CN106603557A - 一种基于配置信息结构的木马检测方法及系统 - Google Patents
一种基于配置信息结构的木马检测方法及系统 Download PDFInfo
- Publication number
- CN106603557A CN106603557A CN201611253544.4A CN201611253544A CN106603557A CN 106603557 A CN106603557 A CN 106603557A CN 201611253544 A CN201611253544 A CN 201611253544A CN 106603557 A CN106603557 A CN 106603557A
- Authority
- CN
- China
- Prior art keywords
- configuration information
- wooden horse
- sample
- detected rule
- information structure
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种基于配置信息结构的木马检测方法及系统,包括:获取已知流行木马样本,并提取所述木马样本的配置信息;分析所述配置信息,并获取配置信息结构;基于获取的配置信息结构制定检测规则;利用所述检测规则检测未知可疑文件是否为木马。本发明所述技术方案基于配置信息自身结构生成检测规则,进而有效识别木马病毒并降低误报。
Description
技术领域
本发明涉及计算机网络安全技术领域,尤其涉及一种基于配置信息结构的木马检测方法及系统。
背景技术
随着网络的日益发展,计算机技术的飞速进步。远端控制木马的危害变得更加严重,通过木马病毒,不法分子可以盗取受害者的个人信息,甚至控制受害者的计算机来进一步感染其他受害者进而扩大危害。安全软件需要对木马进行检测并阻断进而来保护受害者。一般的检测方法是提取某些比较特殊的字符串或者比较明显的作者签名等作为特征来全文扫描匹配进行检测。但是这种简单特征提取的检测方法存在着一些问题。
首先,常规方法提取的特征很有可能会因为木马版本的更迭而失去效果,旧版本的木马特征很可能无法作为新版本木马的检测特征。这样就必须对特征进行多次更新。
其次,常规方法提取的特征有可能产生误报,可能因为某些原因而产生正常软件中存在符合提取特征的情况,这就导致了会有正常软件误报的情况。
最后,因为有时候无法确定特征具体存在位置只能将整个文件进行扫描,效率低下。
发明内容
针对上述技术问题,本发明所述的技术方案通过获取已知木马样本的配置信息,并基于配置信息结构生成检测规则,利用所述检测规则能够有效识别未知木马,并降低误报。
本发明采用如下方法来实现:一种基于配置信息结构的木马检测方法,包括:
获取已知流行木马样本,并提取所述木马样本的配置信息;
分析所述配置信息,并获取配置信息结构;
基于获取的配置信息结构制定检测规则;
利用所述检测规则检测未知可疑文件是否为木马。
进一步地,所述提取所述木马样本的配置信息,具体为:定位木马样本配置信息的位置,进而提取所述木马样本的配置信息。
进一步地,还包括:分析所述配置信息,并获取配置信息加密方法;基于获取的配置信息加密方法制定检测规则。
更进一步地,所述基于获取的配置信息加密方法制定检测规则,具体为:基于配置信息加密后的结构特征制定检测规则。
上述方法中,所述配置信息结构包括:数据标识符、数据存放顺序、配置信息间隔符、数据间隔长度、配置信息种类数量。
本发明可以采用如下系统来实现:一种基于配置信息结构的木马检测系统,包括:
配置信息提取模块,用于获取已知流行木马样本,并提取所述木马样本的配置信息;
结构信息获取模块,用于分析所述配置信息,并获取配置信息结构;
第一规则制定模块,用于基于获取的配置信息结构制定检测规则;
木马检测模块,用于利用所述检测规则检测未知可疑文件是否为木马。
进一步地,所述提取所述木马样本的配置信息,具体为:定位木马样本配置信息的位置,进而提取所述木马样本的配置信息。
进一步地,还包括:加密信息获取模块,用于分析所述配置信息,并获取配置信息加密方法;第二规则制定模块,用于基于获取的配置信息加密方法制定检测规则。
更进一步地,所述第二规则制定模块,具体用于:基于配置信息加密后的结构特征制定检测规则。
上述系统中,所述配置信息结构包括:数据标识符、数据存放顺序、配置信息间隔符、数据间隔长度、配置信息种类数量。
综上,本发明给出一种基于配置信息结构的木马检测方法及系统,由于所有远端控制木马的大体特点都是链接网络后与控制端产生联系并上传受害者数据和远程操控。因为要和控制端产生联系所以必须在本体中存放相应的配置信息,任何远端控制木马都有特定格式甚至进行过特定加密的配置信息,而通过提取这些配置信息结构特征后设定对应特定格式或特定加密方式的检测规则,利用这些检测规则能够更加准确的检测木马病毒。
附图说明
为了更清楚地说明本发明的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明提供的一种基于配置信息结构的木马检测方法实施例1流程图;
图2为本发明提供的一种基于配置信息结构的木马检测方法实施例2流程图;
图3为本发明提供的一种基于配置信息结构的木马检测系统实施例结构图。
具体实施方式
本发明给出了一种基于配置信息结构的木马检测方法及系统实施例,为了使本技术领域的人员更好地理解本发明实施例中的技术方案,并使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明中技术方案作进一步详细的说明:
