CN108234484A - 用于追溯木马源的计算机可读存储介质和应用该介质的木马源追溯系统 - Google Patents

用于追溯木马源的计算机可读存储介质和应用该介质的木马源追溯系统 Download PDF

Info

Publication number
CN108234484A
CN108234484A CN201711488480.0A CN201711488480A CN108234484A CN 108234484 A CN108234484 A CN 108234484A CN 201711488480 A CN201711488480 A CN 201711488480A CN 108234484 A CN108234484 A CN 108234484A
Authority
CN
China
Prior art keywords
wooden horse
client
address
source
server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201711488480.0A
Other languages
English (en)
Other versions
CN108234484B (zh
Inventor
李涛
姚稳
周文财
封期冬
蒋超强
唐荔
莫嘉宝
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Guangdong Shiji Wangtong Communications Equipment Co Ltd
Original Assignee
Guangdong Shiji Wangtong Communications Equipment Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Guangdong Shiji Wangtong Communications Equipment Co Ltd filed Critical Guangdong Shiji Wangtong Communications Equipment Co Ltd
Priority to CN201711488480.0A priority Critical patent/CN108234484B/zh
Publication of CN108234484A publication Critical patent/CN108234484A/zh
Application granted granted Critical
Publication of CN108234484B publication Critical patent/CN108234484B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/568Computer malware detection or handling, e.g. anti-virus arrangements eliminating virus, restoring damaged files
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/146Tracing the source of attacks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • General Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明涉及网络安全技术领域,特别涉及用于追溯木马源的计算机可读存储介质,该介质内存有计算机程序,该计算机程序可被木马源追溯系统的处理器执行。在网络服务器上部署木马源追溯系统,木马源追溯系统的处理器获取被植入木马的服务端的本地木马数据,通过分析本地木马数据的内容找到控制或者试图控制该服务端的客户端地址信息,然后顺着客户端地址信息找到该客户端,对客户端的数据进行分析。没有被植入与上述服务端一样的木马的客户端很有可能是植入木马的犯罪分子使用的主机,犯罪分子一定需要对该客户端从服务端获取的信息进行处理,因此,可以通过分析上述信息的存储地址的访问日志来识别犯罪分子使用的IP地址,也就找到了木马源。

