CN104660584A - 基于网络会话的木马病毒分析技术 - Google Patents
基于网络会话的木马病毒分析技术 Download PDFInfo
- Publication number
- CN104660584A CN104660584A CN201410857309.2A CN201410857309A CN104660584A CN 104660584 A CN104660584 A CN 104660584A CN 201410857309 A CN201410857309 A CN 201410857309A CN 104660584 A CN104660584 A CN 104660584A
- Authority
- CN
- China
- Prior art keywords
- packet
- session
- connection
- tcp
- host
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/1066—Session management
- H04L65/1076—Screening of IP real time communications, e.g. spam over Internet telephony [SPIT]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/1066—Session management
- H04L65/1083—In-session procedures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/60—Network streaming of media packets
Abstract
本发明涉及基于网络会话的木马病毒分析技术。本技术的操作步骤包括:(1)通过底层抓包技术获取网络数据包;(2)解码网络数据包并对IP分片包进行重组;(3)对TCP数据流进行重组;(4)对TCP会话状态进行跟踪并根据是否完成连接分别标记会话状态为半连接状态、已连接状态、关闭状态和删除TCP会话;(5)当接收到的数据包请求为断开会话连接,此时检查当前会话状态是否为已连接,如果是半连接状态,那么该来源主机地址可能是不存在的主机,此时记录该异常行为主机,并进行计数;(6)当一分钟内异常主机的累计计数大于30时,我们可以确定此主机就是感染木马病毒的主机。
Description
技术领域
本发明涉及基于网络会话的木马病毒分析技术,属于计算机应用技术领域。
背景技术
随着互联网技术的发展和普及,计算机网络得到了广泛应用,利用广泛开放的网络环境进行全球通信已经成为时代发展的趋势,人们日常的经济和社会生活也越来越依赖互联网。但网络技术给人们带来巨大的便利的同时也带来了各种各样的安全威胁,例如黑客攻击,计算机病毒、特洛伊木马泛滥等。研究在目前开放的网络环境下,如何保证自己的信息安全就显的非常重要。
木马是一种具有运行非预期或未授权功能的程序,例如可以记录用户键入的密码,远程传输文件,甚至可以完全远程控制计算机等。一般黑客在攻击目标得手之后,就会在主机上安装后门,即特洛伊木马。特洛伊木马可以在用户毫不知情的情况下泄漏用户的密码、用户的秘密资料等,甚至可以远程监控用户的操作,因此,某些行业,如国防、外交和商务部门,特洛伊木马的危害性更大,一旦这些部门被安装了木马,损失就会非常惨重。
在网络攻击与安全防范日益激烈的对抗中,木马攻击技术在不断地完善。现在木马攻击手段已成为网络攻击的最常用、最有效的手段之一,是一系列网络攻击活动中重要的组成部分,严重地威胁着计算机网络系统的安全。传统的特征码检测技术对于检测已知恶意代码,非常快捷有效,但是对于检测未知的恶意代码则无能为力。因此,我们发明了“基于网络会话的木马病毒分析技术”
发明内容
为了能够有效的发现未知病毒木马,减低木马行为带来的损失与影响。本发明实施例提供了基于网络会话的木马病毒分析技术,以此大力提高未知病毒木马的检测能力,所述技术方案如下:
1.基于网络会话的木马病毒分析技术,其特征主要表现在通过木马病毒的网络会话行为特点来定位木马病毒,其核心实现过程:(1)通过底层抓包技术获取网络数据包;(2)解码网络数据包,分别得到以太头、IP头、协议头、会话数据;(3)通过分析IP头标志位是否为分片数据包,如果是分片的数据包,那么进行IP数据包重组,得到完整的IP数据包;(4)通过协议头过滤出TCP数据包,根据TCP的三步握手规则以及建立来源IP、来源端口、目的IP、目的端口的TCP会话并进行跟踪;(5)对TCP会话进行状态设置,没有完成三步握手的TCP会话标记为半连接状态,已经完成握手的会话会已连接状态,正在关闭连接的为关闭状态,已经断开链接的则删除TCP会话;(6)当接收到的数据包TCP标志位RST为1时,表示来源主机要求断开会话连接,此时检查当前会话状态是否为已连接,如果是半连接状态,那么这该来源主机地址可能是不存在的,而目的主机可能是有异常行为的主机,此时记录该异常行为主机,并进行计数;(7)当一分钟内异常主机的累计计数大于30时,我们可以确定此主机就是感染木马病毒的主机;其具体操作步骤如下:
(1)数据包捕获
通过安装WINPCAP工具,我们可以抓取到底层网络数据包,并交由数据包分析模块处理;
(2)数据包解码
①首先判断数据包是否为以太网数据包,不是则丢弃;是则解码以太头,得到来源MAC地址、目的MAC地址以及以太协议类型;
②以太头协议类型是否为IP协议类型,不是则丢弃;是则解码IP协议头,得到来源IP、目的IP、传输协议类型、IP头长度、IP分片标志等;
③传输层协议类型是否为TCP协议类型,不是则丢弃;是则解码TCP协议头,得到来源端口、目的端口、TCP标志位等;
(3)IP数据包重组
①查找是否为新的数据包分组:通过对来源IP、来源端口、目的IP、目的端口作HASH运算得出一个HASH值,用这个HASH值在数据包分组链表中查找是否为新的分组,如果是,创建一新的分组添加到分组链表,如果不是,那么就按照分片标志位中的便宜量顺序插入到已有分组的分片链表中;
②检测分组数据包是否接收完成:检查当前IP数据包是否为最后一个分片包,如果是,那就表示当前分组已经接收完所有的分片包,可以进行数据包的重组了;
③数据包重组:对当前分组的所有分片包按照分片标志位中的偏移量顺序组合成一个新的IP数据包;
(4)TCP会话跟踪
通过来源IP、来源端口、目的IP、目的端口建立HASH值,每一个HASH值将作为一个会话连接,将只有SYN标志或者SYN+ACK标志的会话设置为半连接状态,将完成SYN->SYN+ACK->ACK三步握手连接的会话设置为已连接状态;将发送SYN+RST标志的设置为断开连接状态;将发送FIN+ACK的删除会话;
(5)木马病毒分析
由于感染木马的主机要需要接收木马制作者的控制命令,木马主机会定时的向控制端发送反向连接请求,而木马控制端不会时常在线,因此这规律性的反向连接将会导致网络异常连接,通过分析异常连接流量可以定位木马主机;通过统计每个主机的异常连接数量,当一分钟内异常主机的累计计数大于30时,我们可以确定此主机就是感染木马病毒的主机;
以下是对本发明的技术作进一步的说明:
所述的WINPCAP,winpcap(windows packet capture)是windows平台下一个免费,公共的网络访问系统。开发winpcap这个项目的目的在于为win32应用程序提供访问网络底层的能力。它用于windows系统下的直接的网络编程。
所述的SYN,SYN(synchronous)是TCP/IP建立连接时使用的握手信号。在客户机和服务器之间建立正常的TCP网络连接时,客户机首先发出一个SYN消息,服务器使用SYN+ACK应答表示接收到了这个消息,最后客户机再以ACK消息响应。这样在客户机和服务器之间才能建立起可靠的TCP连接,数据才可以在客户机和服务器之间传递。
所述的ACK,ACK(Acknowledgement),即确认字符,在数据通信中,接收站发给发送站的一种传输类控制字符。表示发来的数据已确认接收无误。
所述的木马病毒,木马病毒和其他病毒一样都是一种人为的程序,都属于电脑病毒。大家都知道以前的电脑病毒的作用,其实完全就是为了搞破坏,破坏电脑里的资料数据,除了破坏之外其它无非就是有些病毒制造者为了达到某些目的而进行的威慑和敲诈勒索的作用,或是为了炫耀自己的技术。木马病毒则不一样,它的作用是赤裸裸的偷偷监视别人的所有操作和盗窃别人的各种密码和数据等重要信息,如盗窃系统管理员密码搞破坏;偷窃ADSL上网密码和游戏帐号密码用于牟利。所以木马病毒的危害性比其他电脑病毒更加大,更能够直接达到使用者的目的。这个现状就导致了许多别有用心的程序开发者大量的编写这类带有偷窃和监视别人电脑的侵入性程序,这就是目前网上大量木马病毒泛滥成灾的原因。鉴于木马病毒的这些巨大危害性和它与其他病毒的作用性质的不一样,所以木马病毒虽然属于病毒中的一类,但是要单独的从病毒类型中间剥离出来,独立地称之为“木马病毒”程序。
附图说明:
图1为本发明技术的木马病毒行为图。
图2为本发明技术的数据包解码流程图。
图3为本发明技术的木马病毒分析流程图。
具体实践方式:
实施例:
为了更好的理解本发明的技术方案,现结合附图中的图表就具体实施进行进一步详细描述如下:
(1)木马病毒行为特征——(如图1所示)
由于感染木马的主机要需要接收木马制作者的控制命令,木马主机会定时的向控制端发送反向连接请求,而木马控制端不会时常在线,因此这规律性的反向连接将会导致网络异常连接,通过分析异常连接流量可以定位木马主机;木马主机一旦连接上控制者主机,那么控制者将可以通过木马向其他主机进一步渗透或者做其它的行为;
(2)数据包解码——(如图2所示)
