CN105049273A - 一种模拟网络活动检测木马的方法及系统 - Google Patents
一种模拟网络活动检测木马的方法及系统 Download PDFInfo
- Publication number
- CN105049273A CN105049273A CN201410731336.5A CN201410731336A CN105049273A CN 105049273 A CN105049273 A CN 105049273A CN 201410731336 A CN201410731336 A CN 201410731336A CN 105049273 A CN105049273 A CN 105049273A
- Authority
- CN
- China
- Prior art keywords
- network
- network communication
- packet
- trojan
- trojan horse
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种模拟网络活动检测木马的方法及系统,包括:在不同系统环境下运行已知木马程序,并根据其网络连接行为,模拟返回相应连接成功的信息,激发木马程序发出网络数据包;利用网络抓包工具,抓取所述木马程序在各系统环境下的网络通讯数据包,并对比得到各系统环境下相同的数据,作为所述已知木马程序的网络通讯协议特征;监控网络中的网络数据包,并与特征匹配,如果匹配,则判定为木马,报警并进行拦截;否则继续监控。通过本发明的方法,模拟控制端反馈的信息,解决了木马控制端不存活的情况,并能够解决通过普通网络特征监测对非活动的木马监测无效的问题。
Description
技术领域
本发明涉及网络安全领域,特别涉及一种模拟网络活动检测木马的方法及系统。
背景技术
随着互联网技术的发展和普及,计算机网络得到了广泛应用,越来越多的个人电脑加入到网络中,利用广泛开放的网络环境进行全球通信已经成为时代发展的趋势,人们日常的经济和社会生活也越来越依赖互联网,但网络技术给人们带来巨大便利的同时也带来了各种各样的安全威胁,其中特洛伊木马泛滥异常猖獗,技术上不断更新,而传统的基于特征代码的提取和对比的防火墙和反病毒技术有很大的局限性,对于新型的木马一般难以检测和清除,从而造成无法挽回的巨大损失,所以检测木马必须要有新的思路,即通过网络通信特征来检测木马,但这种方式依赖于网络数据包,然而在进行木马网络通信特征提取时,常常会遇到控制端不存活或网络不存活的情况,例如控制端断网未能连接网络等,导致即便运行所述木马程序,但依然无法获取到木马的网络通信特征。
发明内容
基于上述问题,本发明提出了一种模拟网络活动检测木马的方法,本发明能够通过模拟网络控制端或网络存活,激发木马的回连行为,进而激发其发送网络数据包,获取其网络通讯协议特征,解决了现有方法中对非活动的木马无效的问题。
一种模拟网络活动检测木马的方法,包括:
在不同系统环境下,分别运行已知木马程序,并根据所述木马程序的网络连接行为,模拟控制端返回相应连接成功的信息,激发木马程序发出网络通讯数据包;即在多种操作系统环境下,模拟木马的网络回连行为成功,激发木马的网络通讯数据包首包;
利用网络抓包工具,抓取所述木马程序在各系统环境下的网络通讯数据包,并保存;
提取所述各系统环境下的网络通讯数据包,并对比得到各系统环境下相同的数据或数据格式,作为所述已知木马程序的网络通讯协议特征,并保存形成特征库;
监控网络中的网络数据包,并与特征库中的网络通讯协议特征匹配,如果匹配,则判定为木马,报警并进行拦截;否则继续监控。
所述的方法中,所述与特征库中的网络通讯协议特征匹配包括:正则匹配或特征组合匹配。
本发明还提供一种模拟网络活动检测木马的系统,包括:
模拟运行模块,用于在不同系统环境下,分别运行已知木马程序,并根据所述木马程序的网络连接行为,模拟控制端返回相应连接成功的信息,激发木马程序发出网络通讯数据包;
抓包模块,用于利用网络抓包工具,抓取所述木马程序在各系统环境下的网络通讯数据包,并保存;
特征提取模块,用于提取所述各系统环境下的网络通讯数据包,并对比得到各系统环境下相同的数据或数据格式,作为所述已知木马程序的网络通讯协议特征,并保存形成特征库;
监控模块,用于监控网络中的网络数据包,并与特征库中的网络通讯协议特征匹配,如果匹配,则判定为木马,报警并进行拦截;否则继续监控。
述的系统中,所述与特征库中的网络通讯协议特征匹配包括:正则匹配或特征组合匹配。
本发明所提出的方法及系统,能够通过模拟控制端返回的信息,激发木马的网络行为,获取木马在各种不同系统环境下的网络通讯数据包,并比较提取相同的网络通讯协议特征,用于对网络中的数据包进行检测。通过本发明的方法,能够通过模拟控制端或网络存活,激发木马的回连行为,来获取非活动木马的网络通讯特征,进而对普通的检测技术无法识别的木马,如加壳木马进行检测。
附图说明
为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明一种模拟网络活动检测木马的方法流程图;
图2为本发明一种模拟网络活动检测木马的系统示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明实施例中的技术方案,并使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明中技术方案作进一步详细的说明。
基于上述问题,本发明提出了一种模拟网络活动检测木马的方法,本发明能够通过模拟网络控制端或网络存活,激发木马的回连行为,进而激发其发送网络数据包,获取其网络通讯协议特征,解决了现有方法中对非活动的木马无效的问题。
一种模拟网络活动检测木马的方法,如图1所示,包括:
S101:在不同系统环境下,分别运行已知木马程序,并根据所述木马程序的网络连接行为,模拟控制端返回相应连接成功的信息,激发木马程序发出网络通讯数据包;即在多种操作系统环境下,模拟木马的网络回连行为成功,激发木马的网络数据包首包;所述多种操作系统环境,如windowsxp、windows7或windows8等系统环境;
所述的模拟控制端返回相应连接成功的信息为根据木马所发送数据包中的具体函数进行反馈,如:如果为dns解析函数gethostbyname,则进行hook;当遇到函数识别查询域名为外网域名,则返回模拟的外网规则ip;如果为连接函数connect,则返回成功;如果为网页访问函数internetconnect失效,则返回成功句柄;如果为下载函数URLDownloadtofile等下载类型函数,则模拟返回一个exe文件等;
S102:利用网络抓包工具,抓取所述木马程序在各系统环境下的网络通讯数据包,并保存;
S103:提取所述各系统环境下的网络通讯数据包,并对比得到各系统环境下相同的数据或数据格式,作为所述已知木马程序的网络通讯协议特征,并保存形成特征库;
S104:监控网络中的网络数据包,并与特征库中的网络通讯协议特征匹配,如果匹配,则判定为木马,报警并进行拦截;否则继续监控。
所述的方法中,所述与特征库中的网络通讯协议特征匹配包括:正则匹配或特征组合匹配。
本发明还提供一种模拟网络活动检测木马的系统,如图2所示,包括:
模拟运行模块201,用于在不同系统环境下,分别运行已知木马程序,并根据所述木马程序的网络连接行为,模拟控制端返回相应连接成功的信息,激发木马程序发出网络通讯数据包;
抓包模块202,用于利用网络抓包工具,抓取所述木马程序在各系统环境下的网络通讯数据包,并保存;
特征提取模块203,用于提取所述各系统环境下的网络通讯数据包,并对比得到各系统环境下相同的数据或数据格式,作为所述已知木马程序的网络通讯协议特征,并保存形成特征库;
监控模块204,用于监控网络中的网络数据包,并与特征库中的网络通讯协议特征匹配,如果匹配,则判定为木马,报警并进行拦截;否则继续监控。
述的系统中,所述与特征库中的网络通讯协议特征匹配包括:正则匹配或特征组合匹配。
本发明所提出的方法及系统,能够通过模拟控制端返回的信息,激发木马的网络行为,获取木马在各种不同系统环境下的网络通讯数据包,并比较提取相同的网络通讯协议特征,用于对网络中的数据包进行检测。通过本发明的方法,能够通过模拟控制端或网络存活,激发木马的回连行为,来获取非活动木马的网络通讯特征,进而对普通的检测技术无法识别的木马,如加壳木马进行检测。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于系统实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
本发明可以在由计算机执行的计算机可执行指令的一般上下文中描述,例如程序模块。一般地,程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构等等。也可以在分布式计算环境中实践本发明,在这些分布式计算环境中,由通过通信网络而被连接的远程处理设备来执行任务。在分布式计算环境中,程序模块可以位于包括存储设备在内的本地和远程计算机存储介质中。
虽然通过实施例描绘了本发明,本领域普通技术人员知道,本发明有许多变形和变化而不脱离本发明的精神,希望所附的权利要求包括这些变形和变化而不脱离本发明的精神。
Claims (4)
1.一种模拟网络活动检测木马的方法,其特征在于,包括:
在不同系统环境下,分别运行已知木马程序,并根据所述木马程序的网络连接行为,模拟控制端返回相应连接成功的信息,激发木马程序发出网络通讯数据包;
