[发明专利]基于线程行为的木马窃取文件检测方法和系统

权利要求书

1.一种基于线程行为的木马窃取文件检测方法，其特征在于，包括：

监视线程的文件操作和网络操作；所述文件操作包括打开文件路径和读取文件数据；

将监视的线程和线程所属的进程以及截获的文件操作及文件读取数据和网络操作及网络发送数据形成行为序列缓冲队列；

根据缓冲队列中的行为序列判断线程读取的文件是否为网络发送的文件；

如果线程读取的文件为网络发送的文件，并且检查该线程及线程所属的进程具有隐蔽性，则有木马窃取文件行为。

2.如权利要求1所述的基于线程行为的木马窃取文件检测方法，其特征在于，安装内核驱动程序，通过对内核导出函数进行Inline Hook内联挂钩监视线程的文件操作和网络操作。

3.如权利要求2所述的基于线程行为的木马窃取文件检测方法，其特征在于，进行Inline Hook 内联挂钩监视线程的文件操作和网络操作的内核函数包括文件打开函数NtOpenFile、文件读取函数NtReadFile、和网络发送的函数NtDeviceIoControlFile。

4.如权利要求1所述的基于线程行为的木马窃取文件检测方法，其特征在于，根据缓冲队列中的行为序列判断线程读取的文件是否为网络发送的文件，包括：

用缓冲队列中的行为序列与发送文件模型进行模式匹配，如果匹配成功，并且线程读取文件数据的总大小与线程所访问的文件大小相差不超过文件大小的30%，则确认该线程在进行文件发送；

将网络发送数据与线程进行文件发送的数据进行协议无关性匹配，如果匹配成功，则线程读取的文件为网络操作发送的文件。

5.如权利要求4所述的基于线程行为的木马窃取文件检测方法，其特征在于，将网络发送数据与线程进行文件发送的数据进行协议无关性匹配，采用串匹配的快速 Boyer-Moore 算法。

6.如权利要求1所述的基于线程行为的木马窃取文件检测方法，其特征在于，满足隐蔽性条件之一即可判别该线程及线程所属的进程具有隐蔽性，隐蔽性条件包括：进程无窗口、有窗口但是隐藏、后台服务进程、浏览器进程无常规主线程、线程仅包含一个远程注入的线程。

7.一种基于线程行为的木马窃取文件检测系统，其特征在于，包括：

内核监视模块，用于监视线程的文件操作和网络操作；所述文件操作包括打开文件路径和读取文件数据；

行为序列维护模块，用于将监视的线程和线程所属的进程以及截获的文件操作及文件读取数据和网络操作及网络发送数据形成行为序列缓冲队列；

逻辑判断模块，用于根据缓冲队列中的行为序列判断线程读取的文件是否为网络发送的文件；

如果线程读取的文件为网络发送的文件，并且检查该线程及线程所属的进程具有隐蔽性，则有木马窃取文件行为。

8.如权利要求7所述的基于线程行为的木马窃取文件检测系统，其特征在于，内核监视模块具体用于安装内核驱动程序，通过对内核导出函数进行Inline Hook内联挂钩监视线程的文件操作和网络操作。

9.如权利要求8所述的基于线程行为的木马窃取文件检测系统，其特征在于，进行Inline Hook内联挂钩监视线程的文件操作和网络操作的内核函数包括文件打开函数NtOpenFile、文件读取函数NtReadFile、和网络发送的函数NtDeviceIoControlFile。

10.如权利要求7所述的基于线程行为的木马窃取文件检测系统，其特征在于，逻辑判断模块具体包括：

模式匹配模块，用于用缓冲队列中的行为序列与发送文件模型进行模式匹配，如果匹配成功，并且线程读取文件数据的总大小与线程所访问的文件大小相差不超过文件大小的30%，则确认该线程在进行文件发送；

数据匹配模块，将网络发送数据与线程进行文件发送的数据进行协议无关性匹配，如果匹配成功，则线程读取的文件为网络操作发送的文件；

隐蔽性检测模块，用于判别线程及线程所属的进程具有隐蔽性。

11.如权利要求10所述的基于线程行为的木马窃取文件检测系统，其特征在于，将网络发送数据与线程进行文件发送的数据进行协议无关性匹配，采用串匹配的快速 Boyer-Moore 算法。

12.如权利要求7或10所述的基于线程行为的木马窃取文件检测系统，其特征在于，满足隐蔽性条件之一即可判别该线程及线程所属的进程具有隐蔽性，隐蔽性条件包括：进程无窗口、有窗口但是隐藏、后台服务进程、浏览器进程无常规主线程、线程仅包含一个远程注入的线程。