[发明专利]一种通过分析网络行为检测木马程序的方法及装置

说明书

技术领域

本发明属于网络安全领域，特别涉及检测木马程序的方法和装置。

背景技术

现在，INTERNET上木马传播的范围越来越广，造成的危害越来越大。

传统杀毒软件都是以特征码对比技术杀毒，特征码即把病毒样本原程序拿到，提出程序中类似指纹的一段独一无二的代码，加到杀毒软件中，然后扫描所有文件，如果有这段特征码，就是病毒，即可被杀掉。

这种检测木马的技术只能检测出已获取样本的木马，对于未知、加壳、变异的木马，因为源程序中的特征码和已有的特征码不一致，所以就无法检测出来。

发明内容

本发明的目的是研发出一种通过分析对比网络行为特征的方式检测木马程序的方法及装置，具有检测已知木马、未知木马以及木马变种的能力。

本发明采用分析对比行为特征的方式检测木马，首先搜集局域网内的网络行为，提取分析其典型行为特征，通过木马外连、信息窃取和信息外发网络行为，实时检测木马。其过程是：(附图2所示)

1)采集网络数据包；

2)对数据包拆分重组；

3)解析网络行为方式；

4)将网络行为与木马行为特征库进行特征对比；

5)若行为特征相同，则产生报警行为，若不相同，则捕获下一个网络数据包。

基于木马网络行为特征对比的检测方法，是本系统的核心检测方法。系统按照木马网络行为进行了有效的分类，并针对木马网络行为的分类来制定检测方法。系统从木马的外连、信息窃取和信息外发这三个方面来进行行为特征分析。通过对木马行为的深入研究和分析，从而找到并制定出木马检测的规则。

本发明所指的木马行为定义为孤立性运行行为和交互性运行行为。孤立性运行行为是指木马的行为完全由木马程序自身自主控制，完全不受外界的操控，也不与外界发送任何形势的信息交换。而交互性运行行为指该行为是有木马程序与外界系统进行网络交互后产生。例如信息窃取类木马，其在宿主主机上进行信息窃取的全过程属于孤立性运行行为，因为信息窃取的过程并不与外界产生交互，也不会形成网络流量。而当此类木马将窃取到得信息外发到外界接收端系统时，该行为即为交互性运行行为。木马此时需要与外界系统进行网络信息交换才能完成此运行行为。

以下是本发明对木马外连、信息窃取和信息外发这三个方面的检测方法分析。

(1)外连

木马外连这一行为特征与木马的功能特点密不可分。木马其主要功能目的是用于获取木马种植者(通常为黑客)所关心的信息，或者成为木马种植者进行非法行为的帮凶。例如在进行DDoS攻击时，木马种植者经常会利用受其控制的肉鸡(被植入攻击型木马程序的主机)，驱使肉鸡对攻击目标发动攻击。

为了完成木马本身的使命，木马程序必将会与外界系统发生交互，从而产生网络会话。因此，可以从主机每日大量的网络会话中，发现木马的网络会话特征，从而建立木马检测规则，用于对该木马，及其同类型的木马进行检测。通过对木马样本网络会话的分析，可以得出木马网络会话的如下几类特征：

a)连接信息获取行为。木马程序为了完成与外界系统的信息交换，必须定期更新外界系统的相关信息，比如外界系统的IP地址、端口、用户名和密码等等。通常木马会采用定期到指定的连接信息发布系统去获取连接信息。

b)邮件发送行为。信息窃取类木马多采用邮件的形式发送窃取的信息。

c)长连接网络会话。当木马成功获得外界系统的IP地址、端口、用户名和密码等相关信息后，通常会与外界系统建立一个长连接来完成信息交换。

d)网络会话创建失败。由于木马得到的外界系统的连接信息可能过期失效这一特性，木马可能会产生针对某一固定地址连接失败的网络会话。

(2)信息窃取

信息窃取属于孤立性运行行为，其主要目的是为了窃取信息资料，以待日后择机将窃取到得资料发送给控制端。由于信息窃取其孤立性特点，即其所有行为均独立的发生在被木马感染的主机之上，并不与外部交互，故不建立任何网络会话，没有通过网络进行信息交换，因此，无法从木马的该项行为特征出发，建立木马的网络行为检测规则。但是分析木马的该项行为仍具有非常重要的实用价值。因为只要了解了木马程序能窃取的信息资料，就可以进一步跟踪木马信息外发行为所要发送的信息资料的内容，也可以知道发送信息资料将会对网络会话流量产生何种程度的影响。

(3)信息外发