Description

用于追溯木马源的计算机可读存储介质和应用该介质的木马 源追溯系统
技术领域
本发明涉及网络安全技术领域,特别涉及用于追溯木马源的计算机可读存储介质,该介质内存有计算机程序,该计算机程序可被木马源追溯系统的处理器执行。
背景技术
随着通信技术的发展和互联网的普及,网络安全问题受到人们的重视,木马作为一种常见的网络危害,其来源主要包括钓鱼网页、挂马网页、含有威胁IP、域名、URL的邮件/图片等,人们在网络中的主动或者被动的通信行为都有可能导致计算机终端或者服务器被植入木马,对用户的信息安全、经济利益等带来的损失越来越大。
目前,针对木马的检测主要包括静态检测和动态检测,其中,静态检测是指通过提取已知木马样本的共有行为特征,再通过对这些行为特征进行分析,得到一些常规木马的通用特征的方法;动态行为检测方法则是通过对程序的进程进行监控,基于程序运行时的超出权限的调用等异常行为来判断是否木马程序。这些检测方法已经可以阻拦多数常规的木马,但是,意图通过木马来获利的犯罪分子会不时更新木马程序,尽可能瞒过或者绕过这些常规的木马检测方法,导致现有的木马检测方法都存在滞后性,无法有效检测出这些明显有犯罪目的的木马植入行为。
考虑到犯罪分子往往重复犯罪,木马实际来源的重复率相对较高,也可以在受到木马攻击后,通过追查木马源直接锁定犯罪分子。但是,现在木马的种类太多,有些木马会把从客户端获取的信息发送到某个邮箱,或者是连接到一个境外/虚假的IP地址,甚至是一些网络空间,这使得追溯木马源极其困难。
发明内容
本发明的目的在于:提供能够快速、准确地追溯木马源的方法和应用该方法的木马源追溯的系统。
本发明的目的通过以下技术方案实现:
提供用于追溯木马源的计算机可读存储介质,其存储有计算机程序,该计算机程序被处理器执行时实现以下步骤:
服务端识别步骤,其获取被植入木马的服务端的本地木马数据,识别该木马数据中的客户端地址信息;
客户端判断步骤,其根据识别到的客户端地址信息读取该客户端数据,判断该客户端是否存在与获取的本地木马数据一致的数据,若判断结果为否,则执行木马源追查步骤;
木马源追查步骤,其查找该客户端从服务端获取的信息的存储地址,根据该存储地址的访问日志来识别木马源。
其中,若客户端判断步骤的判断结果为是,则在执行木马源追查步骤之前先执行如下客户端追溯步骤:设定该客户端为中间服务端,在该中间服务端执行服务端识别步骤,获取与该中间服务端对应的客户端地址信息,然后根据本次获取的客户端地址信息执行客户端判断步骤,循环执行上述客户端追溯步骤直到客户端判断步骤的判断结果为否,则执行木马源追查步骤。
其中,在木马源追查步骤中,根据该存储地址的访问日志来识别木马源是指:监测该存储地址的访问日志,若识别到有IP地址从该存储地址获取信息的行为满足预设的条件,则标记该IP地址为疑似木马源。
其中,所述预设的条件是指:从该存储地址获取信息的次数和/或频率达到预设值A。
其中,所述预设的条件是指:从该存储地址中读取与该客户端从服务端获取的信息格式一致的信息,且读取上述信息的次数和/或频率达到预设值B。
其中,所述存储地址为本地存储单元或者网络空间。
其中,若客户端判断步骤的判断结果为否,则在执行木马源追查步骤之前先判断该客户端地址信息是否为邮箱地址,若判断结果为是,则跳过木马源追查步骤,直接读取该邮箱的登录地址信息来识别木马源。
其中,本地木马数据存储在木马程序的配置文件中,在服务端识别步骤中,通过判断配置文件与木马程序是否相匹配来获取存储有本地木马数据的配置文件。
其中,在所述服务端识别步骤中,获取本地木马数据后,先执行本地文件定位步骤,该本地文件定位步骤包括如下步骤:
发包进程获取步骤,其获取向查找到的客户端地址发包的进程;
HOOK处理步骤,其对该进程中所有的网络发包API函数进行HOOK处理;
进程监控步骤,其获取该进程随后的发包地址,判断该进程是否又向上述客户端地址发包;
木马文件识别步骤,若识别到该进程之后又向上述客户端地址发包,则对经过HOOK处理的API函数进行堆栈分析,得到调用该经过HOOK处理的API函数的文件,该文件即木马文件。
本发明还提供木马源追溯系统,包括处理器和上述计算机可读存储介质,该计算机可读存储介质上的计算机程序可被处理器执行。
在网络服务器上部署木马源追溯系统,木马源追溯系统的处理器获取被植入木马的服务端的本地木马数据,通过分析本地木马数据的内容找到控制或者试图控制该服务端的客户端的地址信息,然后顺着客户端地址信息找到该客户端,对客户端的数据进行分析。如果判断得到该客户端没有被植入与上述服务端一样的木马,那么这个客户端很有可能是植入木马的犯罪分子使用的主机,犯罪分子一定需要对该客户端从服务端获取的信息进行处理,因此,可以通过分析上述信息的存储地址的访问日志来识别植入木马的犯罪分子,找到犯罪分子使用的IP地址,也就找到了木马源。
具体实施方式
本实施例提供木马源追溯系统以及在该系统上运行的用于追溯木马源的方法,该方法的具体步骤如下:
一、服务端识别步骤,木马源追溯系统获取被植入木马的服务端的本地木马数据,识别该木马数据中的客户端地址信息。本地木马数据存储在木马程序的配置文件中,本实施例通过判断配置文件与木马程序是否相匹配来获取存储有本地木马数据的配置文件。
在服务端识别步骤中,获取本地木马数据后,先执行本地文件定位步骤,该本地文件定位步骤包括如下步骤:
发包进程获取步骤,获取向查找到的客户端地址发包的进程;
HOOK处理步骤,对该进程中所有的网络发包API函数进行HOOK处理;
进程监控步骤,获取该进程随后的发包地址,判断该进程是否又向上述客户端地址发包是否查找到的客户端地址;
木马文件识别步骤,若识别到该进程之后又向上述客户端地址发包,则对经过HOOK处理的API函数进行堆栈分析,得到调用该经过HOOK处理的API函数的文件,该文件即木马文件。
通过上述本地文件定位步骤可以准确定位到木马程序文件的位置,有利于彻底删除木马文件,保证安全性。
二、客户端判断步骤,根据识别到的客户端地址信息读取该客户端数据,判断该客户端是否存在与获取的本地木马数据一致的数据。
若客户端判断步骤的判断结果为否,则先判断该客户端地址信息是否为邮箱地址,若判断结果为是,就直接读取该邮箱登录地址信息来识别木马源;若判断客户端地址信息不是邮箱地址,再执行木马源追查步骤。
若客户端判断步骤的判断结果为是,则在执行木马源追查步骤之前先执行如下客户端追溯步骤:设定该客户端为中间服务端,在该中间服务端执行服务端识别步骤,获取与该中间服务端对应的客户端地址信息,然后根据本次获取的客户端地址信息执行客户端判断步骤,循环执行上述客户端追溯步骤直到客户端判断步骤的判断结果为否,再执行木马源追查步骤。
三、木马源追查步骤,查找该客户端从服务端获取的信息的存储地址,根据该存储地址的访问日志来识别木马源。其中,存储地址为本地存储单元或者网络空间。
在木马源追查步骤中,根据该存储地址的访问日志来识别木马源是指:监测该存储地址的访问日志,若识别到有IP地址从该存储地址获取信息的行为满足预设的条件,则标记该IP地址为疑似木马源。其中,预设的条件是指:从该存储地址获取信息的次数和/或频率达到预设值A;或者从该存储地址中读取与该客户端从服务端获取的信息格式一致的信息,且的次数和/或频率达到预设值B。
在网络服务器上部署木马源追溯系统,获取被植入木马的服务端的本地木马数据,通过分析本地木马数据的内容找到控制或者试图控制该服务端的客户端地址信息,然后顺着客户端地址信息找到该客户端,对客户端的数据进行分析。如果判断得到该客户端没有被植入与上述服务端一样的木马,那么这个客户端很有可能是植入木马的犯罪分子使用的主机,犯罪分子一定需要对该客户端从服务端获取的信息进行处理,因此,可以通过分析上述信息的存储地址的访问日志来识别犯罪分子,找到犯罪分子使用的IP地址,也就找到了木马源。

