技術(shù)領(lǐng)域

本發(fā)明屬于網(wǎng)絡(luò)安全領(lǐng)域，特別涉及檢測木馬程序的方法和裝置。

背景技術(shù)

現(xiàn)在，INTERNET上木馬傳播的范圍越來越廣，造成的危害越來越大。

傳統(tǒng)殺毒軟件都是以特征碼對比技術(shù)殺毒，特征碼即把病毒樣本原程序拿到，提出程序中類似指紋的一段獨(dú)一無二的代碼，加到殺毒軟件中，然后掃描所有文件，如果有這段特征碼，就是病毒，即可被殺掉。

這種檢測木馬的技術(shù)只能檢測出已獲取樣本的木馬，對于未知、加殼、變異的木馬，因?yàn)樵闯绦蛑械奶卣鞔a和已有的特征碼不一致，所以就無法檢測出來。

發(fā)明內(nèi)容

本發(fā)明的目的是研發(fā)出一種通過分析對比網(wǎng)絡(luò)行為特征的方式檢測木馬程序的方法及裝置，具有檢測已知木馬、未知木馬以及木馬變種的能力。

本發(fā)明采用分析對比行為特征的方式檢測木馬，首先搜集局域網(wǎng)內(nèi)的網(wǎng)絡(luò)行為，提取分析其典型行為特征，通過木馬外連、信息竊取和信息外發(fā)網(wǎng)絡(luò)行為，實(shí)時檢測木馬。其過程是：(附圖2所示)

1)采集網(wǎng)絡(luò)數(shù)據(jù)包；

2)對數(shù)據(jù)包拆分重組；

3)解析網(wǎng)絡(luò)行為方式；

4)將網(wǎng)絡(luò)行為與木馬行為特征庫進(jìn)行特征對比；

5)若行為特征相同，則產(chǎn)生報警行為，若不相同，則捕獲下一個網(wǎng)絡(luò)數(shù)據(jù)包。

基于木馬網(wǎng)絡(luò)行為特征對比的檢測方法，是本系統(tǒng)的核心檢測方法。系統(tǒng)按照木馬網(wǎng)絡(luò)行為進(jìn)行了有效的分類，并針對木馬網(wǎng)絡(luò)行為的分類來制定檢測方法。系統(tǒng)從木馬的外連、信息竊取和信息外發(fā)這三個方面來進(jìn)行行為特征分析。通過對木馬行為的深入研究和分析，從而找到并制定出木馬檢測的規(guī)則。

本發(fā)明所指的木馬行為定義為孤立性運(yùn)行行為和交互性運(yùn)行行為。孤立性運(yùn)行行為是指木馬的行為完全由木馬程序自身自主控制，完全不受外界的操控，也不與外界發(fā)送任何形勢的信息交換。而交互性運(yùn)行行為指該行為是有木馬程序與外界系統(tǒng)進(jìn)行網(wǎng)絡(luò)交互后產(chǎn)生。例如信息竊取類木馬，其在宿主主機(jī)上進(jìn)行信息竊取的全過程屬于孤立性運(yùn)行行為，因?yàn)樾畔⒏`取的過程并不與外界產(chǎn)生交互，也不會形成網(wǎng)絡(luò)流量。而當(dāng)此類木馬將竊取到得信息外發(fā)到外界接收端系統(tǒng)時，該行為即為交互性運(yùn)行行為。木馬此時需要與外界系統(tǒng)進(jìn)行網(wǎng)絡(luò)信息交換才能完成此運(yùn)行行為。

以下是本發(fā)明對木馬外連、信息竊取和信息外發(fā)這三個方面的檢測方法分析。

(1)外連

木馬外連這一行為特征與木馬的功能特點(diǎn)密不可分。木馬其主要功能目的是用于獲取木馬種植者(通常為黑客)所關(guān)心的信息，或者成為木馬種植者進(jìn)行非法行為的幫兇。例如在進(jìn)行DDoS攻擊時，木馬種植者經(jīng)常會利用受其控制的肉雞(被植入攻擊型木馬程序的主機(jī))，驅(qū)使肉雞對攻擊目標(biāo)發(fā)動攻擊。

為了完成木馬本身的使命，木馬程序必將會與外界系統(tǒng)發(fā)生交互，從而產(chǎn)生網(wǎng)絡(luò)會話。因此，可以從主機(jī)每日大量的網(wǎng)絡(luò)會話中，發(fā)現(xiàn)木馬的網(wǎng)絡(luò)會話特征，從而建立木馬檢測規(guī)則，用于對該木馬，及其同類型的木馬進(jìn)行檢測。通過對木馬樣本網(wǎng)絡(luò)會話的分析，可以得出木馬網(wǎng)絡(luò)會話的如下幾類特征：

a)連接信息獲取行為。木馬程序?yàn)榱送瓿膳c外界系統(tǒng)的信息交換，必須定期更新外界系統(tǒng)的相關(guān)信息，比如外界系統(tǒng)的IP地址、端口、用戶名和密碼等等。通常木馬會采用定期到指定的連接信息發(fā)布系統(tǒng)去獲取連接信息。

b)郵件發(fā)送行為。信息竊取類木馬多采用郵件的形式發(fā)送竊取的信息。

c)長連接網(wǎng)絡(luò)會話。當(dāng)木馬成功獲得外界系統(tǒng)的IP地址、端口、用戶名和密碼等相關(guān)信息后，通常會與外界系統(tǒng)建立一個長連接來完成信息交換。

d)網(wǎng)絡(luò)會話創(chuàng)建失敗。由于木馬得到的外界系統(tǒng)的連接信息可能過期失效這一特性，木馬可能會產(chǎn)生針對某一固定地址連接失敗的網(wǎng)絡(luò)會話。

(2)信息竊取

信息竊取屬于孤立性運(yùn)行行為，其主要目的是為了竊取信息資料，以待日后擇機(jī)將竊取到得資料發(fā)送給控制端。由于信息竊取其孤立性特點(diǎn)，即其所有行為均獨(dú)立的發(fā)生在被木馬感染的主機(jī)之上，并不與外部交互，故不建立任何網(wǎng)絡(luò)會話，沒有通過網(wǎng)絡(luò)進(jìn)行信息交換，因此，無法從木馬的該項(xiàng)行為特征出發(fā)，建立木馬的網(wǎng)絡(luò)行為檢測規(guī)則。但是分析木馬的該項(xiàng)行為仍具有非常重要的實(shí)用價值。因?yàn)橹灰私饬四抉R程序能竊取的信息資料，就可以進(jìn)一步跟蹤木馬信息外發(fā)行為所要發(fā)送的信息資料的內(nèi)容，也可以知道發(fā)送信息資料將會對網(wǎng)絡(luò)會話流量產(chǎn)生何種程度的影響。

(3)信息外發(fā)