①首先判断数据包是否为以太网数据包,不是则丢弃;是则解码以太头,得到来源MAC地址、目的MAC地址以及以太协议类型;
②以太头协议类型是否为IP协议类型,不是则丢弃;是则解码IP协议头,得到来源IP、目的IP、传输协议类型、IP头长度、IP分片标志等;
③传输层协议类型是否为TCP协议类型,不是则丢弃;是则解码TCP协议头,得到来源端口、目的端口、TCP标志位等;
(3)木马病毒分析——(如图3所示)
①会话跟踪;根据TCP三步握手状态,建立TCP会话连接。
②异常连接分析:根据TCP标志位RST状态以及结合当前TCP会话状态检测,当RST为1同时TCP状态为半连接时,说明此目的主机之前正在发送异常连接请求,累计当前主机异常连接请求数。
③木马病毒定位:当1分钟内单个主机异常连接请求数达到30个,我们可以确定这个主机被感染了木马病毒。
Claims (1)
1.基于网络会话的木马病毒分析技术,其特征主要表现在通过木马病毒的网络会话行为特点来定位木马病毒,其核心实现过程:(1)通过底层抓包技术获取网络数据包;(2)解码网络数据包,分别得到以太头、IP头、协议头、会话数据;(3)通过分析IP头标志位是否为分片数据包,如果是分片的数据包,那么进行IP数据包重组,得到完整的IP数据包;(4)通过协议头过滤出TCP数据包,根据TCP的三步握手规则以及建立来源IP、来源端口、目的IP、目的端口的TCP会话并进行跟踪;(5)对TCP会话进行状态设置,没有完成三步握手的TCP会话标记为半连接状态,已经完成握手的会话会已连接状态,正在关闭连接的为关闭状态,已经断开链接的则删除TCP会话;(6)当接收到的数据包TCP标志位RST为1时,表示来源主机要求断开会话连接,此时检查当前会话状态是否为已连接,如果是半连接状态,那么这该来源主机地址可能是不存在的,而目的主机可能是有异常行为的主机,此时记录该异常行为主机,并进行计数;(7)当一分钟内异常主机的累计计数大于30时,我们可以确定此主机就是感染木马病毒的主机;其具体操作步骤如下:
(1)数据包捕获
通过安装WINPCAP工具,我们可以抓取到底层网络数据包,并交由数据包分析模块处理;
(2)数据包解码
①首先判断数据包是否为以太网数据包,不是则丢弃;是则解码以太头,得到来源MAC地址、目的MAC地址以及以太协议类型;
②以太头协议类型是否为IP协议类型,不是则丢弃;是则解码IP协议头,得到来源IP、目的IP、传输协议类型、IP头长度、IP分片标志等;
③传输层协议类型是否为TCP协议类型,不是则丢弃;是则解码TCP协议头,得到来源端口、目的端口、TCP标志位等;
(3)IP数据包重组
①查找是否为新的数据包分组:通过对来源IP、来源端口、目的IP、目的端口作HASH运算得出一个HASH值,用这个HASH值在数据包分组链表中查找是否为新的分组,如果是,创建一新的分组添加到分组链表,如果不是,那么就按照分片标志位中的便宜量顺序插入到已有分组的分片链表中;
②检测分组数据包是否接收完成:检查当前IP数据包是否为最后一个分片包,如果是,那就表示当前分组已经接收完所有的分片包,可以进行数据包的重组了;
③数据包重组:对当前分组的所有分片包按照分片标志位中的偏移量顺序组合成一个新的IP数据包;
(4)TCP会话跟踪
通过来源IP、来源端口、目的IP、目的端口建立HASH值,每一个HASH值将作为一个会话连接,将只有SYN标志或者SYN+ACK标志的会话设置为半连接状态,将完成SYN->SYN+ACK->ACK三步握手连接的会话设置为已连接状态;将发送SYN+RST标志的设置为断开连接状态;将发送FIN+ACK的删除会话;
(5)木马病毒分析
由于感染木马的主机要需要接收木马制作者的控制命令,木马主机会定时的向控制端发送反向连接请求,而木马控制端不会时常在线,因此这规律性的反向连接将会导致网络异常连接,通过分析异常连接流量可以定位木马主机;通过统计每个主机的异常连接数量,当一分钟内异常主机的累计计数大于30时,我们可以确定此主机就是感染木马病毒的主机。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410857309.2A CN104660584B (zh) | 2014-12-30 | 2014-12-30 | 基于网络会话的木马病毒分析技术 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410857309.2A CN104660584B (zh) | 2014-12-30 | 2014-12-30 | 基于网络会话的木马病毒分析技术 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN104660584A true CN104660584A (zh) | 2015-05-27 |
CN104660584B CN104660584B (zh) | 2018-12-18 |
Family
ID=53251288
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201410857309.2A Active CN104660584B (zh) | 2014-12-30 | 2014-12-30 | 基于网络会话的木马病毒分析技术 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN104660584B (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106599168A (zh) * | 2016-12-09 | 2017-04-26 | 北京锐安科技有限公司 | 网络数据的来源分析方法及装置 |
CN106961414A (zh) * | 2016-01-12 | 2017-07-18 | 阿里巴巴集团控股有限公司 | 一种基于蜜罐的数据处理方法、装置及系统 |
CN107276900A (zh) * | 2016-04-06 | 2017-10-20 | 中国移动通信集团浙江有限公司 | 一种互访信息的获取方法及装置 |
CN111092900A (zh) * | 2019-12-24 | 2020-05-01 | 北京北信源软件股份有限公司 | 服务器异常连接和扫描行为的监控方法和装置 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20030154399A1 (en) * | 2002-02-08 | 2003-08-14 | Nir Zuk | Multi-method gateway-based network security systems and methods |
CN101854275A (zh) * | 2010-05-25 | 2010-10-06 | 军工思波信息科技产业有限公司 | 一种通过分析网络行为检测木马程序的方法及装置 |
CN102111308A (zh) * | 2010-12-22 | 2011-06-29 | 成都天融信网络安全技术有限公司 | 一种多态蠕虫自动检测方法 |
CN104168272A (zh) * | 2014-08-04 | 2014-11-26 | 国家电网公司 | 一种基于通信行为聚类的木马检测方法 |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102045220A (zh) * | 2010-12-09 | 2011-05-04 | 国都兴业信息审计系统技术(北京)有限公司 | 木马监控审计方法及系统 |
CN102202064B (zh) * | 2011-06-13 | 2013-09-25 | 刘胜利 | 基于网络数据流分析的木马通信行为特征提取方法 |
CN103475663B (zh) * | 2013-09-13 | 2016-08-17 | 无锡华御信息技术有限公司 | 基于网络通信行为特征的木马识别方法 |
-
2014
- 2014-12-30 CN CN201410857309.2A patent/CN104660584B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20030154399A1 (en) * | 2002-02-08 | 2003-08-14 | Nir Zuk | Multi-method gateway-based network security systems and methods |
CN101854275A (zh) * | 2010-05-25 | 2010-10-06 | 军工思波信息科技产业有限公司 | 一种通过分析网络行为检测木马程序的方法及装置 |
CN102111308A (zh) * | 2010-12-22 | 2011-06-29 | 成都天融信网络安全技术有限公司 | 一种多态蠕虫自动检测方法 |
CN104168272A (zh) * | 2014-08-04 | 2014-11-26 | 国家电网公司 | 一种基于通信行为聚类的木马检测方法 |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106961414A (zh) * | 2016-01-12 | 2017-07-18 | 阿里巴巴集团控股有限公司 | 一种基于蜜罐的数据处理方法、装置及系统 |
CN107276900A (zh) * | 2016-04-06 | 2017-10-20 | 中国移动通信集团浙江有限公司 | 一种互访信息的获取方法及装置 |
CN106599168A (zh) * | 2016-12-09 | 2017-04-26 | 北京锐安科技有限公司 | 网络数据的来源分析方法及装置 |
