[发明专利]一种木马远程shell行为检测装置及方法

说明书

技术领域

本发明涉及通信技术领域，尤其涉及一种木马远程shell行为检测装置及方法。

背景技术

近几年来，网络安全问题已经成为各国关注的重点问题之一，“棱镜”事件的曝出，网络隐私与个人用户上网安全问题再一次成为公众关注的焦点。随着网络攻击技术的不断发展，各种新型木马技术不断涌出，尽管各大安全厂商也都与时俱进，不断推出运用新型技术的安全产品，安全问题依然形势严峻。

随着时代的发展，以往网络病毒与木马的爆发式出现的概率越来越小，网络攻击者们已经转入地下，利用木马技术等发展出了完善的网络安全黑色产业链。木马的设计越来越具有针对性，通用型木马的使用已十分少见。对于军队和涉密单位等信息保密级别要求比较高的地方，极易受到这种针对性强的窃密木马侵入攻击行为。

对于窃密型木马来说，获取远程主机shell是其最基本的一个功能。所以，如果能够检测出木马的远程shell行为，那么就很容易定位木马流量和感染主机了。然而，传统的木马查杀和检测技术，并不适合对此类木马的查杀检测。主要表现在以下几个方面：

首先，传统的安装反病毒软件的木马检测技术是基于主机的检测，这种方法需要用户自己安装反病毒软件，实施复杂，同时无法对整个网络中的是否存在木马行为进行检测和监控。

其实，反病毒软件查杀木马主要使用的是基于病毒木马特征码检测的方式，这种方法对于检测新型木马来说并不适用，因为这种针对性较强的木马，其特征码一般不会被杀毒软件所记录，木马的制作者一般都会对木马程序做“免杀”处理，杀毒软件很难提取到其特征码。而且，一般境外敌对势力使用的窃密木马其特征码也一般是未知的。

目前主流的入侵检测系统和防火墙等，也大部分是基于规则的防火墙系统。这种基于规则的防护方式很难对未知的网络攻击流量进行区分和控制。虽然目前也有一些智能防火墙系统，但是效果一般，主要还是依靠传统的技术手段进行检测。

从专利文献中检索到以下专利中：

申请号为CN200910022718.X的网络窃密木马检测方法，此专利的思想是通过获取网络数据流，对通信地址进行分析、对通信协议进行分析、对通信行为进行分析、对通信关系进行分析，将高度疑似木马通信数据包，按照高度疑似木马通信所采用的网络通信协议，与相应的目的IP地址建立连接，并按照相应的通信协议构造探测数据包发送对方，如果对方返回的应答包中含有非 协议规定的内容，即确定该节点是木马控制端。但是对于使用正常网络通信协议进行通信的木马通信流量，该方法并不适用。

申请号为CN201010581622.X的一种木马检测方法、装置及系统，该发明的思想是以木马攻击过程中的特征执行的时间顺序为特征，在通过预置的木马特征库判断得到可疑的特征报文后，进一步利用木马攻击程序执行时序的特点，判断可疑的特征报文的执行时序是否和木马攻击程序的执行时序相同，如果相同，则确定可疑特征报文为木马特征报文。该方法虽然不是传统的特征码识别检测方法，但是仍然需要一个预置木马特征库。

申请号为CN201110430821.5的一种木马检测的方法及装置，该专利的主要思想是：当检测到会话中存在木马心跳检测时，根据木马心跳检测的频率是否固定，将记录的会话权值增加相应的权值并记录，并针对控制端向被控制端发送的每个报文，检测该报文是否符合木马控制命令报文的特征，若符合，则将记录的会话权值增加第三权值并记录，在会话权值达到告警阈值时发出告警，以通知该会话为木马发起的会话。但是，该方法无法检测某些无心跳包的静默式木马。

申请号为CN201110157821.2的基于心跳行为分析的快速木马检测方法 ，该发明也是一种基于心跳行为分析的木马检测方法，通过分析相邻两心跳过程之间的“心跳间隙”是否具有规律性以及心跳过程中被控端接收和发送的数据包数量比值是否相等，分析该阶段木马通信行为与正常网络通信行为之间的差别，挖掘二者之间的本质差别并提取行为特征，检测疑似木马。同上一发明，此方法也无法检测某些无心跳包的静默式木马。

申请号为CN201210412347.8的一种基于网络流量中行为特征的智能木马检测装置及其方法，该专利是一种根据网络流量数据中反映出来的木马行为特征去智能地检测木马的方法，提供了一种基于网络流量中行为特征的智能木马检测方法及其装置，其主旨在于提供一种对新型未知木马的发现。但是该专利并未提出具体的木马特征提取方法。而且误报率和准确性也还有待验证。