本发明首先提供了一种基于配置信息结构的木马检测方法实施例1,如图1所示,包括:
S101:获取已知流行木马样本,并提取所述木马样本的配置信息;
其中,可以通过样本捕获或者其他方式获取到当前比较流行的木马样本;所述提取所述木马样本的配置信息,具体为:定位木马样本配置信息的位置,进而提取所述木马样本的配置信息。
S102:分析所述配置信息,并获取配置信息结构;所述配置信息结构包括:数据标识符、数据存放顺序、配置信息间隔符、数据间隔长度、配置信息种类数量。数据标识符是指在数据起始位置处用于表明后续存放的是配置信息的标志特征。
S103:基于获取的配置信息结构制定检测规则;
S104:利用所述检测规则检测未知可疑文件是否为木马。
其中,在木马没有进行大改动的前提下,可以认为木马的配置信息保持不变,所以对于恶意样本的检测可以直接在未知可疑文件的已知木马配置信息位置进行特征匹配。
本发明同时提供了一种基于配置信息结构的木马检测方法实施例2,如图2所示,包括:
S201:获取已知流行木马样本,并提取所述木马样本的配置信息;
其中,所述提取所述木马样本的配置信息,具体为:定位木马样本配置信息的位置,进而提取所述木马样本的配置信息。
S202:分析所述配置信息,并获取配置信息结构和配置信息加密方法;
S203:基于获取的配置信息结构和配置信息加密方法制定检测规则;
其中,所述配置信息结构包括:数据标识符、数据存放顺序、配置信息间隔符、数据间隔长度、配置信息种类数量;所述基于获取的配置信息加密方法制定检测规则,具体为:基于配置信息加密后的结构特征制定检测规则。其中,基于配置信息加密后的结构特征制定检测规则,是由于加密处理并不会使其彻底失去结构性。
S204:利用所述检测规则检测未知可疑文件是否为木马。
本发明其次提供了一种基于配置信息结构的木马检测系统实施例,如图3所示,包括:
配置信息提取模块301,用于获取已知流行木马样本,并提取所述木马样本的配置信息;
结构信息获取模块302,用于分析所述配置信息,并获取配置信息结构;
第一规则制定模块303,用于基于获取的配置信息结构制定检测规则;
木马检测模块304,用于利用所述检测规则检测未知可疑文件是否为木马。
优选地,所述提取所述木马样本的配置信息,具体为:定位木马样本配置信息的位置,进而提取所述木马样本的配置信息。
优选地,还包括:加密信息获取模块,用于分析所述配置信息,并获取配置信息加密方法;第二规则制定模块,用于基于获取的配置信息加密方法制定检测规则。
更优选地,所述第二规则制定模块,具体用于:基于配置信息加密后的结构特征制定检测规则。
上述系统实施例中,所述配置信息结构包括:数据标识符、数据存放顺序、配置信息间隔符、数据间隔长度、配置信息种类数量。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同或相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于系统实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
如上所述,上述实施例给出了一种基于配置信息结构的木马检测方法及系统实施例,与传统检测方法不同,本发明上述实施例利用配置信息结构相对稳定的特点,进而通过获取已知木马样本,进而分析木马样本的配置信息结构特征,并生成检测规则,利用所述检测规则能够更加准确的定位木马家族,提取的检测规则能够一直沿用下去,并不会因为木马版本更新而失去效果;由于上述实施例是通过配置信息结构进而提取的检测规则,所以区别于常规软件的信息存放结构,因此能够有效避免误报,并具备较高的检测效率。
以上实施例用以说明而非限制本发明的技术方案。不脱离本发明精神和范围的任何修改或局部替换,均应涵盖在本发明的权利要求范围当中。
Claims (10)
1.一种基于配置信息结构的木马检测方法,其特征在于,包括:
获取已知流行木马样本,并提取所述木马样本的配置信息;
分析所述配置信息,并获取配置信息结构;
基于获取的配置信息结构制定检测规则;
利用所述检测规则检测未知可疑文件是否为木马。
2.如权利要求1所述的方法,其特征在于,所述提取所述木马样本的配置信息,具体为:定位木马样本配置信息的位置,进而提取所述木马样本的配置信息。
3.如权利要求1所述的方法,其特征在于,还包括:分析所述配置信息,并获取配置信息加密方法;基于获取的配置信息加密方法制定检测规则。
4.如权利要求3所述的方法,其特征在于,所述基于获取的配置信息加密方法制定检测规则,具体为:基于配置信息加密后的结构特征制定检测规则。
5.如权利要求1-4所述的方法,其特征在于,所述配置信息结构包括:数据标识符、数据存放顺序、配置信息间隔符、数据间隔长度、配置信息种类数量。
6.一种基于配置信息结构的木马检测系统,其特征在于,包括:
配置信息提取模块,用于获取已知流行木马样本,并提取所述木马样本的配置信息;
结构信息获取模块,用于分析所述配置信息,并获取配置信息结构;
第一规则制定模块,用于基于获取的配置信息结构制定检测规则;
木马检测模块,用于利用所述检测规则检测未知可疑文件是否为木马。
7.如权利要求6所述的系统,其特征在于,所述提取所述木马样本的配置信息,具体为:定位木马样本配置信息的位置,进而提取所述木马样本的配置信息。
8.如权利要求6所述的系统,其特征在于,还包括:加密信息获取模块,用于分析所述配置信息,并获取配置信息加密方法;第二规则制定模块,用于基于获取的配置信息加密方法制定检测规则。
9.如权利要求8所述的系统,其特征在于,所述第二规则制定模块,具体用于:基于配置信息加密后的结构特征制定检测规则。
10.如权利要求6-9所述的系统,其特征在于,所述配置信息结构包括:数据标识符、数据存放顺序、配置信息间隔符、数据间隔长度、配置信息种类数量。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201611253544.4A CN106603557A (zh) | 2016-12-30 | 2016-12-30 | 一种基于配置信息结构的木马检测方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201611253544.4A CN106603557A (zh) | 2016-12-30 | 2016-12-30 | 一种基于配置信息结构的木马检测方法及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN106603557A true CN106603557A (zh) | 2017-04-26 |
Family
ID=58581353
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201611253544.4A Pending CN106603557A (zh) | 2016-12-30 | 2016-12-30 | 一种基于配置信息结构的木马检测方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106603557A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108881151A (zh) * | 2017-12-29 | 2018-11-23 | 哈尔滨安天科技股份有限公司 | 一种无关节点确定方法、装置及电子设备 |
| CN110826069A (zh) * | 2019-11-05 | 2020-02-21 | 深信服科技股份有限公司 | 一种病毒处理方法、装置、设备及存储介质 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1920832A (zh) * | 2006-09-28 | 2007-02-28 | 北京理工大学 | 基于链接分析的网页木马追踪技术 |
| CN1924866A (zh) * | 2006-09-28 | 2007-03-07 | 北京理工大学 | 基于统计特征的网页恶意脚本检测方法 |
| CN103914654A (zh) * | 2013-12-25 | 2014-07-09 | 武汉安天信息技术有限责任公司 | 一种对Android ART运行时代码进行恶意代码检测的方法及系统 |
| CN104134019A (zh) * | 2014-07-25 | 2014-11-05 | 北京奇虎科技有限公司 | 检测脚本病毒的方法和装置 |
| US20150047032A1 (en) * | 2013-08-07 | 2015-02-12 | Front Porch Communications, Inc. | System and method for computer security |
| CN104376259A (zh) * | 2014-09-12 | 2015-02-25 | 腾讯科技(深圳)有限公司 | 一种检测病毒的方法和装置 |
| CN105791236A (zh) * | 2014-12-23 | 2016-07-20 | 北京网御星云信息技术有限公司 | 一种木马通信通道检测方法及系统 |
-
2016
- 2016-12-30 CN CN201611253544.4A patent/CN106603557A/zh active Pending
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1920832A (zh) * | 2006-09-28 | 2007-02-28 | 北京理工大学 | 基于链接分析的网页木马追踪技术 |
| CN1924866A (zh) * | 2006-09-28 | 2007-03-07 | 北京理工大学 | 基于统计特征的网页恶意脚本检测方法 |
| US20150047032A1 (en) * | 2013-08-07 | 2015-02-12 | Front Porch Communications, Inc. | System and method for computer security |
| CN103914654A (zh) * | 2013-12-25 | 2014-07-09 | 武汉安天信息技术有限责任公司 | 一种对Android ART运行时代码进行恶意代码检测的方法及系统 |
| CN104134019A (zh) * | 2014-07-25 | 2014-11-05 | 北京奇虎科技有限公司 | 检测脚本病毒的方法和装置 |
| CN104376259A (zh) * | 2014-09-12 | 2015-02-25 | 腾讯科技(深圳)有限公司 | 一种检测病毒的方法和装置 |
| CN105791236A (zh) * | 2014-12-23 | 2016-07-20 | 北京网御星云信息技术有限公司 | 一种木马通信通道检测方法及系统 |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108881151A (zh) * | 2017-12-29 | 2018-11-23 | 哈尔滨安天科技股份有限公司 | 一种无关节点确定方法、装置及电子设备 |
| CN108881151B (zh) * | 2017-12-29 | 2021-08-03 | 哈尔滨安天科技集团股份有限公司 | 一种无关节点确定方法、装置及电子设备 |
| CN110826069A (zh) * | 2019-11-05 | 2020-02-21 | 深信服科技股份有限公司 | 一种病毒处理方法、装置、设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103488941B (zh) | 硬件木马检测方法及系统 | |
| Yu et al. | Deescvhunter: A deep learning-based framework for smart contract vulnerability detection | |
| CN105956180B (zh) | 一种敏感词过滤方法 | |
| US20170149830A1 (en) | Apparatus and method for automatically generating detection rule | |
| CN102841999B (zh) | 一种文件宏病毒的检测方法和装置 | |
| JP6697123B2 (ja) | プロファイル生成装置、攻撃検知装置、プロファイル生成方法、および、プロファイル生成プログラム | |
| CN103473507A (zh) | 一种基于方法调用图的Android恶意软件检测方法 | |
| WO2007078981A3 (en) | Forgery detection using entropy modeling | |
| CN103310150A (zh) | 一种检测pdf漏洞的方法和装置 | |
| CN105046152A (zh) | 基于函数调用图指纹的恶意软件检测方法 | |
| KR20080071862A (ko) | 침입 코드 탐지 장치 및 그 방법 | |
| US11100218B2 (en) | Systems and methods for improving accuracy in recognizing and neutralizing injection attacks in computer services | |
| CN105718795A (zh) | Linux下基于特征码的恶意代码取证方法及系统 | |
| CN108121909A (zh) | 一种弱口令的检测方法、终端设备及存储介质 | |
| CN106780287B (zh) | 基于矢量地理线数据组织特征的无损水印方法 | |
| CN107958154A (zh) | 一种恶意软件检测装置及方法 | |
| CN116385250B (zh) | 基于鲁棒水印与脆弱水印的轨迹数据双重水印方法 | |
| CN106603557A (zh) | 一种基于配置信息结构的木马检测方法及系统 | |
| CN103955644B (zh) | 一种基于终端自启动项的静态木马检测方法 | |
| CN111897644B (zh) | 一种基于多维度的网络数据融合匹配方法 | |
| CN109408810A (zh) | 一种恶意pdf文档检测方法及装置 | |
| CN112084146A (zh) | 基于多维特征的固件同源性检测方法 | |
| Shang et al. | A machine learning based golden-free detection method for command-activated hardware Trojan | |
| CN110135153A (zh) | 软件的可信检测方法及装置 | |
| CN108171057B (zh) | 基于特征匹配的Android平台恶意软件检测方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information |
Address after: 150028 Building 7, Innovation Plaza, Science and Technology Innovation City, Harbin Hi-tech Industrial Development Zone, Heilongjiang Province (838 Shikun Road) Applicant after: Harbin antiy Technology Group Limited by Share Ltd Address before: 150090 Room 506, No. 162 Hongqi Street, Nangang District, Harbin Development Zone, Heilongjiang Province Applicant before: Harbin Antiy Technology Co., Ltd. |
|
| CB02 | Change of applicant information | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20170426 |
|
| RJ01 | Rejection of invention patent application after publication |