技術領域

本發明涉及網絡安全領域，特別涉及一種模擬網絡活動檢測木馬的方法及系統。

背景技術

隨著互聯網技術的發展和普及，計算機網絡得到了廣泛應用，越來越多的個人電腦加入到網絡中，利用廣泛開放的網絡環境進行全球通信已經成為時代發展的趨勢，人們日常的經濟和社會生活也越來越依賴互聯網，但網絡技術給人們帶來巨大便利的同時也帶來了各種各樣的安全威脅，其中特洛伊木馬泛濫異常猖獗，技術上不斷更新，而傳統的基于特征代碼的提取和對比的防火墻和反病毒技術有很大的局限性，對于新型的木馬一般難以檢測和清除，從而造成無法挽回的巨大損失，所以檢測木馬必須要有新的思路，即通過網絡通信特征來檢測木馬，但這種方式依賴于網絡數據包，然而在進行木馬網絡通信特征提取時，常常會遇到控制端不存活或網絡不存活的情況，例如控制端斷網未能連接網絡等，導致即便運行所述木馬程序，但依然無法獲取到木馬的網絡通信特征。

發明內容

基于上述問題，本發明提出了一種模擬網絡活動檢測木馬的方法，本發明能夠通過模擬網絡控制端或網絡存活，激發木馬的回連行為，進而激發其發送網絡數據包，獲取其網絡通訊協議特征，解決了現有方法中對非活動的木馬無效的問題。

一種模擬網絡活動檢測木馬的方法，包括：

在不同系統環境下，分別運行已知木馬程序，并根據所述木馬程序的網絡連接行為，模擬控制端返回相應連接成功的信息，激發木馬程序發出網絡通訊數據包；即在多種操作系統環境下，模擬木馬的網絡回連行為成功，激發木馬的網絡通訊數據包首包；

利用網絡抓包工具，抓取所述木馬程序在各系統環境下的網絡通訊數據包，并保存；

提取所述各系統環境下的網絡通訊數據包，并對比得到各系統環境下相同的數據或數據格式，作為所述已知木馬程序的網絡通訊協議特征，并保存形成特征庫；

監控網絡中的網絡數據包，并與特征庫中的網絡通訊協議特征匹配，如果匹配，則判定為木馬，報警并進行攔截；否則繼續監控。

所述的方法中，所述與特征庫中的網絡通訊協議特征匹配包括：正則匹配或特征組合匹配。

本發明還提供一種模擬網絡活動檢測木馬的系統，包括：

模擬運行模塊，用于在不同系統環境下，分別運行已知木馬程序，并根據所述木馬程序的網絡連接行為，模擬控制端返回相應連接成功的信息，激發木馬程序發出網絡通訊數據包；

抓包模塊，用于利用網絡抓包工具，抓取所述木馬程序在各系統環境下的網絡通訊數據包，并保存；

特征提取模塊，用于提取所述各系統環境下的網絡通訊數據包，并對比得到各系統環境下相同的數據或數據格式，作為所述已知木馬程序的網絡通訊協議特征，并保存形成特征庫；

監控模塊，用于監控網絡中的網絡數據包，并與特征庫中的網絡通訊協議特征匹配，如果匹配，則判定為木馬，報警并進行攔截；否則繼續監控。

述的系統中，所述與特征庫中的網絡通訊協議特征匹配包括：正則匹配或特征組合匹配。

本發明所提出的方法及系統，能夠通過模擬控制端返回的信息，激發木馬的網絡行為，獲取木馬在各種不同系統環境下的網絡通訊數據包，并比較提取相同的網絡通訊協議特征，用于對網絡中的數據包進行檢測。通過本發明的方法，能夠通過模擬控制端或網絡存活，激發木馬的回連行為，來獲取非活動木馬的網絡通訊特征，進而對普通的檢測技術無法識別的木馬，如加殼木馬進行檢測。

附圖說明

為了更清楚地說明本發明或現有技術中的技術方案，下面將對實施例或現有技術描述中所需要使用的附圖作簡單地介紹，顯而易見地，下面描述中的附圖僅僅是本發明中記載的一些實施例，對于本領域普通技術人員來講，在不付出創造性勞動的前提下，還可以根據這些附圖獲得其他的附圖。

圖1為本發明一種模擬網絡活動檢測木馬的方法流程圖；

圖2為本發明一種模擬網絡活動檢測木馬的系統示意圖。

具體實施方式

為了使本技術領域的人員更好地理解本發明實施例中的技術方案，并使本發明的上述目的、特征和優點能夠更加明顯易懂，下面結合附圖對本發明中技術方案作進一步詳細的說明。

基于上述問題，本發明提出了一種模擬網絡活動檢測木馬的方法，本發明能夠通過模擬網絡控制端或網絡存活，激發木馬的回連行為，進而激發其發送網絡數據包，獲取其網絡通訊協議特征，解決了現有方法中對非活動的木馬無效的問題。

一種模擬網絡活動檢測木馬的方法，如圖1所示，包括：