ハートビート検出の頻度が安定されるかどうかを検出する方法は、トロイの木馬ハートビート検出メッセージの特徴に一致すると確定された各メッセージをソーティングし、ソーティングされたメッセージに、隣接する2つあたりのメッセージのメッセージ送信時間間の時間間隔をそれぞれ確定し、それぞれ確定された各時間間隔間の差が第2の設定範囲内にあるかどうかを判断し、そうであれば、当該セッションに存在するトロイの木馬ハートビート検出の頻度が安定されることを確定し、そうでなければ、当該セッションに存在するトロイの木馬ハートビート検出の頻度が安定されないことを確定する。ここで、当該第2の設定範囲は、需要に応じて変更可能で、例えば1秒以内とすることができる。
【0041】
図1に示すステップS105において、制御側から被制御側に送信された各メッセージに対して、当該メッセージの特徴がトロイの木馬制御命令メッセージの特徴に一致するかどうかを検出する場合、当該トロイの木馬制御命令メッセージの特徴は、予めまとめられたトロイの木馬セッションに存在する制御命令メッセージの特徴であってもよい。具体的には、トロイの木馬より開始されたセッションに存在する制御命令メッセージの特徴は、以下のいくつかの特徴を含むことができる。
【0042】
トロイの木馬より開始されたセッションにおける制御命令メッセージの負荷長さも一定の範囲内にあり、当該範囲が実際の状況によって確定されることができる。例えば、現在トロイの木馬より開始されたセッションにおける制御命令メッセージの負荷長さは、一般的に100バイト以内である。
【0043】
トロイの木馬より開始されたセッションにおける制御命令メッセージのフィールド構造に一定の構造的特徴が存在し、例えば負荷の前の4つのバイトが後の負荷の長さを指定する。トロイの木馬特徴ライブラリを予め保存して、まとめられたトロイの木馬より開始されたセッションにおける制御命令メッセージのフィールド構造の保存に用いることができる。
【0044】
トロイの木馬より開始された各制御命令メッセージのコードは、規則的に変化し、例えば送信順番でエンコードされる。
【0045】
トロイの木馬より開始されたセッションにおいて一般的に複数の制御命令メッセージにより、被制御側が複数の動作を行うように制御し、この複数の動作の組み合わせが常に一定の特徴を持っている。例えば、まずあるフォルダを検索し、次にこのフォルダを開いて、さらにこのフォルダにおけるあるタイプのファイルをアップロードする。同様に、トロイの木馬の特徴ライブラリに、まとめられたトロイの木馬の制御により被制御側が行う複数の動作の組み合わせを保存することができる。
【0046】
したがって、以上まとめられたトロイの木馬制御命令メッセージの特徴に基づいて、本発明の実施形態において制御側から被制御側に送信された各メッセージに対して、当該メッセージの特徴がトロイの木馬制御命令メッセージの特徴に一致することを確定する方法は、具体的には、当該メッセージの特徴が下記の特徴の1つ以上に一致する場合、当該メッセージの特徴がトロイの木馬制御命令メッセージの特徴に一致することを確定する。
【0047】
当該メッセージの負荷長さが第3の設定範囲にあり、当該第3の設定範囲が100バイト以内であってよいこと、及び、当該メッセージのフィールド構造が保存された少なくとも1つのトロイの木馬制御命令メッセージのフィールド構造と同じであること、及び、
当該メッセージのコートがこの前の各メッセージのコートに比べて、規則的に変化すること、及び、
制御側が各メッセージを送信する送信順番で、当該メッセージに対応する動作、及びこの前の各メッセージに対応する動作を組み合わせて、当該セッションの動作組み合わせを取得し、取得された当該動作組み合わせが保存された少なくとも1つのトロイの木馬動作組み合わせと同じである。
【0048】
トロイの木馬検出の正確さをさらに向上させ、当該メッセージの特徴がトロイの木馬制御命令メッセージの特徴に一致するかどうかを判断するために、当該メッセージの特徴が上記のすべての特徴に一致することを確定した場合、当該メッセージの特徴がトロイの木馬制御命令の特徴に一致することを確定し、当該メッセージの特徴が少なくとも1つの上記の特徴に一致しない場合、当該メッセージの特徴がトロイの木馬制御命令メッセージの特徴に一致しないことを確定する。
【0049】
一般的なセッションは、確立後に、一般的に負荷が大きいメッセージの伝送を行うが、トロイの木馬より開始されたセッションは、セッション確立後に、一定の時間が経過した後に負荷が大きいメッセージの伝送を行う。したがって、本発明の実施形態は、トロイの木馬検出の正確さをさらに向上させるために、セッション確立時間と大きい負荷のメッセージが出現する出現時間との時間間隔に基づいて、当該セッションがトロイの木馬より開始されたセッションであるかどうかを検出することができる。セッション確立後に短い時間内に大きい負荷のメッセージが出現すると、当該セッションがトロイの木馬より開始されたセッションである疑わしさの度合が低いことを示し、記録されたセッション重み値は増加せず、セッション確立後の長い間に大きい負荷のメッセージが出現すると、当該セッションがトロイの木馬より開始されたセッションである疑わしさの度合が高いことを示し、記録されたセッション重み値に一定の重み値を加算する必要がある。
【0050】
具体的には、制御側が当該セッションのセッション確立メッセージを送信する送信時間を確定し、当該セッションのプロセスに負荷長さが設定された長さより大きいメッセージが初めて出現する出現時間を確定し、そして当該送信時間から出現時間までの時間間隔を確定し、確定された時間間隔が設定された時間間隔より大きい場合、記録されたセッション重み値に第4の重み値を加算して記録する。ここで、当該設定された長さは、需要に応じて設定されることができ、例えば1200バイトである。第4の重み値は、需要に応じて設定されることもできる。
【0051】
また、トロイの木馬より確立されたセッションに、制御側から被制御側にアップロードされたデータトラフィックが被制御側より受信された制御側から送信されたデータトラフィックよりはるかに大きく、即ち被制御側の上りリンクデータトラフィックが下りリンクデータトラフィックよりはるかに大きいが、一般的なセッションにおけるデータトラフィックがこのような特徴を有しない。
【0052】
したがって、本発明の実施形態は、トロイの木馬検出の正確さをさらに向上させるために、セッションにおける被制御側の上りリンクデータトラフィックと下りリンクデータトラフィックの比に基づいて、当該セッションがトロイの木馬より開始されたセッションであるかどうかを検出することができる。そして、異なる比範囲を設定することができ、各比範囲が1つの重み値に対応し、現在記録されたセッション重み値に、当該比が所属する比範囲に対応する重み値を加算する。例えば、上りリンクデータトラフィックと下りリンクデータトラフィックの比は、1〜50倍の比範囲内にある場合、重み値Aに対応し、50〜100倍の場合、重み値Bに対応し、100倍以上の場合、重み値Cに対応し、ここで、各比範囲の平均値が大きいほど、それに対応する重み値が大きい。即ち、C>B>Aとなり、上りリンクデータトラフィックと下りリンクデータトラフィックの比が大きいほど、当該セッションがトロイの木馬より開始されたセッションである疑わしさの度合が高い。
【0053】
好ましくは、トロイの木馬検出効率を向上するために、上述した被制御側の上りリンクデータトラフィックと下りリンクデータトラフィックの比に基づいて検出する前記ステップは、現在記録されたセッション重み値が設定された閾値に達する場合に実行されることができ、ここで、当該設定された閾値が警報閾値より小さい。具体的には、記録されたセッション重み値が設定された閾値に達する場合、現在のセッションにおける被制御側の上りリンクデータトラフィックと下りリンクデータトラフィックを確定し、そして上りリンクデータトラフィックと下りリンクデータトラフィックの比を確定し、当該比が所属する比範囲を確定し、予め設定された各比範囲に対応する重み値に基づいて、記録されたセッション重み値に、確定された当該比が所属する比範囲に対応する重み値を加算して記録する。即ち、記録されたセッション重み値が設定された閾値に達する場合、当該セッションのセッション確立から現在の時点までのプロセスにおける被制御側の上りリンクデータトラフィックと下りリンクデータトラフィックを確定し、そして両者の比を確定し、比に基づいて現在記録されたセッション重み値を加算する。
【0054】
図2は、本発明の実施形態に係るトロイの木馬検出の詳細なプロセスであり、具体的に以下のステップを含む。
【0055】
S201:制御側から被制御側に送信された各メッセージに対して、保存されたトロイの木馬ハートビート検出メッセージの特徴に基づいて、当該メッセージの特徴がトロイの木馬ハートビート検出メッセージの特徴に一致するかどうかを判断し、一致する場合、ステップS202を実行し、一致しない場合、ステップS201に戻る。
【0056】
S202:現在記録されたトロイの木馬ハートビート検出メッセージの数量に1を加算する。
【0057】
S203:記録されたトロイの木馬ハートビート検出メッセージの数量が設定された数量に達するかどうかを判断し、そうであれば、ステップS204を実行し、そうでなければ、ステップS201に戻る。
【0058】
S204:トロイの木馬ハートビート検出メッセージの特徴に一致すると確定された各メッセージに含まれるメッセージ送信時間の順番で、トロイの木馬ハートビート検出メッセージの特徴に一致すると確定された各メッセージをソーティングし、ソーティングされたメッセージに、隣接する2つあたりのメッセージの送信時間間の時間間隔をそれぞれ確定する。
【0059】
S205:それぞれ確定された各時間間隔間の差が第2の設定範囲内にあるかどうかを判断し、そうであれば、ステップS206を実行し、そうでなければ、ステップS207を実行する。
【0060】
S206:記録されたセッション重み値に第1の重み値を加算して記録して、ステップS208を実行する。
【0061】
S207:記録されたセッション重み値に第2の重み値を加算して記録して、ステップS208を実行する。
【0062】
ここで、セッション重み値の初期値は0であり、第1の重み値は第2の重み値より大きい。
【0063】
S208:制御側が当該セッションのセッション確立メッセージを送信する送信時間を確定し、当該セッションのプロセスに負荷長さが設定された長さより大きいメッセージが初めて出現する出現時間を確定し、送信時間から出現時間までの時間間隔を確定する。
【0064】
S209:当該時間間隔が設定された時間間隔より大きいかどかを判断し、そうであれば、ステップS210を実行し、そうでなければ、ステップS211を実行する。
【0065】
S210:記録されたセッション重み値に第4の重み値を加算して記録して、ステップS211を実行する。
【0066】
S211:制御側から被制御側に送信された各メッセージに対して、当該メッセージの特徴がトロイの木馬制御命令メッセージの特徴に一致するかどうかを検出し、そうであれば、ステップS212を実行し、そうでなければ、ステップS211に戻る。
【0067】
S212:記録されたセッション重み値に第3の重み値を加算して記録する。
【0068】
S213:記録されたセッション重み値が設定された閾値に達するかどかを判断し、そうであれば、ステップS214を実行し、そうでなければ、ステップS211に戻る。
【0069】
ここで、設定された閾値は警報閾値より小さい。
【0070】
S214:現在記録されたセッション重み値にある比範囲に対応する重み値を加算したかどうかを判断し、そうであれば、ステップS216を実行し、そうでなければ、ステップS215を実行する。
【0071】
すなわち、当該検出プロセスにおいて被制御側の上りリンクデータトラフィックと下りリンクデータトラフィックの比に基づいて対応する重み値を加算するステップ、即ちステップS215を実行したかどうかを判断する。
【0072】
S215:現在の当該セッションにおける被制御側の上りリンクデータトラフィックと下りリンクデータトラフィックの比を確定し、予め設定された各比範囲に対応する重み値に基づいて、記録されたセッション重み値に、確定された当該比が所属する比範囲に対応する重み値を加算して記録して、ステップS216を実行する。
【0073】
S216:現在記録されたセッション重み値が警報閾値に達するかどうかを判断し、そうであれば、ステップS217を実行し、そうでなければ、ステップS211に戻る。
【0074】
S217:警報を出して、当該セッションがトロイの木馬より開始されたセッションであることを通知する。
【0075】
そして、上記のプロセスは、当該セッションが確立する時に実行され、当該セッションが終了する時に終了することができ、当該セッションが終了する時に、現在記録されたセッション重み値が警報閾値に達しないと、当該セッションがトロイの木馬より開始されたセッションではないことを示す。
【0076】
図3は、本発明の実施形態に係るトロイの木馬検出装置の構造を示す図であり、具体的に、制御側から被制御側に送信された各メッセージに基づいて、前記制御側と前記被制御側とのセッションにトロイの木馬ハートビート検出が存在するかどうかを検出し、トロイの木馬ハートビートが存在することを検出しない場合、前記セッションにトロイの木馬ハートビート検出が存在するかどうかを検出し続けることに用いられるハートビート検出モジュール301と、
前記ハートビート検出モジュール301がトロイの木馬ハートビート検出が存在することを検出した場合、前記セッションに存在するトロイの木馬ハートビート検出の頻度が安定されるかどうかを判断することに用いられる頻度検出モジュール302と、
前記ハートビート検出モジュール301がトロイの木馬ハートビート検出が存在することを検出した場合、前記制御側から前記被制御側に送信された各メッセージに対して、当該メッセージの特徴がトロイの木馬制御命令メッセージの特徴に一致するかどうかを検出し、一致しない場合、次のメッセージの特徴がトロイの木馬制御命令メッセージの特徴に一致するかどうかを検出し続けることに用いられる制御命令検出モジュール303と、
前記頻度検出モジュール302が前記セッションに存在するトロイの木馬ハートビート検出の頻度が安定されることを確定した場合、記録されたセッション重み値に第1の重み値を加算して記録し、前記頻度検出モジュール302が前記セッションに存在するトロイの木馬ハートビート検出の頻度が安定されないことを確定した場合、記録されたセッション重み値に第2の重み値を加算して記録し、そして前記制御命令検出モジュール303が当該メッセージの特徴がトロイの木馬制御命令メッセージの特徴に一致することを確定した場合、記録されたセッション重み値に第3の重み値を加算して記録することに用いられる重み値記録モジュール304と、
前記重み値記録モジュール304より記録されたセッション重み値が警報閾値に達する時に警報を出して、前記セッションがトロイの木馬より開始されたセッションであることを通知することに用いられる警報モジュール305と、を備える。
【0077】
前記ハートビート検出モジュール301は、具体的に、前記制御側から前記被制御側に送信された各メッセージに対して、保存されたトロイの木馬ハートビート検出メッセージの特徴に基づいて、当該メッセージの特徴が前記トロイの木馬ハートビート検出メッセージの特徴に一致するかどうかを判断し、一致する場合、現在記録されたトロイの木馬ハートビート検出メッセージの数量に1を加算し、一致しない場合、次のメッセージの特徴がトロイの木馬ハートビート検出メッセージの特徴に一致するかどうかを判断し続け、記録されたトロイの木馬ハートビート検出メッセージの数量が設定された数量に達する場合、検出された前記セッションにトロイの木馬ハートビート検出が存在することを確定し、記録されたトロイの木馬ハートビート検出メッセージの数量が設定された数量に達しない場合、前記セッションにトロイの木馬ハートビート検出が存在することを検出しないことを確定することに用いられる。
【0078】
