CN103051627B - 一种反弹式木马的检测方法 - Google Patents

一种反弹式木马的检测方法 Download PDF

Info

Publication number
CN103051627B
CN103051627B CN201210562997.0A CN201210562997A CN103051627B CN 103051627 B CN103051627 B CN 103051627B CN 201210562997 A CN201210562997 A CN 201210562997A CN 103051627 B CN103051627 B CN 103051627B
Authority
CN
China
Prior art keywords
network
module
local
white list
detection method
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201210562997.0A
Other languages
English (en)
Other versions
CN103051627A (zh
Inventor
胡光俊
朱平
王奕钧
宋伟航
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Vimicro Corp
First Research Institute of Ministry of Public Security
Original Assignee
Vimicro Corp
First Research Institute of Ministry of Public Security
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Vimicro Corp, First Research Institute of Ministry of Public Security filed Critical Vimicro Corp
Priority to CN201210562997.0A priority Critical patent/CN103051627B/zh
Publication of CN103051627A publication Critical patent/CN103051627A/zh
Application granted granted Critical
Publication of CN103051627B publication Critical patent/CN103051627B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Abstract

本发明公开了一种反弹式木马的检测方法,该方法通过网络模拟端获取本机发送的网络数据,对其网络通信行为进行分析,然后对本机进程进行分析,最后将进程的本地特征与其网络特征综合起来判断来识别木马,并且在主机上不需要安装任何软件或模块,主机程序可以从U盘中直接启动,因此十分适用于主机对安装木马查杀软件有限制的情况。

Description

一种反弹式木马的检测方法
技术领域
本发明属于信息安全领域,公开了一种反弹式木马的检测方法。
背景技术
重要信息系统面临着国家级的敌对力量的威胁,对方会采用最高水平的网络攻击技术和工具对重要信息系统发起攻击,木马是最具危险的手段之一。木马和以前的病毒有所不同,木马是有客户端和服务器端,一般来说服务器端和客户端相互配合,以完成一些破坏活动,如文件破坏,敏感信息获取,主机控制等,客户端会定期连接服务器,从服务器上获取下一步动作指示,因此木马不仅在客户机上有所行为,在网络通信上也有一定的特征。当前,木马在技术水平上完全可以做到杀毒软件无法查杀、主机防火墙无法封堵,基于主机检测的反隐藏工具无法发现,一旦系统被种植木马,就将长期潜伏,对国家安全造成巨大损失。
目前对于木马的检测都集中使用主机端,使用的技术有特征码扫描、主动防御检测等方法。例如瑞星使用的就是特征码扫描的方式,软件将已知的木马提取特征码加入木马库,然后将系统的被检测文件与特征码一一对比,找到后就报警清除。高级的木马检测程序例如卡巴斯基2012,使用主动防御的方法,检测系统关键位置是否被恶意更改、利用规则检测程序是否有可疑动作,发现有可疑动作则报警。
目前普遍使用的检测方法有明显的缺陷。例如特征码扫描方式,只要更改被检测程序的特征码,特征码检测方式即失效。主动防御的检测方法存在以下问题:频繁询问用户,使得没有经验的用户不知所措;使用高级内核rootkit技术能躲避主动防御的监控。
发明内容
为了解决上述问题,本发明提供了一种反弹式木马的检测方法。
本发明提供的反弹式木马的检测方法,通过网络模拟端获取本机发送的网络数据,对其通信行为进行分析,然后对本机进程进行分析,最后将进程的本地特征与其网络特征综合起来判断来识别木马。
该方法通过以下步骤来实现:
步骤1:接入网络模拟端;
步骤2:关联进程网络数据;
步骤3:检测进程的本地特征;
步骤4:分析进程数据。
下面列举上述各步骤的较佳实施方式:
步骤1中的网络模拟端负责响应接入计算机发出的连接请求以构造出虚拟的互连网环境,并将接入计算机发出的网络数据反馈给检测端,供其综合分析,在网络模拟端设有:数据包采集模块、数据包分析模块、数据包响应模块、网络数据反馈模块。
步骤2中关联进程网络数据是指:通过网络模拟端反馈回来的数据包,检测端将网络数据包与本地进程关联起来,其关联方法如下:检测端根据被检测主机的网络端口状态,反查出各端口对应的进程,然后将该端口发送的数据包记录在该进程下。
步骤3检测该进程的本地特征,包括是否加载了不在白名单的模块或者打开了不在白名单中的文件句柄,检测方法如下:枚举出该进程加载的所有模块和打开的文件句柄,然后将这些模块和文件通过白名单库筛选,如果该模块或文件不在白名单库中,那么再验证该模块或文件的数字签名,如果数字签名验证失败则将其判断为可疑模块。
白名单库中存储操作系统以及常用软件组成模块运行时的各个模块的唯一性标识值:SHA1散列值。
步骤3中检测该进程的本地特征时可以首先根据白名单库对计算机操作系统运行时所加载的模块进行扫描,扫描项包括操作系统启动加载模块和系统运行的进程加载的模块。
步骤4分析进程数据,首先判断该进程的本地行为特征,如果进程的本地行为特征为可疑,则继续判断该进程的网络行为特征,统计该进程发送的特征数据包,计算这些特征数据包的间隔周期,如果存在一个周期,则判断该进程为木马进程。
判断该进程的本地行为特征可以包括以下选项中的至少一部分:
1)进程与其访问的URL是不是在白名单库中,
2)是否劫持IE浏览器,
3)是否伪造系统进程,
4)是否加载了可疑模块。
本发明通过网络模拟端获取本机发送的网络数据,对其网络通信行为进行分析,然后对本机进程进行分析,最后将进程的本地特征与其网络特征综合起来判断来识别木马,并且在主机上不需要安装任何软件或模块,主机程序可以从U盘中直接启动,因此十分适用于主机对安装木马查杀软件有限制的情况。
附图说明
图1是本发明的结构框图;
图2是本发明的工作模式图;
图3是本发明的智能判断流程图。
具体实施方式
本发明提供的检测反弹式木马的方法将未知程序的本地特征与其网络特征综合起来判断来识别木马。本发明通过网络模拟端获取本机发送的网络数据,对其通信行为进行分析,然后对本机进程进行分析,最后将进程的本地特征与其网络特征综合起来判断来识别木马。本发明具体结构如附图1所示。
基于进程的网络行为特征与本地行为特征的联合检测方式是本发明的核心检测方法,具体检测分析方法如下:
步骤1:接入网络模拟端
将被检测机器接入一个网络模拟端(工控机),网络模拟端负责响应接入计算机发出的连接请求以构造出虚拟的互连网环境,并将接入计算机发出的网络数据反馈给检测端,供其综合分析。
在网络模拟端设有:数据包采集模块、数据包分析模块、数据包响应模块、网络数据反馈模块。各模块功能如下:
数据包采集模块:获取所有被检测主机发送的网络数据。
数据包分析模块:对数据包采集模块获取的数据包进行分析,根据其协议不同,提取出其内容。
数据包响应模块:被检测主机发出的数据包的协议不同,部分协议需要响应,如TCP协议中的三次握手,本模块对该协议的数据包进行响应。
网络数据反馈模块:将收到的数据包相关信息反馈至检测端,供其进行相关的综合分析。
步骤2:关联进程网络数据
通过网络模拟端反馈回来的数据包,检测端将网络数据包与本地进程关联起来。其关联方法如下:检测端根据被检测主机的网络端口状态,可反查出各端口对应的进程,然后将该端口发送的数据包记录在该进程下。
步骤3:检测进程的本地特征
检测该进程的本地特征,包括是否加载了不在白名单的模块或者打开了不在白名单中的文件句柄。检测方法如下:枚举出该进程加载的所有模块和打开的文件句柄,然后将这些模块和文件通过白名单库筛选(白名单库中存储Windows系列操作系统以及常用软件组成模块运行时的各个模块的唯一性标识值:SHA1散列值),如果该模块或文件不在白名单库中,那么在验证该模块或文件的数字签名,如果数字签名验证失败则将其判断为可疑模块。为了达到加速检测的目的,检测时首先根据白名单库对计算机操作系统运行时所加载的模块进行扫描。扫描项包括操作系统启动加载模块和系统运行的进程加载的模块。
步骤4:分析进程数据
分析进程数据,首先判断该进程的本地行为特征:
1)进程与其访问的URL是不是在白名单库中
2)是否劫持IE浏览器
3)是否伪造系统进程
4)是否加载了可疑模块
如果进程的以上本地行为特征为可疑,则继续判断该进程的网络行为特征:统计该进程发送的特征数据包,计算这些特征数据包的间隔周期。如果存在一个周期,则判断该进程为木马进程。
下面结合附图对本发明做进一步的详细描述。
工作模式如图2所示,主机木马检测模块放在可移动存储介质上,在使用时连接到被检测主机,同时将被检测主机通过网线连接在网络模拟端。具体检测步骤如下:
1)模拟互联网环境:通过网络模拟端模拟接入主机的网络注册请求,并对主机发送的数据包按照相应的网络协议进行解析和响应。
2)采集主机网络行为数据:主机木马检测模块开始检测时,网络模拟端开始捕获被检测主机的网络活动数据包,同时将该数据包反馈给主机木马检测模块。由主机木马检测模块将该数据包记录在其所属进程下。
3)采集主机本地行为数据:主机木马检测模块开始检测时,主机木马检测模块将网络模拟端返回的数据包关联到本地进程上,并对该进程进行分析,检测该进程是否加载或打开过可疑的模块(不在白名单中且验证数字签名失败)。同时通过计算枚举得到的系统开放端口与网络模拟端扫描本机得到的开放端口的差集来判断本机是否开放了隐藏端口。并且可以在自定义木马特征库后,以特征码匹配的方式对主机进行静态扫描检测。
4)智能判断:根据以上采集到的主机网络行为数据和本地行为数据进行综合分析,具体分析步骤如图3所示。
本发明通过网络模拟端获取本机发送的网络数据,对其网络通信行为进行分析,然后对本机进程进行分析,最后将进程的本地特征与其络特征综合起来判断来识别木马,解决了特征码扫描检测方式的不足。

Claims (5)

1.一种反弹式木马的检测方法,其特征在于,通过网络模拟端获取本机发送的网络数据,对其通信行为进行分析,然后对本机进程进行分析,最后将进程的本地特征与其网络特征综合起来判断识别木马;
该方法包括以下步骤:
步骤1:接入网络模拟端;
网络模拟端负责响应接入计算机发出的连接请求以构造出虚拟的互连网环境,并将接入计算机发出的网络数据反馈给检测端,供其综合分析,在网络模拟端设有:数据包采集模块、数据包分析模块、数据包响应模块、网络数据反馈模块;
步骤2:关联进程网络数据;
通过网络模拟端反馈回来的数据包,检测端将网络数据包与本地进程关联起来,其关联方法如下:检测端根据被检测主机的网络端口状态,反查出各端口对应的进程,然后将该端口发送的数据包记录在该进程下;
步骤3:检测进程的本地特征;包括是否加载了不在白名单的模块或者打开了不在白名单中的文件句柄,检测方法如下:枚举出该进程加载的所有模块和打开的文件句柄,然后将这些模块和文件通过白名单库筛选,如果该模块或文件不在白名单库中,那么再验证该模块或文件的数字签名,如果数字签名验证失败则将其判断为可疑模块;
步骤4:分析进程数据。
2.根据权利要求1所述的一种反弹式木马的检测方法,其特征在于,白名单库中存储操作系统以及常用软件组成模块运行时的各个模块的唯一性标识值:SHA1散列值。
3.根据权利要求1所述的一种反弹式木马的检测方法,其特征在于,步骤3中检测该进程的本地特征时首先根据白名单库对计算机操作系统运行时所加载的模块进行扫描,扫描项包括操作系统启动加载模块和系统运行的进程加载的模块。
4.根据权利要求1所述的一种反弹式木马的检测方法,其特征在于,步骤4分析进程数据,首先判断该进程的本地行为特征,如果进程的本地行为特征为可疑,则继续判断该进程的网络行为特征,统计该进程发送的特征数据包,计算这些特征数据包的间隔周期,如果存在一个周期,则判断该进程为木马进程。
5.根据权利要求4所述的一种反弹式木马的检测方法,其特征在于,判断该进程的本地行为特征包括以下选项中的至少一部分:
1)进程与其访问的URL是不是在白名单库中,
2)是否劫持IE浏览器,
3)是否伪造系统进程,
4)是否加载了可疑模块。
CN201210562997.0A 2012-12-21 2012-12-21 一种反弹式木马的检测方法 Active CN103051627B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201210562997.0A CN103051627B (zh) 2012-12-21 2012-12-21 一种反弹式木马的检测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201210562997.0A CN103051627B (zh) 2012-12-21 2012-12-21 一种反弹式木马的检测方法

Publications (2)

Publication Number Publication Date
CN103051627A CN103051627A (zh) 2013-04-17
CN103051627B true CN103051627B (zh) 2016-04-27

Family

ID=48064126

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201210562997.0A Active CN103051627B (zh) 2012-12-21 2012-12-21 一种反弹式木马的检测方法

Country Status (1)

Country Link
CN (1) CN103051627B (zh)

