发明内容
本发明实施例提供一种木马检测方法、装置及系统,有效地提高了木马攻击行为检测的准确率。
本发明实施例提供一种木马检测方法,包括:
通过将报文按照捕获时序与预置的木马特征数据库中的特征进行第一次匹配,获得可疑特征报文,将获取的可疑特征报文的身份标识信息进行缓存;
当满足预置的第二次匹配条件时,,其中,所述的表达式是所述木马时序特征库中按照执行时序进行关联的木马特征身份标识信息;
如果判断结果为是,则确定所述可疑特征报文为木马特征报文。
本发明实施例还提供一种木马检测装置,包括:
可疑报文获取单元,用于通过将报文按照捕获时序与预置的木马特征数据库中的特征进行第一次匹配,获得可疑特征报文,将获取的可疑特征报文的身份标识信息进行缓存;
时序特征匹配单元,用于当满足预置的第二次匹配条件时,判断所述身份标识信息按照缓存时序与预置的木马时序特征库中表达式是否匹配,其中,所述的表达式是所述木马时序特征库中按照执行时序进行关联的木马特征身份标识信息;
判断单元,用于当可疑特征报文身份标识信息以及缓存时序与预置的木马时序特征库中包括木马特征身份标识信息以及执行时序的表达式匹配时,确定匹配的可疑木马特征报文为木马特征报文。
本发明实施例还提供一种木马检测系统,包括:
木马特征库,用于存储木马报文特征信息;
时序特征库,用于存储预先按照木马程序的执行时序进行关联的木马特征身份信息;
木马检测装置,通过将报文按照捕获时序与预置的木马特征数据库中的特征进行第一次匹配,获得可疑特征报文,将获取的可疑特征报文的身份标识信息进行缓存;当满足预置的第二次匹配条件时,判断所述身份标识信息按照缓存时序与预置的木马时序特征库中表达式是否匹配,其中,所述的表达式是所述木马时序特征库中按照执行时序进行关联的木马特征身份标识信息;如果判断结果为是,则确定所述可疑特征报文为木马特征报文。
本发明实施例中,利用木马攻击过程中的特征执行具有时间顺序的这个特征,在通过预置的木马特征库判断得到可疑的特征报文后,进一步利用木马攻击程序执行时序的特点,判断可疑的特征报文的执行时序是否和木马攻击程序的执行时序相同,如果相同,才确定可疑特征报文为木马特征报文;本发明实施例与现有技术中仅通过木马特征库来检查木马攻击行为的方法相比,有效地提高了木马攻击行为检测的准确率。
具体实施方式
为使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图和具体实施方式对本发明作进一步详细的说明。
本发明实施例中,报文也可以替换成数据包、数据帧、数据块、信元、分组等其他形式的网络传输数据单元,只要可以被检测的,即符合本发明的发明构想。
本发明实施例提供一种木马检测方法,包括:
步骤100:通过将报文按照捕获时序与预置的木马特征数据库中的特征进行第一次匹配,获得可疑特征报文,将获取的可疑特征报文身份标识信息进行缓存;
在本发明实施例中,木马检测装置对网络设备中的会话流进行报文的捕获,将捕获得到的报文按照捕获的时序与预置的木马特征数据库中的木马报文特征进行匹配,当然,获取报文除了捕获的方式,也可以由网络设备主动将报文发送给木马检测装置;如果所捕获的报文中特征与所述数据库中的木马报文特征匹配一致,则确定该报文特征为可疑特征报文;
其中,预置的木马特征数据库中的特征可以是木马的名称、版本号、通信指令、操作指令等。
步骤102:当满足预置的第二次匹配条件时,判断所述身份标识信息按照缓存时序与预置的木马时序特征库中表达式是否匹配,其中,所述的表达式是按照执行时序进行关联的木马特征身份标识信息;
为实现发明目的,本发明实施例中需要预置一个木马时序特征库,所述预置的木马时序特征库中集合了按照木马程序的执行时序进行关联的木马特征;通过发明人研究发现,木马攻击的行为过程主要分为三个状态:状态1:木马上线;状态2:木马操作;状态3:木马下线;并且按照状态1至状态3的执行时序进行;因此本发明实施例利用木马攻击行为的执行时序这个特点预先设置木马时序特征库,通过分析已知的木马程序特征以及特征的执行时序,将木马特征按照木马程序的执行时序进行关联后,放入所述的木马时序特征库中;其中,放入木马特征库中的木马特征身份标识信息,可以是能够标识报文的特征标识,例如木马身份标识码(TID,uniquely identify Trojan rules),将木马特征的TID码按照木马程序的执行时序进行关联后,放入所述的木马时序特征库中,例如:木马攻击程序中木马上线特征TID码为:1001,木马操作特征TID码:1002,木马下线特征TID码:1003,在木马时序特征库中,将木马特征的TID码按照执行时序进行关联组成表达式,如表达式:E[1001]->E[1002]->E[1003];
其中,预置的第二次匹配条件可以是缓存达到预置的时长,例如,预置时长为1分钟,在第一次匹配上特征的1分钟内,存在可疑身份标识分别为1001、1002、1003、的报文,则在每隔1分钟时进行一回第二次匹配,匹配表达式E[1001]->E[1002]->E[1003];也可以是缓存内容到达预置的大小,例如,预置缓存大小为1K时,在缓存容量达到1K时进行二次匹配,并且使用先进先出的方式对缓存内容进行删除。
在本实施例中,当第一次匹配得到可疑特征报文后,为提高第二次匹配的匹配效率,缓存的可疑特征报文信息可以是可疑特征报文的身份标识信息,例如:缓存用于标识报文特征的唯一性的TID码,在进行第二次匹配时仅匹配报文的身份标识;
步骤104:当可疑特征报文身份标识信息以及缓存时序与预置的木马时序特征库中包括木马特征身份标识信息以及执行时序的表达式匹配时,确定匹配的可疑特征报文为木马特征报文;
其中,该方法还可以包括:当可疑特征报文身份标识信息以及缓存时序与预置的木马时序特征库中包括木马特征身份标识信息以及执行时序的表达式不匹配时,确定所匹配的可疑特征报文不是木马特征报文。
通常可疑特征报文检测装置针对数据流进行捕获报文时,当发现所捕获的报文为可疑特征报文时就将其身份标识进行缓存,因此,可疑特征报文的身份标识的缓存按照被发现的时序保存在缓存中;其中,针对数据流捕获报文可以是:针对具有相同源IP和目的IP的多会话流中捕获不同报文,具体方式本实施例不做限制。
本实施例中,所缓存的可疑特征报文身份标识信息按照缓存时序与预置的木马时序特征库中表达式进行第二次匹配,所述的表达式是所述木马时序特征库中按照执行时序进行关联的木马特征身份标识信息,可以是:
首先判断缓存中所存储的可疑特征报文身份标识信息是否能在预置的木马时序特征库中匹配到相同的木马特征身份标识信息;当匹配到有相同的木马特征报文身份标识信息时,则继续判断所匹配得到的相同可疑特征报文的缓存时序是否和木马特征的执行时序相同;如果是,则确定可疑特征报文为木马特征报文,如果否,则确定可疑特征报文不是木马特征报文;
当然,为了提高匹配效率,在判断缓存中所存储的可疑特征报文身份标识信息是否与预置的表达式匹配时,也可以先判断缓存顺序为第一的可疑特征报文是否有木马特征身份标识信息匹配,如果是,则再继续判断缓存顺序在第二的可疑特征报文身份标识信息是否有木马特征身份标识信息匹配,如果否,则停止匹配,以此类推,直到缓存中的可疑特征报文匹配完毕;
本发明实施例中,利用木马攻击过程中的特征执行具有时间顺序的这个特征,在通过预置的木马特征库判断得到可疑的特征报文后,进一步利用木马攻击程序执行时序的特点,判断可疑的特征报文的执行时序是否和木马攻击程序的执行时序相同,如果相同,则确定可疑特征报文为木马特征报文;而现有技术中由于一些木马的通信格式以简单的数字来约定,对于特征码为数字的正常数据帧,在网络行为检测时,也容易被误报为木马。本发明实施例与现有技术中仅通过木马特征库来检查木马攻击行为的方法相比,有效地提高了木马攻击行为检测的准确率。
参见图2,本发明还提供另一种木马检测方法,相较于前一实施例,本实施例中增加了当完成上述实施例中的第二次匹配后,对于缓存中已经存储的特征报文进行处理的步骤,具体包括:
步骤200:通过将报文的特征按照捕获时序与预置的木马特征数据库中的特征进行第一次匹配,获得可疑特征报文,将获取的可疑特征报文身份标识进行缓存;
步骤202:当满足预置的第二次匹配条件时,将所缓存的可疑特征报文身份标识信息按照缓存时序与预置的木马时序特征库中表达式进行第二次匹配,所述的表达式是按照执行时序进行关联的木马特征身份标识信息;
步骤204:当可疑特征报文身份标识信息以及缓存时序与预置的木马时序特征库中包括木马特征身份标识信息以及执行时序的表达式匹配时,确定可疑特征报文为木马特征报文;
上述步骤的具体实现过程和前述实施例相同,在本实施例中不再赘述;
步骤206:所述第二次匹配完成后,删除缓存中已经匹配过的可疑特征报文的身份标识信息;
步骤208:当缓存中存储容量达到预置的第二阈值时,对缓存中已存储的可疑特征报文的身份标识信息采用先进先出的方式进行删除,并且优先删除已经匹配过的身份信息内容。
其中,当缓存中存储容量达到预置的第二阈值时,对于缓存中的已存储的特征报文可以而采用先进先出的方式对缓冲中已存储的可以特征报文身份标识进行删除,可以保证将所存储的数据中最旧的数据被删除;而在所述第二次匹配结束后,删除已经匹配过的身份标识信息内容,这样可以保证缓存的存储效率。
本发明实施例中,在前述实施例的基础上,对缓存中内容采用先进先出进行删除,有效保证了缓存效率的同时,与现有技术中仅通过木马特征库来检查木马攻击行为的方法相比,有效地提高了木马攻击行为检测的准确率。
参见图3,本发明实施例还提供一种木马检测装置,可以应用前述木马检测方法,该装置包括:
可疑报文获取单元300,用于通过将报文按照捕获时序与预置的木马特征数据库中的特征进行第一次匹配,获得可疑特征报文,将获取的可疑特征报文身份标识信息进行缓存;
其中,可疑报文获取单元对网络设备中的会话流进行报文的捕获,将捕获得到的报文按照捕获的时序与预置的木马特征数据库中的特征进行匹配;如果所捕获的报文中特征与所述数据库中的特征匹配一致,则确定该报文特征为可疑特征报文;
时序特征匹配单元304,用于当满足预置的第二次匹配条件时,判断所述身份标识信息按照缓存时序与预置的木马时序特征库中表达式是否匹配其中,所述的表达式是按照执行时序进行关联的木马特征身份标识信息;
在本实施例中,按照执行时序进行关联的木马特征身份标识表达式和方法实施例中的生成表达式的方法相同,在此不再赘述。当第一次匹配得到可疑特征报文后,为提高第二次匹配的匹配效率,时序特征匹配单元所缓存的可疑特征报文信息可以是可疑特征报文的身份标识信息,例如:缓存用于标识报文特征的唯一性的TID码,在进行第二次匹配时仅匹配报文的身份标识;
判断单元306,用于当可疑特征报文身份标识信息以及缓存时序与预置的木马时序特征库中包括木马特征身份标识信息以及执行时序的表达式匹配时,确定匹配的可疑木马特征报文为木马特征报文;
其中,判断单元,还可以用于当可疑特征报文身份标识信息以及缓存时序与预置的木马特征库中特征身份标识信息以及执行时序不匹配时,确定所匹配的可疑特征报文不是木马特征报文。
图4为另一种木马检测装置结构图,其中木马检测装置的时序特征匹配单元304可以包括:
身份标识匹配单元41,用于判断缓存中所存储的可疑特征报文身份标识信息是否能在预置的木马时序特征库中匹配到相同的木马特征身份标识信息匹配;
时序特征匹配单元42,用于当匹配到有相同的木马特征报文身份标识信息时,则继续判断所匹配得到的相同可疑特征报文的缓存时序是否和木马特征的执行时序相同,并将判断结果发送至判断单元;
通常可疑报文获取单元针对数据流进行捕获报文时,当发现所捕获的报文为可疑特征报文时就将其进行缓存,因此,可疑特征报文的缓存按照被发现的时序保存在缓存中;其中,针对数据流捕获报文可以是:针对具有相同源IP和目的IP的多会话流中捕获不同报文,具体方式本实施例不做限制。
进一步,为了能保证缓存效率,保证缓存中最旧的数据删除掉。本发明实施例中可疑报文获取单元300,还可以用于:当缓存中存储容量达到预置第二阈值时,对已缓存的可疑特征报文的身份标识信息采用先进先出的方式进行删除;
另外,为提高缓存中数据存储的效率,本发明实施例中可疑报文获取单元300,还可以用于:当完成第二次匹配后,删除已经匹配过的信息内容。
本发明实施例中除时序特征匹配单元304外,其他模块及功能和前一实施例相同,在此不再赘述。
参见图5,本发明实施例还提供一种木马检测系统,包括:
木马特征库502,用于存储木马报文特征信息;
其中,预置的木马特征数据库中的特征信息可以是木马的名称、版本号、通信指令、操作指令等;
时序特征库504,用于存储预先按照木马程序的执行时序进行关联的木马特征身份标识信息的表达式;
木马检测装置500,通过将报文按照捕获时序与预置的木马特征数据库中的特征进行第一次匹配,获得可疑特征报文,将获取的可疑特征报文的身份标识信息进行缓存;当满足预置的第二次匹配条件时,判断所述身份标识信息按照缓存时序与预置的木马时序特征库中表达式是否匹配,其中,所述的表达式是所述木马时序特征库中按照执行时序进行关联的木马特征身份标识信息;如果判断结果为是,则确定所述可疑特征报文为木马特征报文;
其中,木马时序特征库中表达式的生产和前述方法实施例中所述的设置方法相同,木马检测装置前文也有描述,在此不再赘述。本实施例所提供的木马检测系统可以作为网络安全检测类产品,例如:防火墙、安全网关等;
本发明实施例中,利用木马攻击过程中的特征执行具有时间顺序的这个特征,在通过预置的木马特征库判断得到可疑的特征报文后,进一步利用木马攻击程序执行时序的特点,判断可疑的特征报文的执行时序是否和木马攻击程序的执行时序相同,如果相同,则确定可疑特征报文为木马特征报文;与现有技术中仅通过木马特征库来检查木马攻击行为的方法相比,有效地提高了木马攻击行为检测的准确率。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明可借助软件加必需的硬件平台的方式来实现,当然也可以全部通过硬件来实施,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案对背景技术做出贡献的全部或者部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例或者实施例的某些部分所述的方法。
以上对本发明进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。