技術領域

本發明涉及網絡安全技術領域，特別涉及一種防范遠控類木馬病毒的方法及系統。

背景技術

在網絡安全領域，計算機病毒主要目的在于破壞系統設備，而木馬則更傾向于機密信息竊取。遠控程序屬于木馬的一種，一旦被不法分子使用，則會用于竊取機密文件，造成信息泄漏，造成不可估量的損失。

遠程控制是一種操作計算機的手段，通過遠控程序從控制端對被控端的各種資源進行相應的控制，本質上和本地操作并無實質區別，遠控者通常對系統擁有較高的執行權限。遠控程序由兩部分構成：一部分是用來發送命令的客戶端程序（Client），另一部分是用來提供服務的服務端程序（Server）。客戶端程序運行在控制端，而服務端程序運行在被控端，遠控程序通過特定技術手段在對應的計算機之間建立通信信道，用來進行發送命令或者數據傳輸，建立連接后，控制端向被控端發送相應的指令，操作被控端完成特定的任務。在連接的過程中，被控端一旦接受到控制端發送過來的指令，就會根據指令內容完成相應的任務指示，并發送返回結果指令。

遠控木馬的關鍵技術大致分為3大類：Web技術、Activex技術以及Sockets技術。Web技術可以分為前端和后端兩部分，遠控木馬利用Web技術的便利性，通過瀏覽器遠程控制目標主機已經成為當下較流行的方法，例如Webshell程序。Activex技術是由微軟提出的一種建立在COM/DCOM?(組件/分布式組件對象模型)?基礎之上的技術。Activex?技術包括?OLE(對象的鏈接與嵌入)?和其它應用于?Internet?上的多種技術。Activex?程序執行過程如下：首先利用目標瀏覽器訪問包含Activex控件的Web頁面，瀏覽器則會自動下載Activex控件，并將該控件在系統中注冊執行，遠控木馬可以利用這一特性，來實現對目標主機的各種操作。Sockets技術是網絡編程的核心，是進行網絡通信的基本單元，一切基于TCP/IP協議的網絡應用程序都是建立在socket基礎之上的。

目前對于遠控木馬的檢測技術大致分為三類：一類是從木馬植入階段開始分析，該方法功能單一，容易存在漏報、誤報的可能；第二類是從木馬激活運行入手進行檢測，該方法識別率較低，當木馬更改初始狀態時無法被檢測；第三類是從木馬通信過程進行檢測，該檢測方法存在一定的滯后性，遠控類木馬在植入到目標系統到運行、控制等階段都可以更改通信端口，從而避免被該方法識別。

發明內容

本發明提供了一種防范遠控類木馬病毒的方法及系統，能夠有效防范遠控類木馬的運行，阻斷惡意流量的進出，保護用戶計算機不被傷害。

一種防范遠控類木馬病毒的方法，包括：

捕獲網絡中的數據包流量；

用預先設定的特征規則庫中的特征，遍歷捕獲到的數據包流量，判斷是否存在匹配的特征，如果匹配，則將所述數據包流量交給后續惡意代碼探頭處理，否則繼續判斷所述數據包流量；

排除捕獲的數據包流量中的已知URL，并判斷所述數據包流量是否為惡意流量，如果所述數據包流量是惡意流量，則進行阻斷并報警提示；否則放行所述數據包流量。

所述的方法中，所述在用預先設定的特征規則庫中的特征，遍歷捕獲到的數據包流量之前，包括建立特征規則庫，所述規則特征庫中的特征為已知惡意程序的特征集合。

所述的方法中，所述排除捕獲的數據包流量中的已知URL具體為：建立URL黑名單及白名單，判斷捕獲的數據包流量中的URL是否與URL黑名單及白名單匹配，如果是，則將所述數據包流量交給后續惡意代碼探頭處理。

由于遠控類木馬一般會采取端口復用的方式來實現其通信端口的隱藏，因此所述的方法中，判斷所述數據包流量是否為惡意流量具體為：

捕獲數據包流量中的所有原始數據包；

提取數據包信息，所述數據包信息包括時間、數據包大小、IP地址、端口；

根據IP地址及端口信息，確定數據包相關進程；

在預設時間間隔內，統計每個進程的數據包流量，并繪制預設時間間隔內的進程流量圖，根據預設條件判斷所述進程產生的數據包流量是否是惡意流量。

所述的方法中，根據預設條件判斷所述進程產生的數據包流量是否是惡意流量為：

比較預設時間間隔內進程產生的上行數據包流量及下行數據包流量，如果上行數據包流量大于下行數據包流量，則所述進程產生的數據包流量為惡意流量，否則，所述進程產生的數據包流量為非惡意流量。