本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域,尤其涉及一種識別未知類遠控木馬的方法及系統(tǒng)。
背景技術(shù):
近年來,隨著互聯(lián)網(wǎng)的不斷普及和我國網(wǎng)民數(shù)量的不斷增加,木馬、病毒等僵尸程序、問題后門程序也越來越受到人們的關(guān)注。
在這種情況下,傳統(tǒng)的基于主機的檢測手段,包括:防病毒軟件、個人防火墻等,雖然可以有效地查殺木馬、病毒等僵尸程序,可以抵擋一些網(wǎng)絡(luò)攻擊,但是近幾年出現(xiàn)的某些殺毒軟件的誤刪事件,證明基于主機側(cè)的檢測手段在防范和檢測木馬、病毒等僵尸程序時已經(jīng)力不從心。
技術(shù)實現(xiàn)要素:
針對上述技術(shù)問題,本發(fā)明通過分析遠控類木馬的行為習(xí)慣,得知每次斷網(wǎng)并恢復(fù)網(wǎng)絡(luò)后,遠控木馬會即刻嘗試重新連接控制端。因此,本發(fā)明通過獲取每次網(wǎng)絡(luò)斷開并恢復(fù)后的網(wǎng)絡(luò)流量,并具體分析多個周期間網(wǎng)絡(luò)流量的重合度進而有效識別遠控類木馬。
本發(fā)明采用如下方法來實現(xiàn):一種識別未知類遠控木馬的方法,包括:
對當前網(wǎng)絡(luò)執(zhí)行斷網(wǎng)操作后恢復(fù)網(wǎng)絡(luò),獲取網(wǎng)絡(luò)中的所有流量;
記錄網(wǎng)絡(luò)中的所有流量的五元組信息和上下行數(shù)據(jù)包大小;
將每次恢復(fù)網(wǎng)絡(luò)至下次斷網(wǎng)記為一個周期,重復(fù)預(yù)設(shè)周期的上述操作;
選取五元組信息相同的網(wǎng)絡(luò)流量,并對比預(yù)設(shè)周期間的網(wǎng)絡(luò)流量的重合度,若重合度大于等于預(yù)設(shè)值則判定存在未知類遠控木馬。
進一步地,所述獲取網(wǎng)絡(luò)中的所有流量,具體為:通過直路或者旁路的形式獲取網(wǎng)絡(luò)中的所有流量。
進一步地,所述獲取網(wǎng)絡(luò)中的所有流量之后,還包括:
將網(wǎng)絡(luò)中的所有流量與常規(guī)通信規(guī)則庫進行匹配,放行匹配成功的網(wǎng)絡(luò)流量;其中,所述常規(guī)通信規(guī)則庫中存儲有已知軟件或服務(wù)的數(shù)據(jù)通信規(guī)則。
更進一步地,所述放行匹配成功的網(wǎng)絡(luò)流量后,還包括:
判斷當前網(wǎng)絡(luò)流量是否是始終持續(xù)的數(shù)據(jù)流,若是則繼續(xù)記錄網(wǎng)絡(luò)中的所有流量的五元組信息和數(shù)據(jù)包大小,否則放行當前網(wǎng)絡(luò)流量不做記錄。
更進一步地,還包括:若重合度小于預(yù)設(shè)值則判定不存在未知類遠控木馬,并將當前網(wǎng)絡(luò)流量涉及的五元組信息添加至所述常規(guī)通信規(guī)則庫。
本發(fā)明可以采用如下系統(tǒng)來實現(xiàn):一種識別未知類遠控木馬的系統(tǒng),包括:
網(wǎng)絡(luò)流量獲取模塊,用于對當前網(wǎng)絡(luò)執(zhí)行斷網(wǎng)操作后恢復(fù)網(wǎng)絡(luò),獲取網(wǎng)絡(luò)中的所有流量;
流量信息記錄模塊,用于記錄網(wǎng)絡(luò)中的所有流量的五元組信息和上下行數(shù)據(jù)包大?。?/p>
周期重復(fù)調(diào)用模塊,用于將每次恢復(fù)網(wǎng)絡(luò)至下次斷網(wǎng)記為一個周期,重復(fù)預(yù)設(shè)周期調(diào)用所述網(wǎng)絡(luò)流量獲取模塊和所述流量信息記錄模塊;
重合度計算模塊,用于選取五元組信息相同的網(wǎng)絡(luò)流量,并對比預(yù)設(shè)周期間的網(wǎng)絡(luò)流量的重合度,若重合度大于等于預(yù)設(shè)值則判定存在未知類遠控木馬。
進一步地,所述獲取網(wǎng)絡(luò)中的所有流量,具體為:通過直路或者旁路的形式獲取網(wǎng)絡(luò)中的所有流量。
進一步地,還包括:常規(guī)通信過濾模塊,用于將網(wǎng)絡(luò)中的所有流量與常規(guī)通信規(guī)則庫進行匹配,放行匹配成功的網(wǎng)絡(luò)流量;其中,所述常規(guī)通信規(guī)則庫中存儲有已知軟件或服務(wù)的數(shù)據(jù)通信規(guī)則。
更進一步地,還包括:持續(xù)流量匹配模塊,用于判斷當前網(wǎng)絡(luò)流量是否是始終持續(xù)的數(shù)據(jù)流,若是則繼續(xù)記錄網(wǎng)絡(luò)中的所有流量的五元組信息和數(shù)據(jù)包大小,否則放行當前網(wǎng)絡(luò)流量不做記錄。
更進一步地,還包括:規(guī)則庫維護模塊,用于若重合度小于預(yù)設(shè)值則判定不存在未知類遠控木馬,并將當前網(wǎng)絡(luò)流量涉及的五元組信息添加至所述常規(guī)通信規(guī)則庫。
綜上,本發(fā)明給出一種識別未知類遠控木馬的方法及系統(tǒng),通過對所有在線的機器進行斷網(wǎng),使得遠控類木馬不能進行連接,隨后恢復(fù)網(wǎng)絡(luò)后,遠控類木馬會重新嘗試連接控制端。因此,通過預(yù)設(shè)周期次數(shù)的斷開網(wǎng)絡(luò)和恢復(fù)網(wǎng)絡(luò),進而獲取從恢復(fù)網(wǎng)絡(luò)到下次斷網(wǎng)之間的所有網(wǎng)絡(luò)流量,記錄相關(guān)的五元組信息和上下行數(shù)據(jù)包的大小;主要選取每個周期中五元組信息相同的網(wǎng)絡(luò)流量進行對比分析,若每個周期間網(wǎng)絡(luò)流量的重合度達到預(yù)設(shè)值以上,則判定存在未知類遠控木馬,并進行相關(guān)告警和后續(xù)處理工作。
有益效果為:本發(fā)明所述技術(shù)方案能夠有效監(jiān)測網(wǎng)絡(luò)中的未知類遠控木馬程序,并進一步根據(jù)未知類遠控木馬數(shù)據(jù)來分析是否有數(shù)據(jù)被控制者盜取,并進一步更新常規(guī)通信規(guī)則庫,方便以后對網(wǎng)絡(luò)流量的篩選和過濾。
附圖說明
為了更清楚地說明本發(fā)明的技術(shù)方案,下面將對實施例中所需要使用的附圖作簡單地介紹,顯而易見地,下面描述中的附圖僅僅是本發(fā)明中記載的一些實施例,對于本領(lǐng)域普通技術(shù)人員來講,在不付出創(chuàng)造性勞動的前提下,還可以根據(jù)這些附圖獲得其他的附圖。
圖1為本發(fā)明提供的一種識別未知類遠控木馬的方法實施例1流程圖;
圖2為本發(fā)明提供的一種識別未知類遠控木馬的方法實施例2流程圖;
圖3為本發(fā)明提供的一種識別未知類遠控木馬的系統(tǒng)實施例結(jié)構(gòu)圖。
具體實施方式
本發(fā)明給出了一種識別未知類遠控木馬的方法及系統(tǒng)實施例,為了使本技術(shù)領(lǐng)域的人員更好地理解本發(fā)明實施例中的技術(shù)方案,并使本發(fā)明的上述目的、特征和優(yōu)點能夠更加明顯易懂,下面結(jié)合附圖對本發(fā)明中技術(shù)方案作進一步詳細的說明:
本發(fā)明首先提供了一種識別未知類遠控木馬的方法實施例1,如圖1所示,包括:
S101:對當前網(wǎng)絡(luò)執(zhí)行斷網(wǎng)操作后恢復(fù)網(wǎng)絡(luò),獲取網(wǎng)絡(luò)中的所有流量。
具體為:通過直路或者旁路的形式獲取網(wǎng)絡(luò)中的所有流量。此處執(zhí)行斷網(wǎng)操作并恢復(fù)網(wǎng)絡(luò)的目的是,讓遠控類木馬在斷開網(wǎng)絡(luò)后接入網(wǎng)絡(luò)時,會發(fā)送一些數(shù)據(jù)包,進而尋求與控制端的通信。
S102:記錄網(wǎng)絡(luò)中的所有流量的五元組信息和上下行數(shù)據(jù)包大小。具體為,記錄網(wǎng)絡(luò)中的所有流量的源端口、目的端口、源IP地址、目的IP地址、傳輸層協(xié)議、每個數(shù)據(jù)包的大小、甚至包括是上行還是下行、開始時間等等。
S103:將每次恢復(fù)網(wǎng)絡(luò)至下次斷網(wǎng)記為一個周期,判斷是否已經(jīng)達到預(yù)設(shè)周期,若是,則繼續(xù)執(zhí)行S104,否則執(zhí)行S101。其中,所述預(yù)設(shè)周期的具體數(shù)量根據(jù)需要設(shè)定,能夠足夠體現(xiàn)遠控類木馬的行為規(guī)律即可。具體地,此處可以選擇六個周期。
S104:選取五元組信息相同的網(wǎng)絡(luò)流量,并對比預(yù)設(shè)周期間的網(wǎng)絡(luò)流量的重合度,若重合度大于等于預(yù)設(shè)值則判定存在未知類遠控木馬。其中,所述選取五元組信息相同的網(wǎng)絡(luò)流量,具體為選取各周期中源IP地址、源端口、目的IP地址和目的端口一致的網(wǎng)絡(luò)流量進行對比,若每次網(wǎng)絡(luò)恢復(fù)后,相同五元組的網(wǎng)絡(luò)流量趨勢是非常相似的并大于等于預(yù)設(shè)值,則判定存在未知類遠控木馬。隨后可以對記錄的上行下行數(shù)據(jù)進行分析,判斷是否有信息竊取的情況存在。所述預(yù)設(shè)值根據(jù)需要設(shè)定,可以設(shè)置為90%。
本發(fā)明同時提供了一種識別未知類遠控木馬的方法實施例2,如圖2所示,包括:
S201:對當前網(wǎng)絡(luò)執(zhí)行斷網(wǎng)操作后恢復(fù)網(wǎng)絡(luò),獲取網(wǎng)絡(luò)中的所有流量。
S202:將網(wǎng)絡(luò)中的所有流量與常規(guī)通信規(guī)則庫進行匹配,放行匹配成功的網(wǎng)絡(luò)流量。
其中,所述常規(guī)通信規(guī)則庫中存儲有已知軟件或服務(wù)的數(shù)據(jù)通信規(guī)則。設(shè)置所述常規(guī)通信規(guī)則庫是為了在分析之前過濾掉常規(guī)已知軟件或者服務(wù),例如過濾掉正常的IP、域名等,所述已知軟件或者服務(wù)包括但不限于:迅雷、迅雷看看、下載軟件、即時通訊工具等等,如果與常規(guī)通信規(guī)則庫匹配成功,則說明當前網(wǎng)絡(luò)流量為正常通信流量,則予以放行,進而減輕系統(tǒng)的處理壓力。
S203:判斷當前網(wǎng)絡(luò)流量是否是始終持續(xù)的數(shù)據(jù)流,若是則繼續(xù)執(zhí)行S204,否則放行當前網(wǎng)絡(luò)流量不做記錄。其中,所述始終持續(xù)的數(shù)據(jù)流是指在開機或恢復(fù)網(wǎng)絡(luò)連接后到關(guān)機或斷網(wǎng)間都有數(shù)據(jù)進行傳輸。
S204:記錄網(wǎng)絡(luò)中的所有流量的五元組信息和上下行數(shù)據(jù)包大小。
S205:將每次恢復(fù)網(wǎng)絡(luò)至下次斷網(wǎng)記為一個周期,判斷是否已經(jīng)達到預(yù)設(shè)周期,若是,則繼續(xù)執(zhí)行S206,否則執(zhí)行S201。
S206:選取五元組信息相同的網(wǎng)絡(luò)流量,判斷各預(yù)設(shè)周期間的網(wǎng)絡(luò)流量的重合度是否大于等于預(yù)設(shè)值,若是則判定存在未知類遠控木馬,否則判定不存在未知類遠控木馬,并執(zhí)行S207。
其中,所述判斷各預(yù)設(shè)周期間的網(wǎng)絡(luò)流量的重合度是否大于等于預(yù)設(shè)值,具體可以:依次對比六個周期下從網(wǎng)絡(luò)恢復(fù)后第一個數(shù)據(jù)包、第二個數(shù)據(jù)包、直到斷網(wǎng)前的最后一個數(shù)據(jù)包的大小,進而判斷重合度是否大于等于預(yù)設(shè)值。
S207:將當前網(wǎng)絡(luò)流量涉及的五元組信息添加至所述常規(guī)通信規(guī)則庫。
本發(fā)明其次提供了一種識別未知類遠控木馬的系統(tǒng)實施例,如圖3所示,包括:
網(wǎng)絡(luò)流量獲取模塊301,用于對當前網(wǎng)絡(luò)執(zhí)行斷網(wǎng)操作后恢復(fù)網(wǎng)絡(luò),獲取網(wǎng)絡(luò)中的所有流量;
流量信息記錄模塊302,用于記錄網(wǎng)絡(luò)中的所有流量的五元組信息和上下行數(shù)據(jù)包大?。?/p>
周期重復(fù)調(diào)用模塊303,用于將每次恢復(fù)網(wǎng)絡(luò)至下次斷網(wǎng)記為一個周期,重復(fù)預(yù)設(shè)周期調(diào)用所述網(wǎng)絡(luò)流量獲取模塊和所述流量信息記錄模塊;
重合度計算模塊304,用于選取五元組信息相同的網(wǎng)絡(luò)流量,并對比預(yù)設(shè)周期間的網(wǎng)絡(luò)流量的重合度,若重合度大于等于預(yù)設(shè)值則判定存在未知類遠控木馬。
優(yōu)選地,所述獲取網(wǎng)絡(luò)中的所有流量,具體為:通過直路或者旁路的形式獲取網(wǎng)絡(luò)中的所有流量。
優(yōu)選地,還包括:常規(guī)通信過濾模塊,用于將網(wǎng)絡(luò)中的所有流量與常規(guī)通信規(guī)則庫進行匹配,放行匹配成功的網(wǎng)絡(luò)流量;其中,所述常規(guī)通信規(guī)則庫中存儲有已知軟件或服務(wù)的數(shù)據(jù)通信規(guī)則。
更優(yōu)選地,還包括:持續(xù)流量匹配模塊,用于判斷當前網(wǎng)絡(luò)流量是否是始終持續(xù)的數(shù)據(jù)流,若是則繼續(xù)記錄網(wǎng)絡(luò)中的所有流量的五元組信息和數(shù)據(jù)包大小,否則放行當前網(wǎng)絡(luò)流量不做記錄。
更優(yōu)選地,還包括:規(guī)則庫維護模塊,用于若重合度小于預(yù)設(shè)值則判定不存在未知類遠控木馬,并將當前網(wǎng)絡(luò)流量涉及的五元組信息添加至所述常規(guī)通信規(guī)則庫。
本說明書中的各個實施例均采用遞進的方式描述,各個實施例之間相同或相似的部分互相參見即可,每個實施例重點說明的都是與其他實施例的不同之處。尤其,對于系統(tǒng)實施例而言,由于其基本相似于方法實施例,所以描述的比較簡單,相關(guān)之處參見方法實施例的部分說明即可。
如上所述,上述實施例給出了一種識別未知類遠控木馬的方法及系統(tǒng)實施例,通過重復(fù)預(yù)設(shè)周期次數(shù)對網(wǎng)絡(luò)進行斷開和恢復(fù)的操作,并記錄網(wǎng)絡(luò)恢復(fù)后的所有數(shù)據(jù)包直到下次斷網(wǎng)操作;選取具備相同五元組信息的網(wǎng)絡(luò)流量進行對比,判斷各預(yù)設(shè)周期間反復(fù)記錄的網(wǎng)絡(luò)流量之間的重合度如何,進而判定是否是遠控類木馬。本發(fā)明上述實施例不僅能夠有效識別遠控類木馬程序,而且其利用網(wǎng)絡(luò)流量變化規(guī)律來識別是否存在遠控類木馬,能夠有效克服在主機側(cè)檢測遠控木馬所存在的問題和局限性。
以上實施例用以說明而非限制本發(fā)明的技術(shù)方案。不脫離本發(fā)明精神和范圍的任何修改或局部替換,均應(yīng)涵蓋在本發(fā)明的權(quán)利要求范圍當中。