利用网络抓包工具,抓取所述木马程序在各系统环境下的网络通讯数据包,并保存;
提取所述各系统环境下的网络通讯数据包,并对比得到各系统环境下相同的数据或数据格式,作为所述已知木马程序的网络通讯协议特征,并保存形成特征库;
监控网络中的网络数据包,并与特征库中的网络通讯协议特征匹配,如果匹配,则判定为木马,报警并进行拦截;否则继续监控。
2.如权利要求1所述的方法,其特征在于,所述与特征库中的网络通讯协议特征匹配包括:正则匹配或特征组合匹配。
3.一种模拟网络活动检测木马的系统,其特征在于,包括:
模拟运行模块,用于在不同系统环境下,分别运行已知木马程序,并根据所述木马程序的网络连接行为,模拟控制端返回相应连接成功的信息,激发木马程序发出网络通讯数据包;
抓包模块,用于利用网络抓包工具,抓取所述木马程序在各系统环境下的网络通讯数据包,并保存;
特征提取模块,用于提取所述各系统环境下的网络通讯数据包,并对比得到各系统环境下相同的数据或数据格式,作为所述已知木马程序的网络通讯协议特征,并保存形成特征库;
监控模块,用于监控网络中的网络数据包,并与特征库中的网络通讯协议特征匹配,如果匹配,则判定为木马,报警并进行拦截;否则继续监控。
4.如权利要求3所述的系统,其特征在于,所述与特征库中的网络通讯协议特征匹配包括:正则匹配或特征组合匹配。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410731336.5A CN105049273A (zh) | 2014-12-05 | 2014-12-05 | 一种模拟网络活动检测木马的方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410731336.5A CN105049273A (zh) | 2014-12-05 | 2014-12-05 | 一种模拟网络活动检测木马的方法及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN105049273A true CN105049273A (zh) | 2015-11-11 |
Family
ID=54455495
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410731336.5A Pending CN105049273A (zh) | 2014-12-05 | 2014-12-05 | 一种模拟网络活动检测木马的方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105049273A (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105025017A (zh) * | 2015-07-03 | 2015-11-04 | 汉柏科技有限公司 | 基于防火墙的防挂马的方法及防火墙 |
| CN106302520A (zh) * | 2016-09-14 | 2017-01-04 | 恒安嘉新(北京)科技有限公司 | 一种远控类木马清除方法及装置 |
| CN107172083A (zh) * | 2017-06-30 | 2017-09-15 | 罗颖莉 | 一种互联网预约医院病床的方法与系统 |
| CN107346390A (zh) * | 2017-07-04 | 2017-11-14 | 深信服科技股份有限公司 | 一种恶意样本检测方法及装置 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101605074A (zh) * | 2009-07-06 | 2009-12-16 | 中国人民解放军信息技术安全研究中心 | 基于网络通讯行为特征监测木马的方法与系统 |
| CN103051627A (zh) * | 2012-12-21 | 2013-04-17 | 公安部第一研究所 | 一种反弹式木马的检测方法 |
-
2014
- 2014-12-05 CN CN201410731336.5A patent/CN105049273A/zh active Pending
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101605074A (zh) * | 2009-07-06 | 2009-12-16 | 中国人民解放军信息技术安全研究中心 | 基于网络通讯行为特征监测木马的方法与系统 |
| CN103051627A (zh) * | 2012-12-21 | 2013-04-17 | 公安部第一研究所 | 一种反弹式木马的检测方法 |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105025017A (zh) * | 2015-07-03 | 2015-11-04 | 汉柏科技有限公司 | 基于防火墙的防挂马的方法及防火墙 |
| CN106302520A (zh) * | 2016-09-14 | 2017-01-04 | 恒安嘉新(北京)科技有限公司 | 一种远控类木马清除方法及装置 |
| CN106302520B (zh) * | 2016-09-14 | 2019-10-11 | 恒安嘉新(北京)科技股份公司 | 一种远控类木马清除方法及装置 |
| CN107172083A (zh) * | 2017-06-30 | 2017-09-15 | 罗颖莉 | 一种互联网预约医院病床的方法与系统 |
| CN107346390A (zh) * | 2017-07-04 | 2017-11-14 | 深信服科技股份有限公司 | 一种恶意样本检测方法及装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3195124B1 (en) | Malicious relay detection on networks | |
| US10291630B2 (en) | Monitoring apparatus and method | |
| CN102624706B (zh) | 一种dns隐蔽信道的检测方法 | |
| CN105376210B (zh) | 一种账户威胁识别和防御方法及系统 | |
| CN107454109A (zh) | 一种基于http流量分析的网络窃密行为检测方法 | |
| CN102594825A (zh) | 一种内网木马的检测方法和装置 | |
| TWI616771B (zh) | 殭屍網路偵測系統及其方法 | |
| US9467360B2 (en) | System, device and method for managing network traffic by using monitoring and filtering policies | |
| EP2946332A1 (en) | Automated forensics of computer systems using behavioral intelligence | |
| CN103746992B (zh) | 基于逆向的入侵检测系统及其方法 | |
| CN105049273A (zh) | 一种模拟网络活动检测木马的方法及系统 | |
| CN108293039B (zh) | 处理网络威胁的计算设备、方法和存储介质 | |
| CN110959158A (zh) | 信息处理装置、信息处理方法和信息处理程序 | |
| CN101953139A (zh) | 响应于网络层连通性的dhcp初始化 | |
| CN105959290A (zh) | 攻击报文的检测方法及装置 | |
| US20170142155A1 (en) | Advanced Local-Network Threat Response | |
| US9654491B2 (en) | Network filtering apparatus and filtering method | |
| CN105763574A (zh) | 一种基于大数据分析的防火墙系统 | |
| JP5531064B2 (ja) | 通信装置、通信システム、通信方法、および、通信プログラム | |
| CN110430199B (zh) | 识别物联网僵尸网络攻击源的方法与系统 | |
| US20200128041A1 (en) | Method and device for monitoring data communications | |
| US20150101036A1 (en) | Network filtering device, network filtering method and computer-readable recording medium having stored therein a program | |
| KR20180059611A (ko) | 시그니쳐 기반으로 악성행위를 자체 탐지하는 유무선 게이트웨이 및 그 탐지 방법 | |
| CN114244610A (zh) | 一种文件传输方法、装置,网络安全设备及存储介质 | |
| US9548989B2 (en) | Network monitoring apparatus and method |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20151111 |