CN113992442B - 一种木马连通成功检测方法及装置 - Google Patents
一种木马连通成功检测方法及装置 Download PDFInfo
- Publication number
- CN113992442B CN113992442B CN202111615453.1A CN202111615453A CN113992442B CN 113992442 B CN113992442 B CN 113992442B CN 202111615453 A CN202111615453 A CN 202111615453A CN 113992442 B CN113992442 B CN 113992442B
- Authority
- CN
- China
- Prior art keywords
- request
- illegal
- communication
- data
- address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请实施例提供一种木马连通成功检测方法及装置,涉及网络安全技术领域,该木马连通成功检测方法包括:先获取目标组织的所有请求数据;识别所有请求数据中的非法请求,其中,非法请求为本地主机的木马发出的请求;然后根据非法请求的请求类型判断是否能够提取到满足预设连通成功条件的通信特征;如果是,则确定非法请求对应的本地主机的木马连通成功可见,该方法能够及时检测木马请求,同时还能够对检测到的木马请求进行连通成功的准确判定。
Description
技术领域
本申请涉及网络安全技术领域,具体而言,涉及一种木马连通成功检测方法及装置。
背景技术
随着信息技术的飞速发展,计算机和网络已成为日常办公、通讯交流和协作互动的必备工具和途径。网络安全作为信息安全领域中的重要课题,正越来越受到关注。现有的木马检测方法,通常只是识别机器上是否有木马对外发送了请求,而对木马对外发出的请求是否连通成功并未做出准确的判断。可见,现有方法无法检测木马是否连通成功。
发明内容
本申请实施例的目的在于提供一种木马连通成功检测方法及装置,能够及时检测木马请求,同时还能够对检测到的木马请求进行连通成功的准确判定。
本申请实施例第一方面提供了一种木马连通成功检测方法,包括:
获取目标组织的所有请求数据;
识别所述所有请求数据中的非法请求,其中,所述非法请求为本地主机的木马发出的请求;
根据所述非法请求的请求类型判断是否能够提取到满足预设连通成功条件的通信特征;
如果是,则确定所述非法请求对应的本地主机的木马连通成功。
在上述实现过程中,先获取目标组织的所有请求数据;识别所有请求数据中的非法请求,其中,非法请求为本地主机的木马发出的请求;然后根据非法请求的请求类型判断是否能够提取到满足预设连通成功条件的通信特征;如果是,则确定非法请求对应的本地主机的木马连通成功可见,该方法能够及时检测木马请求,同时还能够对检测到的木马请求进行连通成功的准确判定。
进一步地,所述识别所述所有请求数据中的非法请求,包括:
依据预先配置的组织内部地址识别所述所有请求数据中非内部地址发出的目标请求集合;
根据预设的本地情报库检测所述目标请求集合中是否存在本地主机的木马发出的请求;
如果是,从所述目标请求集合中确定本地主机的木马发出的请求,得到非法请求。
进一步地,根据所述非法请求的请求类型判断是否能够提取到满足预设连通成功条件的通信特征,包括:
当所述非法请求为请求非法地址类型时,根据非法请求获取传输层协议、发送所述非法请求的主机地址和所述非法请求所请求的非法地址;
根据所述传输层协议,获取所述主机地址和所述非法地址之间的通信数据;
判断所述通信数据是否包括满足预设连通成功条件的目标数据;
如果是,则执行所述的确定所述非法请求对应的本地主机的木马连通成功。
进一步地,判断所述通信数据是否包括满足预设连通成功条件的目标数据,包括:
当所述传输层协议为TCP协议时,判断所述主机地址和所述非法地址之间的通信数据是否包括满足预设连通成功条件的数据;其中,预设连通成功条件包括当所述传输层协议为TCP协议时,所述通信数据中存在所述主机地址和所述非法地址的TCP协议三次握手数据;
如果包括,则确定所述通信数据包括满足所述预设连通成功条件的目标数据,所述目标数据为所述通信数据中存在所述主机地址和所述非法地址的TCP协议三次握手数据;
如果不包括,则确定所述通信数据不包括满足所述预设连通成功条件的目标数据。
进一步地,所述判断所述通信数据是否包括满足预设连通成功条件的目标数据,包括:
当所述传输层协议为UDP协议时,判断所述主机地址和所述非法地址之间的通信数据是否包括满足预设连通成功条件的数据;其中,所述预设连通成功条件还包括当所述传输层协议为UDP协议时,所述通信数据包括所述主机地址和所述非法地址之间的交互数据包;