Claims (10)

1.用于追溯木马源的计算机可读存储介质,其存储有计算机程序,该计算机程序被处理器执行时实现以下步骤:
服务端识别步骤,其获取被植入木马的服务端的本地木马数据,识别该木马数据中的客户端地址信息;
客户端判断步骤,其根据识别到的客户端地址信息读取该客户端数据,判断该客户端是否存在与获取的本地木马数据一致的数据,若判断结果为否,则执行木马源追查步骤;
木马源追查步骤,其查找该客户端从服务端获取的信息的存储地址,根据该存储地址的访问日志来识别木马源。
2.根据权利要求1所述的用于追溯木马源的计算机可读存储介质,其特征在于,若客户端判断步骤的判断结果为是,则在执行木马源追查步骤之前先执行如下客户端追溯步骤:设定该客户端为中间服务端,在该中间服务端执行服务端识别步骤,获取与该中间服务端对应的客户端地址信息,然后根据本次获取的客户端地址信息执行客户端判断步骤,循环执行上述客户端追溯步骤直到客户端判断步骤的判断结果为否,则执行木马源追查步骤。
3.根据权利要求1所述的用于追溯木马源的计算机可读存储介质,其特征在于,在木马源追查步骤中,根据该存储地址的访问日志来识别木马源是指:监测该存储地址的访问日志,若识别到有IP地址从该存储地址获取信息的行为满足预设的条件,则标记该IP地址为疑似木马源。
4.根据权利要求3所述的用于追溯木马源的计算机可读存储介质,其特征在于,所述预设的条件是指:从该存储地址获取信息的次数和/或频率达到预设值A。
5.根据权利要求3所述的用于追溯木马源的计算机可读存储介质,其特征在于,所述预设的条件是指:从该存储地址中读取与该客户端从服务端获取的信息格式一致的信息,且读取上述信息的次数和/或频率达到预设值B。
6.根据权利要求1所述的用于追溯木马源的计算机可读存储介质,其特征在于,所述存储地址为本地存储单元或者网络空间。
7.根据权利要求1所述的用于追溯木马源的计算机可读存储介质,其特征在于,若客户端判断步骤的判断结果为否,则在执行木马源追查步骤之前先判断该客户端地址信息是否为邮箱地址,若判断结果为是,则跳过木马源追查步骤,直接读取该邮箱的登录地址信息来识别木马源。
8.根据权利要求1所述的用于追溯木马源的计算机可读存储介质,其特征在于,本地木马数据存储在木马程序的配置文件中,在服务端识别步骤中,通过判断配置文件与木马程序是否相匹配来获取存储有本地木马数据的配置文件。
9.根据权利要求1所述的用于追溯木马源的计算机可读存储介质,其特征在于,在所述服务端识别步骤中,获取本地木马数据后,先执行本地文件定位步骤,该本地文件定位步骤包括如下步骤:
发包进程获取步骤,其获取向查找到的客户端地址发包的进程;
HOOK处理步骤,其对该进程中所有的网络发包API函数进行HOOK处理;
进程监控步骤,其获取该进程随后的发包地址,判断该进程是否又向上述客户端地址发包;
木马文件识别步骤,若识别到该进程之后又向上述客户端地址发包,则对经过HOOK处理的API函数进行堆栈分析,得到调用该经过HOOK处理的API函数的文件,该文件即木马文件。
10.木马源追溯系统,包括处理器,其特征在于,还包括如权利要求1~9中任一项所述计算机可读存储介质,该计算机可读存储介质上的计算机程序可被处理器执行。
CN201711488480.0A 2017-12-30 2017-12-30 用于追溯木马源的计算机可读存储介质和应用该介质的木马源追溯系统 Active CN108234484B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201711488480.0A CN108234484B (zh) 2017-12-30 2017-12-30 用于追溯木马源的计算机可读存储介质和应用该介质的木马源追溯系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201711488480.0A CN108234484B (zh) 2017-12-30 2017-12-30 用于追溯木马源的计算机可读存储介质和应用该介质的木马源追溯系统

Publications (2)

Publication Number Publication Date
CN108234484A true CN108234484A (zh) 2018-06-29
CN108234484B CN108234484B (zh) 2021-01-19

Family

ID=62647422

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201711488480.0A Active CN108234484B (zh) 2017-12-30 2017-12-30 用于追溯木马源的计算机可读存储介质和应用该介质的木马源追溯系统

Country Status (1)

Country Link
CN (1) CN108234484B (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108566380A (zh) * 2018-03-15 2018-09-21 国家计算机网络与信息安全管理中心四川分中心 一种代理上网行为识别与检测方法
CN110868410A (zh) * 2019-11-11 2020-03-06 恒安嘉新(北京)科技股份公司 获取网页木马连接密码的方法、装置、电子设备、及存储介质
CN114244600A (zh) * 2021-12-15 2022-03-25 杭州默安科技有限公司 一种干扰恶意程序的方法

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101820419A (zh) * 2010-03-23 2010-09-01 北京大学 一种挂马网页中网页木马挂接点自动定位方法
US8176556B1 (en) * 2008-10-31 2012-05-08 Symantec Corporation Methods and systems for tracing web-based attacks
CN103763324A (zh) * 2014-01-23 2014-04-30 珠海市君天电子科技有限公司 一种病毒程序传播设备监控的方法以及服务器
CN105391674A (zh) * 2014-09-04 2016-03-09 腾讯科技(深圳)有限公司 一种信息处理方法及系统、服务器、客户端
CN105930740A (zh) * 2016-04-15 2016-09-07 重庆鑫合信科技有限公司 软体文件被修改时的来源追溯方法、监测方法、还原方法及系统
CN107135187A (zh) * 2016-02-29 2017-09-05 阿里巴巴集团控股有限公司 网络攻击的防控方法、装置及系统
CN107181719A (zh) * 2016-03-10 2017-09-19 阿里巴巴集团控股有限公司 一种木马程序的检测方法和装置
CN107423325A (zh) * 2017-04-07 2017-12-01 杭州安恒信息技术有限公司 一种追溯网页篡改行为源的方法

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8176556B1 (en) * 2008-10-31 2012-05-08 Symantec Corporation Methods and systems for tracing web-based attacks
CN101820419A (zh) * 2010-03-23 2010-09-01 北京大学 一种挂马网页中网页木马挂接点自动定位方法
CN103763324A (zh) * 2014-01-23 2014-04-30 珠海市君天电子科技有限公司 一种病毒程序传播设备监控的方法以及服务器
CN105391674A (zh) * 2014-09-04 2016-03-09 腾讯科技(深圳)有限公司 一种信息处理方法及系统、服务器、客户端
CN107135187A (zh) * 2016-02-29 2017-09-05 阿里巴巴集团控股有限公司 网络攻击的防控方法、装置及系统
CN107181719A (zh) * 2016-03-10 2017-09-19 阿里巴巴集团控股有限公司 一种木马程序的检测方法和装置
CN105930740A (zh) * 2016-04-15 2016-09-07 重庆鑫合信科技有限公司 软体文件被修改时的来源追溯方法、监测方法、还原方法及系统
CN107423325A (zh) * 2017-04-07 2017-12-01 杭州安恒信息技术有限公司 一种追溯网页篡改行为源的方法

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108566380A (zh) * 2018-03-15 2018-09-21 国家计算机网络与信息安全管理中心四川分中心 一种代理上网行为识别与检测方法
CN108566380B (zh) * 2018-03-15 2020-08-28 国家计算机网络与信息安全管理中心四川分中心 一种代理上网行为识别与检测方法
CN110868410A (zh) * 2019-11-11 2020-03-06 恒安嘉新(北京)科技股份公司 获取网页木马连接密码的方法、装置、电子设备、及存储介质
CN110868410B (zh) * 2019-11-11 2022-05-10 恒安嘉新(北京)科技股份公司 获取网页木马连接密码的方法、装置、电子设备、及存储介质
CN114244600A (zh) * 2021-12-15 2022-03-25 杭州默安科技有限公司 一种干扰恶意程序的方法
CN114244600B (zh) * 2021-12-15 2023-11-24 杭州默安科技有限公司 一种干扰恶意程序的方法

Also Published As

Publication number Publication date
CN108234484B (zh) 2021-01-19

Similar Documents

Publication Publication Date Title
CN107204960B (zh) 网页识别方法及装置、服务器
US9614862B2 (en) System and method for webpage analysis
US20170034203A1 (en) Method and apparatus for detecting website security
CN103607413B (zh) 一种网站后门程序检测的方法及装置
US9003537B2 (en) CVSS information update by analyzing vulnerability information
CN107688743B (zh) 一种恶意程序的检测分析方法及系统
CN107612924A (zh) 基于无线网络入侵的攻击者定位方法及装置
US20130198391A1 (en) System And Method For Main Page Identification In Web Decoding
CN105357221A (zh) 识别钓鱼网站的方法及装置
CN107786537B (zh) 一种基于互联网交叉搜索的孤页植入攻击检测方法
CN109657431B (zh) 用于识别用户身份的方法
CN108234484A (zh) 用于追溯木马源的计算机可读存储介质和应用该介质的木马源追溯系统
CN108418777A (zh) 一种钓鱼邮件检测方法、装置及系统
US20190268373A1 (en) System, method, apparatus, and computer program product to detect page impersonation in phishing attacks
CN106230835B (zh) 基于Nginx日志分析和IPTABLES转发的反恶意访问的方法
CN111371757B (zh) 恶意通信检测方法、装置、计算机设备和存储介质
CN111835781B (zh) 一种基于失陷主机发现同源攻击的主机的方法及系统
CN107566401A (zh) 虚拟化环境的防护方法及装置
CN114650176A (zh) 钓鱼网站的检测方法、装置、计算机设备及存储介质
CN110705603B (zh) 动态判断用户请求数据相似度的方法及系统
CN108040036A (zh) 一种行业云Webshell安全防护方法
CN114461864A (zh) 一种告警溯源方法和装置
CN105187439A (zh) 钓鱼网站检测方法及装置
CN111683089B (zh) 一种识别钓鱼网站的方法、服务器、介质及计算机设备
CN112822200A (zh) 一种物联网数据安全防护方法、装置及服务器

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant