CN114629711B - 一种针对Windows平台特种木马检测的方法及系统 - Google Patents
一种针对Windows平台特种木马检测的方法及系统 Download PDFInfo
- Publication number
- CN114629711B CN114629711B CN202210275532.0A CN202210275532A CN114629711B CN 114629711 B CN114629711 B CN 114629711B CN 202210275532 A CN202210275532 A CN 202210275532A CN 114629711 B CN114629711 B CN 114629711B
- Authority
- CN
- China
- Prior art keywords
- abnormal
- module
- special
- detection
- marking
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 133
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 title claims abstract description 94
- 230000002159 abnormal effect Effects 0.000 claims abstract description 91
- 238000001514 detection method Methods 0.000 claims abstract description 91
- 238000000605 extraction Methods 0.000 claims abstract description 18
- 238000012216 screening Methods 0.000 claims abstract description 11
- 238000012545 processing Methods 0.000 claims abstract description 6
- 230000008569 process Effects 0.000 claims description 99
- 238000012549 training Methods 0.000 claims description 12
- 238000000586 desensitisation Methods 0.000 claims description 10
- 238000005728 strengthening Methods 0.000 claims description 10
- 239000008186 active pharmaceutical agent Substances 0.000 claims description 9
- 238000002347 injection Methods 0.000 claims description 8
- 239000007924 injection Substances 0.000 claims description 8
- 238000011160 research Methods 0.000 claims description 5
- 230000005856 abnormality Effects 0.000 claims description 4
- 125000004122 cyclic group Chemical group 0.000 claims description 3
- 230000000977 initiatory effect Effects 0.000 claims description 3
- 238000012795 verification Methods 0.000 claims description 3
- 241000700605 Viruses Species 0.000 description 5
- 239000000243 solution Substances 0.000 description 5
- 238000012423 maintenance Methods 0.000 description 4
- 230000002787 reinforcement Effects 0.000 description 4
- 241000283086 Equidae Species 0.000 description 3
- 230000006399 behavior Effects 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 230000000737 periodic effect Effects 0.000 description 3
- 230000009286 beneficial effect Effects 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 2
- 230000007547 defect Effects 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 244000035744 Hura crepitans Species 0.000 description 1
- 230000002155 anti-virotic effect Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 230000014509 gene expression Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 238000004088 simulation Methods 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种针对Windows平台特种木马检测的方法及系统,该方法包括:根据内存解析规则对被检测设备的内存进行处理,筛选出异常的内存地址并标记;解析并遍历被检测终端设备的硬盘,根据硬盘解析规则扫描出异常硬盘地址并标记;扫描终端设备的进程,根据系统内置名单,处理被HOOK的进程并告警;对被检测终端设备上的网卡流量进行抽帧检测,对异常帧进行标记并保存;通过API对Windows的注册表进行处理,和计算注册表中的内容对比,标记异常数据;根据异常信息和参考值,生成参考值对比结果;根据异常记录,对含有异常信息标记的进程研判,判断其是否为特种木马,并生成研判结果。本发明,能够实现对Windows平台特种木马的检测,可靠性强,安全性高,检测效率高。
Description
技术领域
本发明涉及计算机安全领域,具体涉及一种针对Windows平台特种木马检测的方法及系统。
背景技术
网络通信技术的应用及普及,给人们的生活带来了极大的便利,但是于此同时,各种病毒以及恶意代码在网络上的传播也愈加严重,对网络安全产生了极大的威胁。木马是一种威胁网络安全的常见病毒,危害性很大,在各种形式的恶意软件中较为流行,攻击者通常使用木马窃取敏感信息。虽然杀毒软件、防火墙等技术手段可以拦截木马,但还是有大量计算机被木马控制。
针对当前木马病毒问题,中国发明专利CN105262729B公开了一种木马检测方法及系统,其中,所述木马检测方法包括:S1、采集网络流量数据;S2、将所述网络流量数据按照ip对分组;S3、将同一组ip对的数据包分别聚为一个或多个簇;S4、将由同一组ip对的数据包聚成的簇聚为一个或多个类;S5、将每一类对应的时间序列标准化,所述时间序列由类中的簇间隔构成;S6、分别计算标准化后的时间序列的时序统计量;S7、筛选出时序统计量不在第一阈值范围内的时间序列作为木马序列,输出木马ip。该方案弥补了现有的木马检测不准确的不足,实现了从多维度多变量的角度对网络流量中可能存在的周期性的木马心跳行为进行有效地识别,提高了检测木马的准确性。
但是随着木马技术的进步,APT组织自研的特种木马越来越多,特种木马通常具备以下特征:动态免杀、静态免杀、沙箱检测伪造正常软件、内存高匿、硬盘无落地木马文件、Rootkit隐匿、C2端口复用、通过嗅探方式接受指令、构建非常规之类注入线程、非常用协议通道传输指令。故特种木马隐蔽性好,大部分用户、安全人员以及算法都不具备判断电脑是否有特种木马的能力。
然而,主流的木马检测技术主要使用采集网络流量数据与时序分析的方式检测木马病毒,在面对特种木马时,即使发现了网络流量数据异常也很难准确地通过上述方式检测出特种木马。
同时采用采集网络流量数据与时序分析的方式检测木马病毒还存在检测木马方式单一的问题,一旦木马在网络流量数据与时间序列上的特征不够明显,不仅检测范围十分局限,而且不能准确检测特种木马。
有鉴于此,急需提供一种针对Windows平台特种木马检测的系统及方法,以实现对具有多重伪装、隐蔽的特种木马进行准确检测。
发明内容
针对上述缺陷,本发明所要解决的技术问题在于提供一种针对Windows平台特种木马检测的系统,以解决现有技术中检测特种木马的准确性低、检测范围有限的问题。
为此,本发明提供的一种针对Windows平台特种木马检测的方法,包括以下步骤:
根据内存解析规则对被检测终端设备的内存进行快速解析,筛选出异常的内存地址并标记;所述内存解析规则包括线程注入、异常父进程、非规范进程、异常权限进程、孤进程;
解析并遍历被检测终端设备的硬盘,根据硬盘解析规则扫描出异常硬盘地址并标记;
扫描被检测终端设备的进程,筛选并标记被HOOK的进程,产生告警;
对被检测终端设备上的网卡流量进行抽帧检测,对异常帧进行标记并保存;
对被检测终端设备上当前进程的模块进行分析,根据系统内置的白名单,标记出不可信的进程及进程中的模块;所述进程的模块包括进程的句柄、子进程、调用API的方式、进程内存特征和数字签名;
通过API对Windows的注册表进行读取、解析、分析,扫描并计算注册表中的内容,标记出加密数据、恶意值、异常值;
根据异常信息和设定的参考值,生成参考值对比结果;根据参考值的对比结果、标记异常的数量、产生异常的时间,对含有异常信息标记的进程研判,判断其是否为特种木马,并生成研判结果。
在上述方案中,优选地,所述异常硬盘地址的类型包括近期被删文件地址、未格式化被操作的地址、无盘符被操作的地址、熵异常的地址、疑似摆渡数据。
在上述方案中,优选地,所述对被检测终端设备上的网卡流量进行抽帧检测,对异常帧进行标记并保存,包括两种工作模式,配置为:
工作模式一,对被检测终端设备上支持嗅探的网卡流量进行嗅探、全量抓包,通过五元组、流量特征标记异常帧并保存;
工作模式二,根据模型、特征和名单对流量进行快速抽帧,对异常流量进行标记、采样和存储。
在上述方案中,优选地,所述异常流量的类型包括恶意流量、web攻击流量、网络攻击流量、可疑流量、ddos攻击流量、未知协议流量。
在上述方案中,优选地,还包括结果学习和模型强化,所述结果学习和模型强化以下步骤:
生成是否对本次检测的结果进行学习的管理员选项;
根据管理员选择否,跳过学习;
根据管理员选择是,生成训练任务;
在系统资源占用较低的闲时根据本次检测的结果对特种木马模型进行学习,生成并保存新的检测规则。
在上述方案中,优选地,还包括异常上报,所述异常上报包括以下步骤:
根据用户的选择上报操作,将本次扫描数据发送至管理员;
根据管理员勾选脱敏选项并电机上报按钮后,通过https协议上报至云端中心,以供云端中心生成一条等待工程师处理的工单。
在上述方案中,优选地,还包括远程协助,所述远程协助包括以下步骤:
发起远程协助请求;
根据工程师端的校验码请求,发送校验码;
根据工程师端通过校验,与工程师端建立远程连接,由工程师端进行临时操作。
在上述方案中,优选地,所述扫描被检测终端设备的进程,标记被HOOK的进程,并产生告警包括快速扫描模式和全面扫描模式,配置为:
在快速扫描模式下,根据系统内置的黑白灰名单,对被检测终端设备的进程进行研判,判断其是否存在被HOOK的情况,若存在被HOOK的情况将该进程标记为被HOOK状态,产生告警;
在全面扫描模式下,通过循环检索进程依次判断是否存在被HOOK的情况,研判进程被HOOK时,将进程标记为被HOOK状态,产生告警。
一种针对Windows平台特种木马检测的系统,包括:
内存解析模块,对内存进行快速解析,根据内存解析规则对所述内存进行筛选,标记出异常的内存地址;所述内存解析规则包括线程注入、异常父进程、非规范进程、异常权限进程、孤进程构成;
硬盘解析模块,解析并遍历硬盘,根据硬盘解析规则对所述硬盘进行扫描,标记出异常硬盘地址;
HOOK状态检测模块,对被检测终端设备的进程进行扫描,根据系统内置的黑白灰名单,筛选并标记进程为被HOOK的进程,产生告警;
网络抽帧模块,对被检测终端设备上的网卡流量进行抽帧检测,并标记异常帧;
进程解析模块,对当前进程中的模块进行解析,同时根据内置的白名单进行过滤,标记出不可信的进程以及所述进程中的模块;
注册表解析模块,通过API对Windows的注册表进行读取、解析、分析,对所述注册表中的内容进行扫描、计算,对注册表中的加密数据、恶意值、异常值进行标记;
综合研判模块,根据设定的参考值,按顺序对所述内存解析模块、所述硬盘解析模块、所述HOOK状态检测模块、所述网络抽帧模块、所述进程解析模块、所述注册表解析模块检测出的进行研判,审查被检测终端设备是否被特种木马攻击的判定结果。
在上述方案中,优选地,还包括:
结果学习模块,生成是否对检测结构进行学习的管理员选项;
模型强化模块,根据选择学习的管理员选项,生成训练任务进行检测模型的学习,存储学习后的规则;
远程协助模块,用于通过向工程师端发送远程协助请求和校验码与工程师端建立远程连接,临时操作被检测终端设备;
异常上报模块,根据用户的选择上报选项,对检测结果进行脱敏上报。
由上述技术方案可知,本发明提供的一种针对Windows平台特种木马检测的方法和系统,解决了现有技术中,算法、安全人员难以辨别特种木马以及发现特种木马后无法精准定位的问题。与现有技术相比,本发明具有以下有益效果:
第一,本发明从多方面数据进行分析解析,通过内存解析、硬盘解析、HOOK状态检测、网络抽帧、进程解析、注册表解析对待检测设备进行解析;以此全面检测各种数据异常,避免错失特种木马的数据特征,防止特种木马藏匿在检测范围外。本发明检测范围更广,检测全面无死角。
第二,系统中各模块功能明确,界限清晰,不存在功能重复的问题。各模块检测到的异常数据不会相互冲突,本发明可以更精准的检测木马。同时模块设置合理,有利于维护人员快速理解,便于定期维护,具有良好的可维护性。
第三,本发明设有结果学习模块与模型强化模块,可以从每次检测特种木马的过程中不断积累特种木马的特征,在空闲时进行模拟检测,本发明具有更高的自动化程度。
附图说明
为了更清楚地说明本发明的实施例或现有技术中的技术方案,下面将对本发明实施例或现有技术描述中所需要使用的附图做出简单地介绍和说明。显而易见地,下面描述中的附图仅仅是本发明的部分实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明提供的一种针对Windows平台特种木马检测方法的流程图;
图2为本发明提供的结果学习和模型强化的流程图;
图3为本发明提供的异常上报的流程图;
图4为本发明提供的远程协助的流程图;
图5为本发明提供的一种针对Windows平台特种木马检测系统的结构示意图。
具体实施方式
下面将结合本发明实施例附图,对本发明实施例的技术方案进行清楚、完整地描述,显然,以下所描述的实施例,仅仅是本发明的一部分实施例,而不是全部的实施例。基于本发明的实施例,本领域普通技术人员在没有做出创造性劳动的前提下,所获得的所有其他实施例,都属于本发明保护的范围。
需要说明的是,本文中“内、外”、“前、后”及“左、右”等方位词是以产品使用状态为基准对象进行的表述,显然,相应方位词的使用对本方案的保护范围并非构成限制。
具体实施例1
请参见图1,图1为本发明提供的一种针对Windows平台特种木马检测方法的流程图,包括以下步骤:
S1,根据内存解析规则对被检测终端设备的内存进行快速解析,筛选出异常的内存地址并标记。
内存解析规则包括线程注入、异常父进程、非规范进程、异常权限进程、孤进程。
检测线程注入的方法:通过检索线程的地址与模块地址的对照关系,将具有无效模块地址的线程标记为被注入的线程。
检测异常父进程的方法:依次向上调查被检进程的父进程,同时其他检测模块标记、统计出现异常的名单,将两者进行对比,判断是否存在异常父进程。
检测非规范进程的方法:找出程序在内存中展开格式与文件格式的PE二进制文件,对比其是否相似,以此判断运行程序与命令行指向程序是否存在不同的不规范进程。
检测异常权限进程的方法:通过检查进程各个段的权限是否被修改,修改情况包括将只读段修改为读写执行段。
S2,解析并遍历被检测终端设备的硬盘,根据硬盘解析规则扫描出异常硬盘地址并标记。
异常硬盘地址包括近期被删文件地址、未格式化被操作的地址、无盘符被操作的地址、熵异常的地址、疑似摆渡数据。
通过扫描硬盘未分区或未使用的地址是否存在异常数据,可判断是否有木马对硬盘通过数据摆渡的方式窃密。
S3,扫描被检测终端设备的进程,筛选并标记被HOOK的进程,产生告警。
黑白灰名单由管理员根据已知的特征木马的类型进行设置。其中,扫描被检测终端设备的进程包括快速扫描模式和全面扫描模式,分别为:
快速扫描模式:根据黑白灰名单,对被检测设备的当前进程进行快速研判,研判当前进程是否存在进程被HOOK的情况,若存在进程被HOOK的情况将该进程标记为被HOOK状态,产生告警;
全面扫描模式:不通过黑白灰名单对进程进行扫描,而通过循环检索进程依次判断是否存在被HOOK的情况,研判进程被HOOK时,将进程标记为被HOOK状态,产生告警。
S4,对被检测终端设备上的网卡流量进行抽帧检测,对异常帧进行标记并保存。
对被检测终端设备上的网卡流量进行抽帧检测包括两种工作模式:
工作模式一,对被检测终端设备上支持嗅探的网卡流量进行嗅探、全量抓包,通过五元组、流量特征标记异常帧并保存;
工作模式二,根据模型、特征和名单对流量进行快速抽帧,对异常流量进行标记、采样和存储。其中,异常流量的类型包括恶意流量、web攻击流量、网络攻击流量、可疑流量、ddos攻击流量、未知协议流量。
S5,对被检测终端设备上当前进程的模块进行分析,根据系统内置的白名单,标记出不可信的进程及进程中的模块。
其中,需要分析的进程的模块包括进程的句柄、子进程、调用API的方式、进程内存特征和数字签名。
被标记的内容根据用户的选项进行DUMP,完成存储以供后续分析,进一步修订白名单。
S6,通过API对Windows的注册表进行读取、解析、分析,扫描并计算注册表中的内容,标记出加密数据、恶意值、异常值。
S7,根据异常信息和设定的参考值,生成参考值对比结果。根据参考值的对比结果、标记异常的数量、产生异常的时间,对含有异常信息标记的进程研判,判断其是否为特种木马,并生成研判结果。
若在上述检测过程中,经过对比,检测到某进程异常内存,且注册表存在异常加密数据。同时检测到该进程也会对注册表的加密数据进行读取、解密、执行。随后将上述数据、行为记录与管理员设置的参考规则进行比对,符合针对木马制定的“注册表缓存可执行数据”的规则,则该进程被标记为特种木马。
具体实施例2
请参见图2,图2为本发明提供的关于结果学习和模型强化的方法流程图。
本发明提供的一种针对Windows平台特种木马检测方法,还包括结果学习和模型强化,结果学习和模型强化包括以下步骤:
S81、生成是否对本次检测的结果进行学习的管理员选项;
系统生成“是否对本次检测的结果进行学习”的管理员选项,由管理员选择系统是否本次检测结果进行学习,以起到强化特种木马模型的目的。
S82、根据管理员选择否,跳过学习;
管理员选择“否”,跳过学习过程。
S83、根据管理员选择是,生成训练任务;
管理员选择“是”,生成训练任务,并将训练任务添加到训练任务队列中,以便系统在被检测设备系统资源占用较低时对本次检测结果进行学习。
S84、在系统资源占用较低的闲时根据本次检测的结果对特种木马进行学习,生成并保存新的检测规则。
系统将学习后产生的新检测规则存储,以当前时间+本次检测ID命名,并对旧检测规则产生模型快照,以便新检测规则不合适时恢复旧检测规则。
具体实施例3
请参见图3,图3为本发明提供的关于异常上报的方法流程图。
本发明提供的一种针对Windows平台特种木马检测方法,还包括异常上报,异常上报包括以下步骤:
S91、根据用户的选择上报操作,将本次扫描数据发送至管理员;
S92、根据管理员勾选脱敏选项并点机上报按钮后,通过https协议上报至云端中心,以供云端中心生成一条等待工程师处理的工单。
检测系统的工程师可根据云端中心中的待处理工单对检测结果进行处理。检测结果采用脱敏上报的形式,避免泄露待检测设备用户的信息。
具体实施例4
请参见图4,图4为本发明提供的关于远程协助的方法流程图。
本发明提供的一种针对Windows平台特种木马检测方法,还包括远程协助,所述远程协助包括以下步骤:
S101、发起远程协助;
当用户在对待检测设备进行特种木马检测的过程中出现问题需要远程协助时,系统向工程师端发起远程协助请求;
S102、根据工程师端的校验码请求,发送校验码;
工程师端接收到远程协助请求后,向系统发送校验码请求,系统根据工程师端的校验码请求,向工程师端发送校验码;
S103、根据工程师端通过校验,与工程师端建立远程连接,由工程师端进行临时操作。
工程师端接收到校验码并通过校验后,与系统建立请求,工程师可对系统所在的被检测设备进行临时操作。
具体实施例5
请参见图5,图5为本发明提供的一种针对Windows平台特种木马检测系统示意图,包括:
内存解析模块1,用于对内存进行快速解析,根据内存解析规则对内存进行筛选,标记出异常的内存地址。内存解析规则包括线程注入、异常父进程、非规范进程、异常权限进程、孤进程构成。
硬盘解析模块2,用于解析并遍历硬盘,根据硬盘解析规则对硬盘进行扫描,标记出异常硬盘地址。
HOOK状态检测模块3,用于对被检测终端设备的进程进行扫描,根据系统内置的黑白灰名单,筛选并标记进程为被HOOK的进程,产生告警。
网络抽帧模块4,用于对被检测终端设备上的网卡流量进行抽帧检测,并标记异常帧。
进程解析模块5,用于对当前进程中的模块进行解析,并根据内置的白名单进行过滤,标记出不可信的进程及进程中的模块。被标记的内容根据用户的选项进行DUMP,完成存储以供后续分析,进一步修订白名单。
注册表解析模块6,用于通过API对Windows的注册表进行读取、解析、分析,对注册表中的内容进行扫描、计算,对注册表中的加密数据、恶意值、异常值进行标记。
综合研判模块7,用于根据设定的参考值,按顺序对内存解析模块1、硬盘解析模块2、HOOK状态检测模块3、网络抽帧模块4、进程解析模块5、注册表解析模块6检测出的数据进行研判,判断被检测终端设备是否被特种木马攻击。
结果学习模块8,用于生成是否对检测结构进行学习的管理员选项,以便根据管理员的选项决定是否对本次检测的结果进行学习。
模型强化模块9,根据选择学习的管理员选项,生成训练任务进行检测模型的学习,存储学习后的规则。模型强化模块9会在管理员选择学习结果时被动启动,并生成一次训练任务加入队列,在系统资源占用较低的闲时调用模拟木马进行训练,模拟木马由上述各模块收集的异常数据构成。完成训练后生成本次训练规则,规则以当前时间+本次检测ID命名。
异常上报模块10,根据用户的选择上报选项,对检测结果进行脱敏上报。用户对本次的检测结果存疑可以对本次结果通过异常上报模块进行脱敏上报,管理员在勾选脱敏选项后点击上报按钮会在加密后通过https协议上报至云端中心,并在云端中心生成一条工单等待工程师端处理。脱敏就是对真实重要数据变形,使变形后的真实重要数据在工程师端也可进行处理。由于异常上报模块会根据管理员勾选脱敏选项对数据进行脱敏处理,用户不必担心自己的重要数据泄漏。
远程协助模块11,用于通过向工程师端发送远程协助请求和校验码与工程师端建立远程连接,临时操作被检测终端设备。若用户在使用过程中出现疑问,可以在联系工程师后使用发起远程协助命令,用户会收到一个校验码,将校验码提供给工程师端后,工程师可以借助网络远程操作该用户终端设备。
综合以上具体实施例的描述,本发明提供的针对Windows平台特种木马检测的方法及系统,与现有技术相比,具有如下优点:
第一,通过内存解析、硬盘解析、HOOK状态检测、网络抽帧、进程解析、注册表解析,对设备中的特种木马进行检测,实现各种数据异常的全面检测,避免错失特种木马的数据特征,防止特种木马藏匿在检测范围外。本发明检测范围更广,检测全面无死角。
第二,本发明设有结果学习、模型强化模块,可以从每次检测特种木马的过程中不断积累特种木马的特征,在空闲时进行模拟检测。因此本发明具有更高的自动化程度,用户既不需要专业的特种木马知识,也不需要丰富的安全经验,降低了用户的使用门槛。
第三,现有技术中,许多特种木马检测都是通过人工识别,一般负责这项工作的一般都是具有丰富经验的高级安全人员。为了检测特种木马,聘请高级安全人员势必会增加成本,而本发明可以为用户节省成本。
第四,高级安全人员只能在工作时间完成对特种木马的检测,而本发明可以在终端设备上全天候运行,可以在任何时间检测特种木马,本发明不仅待机时间长,节省成本,更重要的是可以全天候保障终端设备的安全。
第五,本发明最终是是通过软件程序与其他形式实现的,软件程序的通常需要定期进行维护。然而本系统大部分模块按顺序运行,循环体、选择构型少,不仅降低了程序运行时陷入死循环的风险,还减少了维护频率。
本发明并不局限于上述最佳实施方式,任何人应该得知在本发明的启示下做出的结构变化,凡是与本发明具有相同或相近的技术方案,均落入本发明的保护范围之内。
Claims (10)
1.一种针对Windows平台特种木马检测的方法,其特征在于,包括以下步骤:
根据内存解析规则对被检测终端设备的内存进行快速解析,筛选出异常的内存地址并标记;所述内存解析规则包括线程注入、异常父进程、非规范进程、异常权限进程和孤进程;
解析并遍历被检测终端设备的硬盘,根据硬盘解析规则扫描出异常硬盘地址并标记;
扫描被检测终端设备的进程,筛选并标记被HOOK的进程,产生告警;
对被检测终端设备上的网卡流量进行抽帧检测,对异常帧进行标记并保存;
对被检测终端设备上当前进程的模块进行分析,根据系统内置的白名单,标记出不可信的进程及进程中的模块;所述进程的模块包括进程的句柄、子进程、调用API的方式、进程内存特征和数字签名;
通过API对Windows的注册表进行读取、解析、分析,扫描并计算注册表中的内容,标记出加密数据、恶意值、异常值;
根据异常信息和设定的参考值,生成参考值对比结果;根据参考值的对比结果、标记异常的数量、产生异常的时间,对含有异常信息标记的进程研判,判断其是否为特种木马,并生成研判结果。
2.根据权利要求1提供的针对Windows平台特种木马检测的方法,其特征在于,所述异常硬盘地址的类型包括近期被删文件地址、未格式化被操作的地址、无盘符被操作的地址、熵异常的地址或疑似摆渡数据。
3.根据权利要求1提供的针对Windows平台特种木马检测的方法,其特征在于,所述对被检测终端设备上的网卡流量进行抽帧检测,对异常帧进行标记并保存,包括两种工作模式,配置为:
工作模式一,对被检测终端设备上支持嗅探的网卡流量进行嗅探、全量抓包,通过五元组、流量特征标记异常帧并保存;
工作模式二,根据模型、特征和名单对流量进行快速抽帧,对异常流量进行标记、采样和存储。
4.根据权利要求3提供的针对Windows平台特种木马检测的方法,其特征在于,所述异常流量的类型包括恶意流量、web攻击流量、网络攻击流量、可疑流量、ddos攻击流量或未知协议流量。
5.根据权利要求1提供的针对Windows平台特种木马检测的方法,其特征在于,还包括结果学习和模型强化,所述结果学习和模型强化以下步骤:
生成是否对本次检测的结果进行学习的管理员选项;
根据管理员选择否,跳过学习;
根据管理员选择是,生成训练任务;
在系统资源占用较低的闲时根据本次检测的结果对特种木马模型进行学习,生成并保存新的检测规则。
6.根据权利要求1提供的针对Windows平台特种木马检测的方法,其特征在于,还包括异常上报,所述异常上报包括以下步骤:
根据用户的选择上报操作,将本次扫描数据发送至管理员;
根据管理员勾选脱敏选项并电机上报按钮后,通过https协议上报至云端中心,以供云端中心生成一条等待工程师处理的工单。
7.根据权利要求1提供的针对特种木马检测的方法,其特征在于,还包括远程协助,所述远程协助包括以下步骤:
发起远程协助请求;
根据工程师端的校验码请求,发送校验码;
根据工程师端通过校验,与工程师端建立远程连接,由工程师端进行临时操作。
8.根据权利要求1提供的针对Windows平台特种木马检测的方法,其特征在于,所述扫描被检测终端设备的进程,标记被HOOK的进程,并产生告警包括快速扫描模式和全面扫描模式,配置为:
在快速扫描模式下,根据系统内置的黑白灰名单,对被检测终端设备的进程进行研判,判断其是否存在被HOOK的情况,若存在被HOOK的情况将该进程标记为被HOOK状态,产生告警;
在全面扫描模式下,通过循环检索进程依次判断是否存在被HOOK的情况,研判进程被HOOK时,将进程标记为被HOOK状态,产生告警。
9.一种针对Windows平台特种木马检测的系统,其特征在于,包括:
内存解析模块,对内存进行快速解析,根据内存解析规则对所述内存进行筛选,标记出异常的内存地址;所述内存解析规则包括线程注入、异常父进程、非规范进程、异常权限进程和孤进程构成;
硬盘解析模块,解析并遍历硬盘,根据硬盘解析规则对所述硬盘进行扫描,标记出异常硬盘地址;
HOOK状态检测模块,对被检测终端设备的进程进行扫描,根据系统内置的黑白灰名单,筛选并标记进程为被HOOK的进程,产生告警;
网络抽帧模块,对被检测终端设备上的网卡流量进行抽帧检测,并标记异常帧;
进程解析模块,对当前进程中的模块进行解析,同时根据内置的白名单进行过滤,标记出不可信的进程以及所述进程中的模块;
注册表解析模块,通过API对Windows的注册表进行读取、解析、分析,对所述注册表中的内容进行扫描、计算,对注册表中的加密数据、恶意值、异常值进行标记;
综合研判模块,根据设定的参考值,按顺序对所述内存解析模块、所述硬盘解析模块、所述HOOK状态检测模块、所述网络抽帧模块、所述进程解析模块、所述注册表解析模块检测出的进行研判,审查被检测终端设备是否被特种木马攻击的判定结果。
10.根据权利要求9所述的针对Windows平台特种木马检测的系统,其特征在于,还包括:
结果学习模块,生成是否对检测结构进行学习的管理员选项;
模型强化模块,根据选择学习的管理员选项,生成训练任务进行检测模型的学习,存储学习后的规则;
远程协助模块,用于通过向工程师端发送远程协助请求和校验码与工程师端建立远程连接,临时操作被检测终端设备;
异常上报模块,根据用户的选择上报选项,对检测结果进行脱敏上报。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210275532.0A CN114629711B (zh) | 2022-03-21 | 2022-03-21 | 一种针对Windows平台特种木马检测的方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210275532.0A CN114629711B (zh) | 2022-03-21 | 2022-03-21 | 一种针对Windows平台特种木马检测的方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114629711A CN114629711A (zh) | 2022-06-14 |
| CN114629711B true CN114629711B (zh) | 2024-02-06 |
Family
ID=81903588
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210275532.0A Active CN114629711B (zh) | 2022-03-21 | 2022-03-21 | 一种针对Windows平台特种木马检测的方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114629711B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117150453B (zh) * | 2023-11-01 | 2024-02-02 | 建信金融科技有限责任公司 | 网络应用检测方法、装置、设备、存储介质及程序产品 |
Citations (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102609654A (zh) * | 2012-02-08 | 2012-07-25 | 北京百度网讯科技有限公司 | 一种检测恶意flash文件的方法和装置 |
| CN102609655A (zh) * | 2012-02-08 | 2012-07-25 | 北京百度网讯科技有限公司 | 一种检测堆喷射型网页木马的方法和装置 |
| US8719924B1 (en) * | 2005-03-04 | 2014-05-06 | AVG Technologies N.V. | Method and apparatus for detecting harmful software |
| CN105138709A (zh) * | 2015-10-12 | 2015-12-09 | 山东省计算中心(国家超级计算济南中心) | 一种基于物理内存分析的远程取证系统 |
| CN106778244A (zh) * | 2016-11-28 | 2017-05-31 | 北京奇虎科技有限公司 | 基于虚拟机的内核漏洞检测进程保护方法及装置 |
| CN107332850A (zh) * | 2017-07-06 | 2017-11-07 | 深圳互联先锋科技有限公司 | 网络安全防御的方法及装置 |
| CN109033828A (zh) * | 2018-07-25 | 2018-12-18 | 山东省计算中心(国家超级计算济南中心) | 一种基于计算机内存分析技术的木马检测方法 |
| CN109829301A (zh) * | 2018-12-27 | 2019-05-31 | 江苏博智软件科技股份有限公司 | 一种基于动态行为监测的恶意程序检测方法 |
| CN110069936A (zh) * | 2019-03-29 | 2019-07-30 | 合肥高维数据技术有限公司 | 一种木马隐写方法和检测方法 |
| CN110362995A (zh) * | 2019-05-31 | 2019-10-22 | 电子科技大学成都学院 | 一种基于逆向与机器学习的恶意软件检测及分析系统 |
| CN110602044A (zh) * | 2019-08-12 | 2019-12-20 | 贵州电网有限责任公司 | 一种网络威胁分析方法和系统 |
| CN111131304A (zh) * | 2019-12-31 | 2020-05-08 | 嘉兴学院 | 面向云平台大规模虚拟机细粒度异常行为检测方法和系统 |
| CN113176926A (zh) * | 2021-04-06 | 2021-07-27 | 中国科学院信息工程研究所 | 一种基于虚拟机自省技术的api动态监控方法及系统 |
| CN113312624A (zh) * | 2021-06-21 | 2021-08-27 | 厦门服云信息科技有限公司 | 一种Java Web应用内存木马检测方法、终端设备及存储介质 |
| CN113569244A (zh) * | 2021-09-18 | 2021-10-29 | 成都数默科技有限公司 | 一种基于处理器跟踪的内存恶意代码检测方法 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103825888A (zh) * | 2014-02-17 | 2014-05-28 | 北京奇虎科技有限公司 | 网络威胁处理方法及设备 |
-
2022
- 2022-03-21 CN CN202210275532.0A patent/CN114629711B/zh active Active
Patent Citations (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8719924B1 (en) * | 2005-03-04 | 2014-05-06 | AVG Technologies N.V. | Method and apparatus for detecting harmful software |
| CN102609654A (zh) * | 2012-02-08 | 2012-07-25 | 北京百度网讯科技有限公司 | 一种检测恶意flash文件的方法和装置 |
| CN102609655A (zh) * | 2012-02-08 | 2012-07-25 | 北京百度网讯科技有限公司 | 一种检测堆喷射型网页木马的方法和装置 |
| CN105138709A (zh) * | 2015-10-12 | 2015-12-09 | 山东省计算中心(国家超级计算济南中心) | 一种基于物理内存分析的远程取证系统 |
| CN106778244A (zh) * | 2016-11-28 | 2017-05-31 | 北京奇虎科技有限公司 | 基于虚拟机的内核漏洞检测进程保护方法及装置 |
| CN107332850A (zh) * | 2017-07-06 | 2017-11-07 | 深圳互联先锋科技有限公司 | 网络安全防御的方法及装置 |
| CN109033828A (zh) * | 2018-07-25 | 2018-12-18 | 山东省计算中心(国家超级计算济南中心) | 一种基于计算机内存分析技术的木马检测方法 |
| CN109829301A (zh) * | 2018-12-27 | 2019-05-31 | 江苏博智软件科技股份有限公司 | 一种基于动态行为监测的恶意程序检测方法 |
| CN110069936A (zh) * | 2019-03-29 | 2019-07-30 | 合肥高维数据技术有限公司 | 一种木马隐写方法和检测方法 |
| CN110362995A (zh) * | 2019-05-31 | 2019-10-22 | 电子科技大学成都学院 | 一种基于逆向与机器学习的恶意软件检测及分析系统 |
| CN110602044A (zh) * | 2019-08-12 | 2019-12-20 | 贵州电网有限责任公司 | 一种网络威胁分析方法和系统 |
| CN111131304A (zh) * | 2019-12-31 | 2020-05-08 | 嘉兴学院 | 面向云平台大规模虚拟机细粒度异常行为检测方法和系统 |
| CN113176926A (zh) * | 2021-04-06 | 2021-07-27 | 中国科学院信息工程研究所 | 一种基于虚拟机自省技术的api动态监控方法及系统 |
| CN113312624A (zh) * | 2021-06-21 | 2021-08-27 | 厦门服云信息科技有限公司 | 一种Java Web应用内存木马检测方法、终端设备及存储介质 |
| CN113569244A (zh) * | 2021-09-18 | 2021-10-29 | 成都数默科技有限公司 | 一种基于处理器跟踪的内存恶意代码检测方法 |
Non-Patent Citations (3)
| Title |
|---|
| Vamshi Krishna Gudipati ; Aayush Vetwal ; Varun Kumar ; Anjorin Adeniyi ; .Detection of Trojan Horses by the analysis of system behavior and data packets.《IEEE》.2015,全文. * |
| 基于主机与云分析结合的轻量级威胁感知系统;彭国军;王泰格;刘焱;张焕国;;华中科技大学学报(自然科学版)(03);全文 * |
| 基于内存完整性的木马检测技术研究;齐琪;《中国优秀硕士学位论文全文数据库》;全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114629711A (zh) | 2022-06-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108471429B (zh) | 一种网络攻击告警方法及系统 | |
| US8181248B2 (en) | System and method of detecting anomaly malicious code by using process behavior prediction technique | |
| KR101132197B1 (ko) | 악성 코드 자동 판별 장치 및 방법 | |
| CN108965340B (zh) | 一种工业控制系统入侵检测方法及系统 | |
| US20050278178A1 (en) | System and method for intrusion decision-making in autonomic computing environments | |
| KR20090130990A (ko) | 응용 프로그램 비정상행위 차단 장치 및 방법 | |
| US10462170B1 (en) | Systems and methods for log and snort synchronized threat detection | |
| CN111191248B (zh) | 针对Android车载终端系统的漏洞检测系统及方法 | |
| CN110460611B (zh) | 基于机器学习的全流量攻击检测技术 | |
| Kruegel et al. | Using alert verification to identify successful intrusion attempts | |
| CN110879889A (zh) | Windows平台的恶意软件的检测方法及系统 | |
| Esposito et al. | Evaluating pattern recognition techniques in intrusion detection systems | |
| CN114629711B (zh) | 一种针对Windows平台特种木马检测的方法及系统 | |
| CN112565278A (zh) | 一种捕获攻击的方法及蜜罐系统 | |
| CN106911665B (zh) | 一种识别恶意代码弱口令入侵行为的方法及系统 | |
| CN111859374A (zh) | 社会工程学攻击事件的检测方法、装置以及系统 | |
| CN117240598B (zh) | 攻击检测方法、装置、终端设备及存储介质 | |
| CN114070899B (zh) | 一种报文检测方法、设备及可读存储介质 | |
| CN112699369A (zh) | 一种通过栈回溯检测异常登录的方法及装置 | |
| CN116170186A (zh) | 基于网络流量分析的攻击代码在线检测方法和装置 | |
| US20230315848A1 (en) | Forensic analysis on consistent system footprints | |
| US20230214489A1 (en) | Rootkit detection based on system dump files analysis | |
| CN116015800A (zh) | 一种扫描器识别方法、装置、电子设备及存储介质 | |
| Wu et al. | A novel approach to trojan horse detection by process tracing | |
| CN110990830A (zh) | 终端取证溯源系统及方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |