專利名稱:一種通過分析網(wǎng)絡(luò)行為檢測木馬程序的方法及裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明屬于網(wǎng)絡(luò)安全領(lǐng)域,特別涉及檢測木馬程序的方法和裝置��。
背景技術(shù):
現(xiàn)在�,INTERNET上木馬傳播的范圍越來越廣,造成的危害越來越大��。傳統(tǒng)殺毒軟件都是以特征碼對比技術(shù)殺毒�,特征碼即把病毒樣本原程序拿到,提 出程序中類似指紋的一段獨(dú)一無二的代碼��,加到殺毒軟件中�����,然后掃描所有文件�,如果有這 段特征碼,就是病毒�����,即可被殺掉�����。這種檢測木馬的技術(shù)只能檢測出已獲取樣本的木馬�����,對于未知�����、加殼���、變異的木 馬��,因?yàn)樵闯绦蛑械奶卣鞔a和已有的特征碼不一致�,所以就無法檢測出來�����。
發(fā)明內(nèi)容
本發(fā)明的目的是研發(fā)出一種通過分析對比網(wǎng)絡(luò)行為特征的方式檢測木馬程序的 方法及裝置�,具有檢測已知木馬、未知木馬以及木馬變種的能力�。本發(fā)明采用分析對比行為特征的方式檢測木馬,首先搜集局域網(wǎng)內(nèi)的網(wǎng)絡(luò)行為����, 提取分析其典型行為特征�,通過木馬外連�、信息竊取和信息外發(fā)網(wǎng)絡(luò)行為,實(shí)時(shí)檢測木馬��。 其過程是(附圖2所示)1)采集網(wǎng)絡(luò)數(shù)據(jù)包����;2)對數(shù)據(jù)包拆分重組;3)解析網(wǎng)絡(luò)行為方式��;4)將網(wǎng)絡(luò)行為與木馬行為特征庫進(jìn)行特征對比�����; 5)若行為特征相同�����,則產(chǎn)生報(bào)警行為��,若不相同�����,則捕獲下一個(gè)網(wǎng)絡(luò)數(shù)據(jù)包�����?;谀抉R網(wǎng)絡(luò)行為特征對比的檢測方法,是本系統(tǒng)的核心檢測方法��。系統(tǒng)按照木 馬網(wǎng)絡(luò)行為進(jìn)行了有效的分類���,并針對木馬網(wǎng)絡(luò)行為的分類來制定檢測方法����。系統(tǒng)從木馬 的外連����、信息竊取和信息外發(fā)這三個(gè)方面來進(jìn)行行為特征分析。通過對木馬行為的深入研 究和分析�,從而找到并制定出木馬檢測的規(guī)則。本發(fā)明所指的木馬行為定義為孤立性運(yùn)行行為和交互性運(yùn)行行為�。孤立性運(yùn)行行 為是指木馬的行為完全由木馬程序自身自主控制,完全不受外界的操控��,也不與外界發(fā)送 任何形勢的信息交換����。而交互性運(yùn)行行為指該行為是有木馬程序與外界系統(tǒng)進(jìn)行網(wǎng)絡(luò)交互 后產(chǎn)生����。例如信息竊取類木馬�����,其在宿主主機(jī)上進(jìn)行信息竊取的全過程屬于孤立性運(yùn)行行 為��,因?yàn)樾畔⒏`取的過程并不與外界產(chǎn)生交互��,也不會(huì)形成網(wǎng)絡(luò)流量���。而當(dāng)此類木馬將竊取 到得信息外發(fā)到外界接收端系統(tǒng)時(shí)����,該行為即為交互性運(yùn)行行為���。木馬此時(shí)需要與外界系 統(tǒng)進(jìn)行網(wǎng)絡(luò)信息交換才能完成此運(yùn)行行為��。以下是本發(fā)明對木馬外連�����、信息竊取和信息外發(fā)這三個(gè)方面的檢測方法分析���。(1)外連木馬外連這一行為特征與木馬的功能特點(diǎn)密不可分。木馬其主要功能目的是用于獲取木馬種植者(通常為黑客)所關(guān)心的信息���,或者成為木馬種植者進(jìn)行非法行為的幫兇�。 例如在進(jìn)行DDoS攻擊時(shí)�����,木馬種植者經(jīng)常會(huì)利用受其控制的肉雞(被植入攻擊型木馬程序 的主機(jī))��,驅(qū)使肉雞對攻擊目標(biāo)發(fā)動(dòng)攻擊��。為了完成木馬本身的使命��,木馬程序必將會(huì)與外界系統(tǒng)發(fā)生交互����,從而產(chǎn)生網(wǎng)絡(luò) 會(huì)話。因此���,可以從主機(jī)每日大量的網(wǎng)絡(luò)會(huì)話中����,發(fā)現(xiàn)木馬的網(wǎng)絡(luò)會(huì)話特征,從而建立木馬 檢測規(guī)則����,用于對該木馬,及其同類型的木馬進(jìn)行檢測���。通過對木馬樣本網(wǎng)絡(luò)會(huì)話的分析�, 可以得出木馬網(wǎng)絡(luò)會(huì)話的如下幾類特征a)連接信息獲取行為�。木馬程序?yàn)榱送瓿膳c外界系統(tǒng)的信息交換,必須定期更新 外界系統(tǒng)的相關(guān)信息���,比如外界系統(tǒng)的IP地址�、端口����、用戶名和密碼等等。通常木馬會(huì)采用 定期到指定的連接信息發(fā)布系統(tǒng)去獲取連接信息��。b)郵件發(fā)送行為����。信息竊取類木馬多采用郵件的形式發(fā)送竊取的信息��。c)長連接網(wǎng)絡(luò)會(huì)話���。當(dāng)木馬成功獲得外界系統(tǒng)的IP地址、端口���、用戶名和密碼等 相關(guān)信息后,通常會(huì)與外界系統(tǒng)建立一個(gè)長連接來完成信息交換���。d)網(wǎng)絡(luò)會(huì)話創(chuàng)建失敗�。由于木馬得到的外界系統(tǒng)的連接信息可能過期失效這一特 性��,木馬可能會(huì)產(chǎn)生針對某一固定地址連接失敗的網(wǎng)絡(luò)會(huì)話����。(2)信息竊取信息竊取屬于孤立性運(yùn)行行為,其主要目的是為了竊取信息資料���,以待日后擇機(jī) 將竊取到得資料發(fā)送給控制端���。由于信息竊取其孤立性特點(diǎn),即其所有行為均獨(dú)立的發(fā)生 在被木馬感染的主機(jī)之上����,并不與外部交互���,故不建立任何網(wǎng)絡(luò)會(huì)話,沒有通過網(wǎng)絡(luò)進(jìn)行信 息交換�,因此,無法從木馬的該項(xiàng)行為特征出發(fā)���,建立木馬的網(wǎng)絡(luò)行為檢測規(guī)則�。但是分析 木馬的該項(xiàng)行為仍具有非常重要的實(shí)用價(jià)值�����。因?yàn)橹灰私饬四抉R程序能竊取的信息資 料�����,就可以進(jìn)一步跟蹤木馬信息外發(fā)行為所要發(fā)送的信息資料的內(nèi)容��,也可以知道發(fā)送信 息資料將會(huì)對網(wǎng)絡(luò)會(huì)話流量產(chǎn)生何種程度的影響���。(3)信息外發(fā)由木馬的功能特性可知����,無論是何種類型的木馬,在其生存周期里面存在一個(gè)必 有環(huán)節(jié)���,即與外界建立網(wǎng)絡(luò)會(huì)話����,進(jìn)行信息交換�。木馬由于其類型的不同,與外界進(jìn)行信息 交互的特征也有所不同���,下面將對不同類型木馬的信息外發(fā)行為進(jìn)行分析��,發(fā)現(xiàn)其網(wǎng)絡(luò)會(huì) 話特征。a)控制類木馬�����。該類木馬的行為特征主要是受控于外界控制系統(tǒng)����,相應(yīng)外界控制 系統(tǒng)發(fā)送過來的執(zhí)行指令,并將執(zhí)行結(jié)果返回給控制系統(tǒng)��。此類木馬通常采用長連接的方 式與控制系統(tǒng)進(jìn)行通信,直到控制系統(tǒng)主動(dòng)斷開與木馬程序的網(wǎng)絡(luò)會(huì)話����。另外,由于此類木 馬完全受控于外界系統(tǒng)�����,而控制指令的信息相對產(chǎn)生的流量(流入)相對較小���,木馬將指令 執(zhí)行結(jié)果返回給控制系統(tǒng)的流量(流出)相對較大��。