CN101605074B - 基于网络通讯行为特征监测木马的方法与系统 - Google Patents
基于网络通讯行为特征监测木马的方法与系统 Download PDFInfo
- Publication number
- CN101605074B CN101605074B CN200910157268A CN200910157268A CN101605074B CN 101605074 B CN101605074 B CN 101605074B CN 200910157268 A CN200910157268 A CN 200910157268A CN 200910157268 A CN200910157268 A CN 200910157268A CN 101605074 B CN101605074 B CN 101605074B
- Authority
- CN
- China
- Prior art keywords
- network
- wooden horse
- behavioural characteristic
- horse
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
一种在网络数据流中基于木马网络通讯行为特征实时监测木马的方法与系统,属于计算机网络安全领域。当前木马通过各种技术手段,逃避目前传统的基于文件特征和主机行为特征的检测,但木马在网络通讯中的行为特征相对固定。即自身的应用通讯协议,一般不会轻易改变。因为它的改变涉及木马客户端和服务端程序同步更改,需要重新植入木马,而且涉及到木马程序不同版本的通讯问题。因此,基于网络数据流中木马活动时的网络通讯行为特征,不仅可以监测各种已知木马,还能准确地监测其加花、加壳或变异的未知木马。
Description
技术领域
本发明涉及一种基于网络通讯行为特征实时监测木马的方法与系统,属于计算机网络安全领域。
背景技术
随着计算机和网络的普及与应用,人们对计算机和网络的依赖程度也越来越高。在每个工作用和家庭用的电脑上保存着大量的非公开或保密的重要文档和个人信息,这些电脑一旦被植入木马程序,其信息会被窃取,从而造成重要信息泄漏、秘密文件泄密、个人隐私信息暴露和经济的损失;此外,木马还可以破坏信息系统,致使系统瘫痪和重要数据丢失。
目前,木马的检测和防护方法归纳起来可以分为两大种类。一类是传统的基于文件特征码的检测方式,该方法首先提取木马程序文件的特征码,然后通过扫描检测文件中是否包含特征码来识别木马文件。但是木马制造者通常会给木马程序文件加上各种形式的“外壳”,使得木马以多种类、多特征码的方式进行传播,从而给采集、监控、查杀和预防木马带来了越来越大的挑战。
另一类是木马防火墙,它是安装在用户主机端的软件工具,它采用动态监控的方式,对网络中的可疑连接进行监控,过滤掉不安全的网络连接,从而保护主机免受外界攻击的危险。但是,由于需要运行在用户主机系统中,在工作过程中需要占用用户主机系统的CPU和内存资源,从而影响了系统其它工作的性能,并且此类方法非常容易产生误报。
因此,传统的基于文件特征码的木马查杀方式,是针对目标系统被植入了已知的木马程序进行查杀和防护。对未知、加花、加壳或变异的木马程序,需要重新分析和提取文件特征码,然后更新特征库,这是一种完全被动的防御方法,没有从根本上解决问题。而木马防火墙只是简单地对网络可疑连接进行监控,对那些利用标准协议通讯的木马程序不能进行有效地防范,同时需要在用户主机上安装软件,这样占用了系统资源,影响系统性能。
发明内容
本发明的基本原理是当前木马通过各种加花、加壳或变异等技术手段,逃避目前传统的基于文件特征和主机行为特征的检测,但木马在网络通讯中的行为特征相对固定。即自身的应用通讯协议,一般不会轻易改变,因为它的改变涉及木马客户端和服务端程序同步更改,需要重新植入木马,而且涉及到木马程序不同版本的通讯问题。因此,基于木马活动时的网络通讯行为特征,不仅可以监测各种已知木马,还能准确地监测其加花、加壳或变异的未知木马。
本发明的目的是在不增加网络负荷、不占用用户终端主机系统任何开销的情况下,克服传统的基于文件特征码检测方式不能检测加花、加壳或变异木马的局限,对网络中的木马程序进行实时监测,并且能够准确定位到感染木马程序的内网机器。
为实现上述目的,根据本发明的一个方面,提供一种基于网络通讯行为特征实时监测木马的方法,该技术方法具体如下:
(1)运行木马程序,通过网络数据采集工具采集该木马的通讯会话数据并保存;
(2)在多个不同的实验环境下,重复上述(1),从而得到了该木马在不同环境下的通讯会话数据文件;
(3)分析提取这些通讯会话数据文件中均相同的数据或数据格式,作为该木马及其变形方式的木马在网络数据流中的网络通讯行为特征码;
(4)导入该特征码到木马网络通讯行为特征库中;
(5)在实际要监控的环境中,采集其网络数据流进行会话重组,然后基于网络通讯行为特征库,通过关键字匹配、模式匹配或两者组合来检测实际网络数据流中是否存在木马网络通讯行为特征;如果存在,则判断存在木马,同时调用报警与日志记录模块记录和展示木马报警信息,作为监测的结果和依据;否则继续监控。
根据本发明的另一个方面,提供一种基于网络通讯行为特征实时监测木马的系统,包括网络探针、管理平台服务器和客户端。其中:
(1)网络探针:用于实时接收网络数据,对采集的网络数据进行分析,分析其应用协议类型,判断网络数据是否包含木马网络通讯行为特征,当发现会话数据中有木马网络通讯行为特征时,发送报警信息到管理平台服务器;网络探针同时也对采集的网络数据进行流量统计,并将流量统计信息定时发送到管理平台服务器。
(2)管理平台服务器:实时接收各网络探针发送的报警日志信息和流量统计信息,记录到数据库中。
(3)客户端:提供对管理平台服务器数据库中数据记录的统计和审计功能,包括报警信息的统计与审计,流量信息的统计与审计;同时也提供报警信息的实时显示功能,以动态图形与详细表格的方式显示统计结果信息;另外,客户端还提供了对网络探针中木马网络通讯行为特征库的远程更新与升级功能。
本发明的一个优点是,克服传统的基于文件特征码检测方式不能检测加花、加壳或变异木马的局限。基于木马活动时的网络通讯行为特征,不仅可以实时监测各种已知木马,还能准确地监测其加花、加壳或变异的未知木马。
本发明的另一个优点是,不需要在用户网络上安装任何软件,也不需要改变用户的网络结构与配置,从而不占用网络资源,不影响用户网络的性能,只需要将希望监测的网络数据流旁路镜像给网络探针进行分析,就能实现对木马的实时监测,为管理员及时掌握网络当前的安全态势和做好相应的安全防范提供可靠的依据。
附图说明
图1是基于木马活动时的网络通讯行为特征监测木马的原理图。
图2是研究人员在测试实验平台中采集木马通讯会话数据的示意图。
图3是提取木马的网络通讯行为特征的示意图。
图4是本发明提出的基于木马网络通讯行为特征监测木马的方法的流程图。
图5是本发明提出的基于木马网络通讯行为特征监测木马的系统在部署应用时的示意图。
具体实施方式
图1是在网络数据流中基于木马活动时的网络通讯行为特征监测木马的原理图。
通常木马程序会被黑客加上各种壳,或针对某种查杀软件进行免杀处理,所以相同功能的木马程序,经过加花、加壳或变异等方式处理会产生完全不同特征的文件进行存储,这对基于文件特征码进行查杀的防病毒软件,无疑是种噩梦。
虽然木马在其载体——“文件”上进行多种形式的变化,譬如加花、加壳或变异等,但同种类不同版本的木马客户端与服务端的通讯指令格式是不变的。即木马自身的应用通讯协议,一般不会轻易改变。因为它的改变涉及木马客户端和服务端程序同步更改,需要重新植入木马,黑客才能继续掌控以前所持有的“肉鸡”。
如图1所示,黑客在互联网上投放木马服务端程序,并且在控制机1运行木马控制端程序。被控机2感染原始木马,被控机3感染经过加花处理的该类型木马,被控机4感染经过加壳处理的该类型木马。
木马经过加壳、加花后,其通讯指令格式仍然保持不变,木马控制端才能实现既可以与被控机2上的原始木马进行通讯,又能顺利与被控机3上的加花木马、被控机4上的加壳木马进行通讯。
因此,基于网络数据流中木马活动时的网络通讯行为特征,不仅可以监测各种已知木马,还能准确地监测其加花、加壳或变异的未知木马。
图2是在测试实验平台中采集木马通讯会话数据的示意图。
如图2所示,测试机1上运行了木马控制端程序,在测试机2上运行木马服务端程序,使木马控制端和服务端进行该木马的各种操作(包括上线识别、屏幕监控、键盘记录、文件浏览等),在测试机3上通过网络数据采集工具(比如Iris、Ethereal和Sniffer等)将木马控制端和服务端通讯的全部数据采集下来并保存,设备4可以是集线器,也可以是具有端口镜像功能的交换机。
更换测试机1和测试机2所处的操作系统环境(所处的环境需要能运行木马程序),在新的测试环境中多次重复上述采集木马通讯数据的过程。
至此,得到了该木马程序在不同环境下的通讯会话数据文件。
在图3中,分析人员采用网络协议分析工具(比如Iris、Ethereal和Sniffer等)对采集到的同一种木马的所有通讯会话数据进行分析比对。找出这些通讯会话数据均包含的相同数据或数据格式,作为该木马及其变形方式的木马在网络数据流中的网络通讯行为特征码。
每分析研究一种木马,就得出该木马及其变形方式的木马的网络通讯行为特征,将网络通讯行为特征进行归类整理,添加到木马网络通讯行为特征库。
如图4所示,在测试实验平台中建立木马网络通讯行为特征库,并将该特征库加载到网络监测探针中;在实际环境中检测时,木马监测系统中的网络探针采集要监控的网络数据流,并进行会话重组,然后基于木马网络通讯行为特征库对会话内容进行匹配检测(包括关键字、模式匹配或两者组合检测)。如果该会话存在库中的特征,则判断存在木马,同时立即进行事件报警和日志记录,并继续采集网络数据流;否则,直接继续采集网络数据流,进行实时监测。
如图5所示,网络探针、管理平台服务器和客户端构成基于网络数据流中木马网络通讯行为特征实时监测木马的系统。该系统在实际环境中部署应用时,在步骤S1中把要监测的网络中没有经过网络地址转换(NAT)的数据流旁路镜像至网络探针的数据采集接口,网络探针对数据流进行分析监测,一旦监测到木马事件,立即在步骤S2中将事件的详细信息(包括发生时间、IP地址、端口、木马名称、木马执行动作、危险级别以及传输的信息内容等)上报给管理平台服务器;在步骤S3中,客户端从管理平台服务器读取数据,运行用户界面,实时展示报警信息;在步骤S4中,客户端通过gSOAP协议与网络探针进行通信和传输信息,从而可以对网络探针中木马网络通讯行为特征库进行远程更新与升级维护。
