[发明专利]一种针对内网端口反弹型木马的防范方法

说明书

本发明属于网络环境下信息安全技术领域，提出一种防范内网反弹型木马的方法，用于克服杀毒软件不能很好的发现已知木马的变种和新的木马的问题。该方法首先建立可信程序名单，并于内网出口网关保存该可信名单；再对发送报文进行安全上下文标记，然后在内网出口处对报文中的安全上下文提取，将其与网关的可信程序名单进行对比，如果程序名称及MD5值与可信程序名单一致，则放行，反之则丢掉数据包，限制放行并记入黑名单。从而，本发明有效解决由于传统木马检测方法无法对变种木马或者新木马进行有效检测而带来的内网安全问题。

技术领域

本发明属于网络环境下信息安全技术领域，具体是一种针对内网端口反弹型木马的防范方法。

背景技术

在网络安全领域，恶意代码快速增长，各种各样的恶意代码充斥在互联网中，最严重的当属病毒和木马，病毒的目的在于破坏计算机系统和文件，而木马则更倾向于机密信息窃取。木马有客户端和服务器端，一般来说服务器端和客户端相互配合，以完成一些破坏和信息窃取活动。当前，木马完全可以做到免杀并且隐藏自身的痕迹，由于防火墙限制，现在大部分木马都是反弹型木马。

反弹端口型木马利用了防火墙的弱点：

防火墙对于连入的链接往往会进行非常严格的过滤，但是对于连出的链接却疏于防范；于是，与一般的木马相反，反弹端口型木马的服务端(被控制端)使用主动端口，客户端(控制端)使用被动端口，木马定时监测控制端的存在，发现控制端上线立即弹出端口主动连结控制端打开的主动端口。

为了隐蔽起见，控制端的被动端口一般开在80，这样，即使用户使用端口扫描软件检查自己的端口，发现的也是正常的网络连接，不会产生怀疑。

目前针对木马的检测方法主要是特征码扫描和主动防御的方法，根据扫描特征码的方法判断木马的方法其缺陷是：一旦木马发生变种或者产生一个新的木马则杀毒软件就没有办法更好的检测。

而主动防御的方法也没有办法很好地检测使用内核技术的木马。

发明内容

本发明的目的在于提供了一种针对内网端口反弹型木马的防范方法，用于克服杀毒软件不能很好的发现已知木马的变种和新的木马的问题。

为解决上述问题，本发明的技术方案为：

一种针对内网端口反弹型木马的防范方法，包括以下步骤：

步骤1.确定可信程序名单：

为所有可信程序设定key-value，其中key为程序名称，value值为可执行程序的MD5(Message Digest Algorithm 5)值；

内网出口网关保存一份key-value名单，即可信程序名单；

步骤2.打安全标签：

对内网中每台主机应用程序发出的网络报文进行安全上下文标记，安全上下文标记内容包括：

(1)发送此报文的程序名称，

(2)程序的MD5值，

(3)主机的MAC(Medium/Media Access Control)地址；

步骤3.内网出口网关处捕获内网中流出的所有报文；

步骤4.检测报文中提供的安全上下文并分析报文内容：

提取报文中的安全上下文，将其与网关的可信程序名单(key-value名单)进行对比，如果程序名称及MD5值与可信程序名单一致，则放行并建立一个cache(缓存)；预设时间内，再次捕获到由此MAC地址所对应主机的相同程序发出的网络报文则直接放行；

反之则丢掉数据包，限制放行，并将相关信息记录于日志中；同时，对报文连接的外网IP地址记入黑名单。