技術領域

本發明涉及信息技術網絡安全領域，尤其涉及一種木馬監控審計方法及系統。

背景技術

木馬程序相對傳統病毒的危害程度更高，它不但能破壞主機系統，使主機系統癱瘓，而且能夠完全控制目標主機，通過遠程控制端對目標主機實施任何可以在本地的操作，同時也能將本地目標主機中的文件下載到木馬控制端上和上傳新的木馬程序或其它病毒程序。而目前對木馬的檢測與防護主要是采用基于病毒查殺、桌面主動防御、安全病毒網關、防火墻等產品，這些產品的所采用的技術主要有三類：

第一類，基于木馬程序的靜態特征識別木馬。通過對木馬程序進行靜態分析，提取出可用于識別木馬程序的特征串，作為識別、檢測病毒的特征庫，病毒查殺、桌面主動防御、安全病毒網關基本采用這種技術，如卡巴斯基的防病毒軟件、360的殺毒軟件和桌面主動防御軟件等。

第二類，基于網絡異常通信行為阻斷方式阻斷木馬通信的連接。通過在防火墻上配置過濾規則，只允許正常的網絡通信會話流通過，如http、email等應用協議的會話，而對其它的網絡通信會話則阻斷其通信連接，從而阻斷了木馬程序的網絡通信。

第三類，基于網絡通信行為特征識別木馬。該技術是由中國人民解放軍信息技術安全研究中心與國都興業信息審計系統技術有限共同研究的，并申請了專利，其專利申請號是20091010157268.5，該技術的核心是通過對木馬程序在網絡通信的過程中的網絡通信行為特征來對木馬進行識別和檢測。應用了網絡行為監測技術。該技術的優點是不受木馬程序加殼、加花、變異的影響，不依賴主機系統環境。

從對木馬檢測的技術分析，對木馬的識別與檢測技術可以歸結為兩類，一類是基于靜態特征，就是木馬程序本身所具備的特征，另外一類是基于網絡通信行為特征，也叫動態特征。通過對木馬程序在進行網絡通信時，對其網絡通信的會話流進行分析，提取出其特征，作為識別木馬的依據。

針對目前木馬識別、檢測技術，其缺點主要包括如下幾方面：

1)利用靜態木馬程序特征識別木馬，能夠識別已知的木馬，但是對加殼、變異、加花的木馬程序則不能識別，必須重新分析，提取其新的特征，加入到木馬特征庫中。隨著加殼、加花技術的普及與相關軟件越來越多，大量的變種木馬在網絡上泛濫，不但增加了木馬分析的工作量，也造成了特征庫的頻繁更新。

2)基于靜態特征方式識別、檢測不但會隨著特征庫數量增加越來越龐大，造成檢測性能的下降，而且會影響目標主機系統的性能，將會占用越來越多的CPU、內存、磁盤資源；另外由于分析新的特征需要一定的時間，也會造成響應的滯后性，該技術途徑無法確定木馬程序是否已經運行過，做過什么類型的操作等。

3)對操作系統的依賴性，大部分木馬檢測與防護產品都是基于主機系統開發的，需要安裝在目標主機的操作系統中，如：卡巴斯基、360、趨勢、諾頓等研發的殺毒、主動防御軟件產品，都需要安裝在系統中，一個產品多個不同的系統版本。

4)隨著木馬的翻墻技術、端口反彈技術的應用普及，基于網絡異常通信行為阻斷木馬通信連接的有效性也越來越低，很多木馬程序在進行網絡通信時采用了標準的網絡通信端口，如80端口，并且采用反向連接技術，由被控端木馬的代理程序主動通過80端口去與控制端程序建立連接，這種方式會造成防火墻誤認為是一個正常的基于Web訪問的一個連接而放行。該技術不對具體的木馬進行檢測與控制，不對網絡通信內容進行處理分析，無法確定是否是真的木馬在通信，無法知道木馬通信的內容及傳輸文件的內容。

5)基于網絡通信行為特征識別木馬，只是通過其網絡通信行為特征識別出其木馬類型，而對其木馬通信的關鍵的網絡活動如獲取系統信息、修改系統配置、刪除文件、下載文件、上傳文件等的網絡行為和內容沒有做進一步分析。

發明內容

本發明的目的在于提供一種木馬監控審計方法及系統。基于本發明，不僅能夠對木馬的類型進行識別，而且能夠對木馬的網絡行為進行監控。

本發明公開了一種木馬監控審計方法，包括：采集步驟，實時采集網絡數據包；當前會話確定步驟，檢查網絡數據包是否屬于已經建立的網絡會話，如果是，則插入到已建立的會話中，否則建立新的會話；所述已建立的會話或所述新的會話作為當前會話；會話內容記錄步驟，檢測當前會話是否為木馬網絡通信會話；若是，記錄木馬網絡通信會話的內容；木馬網絡操作行為檢測步驟，依據記錄的木馬網絡通信會話的內容，檢測是否是木馬網絡操作行為，若是，記錄并監測木馬網絡操作行為；其中，木馬網絡操作行為的類型包括：木馬文件操作、木馬屏幕操作、木馬命令操作和進程/服務操作。