由于网络探针监测的是没有经过NAT的数据流,因此一旦监测到木马事件,便能够根据IP地址准确定位到感染木马程序的内网机器。
Claims (2)
1.一种基于网络通讯行为特征监测木马的方法,其特征在于:在网络数据流中,基于木马活动时的网络通讯行为特征的实时监测木马,其处理方法是:
(1)运行木马程序,通过网络数据采集工具采集该木马的通讯会话数据并保存;
(2)在多个不同的实验环境下,重复上述(1),从而得到了该木马在不同环境下的通讯会话数据文件;
(3)提取这些通讯会话数据文件中均相同的数据或数据格式,作为该木马及其变形方式的木马在网络数据流中的网络通讯行为特征码;
(4)导入该特征码到木马网络通讯行为特征库中;
(5)在实际要监控的环境中,采集其网络数据流进行会话重组,然后基于木马网络通讯行为特征库,匹配检测会话中是否存在木马网络通讯行为特征;如果存在,则判断存在木马,同时调用报警与日志记录模块记录和展示木马报警信息,作为监测的结果和依据;否则继续监控;
其中在实际监控环境中采集的网络数据流没有经过网络地址转换,以便监测到木马事件后,能定位到感染木马程序的内网机器;
其中的特征匹配检测,是通过关键字匹配、模式匹配或两者组合来实现的。
2.一种实现如权利要求1所述方法的基于网络通讯行为特征监测木马的系统,包括网络探针、管理平台服务器和客户端,其特征在于:
(1)所述网络探针用于实时接收网络数据,对采集的网络数据进行分析,分析其应用协议类型,判断网络数据是否包含木马网络通讯行为特征,当发现网络数据中有木马网络通讯行为特征时,发送报警信息到管理平台服务器;网络探针同时也对采集的网络数据进行流量统计,并将流量统计信息定时发送到管理平台服务器;
(2)所述管理平台服务器实时接收各网络探针发送的报警日志信息和流量统计信息,记录到数据库中:
(3)所述客户端提供对管理平台服务器数据库中数据记录的统计和审计功能,包括报警信息的统计与审计,流量信息的统计与审计:同时也提供报警信息的实时显示功能,
以动态图形与详细表格的方式显示统计结果信息;另外,客户端还提供了对网络探针中木马网络通讯行为特征库的远程更新与升级功能;
所述系统是旁路并联在监控网络上,既实现对木马的实时监测,又不影响用户网络的性能;
其中的客户端通过gSOAP协议与网络探针进行通信和传输信息,实现对网络探针中木马网络通讯行为特征库进行远程更新与升级维护。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200910157268A CN101605074B (zh) | 2009-07-06 | 2009-07-06 | 基于网络通讯行为特征监测木马的方法与系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200910157268A CN101605074B (zh) | 2009-07-06 | 2009-07-06 | 基于网络通讯行为特征监测木马的方法与系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101605074A CN101605074A (zh) | 2009-12-16 |
| CN101605074B true CN101605074B (zh) | 2012-09-26 |
Family
ID=41470633
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200910157268A Active CN101605074B (zh) | 2009-07-06 | 2009-07-06 | 基于网络通讯行为特征监测木马的方法与系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101605074B (zh) |
Families Citing this family (24)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101854275A (zh) * | 2010-05-25 | 2010-10-06 | 军工思波信息科技产业有限公司 | 一种通过分析网络行为检测木马程序的方法及装置 |
| CN102045220A (zh) * | 2010-12-09 | 2011-05-04 | 国都兴业信息审计系统技术(北京)有限公司 | 木马监控审计方法及系统 |
| CN102025739B (zh) * | 2010-12-14 | 2013-06-19 | 汉柏科技有限公司 | 基于主机行为的多维度协议识别方法 |
| CN102592103B (zh) * | 2011-01-17 | 2015-04-08 | 中国电信股份有限公司 | 文件安全处理方法、设备及系统 |
| CN103179105B (zh) * | 2012-10-25 | 2016-03-30 | 四川省电力公司信息通信公司 | 一种基于网络流量中行为特征的智能木马检测装置及其方法 |
| CN103095821B (zh) * | 2013-01-05 | 2015-07-01 | 国都兴业信息审计系统技术(北京)有限公司 | 一种基于虚拟机迁移识别的持续审计系统 |
| CN103475663B (zh) * | 2013-09-13 | 2016-08-17 | 无锡华御信息技术有限公司 | 基于网络通信行为特征的木马识别方法 |
| CN103532949B (zh) * | 2013-10-14 | 2017-06-09 | 刘胜利 | 基于动态反馈的自适应木马通信行为检测方法 |
| CN104598814B (zh) * | 2013-10-30 | 2019-04-26 | 北京猎豹移动科技有限公司 | 程序的行为特征提取方法、恶意程序的检测方法及其装置 |
| CN103944775A (zh) * | 2014-03-14 | 2014-07-23 | 广州源典科技有限公司 | 一种网络流量采集分析及展示输出的方法 |
| US9411959B2 (en) | 2014-09-30 | 2016-08-09 | Juniper Networks, Inc. | Identifying an evasive malicious object based on a behavior delta |
| CN105049273A (zh) * | 2014-12-05 | 2015-11-11 | 哈尔滨安天科技股份有限公司 | 一种模拟网络活动检测木马的方法及系统 |
| CN106034131A (zh) * | 2015-03-18 | 2016-10-19 | 北京启明星辰信息安全技术有限公司 | 一种基于流Flow分析的业务合规检测方法和系统 |
| CN104901850B (zh) * | 2015-06-12 | 2018-08-31 | 国家计算机网络与信息安全管理中心广东分中心 | 一种恶意代码终端感染机器网络定位方法 |
| CN105740700A (zh) * | 2015-08-13 | 2016-07-06 | 哈尔滨安天科技股份有限公司 | 一种鉴别网银支付类木马的方法及系统 |
| CN105117647A (zh) * | 2015-08-18 | 2015-12-02 | 国家计算机网络与信息安全管理中心广东分中心 | 一种木马行为还原方法 |
| CN105243328A (zh) * | 2015-09-24 | 2016-01-13 | 哈尔滨工程大学 | 一种基于行为特征的摆渡木马防御方法 |
| CN105429973A (zh) * | 2015-11-10 | 2016-03-23 | 浪潮(北京)电子信息产业有限公司 | 一种网卡流量监控方法及装置 |
| CN106125680B (zh) * | 2016-06-23 | 2018-09-11 | 北京东土科技股份有限公司 | 基于工业互联网的工业过程控制数据安全处理方法及装置 |
| CN106657095B (zh) * | 2016-12-29 | 2020-07-28 | 北京安天网络安全技术有限公司 | 一种识别未知类远控木马的方法及系统 |
| CN107547539A (zh) * | 2017-08-30 | 2018-01-05 | 北京易联通达科技有限公司 | 一种鹰眼预警系统 |
| CN107783877B (zh) * | 2017-09-20 | 2023-12-22 | 天津大学 | 基于变异分析的硬件木马有效激活的测试向量生成方法 |
| CN107995162A (zh) * | 2017-10-27 | 2018-05-04 | 深信服科技股份有限公司 | 网络安全感知系统、方法及可读存储介质 |
| CN113722705B (zh) * | 2021-11-02 | 2022-02-08 | 北京微步在线科技有限公司 | 一种恶意程序清除方法及装置 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1794645A (zh) * | 2005-08-24 | 2006-06-28 | 上海浦东软件园信息技术有限公司 | 基于程序行为的入侵检测方法与系统 |
| CN1909488A (zh) * | 2006-08-30 | 2007-02-07 | 北京启明星辰信息技术有限公司 | 一种结合病毒检测与入侵检测的方法及系统 |
| CN101350745A (zh) * | 2008-08-15 | 2009-01-21 | 北京启明星辰信息技术股份有限公司 | 一种入侵检测方法及装置 |
-
2009
- 2009-07-06 CN CN200910157268A patent/CN101605074B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1794645A (zh) * | 2005-08-24 | 2006-06-28 | 上海浦东软件园信息技术有限公司 | 基于程序行为的入侵检测方法与系统 |
| CN1909488A (zh) * | 2006-08-30 | 2007-02-07 | 北京启明星辰信息技术有限公司 | 一种结合病毒检测与入侵检测的方法及系统 |
| CN101350745A (zh) * | 2008-08-15 | 2009-01-21 | 北京启明星辰信息技术股份有限公司 | 一种入侵检测方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101605074A (zh) | 2009-12-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101605074B (zh) | 基于网络通讯行为特征监测木马的方法与系统 | |
| CN112383546B (zh) | 一种处理网络攻击行为的方法、相关设备及存储介质 | |
| US9661003B2 (en) | System and method for forensic cyber adversary profiling, attribution and attack identification | |
| CN111651757B (zh) | 攻击行为的监测方法、装置、设备及存储介质 | |
| CN107070929A (zh) | 一种工控网络蜜罐系统 | |
| CN101854275A (zh) | 一种通过分析网络行为检测木马程序的方法及装置 | |
| CN110188538B (zh) | 采用沙箱集群检测数据的方法及装置 | |
| CN106161395A (zh) | 一种防止暴力破解的方法、装置及系统 | |
| CN110401632B (zh) | 一种恶意域名感染主机溯源方法 | |
| CN103067387B (zh) | 一种反钓鱼监测系统和方法 | |
| CN111510463B (zh) | 异常行为识别系统 | |
| EP3340097B1 (en) | Analysis device, analysis method, and analysis program | |
| CN107644161A (zh) | 样本的安全测试方法、装置和设备 | |
| CN110149319A (zh) | Apt组织的追踪方法及装置、存储介质、电子装置 | |
| CN110460611A (zh) | 基于机器学习的全流量攻击检测技术 | |
| CN114465741A (zh) | 一种异常检测方法、装置、计算机设备及存储介质 | |
| CN108182360A (zh) | 一种风险识别方法及其设备、存储介质、电子设备 | |
| CN110224975B (zh) | Apt信息的确定方法及装置、存储介质、电子装置 | |
| CN104516970B (zh) | 一种进行日志分析的方法和装置 | |
| CN201789524U (zh) | 一种通过分析网络行为检测木马程序的装置 | |
| CN115484326A (zh) | 处理数据的方法、系统及存储介质 | |
| CN104363256B (zh) | 一种手机病毒的识别和控制方法、设备与系统 | |
| CN114363059A (zh) | 一种攻击识别方法、装置及相关设备 | |
| KR101456467B1 (ko) | 패킷변조를 이용한 접속기록 생성 시스템 | |
| CN116055083B (zh) | 一种提升网络安全性方法及相关设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| DD01 | Delivery of document by public notice |
Addressee: Information Technology Safety Research Center, PLA Li Jingchun Document name: Notification that Application Deemed to be Withdrawn |
|
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C53 | Correction of patent for invention or patent application | ||
| CB03 | Change of inventor or designer information |
Inventor after: Li Jingchun Inventor after: Xu Qian Inventor after: Xu Yafei Inventor after: Yuan Jianjun Inventor after: Liang Li Inventor after: Zhou Jianliang Inventor after: Song Lihua Inventor after: Li Jianxing Inventor after: Xiong Yi Inventor after: Zhou Dejian Inventor before: Li Jingchun Inventor before: Xu Qian Inventor before: Xu Yafei Inventor before: Yuan Jianjun Inventor before: Liang Li Inventor before: Zhou Jianliang Inventor before: Song Lihua Inventor before: Li Jianxing Inventor before: Xiong Yi Inventor before: Zhou Dejian |