[发明专利]网络窃密木马检测方法

摘要

本发明公开了一种网络窃密木马检测方法，首先进行网络数据流获取，再通过对通信地址进行分析、对通信协议进行分析、对通信行为进行分析、对通信关系进行分析，将高度疑似木马通信数据包，按照高度疑似木马通信所采用的网络通信协议，与相应的目的IP地址建立连接，并按照相应的通信协议构造探测数据包发送对方，如果对方返回的应答包中含有非协议规定的内容，即确定该节点是木马控制端。由于采用网络数据流分析，对网络窃密木马进行检测，能够依据窃密木马的网络通信和行为特征，从海量的网络数据中检测和发现基于木马的窃密行为，有效遏制网络窃密与泄密行为。

主权项

1、一种网络窃密木马检测方法，其特征在于包括下述步骤：(a)从互联网入口处捕获网络数据包，将所捕获的网络数据包存入数据库中；(b)设置要检测的目的IP地址段和源IP地址段，按照所设置的目的IP地址段和源IP地址段，通过比对网络数据集中每个数据包的目的IP地址和源IP地址，筛选出待检数据集，如果检测到网络数据集中含有目的IP地址和源IP地址属于重点监测的网络地址范围的数据包，则将这些数据包标定为高度疑似木马通信，转入步骤(f)处理；(c)对通信协议进行分析，凡是具有如下通信协议特征：①使用HTTP协议、DNS协议等特定的通信协议和公知的端口号；②反向连接模式，连接发起方为被控主机，以便穿越用产防火墙等防护设施；③数据包使用HTTP协议、DNS协议等特定协议头进行伪装，但数据内容和数据包长度与特定协议不符；如果检测到待检数据集中含有上述三个通信协议特征的数据包，则将这些数据包标定为高度疑似木马通信，转入步骤(f)处理；(d)对通信行为进行分析，同步型木马直接受木马控制端控制，窃密者实时监控被控主机，随时获取被控主机上的文件，表现出来的通信行为特征是在检测周期内使用相同通信协议与固定IP地址通信至少2次以上，但时间间隔不固定；异步型木马不直接受木马控制端控制，而是定时将被控主机上的文件传输给某一节点，表现出来的通信行为特征是在检测周期内以相同时间间隔使用相同通信协议与固定IP地址通信至少2次以上，如果检测到待检数据集中含有上述通信行为特征的数据包，则将这些数据包标定为高度疑似木马通信，转入步骤(f)处理；(e)对通信关系进行分析，如果检测到待检数据集中含有2个以上的不同的源IP地址与同一目的IP地址进行通信的数据包，说明多个被控主机可能被同一木马控制端控制，则将这些数据包标定为高度疑似木马通信，转入步骤(f)处理；(f)对于检测出的高度疑似木马通信，采用如下验证方法来进一步确诊：按照高度疑似木马通信所采用的网络通信协议，与相应的目的IP地址建立连接，并按照相应的通信协议构造探测数据包发送对方，如果对方返回的应答包中含有非协议规定的内容，即确定该节点是木马控制端。