專利名稱:帶預(yù)警功能的網(wǎng)絡(luò)木馬綜合檢測(cè)方法及其功能模塊架構(gòu)裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明屬于網(wǎng)絡(luò)安全技術(shù)領(lǐng)域�����,特別是一種針對(duì)網(wǎng)絡(luò)木馬病毒的綜合檢測(cè)方法及為實(shí)現(xiàn)其方法所采用的功能模塊架構(gòu)裝置���。采用本發(fā)明方法及其裝置既可對(duì)已知的木馬病毒
進(jìn)行檢測(cè)���,還可對(duì)未知木馬病毒的行為進(jìn)行動(dòng)態(tài)預(yù)警跟蹤檢測(cè)。
背景技術(shù):
木馬病毒的泛濫����,對(duì)計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)造成的危害日益嚴(yán)重。目前��,針對(duì)木馬病毒的檢測(cè)和防御主要采用三種方式 一是針對(duì)網(wǎng)頁(yè)木馬進(jìn)行檢測(cè),如申請(qǐng)?zhí)枮?br>
200610152533.7���、發(fā)明名稱為《基于鏈接分析的網(wǎng)頁(yè)木馬追蹤技術(shù)》及申請(qǐng)?zhí)枮?00610152530.3����、發(fā)明名稱為《一種基于行為特征的網(wǎng)頁(yè)木馬檢測(cè)方法》的專利文獻(xiàn)所公的即屬于此類技術(shù)�����;二是單機(jī)防范���,如申請(qǐng)?zhí)枮?00410052134.4���、發(fā)明名稱為《防止木馬或病毒竊取輸入信息的方法》及申請(qǐng)?zhí)枮?00610035569.7、發(fā)明名稱為《一種內(nèi)嵌木馬專殺的網(wǎng)絡(luò)游戲系統(tǒng)及查殺毒方法》即屬于此類技術(shù)��;三是各類殺毒軟件����,如卡巴斯基���、360��、瑞星等�����。上述技術(shù)均是針對(duì)特定的木馬病毒進(jìn)行單機(jī)檢測(cè)�����,雖然具有針對(duì)性強(qiáng)��、對(duì)特定的木馬病毒防御及査�����、殺效果亦較好等特點(diǎn)���;但卻存在性能單一����、且在每臺(tái)需要防御的計(jì)算機(jī)上均須安裝相應(yīng)的軟件才能做到針對(duì)性的有效檢測(cè)和防御��;此外���,若在一臺(tái)計(jì)算機(jī)上安裝多種針對(duì)性的防木馬病毒軟件��,又會(huì)出現(xiàn)相互干擾�,影響其防病毒的效果。因而���,上述技術(shù)存在需單機(jī)采用專用軟件進(jìn)行針對(duì)性檢測(cè)���,性能單一,對(duì)木馬病毒只能進(jìn)行被動(dòng)防御�����,不能在未知木馬病毒發(fā)作前進(jìn)行預(yù)警�����,對(duì)木馬病毒變種�����、更新的適應(yīng)性差��、綜合檢測(cè)效果差����、適應(yīng)范圍窄,各種木馬檢測(cè)軟件之間相互干擾大等缺陷����。
發(fā)明內(nèi)容
本發(fā)明的目的是針對(duì)背景技術(shù)存在的缺陷,研究設(shè)計(jì)一種帶預(yù)警功能的網(wǎng)絡(luò)木馬綜合檢測(cè)方法及其功能模塊架構(gòu)裝置��。既可對(duì)己知的木馬病毒進(jìn)行檢測(cè)�����,而且又可對(duì)未知木馬病毒的發(fā)生進(jìn)行預(yù)警及檢測(cè)�,且在不增加內(nèi)網(wǎng)任何負(fù)擔(dān)、不在單機(jī)上新裝對(duì)應(yīng)軟件的情況下�,達(dá)到提高對(duì)網(wǎng)絡(luò)木馬病毒進(jìn)行綜合檢測(cè)、防御的性能和效果�����,對(duì)木馬病毒變種��、更新的適應(yīng)性強(qiáng)����,防御面寬、應(yīng)用范圍廣及對(duì)內(nèi)網(wǎng)進(jìn)行整體防御等目的。
本發(fā)明的解決方案是將木馬檢測(cè)放在內(nèi)網(wǎng)的單機(jī)之外進(jìn)行��,采用己知的木馬病毒特征參數(shù)作為對(duì)已知木馬病毒的檢測(cè)標(biāo)準(zhǔn)����,而采用各類木馬病毒的流量特征參數(shù)作為相應(yīng)未知 木馬病毒的預(yù)警檢測(cè)標(biāo)準(zhǔn),采用各類木馬病毒的周期特征參數(shù)作為預(yù)警后的未知木馬病毒
的周期檢測(cè)標(biāo)準(zhǔn)�����,通過旁路偵聽內(nèi)網(wǎng)數(shù)據(jù)�,并將數(shù)據(jù)通過已知木馬檢測(cè)模塊、木馬預(yù)警檢 測(cè)模塊處理和木馬周期檢測(cè)模塊�����,得到木馬活動(dòng)的信息后��、將其送入網(wǎng)絡(luò)木馬病毒管理器 作后繼處理�����;而為實(shí)現(xiàn)該方法所采用的架構(gòu)裝置����,則是以常規(guī)工業(yè)控制機(jī)作為基礎(chǔ)來設(shè)置 木馬檢測(cè)的功能模塊架構(gòu)���;該裝置運(yùn)行中分別與內(nèi)網(wǎng)網(wǎng)絡(luò)的偵聽端口及外部網(wǎng)絡(luò)聯(lián)接,從
而實(shí)現(xiàn)其發(fā)明目的��。因此��,本發(fā)明的方法包括
A. 檢測(cè)參數(shù)的初始化處理將需要保護(hù)的內(nèi)網(wǎng)網(wǎng)段����、檢測(cè)模塊網(wǎng)絡(luò)地址�、木馬病毒
管理器網(wǎng)絡(luò)地址以及已知木馬病毒檢測(cè)標(biāo)準(zhǔn)、未知木馬病毒流量預(yù)警標(biāo)準(zhǔn)��、未知木馬病毒 周期檢測(cè)標(biāo)準(zhǔn)進(jìn)行初始化設(shè)置���;
B. 錄入待檢測(cè)數(shù)據(jù)從內(nèi)網(wǎng)偵聽端口錄入數(shù)據(jù)�,然后抽取數(shù)據(jù)中記錄的內(nèi)網(wǎng)地址�、 內(nèi)網(wǎng)端口號(hào)、外網(wǎng)地址��、外網(wǎng)端口號(hào)�、數(shù)據(jù)流向、數(shù)據(jù)量大小�、協(xié)議編號(hào)����、關(guān)鍵字?jǐn)?shù)據(jù)����、 出現(xiàn)時(shí)間,作為待檢測(cè)的原始數(shù)據(jù)�����、以備檢測(cè)�����;
C. 按已知木馬病毒標(biāo)準(zhǔn)檢測(cè)首先按照已知的木馬病毒特征標(biāo)準(zhǔn)對(duì)待檢測(cè)的原始數(shù) 據(jù)進(jìn)行對(duì)比分析檢測(cè)����,若與任一已知的木馬病毒標(biāo)準(zhǔn)相符,則將原始數(shù)據(jù)以及觸發(fā)的檢測(cè) 標(biāo)準(zhǔn)和觸發(fā)時(shí)間作為木馬病毒信息�����,送網(wǎng)絡(luò)木馬病毒管理器作后繼處理����;若不符合已知的 木馬病毒標(biāo)準(zhǔn)�,則轉(zhuǎn)下一步繼續(xù)檢測(cè)�;
D. 按木馬病毒流量預(yù)警標(biāo)準(zhǔn)檢測(cè)將經(jīng)步驟C檢測(cè)后輸入的數(shù)據(jù),與數(shù)據(jù)庫(kù)中在先 的分析數(shù)據(jù)逐一進(jìn)行比對(duì)檢測(cè)����,如果數(shù)據(jù)庫(kù)中已經(jīng)存在與該輸入數(shù)據(jù)對(duì)應(yīng)的分析數(shù)據(jù),則 按照設(shè)定的未知木馬病毒的流量預(yù)警標(biāo)準(zhǔn)逐一進(jìn)行對(duì)比分析檢測(cè)��,若與任一病毒流量預(yù)警 檢測(cè)標(biāo)準(zhǔn)相符����,則將輸入數(shù)據(jù)以及觸發(fā)的預(yù)警標(biāo)準(zhǔn)和觸發(fā)時(shí)間���,作為達(dá)到木馬病毒預(yù)警標(biāo) 準(zhǔn)的預(yù)警數(shù)據(jù)����、送網(wǎng)絡(luò)木馬病毒管理器作預(yù)警處理���,并轉(zhuǎn)下一步驟對(duì)預(yù)警數(shù)據(jù)作進(jìn)一步比 對(duì)檢測(cè)處理�,若均不相符則轉(zhuǎn)步驟F作數(shù)據(jù)丟棄處理��;如果數(shù)據(jù)庫(kù)中無(wú)在先分析數(shù)據(jù)或不 存在對(duì)應(yīng)的分析數(shù)據(jù)�����,則將該輸入數(shù)據(jù)存入數(shù)據(jù)庫(kù)中,作為分析數(shù)據(jù)�;
E. 按木馬病毒周期標(biāo)準(zhǔn)檢測(cè)將經(jīng)步驟D檢測(cè)后達(dá)到預(yù)警標(biāo)準(zhǔn)的數(shù)據(jù),標(biāo)記為預(yù)警 數(shù)據(jù)��,并按照設(shè)定的未知木馬病毒的周期標(biāo)準(zhǔn)與數(shù)據(jù)庫(kù)中在先的預(yù)警數(shù)據(jù)逐一進(jìn)行對(duì)比分 析檢測(cè)����,若與任一未知木馬病毒周期檢測(cè)標(biāo)準(zhǔn)相符,則將該數(shù)據(jù)以及觸發(fā)的周期檢測(cè)標(biāo)準(zhǔn) 和觸發(fā)時(shí)間�,作為帶木馬病毒的數(shù)據(jù)存入數(shù)據(jù)庫(kù)中并送網(wǎng)絡(luò)木馬病毒管理器作后繼處理、 同時(shí)轉(zhuǎn)下一步驟對(duì)分析數(shù)據(jù)和預(yù)警數(shù)據(jù)作丟棄處理����,若均不相符亦轉(zhuǎn)下一步驟對(duì)分析數(shù)據(jù)和預(yù)警數(shù)據(jù)作丟棄處理;
F.對(duì)分析數(shù)據(jù)和預(yù)警數(shù)據(jù)丟棄處理將當(dāng)前時(shí)間與數(shù)據(jù)庫(kù)中的分析數(shù)據(jù)和預(yù)警數(shù)據(jù) 的錄入時(shí)間之差����,分別逐一與設(shè)定的分析數(shù)據(jù)留存時(shí)間和預(yù)警數(shù)據(jù)留存時(shí)間進(jìn)行比對(duì),并 陸續(xù)將達(dá)到留存期限的數(shù)據(jù)丟棄����。
以上所述按設(shè)定的木馬病毒的流量預(yù)警標(biāo)準(zhǔn),包括復(fù)位(Reset�����,簡(jiǎn)稱RST)報(bào)文檢測(cè)預(yù) 警標(biāo)準(zhǔn),郵件行為檢測(cè)預(yù)警標(biāo)準(zhǔn)��,通信連接行為檢測(cè)預(yù)警標(biāo)準(zhǔn)���,關(guān)鍵字檢測(cè)預(yù)警標(biāo)準(zhǔn)���,以 及經(jīng)過加密處理的報(bào)文在內(nèi)的全部或部分預(yù)警標(biāo)準(zhǔn)。其中所述復(fù)位(RST)報(bào)文預(yù)警檢測(cè) 標(biāo)準(zhǔn)為內(nèi)網(wǎng)傳出數(shù)據(jù)中的RST協(xié)議報(bào)文��,在規(guī)定時(shí)間范圍內(nèi)不允許重復(fù)傳出的次數(shù)��;而 郵件行為檢測(cè)預(yù)警標(biāo)準(zhǔn)為從內(nèi)網(wǎng)中傳出的收件人地址和主題均相同的郵件�����,在規(guī)定時(shí)間范 圍內(nèi)不允許重復(fù)傳出的次數(shù)�����;通信連接行為檢測(cè)預(yù)警標(biāo)準(zhǔn)為����,在規(guī)定時(shí)間范圍內(nèi)從同一內(nèi) 網(wǎng)地址流出到同一外網(wǎng)地址的數(shù)據(jù)流量,與從該外網(wǎng)地址返回該內(nèi)網(wǎng)地址的數(shù)據(jù)流量的差 異程度不允許達(dá)到的值(設(shè)定的值)����;關(guān)鍵字檢測(cè)預(yù)警標(biāo)準(zhǔn)為從內(nèi)網(wǎng)流出到外網(wǎng)的數(shù)據(jù)流 量中不允許出現(xiàn)的字符;經(jīng)過加密處理的報(bào)文檢測(cè)預(yù)警標(biāo)準(zhǔn)為從內(nèi)網(wǎng)流出到外網(wǎng)的數(shù)據(jù)流 中不允許出現(xiàn)加密后的字符����。
而所述的未知木馬病毒周期檢測(cè)標(biāo)準(zhǔn)是包括復(fù)位(Reset,簡(jiǎn)稱RST)報(bào)文周期檢測(cè)標(biāo) 準(zhǔn)�,郵件行為周期檢測(cè)標(biāo)準(zhǔn)以及通信周期檢測(cè)標(biāo)準(zhǔn)在內(nèi)的全部或部分標(biāo)準(zhǔn)。其中復(fù)位報(bào) 文周期檢測(cè)標(biāo)準(zhǔn)是待檢測(cè)數(shù)據(jù)中出現(xiàn)從內(nèi)網(wǎng)傳到相同的外網(wǎng)IP地址的RST報(bào)文�����,在預(yù) 定的時(shí)間內(nèi)呈現(xiàn)周期性�����;郵件行為周期檢測(cè)標(biāo)準(zhǔn)是待檢測(cè)數(shù)據(jù)中出現(xiàn)從內(nèi)網(wǎng)地址發(fā)往外 網(wǎng)同一郵件地址��,在預(yù)定的時(shí)間內(nèi)呈現(xiàn)周期性���;通信周期檢測(cè)標(biāo)準(zhǔn)是待檢測(cè)數(shù)據(jù)出現(xiàn)從 內(nèi)網(wǎng)地址發(fā)往同一外網(wǎng)IP地址的數(shù)據(jù)流量����,在預(yù)定的時(shí)間內(nèi)呈現(xiàn)周期性。
上述網(wǎng)絡(luò)木馬病毒檢測(cè)方法所采用的功能模塊架構(gòu)裝置���,包括
A. —個(gè)參數(shù)初始化處理單元模塊��,用于存儲(chǔ)需要保護(hù)的內(nèi)網(wǎng)網(wǎng)段����、檢測(cè)模塊網(wǎng)絡(luò)地 址��、木馬病毒管理器網(wǎng)絡(luò)地址以及各類網(wǎng)絡(luò)木馬病毒檢測(cè)標(biāo)準(zhǔn)的初始化參數(shù)的數(shù)據(jù)���;
B. —個(gè)錄入待檢測(cè)數(shù)據(jù)單元模塊��,用于抽取從內(nèi)網(wǎng)偵聽端口錄入的待檢測(cè)數(shù)據(jù)以備 檢測(cè)����;
C. 一個(gè)已知木馬病毒標(biāo)準(zhǔn)檢測(cè)單元模塊��,用于調(diào)用已知木馬病毒檢測(cè)標(biāo)準(zhǔn)���,對(duì)待檢 測(cè)的原始數(shù)據(jù)進(jìn)行對(duì)比分析并判斷其是否符合已知木馬病毒檢測(cè)標(biāo)準(zhǔn);
D. —個(gè)木馬病毒流量預(yù)警標(biāo)準(zhǔn)檢測(cè)單元模塊,用于調(diào)用包括復(fù)位(RST)報(bào)文檢測(cè)預(yù) 警標(biāo)準(zhǔn)�����、郵件行為檢測(cè)預(yù)警標(biāo)準(zhǔn)���、通信連接行為檢測(cè)預(yù)警標(biāo)準(zhǔn)���,關(guān)鍵字檢測(cè)預(yù)警標(biāo)準(zhǔn),以 及經(jīng)過加密處理的報(bào)文在內(nèi)的全部或部分檢測(cè)預(yù)警標(biāo)準(zhǔn)�����,對(duì)分析數(shù)據(jù)進(jìn)行逐一對(duì)比分析并 判斷是否與任一木馬病毒流量預(yù)警標(biāo)準(zhǔn)相符���,是否作為分析數(shù)據(jù)存儲(chǔ)入數(shù)據(jù)庫(kù)����;E. —個(gè)木馬病毒周期標(biāo)準(zhǔn)檢測(cè)單元模塊���,用于調(diào)用包括復(fù)位(RST)報(bào)文周期檢測(cè)標(biāo)準(zhǔn)��、 郵件行為周期檢測(cè)標(biāo)準(zhǔn)�、通信連接行為周期檢測(cè)標(biāo)準(zhǔn)、在內(nèi)的全部或部分周期檢測(cè)標(biāo)準(zhǔn)����, 對(duì)預(yù)警數(shù)據(jù)進(jìn)行逐一對(duì)比分析并判斷是否與任一木馬病毒周期標(biāo)準(zhǔn)相符,是否作為預(yù)警數(shù) 據(jù)存儲(chǔ)入數(shù)據(jù)庫(kù)���;
F. —個(gè)木馬病毒信息發(fā)送單元模塊�,用于將木馬病毒流量標(biāo)準(zhǔn)預(yù)警檢測(cè)單元模塊和木 馬病毒周期標(biāo)準(zhǔn)檢測(cè)單元模塊送出的信息���,發(fā)送到木馬病毒管理器����;
G. —個(gè)對(duì)分析數(shù)據(jù)和預(yù)警數(shù)據(jù)進(jìn)行丟棄處理的單元模塊���,用于對(duì)分析數(shù)據(jù)和預(yù)警數(shù) 據(jù)的滯留時(shí)間進(jìn)行判斷��,并陸續(xù)將達(dá)到設(shè)定存儲(chǔ)期限的分析數(shù)據(jù)和預(yù)警數(shù)據(jù)從數(shù)據(jù)庫(kù)中清 除��;
本發(fā)明方法由于通過旁路偵聽內(nèi)網(wǎng)數(shù)據(jù)�,并采用已知木馬病毒檢測(cè)參數(shù)���、木馬病毒的 流量預(yù)警參數(shù)進(jìn)行綜合檢測(cè),得到木馬病毒預(yù)警信息,并將木馬病毒預(yù)警信息繼續(xù)按照木 馬病毒的周期檢測(cè)標(biāo)準(zhǔn)作進(jìn)一步檢測(cè)��,然后將檢測(cè)到的木馬活動(dòng)信息送入網(wǎng)絡(luò)木馬病毒管 理器處理���;而實(shí)現(xiàn)該方法的裝置則是以常規(guī)工業(yè)控制機(jī)作為基礎(chǔ)設(shè)置的功能模塊架構(gòu)裝 置��。采用本發(fā)明方法及其功能模塊架構(gòu)裝置具有在對(duì)內(nèi)網(wǎng)不產(chǎn)生任何額外的負(fù)擔(dān)的情況 下���,有效提高對(duì)網(wǎng)絡(luò)木馬病毒進(jìn)行綜合檢測(cè)、防御的性能和效果�����,對(duì)木馬病毒變種��、更新 的適應(yīng)性強(qiáng)��,防御面寬���、應(yīng)用范圍廣�,對(duì)內(nèi)網(wǎng)進(jìn)行整體防御而不需對(duì)單機(jī)分別設(shè)防等特點(diǎn)�。
圖1為本發(fā)明的帶預(yù)警功能的木馬病毒檢測(cè)方法流程示意圖(方框圖);
圖2本發(fā)明具體實(shí)施方式
用功能模塊架構(gòu)裝置結(jié)構(gòu)示意圖(方框圖)�;
圖3本發(fā)明實(shí)施方式帶預(yù)警功能的木馬病毒檢測(cè)方法流程示意圖(方框圖)�。
具體實(shí)施例方式
附圖2為本實(shí)施方式檢測(cè)用裝置的功能模塊架構(gòu)(結(jié)構(gòu))框圖�����。本實(shí)施方式采用 Arck-114R型工業(yè)控制機(jī)作為檢測(cè)裝置��;即在控制機(jī)內(nèi)的存儲(chǔ)器(可執(zhí)行存儲(chǔ)器和數(shù)據(jù)存儲(chǔ) 器)中分別設(shè)置參數(shù)初始化單元模塊��,錄入待檢測(cè)數(shù)據(jù)的單元模塊���,已知木馬病毒標(biāo)準(zhǔn)檢 測(cè)單元模塊�,木馬病毒流量預(yù)警標(biāo)準(zhǔn)檢測(cè)單元模塊����,木馬病毒周期檢測(cè)單元模塊,木馬病 毒告警單元模塊����,到期數(shù)據(jù)丟棄模塊及相應(yīng)的數(shù)據(jù)庫(kù);整個(gè)檢測(cè)裝置通過人機(jī)輸入接口設(shè) 置各功能模塊及對(duì)應(yīng)的參數(shù)���,通過網(wǎng)絡(luò)輸入接口與內(nèi)網(wǎng)網(wǎng)絡(luò)設(shè)備的偵聽端口連接并錄入待 檢測(cè)數(shù)據(jù)�,而通過網(wǎng)絡(luò)輸出接口與外網(wǎng)連接并向網(wǎng)絡(luò)管理器發(fā)送木馬病毒信息���。
下面以下述參數(shù)為例進(jìn)行說明����。
需要保護(hù)的內(nèi)網(wǎng)網(wǎng)段是(2. 7. 4. 30-2. 7. 4. 200);
網(wǎng)絡(luò)設(shè)備管理器地址為(120. 9. 7. 3);木馬流量檢測(cè)標(biāo)準(zhǔn)(參數(shù))
已知木馬病毒標(biāo)準(zhǔn)檢測(cè)參數(shù)�����,簡(jiǎn)記為l(已知檢測(cè)標(biāo)準(zhǔn)集)��;
RST報(bào)文流量檢測(cè)標(biāo)準(zhǔn)為1分鐘內(nèi)不允許重復(fù)出現(xiàn)5次��,簡(jiǎn)記為2. 1 (1��, 5);
郵件行為流量檢測(cè)標(biāo)準(zhǔn)為在2天內(nèi)不允許重復(fù)出現(xiàn)3次從內(nèi)網(wǎng)地址中傳出的收件人地 址和主題均相同的郵件�����,簡(jiǎn)記為2.2(2����, 3);
通信連接行為流量檢測(cè)標(biāo)準(zhǔn)為在10分鐘內(nèi)不允許重復(fù)出現(xiàn)3次從內(nèi)網(wǎng)地址流出到一 外網(wǎng)地址的數(shù)據(jù)流量,與從該外網(wǎng)地址流入內(nèi)網(wǎng)地址的數(shù)據(jù)流量的差異程度達(dá)到2倍及兩 倍以上的情況��,簡(jiǎn)記為2.3(10�, 3, 2);
關(guān)鍵字為"機(jī)密設(shè)計(jì)文件"���,簡(jiǎn)記為2.4("機(jī)密設(shè)計(jì)文件");
經(jīng)過加密處理的報(bào)文檢測(cè)標(biāo)準(zhǔn)為從網(wǎng)流出到外網(wǎng)的數(shù)據(jù)流量中出現(xiàn)加密字符��,簡(jiǎn)記為 2.5(加密字符)���。
分析數(shù)據(jù)存儲(chǔ)期限為2天�,簡(jiǎn)記為2.6(2)�。
為簡(jiǎn)化敘述,將上述木馬流量預(yù)警檢測(cè)標(biāo)準(zhǔn)簡(jiǎn)記為2(木馬流量預(yù)警標(biāo)準(zhǔn)集)�。 RST報(bào)文周期檢測(cè)標(biāo)準(zhǔn)為,從內(nèi)網(wǎng)傳到相同的外網(wǎng)IP地址的RST報(bào)文��,在10分鐘內(nèi)
呈現(xiàn)周期性�����,簡(jiǎn)記3.1(10);
郵件行為周期檢測(cè)標(biāo)準(zhǔn)為���,從內(nèi)網(wǎng)發(fā)往外網(wǎng)同一郵件地址����,在10天內(nèi)呈現(xiàn)周期性,
簡(jiǎn)記為3.2(10);
通信流量行為周期檢測(cè)標(biāo)準(zhǔn)為�,從內(nèi)網(wǎng)發(fā)往同一外網(wǎng)IP地址的數(shù)據(jù)流量,在7天內(nèi) 呈現(xiàn)周期性�����,簡(jiǎn)記3.3(7);
預(yù)警數(shù)據(jù)存儲(chǔ)期限為30天��,簡(jiǎn)記為3.4(30)�。
為簡(jiǎn)化敘述�����,將上述木馬病毒周期檢測(cè)標(biāo)準(zhǔn)簡(jiǎn)記為3(木馬病毒周期檢測(cè)標(biāo)準(zhǔn)集)���。 其綜合檢測(cè)方法包括
A. 檢測(cè)參數(shù)的初始化處理將需要保護(hù)的內(nèi)網(wǎng)網(wǎng)段(2.7.4.30-2.7.4.200)����、木馬病毒管 理器網(wǎng)絡(luò)地址(120.9.7.3),以及已知木馬病毒檢測(cè)標(biāo)準(zhǔn)l(己知檢測(cè)標(biāo)準(zhǔn)集)�、未知木馬病毒 流量預(yù)警標(biāo)準(zhǔn)2(木馬流量預(yù)警標(biāo)準(zhǔn)集)、未知木馬病毒周期檢測(cè)標(biāo)準(zhǔn)3(木馬病毒周期檢測(cè) 標(biāo)準(zhǔn)集)進(jìn)行初始化設(shè)置��;
B. 錄入待檢測(cè)數(shù)據(jù)從內(nèi)網(wǎng)偵聽端口錄入數(shù)據(jù)�����,然后抽取數(shù)據(jù)中記錄的內(nèi)網(wǎng)地址、 內(nèi)網(wǎng)端口號(hào)�����、外網(wǎng)地址��、外網(wǎng)端口號(hào)�、數(shù)據(jù)流向、數(shù)據(jù)量大小�、協(xié)議編號(hào)、關(guān)鍵字?jǐn)?shù)據(jù)�����、 出現(xiàn)時(shí)間��,作為待檢測(cè)的原始數(shù)據(jù)以備檢測(cè)�����;
C. 按已知木馬病毒標(biāo)準(zhǔn)檢測(cè)首先按照已知的木馬病毒特征標(biāo)準(zhǔn)l(已知檢測(cè)標(biāo)準(zhǔn)集) 對(duì)待檢測(cè)的原始數(shù)據(jù)進(jìn)行對(duì)比分析檢測(cè)�,若與任一已知的木馬病毒標(biāo)準(zhǔn)相符,則將原始數(shù)據(jù)以及觸發(fā)的檢測(cè)標(biāo)準(zhǔn)和觸發(fā)時(shí)間作為木馬病毒信息�����,送網(wǎng)絡(luò)木馬病毒管理器作后繼處 理;若不符合己知的木馬病毒標(biāo)準(zhǔn)����,則轉(zhuǎn)下一步繼續(xù)檢測(cè);
D. 按木馬病毒流量預(yù)警標(biāo)準(zhǔn)檢測(cè)將經(jīng)步驟C檢測(cè)后輸入的數(shù)據(jù)��,與數(shù)據(jù)庫(kù)中在先 的分析數(shù)據(jù)逐一進(jìn)行比對(duì)檢測(cè)����,如果數(shù)據(jù)庫(kù)中已經(jīng)存在與輸入數(shù)據(jù)對(duì)應(yīng)的分析數(shù)據(jù)�,則按 照設(shè)定的未知木馬病毒的流量預(yù)警標(biāo)準(zhǔn)2(木馬流量預(yù)警標(biāo)準(zhǔn)集)逐一進(jìn)行對(duì)比分析檢測(cè), 若與任一病毒流量預(yù)警檢測(cè)標(biāo)準(zhǔn)相符�����,則將分析數(shù)據(jù)以及觸發(fā)的預(yù)警標(biāo)準(zhǔn)和觸發(fā)時(shí)間�,作 為達(dá)到木馬病毒預(yù)警標(biāo)準(zhǔn)的預(yù)警病毒數(shù)據(jù),送網(wǎng)絡(luò)木馬病毒管理器作預(yù)警處理��、并轉(zhuǎn)下一 步驟對(duì)預(yù)警數(shù)據(jù)作進(jìn)一步比對(duì)檢測(cè)處理����,若均不相符亦轉(zhuǎn)步驟F作數(shù)據(jù)丟棄處理;如果數(shù) 據(jù)庫(kù)中無(wú)在先分析數(shù)據(jù)或不存在對(duì)應(yīng)分析數(shù)據(jù),則將該輸入的數(shù)據(jù)存入數(shù)據(jù)庫(kù)中���,作為分 析數(shù)據(jù)�����;
E. 按木馬病毒周期標(biāo)準(zhǔn)檢測(cè)將經(jīng)步驟D檢測(cè)后達(dá)到預(yù)警標(biāo)準(zhǔn)的數(shù)據(jù)���,標(biāo)記為預(yù)警 數(shù)據(jù),并按照設(shè)定的未知木馬病毒的周期標(biāo)準(zhǔn)3(木馬病毒周期檢測(cè)標(biāo)準(zhǔn)集)與數(shù)據(jù)庫(kù)中在 先的預(yù)警數(shù)據(jù)逐一進(jìn)行對(duì)比分析檢測(cè)�����,若與任一未知木馬病毒周期檢測(cè)標(biāo)準(zhǔn)相符����,則將該 數(shù)據(jù)以及觸發(fā)的周期檢測(cè)標(biāo)準(zhǔn)和觸發(fā)時(shí)間,作為帶木馬病毒的信息�,送網(wǎng)絡(luò)木馬病毒管理 器作后繼處理、同時(shí)轉(zhuǎn)下一步驟對(duì)分析數(shù)據(jù)和預(yù)警數(shù)據(jù)作丟棄處理����,若均不相符亦轉(zhuǎn)下一 步驟對(duì)分析數(shù)據(jù)和預(yù)警數(shù)據(jù)作丟棄處理;
F. 對(duì)分析數(shù)據(jù)和預(yù)警數(shù)據(jù)丟棄處理將當(dāng)前時(shí)間與數(shù)據(jù)庫(kù)中的分析數(shù)據(jù)和預(yù)警數(shù)據(jù) 的錄入時(shí)間之差�,分別逐一與設(shè)定的分析數(shù)據(jù)留存時(shí)間和預(yù)警數(shù)據(jù)留存時(shí)間進(jìn)行比對(duì)���,并 陸續(xù)將達(dá)到留存期限的數(shù)據(jù)丟棄。
在本實(shí)施例中����, 一旦出現(xiàn)巳知的木馬病毒,例如出現(xiàn)符合l(已知檢測(cè)標(biāo)準(zhǔn)集)中的任 一標(biāo)準(zhǔn)的數(shù)據(jù)�;或者出現(xiàn)木馬病毒的流量特征,例如出現(xiàn)符合2(木馬流量預(yù)警標(biāo)準(zhǔn)集)中 的任一標(biāo)準(zhǔn)的數(shù)據(jù)����;或者出現(xiàn)木馬病毒的周期特征,例如出現(xiàn)符合3(木馬周期檢測(cè)標(biāo)準(zhǔn)集) 中的任一標(biāo)準(zhǔn)的數(shù)據(jù)���,木馬綜合檢測(cè)器就會(huì)通過木馬病毒信息發(fā)送模塊經(jīng)網(wǎng)絡(luò)輸出接口, 向木馬病毒管理器發(fā)送在步驟C��、或者步驟D����、或者步驟E檢測(cè)出的木馬病毒信息。
權(quán)利要求
1. 一種帶預(yù)警功能的網(wǎng)絡(luò)木馬綜合檢測(cè)方法��,包括A. 檢測(cè)參數(shù)的初始化處理將需要保護(hù)的內(nèi)網(wǎng)網(wǎng)段�、檢測(cè)模塊網(wǎng)絡(luò)地址���、木馬病毒管理器網(wǎng)絡(luò)地址以及已知木馬病毒檢測(cè)標(biāo)準(zhǔn)、未知木馬病毒流量預(yù)警標(biāo)準(zhǔn)����、未知木馬病毒周期檢測(cè)標(biāo)準(zhǔn)進(jìn)行初始化設(shè)置;B. 錄入待檢測(cè)數(shù)據(jù)從內(nèi)網(wǎng)偵聽端口錄入數(shù)據(jù)��,然后抽取數(shù)據(jù)中記錄的內(nèi)網(wǎng)地址���、內(nèi)網(wǎng)端口號(hào)�、外網(wǎng)地址�����、外網(wǎng)端口號(hào)�、數(shù)據(jù)流向、數(shù)據(jù)量大小���、協(xié)議編號(hào)���、關(guān)鍵字?jǐn)?shù)據(jù)、出現(xiàn)時(shí)間���,作為待檢測(cè)的原始數(shù)據(jù)�、以備檢測(cè);C. 按已知木馬病毒標(biāo)準(zhǔn)檢測(cè)首先按照已知的木馬病毒特征標(biāo)準(zhǔn)對(duì)待檢測(cè)的原始數(shù)據(jù)進(jìn)行對(duì)比分析檢測(cè)�,若與任一已知的木馬病毒標(biāo)準(zhǔn)相符,則將原始數(shù)據(jù)以及觸發(fā)的檢測(cè)標(biāo)準(zhǔn)和觸發(fā)時(shí)間作為木馬病毒信息�,送網(wǎng)絡(luò)木馬病毒管理器作后繼處理;若不符合已知的木馬病毒標(biāo)準(zhǔn)����,則轉(zhuǎn)下一步繼續(xù)檢測(cè);D. 按木馬病毒流量預(yù)警標(biāo)準(zhǔn)檢測(cè)將經(jīng)步驟C檢測(cè)后輸入的數(shù)據(jù)��,與數(shù)據(jù)庫(kù)中在先的分析數(shù)據(jù)逐一進(jìn)行比對(duì)檢測(cè)��,如果數(shù)據(jù)庫(kù)中已經(jīng)存在與該輸入數(shù)據(jù)對(duì)應(yīng)的分析數(shù)據(jù)�,則按照設(shè)定的未知木馬病毒的流量預(yù)警標(biāo)準(zhǔn)逐一進(jìn)行對(duì)比分析檢測(cè),若與任一病毒流量預(yù)警檢測(cè)標(biāo)準(zhǔn)相符�,則將輸入數(shù)據(jù)以及觸發(fā)的預(yù)警標(biāo)準(zhǔn)和觸發(fā)時(shí)間,作為達(dá)到木馬病毒預(yù)警標(biāo)準(zhǔn)的預(yù)警數(shù)據(jù)��、送網(wǎng)絡(luò)木馬病毒管理器作預(yù)警處理�����,并轉(zhuǎn)下一步驟對(duì)預(yù)警數(shù)據(jù)作進(jìn)一步比對(duì)檢測(cè)處理�����,若均不相符則轉(zhuǎn)步驟F作數(shù)據(jù)丟棄處理�;如果數(shù)據(jù)庫(kù)中無(wú)在先分析數(shù)據(jù)或不存在對(duì)應(yīng)的分析數(shù)據(jù),則將該輸入數(shù)據(jù)存入數(shù)據(jù)庫(kù)中����,作為分析數(shù)據(jù);E. 按木馬病毒周期標(biāo)準(zhǔn)檢測(cè)將經(jīng)步驟D檢測(cè)后達(dá)到預(yù)警標(biāo)準(zhǔn)的數(shù)據(jù)����,標(biāo)記為預(yù)警數(shù)據(jù),并按照設(shè)定的未知木馬病毒的周期標(biāo)準(zhǔn)與數(shù)據(jù)庫(kù)中在先的預(yù)警數(shù)據(jù)逐一進(jìn)行對(duì)比分析檢測(cè)�����,若與任一未知木馬病毒周期檢測(cè)標(biāo)準(zhǔn)相符�,則將該數(shù)據(jù)以及觸發(fā)的周期檢測(cè)標(biāo)準(zhǔn)和觸發(fā)時(shí)間,作為帶木馬病毒的數(shù)據(jù)存入數(shù)據(jù)庫(kù)中并送網(wǎng)絡(luò)木馬病毒管理器作后繼處理�、同時(shí)轉(zhuǎn)下一步驟對(duì)分析數(shù)據(jù)和預(yù)警數(shù)據(jù)作丟棄處理,若均不相符亦轉(zhuǎn)下一步驟對(duì)分析數(shù)據(jù)和預(yù)警數(shù)據(jù)作丟棄處理�;F. 對(duì)分析數(shù)據(jù)和預(yù)警數(shù)據(jù)丟棄處理將當(dāng)前時(shí)間與數(shù)據(jù)庫(kù)中的分析數(shù)據(jù)和預(yù)警數(shù)據(jù)的錄入時(shí)間之差,分別逐一與設(shè)定的分析數(shù)據(jù)留存時(shí)間和預(yù)警數(shù)據(jù)留存時(shí)間進(jìn)行比對(duì)����,并陸續(xù)將達(dá)到留存期限的數(shù)據(jù)丟棄���。
2. 按權(quán)利要求1所述帶預(yù)警功能的網(wǎng)絡(luò)木馬綜合檢測(cè)方法,其特征在于所述設(shè)定的木馬病毒的流量預(yù)警標(biāo)準(zhǔn)包括復(fù)位報(bào)文檢測(cè)預(yù)警標(biāo)準(zhǔn)��,郵件行為檢測(cè)預(yù)警標(biāo)準(zhǔn)�����,通信連接行為檢測(cè)預(yù)警標(biāo)準(zhǔn)�,關(guān)鍵字檢測(cè)預(yù)警標(biāo)準(zhǔn),以及經(jīng)過加密處理的報(bào)文在內(nèi)的全部或部分預(yù)警標(biāo)準(zhǔn)�。
3. 按權(quán)利要求2所述帶預(yù)警功能的網(wǎng)絡(luò)木馬綜合檢測(cè)方法,其特征在于所述復(fù)位報(bào)文預(yù)警檢測(cè)標(biāo)準(zhǔn)為內(nèi)網(wǎng)傳出數(shù)據(jù)中的RST協(xié)議報(bào)文���,在規(guī)定時(shí)間范圍內(nèi)不允許重復(fù)傳出的次數(shù)���;而郵件行為檢測(cè)預(yù)警標(biāo)準(zhǔn)為從內(nèi)網(wǎng)中傳出的收件人地址和主題均相同的郵件,在規(guī)定時(shí)間范圍內(nèi)不允許重復(fù)傳出的次數(shù)���;通信連接行為檢測(cè)預(yù)警標(biāo)準(zhǔn)為��,在規(guī)定時(shí)間范圍內(nèi)從同一內(nèi)網(wǎng)地址流出到同一外網(wǎng)地址的數(shù)據(jù)流量,與從該外網(wǎng)地址返回該內(nèi)網(wǎng)地址的數(shù)據(jù)流量的差異程度不允許達(dá)到的值�;關(guān)鍵字檢測(cè)預(yù)警標(biāo)準(zhǔn)為從內(nèi)網(wǎng)流出到外網(wǎng)的數(shù)據(jù)流量中不允許出現(xiàn)的字符���;經(jīng)過加密處理的報(bào)文檢測(cè)預(yù)警標(biāo)準(zhǔn)則為從內(nèi)網(wǎng)流出到外網(wǎng)的數(shù)據(jù)流中不允許出現(xiàn)加密后的字符。
4. 按權(quán)利要求1所述帶預(yù)警功能的網(wǎng)絡(luò)木馬綜合檢測(cè)方法����,其特征在于所述未知木馬病毒周期檢測(cè)標(biāo)準(zhǔn)包括復(fù)位報(bào)文周期檢測(cè)標(biāo)準(zhǔn),郵件行為周期檢測(cè)標(biāo)準(zhǔn)以及通信周期檢測(cè)標(biāo)準(zhǔn)在內(nèi)的全部或部分標(biāo)準(zhǔn)���。
5. 按權(quán)利要求4所述帶預(yù)警功能的網(wǎng)絡(luò)木馬綜合檢測(cè)方法�,其特征在于所述復(fù)位報(bào)文周期檢測(cè)標(biāo)準(zhǔn)是待檢測(cè)數(shù)據(jù)中出現(xiàn)從內(nèi)網(wǎng)傳到相同的外網(wǎng)IP地址的RST報(bào)文�����,在預(yù)定的時(shí)間內(nèi)呈現(xiàn)周期性����;郵件行為周期檢測(cè)標(biāo)準(zhǔn)是待檢測(cè)數(shù)據(jù)中出現(xiàn)從內(nèi)網(wǎng)地址發(fā)往外網(wǎng)同一郵件地址,在預(yù)定的時(shí)間內(nèi)呈現(xiàn)周期性��;通信周期檢測(cè)標(biāo)準(zhǔn)是待檢測(cè)數(shù)據(jù)出現(xiàn)從內(nèi)網(wǎng)地址發(fā)往同一外網(wǎng)IP地址的數(shù)據(jù)流量��,在預(yù)定的時(shí)間內(nèi)呈現(xiàn)周期性��。
6. 按權(quán)利要求1所述帶預(yù)警功能的網(wǎng)絡(luò)木馬綜合檢測(cè)方法所采用的功能模塊架構(gòu)裝置,包括A. —個(gè)參數(shù)初始化處理單元模塊��,用于存儲(chǔ)需要保護(hù)的內(nèi)網(wǎng)網(wǎng)段�、檢測(cè)模塊網(wǎng)絡(luò)地址、木馬病毒管理器網(wǎng)絡(luò)地址以及各類網(wǎng)絡(luò)木馬病毒檢測(cè)標(biāo)準(zhǔn)的初始化參數(shù)的數(shù)據(jù)����;B. —個(gè)錄入待檢測(cè)數(shù)據(jù)單元模塊,用于抽取從內(nèi)網(wǎng)偵聽端口錄入的待檢測(cè)數(shù)據(jù)���,以備檢測(cè)�����;C. 一個(gè)已知木馬病毒標(biāo)準(zhǔn)檢測(cè)單元模塊�����,用于調(diào)用已知木馬病毒檢測(cè)標(biāo)準(zhǔn)��,對(duì)待檢測(cè)的原始數(shù)據(jù)進(jìn)行對(duì)比分析并判斷其是否符合已知木馬病毒檢測(cè)標(biāo)準(zhǔn)����;D. —個(gè)木馬病毒流量預(yù)警標(biāo)準(zhǔn)檢測(cè)單元模塊����,用于調(diào)用包括復(fù)位報(bào)文檢測(cè)預(yù)警標(biāo)準(zhǔn)�、郵件行為檢測(cè)預(yù)警標(biāo)準(zhǔn)�、通信連接行為檢測(cè)預(yù)警標(biāo)準(zhǔn)����,關(guān)鍵字檢測(cè)預(yù)警標(biāo)準(zhǔn),以及經(jīng)過加密處理的報(bào)文在內(nèi)的全部或部分檢測(cè)預(yù)警標(biāo)準(zhǔn)�����,對(duì)分析數(shù)據(jù)進(jìn)行逐一對(duì)比分析并判斷是否與任一木馬病毒流量預(yù)警標(biāo)準(zhǔn)相符���,是否作為分析數(shù)據(jù)存儲(chǔ)入數(shù)據(jù)庫(kù)�����;E. —個(gè)木馬病毒周期標(biāo)準(zhǔn)檢測(cè)單元模塊����,用于調(diào)用包括復(fù)位報(bào)文周期檢測(cè)標(biāo)準(zhǔn)����、郵件行為周期檢測(cè)標(biāo)準(zhǔn)、通信連接行為周期檢測(cè)標(biāo)準(zhǔn)在內(nèi)的全部或部分周期檢測(cè)標(biāo)準(zhǔn),對(duì)預(yù)警數(shù)據(jù)進(jìn)行逐一對(duì)比分析并判斷是否與任一木馬病毒周期標(biāo)準(zhǔn)相符�,是否作為預(yù)警數(shù)據(jù)存儲(chǔ)入數(shù)據(jù)庫(kù);F. —個(gè)木馬病毒信息發(fā)送單元模塊���,用于將木馬病毒流量標(biāo)準(zhǔn)預(yù)警檢測(cè)單元模塊和木馬病毒周期標(biāo)準(zhǔn)檢測(cè)單元模塊送出的信息���,發(fā)送到木馬病毒管理器;G. —個(gè)對(duì)分析數(shù)據(jù)和預(yù)警數(shù)據(jù)進(jìn)行丟棄處理的單元模塊�����,用于對(duì)分析數(shù)據(jù)和預(yù)警數(shù)據(jù)的滯留時(shí)間進(jìn)行判斷���,并陸續(xù)將達(dá)到設(shè)定存儲(chǔ)期限的分析數(shù)據(jù)和預(yù)警數(shù)據(jù)從數(shù)據(jù)庫(kù)中清除����。
全文摘要
該發(fā)明屬于網(wǎng)絡(luò)安全技術(shù)中帶預(yù)警功能的網(wǎng)絡(luò)木馬病毒綜合檢測(cè)方法及所用功能模塊裝置���。檢測(cè)方法包括檢測(cè)參數(shù)的初始化處理����,錄入待檢測(cè)數(shù)據(jù)��,按已知木馬病毒標(biāo)準(zhǔn)檢測(cè),按木馬病毒流量預(yù)警和周期標(biāo)準(zhǔn)檢測(cè)�,對(duì)分析和預(yù)警數(shù)據(jù)丟棄處理;而采用的功能模塊裝置包括初始化處理模塊���,錄入待檢測(cè)數(shù)據(jù)模塊�����,已知木馬病毒標(biāo)準(zhǔn)檢測(cè)模塊,木馬病毒流量預(yù)警標(biāo)準(zhǔn)檢測(cè)模塊���,木馬病毒周期標(biāo)準(zhǔn)檢測(cè)模塊�,木馬病毒發(fā)送模塊���,分析和預(yù)警數(shù)據(jù)丟棄處理模塊����。該發(fā)明具有對(duì)內(nèi)網(wǎng)不產(chǎn)生任何額外負(fù)擔(dān)��,有效提高了對(duì)網(wǎng)絡(luò)木馬病毒進(jìn)行綜合檢測(cè)�����、防御的性能和效果,對(duì)木馬病毒變種����、更新的適應(yīng)性強(qiáng),防御面寬���、應(yīng)用范圍廣��,對(duì)內(nèi)網(wǎng)進(jìn)行整體防御而不需對(duì)單機(jī)分別設(shè)防等特點(diǎn)����。
文檔編號(hào)G06F21/00GK101546367SQ20091005919
公開日2009年9月30日 申請(qǐng)日期2009年5月4日 優(yōu)先權(quán)日2009年5月4日
發(fā)明者王光衛(wèi), 范明鈺 申請(qǐng)人:電子科技大學(xué)