前記ハートビート検出モジュール301は、具体的に、当該メッセージの特徴が下記の特徴の1つ以上に一致する場合、当該メッセージの特徴が前記トロイの木馬ハートビート検出メッセージの特徴に一致することを確定することに用いられ、当該メッセージに対応する送信元ポート番号と宛先ポート番号がいずれも設定された値より大きいこと、及び、当該メッセージの負荷長さが第1の設定範囲内にあること、及び、当該メッセージの負荷長さがこの前の各メッセージの負荷長さと同じであること、及び、当該メッセージの負荷内容がこの前の各メッセージの負荷内容と比較して、負荷内容が同じである又は負荷内容が規則的に変化する。
【0079】
前記頻度検出モジュール302は、具体的に、前記トロイの木馬制御命令メッセージの特徴に一致すると確定された各メッセージに含まれるメッセージ送信時間の順番で、前記トロイの木馬制御命令メッセージの特徴に一致すると確定された各メッセージをソーティングし、ソーティングされたメッセージに、隣接する2つあたりのメッセージのメッセージ送信時間間の時間間隔をそれぞれ確定し、それぞれ確定された各時間間隔間の差が第2の設定範囲にあるかどうかを判断し、そうであれば、前記セッションに存在するトロイの木馬ハートビート検出の頻度が安定されることを確定し、そうでなければ、前記セッションに存在するトロイの木馬ハートビート検出の頻度が安定されないことを確定することに用いられる。
【0080】
前記制御命令検出モジュール303は、具体的に、当該メッセージの特徴が下記の特徴の1つ以上に一致する場合、当該メッセージの特徴がトロイの木馬制御命令メッセージの特徴に一致することを確定することに用いられ、当該メッセージの負荷長さが第3の設定範囲内にあること、及び、当該メッセージのフィールド構造が保存された少なくとも1つのトロイの木馬制御命令メッセージのフィールド構造と同じであること、及び、当該メッセージのコートがこの前の各メッセージのコートと比較して、規則的に変化すること、及び、前記制御側が各メッセージを送信する送信順番で、当該メッセージに対応する動作及びこの前の各メッセージに対応する動作を組み合わせて、前記セッションの動作組み合わせを取得し、取得された前記動作組み合わせが保存された少なくとも1つのトロイの木馬動作組み合わせと同じである。
【0081】
前記装置は、前記制御側が前記セッションのセッション確立メッセージを送信する送信時間を確定し、前記セッションのプロセスに負荷長さが設定された長さより大きいメッセージが初めて出現する出現時間を確定し、前記送信時間から前記出現時間までの時間間隔を確定することに用いられる時間検出モジュール306をさらに備える。
【0082】
前記重み値記録モジュール304は、さらに、確定された前記時間間隔が設定された時間間隔より大きいことを確定した場合、記録されたセッション重み値に第4の重み値を加算して記録することに用いられる。
【0083】
前記装置は、記録されたセッション重み値が設定された閾値に達する場合、現在の前記セッションにおける前記被制御側の上りリンクデータトラフィックと下りリンクデータトラフィックを確定し、上りリンクデータトラフィックと下りリンクデータトラフィックの比を確定し、そして前記比が所属する比範囲を確定することに用いられ、ここで、前記設定された閾値が前記警報閾値より小さいトラフィック統計モジュール307をさらに備える。
【0084】
前記重み値記録モジュール304は、さらに、予め設定された各比範囲に対応する重み値に基づいて、記録されたセッション重み値に、確定された前記比が所属する比範囲に対応する重み値を加算して記録することに用いられる。
【0085】
