[发明专利]一种木马网络通信检测与取证方法和系统

说明书

技术领域

本发明属于计算机信息安全的计算机网络通信取证领域，更具体地，涉及一种木马网络通信检测与取证方法和系统

背景技术

目前网络通信取证技术主要是依靠对网卡层的数据包的截取，并分析其中的通信链路地址（源IP、目地IP、源端口、目地端口）与数据包载荷，从而确定通信链路的源地址或目地是否可靠以及数据包载荷是否涉及用户隐私等。尽管通过这种分析可以从一定程度确定电脑是否遭受入侵威胁，但无法准确定位到是何进程将恶意文件从外部传入计算机或将计算机内敏感文件传出计算机，使得对计算机犯罪行为的取证还较为粗糙。

目前现有的计算机取证技术大多依赖于国外的取证软件Encase、德国的X-WAYS系列取证软件等，这些软件可以实现简单的网络行为记录。但由于这些软件使用技术只能够记录通信链路地址及数据包载荷，而无法定位到发起这个网络通信会话的进程实体，因而不能从根本上无法消除犯罪主体的抵赖性，同时，通过这些取证软件得到的犯罪证据只是很多零散、无关联的网络数据包，无法通过呈现符合逻辑的证据链来举证犯罪行为。

发明内容

针对现有技术的以上缺陷或改进需求，本发明提供了一种木马网络通信检测与取证方法和系统，其目的在于，解决现有网络通信取证技术无法将木马与该木马传出或接收的数据包确切关联起来，或无法将木马传入或传出数据包以应用层的完整文件形式呈现的技术问题，通过木马与数据包的关联，以及传入或传出的数据包重组成应用层的完整文件，使本发明的取证方法具有证据的主体确切指向性质与证据直观确切性，并最终提供具有主体确切指向准确可靠与直观的合乎逻辑的证据链，使犯罪行为不可抵赖。

为实现上述目的，按照本发明的一个方面，提供了一种木马网络通信检测与取证方法，包括以下步骤：

（1）接收用户提交的取证指令，并接受用户的输入，输入为需要被监测的木马进程ID号，根据该取证指令实时的从本机的网卡层捕获计算机网络通信时的网络数据包，以生成计算机网络数据包文件，同时从传输-网络层捕获被监测木马进程ID下的网络链接信息，以生成被监测木马进程的网络通信链接信息文件；

（2）将计算机网络数据包文件在被监测木马进程的网络通信链接信息的控制下过滤出仅与被监测木马进程相关联的被监测木马进程网络数据包文件；

（3）对被监测木马进程的网络通信包文件进行还原和重组处理，以生成被监测木马进程传出或接收的应用层文件，或与外界交互的有序信息交互序列；

（4）对步骤（1）得到的被监测木马进程的网络链接信息文件，步骤（2）得到的被监测木马进程网络数据包文件与步骤（3）得到的被监测木马相关联应用层文件或有序信息交互序列进行整理归纳，以生成记录被监测木马网络通信的三级有序证据链文件。

优选地，计算机网络数据包文件中包括该数据包所在通信链路的源端口号、目地端口号、目地IP地址和数据包载荷，以及该数据包的接收/发送时间，被监测木马进程的网络通信链接信息文件包括进程的进程名和ID号，该进程发起或撤销的网络通信链路的源及目的端口号与目的IP地址，该进程该发起或断开网络链接的时间以及发起或断开网络链接的标志，其中网络链接信息文件的信息项是作为一个整体被导出的。

优选地，计算机网络数据包的捕获是通过基于WinPcap协议实现，被监测木马进程网络链接信息的捕获是通过在传输网络层设置Hook函数的方式实现，这两种方式是通过基于TCP/IP网络协议栈所导出的。

优选地，步骤（2）具体为，将计算机网络数据包文件中每一个数据包所在通信链路的端口号、IP地址与被监测木马进程网络链接信息文件中的进程所在通信链路的端口号、IP地址进行比较，以找出与之相同的多个数据包，并将这些数据包所在通信链路的端口号、IP地址和其它通信内容保存为被监测木马进程的网络数据包文件，并确保这些数据包的接收/发送时间位于被监测木马进程网络链接信息文件中该进程所在通信链路的发起时间和断开时间之间。

优选地，步骤（3）具体为，首先去除被监测木马进程的网络通信包文件中包头的冗余信息，及其中的数据包的接收/发送时间，最后再使用数据包重组应用层文件算法将该被监测木马进程的网络通信包文件进行还原处理，以生成被监测木马传出接收的应用层文件或有序信息交互序列。

按照本发明的另一方面，提供了一种木马网络通信检测与取证系统，包括：

木马网络链接信息获取模块，用于接收用户提交的取证指令与用户输入的木马进程ID，从传输-网络层捕获用户监测木马进程ID下的网络通信链接信息，以生成被监测木马进程的网络链接信息文件；