一种在网络数据流中基于木马网络通讯行为特征实时监测木马的方法与系统,属于计算机网络安全领域。当前木马通过各种技术手段,逃避目前传统的基于文件特征和主机行为特征的检测,但木马在网络通讯中的行为特征相对固定。即自身的应用通讯协议,一般不会轻易改变。因为它的改变涉及木马客户端和服务端程序同步更改,需要重新植入木马,而且涉及到木马程序不同版本的通讯问题。因此,基于网络数据流中木马活动时的网络通讯行为特征,不仅可以监测各种已知木马,还能准确地监测其加花、加壳或变异的未知木马。
【技术实现步骤摘要】
本专利技术涉及一种基于网络通讯行为特征实时监测木马的方法与系统,属于计算机网络安 全领域。
技术介绍
随着计算机和网络的普及与应用,人们对计算机和网络的依赖程度也越来越高。在每个 工作用和家庭用的电脑上保存着大量的非公开或保密的重要文档和个人信息,这些电脑一旦 被植入木马程序,其信息会被窃取,从而造成重要信息泄漏、秘密文件泄密、个人隐私信息 暴露和经济的损失;此外,木马还可以破坏信息系统,致使系统瘫痪和重要数据丢失。目前,木马的检测和防护方法归纳起来可以分为两大种类。 一类是传统的基于文件特征 码的检测方式,该方法首先提取木马程序文件的特征码,然后通过扫描检测文件中是否包含 特征码来识别木马文件。但是木马制造者通常会给木马程序文件加上各种形式的外壳,使 得木马以多种类、多特征码的方式进行传播,从而给采集、监控、査杀和预防木马带来了越 来越大的挑战。另一类是木马防火墙,它是安装在用户主机端的软件工具,它采用动态监控的方式,对 网络中的可疑连接进行监控,过滤掉不安全的网络连接,从而保护主机免受外界攻击的危险。 但是,由于需要运行在用户主机系统中,在工作过程中需要占用用户主机系统的CPU和内存 资源,从而影响了系统其它工作的性能,并且此类方法非常容易产生误报。因此,传统的基于文件特征码的木马査杀方式,是针对目标系统被植入了已知的木马程 序进行査杀和防护。对未知、加花、加壳或变异的木马程序,需要重新分析和提取文件特征 码,然后更新特征库,这是一种完全被动的防御方法,没有从根本上解决问题。而木马防火 墙只是简单地对网络可疑连接进行监控,对那些利用标准协议通讯的木马程序不能进行有效 地防范,同时需要在用户主机上安装软件,这样占用了系统资源,影响系统性能。
技术实现思路
本专利技术的基本原理是当前木马通过各种加花、加壳或变异等技术手段,逃避目前传统的 基于文件特征和主机行为特征的检测,但木马在网络通讯中的行为特征相对固定。即自身的 应用通讯协议, 一般不会轻易改变,因为它的改变涉及木马客户端和服务端程序同步更改, 需要重新植入木马,而且涉及到木马程序不同版本的通讯问题。因此,基于木马活动时的网 络通讯行为特征,不仅可以监测各种已知木马,还能准确地监测其加花、加壳或变异的未知 木马。本专利技术的目的是在不增加网络负荷、不占用用户终端主机系统任何开销的情况下,克服 传统的基于文件特征码检测方式不能检测加花、加壳或变异木马的局限,对网络中的木马程 序进行实时监测,并且能够准确定位到感染木马程序的内网机器。为实现上述目的,根据本专利技术的一个方面,提供一种基于网络通讯行为特征实时监测木 马的方法,该技术方法具体如下(1) 运行木马程序,通过网络数据采集工具采集该木马的通讯会话数据并保存;(2) 在多个不同的实验环境下,重复上述(1),从而得到了该木马在不同环境下的通 讯会话数据文件(3) 分析提取这些通讯会话数据文件中均相同的数据或数据格式,作为该木马及其变 形方式的木马在网络数据流中的网络通讯行为特征码;(4) 导入该特征码到木马网络通讯行为特征库中;(5) 在实际要监控的环境中,采集其网络数据流进行会话重组,然后基于网络通讯行 为特征库,通过关键字匹配、模式匹配或两者组合来检测实际网络数据流中是否 存在木马网络通讯行为特征;如果存在,则判断存在木马,同时调用报警与日志 记录模块记录和展示木马报警信息,作为监测的结果和依据;否则继续监控。根据本专利技术的另一个方面,提供一种基于网络通讯行为特征实时监测木马的系统,包括 网络探针、管理平台服务器和客户端。其中(1) 网络探针用于实时接收网络数据,对采集的网络数据进行分析,分析其应用协 议类型,判断网络数据是否包含木马网络通讯行为特征,当发现会话数据中有木 马网络通讯行为特征时,发送报警信息到管理平台服务器;网络探针同时也对采 集的网络数据进行流量统计,并将流量统计信息定时发送到管理平台服务器。(2) 管理平台服务器实时接收各网络探针发送的报警日志信息和流量统计信息,记录到数据库中。(3) 客户端提供对管理平台服务器数据库屮数据记录的统计和审计功能,包括报警 信息的统计与审计,流量信息的统计与审计;同时也提供报警信息的实时显示功 能,以动态图形与详细表格的方式显示统计结果信息;另外,客户端还提供了对 网络探针中木马网络通讯行为特征库的远程更新与升级功能。本专利技术的一个优点是,克服传统的基于文件特征码检测方式不能检测加花、加壳或变异 木马的局限。基于木马活动时的网络通讯行为特征,不仅可以实时监测各种已知木马,还能 准确地监测其加花、加壳或变异的未知木马。本专利技术的另一个优点是,不需要在用户网络上安装任何软件,也不需要改变用户的网络 结构与配置,从而不占用网络资源,不影响用户网络的性能,只需要将希望监测的网络数据 流旁路镜像给网络探针进行分析,就能实现对木马的实时监测,为管理员及时掌握网络当前 的安全态势和做好相应的安全防范提供可靠的依据。附图说明图1是基于木马活动时的网络通讯行为特征监测木马的原理图。图2是研究人员在测试实验平台中采集木马通讯会话数据的示意图。图3是提取木马的网络通讯行为特征的示意图。图4是本专利技术提出的基于木马网络通讯行为特征监测木马的方法的流程图。图5是本专利技术提出的基于木马网络通讯行为特征监测木马的系统在部署应用时的示意图。具体实施例方式图1是在网络数据流中基于木马活动时的网络通讯行为特征监测木马的原理图。 通常木马程序会被黑客加上各种壳,或针对某种查杀软件进行免杀处理,所以相同功能的木马程序,经过加花、加壳或变异等方式处理会产生完全不同特征的文件进行存储,这对基于文件特征码进行查杀的防病毒软件,无疑是种噩梦。虽然木马在其载体——文件上进行多种形式的变化,譬如加花、加壳或变异等,但同种类不同版本的木马客户端与服务端的通讯指令格式是不变的。即木马自身的应用通讯协议, 一般不会轻易改变。因为它的改变涉及木马客户端和服务端程序同步更改,需要重新植6入木马,黑客才能继续掌控以前所持有的肉鸡。如图1所示,黑客在互联网上投放木马服务端程序,并且在控制机1运行木马控制端程 序。被控机2感染原始木马,被控机3感染经过加花处理的该类型木马,被控机4感染经过 加壳处理的该类型木马。木马经过加壳、加花后,其通讯指令格式仍然保持不变,木马控制端才能实现既可以与 被控机2上的原始木马进行通讯,又能顺利与被控机3上的加花木马、被控机4上的加壳木 马进行通讯。因此,基于网络数据流中木马活动时的网络通讯行为特征,不仅可以监测各种己知木马, 还能准确地监测其加花、加壳或变异的未知木马。图2是在测试实验平台中采集木马通讯会话数据的示意图。如图2所示,测试机1上运行了木马控制端程序,在测试机2上运行木马服务端程序, 使木马控制端和服务端进行该木马的各种操作(包括上线识别、屏幕监控、键盘记录、文件 浏览等),在测试机3上通过网络数据采集工具(比如Iris、 Ethereal和Sniffer等)将木 马控制端和服务端通讯的全部数据采集下来并保存,设备4可以是集线器,也可以是具有端 口镜像功能的交换机。更换测试机1和测试机2所处的操作系统环境(所处的环境需要能运行木马程序),在新 的测试环境中多次重复上述采集木马通本文档来自技高网...
【技术保护点】
一种基于网络通讯行为特征监测木马的方法,其特征在于:在网络数据流中,基于木马活动时的网络通讯行为特征米实时监测木马,其处理方法是: (1)运行木马程序,通过网络数据采集工具采集该木马的通讯会话数据并保存; (2)在多个不同的实验 环境下,重复上述(1),从而得到了该木马在不同环境下的通讯会话数据文件; (3)提取这些通讯会话数据文件中均相同的数据或数据格式,作为该木马及其变形方式的木马在网络数据流中的网络通讯行为特征码; (4)导入该特征码到木马网络通讯 行为特征库中; (5)在实际要监控的环境中,采集其网络数据流进行会话重组,然后基于木马网络通讯行为特征库,匹配检测会话中是否存在木马网络通讯行为特征;如果存在,则判断存在木马,同时调用报警与日志记录模块记录和展示木马报警信息,作为监测 的结果和依据;否则继续监控。
【技术特征摘要】
1.一种基于网络通讯行为特征监测木马的方法,其特征在于在网络数据流中,基于木马活动时的网络通讯行为特征米实时监测木马,其处理方法是(1)运行木马程序,通过网络数据采集工具采集该木马的通讯会话数据并保存;(2)在多个不同的实验环境下,重复上述(1),从而得到了该木马在不同环境下的通讯会话数据文件;(3)提取这些通讯会话数据文件中均相同的数据或数据格式,作为该木马及其变形方式的木马在网络数据流中的网络通讯行为特征码;(4)导入该特征码到木马网络通讯行为特征库中;(5)在实际要监控的环境中,采集其网络数据流进行会话重组,然后基于木马网络通讯行为特征库,匹配检测会话中是否存在木马网络通讯行为特征;如果存在,则判断存在木马,同时调用报警与日志记录模块记录和展示木马报警信息,作为监测的结果和依据;否则继续监控。2. 根据权利要求1所述的方法,其特征在于其中在实际监控环境中采集的网络数据流没有 经过网络地址转换,以便监测到木马事件后,能定位到感染木马程序的内网机器。3. 根据权利要求1所述的方法,其特征在于其中的特征匹配检测,是通过关键字匹配、模 式匹配或两者组合来实现的。4. 一种实现如权利要求1所述方法的基于网络通讯行为...
【专利技术属性】
技术研发人员:李京春,徐亚飞,袁建军,梁利,周建亮,宋利华,李建兴,熊益,周德键,徐茜,
申请(专利权)人:中国人民解放军信息技术安全研究中心,国都兴业信息审计系统技术北京有限公司,
类型:发明
国别省市:11[中国|北京]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。