CN101552779B - 网络木马的综合检测方法和综合检测装置 - Google Patents
网络木马的综合检测方法和综合检测装置 Download PDFInfo
- Publication number
- CN101552779B CN101552779B CN2009100591956A CN200910059195A CN101552779B CN 101552779 B CN101552779 B CN 101552779B CN 2009100591956 A CN2009100591956 A CN 2009100591956A CN 200910059195 A CN200910059195 A CN 200910059195A CN 101552779 B CN101552779 B CN 101552779B
- Authority
- CN
- China
- Prior art keywords
- data
- trojan horse
- examination criteria
- standard
- intranet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
该发明属于网络安全技术领域中的网络木马病毒的综合检测方法及所采用的功能模块架构装置。检测方法包括检测参数的初始化处理,录入待检测数据,按已知木马病毒标准检测,按木马病毒流量标准检测,对分析数据进行丢弃处理;而所采用的功能模块架构装置包括参数初始化处理单元模块,录入待检测数据单元模块,已知木马病毒标准检测单元模块,木马病毒流量标准检测单元模块,木马病毒发送单元模块,分析数据丢弃处理单元模块。该发明具有对内网不产生任何额外负担,有效提高了对网络木马病毒进行综合检测、防御的性能和效果,对木马病毒及其变种的适应性强、防御面宽、应用范围广,对内网进行整体防御而不需对每台单机分别设防等特点。
Description
技术领域
本发明属于网络安全技术领域,特别是一种针对网络木马病毒的综合检测方法及为实现其方法所采用的功能模块架构装置。采用本发明方法及其装置既可对已知的木马病毒进行检测,还可对未知木马病毒进行检测。
背景技术
木马病毒的泛滥,对计算机及网络系统造成的危害日益严重。目前,针对木马病毒的检测和防御主要采用三种方式:一是针对网页木马进行检测,如:申请号为200610152533.7、发明名称为《基于链接分析的网页木马追踪技术》及申请号为200610152530.3、发明名称为《一种基于行为特征的网页木马检测方法》的专利文献所公的即属于此类技术;二是单机防范,如申请号为200410052134.4、发明名称为《防止木马或病毒窃取输入信息的方法》及申请号为200610035569.7、发明名称为《一种内嵌木马专杀的网络游戏系统及查杀毒方法》即属于此类技术;三是各类杀毒软件,如卡巴斯基、360、瑞星等。上述技术均是针对特定的木马病毒进行单机检测,虽然具有针对性强、对特定的木马病毒防御及查、杀效果亦较好等特点;但却存在性能单一、且在每台需要防御的计算机上均须安装相应的软件才能做到针对性的有效检测和防御;此外,若在一台计算机上安装多种针对性的防木马病毒软件,又会出现相互干扰,影响其防病毒的效果。因而,上述技术存在需单机采用专用软件进行针对性检测,性能单一,对木马病毒只能进行被动防御,综合检测效果差、适应范围窄,各种木马检测软件之间相互干扰大等缺陷。
发明内容
本发明的目的是针对背景技术存在的缺陷,研究设计一种网络木马的综合检测方法及其功能模块架构装置。达到在对内网不产生任何额外负担的情况下,有效提高对网络木马病毒进行综合检测、防御的性能和效果,对木马病毒的适应性强、防御面宽,应用范围广及可对内网进行整体防御等目的。
本发明的解决方案是将木马检测放在内网的单机之外进行,采用已知的木马病毒特征参数及各类木马病毒的流量特征参数作为检测标准,通过旁路侦听内网数据,并将数据通过检测模块处理,得到木马活动信息,最后将其送入网络木马病毒管理器作后继处理;而 为实现该方法所采用的架构装置,则是以常规工业控制机作为基础来设置用于木马检测的装置;该装置运行中分别与内网网络的侦听端口及外部网络联接,从而实现其发明目的。因此,本发明的方法包括:
A.检测参数的初始化处理:将需要保护的内网网段、检测模块网络地址、木马病毒管理器网络地址以及各类网络木马病毒检测标准(参数)进行初始化设置;
B.录入待检测数据:从内网侦听端口录入数据,然后抽取数据中记录的内网地址、内网端口号、外网地址、外网端口号、数据流向、数据量大小、协议编号、关键字数据、出现时间,作为待检测的原始数据、以备检测;
