一種模擬網(wǎng)絡(luò)活動(dòng)檢測(cè)木馬的方法及系統(tǒng)的制作方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及網(wǎng)絡(luò)安全領(lǐng)域�,特別涉及一種模擬網(wǎng)絡(luò)活動(dòng)檢測(cè)木馬的方法及系統(tǒng)��。
【背景技術(shù)】
[0002]隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展和普及�����,計(jì)算機(jī)網(wǎng)絡(luò)得到了廣泛應(yīng)用�,越來越多的個(gè)人電腦加入到網(wǎng)絡(luò)中,利用廣泛開放的網(wǎng)絡(luò)環(huán)境進(jìn)行全球通信已經(jīng)成為時(shí)代發(fā)展的趨勢(shì),人們?nèi)粘5慕?jīng)濟(jì)和社會(huì)生活也越來越依賴互聯(lián)網(wǎng)����,但網(wǎng)絡(luò)技術(shù)給人們帶來巨大便利的同時(shí)也帶來了各種各樣的安全威脅,其中特洛伊木馬泛濫異常猖獗���,技術(shù)上不斷更新���,而傳統(tǒng)的基于特征代碼的提取和對(duì)比的防火墻和反病毒技術(shù)有很大的局限性,對(duì)于新型的木馬一般難以檢測(cè)和清除��,從而造成無法挽回的巨大損失�����,所以檢測(cè)木馬必須要有新的思路���,即通過網(wǎng)絡(luò)通信特征來檢測(cè)木馬,但這種方式依賴于網(wǎng)絡(luò)數(shù)據(jù)包���,然而在進(jìn)行木馬網(wǎng)絡(luò)通信特征提取時(shí)�,常常會(huì)遇到控制端不存活或網(wǎng)絡(luò)不存活的情況��,例如控制端斷網(wǎng)未能連接網(wǎng)絡(luò)等����,導(dǎo)致即便運(yùn)行所述木馬程序��,但依然無法獲取到木馬的網(wǎng)絡(luò)通信特征����。
【發(fā)明內(nèi)容】
[0003]基于上述問題�����,本發(fā)明提出了一種模擬網(wǎng)絡(luò)活動(dòng)檢測(cè)木馬的方法���,本發(fā)明能夠通過模擬網(wǎng)絡(luò)控制端或網(wǎng)絡(luò)存活�,激發(fā)木馬的回連行為�,進(jìn)而激發(fā)其發(fā)送網(wǎng)絡(luò)數(shù)據(jù)包,獲取其網(wǎng)絡(luò)通訊協(xié)議特征���,解決了現(xiàn)有方法中對(duì)非活動(dòng)的木馬無效的問題����。
[0004]一種模擬網(wǎng)絡(luò)活動(dòng)檢測(cè)木馬的方法��,包括:
在不同系統(tǒng)環(huán)境下,分別運(yùn)行已知木馬程序�����,并根據(jù)所述木馬程序的網(wǎng)絡(luò)連接行為����,模擬控制端返回相應(yīng)連接成功的信息,激發(fā)木馬程序發(fā)出網(wǎng)絡(luò)通訊數(shù)據(jù)包�����;即在多種操作系統(tǒng)環(huán)境下����,模擬木馬的網(wǎng)絡(luò)回連行為成功,激發(fā)木馬的網(wǎng)絡(luò)通訊數(shù)據(jù)包首包���;
利用網(wǎng)絡(luò)抓包工具,抓取所述木馬程序在各系統(tǒng)環(huán)境下的網(wǎng)絡(luò)通訊數(shù)據(jù)包��,并保存���;提取所述各系統(tǒng)環(huán)境下的網(wǎng)絡(luò)通訊數(shù)據(jù)包�����,并對(duì)比得到各系統(tǒng)環(huán)境下相同的數(shù)據(jù)或數(shù)據(jù)格式����,作為所述已知木馬程序的網(wǎng)絡(luò)通訊協(xié)議特征,并保存形成特征庫���;
監(jiān)控網(wǎng)絡(luò)中的網(wǎng)絡(luò)數(shù)據(jù)包�,并與特征庫中的網(wǎng)絡(luò)通訊協(xié)議特征匹配�,如果匹配,則判定為木馬�����,報(bào)警并進(jìn)行攔截�;否則繼續(xù)監(jiān)控。
[0005]所述的方法中�,所述與特征庫中的網(wǎng)絡(luò)通訊協(xié)議特征匹配包括:正則匹配或特征組合匹配。
[0006]本發(fā)明還提供一種模擬網(wǎng)絡(luò)活動(dòng)檢測(cè)木馬的系統(tǒng)��,包括:
模擬運(yùn)行模塊���,用于在不同系統(tǒng)環(huán)境下���,分別運(yùn)行已知木馬程序����,并根據(jù)所述木馬程序的網(wǎng)絡(luò)連接行為����,模擬控制端返回相應(yīng)連接成功的信息,激發(fā)木馬程序發(fā)出網(wǎng)絡(luò)通訊數(shù)據(jù)包���;
抓包模塊��,用于利用網(wǎng)絡(luò)抓包工具����,抓取所述木馬程序在各系統(tǒng)環(huán)境下的網(wǎng)絡(luò)通訊數(shù)據(jù)包����,并保存;
特征提取模塊���,用于提取所述各系統(tǒng)環(huán)境下的網(wǎng)絡(luò)通訊數(shù)據(jù)包,并對(duì)比得到各系統(tǒng)環(huán)境下相同的數(shù)據(jù)或數(shù)據(jù)格式�,作為所述已知木馬程序的網(wǎng)絡(luò)通訊協(xié)議特征���,并保存形成特征庫;
監(jiān)控模塊��,用于監(jiān)控網(wǎng)絡(luò)中的網(wǎng)絡(luò)數(shù)據(jù)包�����,并與特征庫中的網(wǎng)絡(luò)通訊協(xié)議特征匹配�,如果匹配,則判定為木馬�,報(bào)警并進(jìn)行攔截;否則繼續(xù)監(jiān)控����。
[0007]述的系統(tǒng)中,所述與特征庫中的網(wǎng)絡(luò)通訊協(xié)議特征匹配包括:正則匹配或特征組合匹配�����。
[0008]本發(fā)明所提出的方法及系統(tǒng)��,能夠通過模擬控制端返回的信息�����,激發(fā)木馬的網(wǎng)絡(luò)行為,獲取木馬在各種不同系統(tǒng)環(huán)境下的網(wǎng)絡(luò)通訊數(shù)據(jù)包���,并比較提取相同的網(wǎng)絡(luò)通訊協(xié)議特征�,用于對(duì)網(wǎng)絡(luò)中的數(shù)據(jù)包進(jìn)行檢測(cè)����。通過本發(fā)明的方法,能夠通過模擬控制端或網(wǎng)絡(luò)存活����,激發(fā)木馬的回連行為,來獲取非活動(dòng)木馬的網(wǎng)絡(luò)通訊特征�,進(jìn)而對(duì)普通的檢測(cè)技術(shù)無法識(shí)別的木馬,如加殼木馬進(jìn)行檢測(cè)����。
【附圖說明】
[0009]為了更清楚地說明本發(fā)明或現(xiàn)有技術(shù)中的技術(shù)方案,下面將對(duì)實(shí)施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡(jiǎn)單地介紹���,顯而易見地�,下面描述中的附圖僅僅是本發(fā)明中記載的一些實(shí)施例�����,對(duì)于本領(lǐng)域普通技術(shù)人員來講��,在不付出創(chuàng)造性勞動(dòng)的前提下��,還可以根據(jù)這些附圖獲得其他的附圖����。
[0010]圖1為本發(fā)明一種模擬網(wǎng)絡(luò)活動(dòng)檢測(cè)木馬的方法流程圖;
圖2為本發(fā)明一種模擬網(wǎng)絡(luò)活動(dòng)檢測(cè)木馬的系統(tǒng)示意圖�����。
【具體實(shí)施方式】
[0011]為了使本技術(shù)領(lǐng)域的人員更好地理解本發(fā)明實(shí)施例中的技術(shù)方案�����,并使本發(fā)明的上述目的����、特征和優(yōu)點(diǎn)能夠更加明顯易懂,下面結(jié)合附圖對(duì)本發(fā)明中技術(shù)方案作進(jìn)一步詳細(xì)的說明���。
[0012]基于上述問題����,本發(fā)明提出了一種模擬網(wǎng)絡(luò)活動(dòng)檢測(cè)木馬的方法,本發(fā)明能夠通過模擬網(wǎng)絡(luò)控制端或網(wǎng)絡(luò)存活���,激發(fā)木馬的回連行為���,進(jìn)而激發(fā)其發(fā)送網(wǎng)絡(luò)數(shù)據(jù)包,獲取其網(wǎng)絡(luò)通訊協(xié)議特征�,解決了現(xiàn)有方法中對(duì)非活動(dòng)的木馬無效的問題。
[0013]一種模擬網(wǎng)絡(luò)活動(dòng)檢測(cè)木馬的方法���,如圖1所示�����,包括:
5101:在不同系統(tǒng)環(huán)境下�,分別運(yùn)行已知木馬程序����,并根據(jù)所述木馬程序的網(wǎng)絡(luò)連接行為,模擬控制端返回相應(yīng)連接成功的信息����,激發(fā)木馬程序發(fā)出網(wǎng)絡(luò)通訊數(shù)據(jù)包;即在多種操作系統(tǒng)環(huán)境下,模擬木馬的網(wǎng)絡(luò)回連行為成功���,激發(fā)木馬的網(wǎng)絡(luò)數(shù)據(jù)包首包���;所述多種操作系統(tǒng)環(huán)境����,如windows xp、windows 7或windows8等系統(tǒng)環(huán)境�����;
所述的模擬控制端返回相應(yīng)連接成功的信息為根據(jù)木馬所發(fā)送數(shù)據(jù)包中的具體函數(shù)進(jìn)行反饋���,如:如果為dns解析函數(shù)gethostbyname�����,則進(jìn)行hook ;當(dāng)遇到函數(shù)識(shí)別查詢域名為外網(wǎng)域名�����,則返回模擬的外網(wǎng)規(guī)則ip ;如果為連接函數(shù)connect�,則返回成功;如果為網(wǎng)頁訪問函數(shù)internetconnect失效�����,則返回成功句柄���;如果為下載函數(shù)URLDownloadtofiIe等下載類型函數(shù)�����,則模擬返回一個(gè)exe文件等�����;