CN105119938B - 一种针对内网端口反弹型木马的防范方法 - Google Patents

一种针对内网端口反弹型木马的防范方法 Download PDF

Info

Publication number
CN105119938B
CN105119938B CN201510585555.1A CN201510585555A CN105119938B CN 105119938 B CN105119938 B CN 105119938B CN 201510585555 A CN201510585555 A CN 201510585555A CN 105119938 B CN105119938 B CN 105119938B
Authority
CN
China
Prior art keywords
intranet
wooden horse
message
program
safe context
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
CN201510585555.1A
Other languages
English (en)
Other versions
CN105119938A (zh
Inventor
张小松
白金
牛伟纳
徐浩然
吴安彬
唐海洋
张�林
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
University of Electronic Science and Technology of China
Original Assignee
University of Electronic Science and Technology of China
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by University of Electronic Science and Technology of China filed Critical University of Electronic Science and Technology of China
Priority to CN201510585555.1A priority Critical patent/CN105119938B/zh
Publication of CN105119938A publication Critical patent/CN105119938A/zh
Application granted granted Critical
Publication of CN105119938B publication Critical patent/CN105119938B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0245Filtering by information in the payload

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Health & Medical Sciences (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

本发明属于网络环境下信息安全技术领域,提出一种防范内网反弹型木马的方法,用于克服杀毒软件不能很好的发现已知木马的变种和新的木马的问题。该方法首先建立可信程序名单,并于内网出口网关保存该可信名单;再对发送报文进行安全上下文标记,然后在内网出口处对报文中的安全上下文提取,将其与网关的可信程序名单进行对比,如果程序名称及MD5值与可信程序名单一致,则放行,反之则丢掉数据包,限制放行并记入黑名单。从而,本发明有效解决由于传统木马检测方法无法对变种木马或者新木马进行有效检测而带来的内网安全问题。

Description

一种针对内网端口反弹型木马的防范方法
技术领域
本发明属于网络环境下信息安全技术领域,具体是一种针对内网端口反弹型木马的防范方法。
背景技术
在网络安全领域,恶意代码快速增长,各种各样的恶意代码充斥在互联网中,最严重的当属病毒和木马,病毒的目的在于破坏计算机***和文件,而木马则更倾向于机密信息窃取。木马有客户端和服务器端,一般来说服务器端和客户端相互配合,以完成一些破坏和信息窃取活动。当前,木马完全可以做到免杀并且隐藏自身的痕迹,由于防火墙限制,现在大部分木马都是反弹型木马。
反弹端口型木马利用了防火墙的弱点:
防火墙对于连入的链接往往会进行非常严格的过滤,但是对于连出的链接却疏于防范;于是,与一般的木马相反,反弹端口型木马的服务端(被控制端)使用主动端口,客户端(控制端)使用被动端口,木马定时监测控制端的存在,发现控制端上线立即弹出端口主动连结控制端打开的主动端口。
为了隐蔽起见,控制端的被动端口一般开在80,这样,即使用户使用端口扫描软件检查自己的端口,发现的也是正常的网络连接,不会产生怀疑。
目前针对木马的检测方法主要是特征码扫描和主动防御的方法,根据扫描特征码的方法判断木马的方法其缺陷是:一旦木马发生变种或者产生一个新的木马则杀毒软件就没有办法更好的检测。
而主动防御的方法也没有办法很好地检测使用内核技术的木马。
发明内容
本发明的目的在于提供了一种针对内网端口反弹型木马的防范方法,用于克服杀毒软件不能很好的发现已知木马的变种和新的木马的问题。
为解决上述问题,本发明的技术方案为:
一种针对内网端口反弹型木马的防范方法,包括以下步骤:
步骤1.确定可信程序名单:
为所有可信程序设定key-value,其中key为程序名称,value值为可执行程序的MD5(Message Digest Algorithm 5)值;
内网出口网关保存一份key-value名单,即可信程序名单;
步骤2.打安全标签:
对内网中每台主机应用程序发出的网络报文进行安全上下文标记,安全上下文标记内容包括:
(1)发送此报文的程序名称,
(2)程序的MD5值,
(3)主机的MAC(Medium/Media Access Control)地址;
步骤3.内网出口网关处捕获内网中流出的所有报文;
步骤4.检测报文中提供的安全上下文并分析报文内容:
提取报文中的安全上下文,将其与网关的可信程序名单(key-value名单)进行对比,如果程序名称及MD5值与可信程序名单一致,则放行并建立一个cache(缓存);预设时间内,再次捕获到由此MAC地址所对应主机的相同程序发出的网络报文则直接放行;
反之则丢掉数据包,限制放行,并将相关信息记录于日志中;同时,对报文连接的外网IP地址记入黑名单。
本发明的优点在于:
(1)解决了杀毒软件无法检测最新的木马以及已有木马的变种从而带来的威胁。
(2)不再只依赖于传统的网站白名单的方法,因反弹木马多连接第三方网站获取信息,而这些第三方网站多为安全可信的网站。
本发明通过安全上下文,验证报文发送的主体,从而确定连接的安全性,不仅仅根据白名单中的信息判断。
(3)不破坏现有的网络协议与网络应用。安全上下文只在应用程序通过本机网卡时,通过***的内核模块在网络报文中添加,不影响现有的网络应用。
安全上下文的判断也是通过内核模块,将报文中的安全上下文提取出来并重新将报文恢复并传递给网关,判断模块会检查应用程序的校验码从而确定放行与否。
整个过程不会对用户以及程序造成任何影响,是一个完全透明的过程。
附图说明
图1为内网主机应用程序通过主机发送报文进行安全上下文标记过程。
图2为内网网关在接收到外联数据包后提取安全上下文并分析数据报文的过程。
具体实施方式
根据以上所述,结合附图和实施例对本发明中的技术方案作进一步详细的说明。
本实施例中,假设一个内网主机为A,此主机上的一个网络应用程序为WA,安全标签添加模块MA,内网网关G,网关上的安全上下文解析与控制模块MG。
首先,先确定可信应用程序,将其程序名称和程序的MD5值存入可信程序名单(key-value名单)中存放到内网出口网关,可以根据需求动态增加或者删除可信应用名单中的内容;
WA连接外网发送报文,通过安全标签添加模块MA,在报文中添加安全上下文,包括本机MAC地址、发送报文的应用程序名称和该应用程序的MD5校验值,然后通过本机网卡将报文发送到内网出口网关,如图1所述;
网关控制模块MG捕获报文,提取出报文中的安全上下文,将发送报文的应用程序名称和相应的校验值与可信程序名单中的应用程序对比,如图2所示;
如果名单中不存在此应用名称则丢掉该报文,并将发送报文的主机地址和可疑应用程序记录在黑名单中,同时通知该主机的管理员或者操作人员,对该主机进行安全检查;如果安全上下文与网关中保存的MD5校验值不同,也进行相同处理;
如果安全上下文中的程序名称及MD5校验值与网关中的可信程序名单相同,则将该报文去掉安全上下文恢复成正常的报文传递给网关G,并建立一个缓存,同时通知该程序对应的主机对于该程序发出的数据包10分钟内不再进行安全上下文标记,10分钟之内再捕获到该主机程序发送的报文则直接放行,10分钟之后,再进行正常标记,捕获和处理。
以上所述,仅为本发明的具体实施方式,本说明书中所公开的任一特征,除非特别叙述,均可被其他等效或具有类似目的的替代特征加以替换;所公开的所有特征、或所有方法或过程中的步骤,除了互相排斥的特征和/或步骤以外,均可以任何方式组合。

Claims (1)

1.一种针对内网端口反弹型木马的防范方法,包括以下步骤:
步骤1.确定可信程序名单:
为所有可信程序设定key-value,其中key为程序名称,value值为可信程序的MD5值;
内网出口网关保存一份key-value名单,即可信程序名单;
步骤2.打安全标签:
内网中每台主机对其本地应用程序发出的网络报文进行安全上下文标记,安全上下文标记内容包括:
(1)发送此报文的程序名称,
(2)程序的MD5值,
(3)主机的MAC地址;
步骤3.内网出口网关处捕获内网中流出的所有报文;
步骤4.内网出口网关检测报文中提供的安全上下文并分析报文内容:
提取报文中的安全上下文,将其与网关的可信程序名单进行对比,如果程序名称及MD5值与可信程序名单一致,则放行并建立一个cache;预设时间内,再次捕获到由此MAC地址所对应主机的相同程序发出的网络报文则直接放行;
反之则丢掉数据包,限制放行,并将相关信息记录于日志中;同时,对报文连接的外网IP地址记入黑名单。
CN201510585555.1A 2015-09-14 2015-09-14 一种针对内网端口反弹型木马的防范方法 Expired - Fee Related CN105119938B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201510585555.1A CN105119938B (zh) 2015-09-14 2015-09-14 一种针对内网端口反弹型木马的防范方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201510585555.1A CN105119938B (zh) 2015-09-14 2015-09-14 一种针对内网端口反弹型木马的防范方法

Publications (2)

Publication Number Publication Date
CN105119938A CN105119938A (zh) 2015-12-02
CN105119938B true CN105119938B (zh) 2018-05-18

Family

ID=54667826

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201510585555.1A Expired - Fee Related CN105119938B (zh) 2015-09-14 2015-09-14 一种针对内网端口反弹型木马的防范方法

Country Status (1)

Country Link
CN (1) CN105119938B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107786531B (zh) * 2017-03-14 2020-02-18 平安科技(深圳)有限公司 Apt攻击检测方法和装置
CN110135153A (zh) * 2018-11-01 2019-08-16 哈尔滨安天科技股份有限公司 软件的可信检测方法及装置

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101572711A (zh) * 2009-06-08 2009-11-04 北京理工大学 一种基于网络的反弹端口型木马的检测方法
CN102761458A (zh) * 2011-12-20 2012-10-31 北京安天电子设备有限公司 一种反弹式木马的检测方法和***
CN103051627A (zh) * 2012-12-21 2013-04-17 公安部第一研究所 一种反弹式木马的检测方法
CN104753955A (zh) * 2015-04-13 2015-07-01 成都双奥阳科技有限公司 基于反弹端口木马的互联审计方法

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101572711A (zh) * 2009-06-08 2009-11-04 北京理工大学 一种基于网络的反弹端口型木马的检测方法
CN102761458A (zh) * 2011-12-20 2012-10-31 北京安天电子设备有限公司 一种反弹式木马的检测方法和***
CN103051627A (zh) * 2012-12-21 2013-04-17 公安部第一研究所 一种反弹式木马的检测方法
CN104753955A (zh) * 2015-04-13 2015-07-01 成都双奥阳科技有限公司 基于反弹端口木马的互联审计方法

Also Published As

Publication number Publication date
CN105119938A (zh) 2015-12-02

Similar Documents

Publication Publication Date Title
US10095866B2 (en) System and method for threat risk scoring of security threats
US11902303B2 (en) System and method for detecting lateral movement and data exfiltration
US10326778B2 (en) System and method for detecting lateral movement and data exfiltration
KR101689298B1 (ko) 보안이벤트 자동 검증 방법 및 장치
CN107888607A (zh) 一种网络威胁检测方法、装置及网络管理设备
JP6086423B2 (ja) 複数センサの観測情報の突合による不正通信検知方法
CN105681250A (zh) 一种僵尸网络分布式实时检测方法和***
WO2018099206A1 (zh) 一种apt检测方法、***及装置
CN107465702B (zh) 基于无线网络入侵的预警方法及装置
CN103297433A (zh) 基于网络数据流的http僵尸网络检测方法及***
EP3783857A1 (en) System and method for detecting lateral movement and data exfiltration
WO2017083435A1 (en) System and method for threat risk scoring of security threats
Sembiring Implementation of honeypot to detect and prevent distributed denial of service attack
KR101487476B1 (ko) 악성도메인을 검출하기 위한 방법 및 장치
KR101045330B1 (ko) 네트워크 기반의 http 봇넷 탐지 방법
US8763121B2 (en) Mitigating multiple advanced evasion technique attacks
CN105119938B (zh) 一种针对内网端口反弹型木马的防范方法
WO2011000297A1 (zh) 一种检测僵尸网络的方法及其装置
Ahmed et al. A Linux-based IDPS using Snort
CN101888296A (zh) 一种影子用户检测方法、装置、设备和***
Zhao et al. Network security model based on active defense and passive defense hybrid strategy
CN107517226B (zh) 基于无线网络入侵的报警方法及装置
CN104468601A (zh) 一种p2p蠕虫检测***及方法
Ali et al. Wireshark window authentication based packet captureing scheme to pervent DDoS related security issues in cloud network nodes
Bhumika et al. Use of honeypots to increase awareness regarding network security

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20180518

CF01 Termination of patent right due to non-payment of annual fee