本發(fā)明公開(kāi)了一種非法外聯(lián)的判定方法、系統(tǒng)及裝置。在外部程序?qū)Ψ?wù)器發(fā)起或監(jiān)聽(tīng)網(wǎng)絡(luò)連接請(qǐng)求時(shí)，獲取該網(wǎng)絡(luò)連接請(qǐng)求的程序標(biāo)識(shí)特征，然后判斷網(wǎng)絡(luò)連接的程序標(biāo)識(shí)特征是否存在于預(yù)設(shè)程序標(biāo)識(shí)特征庫(kù)，當(dāng)該程序標(biāo)識(shí)特征存在于預(yù)設(shè)程序標(biāo)識(shí)特征庫(kù)時(shí)，判定網(wǎng)絡(luò)連接為非法外聯(lián)，能夠在服務(wù)器與外部程序之間出現(xiàn)網(wǎng)絡(luò)連接請(qǐng)求時(shí)就發(fā)現(xiàn)該網(wǎng)絡(luò)連接，避免了獲取網(wǎng)絡(luò)連接請(qǐng)求的間隔長(zhǎng)而不能及時(shí)發(fā)現(xiàn)該網(wǎng)絡(luò)連接，且能夠獲取連接形式為短連接的網(wǎng)絡(luò)連接，由于在服務(wù)器與外部程序之間建立網(wǎng)絡(luò)連接前就獲取程序標(biāo)識(shí)特征，能夠在黑客使用木馬程序修改系統(tǒng)命令之前獲取到該網(wǎng)絡(luò)連接。此外，由于只需要獲取該條網(wǎng)絡(luò)連接的程序標(biāo)識(shí)特征，節(jié)省了計(jì)算機(jī)存儲(chǔ)資源。

技術(shù)領(lǐng)域

本發(fā)明涉及網(wǎng)絡(luò)連接檢測(cè)領(lǐng)域，特別是涉及一種非法外聯(lián)的判定方法、系統(tǒng)及裝置。

背景技術(shù)

黑客為了能夠盜取服務(wù)器內(nèi)的數(shù)據(jù)信息，需要先使程序與服務(wù)器之間建立起網(wǎng)絡(luò)連接，以便后續(xù)進(jìn)行盜竊活動(dòng)，現(xiàn)有技術(shù)通過(guò)netstat–anp命令以周期性獲取服務(wù)器與所有其他外部程序之間建立的網(wǎng)絡(luò)連接的日志信息，然后將這些日志信息傳送至預(yù)設(shè)網(wǎng)絡(luò)連接信息庫(kù)以判斷網(wǎng)絡(luò)連接的安全性，但周期性獲取存在如下缺點(diǎn)：

1、通常無(wú)法及時(shí)獲取到新建的網(wǎng)絡(luò)連接，可能會(huì)在黑客成功盜取數(shù)據(jù)信息后才能獲取到該網(wǎng)絡(luò)連接。

2、在服務(wù)器與外部程序之間的網(wǎng)絡(luò)連接是短連接時(shí)，由于短連接在數(shù)據(jù)發(fā)送完成后會(huì)斷開(kāi)，若該短連接的建立至斷開(kāi)的時(shí)間小于相鄰兩個(gè)周期的間隔時(shí)間，則無(wú)法獲取該網(wǎng)絡(luò)連接。

3、黑客會(huì)使用木馬程序修改系統(tǒng)命令使得用戶(hù)無(wú)法發(fā)現(xiàn)黑客的網(wǎng)絡(luò)連接，例如，黑客可以使用rootkit hook(木馬掛鉤)技術(shù)覆蓋或修改netstat命令，使得netstat–anp命令無(wú)法獲取黑客與服務(wù)器之間的網(wǎng)絡(luò)連接。

4、由于每次獲取到的網(wǎng)絡(luò)連接的數(shù)量很多，且大部分為上個(gè)周期已有的網(wǎng)絡(luò)連接，會(huì)消耗大量的計(jì)算機(jī)存儲(chǔ)資源。

發(fā)明內(nèi)容

本發(fā)明的目的是提供一種非法外聯(lián)的判定方法、系統(tǒng)及裝置，能夠獲取形式為短連接的網(wǎng)絡(luò)連接，且不會(huì)因?yàn)橹芷谛垣@取的周期間隔長(zhǎng)而不能及時(shí)發(fā)現(xiàn)該網(wǎng)絡(luò)連接，能夠在黑客使用木馬程序修改系統(tǒng)命令之前獲取到該網(wǎng)絡(luò)連接，還節(jié)省了計(jì)算機(jī)存儲(chǔ)資源。

為解決上述技術(shù)問(wèn)題，本發(fā)明提供了一種非法外聯(lián)的判定方法，包括：

在外部程序?qū)Ψ?wù)器發(fā)起或監(jiān)聽(tīng)網(wǎng)絡(luò)連接請(qǐng)求時(shí)，獲取所述網(wǎng)絡(luò)連接請(qǐng)求中的程序標(biāo)識(shí)特征；

判斷所述程序標(biāo)識(shí)特征是否存在于預(yù)設(shè)程序標(biāo)識(shí)特征庫(kù)；

若所述程序標(biāo)識(shí)特征存在于所述預(yù)設(shè)程序標(biāo)識(shí)特征庫(kù)，則判定所述網(wǎng)絡(luò)連接請(qǐng)求對(duì)應(yīng)的網(wǎng)絡(luò)連接為非法外聯(lián)。

優(yōu)選的，獲取所述網(wǎng)絡(luò)連接中的程序標(biāo)識(shí)特征，包括：

在所述外部程序?qū)λ龇?wù)器發(fā)起或監(jiān)聽(tīng)所述網(wǎng)絡(luò)連接請(qǐng)求時(shí)，獲取包含所述網(wǎng)絡(luò)連接請(qǐng)求的日志信息；

獲取所述日志信息中的所述程序標(biāo)識(shí)特征。

優(yōu)選的，獲取包含所述網(wǎng)絡(luò)連接請(qǐng)求的日志信息，包括：

在所述外部程序?qū)λ龇?wù)器發(fā)起所述網(wǎng)絡(luò)連接請(qǐng)求時(shí)，調(diào)用所述服務(wù)器的系統(tǒng)調(diào)用表中的原生connect系統(tǒng)調(diào)用地址被修改后的第一系統(tǒng)調(diào)用地址；

在獲取中斷指令后基于所述第一調(diào)用地址獲取包含所述網(wǎng)絡(luò)連接請(qǐng)求的日志信息。

優(yōu)選的，獲取包含所述網(wǎng)絡(luò)連接請(qǐng)求的日志信息，包括：

在所述外部程序?qū)λ龇?wù)器監(jiān)聽(tīng)所述網(wǎng)絡(luò)連接請(qǐng)求時(shí)，調(diào)用所述服務(wù)器的系統(tǒng)調(diào)用表中的原生accept系統(tǒng)調(diào)用地址被修改后的第二系統(tǒng)調(diào)用地址；

在獲取中斷指令后基于所述第二系統(tǒng)調(diào)用地址獲取包含所述網(wǎng)絡(luò)連接請(qǐng)求的日志信息。