CN102045220A - 木马监控审计方法及*** - Google Patents
木马监控审计方法及*** Download PDFInfo
- Publication number
- CN102045220A CN102045220A CN 201010596416 CN201010596416A CN102045220A CN 102045220 A CN102045220 A CN 102045220A CN 201010596416 CN201010596416 CN 201010596416 CN 201010596416 A CN201010596416 A CN 201010596416A CN 102045220 A CN102045220 A CN 102045220A
- Authority
- CN
- China
- Prior art keywords
- wooden horse
- network
- session
- behavior
- horse
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种木马监控审计方法及***。其中,该方法包括:实时采集网络数据包;当前会话确定步骤,检查网络数据包是否属于已经建立的网络会话,如果是,则***到已建立的会话中,否则建立新的会话;判断当前会话是否是木马通信会话,如果是,则在当前会话是属于木马网络通信会话时,记录木马网络通信会话的内容;依据记录的木马网络通信会话的内容,检测是否是木马网络操作行为,若是,记录并监测木马网络操作行为。基于本发明,不仅能够对木马的类型进行识别,而且能够对木马的网络行为进行监控。
Description
技术领域
本发明涉及信息技术网络安全领域,尤其涉及一种木马监控审计方法及***。
背景技术
木马程序相对传统病毒的危害程度更高,它不但能破坏主机***,使主机***瘫痪,而且能够完全控制目标主机,通过远程控制端对目标主机实施任何可以在本地的操作,同时也能将本地目标主机中的文件下载到木马控制端上和上传新的木马程序或其它病毒程序。而目前对木马的检测与防护主要是采用基于病毒查杀、桌面主动防御、安全病毒网关、防火墙等产品,这些产品的所采用的技术主要有三类:
第一类,基于木马程序的静态特征识别木马。通过对木马程序进行静态分析,提取出可用于识别木马程序的特征串,作为识别、检测病毒的特征库,病毒查杀、桌面主动防御、安全病毒网关基本采用这种技术,如卡巴斯基的防病毒软件、360的杀毒软件和桌面主动防御软件等。
第二类,基于网络异常通信行为阻断方式阻断木马通信的连接。通过在防火墙上配置过滤规则,只允许正常的网络通信会话流通过,如http、email等应用协议的会话,而对其它的网络通信会话则阻断其通信连接,从而阻断了木马程序的网络通信。
第三类,基于网络通信行为特征识别木马。该技术是由中国人民解放军信息技术安全研究中心与国都兴业信息审计***技术有限共同研究的,并申请了专利,其专利申请号是20091010157268.5,该技术的核心是通过对木马程序在网络通信的过程中的网络通信行为特征来对木马进行识别和检测。应用了网络行为监测技术。该技术的优点是不受木马程序加壳、加花、变异的影响,不依赖主机***环境。
从对木马检测的技术分析,对木马的识别与检测技术可以归结为两类,一类是基于静态特征,就是木马程序本身所具备的特征,另外一类是基于网络通信行为特征,也叫动态特征。通过对木马程序在进行网络通信时,对其网络通信的会话流进行分析,提取出其特征,作为识别木马的依据。
针对目前木马识别、检测技术,其缺点主要包括如下几方面:
1)利用静态木马程序特征识别木马,能够识别已知的木马,但是对加壳、变异、加花的木马程序则不能识别,必须重新分析,提取其新的特征,加入到木马特征库中。随着加壳、加花技术的普及与相关软件越来越多,大量的变种木马在网络上泛滥,不但增加了木马分析的工作量,也造成了特征库的频繁更新。
2)基于静态特征方式识别、检测不但会随着特征库数量增加越来越庞大,造成检测性能的下降,而且会影响目标主机***的性能,将会占用越来越多的CPU、内存、磁盘资源;另外由于分析新的特征需要一定的时间,也会造成响应的滞后性,该技术途径无法确定木马程序是否已经运行过,做过什么类型的操作等。
3)对操作***的依赖性,大部分木马检测与防护产品都是基于主机***开发的,需要安装在目标主机的操作***中,如:卡巴斯基、360、趋势、诺顿等研发的杀毒、主动防御软件产品,都需要安装在***中,一个产品多个不同的***版本。
4)随着木马的翻墙技术、端口反弹技术的应用普及,基于网络异常通信行为阻断木马通信连接的有效性也越来越低,很多木马程序在进行网络通信时采用了标准的网络通信端口,如80端口,并且采用反向连接技术,由被控端木马的代理程序主动通过80端口去与控制端程序建立连接,这种方式会造成防火墙误认为是一个正常的基于Web访问的一个连接而放行。该技术不对具体的木马进行检测与控制,不对网络通信内容进行处理分析,无法确定是否是真的木马在通信,无法知道木马通信的内容及传输文件的内容。
5)基于网络通信行为特征识别木马,只是通过其网络通信行为特征识别出其木马类型,而对其木马通信的关键的网络活动如获取***信息、修改***配置、删除文件、下载文件、上传文件等的网络行为和内容没有做进一步分析。
发明内容
本发明的目的在于提供一种木马监控审计方法及***。基于本发明,不仅能够对木马的类型进行识别,而且能够对木马的网络行为进行监控。
本发明公开了一种木马监控审计方法,包括:采集步骤,实时采集网络数据包;当前会话确定步骤,检查网络数据包是否属于已经建立的网络会话,如果是,则***到已建立的会话中,否则建立新的会话;所述已建立的会话或所述新的会话作为当前会话;会话内容记录步骤,检测当前会话是否为木马网络通信会话;若是,记录木马网络通信会话的内容;木马网络操作行为检测步骤,依据记录的木马网络通信会话的内容,检测是否是木马网络操作行为,若是,记录并监测木马网络操作行为;其中,木马网络操作行为的类型包括:木马文件操作、木马屏幕操作、木马命令操作和进程/服务操作。
上述木马监控审计方法,优选在所述木马网络操作行为的类型是木马文件操作或木马命令操作时,所述木马网络操作行为检测步骤后还设置有:还原步骤,依据木马网络操作行为的特征对操作内容进行还原。
上述木马监控审计方法,优选所述木马网络操作行为检测步骤后还设置有:木马网络操作审计步骤,基于木马网络操作行为的特性进行报警和/或提供事后审计。
上述木马监控审计方法,优选所述会话内容记录步骤中,通过将木马通信行为特征库与所述网络数据包的协议类型、通信端口号和数据载荷进行匹配的方式检测当前会话是否为木马网络通信会话;并且,在是木马网络通信会话的情况下,发出报警信息。
上述木马监控审计方法,优选所述采集步骤和所述当前会话确定步骤之间,还包括有:解析步骤,对所述网络数据包进行链路协议、网络协议、传输层协议、应用层协议的解析;有效包验证步骤,基于解析结果,确定对所述网络数据包进行过滤,并在网络数据包为无效包的情况下,丢弃该网络数据包。
上述木马监控审计方法,优选所述采集步骤中,基于内存映射技术,将核心态采集接口驱动程序的内存缓存区映射到用户态内存缓存空间上进行网络数据包的采集。
上述木马监控审计方法,优选所述解析步骤包括提取MAC地址、IP地址、网络协议类型、通信端口号以及应用层的数据载荷。
上述木马监控审计方法,优选所述当前会话确定步骤中,采用Hash表建立所述新的会话表的数据结构,利用五元组计算出Hash值,进行地址映射。
上述木马监控审计方法,优选所述还原步骤中,基于TCP流重组技术,对木马操作行为传输信息的内容进行还原;当传输结束时,输出还原的内容到磁盘。
上述木马监控审计方法,优选所述会话内容记录步骤中,所述木马通信行为特征库依据下述方法进行更新:步骤a、收集木马标本程序,并建立网络模拟环境,将木马程序安装在模拟环境的主机设备上;步骤b、运行木马程序,并执行木马控制端提供的功能操作;步骤c、通过网络数据包抓取工具对木马通信的网络数据包进行采集并保存;步骤d、分析抓取的网络数据包,从网络数据包中提取其网络通信行为特征,包括上线行为特征及网络操作行为特征;步骤e、将提取的特征加入到已有特征库中,并让本***的探针模块重新加载新的木马通信行为特征库;步骤f、建立闭环测试验证环境,并部署测试验证环境;重复步骤b,查看***是否有报警信息,如果没有报警信息或误报,则转到步骤d,重新提取特征,并继续后续的工作,否则转到步骤h,进行开环测试验证;步骤h、建立开环测试验证环境,并部署到测试验证环境;步骤i、访问互联网上的应用,查看***是否有误报事件,如果有,则转到步骤d;针对不同的木马标本程序,重复如上a-i过程;当所有收集的木马特征分析及提取完毕,发布新的木马通信行为特征库。
另一方面,本发明还公开了一种木马监控审计***,其特征在于,包括探针模块,所述探针模块包括:采集模块,用于实时采集网络数据包;当前会话确定模块,用于检查网络数据包是否属于已经建立的网络会话,如果是,则***到已建立的会话中,否则建立新的会话;所述已建立的会话或所述新的会话作为当前会话;会话内容记录模块,用于判断当前会话是否是木马通信会话,如果是,则在当前会话是属于木马网络通信会话时,记录木马网络通信会话的内容;木马网络操作行为检测模块,用于依据记录的木马网络通信会话的内容,检测是否是木马网络操作行为,若是,记录并监测木马网络操作行为;其中,木马网络操作行为的类型包括:木马文件操作、木马屏幕操作、木马命令操作和进程/服务操作。
上述木马监控审计***,优选在所述木马网络操作行为的类型是木马文件操作或木马命令操作时,所述木马网络操作行为检测模块还连接有:还原模块,用于判断所述木马网络操作行为是否包含内容,若是,则还原网络操作的内容。
上述木马监控审计***,优选所述木马网络操作行为检测模块后还连接有:木马网络操作审计模块,用于基于木马网络操作行为的特性进行报警和/或提供事后审计。
上述木马监控审计***,优选所述会话内容记录模块中,通过将木马通信行为库与所述网络数据包的协议类型、通信端口号和数据载荷进行匹配的方式检测当前会话是否为木马网络通信会话;并且,在是木马网络通信会话的情况下,发出报警信息。
上述木马监控审计***,优选所述采集模块和所述当前会话确定模块之间,还连接有:解析模块,用于对所述网络数据包进行链路协议、网络协议、传输层协议、应用层协议的解析;有效包验证模块,用于基于解析结果,确定对所述网络数据包进行过滤,并在网络数据包为无效包的情况下,丢弃该网络数据包。
上述木马监控审计***,优选所述会话内容记录模块中,所述木马通信行为库依据下述方法进行更新:步骤a、收集木马标本程序,并建立网络模拟环境,将木马程序安装在模拟环境的主机设备上;步骤b、运行木马程序,并执行木马控制端提供的功能操作;步骤c、通过网络数据包抓取工具对木马通信的网络数据包进行采集并保存;步骤d、分析抓取的网络数据包,从网络数据包中提取其网络通信行为特征,包括上线行为特征及网络操作行为特征;步骤e、将提取的特征加入到已有特征库中,并让本***的探针模块重新加载新的木马通信行为库;步骤f、建立闭环测试验证环境,并部署测试验证环境;重复步骤b,查看***是否有报警信息,如果没有报警信息或误报,则转到步骤d,重新提取特征,并继续后续的工作,否则转到步骤h,进行开环测试验证;步骤h、建立开环测试验证环境,并部署到测试验证环境;步骤i、访问互联网上的应用,查看***是否有误报事件,如果有,则转到步骤d;针对不同的木马标本程序,重复如上a-i过程;当所有收集的木马特征分析及提取完毕,发布新的木马通信行为库。
本发明的优点为:
第一、本发明采用旁路监听的方式实时采用网络上的会话流,不占用用户网络的通信资源,不影响用户网络的性能,也不需要在用户的主机***中安装任何软件,只要将被监测网络的数据流利用交换机镜像、集线器、分流器等设备旁路到本***探针的采集接口上,就能实现对木马网络通信的实时监测。
第二、本发明能够及时的掌握木马的活动情况,准确定位被控目标、控制端的位置。通过对木马上线及对目标***实施的各种网络操作行为的实时监测,当发现有木马上线和进行网络活动时,及时的发送报警信息的监控控制台。通过对木马通信的网络通信地址进行跟踪和定位,能够准确的确定被控目标、控制端的物理位置。
第三、本发明能够及时发现新的木马程序。木马为了能够长时间的控制“肉鸡”,防止被主机***安装的杀毒软件、木马专杀工具等检测到和清除,不断的会将新版本的木马程序上传到被控端。如果能够及时监测到上传的新的木马程序,可以快速采取措施,如将上传的文件删除,或作为木马特征分析的标本等;
第四、本发明能够使用户及时的发现木马操作的行为和内容,实时监测木马在网络上的各种操作行为,如:查看***资源、活动的进程操作,浏览、删除、创建目录操作,文件的上传、下载操作,能够对木马的网络操作行为进行深层次的分析,当木马安全事件发生后,可根据被窃取信息的保密级别、重要程度快速采取补救措施,将损失降到最低。
第五、本发明完整、详细的记录了木马的各种网络操作行为事件及通信的会话内容,并对关键的网络通信会话内容进行还原;定期生成安全事件报告发给用户,使用户能够了解用户网络的安全态势。
附图说明
图1为现有技术中木马的工作原理示意图;
图2为本发明木马监控方法一个实施例的步骤流程图;
图3为本发明木马监控方法一个实施例的步骤流程图;
图4为本发明木马监控方法中,特征库的更新步骤流程图;
图5为木马程序安装的网络模拟环境示意图;
图6为闭环测试验证环境示意图;
图7为开环测试验证环境示意图;
图8为木马监控审计***的逻辑结构示意图;
图9为本发明木马监控审计***中,探针模块的结构示意图;
图10为本发明木马监控审计***中,探针模块的结构示意图;
图11为服务器模块的设计流程图
图12为木马监控审计***的部署示意图。
具体实施方式
为使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图和具体实施方式对本发明作进一步详细的说明。
首先介绍一下木马的概念与工作原理:
木马是一种在远程计算机之间建立起连接,使远程计算机能够通过网络控制本地计算机的程序,它的运行遵照TCP/IP协议,由于它像间谍一样潜入用户的电脑,为其他人的攻击打开后门,与战争中的“木马”战术十分相似,因而得名木马程序。
木马程序由两部分构成,一部分是被安装植入到被控主机的***中的代理程序,另外一部分是控制端程序。木马代理程序运行后,需要与控制端建立网络连接(正向连接或反向连接),当连接成功后,接收控制端发送的各种命令,如:查看***中有多少个磁盘分区,获取目标***操作***类型、当前***加载的驱动程序列表、文档目录下的文件名列表等,将结果返回给控制端,控制端根据返回的信息,再进行其它类型的操作,如获取感兴趣或有价值的信息等。下面是一种反向连接方式的木马的工作流程图:
参照图1,木马网络通信流程一般经历三个阶段:
木马控制端与被控端网络连接建立阶段,该阶段针对不同的木马程序建立连接的连接方式不同,一种方式是木马控制端程序主动连接被控端的代理程序,叫正向连接;另外一种是被控端代理程序主动连接控制端程序,叫反向连接,如图1的(1)、(2)、(3)。
木马控制端与被控端连接建立成功后,由控制端发送各种控制命令到被控端,被控端根据发送的命令,执行相应的操作,如查看目标***的磁盘分区、浏览***目录等,如图1的(4)、(5),步骤(4)和(5)可以重复、循环执行。
当木马通信结束后,由控制端发送连接中断请求,被控端响应连接中断请求,木马通信会话结束,如图1的(6)、(7)。
方法实施例
参照图2,图2为本发明木马监控方法一个实施例的步骤流程图,包括如下步骤:采集步骤S210,实时采集网络数据包;当前会话确定步骤S220,检查网络数据包是否属于已经建立的网络会话,如果是,则***到已建立的会话中,否则建立新的会话;所述已建立的会话或所述新的会话作为当前会话;会话内容记录步骤S230,判断当前会话是否是木马通信会话,如果是,则在当前会话是属于木马网络操作行为的前提下,记录木马网络通信会话内容;木马操作行为检测步骤S240,依据记录的木马网络通信会话的内容,检测是否是木马网络操作行为,若是,记录并监测木马网络操作行为。
其中,步骤S240中,木马网络操作行为包括:1)木马文件操作,如:文件上传、下载,目录的创建、删除与修改;2)木马屏幕操作:截取屏幕,键盘记录;3)木马命令操作,如,远程执行命令,远程重启/关闭设备;4)进程/服务操作,如远程浏览、启动、停止进程。
进一步的,该实施例还可以包括还原步骤,该步骤判断所述木马网络操作行为是否包含内容,若是,则还原网络操作的内容。这里,木马网络操作内容还原,能够还原木马网络操作行为的操作内容可依据木马操作行为的特征对操作内容进行还原,主要包括两类还原:1)木马传输文件的内容还原;2)木马命令操作的内容还原。
进一步的,该实施例还可以包括木马网络操作审计步骤,基于木马网络操作行为的特性进行报警和/或提供事后审计。事后审计包括:1)完整记录木马活动行为和内容,为木马安全事件产生的损失进行评估,同时为安全事件的溯源提供依据。
2)提供基于时间范围、事件类型、事件名称、IP地址、协议等条件的审计功能。提供事件对应的网络会话流内容、还原的内容的导出功能。
3)报告输出功能。自动定时生成安全事件统计分析报告,以邮件的方式发送到用户的邮箱中,报告分为日报告、周报告、月报告。
参照图3,图3为本发明木马监控方法一个实施例的步骤流程图,具体说明如下:
a)、实时采集网络数据包。为了能够高性能的采集网络,本***采用了内存映射技术,将核心态的采集接口驱动程序的内存缓存区映射到用户态内存缓存空间上,减少了***核心态与用户态的频繁切换,从而提高了网络数据包的采集性能。
b)、网络数据包的链路协议与网络协议解析。对采集的原始网络数据包需要进行协议解析,提取出离出链路层协议、网络层协议、传输层协议、应用层协议的内容,如MAC地址、IP地址、网络协议类型、通信端口号以及应用层的数据载荷等。
c)、检查包的有效性。基于步骤b)解析的内容,对包进行过滤,如非IP包、广播包等,如果是无效的包,则丢弃,并转到步骤a),否则转到步骤d)。
d)、检查当前包是否是属于已建立的网络会话中,如果是,则***到已建立的会话表中,否则建立新的会话,不同的网络会话是由网络通信的五元组来确定,为了提高查找效率,在建立会话表数据结构时,采用了Hash表的方式,利用五元组计算出Hash值,进行地址映射。不同会话相同Hash值则采用双向链表的方式。
e)、判断当前会话是否是木马通信会话,如果不是,则转到步骤f),如果是,则转到步骤g)。
f)、利用当前包的协议类型、通信端口号、数据载荷去匹配木马通信行为特征库,检查是否是木马通信行为。为了提高检测的准确度,采用多规则模式,就是对一个木马类型的识别,采用多个特征规则,只有一个网络会话中满足了多个特征,才能确定是木马通信行为。在特征库匹配时,采用了快速的成熟的模式匹配算法。本步骤根据规则可能执行多次。当发现时木马通信行为时,则发送报警信息,并开始记录网络通信的会话内容。转到步骤a).
g)、检测当前数据流是否为木马网络操作行为,如果不是,则转到步骤a),否则转到步骤h).
h)、利用木马网络操作行为特征库匹配当前网络操作行为是否属于已知的木马网络操作行为,如果是,则记录并发送报警信息,并转入步骤i),否则转入步骤a)/
i)、监测木马网络操作行为是否包含内容。如果不是,则转到步骤a),否则还原网络操作内容。基于TCP流重组技术,对传输的信息内容进行还原。当传输结束时,输出还原的内容到磁盘。并转到步骤a)。
检测当前数据流是否为木马网络操作行为,如果不是,则转到步骤a),否则转到步骤在运行过程中,不断的重复执行如上a到i之间的步骤,实现对木马的监控。
在上述实施例是依赖木马的特征库是实现的,为了保证***能识别更多的木马通信行为,需要不断的收集木马标本程序,进行分析,提取其特征,并更新到特征库中。对一个木马程序的分析与特征的提取,可以采用如下方法:a、收集木马标本程序,并建立网络模拟环境,将木马程序安装在模拟环境的主机设备上,其网络模拟环境如图5所示;b、运行木马程序,并执行木马控制端提供的各种功能操作;c、通过网络数据包抓取工具对木马通信的网络数据包进行采集并保存;d、分析抓取的网络数据包,从网络数据包中提取其网络通信行为特征,包括上线行为特征及网络操作行为特征;e、将提取的特征加入到特征库中,并让本***的探针模块重新加载新的特征库;f、建立闭环测试验证环境,并将本***部署到测试验证环境中,如图6所示。g、重复步骤b,并通过客户端查看***是否有报警信息,如果没有报警信息或误报,则转到步骤d,重新提取特征,并继续后续的工作,否则转到步骤h,进行开环测试验证;h、建立开环测试验证环境,并将本***部署到测试验证环境中,如图7所示;i、访问会联网上的各种应用,如访问网页、收发电子邮件、文件传输、及时通信等,查看***是否有误报事件,如果有,则转到步骤d;j、针对不同的木马标本程序,重复如上a-i过程。当所有收集的木马特征分析、提取完毕,发布新的木马特征库。
木马监控审计***实施例
木马监控审计***设计的思想与原理是应用网络行为监测技术来识别各种木马和木马的网络通信活动。木马会通过加壳、加花和变种、升级的方法躲避基于木马程序静态特征查杀软件的查杀,而其所采用的网络应用协议及传输的命令内容相对固定,不会轻易改变,因这些内容的改变将会涉及到控制端程序、代理服务程序的同步更新,需要在已植入的目标***中重新植入木马代理服务程序。采用此技术的另一个好处是不仅能识别已知的木马程序,也能识别通过加壳、加花和变异的未知木马程序,相对传统的静态特征库数量,其特征库的数量会大大减少,会提高***的检测效率。
木马监控审计***采用旁路监听的方式采集被监测网上的数据流,实时监测传输在网络上的每个网络会话流,并对内容进行分析,检测其是否是木马网络通信行为,如果是木马网络通信行为,则对其内容进一步分析,判断其是什么类型的网络活动,并对网络活动的内容进行还原。同时提供了实时报警功能,使用户及时发现发生的网络安全事件。
参照图8,图8为木马监控审计***的逻辑结构示意图。木马监控审计***采用三级构架(客户层-服务层-采集处理层)设计与实现,客户层与服务层采用B/S(浏览器/服务器)方式,具体由探针模块、服务器模块与客户端模块三部分组成。探针模块是***的核心模块,它负责网络数据包的采集、协议识别、木马类型与网络活动的识别、木马操作行为和内容的还原、实时监测与事件记录等功能;服务器模块主要为客户端模块提供事件的实时监测、统计、审计及会话内容导出功能;客户端模块是一个用户接口模块,它利用***安装的浏览器软件,通过Web方式访问服务器提供的实时监测、统计、审计等功能。
下面首先对探针模块进行说明。
探针模块涉及到网络数据包的实时采集技术、网络协议分析技术、网络会话还原技术、TCP流重组技术、模式匹配技术等。参照图9,图9为本发明木马审计***中,探针模块的结构示意图,包括:采集模块90,用于实时采集网络数据包;当前会话确定模块92,用于检查网络数据包是否属于已经建立的网络会话,如果是,则***到已建立的会话中,否则建立新的会话;所述已建立的会话或所述新的会话作为当前会话;会话内容记录模块94,用于判断当前会话是否是木马通信会话,如果是,则在当前会话是属于木马网络操作行为的前提下,产生报警信息,并记录网络通信会话内容;木马操作行为检测模块96,用于依据记录的所述会话内容,检测木马网络操作行为是否包含内容。若是,则还原网络操作内容。基于TCP流重组技术,对传输的信息内容进行还原。当传输结束时,输出还原的内容到磁盘。
并且,所述会话内容记录模块94中,若所述当前会话是木马通信会话,,则检测当前会话是否为木马通信行为,若是,则发出报警信息,并记录网络通信的会话内容;其中,所述检测通过将木马通信行为库与所述网络数据包的协议类型、通信端口号和数据载荷进行匹配来实现。
参照图10,图10为本发明木马审计***中,探针模块的结构示意图。该实施例的特点是,在采集模块90和当前会话确定模块92之间,还连接有解析模块91A和有效包验证模块91B,其中:解析模块91A用于对所述网络数据包进行链路协议、网络协议、传输层协议、应用层协议的解析;有效包验证模块91B用于基于解析结果,确定对所述网络数据包进行过滤,并在网络数据包为无效包的情况下,丢弃该网络数据包。
探针模块是本***的核心模块,它负责如下功能的实现:
1、网络数据包的采集与会话还原。从被监测的网络上实时采集网络数据包,进行链路协议、网络协议的解析,过滤掉无效的网络数据包,对有效的网络数据包基于网络通信的五元组(源IP地址、目的IP地址、源端口、目的端口、传输协议)建立网络会话跟踪表,并调用木马类型与行为识别模块,检测当前会话是否是木马通信。
2、木马类型与网络行为的识别。识别当前会话是否是木马通信行为,包括木马上线行为及其它如浏览***目录、查看进程状态、获取***配置、删除目录或文件、下载文件、上传文件等。
3、木马操作内容还原。当识别出木马操作行为时,对木马操作的内容进行还原,并记录到磁盘中。
4、实时监测。当发现被检测的网络上有木马的通信行为时,及时产生一条报警记录并记录到数据库的事件表中。报警事件的内容包括事件发生的时间、通信地址、事件类型、事件名称等。
5、木马通信会话记录。以标准的格式完整记录控制端与被控端之间通信的会话流,便于事后对木马的通信行为做进一步的分析。
6、木马控制源的跟踪与定位。应用IP定位技术定位木马控制源所在的物理位置,为破获网络犯罪案件、追踪网络嫌疑人提供技术手段。
下面对服务器模块进行说明。本发明采用了B/S(客户/服务)构架,该构架的好处就是不需要在用户的客户端安装任何软件,只要通过浏览器去访问服务端所提供的功能,就能完成对***应用和管理。基于本***所提供的功能,管理服务器模块主要实现事件的统计、审计、实时监测、事件维护及配置管理功能。参照图11,图11为服务器模块的设计流程图。
服务器模块具有如下功能:
a)实时监测功能。将当前发生的安全报警事件及时推送到用户客户端,通过冒泡窗口、声音等方式提示用户有新的安全事件发生。报警事件包括:事件发生的时间,网络通信的地址、端口及协议,事件类型,事件名称等。
b)事件统计功能。为用户提供基于时间范围、事件类型、事件名称等条件的统计功能,并以表格和图形的方式进行展示统计结果。
c)事件审计功能。为用户提供基于时间范围、事件类型、事件名称、IP地址、协议等条件的审计功能。提供事件对应的网络会话流内容、还原的内容的导出功能。
d)报告输出功能。自动定时生成安全事件统计分析报告,以邮件的方式发送到用户的邮箱中,报告分为日报告、周报告、月报告。
e)事件维护功能。对保存的安全历史事件记录提供在线维护及转储功能。
f)配置管理功能。配置管理功能包括***的策略配置、用户管理、***参数配置等。
参照图12,图12为木马监控审计***的部署示意图,可以看出,本发明利用旁路监听的方式实现对木马网络通信活动的监控审计,只要通过交换机镜像、分流器、集线器等接入设备将被监测网络上的数据流接入到本***,不需要在用户的终端上安装任何软件、不改变用户网络的拓扑结构、不占用用户的网络通信资源。
综上,本发明能够实现如下功能:
第一、木马识别,能够基于木马的网络通信数据流特征识别已知或未知的木马主要是远程控制型木马,不受木马程序本身加壳、加花、变异的影响,能够定位远程控制端与用户被控端的主机地址和采用的网络通信协议;主要识别方法:
a)、建立网络会话跟踪表。基于网络通信的五元组(源IP地址、目的IP地址、源端口、目的端口、传输协议)立网络会话跟踪表;
b)、对网络会话包进行特征匹配,如果满足某个木马的网络通信数据特征,则该网络通信会话属于木马通信;
第二、木马通信内容记录,能够完整记录木马控制端与被控端之间通信的网络数据流,便于事后对木马通信内容做进一步的分析。
第三、木马网络操作行为监测,能够识别并监测木马在网络通信过程中各种网络操作行为,主要包括如下几类:
a)、木马文件操作,如:文件上传、下载,目录的创建、删除与修改
b)、木马屏幕操作:截取屏幕,键盘记录
c)、木马命令操作,如,远程执行命令,远程重启/关闭设备
d)、进程/服务操作,如远程浏览、启动、停止进程
第四、木马网络操作内容还原,能够还原木马网络操作行为的操作内容可依据木马操作行为的特征对操作内容进行还原:
a)、木马传输文件的内容还原
b)、木马命令操作的内容还原
第五、木马网络操作审计,支持基于木马事件发生的时间范围、事件名称、木马操作行为类型、木马操作内容等制定报警响应策略,同时可提供事后审计。
以上对本发明所提供的一种木马监控审计方法及***进行详细介绍,本文中应用了具体实施例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处。综上所述,本说明书内容不应理解为对本发明的限制。
Claims (16)
1.一种木马监控审计方法,其特征在于,
采集步骤,实时采集网络数据包;
当前会话确定步骤,检查网络数据包是否属于已经建立的网络会话,如果是,则***到已建立的会话中,否则建立新的会话;所述已建立的会话或所述新的会话作为当前会话;
会话内容记录步骤,检测当前会话是否为木马网络通信会话;若是,记录木马网络通信会话的内容;
木马网络操作行为检测步骤,依据记录的木马网络通信会话的内容,检测是否是木马网络操作行为,若是,记录并监测木马网络操作行为;
其中,木马网络操作行为的类型包括:木马文件操作、木马屏幕操作、木马命令操作和进程/服务操作。
2.根据权利要求1所述一种木马监控审计方法,其特征在于,在所述木马网络操作行为的类型是木马文件操作或木马命令操作时,所述木马网络操作行为检测步骤后还设置有:
还原步骤,依据木马网络操作行为的特征对操作内容进行还原。
3.根据权利要求1所述一种木马监控审计方法,其特征在于,所述木马网络操作行为检测步骤后还设置有:
木马网络操作审计步骤,基于木马网络操作行为的特性进行报警和/或提供事后审计。
4.根据权利要求3所述的木马监控审计方法,其特征在于,
所述会话内容记录步骤中,通过将木马通信行为特征库与所述网络数据包的协议类型、通信端口号和数据载荷进行匹配的方式检测当前会话是否为木马网络通信会话;并且,在是木马网络通信会话的情况下,发出报警信息。
5.根据权利要求4所述的木马监控审计方法,其特征在于,所述采集步骤和所述当前会话确定步骤之间,还包括有:
解析步骤,对所述网络数据包进行链路协议、网络协议、传输层协议、应用层协议的解析;
有效包验证步骤,基于解析结果,确定对所述网络数据包进行过滤,并在网络数据包为无效包的情况下,丢弃该网络数据包。
6.根据权利要求5所述的木马监控审计方法,其特征在于,
所述采集步骤中,基于内存映射技术,将核心态采集接口驱动程序的内存缓存区映射到用户态内存缓存空间上进行网络数据包的采集。
7.根据权利要求6所述的木马监控审计方法,其特征在于,
所述解析步骤包括提取MAC地址、IP地址、网络协议类型、通信端口号以及应用层的数据载荷。
8.根据权利要求7所述的木马监控审计方法,其特征在于,所述当前会话确定步骤中,
采用Hash表建立所述新的会话表的数据结构,利用五元组计算出Hash值,进行地址映射。
9.根据权利要求8所述的木马监控审计方法,其特征在于,所述还原步骤中,基于TCP流重组技术,对木马操作行为传输信息的内容进行还原;当传输结束时,输出还原的内容到磁盘。
10.根据权利要求9所述的木马监控审计方法,其特征在于,所述会话内容记录步骤中,所述木马通信行为特征库依据下述方法进行更新:
步骤a、收集木马标本程序,并建立网络模拟环境,将木马程序安装在模拟环境的主机设备上;
步骤b、运行木马程序,并执行木马控制端提供的功能操作;
步骤c、通过网络数据包抓取工具对木马通信的网络数据包进行采集并保存;
步骤d、分析抓取的网络数据包,从网络数据包中提取其网络通信行为特征,包括上线行为特征及网络操作行为特征;
步骤e、将提取的特征加入到已有特征库中,并让本***的探针模块重新加载新的木马通信行为特征库;
步骤f、建立闭环测试验证环境,并部署测试验证环境;
重复步骤b,查看***是否有报警信息,如果没有报警信息或误报,则转到步骤d,重新提取特征,并继续后续的工作,否则转到步骤h,进行开环测试验证;
步骤h、建立开环测试验证环境,并部署到测试验证环境;
步骤i、访问互联网上的应用,查看***是否有误报事件,如果有,则转到步骤d;
针对不同的木马标本程序,重复如上a-i过程;当所有收集的木马特征分析及提取完毕,发布新的木马通信行为特征库。
11.一种木马监控审计***,其特征在于,包括探针模块,所述探针模块包括:
采集模块,用于实时采集网络数据包;
当前会话确定模块,用于检查网络数据包是否属于已经建立的网络会话,如果是,则***到已建立的会话中,否则建立新的会话;所述已建立的会话或所述新的会话作为当前会话;
会话内容记录模块,用于判断当前会话是否是木马通信会话,如果是,则在当前会话是属于木马网络通信会话时,记录木马网络通信会话的内容;
木马网络操作行为检测模块,用于依据记录的木马网络通信会话的内容,检测是否是木马网络操作行为,若是,记录并监测木马网络操作行为;
其中,木马网络操作行为的类型包括:木马文件操作、木马屏幕操作、木马命令操作和进程/服务操作。
12.根据权利要求11所述一种木马监控审计***,其特征在于,
在所述木马网络操作行为的类型是木马文件操作或木马命令操作时,所述木马网络操作行为检测模块还连接有:
还原模块,用于判断所述木马网络操作行为是否包含内容,若是,则还原网络操作的内容。
13.根据权利要求12所述一种木马监控审计***,其特征在于,
所述木马网络操作行为检测模块后还连接有:
木马网络操作审计模块,用于基于木马网络操作行为的特性进行报警和/或提供事后审计。
14.根据权利要求13所述的木马监控审计***,其特征在于,
所述会话内容记录模块中,通过将木马通信行为库与所述网络数据包的协议类型、通信端口号和数据载荷进行匹配的方式检测当前会话是否为木马网络通信会话;并且,在是木马网络通信会话的情况下,发出报警信息。
15.根据权利要求14所述的木马监控审计***,其特征在于,所述采集模块和所述当前会话确定模块之间,还连接有:
解析模块,用于对所述网络数据包进行链路协议、网络协议、传输层协议、应用层协议的解析;
有效包验证模块,用于基于解析结果,确定对所述网络数据包进行过滤,并在网络数据包为无效包的情况下,丢弃该网络数据包。
16.根据权利要求15所述的木马监控审计***,其特征在于,所述会话内容记录模块中,所述木马通信行为库依据下述方法进行更新:
步骤a、收集木马标本程序,并建立网络模拟环境,将木马程序安装在模拟环境的主机设备上;
步骤b、运行木马程序,并执行木马控制端提供的功能操作;
步骤c、通过网络数据包抓取工具对木马通信的网络数据包进行采集并保存;
步骤d、分析抓取的网络数据包,从网络数据包中提取其网络通信行为特征,包括上线行为特征及网络操作行为特征;
步骤e、将提取的特征加入到已有特征库中,并让本***的探针模块重新加载新的木马通信行为库;
步骤f、建立闭环测试验证环境,并部署测试验证环境;
重复步骤b,查看***是否有报警信息,如果没有报警信息或误报,则转到步骤d,重新提取特征,并继续后续的工作,否则转到步骤h,进行开环测试验证;
步骤h、建立开环测试验证环境,并部署到测试验证环境;
步骤i、访问互联网上的应用,查看***是否有误报事件,如果有,则转到步骤d;
针对不同的木马标本程序,重复如上a-i过程;当所有收集的木马特征分析及提取完毕,发布新的木马通信行为库。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 201010596416 CN102045220A (zh) | 2010-12-09 | 2010-12-20 | 木马监控审计方法及*** |
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201010581747 | 2010-12-09 | ||
| CN201010581747.2 | 2010-12-09 | ||
| CN 201010596416 CN102045220A (zh) | 2010-12-09 | 2010-12-20 | 木马监控审计方法及*** |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN102045220A true CN102045220A (zh) | 2011-05-04 |
Family
ID=43911032
