[发明专利]网络窃密木马检测方法

说明书

技术领域

本发明涉及一种网络窃密检测方法，特别是网络窃密木马检测方法。

背景技术

互联网在给人们带来方便的同时，也引发了很多网络安全问题，其中包括境外间谍机构 利用木马程序对连入互联网的国内计算机进行远程控制和信息窃取。根据国家有关部门统计， 这类网络安全事件每年都会发生上千起，对国家安全和利益构成极大的威胁。

木马程序(简称木马)是一种恶意程序，目前主要采用基于防病毒软件的检测技术，即通 过在用户计算机上安装的防病毒软件来检测。这种技术并不适合在反网络窃密工作中应用， 其原因如下：

防病毒软件是面向用户计算机的，由用户自主地进行安装、检测和防范，很难实现对大 范围的用户计算机进行集中检测。而反网络窃密技术要求能够大范围地对网络窃密行为进行 集中检测和监测。

防病毒软件是根据已知的木马/病毒程序特征进行检测的，并不能检测出未知的木马/病毒 程序。而反网络窃密技术要求能够对已知和未知的窃密木马进行检测，因为境外往往利用未 知的木马程序进行信息窃取。

防病毒软件是根据木马/病毒程序自身特征进行检测的，而不是采用基于网络数据分析的 方法，不能根据木马的网络通信和行为特征进行分析和检测。而反网络窃密技术要求能够通 过对海量网络数据的分析来检测出基于木马的窃密和泄密行为，以便于监测和取证。

防病毒软件是对所有的已知木马/病毒程序进行检测的，涉及的木马/病毒程序种类繁多， 目标不集中，不便于监测。而反网络窃密技术只关注窃密木马的检测和监测，目标非常明确。

发明内容

为了克服现有技术方法不能满足对网络窃密木马进行集中检测和整体监测要求的不足， 本发明提供一种网络窃密木马检测方法，该方法基于网络数据流分析，对网络窃密木马进行 检测，能够依据窃密木马的网络通信和行为特征，从海量的网络数据中检测和发现基于木马 的窃密行为，有效遏制网络窃密与泄密行为。

本发明解决其技术问题所采用的技术方案：一种网络窃密木马检测方法，其特点是包 括下述步骤：

(a)从互联网入口处捕获网络数据包，将所捕获的网络数据包存入数据库中；

(b)设置要检测的目的IP地址段和源IP地址段，按照所设置的目的IP地址段和源IP 地址段，通过比对网络数据集中每个数据包的目的IP地址和源IP地址，筛选出待检数据集， 如果检测到网络数据集中含有目的IP地址和源IP地址属于重点监测的网络地址范围的数据 包，则将这些数据包标定为高度疑似木马通信，转入步骤(f)处理；

(c)对通信协议进行分析，凡是具有如下通信协议特征：①使用HTTP协议、DNS协 议等特定的通信协议和公知的端口号；②反向连接模式，连接发起方为被控主机，以便穿 越用户防火墙等防护设施；③数据包使用HTTP协议、DNS协议等特定协议头进行伪装， 但数据内容和数据包长度与特定协议不符。如果检测到待检数据集中含有上述三个通信协 议特征的数据包，则将这些数据包标定为高度疑似木马通信，转入步骤(f)处理；

(d)对通信行为进行分析，同步型木马直接受木马控制端控制，窃密者实时监控被控主 机，随时获取被控主机上的文件，表现出来的通信行为特征是在检测周期内使用相同通信协 议与固定IP地址通信至少2次以上，但时间间隔不固定；异步型木马不直接受木马控制端控 制，而是定时将被控主机上的文件传输给某一节点，表现出来的通信行为特征是在检测周期 内以相同时间间隔使用相同通信协议与固定IP地址通信至少2次以上，如果检测到待检数据 集中含有上述通信行为特征的数据包，则将这些数据包标定为高度疑似木马通信，转入步骤 (f)处理；

(e)对通信关系进行分析，如果检测到待检数据集中含有2个以上的不同的源IP地址 与同一目的IP地址进行通信的数据包，说明多个被控主机可能被同一木马控制端控制，则将 这些数据包标定为高度疑似木马通信，转入步骤(f)处理；

(f)对于检测出的高度疑似木马通信，采用如下验证方法来进一步确诊：按照高度疑似 木马通信所采用的网络通信协议，与相应的目的IP地址建立连接，并按照相应的通信协议构 造探测数据包发送对方，如果对方返回的应答包中含有非协议规定的内容，即确定该节点是 木马控制端。