如果包括,则确定所述通信数据包括满足所述预设连通成功条件的目标数据,所述目标数据为所述交互数据包;
如果不包括,则确定所述通信数据不包括满足所述预设连通成功条件的目标数据。
进一步地,所述根据所述非法请求的请求类型判断是否能够提取到满足预设连通成功条件的通信特征,还包括:
当所述非法请求为请求域名类型时,获取所述非法请求所请求的域名信息;
根据所述非法请求所请求的域名信息,获取域名服务端针对所述非法请求反馈的非法地址,并对发出所述非法请求的重点监控主机进行通信活动追踪,得到通信追踪数据;
根据所述通信追踪数据检测所述重点监控主机发出的请求非法地址类型的非法请求,并执行所述的当所述非法请求为请求非法地址类型时,根据非法请求获取传输层协议、发送所述非法请求的主机地址和所述非法请求所请求的非法地址。
进一步地,在识别所述所有请求数据中的非法请求之后,包括:
获取所述非法请求所发送的目的地址;
向所述目的地址发送阻断数据包进行通信阻断处理;
或者,将所述目的地址添加至所述本地主机的防火墙配置中,以使所述本地主机对发送给所述目的地址的请求进行拦截。
本申请实施例第二方面提供了一种木马连通成功检测装置,所述木马连通成功检测装置包括:
获取单元,用于获取目标组织的所有请求数据;
识别单元,用于识别所述所有请求数据中的非法请求,其中,所述非法请求为本地主机的木马发出的请求;
连通成功判断单元,用于根据所述非法请求的请求类型判断是否能够提取到满足预设连通成功条件的通信特征;
确定单元,用于当判断出能够提取到满足所述预设连通成功条件的通信特征时,则确定所述非法请求对应的本地主机的木马连通成功。
在上述实现过程中,获取单元获取目标组织的所有请求数据;识别单元识别所有请求数据中的非法请求,其中,非法请求为本地主机的木马发出的请求;连通成功判断单元根据非法请求的请求类型判断是否能够提取到满足预设连通成功条件的通信特征;确定单元当判断出能够提取到满足预设连通成功条件的通信特征时,则确定非法请求对应的本地主机的木马连通成功,能够及时检测木马请求,同时还能够对检测到的木马请求进行连通成功的准确判定。
本申请实施例第三方面提供了一种电子设备,包括存储器以及处理器,所述存储器用于存储计算机程序,所述处理器运行所述计算机程序以使所述电子设备执行本申请实施例第一方面中任一项所述的木马连通成功检测方法。
本申请实施例第四方面提供了一种计算机可读存储介质,其存储有计算机程序指令,所述计算机程序指令被一处理器读取并运行时,执行本申请实施例第一方面中任一项所述的木马连通成功检测方法。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例提供的一种木马连通成功检测方法的流程示意图;
图2为本申请实施例提供的一种木马连通成功检测装置的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。同时,在本申请的描述中,术语“第一”、“第二”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
实施例1
请参看图1,图1为本申请实施例提供了一种木马连通成功检测方法的流程示意图。其中,该木马连通成功检测方法包括:
S101、获取目标组织的所有请求数据。
本申请实施例中,该所有请求数据可以包括TCP(传输控制协议,TransmissionControl Protocol)请求数据、UDP(用户数据包协议,User Datagram Protocol)请求数据等,对此本申请实施例不作限定。
本申请实施例中,该方法的执行主体可以为计算机、服务器等计算装置,对此本实施例中不作任何限定。
S102、识别所有请求数据中的非法请求,其中,非法请求为本地主机的木马发出的请求,当非法请求为请求域名类型时,执行步骤S103~步骤S107;或者当非法请求为请求非法地址类型时,执行步骤S106~步骤S107。
本申请实施例中,木马即木马病毒,是指隐藏在正常程序中的一段具有特殊功能的恶意代码,是具备破坏和删除文件、发送密码、记录键盘和攻击Dos等特殊功能的后门程序。木马病毒其实是计算机黑客用于远程控制计算机的程序,将控制程序寄生于被控制的计算机系统中,里应外合,对被感染木马病毒的计算机实施操作。一般的木马病毒程序主要是寻找计算机后门,伺机窃取被控计算机中的密码和重要文件等。可以对被控计算机实施监控、资料修改等非法操作。木马病毒具有很强的隐蔽性,可以根据黑客意图突然发起攻击。
作为一种可选的实施方式,识别所有请求数据中的非法请求,包括:
依据预先配置的组织内部地址识别所有请求数据中非内部地址发出的目标请求集合;
根据预设的本地情报库检测目标请求集合中是否存在本地主机的木马发出的请求;
如果是,从目标请求集合中确定本地主机的木马发出的请求,得到非法请求。
在上述实施方式中,组织内部地址包括目标组织内部主机的IP地址等,对此本申请实施例不作限定。
在上述实施方式中,依据预先配置的组织内部地址,能够识出非内部地址发出的目标请求集合,针对非内部地址发出的目标请求集合进行过滤可以减少检测的流量,同时又能减少相应的误报,最终能提升整个检测系统的准确性和高效性。
在上述实施方式中,依据预先配置的组织内部地址识别所有请求数据中非内部地址发出的目标请求集合,可以通过下列代码逻辑实现:
if !IsHomeNet(srcIp) {
return
}
作为一种可选的实施方式,在识别所有请求数据中的非法请求之后,包括:
获取非法请求所发送的目的地址;
向目的地址发送阻断数据包进行通信阻断处理;
或者,将目的地址添加至本地主机的防火墙配置中,以使本地主机对发送给目的地址的请求进行拦截。
在上述实施方式中,可通过预先进行阻断配置,配置是否对非法请求进行阻断拦截,如果预先配置了自动阻断功能,则在发现有木马发出非法请求连接后,进行立即阻断。
在上述实施方式中,阻断的方式有两种,一种阻断的方式为向目的地址发送阻断数据包进行通信阻断处理,即给目的地址发送阻断数据包(例如rest包),以达到直接阻断的目的。
在上述实施方式中,另一种方式是将目的地址添加至本地主机的防火墙配置中,以使本地主机对发送给目的地址的请求进行拦截,即把非法目的地址加入本地防火墙配置中,对本地主机发送给该非地址的请求进行拦截。
本申请实施例中,在对流量中的请求信息进行非法请求判断,判断该请求是否为本地主机木马发出,在初步锁定为非法请求后,如果发现此次请求为请求非法地址类型时,则执行步骤S106~步骤S113进行直接分析,如果此次请求为请求域名类型时,则执行步骤S103~步骤S113。
在步骤S103之后,还包括以下步骤:
S103、当非法请求为请求域名类型时,获取非法请求所请求的域名信息。
S104、根据非法请求所请求的域名信息,获取域名服务端针对非法请求反馈的非法地址,并对发出非法请求的重点监控主机进行通信活动追踪,得到通信追踪数据。
S105、根据通信追踪数据检测重点监控主机发出的请求非法地址类型的非法请求,并执行步骤S106。
本申请实施例中,当非法请求为请求域名类型时,保存DNS服务器(即域名服务端)返回的非法地址,并对该非法地址的后续活动进行追踪,如果发现该主机后续对该非法地址有请求,则立即执行步骤S106~步骤S113进行直接分析。
本申请实施例中,实施上述步骤S103~步骤S105,能够根据非法请求的请求类型判断是否能够提取到满足预设连通成功条件的通信特征。
S106、当非法请求为请求非法地址类型时,根据非法请求获取传输层协议、发送非法请求的主机地址和非法请求所请求的非法地址。
S107、根据传输层协议,获取主机地址和非法地址之间的通信数据,当传输层协议为TCP协议时,执行步骤S108~步骤S110,当传输层协议为UDP协议时,执行步骤S111~步骤S113。
本申请实施例中,当非法请求为请求非法地址类型时,该非法请求传输层协议有两种,一种是TCP协议,另一种是UDP协议,针对这两种不通的传输层协议,获取响应的获取主机地址和非法地址之间的通信数据,并根据该通信数据进行木马是否连通判定。
S108、当传输层协议为TCP协议时,判断主机地址和非法地址之间的通信数据是否包括满足预设连通成功条件的数据,如果是,则执行步骤S109;如果否,执行步骤S110。
本申请实施例中,预设连通成功条件包括当传输层协议为TCP协议时,通信数据中存在主机地址和非法地址的TCP协议三次握手数据。
本申请实施例中,如果传输层协议是TCP协议,则根据通信数据的流量信息详情,判断通信数据中是否包含主机地址和非法地址的TCP协议三次握手数据,即是否包括发送非法请求的主机和该非法地址的TCP传输层协议三次握手信息,如果包括则认为该木马连通成功。
S109、确定通信数据包括满足预设连通成功条件的目标数据,目标数据为通信数据中存在主机地址和非法地址的TCP协议三次握手数据,并执行步骤S114。
S110、确定通信数据不包括满足预设连通成功条件的目标数据,并执行步骤S115。
本申请实施例中,实施上述步骤S108~步骤S110,能够在传输层协议为TCP协议时,判断通信数据是否包括满足预设连通成功条件的目标数据。
S111、当传输层协议为UDP协议时,判断主机地址和非法地址之间的通信数据是否包括满足预设连通成功条件的数据,如果是,执行步骤S112;如果否,执行步骤S113。
本申请实施例中,预设连通成功条件还包括当传输层协议为UDP协议时,通信数据包括主机地址和非法地址之间的交互数据包。
本申请实施例中,如果传输层协议是UDP协议,则根据通信数据的流量信息详情,判断主机地址和非法地址之间的通信数据是否包括满足预设连通成功条件的数据,即判断发送非法请求的主机和非法地址有相互来回发送包,则判定该木马连通成功。
S112、确定通信数据包括满足预设连通成功条件的目标数据,目标数据为交互数据包,并执行步骤S114。
S113、确定通信数据不包括满足预设连通成功条件的目标数据,并执行步骤S115。
本申请实施例中,实施上述步骤S108~步骤S110,能够当传输层协议为UDP协议时,判断通信数据是否包括满足预设连通成功条件的目标数据。
S114、确定非法请求对应的本地主机的木马连通成功,并结束本流程。
作为一种可选的实施方式,当判断出木马连通成功时,还可以包括以下步骤:
确定发送非法请求的主机地址;
输出包括非法请求、非法地址以及主机地址的木马连通成功提示信息。
作为进一步可选的实施方式,还可以包括以下步骤:
根据非法请求、非法地址以及主机地址匹配相应的木马处理策略;
根据该木马处理策略进行木马连通阻断处理。
S115、确定非法请求对应的本地主机的木马未连通成功。
本申请实施例中,该方法主要针对目标组织(如企业、单位)的流量进行检测,分析是否有木马连通请求,并能够检测出木马是否连通成功,同时作出及时的响应。
本申请实施例中,该方法能够在服务分布式部署的环境下,进行全流量的检测,能识别用户的电脑和服务器等设备是否有木马对外请求成功,同时能对此次请求进行及时的响应和处置,帮助企业、单位和用户能准确的发现是否遭受木马攻击并是否被攻击成功,同时又能帮助用户拦截相应的攻击,给用户尽可能降低木马请求带来的危害。
本申请实施例中,该方法可应用于分布式木马检测部署场景中,能够发现本地主机木马对外发出的请求是否连通成功,同时能对相应的木马请求进行及时的响应和处置。
可见,实施本实施例所描述的木马连通成功检测方法,能够及时检测木马请求,同时还能够对检测到的木马请求进行连通成功的准确判定。
实施例2
请参看图2,图2为本申请实施例提供的一种木马连通成功检测装置的结构示意图。如图2所示,该木马连通成功检测装置包括:
获取单元210,用于获取目标组织的所有请求数据;
识别单元220,用于识别所有请求数据中的非法请求,其中,非法请求为本地主机的木马发出的请求;
连通成功判断单元230,用于根据非法请求的请求类型判断是否能够提取到满足预设连通成功条件的通信特征;
确定单元240,用于当判断出能够提取到满足预设连通成功条件的通信特征时,则确定非法请求对应的本地主机的木马连通成功。
作为一种可选的实施方式,识别单元220包括:
识别子单元221,用于依据预先配置的组织内部地址识别所有请求数据中非内部地址发出的目标请求集合;
检测子单元222,用于根据预设的本地情报库检测目标请求集合中是否存在本地主机的木马发出的请求;
确定子单元223,用于当判断出存在本地的木马发出的请求时,从目标请求集合中确定本地主机的木马发出的请求,得到非法请求。
作为一种可选的实施方式,连通成功判断单元230包括:
第一获取子单元231,用于当非法请求为请求非法地址类型时,根据非法请求获取传输层协议、发送非法请求的主机地址和非法请求所请求的非法地址;以及根据传输层协议,获取主机地址和非法地址之间的通信数据;
判断子单元232,用于判断通信数据是否包括满足预设连通成功条件的目标数据;
确定子单元233,用于当判断出包括目标数据时,则确定非法请求对应的本地主机的木马连通成功。
作为一种可选的实施方式,判断子单元232包括:
第一模块,用于当传输层协议为TCP协议时,判断主机地址和非法地址之间的通信数据是否包括满足预设连通成功条件的数据;其中,预设连通成功条件包括当传输层协议为TCP协议时,通信数据中存在主机地址和非法地址的TCP协议三次握手数据;
第二模块,用于在判断出包括满足预设连通成功条件的数据时,则确定通信数据包括满足预设连通成功条件的目标数据,目标数据为通信数据中存在主机地址和非法地址的TCP协议三次握手数据;以及在判断出不包括满足预设连通成功条件的数据时,则确定通信数据不包括满足预设连通成功条件的目标数据。
作为一种可选的实施方式,判断子单元232还包括:
第三模块,用于当传输层协议为UDP协议时,判断主机地址和非法地址之间的通信数据是否包括满足预设连通成功条件的数据;其中,预设连通成功条件还包括当传输层协议为UDP协议时,通信数据包括主机地址和非法地址之间的交互数据包;
第四模块,用于在判断出包括满足预设连通成功条件的数据时,则确定通信数据包括满足预设连通成功条件的目标数据,目标数据为交互数据包;以及在判断出不包括满足预设连通成功条件的数据时,则确定通信数据不包括满足预设连通成功条件的目标数据。
作为一种可选的实施方式,连通成功判断单元230,还包括:
第二获取子单元234,用于当非法请求为请求域名类型时,获取非法请求所请求的域名信息;以及根据非法请求所请求的域名信息,获取域名服务端针对非法请求反馈的非法地址,并对发出非法请求的重点监控主机进行通信活动追踪,得到通信追踪数据;根据通信追踪数据检测重点监控主机发出的请求非法地址类型的非法请求,触发第一获取子单元231根据非法请求获取传输层协议、发送非法请求的主机地址和非法请求所请求的非法地址。
作为一种可选的实施方式,该木马连通成功检测装置还包括:
地址获取单元250,用于在识别所有请求数据中的非法请求之后,获取非法请求所发送的目的地址;
本申请实施例中,识别单元220在识别到所有请求数据中的非法请求之后,还可以触发阻断单元260获取非法请求所发送的目的地址。
阻断单元260,用于向目的地址发送阻断数据包进行通信阻断处理。
添加单元270,用于将目的地址添加至本地主机的防火墙配置中,以使本地主机对发送给目的地址的请求进行拦截。
本申请实施例中,地址获取单元250,用于在识别所有请求数据中的非法请求之后,获取非法请求所发送的目的地址之后,还可以触发添加单元270将目的地址添加至本地主机的防火墙配置中,以使本地主机对发送给目的地址的请求进行拦截。
本申请实施例中,对于木马连通成功检测装置的解释说明可以参照实施例1中的描述,对此本实施例中不再多加赘述。
可见,实施本实施例所描述的木马连通成功检测装置,能够及时检测木马请求,同时还能够对检测到的木马请求进行连通成功的准确判定。
本申请实施例提供了一种电子设备,包括存储器以及处理器,所述存储器用于存储计算机程序,所述处理器运行所述计算机程序以使所述电子设备执行本申请实施例1中的木马连通成功检测方法。
本申请实施例提供了一种计算机可读存储介质,其存储有计算机程序指令,所述计算机程序指令被一处理器读取并运行时,执行本申请实施例1中的木马连通成功检测方法。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,附图中的流程图和框图显示了根据本申请的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
另外,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅为本申请的实施例而已,并不用于限制本申请的保护范围,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应所述以权利要求的保护范围为准。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
Claims (7)
1.一种木马连通成功检测方法,其特征在于,包括:
获取目标组织的所有请求数据;
识别所述所有请求数据中的非法请求,其中,所述非法请求为本地主机的木马发出的请求;
根据所述非法请求的请求类型判断是否能够提取到满足预设连通成功条件的通信特征;
如果是,则确定所述非法请求对应的本地主机的木马连通成功;
根据所述非法请求的请求类型判断是否能够提取到满足预设连通成功条件的通信特征,包括:
当所述非法请求为请求非法地址类型时,根据非法请求获取传输层协议、发送所述非法请求的主机地址和所述非法请求所请求的非法地址;
根据所述传输层协议,获取所述主机地址和所述非法地址之间的通信数据;
判断所述通信数据是否包括满足预设连通成功条件的目标数据;
如果是,则执行所述的确定所述非法请求对应的本地主机的木马连通成功;
其中,判断所述通信数据是否包括满足预设连通成功条件的目标数据,包括:
当所述传输层协议为TCP协议时,判断所述主机地址和所述非法地址之间的通信数据是否包括满足预设连通成功条件的数据;其中,预设连通成功条件包括当所述传输层协议为TCP协议时,所述通信数据中存在所述主机地址和所述非法地址的TCP协议三次握手数据;
如果包括,则确定所述通信数据包括满足所述预设连通成功条件的目标数据,所述目标数据为所述通信数据中存在所述主机地址和所述非法地址的TCP协议三次握手数据;
如果不包括,则确定所述通信数据不包括满足所述预设连通成功条件的目标数据;
其中,所述判断所述通信数据是否包括满足预设连通成功条件的目标数据,包括:
当所述传输层协议为UDP协议时,判断所述主机地址和所述非法地址之间的通信数据是否包括满足预设连通成功条件的数据;其中,所述预设连通成功条件还包括当所述传输层协议为UDP协议时,所述通信数据包括所述主机地址和所述非法地址之间的交互数据包;
如果包括,则确定所述通信数据包括满足所述预设连通成功条件的目标数据,所述目标数据为所述交互数据包;
如果不包括,则确定所述通信数据不包括满足所述预设连通成功条件的目标数据。
2.根据权利要求1所述的木马连通成功检测方法,其特征在于,所述识别所述所有请求数据中的非法请求,包括:
依据预先配置的组织内部地址识别所述所有请求数据中非内部地址发出的目标请求集合;
根据预设的本地情报库检测所述目标请求集合中是否存在本地主机的木马发出的请求;
如果是,从所述目标请求集合中确定本地主机的木马发出的请求,得到非法请求。
3.根据权利要求1所述的木马连通成功检测方法,其特征在于,所述根据所述非法请求的请求类型判断是否能够提取到满足预设连通成功条件的通信特征,还包括:
当所述非法请求为请求域名类型时,获取所述非法请求所请求的域名信息;
根据所述非法请求所请求的域名信息,获取域名服务端针对所述非法请求反馈的非法地址,并对发出所述非法请求的重点监控主机进行通信活动追踪,得到通信追踪数据;
根据所述通信追踪数据检测所述重点监控主机发出的请求非法地址类型的非法请求,并执行所述的当所述非法请求为请求非法地址类型时,根据非法请求获取传输层协议、发送所述非法请求的主机地址和所述非法请求所请求的非法地址。
4.根据权利要求1所述的木马连通成功检测方法,其特征在于,在识别所述所有请求数据中的非法请求之后,所述方法还包括:
获取所述非法请求所发送的目的地址;
向所述目的地址发送阻断数据包进行通信阻断处理;
或者,将所述目的地址添加至所述本地主机的防火墙配置中,以使所述本地主机对发送给所述目的地址的请求进行拦截。
5.一种木马连通成功检测装置,其特征在于,所述木马连通成功检测装置包括:
获取单元,用于获取目标组织的所有请求数据;
识别单元,用于识别所述所有请求数据中的非法请求,其中,所述非法请求为本地主机的木马发出的请求;
连通成功判断单元,用于根据所述非法请求的请求类型判断是否能够提取到满足预设连通成功条件的通信特征;
确定单元,用于当判断出能够提取到满足所述预设连通成功条件的通信特征时,则确定所述非法请求对应的本地主机的木马连通成功;
连通成功判断单元包括:
第一获取子单元,用于当非法请求为请求非法地址类型时,根据非法请求获取传输层协议、发送非法请求的主机地址和非法请求所请求的非法地址;以及根据传输层协议,获取主机地址和非法地址之间的通信数据;
判断子单元,用于判断通信数据是否包括满足预设连通成功条件的目标数据;
确定子单元,用于当判断出包括目标数据时,则确定非法请求对应的本地主机的木马连通成功;
其中,判断子单元包括:
第一模块,用于当传输层协议为TCP协议时,判断主机地址和非法地址之间的通信数据是否包括满足预设连通成功条件的数据;其中,预设连通成功条件包括当传输层协议为TCP协议时,通信数据中存在主机地址和非法地址的TCP协议三次握手数据;
第二模块,用于在判断出包括满足预设连通成功条件的数据时,则确定通信数据包括满足预设连通成功条件的目标数据,目标数据为通信数据中存在主机地址和非法地址的TCP协议三次握手数据;以及在判断出不包括满足预设连通成功条件的数据时,则确定通信数据不包括满足预设连通成功条件的目标数据;
其中,判断子单元还包括:
第三模块,用于当传输层协议为UDP协议时,判断主机地址和非法地址之间的通信数据是否包括满足预设连通成功条件的数据;其中,预设连通成功条件还包括当传输层协议为UDP协议时,通信数据包括主机地址和非法地址之间的交互数据包;
第四模块,用于在判断出包括满足预设连通成功条件的数据时,则确定通信数据包括满足预设连通成功条件的目标数据,目标数据为交互数据包;以及在判断出不包括满足预设连通成功条件的数据时,则确定通信数据不包括满足预设连通成功条件的目标数据。
6.一种电子设备,其特征在于,所述电子设备包括存储器以及处理器,所述存储器用于存储计算机程序,所述处理器运行所述计算机程序以使所述电子设备执行权利要求1至4中任一项所述的木马连通成功检测方法。
7.一种可读存储介质,其特征在于,所述可读存储介质中存储有计算机程序指令,所述计算机程序指令被一处理器读取并运行时,执行权利要求1至4任一项所述的木马连通成功检测方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111615453.1A CN113992442B (zh) | 2021-12-28 | 2021-12-28 | 一种木马连通成功检测方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111615453.1A CN113992442B (zh) | 2021-12-28 | 2021-12-28 | 一种木马连通成功检测方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113992442A CN113992442A (zh) | 2022-01-28 |
| CN113992442B true CN113992442B (zh) | 2022-03-18 |
Family
ID=79734556
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111615453.1A Active CN113992442B (zh) | 2021-12-28 | 2021-12-28 | 一种木马连通成功检测方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113992442B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114866361A (zh) * | 2022-07-11 | 2022-08-05 | 北京微步在线科技有限公司 | 一种检测网络攻击的方法、装置、电子设备及介质 |
Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2006090392A2 (en) * | 2005-02-24 | 2006-08-31 | Rsa Security Inc. | System and method for detecting and mitigating dns spoofing trojans |
| CN102202064A (zh) * | 2011-06-13 | 2011-09-28 | 刘胜利 | 基于网络数据流分析的木马通信行为特征提取方法 |
| CN102594825A (zh) * | 2012-02-22 | 2012-07-18 | 北京百度网讯科技有限公司 | 一种内网木马的检测方法和装置 |
| CN103944788A (zh) * | 2014-05-06 | 2014-07-23 | 国家计算机网络与信息安全管理中心 | 基于网络通信行为的未知木马检测方法 |
| CN107454109A (zh) * | 2017-09-22 | 2017-12-08 | 杭州安恒信息技术有限公司 | 一种基于http流量分析的网络窃密行为检测方法 |
| CN107592312A (zh) * | 2017-09-18 | 2018-01-16 | 济南互信软件有限公司 | 一种基于网络流量的恶意软件检测方法 |
| CN108390864A (zh) * | 2018-02-01 | 2018-08-10 | 杭州安恒信息技术股份有限公司 | 一种基于攻击链行为分析的木马检测方法及系统 |
| CN108769034A (zh) * | 2018-06-01 | 2018-11-06 | 杭州安恒信息技术股份有限公司 | 一种实时在线监测远控木马控制端ip地址的方法及装置 |
| CN110225062A (zh) * | 2019-07-01 | 2019-09-10 | 北京微步在线科技有限公司 | 一种监控网络攻击的方法和装置 |
| CN112640392A (zh) * | 2020-11-20 | 2021-04-09 | 华为技术有限公司 | 一种木马检测方法、装置和设备 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101350745B (zh) * | 2008-08-15 | 2011-08-03 | 北京启明星辰信息技术股份有限公司 | 一种入侵检测方法及装置 |
-
2021
- 2021-12-28 CN CN202111615453.1A patent/CN113992442B/zh active Active
Patent Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2006090392A2 (en) * | 2005-02-24 | 2006-08-31 | Rsa Security Inc. | System and method for detecting and mitigating dns spoofing trojans |
| CN102202064A (zh) * | 2011-06-13 | 2011-09-28 | 刘胜利 | 基于网络数据流分析的木马通信行为特征提取方法 |
| CN102594825A (zh) * | 2012-02-22 | 2012-07-18 | 北京百度网讯科技有限公司 | 一种内网木马的检测方法和装置 |
| CN103944788A (zh) * | 2014-05-06 | 2014-07-23 | 国家计算机网络与信息安全管理中心 | 基于网络通信行为的未知木马检测方法 |
| CN107592312A (zh) * | 2017-09-18 | 2018-01-16 | 济南互信软件有限公司 | 一种基于网络流量的恶意软件检测方法 |
| CN107454109A (zh) * | 2017-09-22 | 2017-12-08 | 杭州安恒信息技术有限公司 | 一种基于http流量分析的网络窃密行为检测方法 |
| CN108390864A (zh) * | 2018-02-01 | 2018-08-10 | 杭州安恒信息技术股份有限公司 | 一种基于攻击链行为分析的木马检测方法及系统 |
| CN108769034A (zh) * | 2018-06-01 | 2018-11-06 | 杭州安恒信息技术股份有限公司 | 一种实时在线监测远控木马控制端ip地址的方法及装置 |