Families Citing this family (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103491077B (zh) * 2013-09-09 2016-08-10 无锡华御信息技术有限公司 反弹木马控制端网络行为功能重建的方法及系统
CN105049273A (zh) * 2014-12-05 2015-11-11 哈尔滨安天科技股份有限公司 一种模拟网络活动检测木马的方法及系统
CN104537310B (zh) * 2014-12-26 2016-08-24 北京奇虎科技有限公司 移动存储设备的管理方法及客户端
CN104796405B (zh) * 2015-03-18 2019-04-12 深信服网络科技(深圳)有限公司 反弹连接检测方法和装置
CN105119938B (zh) * 2015-09-14 2018-05-18 电子科技大学 一种针对内网端口反弹型木马的防范方法
CN106878240B (zh) * 2015-12-14 2020-06-02 阿里巴巴集团控股有限公司 僵尸主机识别方法及装置
CN110891048B (zh) 2015-12-24 2021-09-03 华为技术有限公司 一种检测终端安全状况方法、装置及系统
CN107666464B (zh) * 2016-07-28 2020-11-06 腾讯科技(深圳)有限公司 一种信息处理方法及服务器
CN110381009A (zh) * 2018-04-16 2019-10-25 北京升鑫网络科技有限公司 一种基于行为检测的反弹shell的检测方法
CN109358508A (zh) * 2018-11-05 2019-02-19 杭州安恒信息技术股份有限公司 一种基于自学习工控主机安全防护方法和系统
CN111859386A (zh) * 2020-08-03 2020-10-30 深圳市联软科技股份有限公司 基于行为分析的木马检测方法及系统
CN116484364B (zh) * 2023-02-03 2024-01-26 安芯网盾(北京)科技有限公司 一种基于Linux内核的隐藏端口检测方法及装置

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102761458A (zh) * 2011-12-20 2012-10-31 北京安天电子设备有限公司 一种反弹式木马的检测方法和系统

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102761458A (zh) * 2011-12-20 2012-10-31 北京安天电子设备有限公司 一种反弹式木马的检测方法和系统

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
一种基于网络行为分析的反弹式木马检测方法;赵天福等;《第26次全国计算机安全学术交流会论文集》;20110915;第81-83页 *
基于动态博弈的木马检测策略研究;胡光俊等;《全国计算机安全学术交流会论文集》;20090912;第24卷;第357-358页 *

Also Published As

Publication number Publication date
CN103051627A (zh) 2013-04-17

Similar Documents

Publication Publication Date Title
CN103051627B (zh) 一种反弹式木马的检测方法
EP3111330B1 (en) System and method for verifying and detecting malware
CN101667230B (zh) 一种监控脚本执行的方法和装置
CN105871883B (zh) 基于攻击行为分析的高级持续性威胁检测方法
CN102694817B (zh) 一种识别程序的网络行为是否异常的方法、装置及系统
KR101038048B1 (ko) 봇넷 악성행위 실시간 분석 시스템
CN101605074B (zh) 基于网络通讯行为特征监测木马的方法与系统
Rathnayaka et al. An efficient approach for advanced malware analysis using memory forensic technique
CN103746992B (zh) 基于逆向的入侵检测系统及其方法
CN101964026A (zh) 网页挂马检测方法和系统
CN102945349B (zh) 未知文件处理方法与装置
KR101043299B1 (ko) 악성 코드 탐지 방법, 시스템 및 컴퓨터 판독 가능한 저장매체
CN107766728A (zh) 移动应用安全管理装置、方法及移动作业安全防护系统
WO2013159607A1 (zh) 一种安全检测的方法和系统
CN102708309A (zh) 恶意代码自动分析方法及系统
KR101902747B1 (ko) 클라이언트 측 웹 취약점 분석 방법 및 장치
CN101854275A (zh) 一种通过分析网络行为检测木马程序的方法及装置
CN108830084A (zh) 实现计算机信息安全防护漏洞扫描与防护加固的手持式终端及防护方法
CN104598820A (zh) 一种基于特征行为分析的木马病检测方法
US20230418943A1 (en) Method and device for image-based malware detection, and artificial intelligence-based endpoint detection and response system using same
CN104966020B (zh) 基于特征向量的反病毒云检测方法及系统
US10885191B1 (en) Detonate targeted malware using environment context information
CN101286979B (zh) 一种网络攻击检测方法
CN105207842B (zh) Android外挂特征检测的方法及系统
JP5613000B2 (ja) アプリケーション特性解析装置およびプログラム

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant