技術領域

本發明屬于網絡安全技術領域，特別是涉及一種木馬發現系統。

技術背景

木馬程序通過控制被感染的主機來竊取敏感信息或者機密文件，是網絡的一 種重要威脅。通過檢測木馬程序的特征代碼可以發現并清除或者過濾木馬程序。 但這種方法只適用于已知的、未加密的和不變形的木馬程序，對于未知的、加 密型的或者變形的木馬程序則不適用。本發明提出了一種通過檢測木馬程序的 網絡行為特征來檢測木馬的方法。事實上，木馬程序的一個主要特征是受控， 即木馬程序必須接受控制方的指令，以采取侵害行為。接受控制指令的一種可 能方式是由控制方發起對受控方的某個端口的連接。但這種從外部網發起的對 內部網的訪問比較容易被檢測和被防火墻所阻止。另一種方式是由受控方通過 80端口等常用端口發起對外網IP的連接，然后接受控制方的指令。這種方式 能夠躲過防火墻的監控，但它的網絡行為與通常的客戶機服務器方式相反，即 發起連接方實際上是響應方。而接受連接方有可能不是管理良好的可信網站、 高訪問率網站、有正規域名的網站、或者比較容易監控的國內網站。另外，木 馬程序的主要目的是竊取信息。所以，如果它竊取的是機密文件，則其網絡表 現可能是經過簡短的會話就開始上傳文件，并造成上傳流量遠遠大于下傳流量。 在沒有加密的情況下，流量內容中會出現被竊文件中的機密詞匯。如果它竊取 的是敏感信息，則其網絡表現可能是會話過程很簡短，來回流量都很小。所以 本發明的突出優點是提供了一種通過網絡表現來檢測木馬程序的新技術，它不 需要人工分析木馬程序，也不需要事先知道木馬程序的代碼特征，因而可以檢 測未知的、加密型的和變形的木馬程序。可以應用于企業網、政府網的安全檢 測。

發明內容

本發明的目的在于克服現有技術的不足，提供一種木馬發現系統。

為了實現本發明目的，采用的技術方案如下：

一種木馬發現系統，包括目的IP地址可信度評估模塊、應用識別模塊、敏 感詞檢測模塊、流量統計特征檢測模塊、木馬識別模塊，待檢測的數據流分別 經過目的IP地址可信度評估模塊、應用識別模塊、敏感詞檢測模塊、流量統計 特征檢測模塊、木馬識別模塊進行識別，以判定是否是木馬程序產生的數據流。

所述的目的IP地址可信度評估模塊判斷一個目的地IP是否屬于內部網、 或可信網站、或高訪問率網站、或國內網、或有域名的網站、或可疑網站，并 進行訪問率統計。

所述的應用識別模塊對連接進行應用識別，如果該應用不能被識別，則記 錄其結果。

所述的敏感詞檢測模塊檢測設定的敏感詞。

所述的流量統計特征檢測模塊通過提取正常client-server(客戶機-服務器) 的統計特征，用于發現反client-server的行為；通過提取網絡中正常的簡短會話 過程特征，用于發現異常的簡短會話過程；通過提取現有木馬程序的行為特征， 用于對木馬的模式匹配；并記錄特征分析結果。

所述的木馬識別模塊采用決策樹分類器對目的IP地址可信度評估模塊、應 用識別模塊、敏感詞檢測模塊、流量統計特征檢測模塊的評估結果進行分析， 以識別該連接是否木馬程序產生的網絡流，并計算其為木馬的可能性的大小。

所述的決策樹分類器采用包含各種正常應用的網絡流樣本實例集和各種 已知木馬程序產生的網絡流樣本實例集訓練產生。

本發明還包括雙向數據記錄模塊，雙向數據記錄模塊記錄可疑的雙向傳輸 的數據，以便對可疑數據流進行后續分析，并保存對可疑數據流的分析結果。

本發明還包括域名查詢記錄模塊，所述域名查詢記錄模塊記錄每一個被查 詢過的目的IP地址，而所述目的IP地址可信度評估模塊還包括判斷一個目的 地IP是否屬于被域名查詢記錄模塊查詢過的網站。

本發明還包括輸入輸出模塊，所述輸入輸出模塊給用戶提供輸入界面、以 及顯示木馬檢測結果、可疑數據流的輸出界面。

本發明通過檢測木馬程序的網絡行為特征，包括其受控特征、目的網站特 征、竊取信息特征、網絡流量特征來發現木馬程序產生的網絡流量，進而追溯 到受控主機和控制主機。所以本發明的突出優點是不需要人工分析木馬程序， 不需要知道木馬程序的代碼特征，可以檢測未知的、加密型的和變形的木馬程 序。可以應用于企業網、政府網的安全檢測。

附圖說明

圖1為本發明的系統總體結構示意圖；

圖2為本發明的又一系統總體結構示意圖；