C.按已知木马病毒标准检测:首先按照已知的木马病毒特征标准(参数)对待检测的原始数据进行对比分析检测,若与任一已知的木马病毒标准相符,则将原始数据以及触发的检测标准和触发时间作为木马病毒信息,送网络木马病毒管理器作后继处理;若不符合已知的木马病毒标准,则转下一步继续检测;
D.按木马病毒流量标准检测:将经步骤C检测后输入的数据,与数据库中的在先分析数据逐一进行比对检测,如果数据库中已经存在与输入数据对应的分析数据,则按照设定的木马病毒的流量特征标准逐一进行对比分析检测,若与任一流量病毒检测标准相符,则将输入数据以及触发的检测标准和触发时间,作为带木马病毒信息,送网络木马病毒管理器作后继处理、同时转下一步骤对分析数据作丢弃处理,若均不相符亦转下一步骤作数据丢弃处理;如果数据库中无在先分析数据或不存在对应分析数据,则将该输入数据存入数据库中,作为分析数据;
E.对分析数据进行丢弃处理:将当前时间与数据库中的分析数据录入时间之差,逐一与设定的分析数据留存时间进行比对,并陆续将达到留存期限的分析数据丢弃。
以上所述设定的木马病毒的流量特征标准包括:复位(Reset,简称RST)报文检测标准,邮件行为检测标准,通信连接行为检测标准,关键字检测标准,以及经过加密处理的报文在内的全部或部分标准。其中:所述复位(RST)报文检测标准为内网传出数据中的RST协议报文,在规定时间范围内不允许重复传出的次数;而邮件行为检测标准为从内网中传出的收件人地址和主题均相同的邮件,在规定时间范围内不允许重复传出的次数;通信连接行为检测标准为,在规定时间范围内从同一内网地址流出到同一外网地址的数据流量,与从该外网地址返回该内网地址的数据流量的差异程度不允许达到的值(设定的值);关键字检测标准为从内网流出到外网的数据流量中不允许出现的字符;经过加密处理的报文检测标准为从内网流出到外网的数据流量中不允许出现加密后的字符。
上述网络木马病毒检测方法所采用的功能模块架构装置,包括:
A.一个参数初始化处理单元模块,用于存储需要保护的内网网段、检测模块网络地址、木马病毒管理器网络地址以及各类网络木马病毒检测标准的初始化参数的数据;
B.一个录入待检测数据单元模块,用于抽取从内网侦听端口录入的待检测数据以备检测;
C.一个已知木马病毒标准检测单元模块,用于调用已知木马病毒检测标准,对待检测的原始数据进行对比分析并判断其是否符合已知木马病毒检测标准;
D.一个木马病毒流量标准检测单元模块,用于调用包括复位(RST)报文检测标准、邮件行为检测标准、通信连接行为检测标准,关键字检测标准,以及经过加密处理的报文在内的全部或部分检测标准,对分析数据进行逐一对比分析并判断是否与任一木马病毒流量标准相符,是否作为分析数据存储入数据库;
E.一个木马病毒发送单元模块,用于将已知木马病毒标准检测单元模块和木马病毒流量标准检测单元模块送出的木马病毒信息,发送到木马病毒管理器;
F.一个对分析数据进行丢弃处理的单元模块,用于对分析数据的滞留时间进行判断,并陆续将达到设定存储期限的分析数据从数据库中清除。
本发明方法由于通过旁路侦听内网数据,并采用已知的木马病毒特征参数及各类木马病毒的流量特征参数作为检测标准对其进行综合检测,然后将检测到的木马活动信息送入网络木马病毒管理器处理;而实现该方法的装置则是以常规工业控制机作为基础设置的功能模块架构装置。采用本发明方法及其功能模块架构装置具有在对内网不产生任何额外的负担的情况下,有效提高对网络木马病毒进行综合检测、防御的性能和效果,对木马病毒的适应性强、防御面宽、应用范围广,可对内网进行整体防御而不需对每台单机分别设防等特点。
附图说明
图1为本发明综合检测方法流程示意图(方框图);
图2本发明具体实施方式用功能模块架构装置结构示意图(方框图);
图3本发明实施方式综合检测方法流程示意图(方框图)。
具体实施方式
附图2为本实施方式检测用装置的功能模块架构(结构)框图。本实施方式采用Arck-114R型工业控制机作为检测装置;即在控制机内的存储器)中分别设置参数初始化单元模块,录入待检测数据的单元模块,已知木马病毒标准检测单元模块,木马病毒流量标准检测单元模块,木马病毒告警单元模块,到期数据丢弃模块及相应的数椐库;整个检测装置通过人机输入接口设置各功能模块及对应的参数,通过网络输入接口与内网网络设备的侦听端口连接并录入待检测数据,而通过网络输出接口与外网连接并向网络管理器发送木马病毒信息。
下面以下述参数为例进行说明
需要保护的内网网段是(2.3.4.10-2.3.4.200);
网络设备管理器地址为(5.6.10.150)
木马流量检测标准(参数):
已知木马病毒标准检测参数,简记为1(已知检测标准集);
RST报文检测标准为1分钟内不允许重复出现5次,简记为2.1(1,5);
邮件行为检测标准为在2天内不允许重复出现3次从同一内网地址中传出的收件人地址和主题均相同的邮件,简记为2.2(2,3);
通信连接行为检测标准为在10分钟内不允许重复出现3次从同一内网地址流出到同一外网地址的数据流量,与从该外网地址流入(返回)该内网地址的数据流量的差异程度达到2倍及两倍以上的情况,简记为2.3(10,3,2);
关键字为“机密设计文件”,简记为2.4(“机密设计文件”);
经过加密处理的报文检测标准为从网流出到外网的数据流量中不允许出现加密后的字符,简记为2.5。
分析数据存储期限为2天,简记为2.6(2)。为简化叙述,将上述木马流量检测标准简记为2(木马流量检测标准集)
其综合检测方法包括:
A.检测参数的初始化处理:将上述参数通过人机接口植入到检测装置中;
B.录入待检测的数据:当从内网网络设备侦听端口有数据录入时,抽取其中记录的内网地址、内网端口号、外网地址、外网端口号、数据流向、数据量大小、出现时间、协议编号、关键字数据、报文内容,作为待检测的原始数据以备检测;
C.按已知木马病毒标准检测:首先按照已知的木马病毒特征标准1(已知检测标准集)对待检测的原始数据进行对比分析,若与其中任一已知的木马病毒标准相符,则将该数据以及触发的检测标准和触发时间,一并送网络木马病毒管理器,再转到第5步作后继处理;若不符合已知的木马病毒标准,则转下一步继续检测;
D.按木马病毒流量标准检测:将经步骤C检测后输入的待检测数据,按照设定的木马病毒的流量特征标准2(木马流量检测标准集)逐一进行对比分析检测,若与其中任一木马病毒的流量标准相符,则将该数据以及触发的检测标准和触发时间,一并送网络木马病毒管理器作后续处理,并转下一步作数据丢弃处理;若均不相符,则将该数据存入数据库中、作为分析数据,并转下一步;
E.按数据留存时间进行数据丢弃处理:将当前时间与分析数据的录入时间之差,逐一与规定的留存时间进行比对,并陆续将达到留存期限的分析数据丢弃。
在本实施例中,一旦出现已知的木马病毒,例如出现符合1(已知检测标准集)中的任一标准的数据;或者出现木马病毒的流量,例如出现符合2(木马流量检测标准集)中的任一标准的数据,木马综合检测器就会通过木马病毒信息发送模块经网络输出接口,向木马病毒管理器发送在步骤C,或者步骤D检测出的木马病毒信息。
Claims (4)
1.一种网络木马的综合检测方法,包括:
A.检测参数的初始化处理:将需要保护的内网网段、检测模块网络地址、木马病毒管理器网络地址以及各类网络木马病毒检测标准进行初始化设置;
B.录入待检测数据:从内网侦听端口录入数据,然后抽取数据中记录的内网地址、内网端口号、外网地址、外网端口号、数据流向、数据量大小、协议编号、关键字数据、出现时间,作为待检测的原始数据、以备检测;
C.按已知木马病毒标准检测:首先按照已知的木马病毒标准对待检测的原始数据进行对比分析检测,若与任一已知的木马病毒标准相符,则将原始数据以及触发的检测标准和触发时间作为木马病毒信息,送木马病毒管理器作后继处理;若不符合已知的木马病毒标准,则转下一步继续检测;
D.按木马病毒的流量标准检测:将经步骤C检测后输入的数据,与数据库中的在先分析数据逐一进行比对检测,如果数据库中已经存在与输入数据对应的分析数据,则按照设定的木马病毒的流量标准逐一进行对比分析检测,若与任一木马病毒的流量标准相符,则将输入数据以及触发的流量标准和触发时间,作为带木马病毒信息,送木马病毒管理器作后继处理、同时转下一步骤对分析数据作丢弃处理,若均不相符亦转下一步骤作数据丢弃处理;如果数据库中无在先分析数据或不存在对应分析数据,则将该输入数据存入数据库中,作为分析数据;
E.对分析数据进行丢弃处理:将当前时间与数据库中的分析数据录入时间之差,逐一与设定的分析数据留存时间进行比对,并陆续将达到留存期限的分析数据丢弃。
2.按权利要求1所述网络木马的综合检测方法,其特征在于所述设定的木马病毒的流量标准包括:复位报文检测标准,邮件行为检测标准,通信连接行为检测标准,关键字检测标准,以及经过加密处理的报文检测标准在内的全部或部分标准。
3.按权利要求2所述网络木马的综合检测方法,其特征在于所述复位报文检测标准为内网传出数据中的RST协议报文,在规定时间范围内不允许重复传出的次数;而邮件行为检测标准为从内网中传出的收件人地址和主题均相同的邮件,在规定时间范围内不允许重复传出的次数;通信连接行为检测标准为,在规定时间范围内从同一内网地址流出到同一外网地址的数据流量,与从该外网地址返回该内网地址的数据流量的差异程度不允许达到的值;关键字检测标准为从内网流出到外网的数据流量中不允许出现的字符;经过加密处理的报文检测标准为从内网流出到外网的数据流量中不允许出现加密后的字符。
4.一种网络木马的综合检测装置,包括:
A.一个参数初始化处理单元模块,用于存储需要保护的内网网段、检测模块网络地址、木马病毒管理器网络地址以及各类网络木马病毒检测标准的初始化参数的数据;
B.一个录入待检测数据单元模块,用于抽取从内网侦听端口录入的待检测数据以备检测;
C.一个已知木马病毒标准检测单元模块,用于调用已知木马病毒检测标准,对待检测的原始数据进行对比分析并判断其是否符合已知木马病毒检测标准;
D.一个木马病毒流量标准检测单元模块,用于调用木马病毒流量标准对分析数据进行逐一对比分析并判断是否与任一木马病毒流量标准相符,是否作为分析数据存储入数据库;上述木马病毒流量标准包括复位报文检测标准、邮件行为检测标准、通信连接行为检测标准、关键字检测标准、以及经过加密处理的报文检测标准在内的全部或部分检测标准;
E.一个木马病毒发送单元模块,用于将已知木马病毒标准检测单元模块和木马病毒流量标准检测单元模块送出的木马病毒信息,发送到木马病毒管理器;
F.一个对分析数据进行丢弃处理的单元模块,用于对分析数据的滞留时间进行判断,并陆续将达到设定存储期限的分析数据从数据库中清除。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009100591956A CN101552779B (zh) | 2009-05-04 | 2009-05-04 | 网络木马的综合检测方法和综合检测装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009100591956A CN101552779B (zh) | 2009-05-04 | 2009-05-04 | 网络木马的综合检测方法和综合检测装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101552779A CN101552779A (zh) | 2009-10-07 |
| CN101552779B true CN101552779B (zh) | 2012-05-23 |
Family
ID=41156770
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2009100591956A Expired - Fee Related CN101552779B (zh) | 2009-05-04 | 2009-05-04 | 网络木马的综合检测方法和综合检测装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101552779B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103065089B (zh) * | 2012-12-11 | 2016-03-09 | 深信服网络科技(深圳)有限公司 | 网页木马的检测方法和装置 |
| CN106033514B (zh) * | 2015-03-20 | 2019-08-09 | 阿里巴巴集团控股有限公司 | 一种可疑进程的探测方法及装置 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1925494A (zh) * | 2006-09-28 | 2007-03-07 | 北京理工大学 | 一种基于行为特征的网页木马检测方法 |
| US20080056487A1 (en) * | 2006-08-31 | 2008-03-06 | Bora Akyol | Intelligent network interface controller |
-
2009
- 2009-05-04 CN CN2009100591956A patent/CN101552779B/zh not_active Expired - Fee Related
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080056487A1 (en) * | 2006-08-31 | 2008-03-06 | Bora Akyol | Intelligent network interface controller |
| CN1925494A (zh) * | 2006-09-28 | 2007-03-07 | 北京理工大学 | 一种基于行为特征的网页木马检测方法 |
Non-Patent Citations (1)
| Title |
|---|