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 201010596416 Pending CN102045220A (zh) | 2010-12-09 | 2010-12-20 | 木马监控审计方法及*** |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102045220A (zh) |
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103607413A (zh) * | 2013-12-05 | 2014-02-26 | 北京奇虎科技有限公司 | 一种网站后门程序检测的方法及装置 |
| CN104023075A (zh) * | 2014-06-16 | 2014-09-03 | 南威软件股份有限公司 | 一种互联网在线密取***及方法 |
| CN104753955A (zh) * | 2015-04-13 | 2015-07-01 | 成都双奥阳科技有限公司 | 基于反弹端口木马的互联审计方法 |
| CN104836797A (zh) * | 2015-04-14 | 2015-08-12 | 广东小天才科技有限公司 | 网络数据包处理方法和*** |
| CN105117647A (zh) * | 2015-08-18 | 2015-12-02 | 国家计算机网络与信息安全管理中心广东分中心 | 一种木马行为还原方法 |
| CN105740396A (zh) * | 2016-01-27 | 2016-07-06 | 广州酷狗计算机科技有限公司 | Http数据处理方法及装置 |
| CN106416171A (zh) * | 2014-12-30 | 2017-02-15 | 华为技术有限公司 | 一种特征信息分析方法及装置 |
| CN106921529A (zh) * | 2017-05-12 | 2017-07-04 | 成都锐帆网智信息技术有限公司 | 基于旁路的上网行为分析方法 |
| CN107026767A (zh) * | 2017-03-30 | 2017-08-08 | 上海七牛信息技术有限公司 | 业务协议指标数据收集方法及*** |
| CN107342969A (zh) * | 2016-05-03 | 2017-11-10 | 阿里巴巴集团控股有限公司 | 报文识别的***、方法和装置 |
| CN107395643A (zh) * | 2017-09-01 | 2017-11-24 | 天津赞普科技股份有限公司 | 一种基于扫描探针行为的源ip保护方法 |
| CN104660584B (zh) * | 2014-12-30 | 2018-12-18 | 赖洪昌 | 基于网络会话的木马病毒分析技术 |
| CN109787964A (zh) * | 2018-12-29 | 2019-05-21 | 北京零平数据处理有限公司 | 进程行为溯源装置和方法 |
| CN113722705A (zh) * | 2021-11-02 | 2021-11-30 | 北京微步在线科技有限公司 | 一种恶意程序清除方法及装置 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101587456A (zh) * | 2009-07-08 | 2009-11-25 | 腾讯科技(深圳)有限公司 | 一种对软件运行的保护处理方法及装置 |
| CN101605074A (zh) * | 2009-07-06 | 2009-12-16 | 中国人民解放军信息技术安全研究中心 | 基于网络通讯行为特征监测木马的方法与*** |
-
2010
- 2010-12-20 CN CN 201010596416 patent/CN102045220A/zh active Pending
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101605074A (zh) * | 2009-07-06 | 2009-12-16 | 中国人民解放军信息技术安全研究中心 | 基于网络通讯行为特征监测木马的方法与*** |
| CN101587456A (zh) * | 2009-07-08 | 2009-11-25 | 腾讯科技(深圳)有限公司 | 一种对软件运行的保护处理方法及装置 |
Cited By (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103607413A (zh) * | 2013-12-05 | 2014-02-26 | 北京奇虎科技有限公司 | 一种网站后门程序检测的方法及装置 |
| CN103607413B (zh) * | 2013-12-05 | 2017-01-18 | 北京奇虎科技有限公司 | 一种网站后门程序检测的方法及装置 |
| CN104023075A (zh) * | 2014-06-16 | 2014-09-03 | 南威软件股份有限公司 | 一种互联网在线密取***及方法 |
| CN104660584B (zh) * | 2014-12-30 | 2018-12-18 | 赖洪昌 | 基于网络会话的木马病毒分析技术 |
| CN106416171A (zh) * | 2014-12-30 | 2017-02-15 | 华为技术有限公司 | 一种特征信息分析方法及装置 |
| CN104753955A (zh) * | 2015-04-13 | 2015-07-01 | 成都双奥阳科技有限公司 | 基于反弹端口木马的互联审计方法 |
| CN104836797A (zh) * | 2015-04-14 | 2015-08-12 | 广东小天才科技有限公司 | 网络数据包处理方法和*** |
| CN105117647A (zh) * | 2015-08-18 | 2015-12-02 | 国家计算机网络与信息安全管理中心广东分中心 | 一种木马行为还原方法 |
| CN105740396B (zh) * | 2016-01-27 | 2019-12-10 | 广州酷狗计算机科技有限公司 | Http数据处理方法及装置 |
| CN105740396A (zh) * | 2016-01-27 | 2016-07-06 | 广州酷狗计算机科技有限公司 | Http数据处理方法及装置 |
| CN107342969A (zh) * | 2016-05-03 | 2017-11-10 | 阿里巴巴集团控股有限公司 | 报文识别的***、方法和装置 |
| CN107342969B (zh) * | 2016-05-03 | 2021-04-20 | 阿里巴巴集团控股有限公司 | 报文识别的***、方法和装置 |
| CN107026767A (zh) * | 2017-03-30 | 2017-08-08 | 上海七牛信息技术有限公司 | 业务协议指标数据收集方法及*** |
| CN107026767B (zh) * | 2017-03-30 | 2019-10-18 | 上海七牛信息技术有限公司 | 业务协议指标数据收集方法及*** |
| CN106921529A (zh) * | 2017-05-12 | 2017-07-04 | 成都锐帆网智信息技术有限公司 | 基于旁路的上网行为分析方法 |
| CN106921529B (zh) * | 2017-05-12 | 2020-04-28 | 成都锐帆网智信息技术有限公司 | 基于旁路的上网行为分析方法 |
| CN107395643A (zh) * | 2017-09-01 | 2017-11-24 | 天津赞普科技股份有限公司 | 一种基于扫描探针行为的源ip保护方法 |
| CN107395643B (zh) * | 2017-09-01 | 2020-09-11 | 天津赞普科技股份有限公司 | 一种基于扫描探针行为的源ip保护方法 |
| CN109787964A (zh) * | 2018-12-29 | 2019-05-21 | 北京零平数据处理有限公司 | 进程行为溯源装置和方法 |
| CN113722705A (zh) * | 2021-11-02 | 2021-11-30 | 北京微步在线科技有限公司 | 一种恶意程序清除方法及装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102045220A (zh) | 木马监控审计方法及*** | |
| CN107370755B (zh) | 一种多维度深层次检测apt攻击的方法 | |
| EP2566130B1 (en) | Automatic analysis of security related incidents in computer networks | |
| CN110730175B (zh) | 一种基于威胁情报的僵尸网络检测方法及检测*** | |
| Ning et al. | Analyzing intensive intrusion alerts via correlation | |
| Lee et al. | A framework for constructing features and models for intrusion detection systems | |
| CN102761458B (zh) | 一种反弹式木马的检测方法和*** | |
| CN103078864B (zh) | 一种基于云安全的主动防御文件修复方法 | |
| US7870612B2 (en) | Antivirus protection system and method for computers | |
| CN105187394B (zh) | 具有移动终端恶意软件行为检测能力的代理服务器及方法 | |
| CN101753377B (zh) | 一种p2p_botnet实时检测方法及*** | |
| CN111988339B (zh) | 一种基于dikw模型的网络攻击路径发现、提取和关联的方法 | |
| US20130167236A1 (en) | Method and system for automatically generating virus descriptions | |
| US20110154492A1 (en) | Malicious traffic isolation system and method using botnet information | |
| CN103051627B (zh) | 一种反弹式木马的检测方法 | |
| CN113691566B (zh) | 基于空间测绘和网络流量统计的邮件服务器窃密检测方法 | |
| CN110958257B (zh) | 一种内网渗透过程还原方法和*** | |
| CN103634306A (zh) | 网络数据的安全检测方法和安全检测服务器 | |
| CN112788043B (zh) | 一种蜜罐***服务自适应的方法及自适应服务蜜罐*** | |
| CN114124516A (zh) | 态势感知预测方法、装置及*** | |
| CN117527412A (zh) | 数据安全监测方法及装置 | |
| CN117596078B (zh) | 一种基于规则引擎实现的模型驱动用户风险行为判别方法 | |
| RU2481633C2 (ru) | Система и способ автоматического расследования инцидентов безопасности | |
| KR20100070623A (ko) | 봇 수집ㆍ분석시스템 및 그 방법 | |
| Bolzoni et al. | ATLANTIDES: an architecture for alert verification in network intrusion detection systems |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20110504 |