[发明专利]一种木马发现系统

说明书

技术领域

本发明属于网络安全技术领域，特别是涉及一种木马发现系统。

技术背景

木马程序通过控制被感染的主机来窃取敏感信息或者机密文件，是网络的一 种重要威胁。通过检测木马程序的特征代码可以发现并清除或者过滤木马程序。 但这种方法只适用于已知的、未加密的和不变形的木马程序，对于未知的、加 密型的或者变形的木马程序则不适用。本发明提出了一种通过检测木马程序的 网络行为特征来检测木马的方法。事实上，木马程序的一个主要特征是受控， 即木马程序必须接受控制方的指令，以采取侵害行为。接受控制指令的一种可 能方式是由控制方发起对受控方的某个端口的连接。但这种从外部网发起的对 内部网的访问比较容易被检测和被防火墙所阻止。另一种方式是由受控方通过 80端口等常用端口发起对外网IP的连接，然后接受控制方的指令。这种方式 能够躲过防火墙的监控，但它的网络行为与通常的客户机服务器方式相反，即 发起连接方实际上是响应方。而接受连接方有可能不是管理良好的可信网站、 高访问率网站、有正规域名的网站、或者比较容易监控的国内网站。另外，木 马程序的主要目的是窃取信息。所以，如果它窃取的是机密文件，则其网络表 现可能是经过简短的会话就开始上传文件，并造成上传流量远远大于下传流量。 在没有加密的情况下，流量内容中会出现被窃文件中的机密词汇。如果它窃取 的是敏感信息，则其网络表现可能是会话过程很简短，来回流量都很小。所以 本发明的突出优点是提供了一种通过网络表现来检测木马程序的新技术，它不 需要人工分析木马程序，也不需要事先知道木马程序的代码特征，因而可以检 测未知的、加密型的和变形的木马程序。可以应用于企业网、政府网的安全检 测。

发明内容

本发明的目的在于克服现有技术的不足，提供一种木马发现系统。

为了实现本发明目的，采用的技术方案如下：

一种木马发现系统，包括目的IP地址可信度评估模块、应用识别模块、敏 感词检测模块、流量统计特征检测模块、木马识别模块，待检测的数据流分别 经过目的IP地址可信度评估模块、应用识别模块、敏感词检测模块、流量统计 特征检测模块、木马识别模块进行识别，以判定是否是木马程序产生的数据流。

所述的目的IP地址可信度评估模块判断一个目的地IP是否属于内部网、 或可信网站、或高访问率网站、或国内网、或有域名的网站、或可疑网站，并 进行访问率统计。

所述的应用识别模块对连接进行应用识别，如果该应用不能被识别，则记 录其结果。

所述的敏感词检测模块检测设定的敏感词。

所述的流量统计特征检测模块通过提取正常client-server(客户机-服务器) 的统计特征，用于发现反client-server的行为；通过提取网络中正常的简短会话 过程特征，用于发现异常的简短会话过程；通过提取现有木马程序的行为特征， 用于对木马的模式匹配；并记录特征分析结果。

所述的木马识别模块采用决策树分类器对目的IP地址可信度评估模块、应 用识别模块、敏感词检测模块、流量统计特征检测模块的评估结果进行分析， 以识别该连接是否木马程序产生的网络流，并计算其为木马的可能性的大小。

所述的决策树分类器采用包含各种正常应用的网络流样本实例集和各种 已知木马程序产生的网络流样本实例集训练产生。

本发明还包括双向数据记录模块，双向数据记录模块记录可疑的双向传输 的数据，以便对可疑数据流进行后续分析，并保存对可疑数据流的分析结果。

本发明还包括域名查询记录模块，所述域名查询记录模块记录每一个被查 询过的目的IP地址，而所述目的IP地址可信度评估模块还包括判断一个目的 地IP是否属于被域名查询记录模块查询过的网站。

本发明还包括输入输出模块，所述输入输出模块给用户提供输入界面、以 及显示木马检测结果、可疑数据流的输出界面。

本发明通过检测木马程序的网络行为特征，包括其受控特征、目的网站特 征、窃取信息特征、网络流量特征来发现木马程序产生的网络流量，进而追溯 到受控主机和控制主机。所以本发明的突出优点是不需要人工分析木马程序， 不需要知道木马程序的代码特征，可以检测未知的、加密型的和变形的木马程 序。可以应用于企业网、政府网的安全检测。

附图说明

图1为本发明的系统总体结构示意图；

图2为本发明的又一系统总体结构示意图；