本発明の実施形態に係るトロイの木馬検出方法及び装置では、当該方法は、制御側から被制御側へ開始されたあるセッションに対して、当該セッションにトロイの木馬ハートビート検出が存在することを検出した場合、存在する当該トロイの木馬ハートビート検出の頻度が安定しているかどうかに基づいて、記録されたセッション重み値に対応する重み値を加算して記録し、そして制御側から被制御側に送信された各メッセージに対して、当該メッセージの特徴がトロイの木馬制御命令メッセージの特徴に一致するかどうかを検出し、一致する場合、記録されたセッション重み値に第3の重み値を加算して記録し、記録されたセッション重み値が警報閾値に達する時に警報を出して、当該セッションがトロイの木馬より開始されたセッションであることを通知する。本発明の実施形態は、セッションにおけるメッセージを検出することによりトロイの木馬検出を実現するので、ネットワークに存在するトロイの木馬を検出することができ、且つセッションにおけるメッセージを検出する時に、簡単な文字列マッチングだけでなく、したがって誤警報率を低下させて、ネットワークに存在するトロイの木馬を効果的に検出することができる。
【0086】
当業者は、本発明の実施形態が方法、システム、又はコンピュータプログラム製品として提供されることができると理解すべきである。そのため、本発明は、完全なハードウェアの実施形態、完全なソフトウェアの実施形態、又はソフトウェアとハードウェアを組み合わせた実施形態の形態を用いることができる。且つ、本発明は、コンピュータ使用可能プログラムコードが含まれる1つ以上のコンピュータ使用可能な記憶媒体(ディスクメモリ、CD−ROM、光メモリなどを含むがこれらに限られない)で実施されるコンピュータプログラム製品の形態を採用することができる。
【0087】
本発明は、本発明の実施形態による方法、装置(システム)とコンピュータプログラム製品のフローチャート及び/又はブロック図を参照して説明されるものである。コンピュータプログラムの命令によるフローチャート及び/又はブロック図中の各プロセス及び/又はブロック、及びフローチャート及び/又はブロック中のプロセス及び/ブロックの組み合わせを実現することができると理解すべきである。これらのコンピュータプログラムの命令を、汎用コンピュータ、専用コンピュータ、組み込みプロセッサ又は他のプログラム可能なデータ処理装置のプロセッサに提供して1つのマシンを生成することができ、これによりコンピュータ又は他のプログラム可能なデータ処理装置のプロセッサが実行する命令により、フローチャートの1つ以上のプロセス及び/又はブロック図の1つ以上のブロック中に指定された機能を実現するための装置を生成することが可能である。
【0088】
これらのコンピュータプログラムの命令は、コンピュータ又は他のプログラム可能なデータ処理装置が特定の方式で動作するようにガイドできるコンピュータ読み取り可能なメモリに記憶されることができ、これにより当該コンピュータ読み取り可能なメモリに記憶された命令により、命令装置が含まれる製造品を生成する。当該命令装置は、フローチャートの1つ以上のプロセス及び/ブロック図の1つ以上のブロック中に指定された機能を実現する。
【0089】
これらのコンピュータプログラムの命令は、コンピュータ又は他のプログラム可能なデータ処理装置にロードされることができ、これによりコンピュータ又はプログラム可能なデータ処理装置で一連の操作ステップを実行して、コンピュータで実現される処理を生成し、それによってコンピュータ又はプログラム可能なデータ処理装置で実行された命令により、フローチャートの1つ以上のプロセス及び/ブロック図の1つ以上のブロック中に指定された機能を実現するためのステップを提供する。
【0090】
本発明の好ましい実施形態を説明したにもかかわらず、当業者は、一旦基本的な創造性概念を知ると、これらの実施形態に対して別の変更と修正を行うことができる。したがって、添付した特許請求の範囲は、好ましい実施形態及び本発明の範囲に含まれるすべての変更と修正を含むと説明することを意図する。
【0091】
明らかに、当業者は、本発明の実施形態の精神および範囲から逸脱することなく、本発明の実施形態に対して様々な修正及び変形を行うことができる。このようにして、本発明の実施形態のこれらの修改及び変形が本発明の特許請求及びその同等技術の範囲に含まれると、本発明もこれらの変更及び変形を含むことを意図する。
【国際調査報告】