CN102761458A - 一种反弹式木马的检测方法和*** - Google Patents
一种反弹式木马的检测方法和*** Download PDFInfo
- Publication number
- CN102761458A CN102761458A CN2011104296631A CN201110429663A CN102761458A CN 102761458 A CN102761458 A CN 102761458A CN 2011104296631 A CN2011104296631 A CN 2011104296631A CN 201110429663 A CN201110429663 A CN 201110429663A CN 102761458 A CN102761458 A CN 102761458A
- Authority
- CN
- China
- Prior art keywords
- connection
- suspicious
- pid
- domain name
- ftp
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 21
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 title abstract 3
- 238000004458 analytical method Methods 0.000 claims abstract description 16
- 238000012544 monitoring process Methods 0.000 claims abstract description 12
- 238000000034 method Methods 0.000 claims description 122
- 230000008569 process Effects 0.000 claims description 109
- 230000008878 coupling Effects 0.000 claims description 37
- 238000010168 coupling process Methods 0.000 claims description 37
- 238000005859 coupling reaction Methods 0.000 claims description 37
- 238000012098 association analyses Methods 0.000 claims description 11
- 238000005516 engineering process Methods 0.000 claims description 9
- 230000026676 system process Effects 0.000 abstract description 2
- 238000010219 correlation analysis Methods 0.000 abstract 1
- 230000008859 change Effects 0.000 description 25
- 230000002155 anti-virotic effect Effects 0.000 description 3
- 230000003542 behavioural effect Effects 0.000 description 2
- 238000004891 communication Methods 0.000 description 2
- 230000035772 mutation Effects 0.000 description 2
- 244000188472 Ilex paraguariensis Species 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 238000012512 characterization method Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 239000012467 final product Substances 0.000 description 1
- 230000013011 mating Effects 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 238000012856 packing Methods 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
Images
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种反弹式木马的检测方法,包括:实时监控当前***的网络包;实时获取当前***网络连接和进程的关联表;对所述的网络包进行分析和匹配,分析和匹配的网络包类型包括DNS请求、FTP连接、IP连接,并从分析结果中获得可疑连接列表;对所述的进程进行分析,获得可疑进程列表;对可疑连接列表和可疑进程列表进行关联分析,并进行处置。本发明还公开了一种反弹式木马的检测***。本发明首先通过关联***进程状态和网络特征匹配来发现已知的和未知的控制类木马,并能够在第一时间切断控制端的连接和清除恶意代码,达到保护主机安全的目的。
Description
技术领域
本发明属于信息安全技术领域,尤其涉及一种基于反弹木马上线方式与主机运行环境的恶意代码发现方法。
背景技术
在互联网高度开放的今天,恶意代码快速增长,各种各样的恶意代码充斥在互联网中。这些恶意代码给网民带来不同的威胁,而其中威胁最大的就是控制类木马,这类木马可以完全控制用户电脑,在大的网络入侵事件和信息窃取事件中都有此类木马的身影。由于防火墙的限制,目前的控制类木马主要是反弹式木马。
目前,对此类木马的检测主要包括主机的杀毒软件查杀和旁路网络检测。
杀毒软件主要是针对恶意代码的文件特征和行为特征来检测恶意代码,缺点是:因为依赖于静态特征和动态特征来发现恶意代码,所以,对已知恶意代码的变种和新的恶意代码没有较好的检测。
旁路网络检测是通过对网络上的数据进行捕获,然后匹配。主要的检测特征是控制端和被控端的交互控制以及之间的连接保持。缺点是,由于是布置在旁路上,不能很好的发现恶意代码本身,从根本上解决问题,并且由于特征的限制不能很好的发现新的恶意代码。
发明内容
本发明的目的在于发现计算机上的已知的和未知的反弹式木马,并在很短的时间内完成对木马通讯的拦截,保护计算机的安全性。
本发明克服了杀毒软件不能很好的发现已知恶意代码的变种和新的恶意代码的问题,并克服了旁路网络检测不能发现恶意代码和及时切断连接的问题。
为解决上述问题,本发明的实现方法主要包括以下步骤:
步骤1:实时监控***网络包,采用驱动来监测网络数据包。
步骤2:实时获取当前网络连接和进程的关联表,通过***API获取当前***中所有有网络连接的进程,并以进程为单位来存储数据,包括源端口,目的端口,目的IP,PID(进程编号),可疑类型,时间。
步骤3:对步骤1获取的网络包进行匹配。
步骤31:发现新的DNS请求转入步骤320,发现新的FTP连接转入步骤330,发现IP直接连接转入340。
步骤320:获取DNS请求的域名和本次连接的源端口,查找对应PID。
查找对应PID是指通过源端口与步骤2关联数据表中的源端口进行查找,找出源端口与PID的对应关系。
步骤321:对步骤320中获取的域名进行黑名单匹配。如果匹配转入步骤36,否则转入步骤322。
黑名单是指可疑的域名地址或者已被确认为恶意代码采用的域名。
步骤322:是否存在URL请求,存在转入步骤323,不在转入步骤35。
步骤323:获取步骤322中URL请求的源端口,查找对应的PID,与步骤320中的PID进行对比,匹配则转入步骤324,否则转入步骤35。
步骤324:对URL请求的返回值按规则进行匹配,匹配则转入步骤340,否则转入步骤35。
步骤330:获取FTP连接的PID。
步骤331:是否发生文件下载,没有则转入步骤35,否则转入步骤332。
步骤332:步骤331是否与步骤330为同一PID的网络行为,不是则转入步骤35,否则转入步骤333。
步骤333:对文件内容按规则进行匹配,匹配则进入步骤36,否则进入步骤340。
步骤340:对连接的IP,端口进行验证,如果匹配则可选择阻断此次连接,并加入可疑列表,否则进入步骤341。
步骤341:连接是否成功,不成功判断是否存在连接心跳,如果存在则转入步骤36,否则转入步骤342。
连接心跳是指由于被控端不能确定控制端什么时候在线,所以被控端在没有连接成功的情况下会以一定的时间间隔连接控制端,直到连接成功。
步骤342:查找步骤340对应的PID,如果PID是步骤32或者步骤33中的PID则进入步骤343,否则进入步骤35。
步骤343:选择断开此次连接,并在短时间内阻止此目的IP和目的端口的连接,判断是否存在连接心跳。存在则进入步骤36,否则进入步骤35。
步骤35:该连接为安全连接。
步骤36:连接为可疑连接,保存结果与步骤4中的结果做对比。
步骤4:对步骤2获取的进程进行分析。
步骤41:从步骤2中取一个进程信息进行分析,是否存在未分析的进程,是则转入步骤42,否则等待信息更新。
步骤42:获取进程的网络状态,依据该进程在正常情况下是否有网络行为来判断该进程是否可疑,如果匹配,则转入步骤46,否则转入步骤43。
步骤43:判断进程是否包含窗口,不包含则转入步骤46,否则转入步骤44。
步骤44:判断窗口是否隐藏,隐藏则转入步骤46,否则转入步骤45。
步骤45:该进程是否为隐藏进程,隐藏则装入步骤46,否则转入步骤41。
步骤46:加入可疑进程列表。
步骤5:对步骤3和步骤4的结果进行关联分析。
步骤51:如果一个PID同时出现在步骤3和步骤4的结果中,则切断连接,并根据进程信息关联到恶意代码本身,清除掉恶意代码。
步骤52:如果PID存在步骤3的结果中,并且不包含在步骤2的结果中,则认为该进程采用了Rootkit技术来隐藏自身,利用Anti-Rootkit技术来清除恶意代码。
可以根据不同的需求对以上的检测点进行配置,达到更好的检测效果。
相应的,本发明还提出了一种反弹式木马的检测***,包括:
监控模块,用于实时监控当前***的网络包;
关联表模块,用于实时获取当前***网络连接和进程的关联表;
可疑连接列表模块,用于对所述的网络包进行分析和匹配,分析和匹配的网络包类型包括DNS请求、FTP连接、IP连接,并从分析结果中获得可疑连接列表;
可疑进程列表模块,用于对所述的进程进行分析,获得可疑进程列表;
关联分析模块,用于对可疑连接列表和可疑进程列表进行关联分析,并进行处置。
所述关联表模块具体用于:获取当前***中所有有网络连接的进程,以进程为单位存储相关数据,包括源端口、目的端口、目的IP、PID、可疑类型、时间。
其中,分析和匹配DNS请求具体包括:
如果所述网络包中有DNS请求,则获取所述DNS请求的域名、源端口、以及源端口对应的PID;所述源端口对应的PID通过所述关联表获得;
用所述的域名与黑名单进行匹配,所述黑名单是指可疑的域名和被恶意代码采用的域名,如果匹配成功,则将所述域名保存为可疑连接;
否则判断所述DNS请求完成后是否存在对DNS请求的域名的URL请求,如果没有则所述域名为安全连接,否则获取所述URL请求的源端口以及通过所述关联表获得所述源端口对应的PID,如果URL请求源端口对应的PID与DNS请求源端口对应的PID不相同,则所述域名为安全连接;
否则对所述URL请求的返回值进行特征匹配,如果匹配成功并且返回文件的大小满足预设的阈值,则将所述域名保存为可疑连接;
否则对所述URL请求返回的文件内容进行特征匹配,如果匹配成功则将所述域名保存为可疑连接;否则对所述URL请求返回的文件内容中的IP连接进行分析和匹配;
分析和匹配FTP连接具体包括:
通过所述关联表获得FTP连接所对应的PID;
判断所述FTP连接是否下载文件,如果不是则所述FTP连接为安全连接;否则判断所述下载文件的进程的PID是否与所述的FTP连接所对应的PID相同,如果不相同则所述FTP连接为安全连接;否则对所述的下载文件的大小和内容进行特征匹配,如果匹配成功则将所述FTP连接保存为可疑连接;否则将所述下载文件的内容中的IP连接进行分析和匹配;
分析和匹配IP连接具体包括:
对IP连接的IP和端口进行特征匹配,如果匹配成功则将所述的IP连接保存为可疑连接;如果匹配不成功则判断所述IP连接是否连接成功,如果连接不成功且存在连接心跳,则将所述IP连接保存为可疑连接,如果连接不成功且不存在连接心跳,则所述IP连接为安全连接;如果所述IP连接成功,且所述IP连接通过所述关联表所对应的PID与所述DNS请求源端口对应的PID不相同、并且所述IP连接通过所述关联表所对应的PID与所述FTP连接所对应的PID不相同,则所述IP连接为安全连接,否则阻断所述IP连接,如果不出现连接心跳,则所述IP连接为安全连接,如果存在连接心跳,则将所述IP连接保存为可疑连接。
所述可疑进程列表模块具体包括:
依次取关联表模块所述的每一个进程,获取所述进程的网络状态,如果所述进程存在异常网络行为则将所述进程保存为可疑进程;如果所述进程不存在窗口或者存在隐藏窗口或者存在隐藏进程则将所述进程保存为可疑进程。
所述关联分析模块具体包括:如果同一个PID存在于可疑连接列表和可疑进程列表中,则断开相应的连接,并根据PID关联到恶意代码本身,清除恶意代码;
如果PID存在于可疑连接列表中,不存在与所述关联表中,则利用Anti-Rootkit技术相应的清除恶意代码。
本发明的有益效果是:
本发明首先通过关联***进程状态和网络特征匹配来发现已知的和未知的控制类木马,并能够在第一时间切断控制端的连接和清除恶意代码,达到保护主机安全的目的。
附图说明
为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明一种反弹式木马的检测方法流程图;
图2为本发明一种反弹式木马的检测方法的网络匹配流程图;
图3为本发明一种反弹式木马的检测方法的进程匹配流程图;
图4为本发明用于存储进程网络关联表的结构;
图5为本发明一种反弹式木马的检测***示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明实施例中的技术方案,并使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明中技术方案作进一步详细的说明。
本发明提出了一种基于反弹木马上线方式与主机运行环境的恶意代码发现解决方案,即:通过分析主机的网络行为和进程状态来发现控制类木马。
本发明基于反弹木马上线方式与主机运行环境的恶意代码发现方法方法具体包括实时监控***网络步骤,实时获取当前网络连接和进程的关联步骤,网络包匹配步骤,进程匹配步骤,结果关联步骤。
如图1所示,本发明一种反弹式木马的检测方法包括:
S101:实时监控***网络步骤
采用NDIS(NetWork Driver Interface Specification)中间层驱动程序来检测***所有的网络数据包,防止漏掉一些隐藏的恶意代码通信。
S102:实时获取当前网络连接和进程的关联步骤
本发明采用***API获取进程和网络连接的关联并用二级单链表来存储获取到的进程和网络连接的关联状态。如图4采用单链表来存储***中的PID、可疑类型和一个指向网络状态的结构,该结构也是一个单链表存储结构,包括四个属性,源端口,目的端口,IP端口,时间。用于与网络检测关联和实时更新数据。因为是实时捕获,该结构会动态修改,只保存最近30分钟的结果。
可疑类型分为进程可疑类型和网络可疑类型,不同可以类型可以异或保存:
进程可疑类型:0为不可疑,1为可疑连接,2为无窗口,4为隐藏窗口,8为隐藏进程。
网络可疑类型:16为DNS黑名单,32为可疑URL,64为可疑ftp,128为可疑IP连接,256为可疑连接心跳。
S103:网络包匹配步骤
具体参考图2,包括以下步骤:
步骤31:实时检测主机网络流量,当发现新的DNS请求则进入步骤320,发现新的FTP请求则进入330,发现连接则进入步骤340。
步骤320:对DNS进行黑名单匹配,DNS黑名单主要包括两类:一种是已发现的具有活性的恶意代码上线域名;一种是动态域名提供商提供的二级域名,比如在恶意代码中占大多数的*.3322.org域名。如果匹配第一种则认为已经被种植木马,转入步骤36,匹配第二种则可以转入步骤36,或者为了减少误报率而进入步骤321。都不匹配则转入步骤321。
步骤321:DNS请求完成后是否存在对该域名的URL请求,并同时确认该请求所在的PID是否与步骤320的PID相同,通过查询步骤S102中的二级单链表获得结果。如果存在URL请求并且PID相同则转入步骤322,否则转入步骤35。
步骤322:首先对URL做特征匹配,比如某些恶意代码会以ip.txt作为默认上线文件,如果匹配并对返回的文件做大小比较,满足阀值则转入步骤36,否则转入步骤323。
步骤323:对步骤322返回的文件内容进行匹配。主要分为纯文本和HTML文件,对应直接存储上线IP和通过留言板和blog存储上线IP。纯文本则通过正则查询是否存在IP格式,HTML则过滤掉多余标签,对过滤的内容进行IP匹配,不排除以后会出现使用HTML其他域来更新上线地址。如果匹配则转入步骤36,否则转入步骤340。
步骤330:查询步骤S102中的二级链表,获取对应的PID。
步骤331:监测FTP文件下载,无文件下载则转入步骤35,否则转入步骤332。如图1中的同进程文件下载。
步骤332:对文件大小和内容匹配,如果文件大小小于阀值,因为只需要存储上线IP不需要太多内容,并且匹配到IP地址则转入步骤36,否则转入步骤340。
步骤340:对连接的IP和端口做匹配,首先对IP地址进行解析,判断其是不是动态分配的IP地址或者网吧地址,然后判断端口是不是常用端口。如果都匹配则进入步骤344,转入步骤36,否则转入步骤341。
步骤341:判断连接是否成功,不成功转入步骤342,否则转入步骤343。
步骤342:判断是否存在连接心跳,因为正常软件在不能连接的时候会进行提示,而木马不能提示,所以会一直连接。如果存在连接则进入步骤36,否则进入步骤35。
步骤343:判断该连接的PID是否存在于步骤32或者步骤33中,如果不存在则进入步骤35,否则转入步骤344。
步骤344:可以选择关闭并阻断连接,然后判断是否会出现连接心跳。如果出现则转入步骤36否则转入步骤35。
步骤35:该连接为安全连接
步骤36:连接为可疑连接,根据上述步骤将对应结果更新至步骤S102的二级链表中,如果不存在对应的PID则认为该链接对应的进程采用单独保存为Rootkit结果。
S104:进程匹配步骤
具体如图3所示,包括:
步骤41:遍历步骤S102中的二级链表中进行进程匹配。
步骤42:获取步骤S102结构中的网络状态结构和进程连网特征,比如Winlogon进程正常情况不应该有网络行为,如果被发现网络行为就有可能是被恶意代码恶意注入,这也作为恶意代码清除的依赖条件。如果匹配则转入步骤46,否则转入步骤43。
步骤43:判断该PID是否有窗口,无则转入步骤46,否则转入步骤44。
步骤44:判断窗口是否具有隐藏属性,无则转入步骤46,否则转入步骤45。
步骤45:判断进程是否具有隐藏属性,无则转入步骤41,否则转入步骤46。
步骤46:进程为可疑,根据上述步骤将对应的结果更新至步骤S102的二级链表中。
S105:结果关联步骤
包括:
步骤51:根据步骤S102中二级链表的可疑类型进行判断,小于16并且不等于0的为可疑进程,大于等于16小于512的为可疑网络连接。假设可疑类型为x,如果x满足下面公式则判断为木马。然后关闭连接,根据进程信息清除木马。
公式:((x&0xf^0)!=0) & ((x&0x1f0^0)!=0) == TRUE
说明:同时存在可疑进程和可以网络连接时上述公式成立
步骤52:rootkit结果集判断,如果Rootkit集不为空,则关闭对应的网络连接,然后采用Anti-Rootkit技术清除恶意代码。
如图5所示,是本发明的反弹式木马的检测***示意图,包括:
监控模块501,用于实时监控当前***的网络包;
关联表模块502,用于实时获取当前***网络连接和进程的关联表;
可疑连接列表模块503,用于对所述的网络包进行分析和匹配,分析和匹配的网络包类型包括DNS请求、FTP连接、IP连接,并从分析结果中获得可疑连接列表;
可疑进程列表模块504,用于对所述的进程进行分析,获得可疑进程列表;
关联分析模块505,用于对可疑连接列表和可疑进程列表进行关联分析,并进行处置。
所述关联表模块502具体用于:获取当前***中所有有网络连接的进程,以进程为单位存储相关数据,包括源端口、目的端口、目的IP、PID、可疑类型、时间。
其中,分析和匹配DNS请求具体包括:
如果所述网络包中有DNS请求,则获取所述DNS请求的域名、源端口、以及源端口对应的PID;所述源端口对应的PID通过所述关联表获得;
用所述的域名与黑名单进行匹配,所述黑名单是指可疑的域名和被恶意代码采用的域名,如果匹配成功,则将所述域名保存为可疑连接;
否则判断所述DNS请求完成后是否存在对DNS请求的域名的URL请求,如果没有则所述域名为安全连接,否则获取所述URL请求的源端口以及通过所述关联表获得所述源端口对应的PID,如果URL请求源端口对应的PID与DNS请求源端口对应的PID不相同,则所述域名为安全连接;
否则对所述URL请求的返回值进行特征匹配,如果匹配成功并且返回文件的大小满足预设的阈值,则将所述域名保存为可疑连接;
否则对所述URL请求返回的文件内容进行特征匹配,如果匹配成功则将所述域名保存为可疑连接;否则对所述URL请求返回的文件内容中的IP连接进行分析和匹配;
分析和匹配FTP连接具体包括:
通过所述关联表获得FTP连接所对应的PID;
判断所述FTP连接是否下载文件,如果不是则所述FTP连接为安全连接;否则判断所述下载文件的进程的PID是否与所述的FTP连接所对应的PID相同,如果不相同则所述FTP连接为安全连接;否则对所述的下载文件的大小和内容进行特征匹配,如果匹配成功则将所述FTP连接保存为可疑连接;否则将所述下载文件的内容中的IP连接进行分析和匹配;
分析和匹配IP连接具体包括:
对IP连接的IP和端口进行特征匹配,如果匹配成功则将所述的IP连接保存为可疑连接;如果匹配不成功则判断所述IP连接是否连接成功,如果连接不成功且存在连接心跳,则将所述IP连接保存为可疑连接,如果连接不成功且不存在连接心跳,则所述IP连接为安全连接;如果所述IP连接成功,且所述IP连接通过所述关联表所对应的PID与所述DNS请求源端口对应的PID不相同、并且所述IP连接通过所述关联表所对应的PID与所述FTP连接所对应的PID不相同,则所述IP连接为安全连接,否则阻断所述IP连接,如果不出现连接心跳,则所述IP连接为安全连接,如果存在连接心跳,则将所述IP连接保存为可疑连接。
所述可疑进程列表模块504具体包括:
依次取关联表模块502所述的每一个进程,获取所述进程的网络状态,如果所述进程存在异常网络行为则将所述进程保存为可疑进程;如果所述进程不存在窗口或者存在隐藏窗口或者存在隐藏进程则将所述进程保存为可疑进程。
所述关联分析模块505具体包括:如果同一个PID存在于可疑连接列表和可疑进程列表中,则断开相应的连接,并根据PID关联到恶意代码本身,清除恶意代码;
如果PID存在于可疑连接列表中,不存在与所述关联表中,则利用Anti-Rootkit技术相应的清除恶意代码。
本说明书中方法的实施例采用递进的方式描述,对于***的实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
虽然通过实施例描绘了本发明,本领域普通技术人员知道,本发明有许多变形和变化而不脱离本发明的精神,希望所附的权利要求包括这些变形和变化而不脱离本发明的精神。
Claims (12)
1.一种反弹式木马的检测方法,其特征在于,包括:
步骤a、实时监控当前***的网络包;
步骤b、实时获取当前***网络连接和进程的关联表;
步骤c、对所述的网络包进行分析和匹配,分析和匹配的网络包类型包括DNS请求、FTP连接、IP连接,并从分析结果中获得可疑连接列表;
步骤d、对所述的进程进行分析,获得可疑进程列表;
步骤e、对可疑连接列表和可疑进程列表进行关联分析,并进行处置。
2.如权利要求1所述的方法,其特征在于,步骤b具体包括:获取当前***中所有有网络连接的进程,以进程为单位存储相关数据,包括源端口、目的端口、目的IP、PID、可疑类型、时间。
3.如权利要求1所述的方法,其特征在于,分析和匹配DNS请求具体包括:
如果所述网络包中有DNS请求,则获取所述DNS请求的域名、源端口、以及源端口对应的PID;所述源端口对应的PID通过所述关联表获得;
用所述的域名与黑名单进行匹配,所述黑名单是指可疑的域名和被恶意代码采用的域名,如果匹配成功,则将所述域名保存为可疑连接;
否则判断所述DNS请求完成后是否存在对DNS请求的域名的URL请求,如果没有则所述域名为安全连接,否则获取所述URL请求的源端口以及通过所述关联表获得所述源端口对应的PID,如果URL请求源端口对应的PID与DNS请求源端口对应的PID不相同,则所述域名为安全连接;
否则对所述URL请求的返回值进行特征匹配,如果匹配成功并且返回文件的大小满足预设的阈值,则将所述域名保存为可疑连接;
否则对所述URL请求返回的文件内容进行特征匹配,如果匹配成功则将所述域名保存为可疑连接;否则对所述URL请求返回的文件内容中的IP连接进行分析和匹配。
4.如权利要求1所述的方法,其特征在于,分析和匹配FTP连接具体包括:
通过所述关联表获得FTP连接所对应的PID;
判断所述FTP连接是否下载文件,如果不是则所述FTP连接为安全连接;否则判断所述下载文件的进程的PID是否与所述的FTP连接所对应的PID相同,如果不相同则所述FTP连接为安全连接;否则对所述的下载文件的大小和内容进行特征匹配,如果匹配成功则将所述FTP连接保存为可疑连接;否则将所述下载文件的内容中的IP连接进行分析和匹配。
5.如权利要求1或3或4所述的方法,其特征在于,分析和匹配IP连接具体包括:
对IP连接的IP和端口进行特征匹配,如果匹配成功则将所述的IP连接保存为可疑连接;如果匹配不成功则判断所述IP连接是否连接成功,如果连接不成功且存在连接心跳,则将所述IP连接保存为可疑连接,如果连接不成功且不存在连接心跳,则所述IP连接为安全连接;如果所述IP连接成功,且所述IP连接通过所述关联表所对应的PID与所述DNS请求源端口对应的PID不相同、并且所述IP连接通过所述关联表所对应的PID与所述FTP连接所对应的PID不相同,则所述IP连接为安全连接,否则阻断所述IP连接,如果不出现连接心跳,则所述IP连接为安全连接,如果存在连接心跳,则将所述IP连接保存为可疑连接。
6.如权利要求1所述的方法,其特征在于,步骤d具体包括:
依次取步骤b所述的每一个进程,获取所述进程的网络状态,如果所述进程存在异常网络行为则将所述进程保存为可疑进程;如果所述进程不存在窗口或者存在隐藏窗口或者存在隐藏进程则将所述进程保存为可疑进程。
7.如权利要求1所述的方法,其特征在于,步骤e具体包括:
如果同一个PID存在于可疑连接列表和可疑进程列表中,则断开相应的连接,并根据PID关联到恶意代码本身,清除恶意代码;
如果PID存在于可疑连接列表中,不存在与所述关联表中,则利用Anti-Rootkit技术相应的清除恶意代码。
8.一种反弹式木马的检测***,其特征在于,包括:
监控模块,用于实时监控当前***的网络包;
关联表模块,用于实时获取当前***网络连接和进程的关联表;
可疑连接列表模块,用于对所述的网络包进行分析和匹配,分析和匹配的网络包类型包括DNS请求、FTP连接、IP连接,并从分析结果中获得可疑连接列表;
可疑进程列表模块,用于对所述的进程进行分析,获得可疑进程列表;
关联分析模块,用于对可疑连接列表和可疑进程列表进行关联分析,并进行处置。
9.如权利要求8所述的反弹式木马的检测***,其特征在于,关联表模块具体用于:获取当前***中所有有网络连接的进程,以进程为单位存储相关数据,包括源端口、目的端口、目的IP、PID、可疑类型、时间。
10.如权利要求8所述的反弹式木马的检测***,其特征在于,
分析和匹配DNS请求具体包括:
如果所述网络包中有DNS请求,则获取所述DNS请求的域名、源端口、以及源端口对应的PID;所述源端口对应的PID通过所述关联表获得;
用所述的域名与黑名单进行匹配,所述黑名单是指可疑的域名和被恶意代码采用的域名,如果匹配成功,则将所述域名保存为可疑连接;
否则判断所述DNS请求完成后是否存在对DNS请求的域名的URL请求,如果没有则所述域名为安全连接,否则获取所述URL请求的源端口以及通过所述关联表获得所述源端口对应的PID,如果URL请求源端口对应的PID与DNS请求源端口对应的PID不相同,则所述域名为安全连接;
否则对所述URL请求的返回值进行特征匹配,如果匹配成功并且返回文件的大小满足预设的阈值,则将所述域名保存为可疑连接;
否则对所述URL请求返回的文件内容进行特征匹配,如果匹配成功则将所述域名保存为可疑连接;否则对所述URL请求返回的文件内容中的IP连接进行分析和匹配;
分析和匹配FTP连接具体包括:
通过所述关联表获得FTP连接所对应的PID;
判断所述FTP连接是否下载文件,如果不是则所述FTP连接为安全连接;否则判断所述下载文件的进程的PID是否与所述的FTP连接所对应的PID相同,如果不相同则所述FTP连接为安全连接;否则对所述的下载文件的大小和内容进行特征匹配,如果匹配成功则将所述FTP连接保存为可疑连接;否则将所述下载文件的内容中的IP连接进行分析和匹配;
分析和匹配IP连接具体包括:
对IP连接的IP和端口进行特征匹配,如果匹配成功则将所述的IP连接保存为可疑连接;如果匹配不成功则判断所述IP连接是否连接成功,如果连接不成功且存在连接心跳,则将所述IP连接保存为可疑连接,如果连接不成功且不存在连接心跳,则所述IP连接为安全连接;如果所述IP连接成功,且所述IP连接通过所述关联表所对应的PID与所述DNS请求源端口对应的PID不相同、并且所述IP连接通过所述关联表所对应的PID与所述FTP连接所对应的PID不相同,则所述IP连接为安全连接,否则阻断所述IP连接,如果不出现连接心跳,则所述IP连接为安全连接,如果存在连接心跳,则将所述IP连接保存为可疑连接。
11.如权利要求8所述的反弹式木马的检测***,其特征在于,可疑进程列表模块具体包括:
依次取关联表模块所述的每一个进程,获取所述进程的网络状态,如果所述进程存在异常网络行为则将所述进程保存为可疑进程;如果所述进程不存在窗口或者存在隐藏窗口或者存在隐藏进程则将所述进程保存为可疑进程。
12.如权利要求8所述的反弹式木马的检测***,其特征在于,关联分析模块具体包括:如果同一个PID存在于可疑连接列表和可疑进程列表中,则断开相应的连接,并根据PID关联到恶意代码本身,清除恶意代码;
如果PID存在于可疑连接列表中,不存在与所述关联表中,则利用Anti-Rootkit技术相应的清除恶意代码。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110429663.1A CN102761458B (zh) | 2011-12-20 | 2011-12-20 | 一种反弹式木马的检测方法和*** |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110429663.1A CN102761458B (zh) | 2011-12-20 | 2011-12-20 | 一种反弹式木马的检测方法和*** |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102761458A true CN102761458A (zh) | 2012-10-31 |
| CN102761458B CN102761458B (zh) | 2014-11-05 |
Family
ID=47055784
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201110429663.1A Active CN102761458B (zh) | 2011-12-20 | 2011-12-20 | 一种反弹式木马的检测方法和*** |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102761458B (zh) |
Cited By (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102984177A (zh) * | 2012-12-24 | 2013-03-20 | 珠海市君天电子科技有限公司 | 一种识别远控木马的方法及其装置 |
| CN103051627A (zh) * | 2012-12-21 | 2013-04-17 | 公安部第一研究所 | 一种反弹式木马的检测方法 |
| CN104753955A (zh) * | 2015-04-13 | 2015-07-01 | 成都双奥阳科技有限公司 | 基于反弹端口木马的互联审计方法 |
| CN104796405A (zh) * | 2015-03-18 | 2015-07-22 | 深信服网络科技(深圳)有限公司 | 反弹连接检测方法和装置 |
| CN105119938A (zh) * | 2015-09-14 | 2015-12-02 | 电子科技大学 | 一种针对内网端口反弹型木马的防范方法 |
| CN105138915A (zh) * | 2015-08-07 | 2015-12-09 | 天脉聚源(北京)传媒科技有限公司 | 一种进程操作的处理方法及装置 |
| CN105809033A (zh) * | 2014-12-30 | 2016-07-27 | 北京奇虎科技有限公司 | 恶意进程处理方法及装置 |
| CN106909847A (zh) * | 2017-02-17 | 2017-06-30 | 国家计算机网络与信息安全管理中心 | 一种恶意代码检测的方法、装置及*** |
| CN107145779A (zh) * | 2017-03-16 | 2017-09-08 | 北京网康科技有限公司 | 一种离线恶意软件日志的识别方法和装置 |
| CN107666464A (zh) * | 2016-07-28 | 2018-02-06 | 腾讯科技(深圳)有限公司 | 一种信息处理方法及服务器 |
| CN109379341A (zh) * | 2018-09-21 | 2019-02-22 | 国网湖南省电力有限公司 | 一种基于行为分析的反弹型远控木马网络流量检测方法 |
| CN109474571A (zh) * | 2017-12-29 | 2019-03-15 | 北京安天网络安全技术有限公司 | 一种协同联动发现Rootkit的方法及*** |
| CN110381009A (zh) * | 2018-04-16 | 2019-10-25 | 北京升鑫网络科技有限公司 | 一种基于行为检测的反弹shell的检测方法 |
| CN111064755A (zh) * | 2020-01-14 | 2020-04-24 | 腾讯科技(深圳)有限公司 | 一种数据保护方法、装置、计算机设备和存储介质 |
| CN111382783A (zh) * | 2020-02-28 | 2020-07-07 | 广州大学 | 恶意软件识别方法、装置及存储介质 |
| CN112929326A (zh) * | 2019-12-05 | 2021-06-08 | 华为技术有限公司 | 恶意域名访问的检测方法、装置及计算机可读存储介质 |
| CN114257444A (zh) * | 2021-12-20 | 2022-03-29 | 奇安信科技集团股份有限公司 | 一种可疑外连的检测方法及装置 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101184094A (zh) * | 2007-12-06 | 2008-05-21 | 北京启明星辰信息技术有限公司 | 一种适于局域网环境的网络节点扫描检测方法和*** |
| CN101350052A (zh) * | 2007-10-15 | 2009-01-21 | 北京瑞星国际软件有限公司 | 发现计算机程序的恶意行为的方法和装置 |
| CN102111400A (zh) * | 2010-12-07 | 2011-06-29 | 成都市华为赛门铁克科技有限公司 | 一种木马检测方法、装置及*** |
-
2011
- 2011-12-20 CN CN201110429663.1A patent/CN102761458B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101350052A (zh) * | 2007-10-15 | 2009-01-21 | 北京瑞星国际软件有限公司 | 发现计算机程序的恶意行为的方法和装置 |
| CN101184094A (zh) * | 2007-12-06 | 2008-05-21 | 北京启明星辰信息技术有限公司 | 一种适于局域网环境的网络节点扫描检测方法和*** |
| CN102111400A (zh) * | 2010-12-07 | 2011-06-29 | 成都市华为赛门铁克科技有限公司 | 一种木马检测方法、装置及*** |
Cited By (26)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103051627B (zh) * | 2012-12-21 | 2016-04-27 | 公安部第一研究所 | 一种反弹式木马的检测方法 |
| CN103051627A (zh) * | 2012-12-21 | 2013-04-17 | 公安部第一研究所 | 一种反弹式木马的检测方法 |
| CN102984177A (zh) * | 2012-12-24 | 2013-03-20 | 珠海市君天电子科技有限公司 | 一种识别远控木马的方法及其装置 |
| CN102984177B (zh) * | 2012-12-24 | 2016-01-27 | 珠海市君天电子科技有限公司 | 一种识别远控木马的方法及其装置 |
| CN105809033A (zh) * | 2014-12-30 | 2016-07-27 | 北京奇虎科技有限公司 | 恶意进程处理方法及装置 |
| CN104796405A (zh) * | 2015-03-18 | 2015-07-22 | 深信服网络科技(深圳)有限公司 | 反弹连接检测方法和装置 |
| CN104753955A (zh) * | 2015-04-13 | 2015-07-01 | 成都双奥阳科技有限公司 | 基于反弹端口木马的互联审计方法 |
| CN105138915B (zh) * | 2015-08-07 | 2018-03-06 | 天脉聚源(北京)传媒科技有限公司 | 一种进程操作的处理方法及装置 |
| CN105138915A (zh) * | 2015-08-07 | 2015-12-09 | 天脉聚源(北京)传媒科技有限公司 | 一种进程操作的处理方法及装置 |
| CN105119938A (zh) * | 2015-09-14 | 2015-12-02 | 电子科技大学 | 一种针对内网端口反弹型木马的防范方法 |
| CN105119938B (zh) * | 2015-09-14 | 2018-05-18 | 电子科技大学 | 一种针对内网端口反弹型木马的防范方法 |
| CN107666464B (zh) * | 2016-07-28 | 2020-11-06 | 腾讯科技(深圳)有限公司 | 一种信息处理方法及服务器 |
| CN107666464A (zh) * | 2016-07-28 | 2018-02-06 | 腾讯科技(深圳)有限公司 | 一种信息处理方法及服务器 |
| CN106909847A (zh) * | 2017-02-17 | 2017-06-30 | 国家计算机网络与信息安全管理中心 | 一种恶意代码检测的方法、装置及*** |
| CN106909847B (zh) * | 2017-02-17 | 2020-10-16 | 国家计算机网络与信息安全管理中心 | 一种恶意代码检测的方法、装置及*** |
| CN107145779A (zh) * | 2017-03-16 | 2017-09-08 | 北京网康科技有限公司 | 一种离线恶意软件日志的识别方法和装置 |
| CN109474571A (zh) * | 2017-12-29 | 2019-03-15 | 北京安天网络安全技术有限公司 | 一种协同联动发现Rootkit的方法及*** |
| CN110381009A (zh) * | 2018-04-16 | 2019-10-25 | 北京升鑫网络科技有限公司 | 一种基于行为检测的反弹shell的检测方法 |
| CN109379341A (zh) * | 2018-09-21 | 2019-02-22 | 国网湖南省电力有限公司 | 一种基于行为分析的反弹型远控木马网络流量检测方法 |
| CN109379341B (zh) * | 2018-09-21 | 2022-02-01 | 国网湖南省电力有限公司 | 一种基于行为分析的反弹型远控木马网络流量检测方法 |
| CN112929326A (zh) * | 2019-12-05 | 2021-06-08 | 华为技术有限公司 | 恶意域名访问的检测方法、装置及计算机可读存储介质 |
| WO2021109669A1 (zh) * | 2019-12-05 | 2021-06-10 | 华为技术有限公司 | 恶意域名访问的检测方法、装置及计算机可读存储介质 |
| CN112929326B (zh) * | 2019-12-05 | 2022-05-24 | 华为技术有限公司 | 恶意域名访问的检测方法、装置及计算机可读存储介质 |
| CN111064755A (zh) * | 2020-01-14 | 2020-04-24 | 腾讯科技(深圳)有限公司 | 一种数据保护方法、装置、计算机设备和存储介质 |
| CN111382783A (zh) * | 2020-02-28 | 2020-07-07 | 广州大学 | 恶意软件识别方法、装置及存储介质 |
| CN114257444A (zh) * | 2021-12-20 | 2022-03-29 | 奇安信科技集团股份有限公司 | 一种可疑外连的检测方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102761458B (zh) | 2014-11-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102761458B (zh) | 一种反弹式木马的检测方法和*** | |
| US9769200B2 (en) | Method and system for detection of malware that connect to network destinations through cloud scanning and web reputation | |
| US11068588B2 (en) | Detecting irregularities on a device | |
| CN100448203C (zh) | 用于识别和防止恶意入侵的***和方法 | |
| CN110730175B (zh) | 一种基于威胁情报的僵尸网络检测方法及检测*** | |
| KR101662605B1 (ko) | 모바일 네트워크 환경에서 네트워크 정보를 가입자 정보와 상관시키는 시스템 및 방법 | |
| CN102594825B (zh) | 一种内网木马的检测方法和装置 | |
| CN102801697B (zh) | 基于多url的恶意代码检测方法和*** | |
| CN101478407B (zh) | 在线安全登录的方法及装置 | |
| CN108881101B (zh) | 一种基于文档对象模型的跨站脚本漏洞防御方法、装置以及客户端 | |
| CN102035793B (zh) | 僵尸网络检测方法、装置以及网络安全防护设备 | |
| CN102571812B (zh) | 一种网络威胁的跟踪识别方法及装置 | |
| CN103065089B (zh) | 网页木马的检测方法和装置 | |
| CN107347057B (zh) | 入侵检测方法、检测规则生成方法、装置及*** | |
| CN107835149A (zh) | 基于dns流量分析的网络窃密行为检测方法以及装置 | |
| CN108134761B (zh) | 一种apt检测***及装置 | |
| CN107332804B (zh) | 网页漏洞的检测方法及装置 | |
| CN105187394A (zh) | 具有移动终端恶意软件行为检测能力的代理服务器及方法 | |
| CN104426850A (zh) | 基于插件的漏洞检测方法 | |
| CN102045220A (zh) | 木马监控审计方法及*** | |
| CN103297433A (zh) | 基于网络数据流的http僵尸网络检测方法及*** | |
| CN107733867B (zh) | 一种发现僵尸网络及防护的方法、***和存储介质 | |
| CN107770125A (zh) | 一种网络安全应急响应方法及应急响应平台 | |
| CN101588276B (zh) | 一种检测僵尸网络的方法及其装置 | |
| CN109474510B (zh) | 一种邮箱安全交叉审计方法、***及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C53 | Correction of patent of invention or patent application | ||
| CB02 | Change of applicant information |
Address after: 100080 Haidian District City, Zhongguancun, the main street, No. 1 Hailong building, room 1415, room 14 Applicant after: Beijing Antiy Electronic Installation Co., Ltd. Address before: 100084, 2B-521, bright city, No. 1, Nongda South Road, Beijing, Haidian District Applicant before: Beijing Antiy Electronic Installation Co., Ltd. |
|
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address |
Address after: 100080 Beijing city Haidian District minzhuang Road No. 3, Tsinghua Science Park Building 1 Yuquan Huigu a Patentee after: Beijing ahtech network Safe Technology Ltd Address before: 100080 Haidian District City, Zhongguancun, the main street, No. 1 Hailong building, room 1415, room 14 Patentee before: Beijing Antiy Electronic Installation Co., Ltd. |
|
| CP03 | Change of name, title or address | ||
| PE01 | Entry into force of the registration of the contract for pledge of patent right |
Denomination of invention: Detection method and system of rebound type Trojan Effective date of registration: 20190719 Granted publication date: 20141105 Pledgee: Bank of Longjiang, Limited by Share Ltd, Harbin Limin branch Pledgor: Beijing ahtech network Safe Technology Ltd Registration number: 2019230000008 |
|
| PE01 | Entry into force of the registration of the contract for pledge of patent right | ||
| PC01 | Cancellation of the registration of the contract for pledge of patent right |
Date of cancellation: 20210810 Granted publication date: 20141105 Pledgee: Bank of Longjiang Limited by Share Ltd. Harbin Limin branch Pledgor: BEIJING ANTIY NETWORK TECHNOLOGY Co.,Ltd. Registration number: 2019230000008 |
|
| PC01 | Cancellation of the registration of the contract for pledge of patent right |