根據(jù)長連接和網(wǎng)絡(luò)流量的不對稱性���, 可以找到控制類木馬網(wǎng)絡(luò)行為的典型特征,并形成檢測規(guī)則�����。b)信息竊取類木馬�。該類木馬的行為特征是生命周期類所有操作基本都由木馬自 身自主完成。它不需要等待接收到外界控制系統(tǒng)的指令之后才開始其行為��,其功能在木馬 程序生成的時(shí)候已經(jīng)被賦予����。該類木馬的主要目的是信息竊取�����,因此木馬必須通過一個(gè)某 種類型的網(wǎng)絡(luò)會(huì)話����,將竊取到的信息發(fā)送到外界系統(tǒng)���。經(jīng)常被采用的協(xié)議有基于TCP/IP協(xié) 議進(jìn)行數(shù)據(jù)傳輸?shù)淖远x應(yīng)用協(xié)議��,采用HTTP����、FTP等應(yīng)用協(xié)議外發(fā)數(shù)據(jù)�����,采用SMTP協(xié)議將竊取到得數(shù)據(jù)通過郵件的方式外發(fā)等等����。通過分析以上特征可以發(fā)現(xiàn)該類木馬網(wǎng)絡(luò)行為的 典型特征�����,并形成檢測規(guī)則。c)攻擊工具類木馬�����。該類木馬由其類型名稱可以獲知���,其主要功能是受控于外界 控制系統(tǒng)���,對指定的攻擊目標(biāo)發(fā)動(dòng)網(wǎng)絡(luò)攻擊。通常該類木馬在沒有攻擊任務(wù)的時(shí)候�,處于一 種半休眠狀態(tài),在此期間該類木馬與外界的信息交互主要是從事先指定的某一外部服務(wù)器 處��,獲取攻擊任務(wù)��。當(dāng)木馬得到攻擊指令后����,將立即對攻擊目標(biāo)進(jìn)行攻擊,此時(shí)木馬將產(chǎn)生 大量的與攻擊目標(biāo)之間的網(wǎng)絡(luò)通信��,此類通信通常是一些會(huì)話時(shí)間非常短的連接���,很多甚 至是一些不完整的網(wǎng)絡(luò)會(huì)話�,例如發(fā)生頻率非常高的SYN DDoS攻擊,此類攻擊會(huì)產(chǎn)生大量 的只有SYN數(shù)據(jù)包的半連接網(wǎng)絡(luò)會(huì)話����。d)代理類木馬。該類木馬主要被木馬植入者用來作為通信中轉(zhuǎn)跳板�����,木馬植入者 在進(jìn)行非法活動(dòng)的過程中����,為了最大可能的隱藏自己的信息,通常會(huì)使用代理類木馬����,經(jīng)過 代理木馬將實(shí)際通信中轉(zhuǎn),這樣木馬植入者可以在行為敗露時(shí)����,最大限度的�、最有效的隱藏 自己的相關(guān)信息,可以為自己清理非法活動(dòng)證據(jù)獲得時(shí)間��。由此可見,代理類木馬主要完成 的工作就是信息中轉(zhuǎn)�����,因此輸入流量和輸出流量從總體上將趨于平衡�,即輸入流量與輸出 流量近似相等,根據(jù)該類木馬這一明顯特征��,即可形成檢測規(guī)則���。e)掃描類木馬��。該類木馬可以認(rèn)為是信息竊取類木馬的一個(gè)分支��,因?yàn)槠渲饕?的是對被植入的網(wǎng)絡(luò)進(jìn)行掃描���,從而獲取整個(gè)網(wǎng)絡(luò)范圍內(nèi),所有節(jié)點(diǎn)主機(jī)的相關(guān)信息��,其中 包括主機(jī)操作系統(tǒng)���、提供的網(wǎng)絡(luò)服務(wù)����、MAC地址、開放的網(wǎng)絡(luò)端口���、漏洞信息等等�。但是由于 其信息竊取的過程會(huì)產(chǎn)生內(nèi)部網(wǎng)絡(luò)會(huì)話��,因此將其獨(dú)立出來���,單獨(dú)分為一類�。掃描類木馬在 信息竊取過程中��,需要偵聽和掃描本地網(wǎng)絡(luò)�����,從而會(huì)產(chǎn)生大量的掃描類網(wǎng)絡(luò)會(huì)話連接�,由此 便可建立檢測規(guī)則。本發(fā)明所述的方法可以通過以下裝置實(shí)現(xiàn)����。