| CN110225062A (zh) * | 2019-07-01 | 2019-09-10 | 北京微步在线科技有限公司 | 一种监控网络攻击的方法和装置 |
| CN112640392A (zh) * | 2020-11-20 | 2021-04-09 | 华为技术有限公司 | 一种木马检测方法、装置和设备 |
Non-Patent Citations (2)
| Title |
|---|
| "A Network Behavior Analysis Method to Detect Reverse Remote Access Trojan";Hongyu Zhu等;《2018 IEEE 9th International Conference on Software Engineering and Service Science (ICSESS)》;20190311;全文 * |
| "基于主机和网络特征关联的木马检测方法研究";宋紫华;《万方学位论文》;20190601;全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113992442A (zh) | 2022-01-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6894003B2 (ja) | Apt攻撃に対する防御 | |
| CN110730175B (zh) | 一种基于威胁情报的僵尸网络检测方法及检测系统 | |
| CN107659583B (zh) | 一种检测事中攻击的方法及系统 | |
| US9462009B1 (en) | Detecting risky domains | |
| US7434261B2 (en) | System and method of identifying the source of an attack on a computer network | |
| CN105939326B (zh) | 处理报文的方法及装置 | |
| CN110995640B (zh) | 识别网络攻击的方法及蜜罐防护系统 | |
| CN111786966A (zh) | 浏览网页的方法和装置 | |
| CN111726364B (zh) | 一种主机入侵防范方法、系统及相关装置 | |
| JP6524789B2 (ja) | ネットワーク監視方法、ネットワーク監視プログラム及びネットワーク監視装置 | |
| CN109327451A (zh) | 一种防御文件上传验证绕过的方法、系统、装置及介质 | |
| CN107666464B (zh) | 一种信息处理方法及服务器 | |
| CN111800405A (zh) | 检测方法及检测设备、存储介质 | |
| EP3275150B1 (en) | Extracted data classification to determine if a dns packet is malicious | |
| CN113965419B (zh) | 一种通过反连判定攻击成功的方法及装置 | |
| CN113992442B (zh) | 一种木马连通成功检测方法及装置 | |
| KR101487476B1 (ko) | 악성도메인을 검출하기 위한 방법 및 장치 | |
| Mimura et al. | A practical experiment of the HTTP-based RAT detection method in proxy server logs | |
| CN116015717A (zh) | 一种网络防御方法、装置、设备及存储介质 | |
| CN115150137B (zh) | 一种基于Redis的高频访问预警方法及设备 | |
| CN107294994B (zh) | 一种基于云平台的csrf防护方法和系统 | |
| KR101375375B1 (ko) | 좀비 컴퓨터 블랙리스트 수집에 기초한 좀비 컴퓨터 탐지 및 방어 시스템 | |
| JP5743822B2 (ja) | 情報漏洩防止装置及び制限情報生成装置 | |
| US11425162B2 (en) | Detection of malicious C2 channels abusing social media sites | |
| Huayu et al. | Research on fog computing based active anti-theft technology |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |