防網(wǎng)上竊取電腦文件的方法
【專利摘要】本發(fā)明涉及一種防網(wǎng)上竊取電腦文件的方法。本發(fā)明基于通用的網(wǎng)絡(luò)協(xié)議。通過計(jì)算機(jī)網(wǎng)絡(luò)，必定都要經(jīng)由網(wǎng)卡，使用通用的網(wǎng)絡(luò)協(xié)議才能順利的將本地文件傳輸?shù)侥繕?biāo)IP。因此如果在網(wǎng)卡這一處設(shè)置一道防線，使用合理的選擇算法，將本地文件流出的數(shù)據(jù)析取出來就能夠?qū)崿F(xiàn)網(wǎng)絡(luò)竊取行為的識(shí)別。針對(duì)使用TCP/IP協(xié)議族植入木馬、捆綁程序和植入惡意代碼竊取用戶本地磁盤文件等行為，提出了動(dòng)態(tài)實(shí)時(shí)的協(xié)議分析結(jié)合數(shù)據(jù)包分析判斷方法，從而實(shí)現(xiàn)在傳播過程中實(shí)時(shí)的捕獲這類行為，同時(shí)逆向分析，從而識(shí)別出本地竊取程序和竊取目標(biāo)IP地址。
【專利說明】 防網(wǎng)上竊取電腦文件的方法
【技術(shù)領(lǐng)域】:
[0001]本發(fā)明針對(duì)在互聯(lián)網(wǎng)的應(yīng)用中，存在的使用TCP/IP協(xié)議族植入木馬、捆綁程序和植入惡意代碼竊取用戶本地磁盤文件等行為，通過動(dòng)態(tài)實(shí)時(shí)的協(xié)議分析結(jié)合數(shù)據(jù)包分析判斷方法對(duì)這些行為進(jìn)行捕獲，同時(shí)逆向分析，從而識(shí)別出本地竊取程序和竊取目標(biāo)IP地址。
【背景技術(shù)】:
[0002]目前，在互聯(lián)網(wǎng)中廣泛應(yīng)用的協(xié)議是TCP/IP協(xié)議，是Internet最基本的協(xié)議。該協(xié)議分為四層協(xié)議，包括網(wǎng)絡(luò)接口層、網(wǎng)絡(luò)層、傳輸層和應(yīng)用層。四層協(xié)議每一層為上層提供接口服務(wù)，并且調(diào)用下一層的服務(wù)，在整個(gè)網(wǎng)絡(luò)中，同一層之間的通信是透明的。目前在網(wǎng)絡(luò)層一般采用的是IP協(xié)議，在傳輸層主要使用面向連接協(xié)議的TCP和無連接的UDP協(xié)議。
[0003]每個(gè)IP數(shù)據(jù)包都有報(bào)頭和報(bào)文兩個(gè)信息，而報(bào)頭具有一定的規(guī)范要求從IP數(shù)據(jù)包報(bào)頭中可以看到的信息包括:協(xié)議版本是IPv4或IPv6，報(bào)頭長(zhǎng)度，上層協(xié)議類型，源地址和目的地址等信息。TCP協(xié)議使用的是面向連接協(xié)議，他和UDP協(xié)議是傳輸層中最重要的協(xié)議。這兩個(gè)協(xié)議的報(bào)頭中都可以獲取到發(fā)送的源端口信息和目的端口信息。

【發(fā)明內(nèi)容】
:
[0004]1、通過計(jì)算機(jī)網(wǎng)絡(luò)，必定都要經(jīng)由網(wǎng)卡，使用通用的網(wǎng)絡(luò)協(xié)議才能順利的將本地文件傳輸?shù)侥繕?biāo)IP。因此如果在網(wǎng)卡這一處設(shè)置一道防線，使用合理的選擇算法，將本地文件流出的數(shù)據(jù)析取出來就能夠?qū)崿F(xiàn)網(wǎng)絡(luò)竊取行為的識(shí)別。
[0005]2、在識(shí)別的過程中，已經(jīng)獲取了時(shí)間，文件名和目的IP地址。竊取行為的處理技術(shù)是找到木馬程序或者對(duì)應(yīng)程序宿主。經(jīng)過信息處理將數(shù)據(jù)包中獲取的機(jī)器數(shù)據(jù)，進(jìn)一步轉(zhuǎn)化為用戶能看的懂的用戶數(shù)據(jù)，方便用戶進(jìn)行判斷。
【專利附圖】

【附圖說明】:
[0006]圖1:系統(tǒng)模塊示意圖
[0007]圖2:處理模塊中映射關(guān)系圖
【具體實(shí)施方式】:
[0008]1、網(wǎng)絡(luò)竊取行為識(shí)別:
[0009](I)抓包:目前，在互聯(lián)網(wǎng)中廣泛應(yīng)用的協(xié)議是TCP/IP協(xié)議族。TCP/IP協(xié)議為了適用不同操作系統(tǒng)、不同軟件平臺(tái)，而使用了基本傳輸單元:套接字(SOCKET)。套接字分為面向有連接的傳輸?shù)牧魈捉幼?、面向無連接的傳輸?shù)臄?shù)據(jù)報(bào)套接字以及能同時(shí)接收兩者的原始套接字。
[0010]這里創(chuàng)建一個(gè)原始套接字，綁定到本地主機(jī)網(wǎng)卡，并且發(fā)送S10_RCVALL命令，從而將網(wǎng)卡設(shè)置為混雜模式，用以接收所有流經(jīng)網(wǎng)卡的數(shù)據(jù)包。然后一直調(diào)用recv命令，將所有網(wǎng)卡接收到的數(shù)據(jù)包，放入緩沖隊(duì)列，提供給下一步處理。
[0011](2)拆包:這四層在網(wǎng)絡(luò)傳輸中各司其職，每一層為上層提供接口服務(wù)，并且調(diào)用下一層的服務(wù)。使用原始套接字截取到的數(shù)據(jù)包，是從網(wǎng)絡(luò)層開始截取。網(wǎng)絡(luò)接口層專司數(shù)據(jù)bit流的傳輸，其內(nèi)容是在網(wǎng)絡(luò)層的基礎(chǔ)上加上報(bào)文頭部，因此實(shí)際上所有流出的數(shù)據(jù)，從網(wǎng)絡(luò)層截取，就能夠截取到所有的數(shù)據(jù)包內(nèi)容。
[0012](3)析包:取得了剝離了 IP報(bào)頭和傳輸層報(bào)頭之后的數(shù)據(jù)，也是最接近上層的協(xié)議，從這些數(shù)據(jù)中，識(shí)別出來文件竊取行為的標(biāo)識(shí)，目前國(guó)內(nèi)外沒有對(duì)應(yīng)的文獻(xiàn)可查。同時(shí)對(duì)于網(wǎng)絡(luò)數(shù)據(jù)包來說，用戶主動(dòng)傳輸文件，如郵件上傳附件，和木馬竊取文件使用的協(xié)議規(guī)范是一致的，所以從技術(shù)上說，從網(wǎng)卡處得到的信息，是無法確定一個(gè)本地文件流出的行為，是用戶主動(dòng)傳輸還是遭到竊取的。所以目前做的是通過篩選，將文件的流出行為識(shí)別出來，再由用戶，根據(jù)實(shí)際操作來進(jìn)行甄別和區(qū)分。
[0013]2、網(wǎng)絡(luò)竊取行為的處理:
[0014]在識(shí)別的過程中，已經(jīng)獲取了時(shí)間，文件名和目的IP地址。竊取行為的處理技術(shù)是找到木馬程序或者對(duì)應(yīng)程序宿主。經(jīng)過信息處理將數(shù)據(jù)包中獲取的機(jī)器數(shù)據(jù)，進(jìn)一步轉(zhuǎn)化為用戶能看的懂的用戶數(shù)據(jù)，方便用戶進(jìn)行判斷。一般用戶更容易接受的是程序名和程序路徑，對(duì)數(shù)據(jù)包中提到的端口等信息比較陌生，在具體實(shí)現(xiàn)的時(shí)候，端口號(hào)和程序名沒有一一對(duì)應(yīng)關(guān)系，在Window平臺(tái)上，通過列舉當(dāng)前程序占用端口情況，通過映射，找到進(jìn)程的名稱和路徑。這樣完成了網(wǎng)絡(luò)切取彳丁為的處理技術(shù)。最后在Visual Studio2010中完成整個(gè)程序的編碼工作。
【權(quán)利要求】
1.網(wǎng)絡(luò)竊取行為識(shí)別技術(shù):通過計(jì)算機(jī)網(wǎng)絡(luò)，必定都要經(jīng)由網(wǎng)卡，使用通用的網(wǎng)絡(luò)協(xié)議才能順利的將本地文件傳輸?shù)侥繕?biāo)IP。因此如果在網(wǎng)卡這一處設(shè)置一道防線，使用合理的選擇算法，將本地文件流出的數(shù)據(jù)析取出來就能夠?qū)崿F(xiàn)網(wǎng)絡(luò)竊取行為的識(shí)別。
2.網(wǎng)絡(luò)竊取行為的處理技術(shù):在識(shí)別的過程中，已經(jīng)獲取了時(shí)間，文件名和目的IP地址。竊取行為的處理技術(shù)是找到木馬程序或者對(duì)應(yīng)程序宿主。經(jīng)過信息處理將數(shù)據(jù)包中獲取的機(jī)器數(shù)據(jù)，進(jìn)一步轉(zhuǎn)化為用戶能看的懂的用戶數(shù)據(jù)，方便用戶進(jìn)行判斷。
【文檔編號(hào)】H04L29/06GK103944873SQ201410035324
【公開日】2014年7月23日 申請(qǐng)日期:2014年1月24日 優(yōu)先權(quán)日:2014年1月24日
【發(fā)明者】韓永飛, 汪棟 申請(qǐng)人:廈門密安信息技術(shù)有限責(zé)任公司