本發(fā)明所述的裝置可由網(wǎng)絡(luò)數(shù)據(jù)采集器(簡稱采集器)、網(wǎng)絡(luò)數(shù)據(jù)分析機(jī)(簡稱分 析機(jī))組成�。所述的采集器,包括數(shù)據(jù)采集模塊、數(shù)據(jù)轉(zhuǎn)發(fā)模塊���,數(shù)據(jù)采集模塊采集網(wǎng)絡(luò)數(shù)據(jù) 包,并經(jīng)數(shù)據(jù)轉(zhuǎn)發(fā)模塊發(fā)送到分析機(jī)做處理���。所述的分析機(jī)�����,包括數(shù)據(jù)接收器��、協(xié)議解析器����、數(shù)據(jù)持久化模塊���、規(guī)則挖掘模塊���、策 略制定模塊、關(guān)聯(lián)分析器���、安全事件報(bào)告模塊����,數(shù)據(jù)接收器接收采集器發(fā)送的數(shù)據(jù),并將數(shù) 據(jù)交協(xié)議解析器進(jìn)行會(huì)話重組�����,會(huì)話重組后保存于數(shù)據(jù)持久化模塊中��;規(guī)則挖掘模塊訪問 持久化模塊中的數(shù)據(jù)�,進(jìn)行網(wǎng)絡(luò)行為規(guī)則挖掘,生產(chǎn)網(wǎng)絡(luò)行為的黑�、白名單,關(guān)聯(lián)分析模塊 利用規(guī)則挖掘模塊生產(chǎn)的網(wǎng)絡(luò)行為規(guī)則和策略制定模塊的策略選擇�,進(jìn)行關(guān)聯(lián)分析,生成 安全事件報(bào)告�����,最后將安全事件報(bào)告呈現(xiàn)給前端系統(tǒng)�����。下表為各模塊的功能描述�����。
本發(fā)明使用行為特征分析方法檢測木馬,與現(xiàn)有的程序特征碼比對技術(shù)相比�,其 最大的優(yōu)點(diǎn)在于不僅能夠檢測已知類型的木馬,而且能檢測未知類型的木馬�,特別對加殼、 加免殺等木馬變種�,具有很好的檢測效果���。本發(fā)明采取旁路部署的方式��,不影響客戶原有網(wǎng)絡(luò)結(jié)構(gòu)和應(yīng)用系統(tǒng)��,不受操作系 統(tǒng)和網(wǎng)絡(luò)結(jié)構(gòu)��、帶寬的限制�,具有很好的兼容性和適應(yīng)性��。
附圖1為本發(fā)明木馬檢測系統(tǒng)流程圖��。附圖2為本發(fā)明裝置示意圖�����。附圖3為本發(fā)明應(yīng)用實(shí)例的示意圖�����。
具體實(shí)施例方式本發(fā)明將通過以下應(yīng)用實(shí)例作進(jìn)一步說明。附圖3為本發(fā)明的一個(gè)應(yīng)用實(shí)例的示意圖�,圖中所示本裝置,為本發(fā)明所述的裝置���。本發(fā)明裝置(系統(tǒng))采用旁路連接方式接入網(wǎng)絡(luò)�����,部署在網(wǎng)絡(luò)進(jìn)�����、出口處����,對全網(wǎng) 進(jìn)出Internet的所有信息流進(jìn)行全面監(jiān)控���。旁路連接方式可以減少單點(diǎn)故障點(diǎn)��,保證系統(tǒng) 的可用性��。
通過將本發(fā)明裝置(系統(tǒng))部署在多個(gè)關(guān)鍵網(wǎng)段(如安全管理區(qū)��、DMZ區(qū)��、服務(wù)器 區(qū)及辦公區(qū))實(shí)現(xiàn)多處監(jiān)控�����。利用系統(tǒng)安全中心集中管理多臺(tái)網(wǎng)絡(luò)探測器�����,便于安全信息 的集中管理,以便實(shí)時(shí)掌握全網(wǎng)的安全狀況。
權(quán)利要求
一種通過分析網(wǎng)絡(luò)行為檢測木馬程序的方法��,其特征是采用分析對比行為特征的方式檢測木馬�,首先搜集局域網(wǎng)內(nèi)的網(wǎng)絡(luò)行為,提取分析其典型行為特征�,通過木馬外連、信息竊取和信息外發(fā)網(wǎng)絡(luò)行為��,實(shí)時(shí)檢測木馬��,其過程是1)采集網(wǎng)絡(luò)數(shù)據(jù)包�;2)對數(shù)據(jù)包拆分重組;3)解析網(wǎng)絡(luò)行為方式��;4)將網(wǎng)絡(luò)行為與木馬行為特征庫進(jìn)行特征對比;5)若行為特征相同����,則產(chǎn)生報(bào)警行為,若不相同��,則捕獲下一個(gè)網(wǎng)絡(luò)數(shù)據(jù)包���。
2.根據(jù)權(quán)利要求所述的方法���,其特征是所述的網(wǎng)絡(luò)行為特征為木馬的外連、信息竊取 和信息外發(fā)�。
3.實(shí)現(xiàn)根據(jù)權(quán)利要求1所述的方法的裝置,其特征是由網(wǎng)絡(luò)數(shù)據(jù)采集器�、網(wǎng)絡(luò)數(shù)據(jù)分 析機(jī)組成;所述的采集器�,包括數(shù)據(jù)采集模塊、數(shù)據(jù)轉(zhuǎn)發(fā)模塊��,數(shù)據(jù)采集模塊采集網(wǎng)絡(luò)數(shù)據(jù)包��,并 經(jīng)數(shù)據(jù)轉(zhuǎn)發(fā)模塊發(fā)送到分析機(jī)做處理��。所述的分析機(jī)���,包括數(shù)據(jù)接收器�、協(xié)議解析器、數(shù)據(jù)持久化模塊��、規(guī)則挖掘模塊����、策略制 定模塊、關(guān)聯(lián)分析器��、安全事件報(bào)告模塊�����,數(shù)據(jù)接收器接收采集器發(fā)送的數(shù)據(jù)����,并將數(shù)據(jù)交 協(xié)議解析器進(jìn)行會(huì)話重組�����,會(huì)話重組后保存于數(shù)據(jù)持久化模塊中�;規(guī)則挖掘模塊訪問持久 化模塊中的數(shù)據(jù),進(jìn)行網(wǎng)絡(luò)行為規(guī)則挖掘�,生產(chǎn)網(wǎng)絡(luò)行為的黑����、白名單���,關(guān)聯(lián)分析模塊利用 規(guī)則挖掘模塊生產(chǎn)的網(wǎng)絡(luò)行為規(guī)則和策略制定模塊的策略選擇��,進(jìn)行關(guān)聯(lián)分析��,生成安全 事件報(bào)告����,最后將安全事件報(bào)告呈現(xiàn)給前端系統(tǒng)�����。
4.權(quán)利要求3所述裝置的應(yīng)用�,其特征是將所述的裝置以旁路并聯(lián)的方式接入局域網(wǎng) 絡(luò)上。
全文摘要
一種通過分析網(wǎng)絡(luò)行為檢測木馬程序的方法和裝置�����,本發(fā)明采用分析對比行為特征的方式檢測木馬��,首先搜集局域網(wǎng)內(nèi)的網(wǎng)絡(luò)行為����,分析其典型行為特征��,通過木馬外連�����、信息竊取和信息外發(fā)網(wǎng)絡(luò)行為�,實(shí)時(shí)檢測木馬�����;本裝置由采集器和分析機(jī)兩部分組成�,采集器采集網(wǎng)絡(luò)數(shù)據(jù)包并發(fā)送給分析機(jī),分析機(jī)將數(shù)據(jù)重組����,提取其典型行為特征并與木馬特征庫做關(guān)聯(lián)分析,最后生成安全事件報(bào)告呈現(xiàn)給前段系統(tǒng)���。本發(fā)明使用行為特征分析技術(shù)檢測木馬,與現(xiàn)有的程序特征碼比對技術(shù)相比���,其優(yōu)點(diǎn)在于不僅能夠檢測已知類型的木馬�,而且能檢測未知類型的木馬,特別對加殼��、加免殺等木馬變種和變異��,具有很好的檢測效果����。
文檔編號H04L12/26GK101854275SQ201010182380
公開日2010年10月6日 申請日期2010年5月25日 優(yōu)先權(quán)日2010年5月25日
發(fā)明者何濤, 孫丹鳴, 楊更 申請人:軍工思波信息科技產(chǎn)業(yè)有限公司