[发明专利]基于线程行为的木马窃取文件检测方法和系统

说明书

技术领域

本发明涉及计算机恶意软件的恶意行为检测领域，特别涉及一种基于线程行为的木马窃取文件检测方法和系统。

背景技术

利用木马传输文件的行为来保护文档安全的技术目前尚未在主流杀软中出现。目前的针对木马检测行为监视主要是通过木马的创建远程线程、服务、等异常动作，而非数据安全方面的监视。

现有专利《基于进程关联的文件传输监控方法》中采用常规的网络协议HTTP、FTP、SMTP的数据内容来判断是否进程文件传输，这种方法较为准确的识别常规的正常程序的文件传输，但由于大部分木马采用的协议是非标准的应用协议进行文件传输，所以标准的协议解析匹配数据无法检测到大部分的木马窃取文件行为。同时在应用上该方法目的是防止信息泄漏但是对于用户主动的IE邮件上传、FTP等工具上传文件产生误报，而对于木马却无法检测产生漏报。另外该专利实现技术中需要用文件访问时间与数据包发送时间一致来判断文件传输，这个方式会导致一部分木马在读取文件后进行压缩处理和特别变换后再发送导致读取文件时间与网络发送时间并不一致。

发明内容

针对以上不足，本发明要解决的技术问题是提供一种基于线程行为的木马窃取文件检测方法和系统。

解决进程、线程的文件传输的准确识别方法，常规的采用NDIS的网络监视方法过于底层导致无法直接获取传输数据的进程和线程，即使通过时间IP关联也只能得到与进程的关联。

为了准确获得线程读取文件、网络发送序列，采用内核inline hook方式对于线程的内核API调用过程进行记录，找出符合发送文件的模型，同时由于木马采用非标准应用协议传输文件，通过线程读取文件数据内容与网络发送内容进行应用层协议无关性的BM匹配方式进行特征匹配，以及大小及压缩格式变换匹配达到更加准确的文件传输特征识别。

对于传输文件主体的进程、线程的发送文件过程的隐蔽性的识别用于识别是木马窃取文档而非普通正常文件操作。窃取文件方式隐蔽性主要体现在主体的窗口属性、进程属性和利用傀儡进程的性质。通过检测这些主体的隐蔽性来判断是否是木马窃取，极大减少对正常文件传输的误报，提高对木马窃取文件的检测。

为了解决上述技术问题，本发明提供一种基于线程行为的木马窃取文件检测方法，包括：

监视线程的文件操作和网络操作；所述文件操作包括打开文件路径和读取文件数据；

将监视的线程和线程所属的进程以及截获的文件操作及文件读取数据和网络操作及网络发送数据形成行为序列缓冲队列；

根据缓冲队列中的行为序列判断线程读取的文件是否为网络发送的文件；

如果线程读取的文件为网络发送的文件，并且检查该线程及线程所属的进程具有隐蔽性，则有木马窃取文件行为。

其中，线程是依赖进程存在的，一个进程包括多个线程，进程和线程一起作为动作执行的主体。

进一步的，安装内核驱动程序，通过对内核导出函数进行Inline Hook内联挂钩监视线程的文件操作和网络操作。

进一步的，进行Inline Hook内联挂钩监视线程的文件操作和网络操作的内核函数包括文件打开函数NtOpenFile、文件读取函数NtReadFile、和网络发送的函数NtDeviceIoControlFile。

Inline-hook内联挂钩，通过改写目标函数的头部为jmp指令而完成挂钩，在修改的过程中需要将原来的指令复制到新的位置用于hook函数执行完毕后调用，为防止指令截断也就是复制的指令不完整需要进行反汇编得到要复制的指令地长度。复制原有指令后即可覆盖函数头部跳转到监视程序从而得到监视的API调用和参数。

进一步的，根据缓冲队列中的行为序列判断线程读取的文件是否为网络发送的文件，包括：

用缓冲队列中的行为序列与发送文件模型进行模式匹配，如果匹配成功，并且线程读取文件数据的总大小与线程所访问的文件大小相差不超过文件大小的30%，则确认该线程在进行文件发送；

将网络发送数据与线程进行文件发送的数据进行协议无关性匹配，如果匹配成功，则线程读取的文件为网络操作发送的文件。

进一步的，将网络发送数据与线程进行文件发送的数据进行协议无关性匹配，采用串匹配的快速 Boyer-Moore 算法。

针对相同进程或线程传输的数据与读取文件进行特征匹配，特征匹配过程对网络数据不进行应用层协议解析，而是直接与文件数据进行串匹配的快速 Boyer-Moore 算法（BM算法），判断读取文件数据与网络数据是否相同。