| 赵丽.《木马检测方法的研究与实现》.《中国优秀硕士学位论文全文数据库》.2008,全文. * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101552779A (zh) | 2009-10-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10659478B2 (en) | Identifying stealth packets in network communications through use of packet headers | |
| CN110677381B (zh) | 渗透测试的方法及装置、存储介质、电子装置 | |
| CN103179105B (zh) | 一种基于网络流量中行为特征的智能木马检测装置及其方法 | |
| Garitano et al. | A review of SCADA anomaly detection systems | |
| US20140337974A1 (en) | System and method for semantic integration of heterogeneous data sources for context aware intrusion detection | |
| Krishna et al. | Intrusion detection and prevention system using deep learning | |
| CN101605074A (zh) | 基于网络通讯行为特征监测木马的方法与系统 | |
| US9705899B2 (en) | Digital filter correlation engine | |
| CN105027510A (zh) | 网络监视装置、网络监视方法以及网络监视程序 | |
| KR101060612B1 (ko) | 감사자료 기반의 웹공격 이벤트 추출 시스템 및 방법 | |
| CN111866024B (zh) | 一种网络加密流量识别方法及装置 | |
| CN101350745A (zh) | 一种入侵检测方法及装置 | |
| CN103746992B (zh) | 基于逆向的入侵检测系统及其方法 | |
| CN101854275A (zh) | 一种通过分析网络行为检测木马程序的方法及装置 | |
| Grill et al. | Malware detection using http user-agent discrepancy identification | |
| Gupta et al. | Cross site scripting (XSS) attack detection using intrustion detection system | |
| Keong Ng et al. | VoterChoice: A ransomware detection honeypot with multiple voting framework | |
| Kebande et al. | Functional requirements for adding digital forensic readiness as a security component in IoT environments | |
| CN105939314A (zh) | 网络防护方法和装置 | |
| CN101552779B (zh) | 网络木马的综合检测方法和综合检测装置 | |
| Fadlalla et al. | Input Validation Vulnerabilities in Web Applications: Systematic Review, Classification, and Analysis of the Current State-of-the-Art | |
| CN101546367B (zh) | 带预警功能的网络木马综合检测方法 | |
| CN108737332A (zh) | 一种基于机器学习的中间人攻击预测方法 | |
| Shabtai et al. | Monitoring, analysis, and filtering system for purifying network traffic of known and unknown malicious content | |
| CN107231365A (zh) | 一种取证的方法及服务器以及防火墙 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20120523 Termination date: 20150504 |
|
| EXPY | Termination of patent right or utility model |