CN106599168B (zh) * | 2016-12-09 | 2020-03-20 | 北京锐安科技有限公司 | 网络数据的来源分析方法及装置 |
CN111092900A (zh) * | 2019-12-24 | 2020-05-01 | 北京北信源软件股份有限公司 | 服务器异常连接和扫描行为的监控方法和装置 |
Also Published As
Publication number | Publication date |
---|---|
CN104660584B (zh) | 2018-12-18 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP3195124B1 (en) | Malicious relay detection on networks | |
KR101737726B1 (ko) | 네트워크 트래픽에서의 불일치들을 검출하기 위한 하드웨어 자원들의 사용에 의한 루트킷 검출 | |
US8943586B2 (en) | Methods of detecting DNS flooding attack according to characteristics of type of attack traffic | |
US7703138B2 (en) | Use of application signature to identify trusted traffic | |
KR101219796B1 (ko) | 분산 서비스 거부 방어 장치 및 그 방법 | |
US11265339B1 (en) | Network traffic monitoring | |
JP7388613B2 (ja) | パケット処理方法及び装置、デバイス、並びに、コンピュータ可読ストレージ媒体 | |
CN104660584A (zh) | 基于网络会话的木马病毒分析技术 | |
JP2004302538A (ja) | ネットワークセキュリティシステム及びネットワークセキュリティ管理方法 | |
CN1326365C (zh) | 使用基于硬件的模式匹配的蠕虫阻击系统和方法 | |
EP4046331B1 (en) | Endpoint network sensor and related cybersecurity infrastructure | |
JP4014599B2 (ja) | 送信元アドレス偽装パケット検出装置、送信元アドレス偽装パケット検出方法、送信元アドレス偽装パケット検出プログラム | |
Liu et al. | Detect the reflection amplification attack based on UDP protocol | |
Yang et al. | Identify encrypted packets to detect stepping-stone intrusion | |
CN1988447B (zh) | 通信网络业务处理方法和设备 | |
JP2009081736A (ja) | パケット転送装置及びパケット転送プログラム | |
KR20090081619A (ko) | 파일 전송 보안 방법 및 장치 | |
Hsiao et al. | Detecting stepping‐stone intrusion using association rule mining | |
Subramanian et al. | Development of a comprehensive intrusion detection system–challenges and approaches | |
CN113726799B (zh) | 针对应用层攻击的处理方法、装置、系统和设备 | |
KR102621652B1 (ko) | DRDoS 공격 대응 방법, DRDoS 공격 대응 프로그램 및 DRDoS 공격 대응 기능을 구비한 서버 컴퓨터 | |
US11438357B2 (en) | Endpoint network sensor and related cybersecurity infrastructure | |
JP2004096246A (ja) | データ伝送方法、データ伝送システム及びデータ伝送装置 | |
TWI648978B (zh) | Hacker reverse connection behavior detection method | |
Zhang | Detecting network intruders by examining packet crossovers in connections |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |