本发明专利技术涉及基于网络会话的木马病毒分析技术。本技术的操作步骤包括:(1)通过底层抓包技术获取网络数据包;(2)解码网络数据包并对IP分片包进行重组;(3)对TCP数据流进行重组;(4)对TCP会话状态进行跟踪并根据是否完成连接分别标记会话状态为半连接状态、已连接状态、关闭状态和删除TCP会话;(5)当接收到的数据包请求为断开会话连接,此时检查当前会话状态是否为已连接,如果是半连接状态,那么该来源主机地址可能是不存在的主机,此时记录该异常行为主机,并进行计数;(6)当一分钟内异常主机的累计计数大于30时,我们可以确定此主机就是感染木马病毒的主机。
【技术实现步骤摘要】
基于网络会话的木马病毒分析技术
本专利技术涉及基于网络会话的木马病毒分析技术,属于计算机应用
技术介绍
随着互联网技术的发展和普及,计算机网络得到了广泛应用,利用广泛开放的网络环境进行全球通信已经成为时代发展的趋势,人们日常的经济和社会生活也越来越依赖互联网。但网络技术给人们带来巨大的便利的同时也带来了各种各样的安全威胁,例如黑客攻击,计算机病毒、特洛伊木马泛滥等。研究在目前开放的网络环境下,如何保证自己的信息安全就显的非常重要。木马是一种具有运行非预期或未授权功能的程序,例如可以记录用户键入的密码,远程传输文件,甚至可以完全远程控制计算机等。一般黑客在攻击目标得手之后,就会在主机上安装后门,即特洛伊木马。特洛伊木马可以在用户毫不知情的情况下泄漏用户的密码、用户的秘密资料等,甚至可以远程监控用户的操作,因此,某些行业,如国防、外交和商务部门,特洛伊木马的危害性更大,一旦这些部门被安装了木马,损失就会非常惨重。在网络攻击与安全防范日益激烈的对抗中,木马攻击技术在不断地完善。现在木马攻击手段已成为网络攻击的最常用、最有效的手段之一,是一系列网络攻击活动中重要的组成部分,严重地威胁着计算机网络系统的安全。传统的特征码检测技术对于检测已知恶意代码,非常快捷有效,但是对于检测未知的恶意代码则无能为力。因此,我们专利技术了“基于网络会话的木马病毒分析技术”
技术实现思路
为了能够有效的发现未知病毒木马,减低木马行为带来的损失与影响。本专利技术实施例提供了基于网络会话的木马病毒分析技术,以此大力提高未知病毒木马的检测能力,所述技术方案如下:1.基于网络会话的木马病毒分析技术,其特征主要表现在通过木马病毒的网络会话行为特点来定位木马病毒,其核心实现过程:(1)通过底层抓包技术获取网络数据包;(2)解码网络数据包,分别得到以太头、IP头、协议头、会话数据;(3)通过分析IP头标志位是否为分片数据包,如果是分片的数据包,那么进行IP数据包重组,得到完整的IP数据包;(4)通过协议头过滤出TCP数据包,根据TCP的三步握手规则以及建立来源IP、来源端口、目的IP、目的端口的TCP会话并进行跟踪;(5)对TCP会话进行状态设置,没有完成三步握手的TCP会话标记为半连接状态,已经完成握手的会话会已连接状态,正在关闭连接的为关闭状态,已经断开链接的则删除TCP会话;(6)当接收到的数据包TCP标志位RST为1时,表示来源主机要求断开会话连接,此时检查当前会话状态是否为已连接,如果是半连接状态,那么这该来源主机地址可能是不存在的,而目的主机可能是有异常行为的主机,此时记录该异常行为主机,并进行计数;(7)当一分钟内异常主机的累计计数大于30时,我们可以确定此主机就是感染木马病毒的主机;其具体操作步骤如下:(1)数据包捕获通过安装WINPCAP工具,我们可以抓取到底层网络数据包,并交由数据包分析模块处理;(2)数据包解码①首先判断数据包是否为以太网数据包,不是则丢弃;是则解码以太头,得到来源MAC地址、目的MAC地址以及以太协议类型;②以太头协议类型是否为IP协议类型,不是则丢弃;是则解码IP协议头,得到来源IP、目的IP、传输协议类型、IP头长度、IP分片标志等;③传输层协议类型是否为TCP协议类型,不是则丢弃;是则解码TCP协议头,得到来源端口、目的端口、TCP标志位等;(3)IP数据包重组①查找是否为新的数据包分组:通过对来源IP、来源端口、目的IP、目的端口作HASH运算得出一个HASH值,用这个HASH值在数据包分组链表中查找是否为新的分组,如果是,创建一新的分组添加到分组链表,如果不是,那么就按照分片标志位中的便宜量顺序插入到已有分组的分片链表中;②检测分组数据包是否接收完成:检查当前IP数据包是否为最后一个分片包,如果是,那就表示当前分组已经接收完所有的分片包,可以进行数据包的重组了;③数据包重组:对当前分组的所有分片包按照分片标志位中的偏移量顺序组合成一个新的IP数据包;(4)TCP会话跟踪通过来源IP、来源端口、目的IP、目的端口建立HASH值,每一个HASH值将作为一个会话连接,将只有SYN标志或者SYN+ACK标志的会话设置为半连接状态,将完成SYN->SYN+ACK->ACK三步握手连接的会话设置为已连接状态;将发送SYN+RST标志的设置为断开连接状态;将发送FIN+ACK的删除会话;(5)木马病毒分析由于感染木马的主机要需要接收木马制作者的控制命令,木马主机会定时的向控制端发送反向连接请求,而木马控制端不会时常在线,因此这规律性的反向连接将会导致网络异常连接,通过分析异常连接流量可以定位木马主机;通过统计每个主机的异常连接数量,当一分钟内异常主机的累计计数大于30时,我们可以确定此主机就是感染木马病毒的主机;以下是对本专利技术的技术作进一步的说明:所述的WINPCAP,winpcap(windowspacketcapture)是windows平台下一个免费,公共的网络访问系统。开发winpcap这个项目的目的在于为win32应用程序提供访问网络底层的能力。它用于windows系统下的直接的网络编程。所述的SYN,SYN(synchronous)是TCP/IP建立连接时使用的握手信号。在客户机和服务器之间建立正常的TCP网络连接时,客户机首先发出一个SYN消息,服务器使用SYN+ACK应答表示接收到了这个消息,最后客户机再以ACK消息响应。这样在客户机和服务器之间才能建立起可靠的TCP连接,数据才可以在客户机和服务器之间传递。所述的ACK,ACK(Acknowledgement),即确认字符,在数据通信中,接收站发给发送站的一种传输类控制字符。表示发来的数据已确认接收无误。所述的木马病毒,木马病毒和其他病毒一样都是一种人为的程序,都属于电脑病毒。大家都知道以前的电脑病毒的作用,其实完全就是为了搞破坏,破坏电脑里的资料数据,除了破坏之外其它无非就是有些病毒制造者为了达到某些目的而进行的威慑和敲诈勒索的作用,或是为了炫耀自己的技术。木马病毒则不一样,它的作用是赤裸裸的偷偷监视别人的所有操作和盗窃别人的各种密码和数据等重要信息,如盗窃系统管理员密码搞破坏;偷窃ADSL上网密码和游戏帐号密码用于牟利。所以木马病毒的危害性比其他电脑病毒更加大,更能够直接达到使用者的目的。这个现状就导致了许多别有用心的程序开发者大量的编写这类带有偷窃和监视别人电脑的侵入性程序,这就是目前网上大量木马病毒泛滥成灾的原因。鉴于木马病毒的这些巨大危害性和它与其他病毒的作用性质的不一样,所以木马病毒虽然属于病毒中的一类,但是要单独的从病毒类型中间剥离出来,独立地称之为“木马病毒”程序。附图说明:图1为本专利技术技术的木马病毒行为图。图2为本专利技术技术的数据包解码流程图。图3为本专利技术技术的木马病毒分析流程图。具体实践方式:实施例:为了更好的理解本专利技术的技术方案,现结合附图中的图表就具体实施进行进一步详细描述如下:(1)木马病毒行为特征——(如图1所示)由于感染木马的主机要需要接收木马制作者的控制命令,木马主机会定时的向控制端发送反向连接请求,而木马控制端不会时常在线,因此这规律性的反向连接将会导致网络异常连接,通过分析异常连接流量可以定位木马主机本文档来自技高网...
【技术保护点】
基于网络会话的木马病毒分析技术,其特征主要表现在通过木马病毒的网络会话行为特点来定位木马病毒,其核心实现过程:(1)通过底层抓包技术获取网络数据包;(2)解码网络数据包,分别得到以太头、IP头、协议头、会话数据;(3)通过分析IP头标志位是否为分片数据包,如果是分片的数据包,那么进行IP数据包重组,得到完整的IP数据包;(4)通过协议头过滤出TCP数据包,根据TCP的三步握手规则以及建立来源IP、来源端口、目的IP、目的端口的TCP会话并进行跟踪;(5)对TCP会话进行状态设置,没有完成三步握手的TCP会话标记为半连接状态,已经完成握手的会话会已连接状态,正在关闭连接的为关闭状态,已经断开链接的则删除TCP会话;(6)当接收到的数据包TCP标志位RST为1时,表示来源主机要求断开会话连接,此时检查当前会话状态是否为已连接,如果是半连接状态,那么这该来源主机地址可能是不存在的,而目的主机可能是有异常行为的主机,此时记录该异常行为主机,并进行计数;(7)当一分钟内异常主机的累计计数大于30时,我们可以确定此主机就是感染木马病毒的主机;其具体操作步骤如下:(1)数据包捕获通过安装WINPCAP工具,我们可以抓取到底层网络数据包,并交由数据包分析模块处理;(2)数据包解码①首先判断数据包是否为以太网数据包,不是则丢弃;是则解码以太头,得到来源MAC地址、目的MAC地址以及以太协议类型;②以太头协议类型是否为IP协议类型,不是则丢弃;是则解码IP协议头,得到来源IP、目的IP、传输协议类型、IP头长度、IP分片标志等;③传输层协议类型是否为TCP协议类型,不是则丢弃;是则解码TCP协议头,得到来源端口、目的端口、TCP标志位等;(3)IP数据包重组①查找是否为新的数据包分组:通过对来源IP、来源端口、目的IP、目的端口作HASH运算得出一个HASH值,用这个HASH值在数据包分组链表中查找是否为新的分组,如果是,创建一新的分组添加到分组链表,如果不是,那么就按照分片标志位中的便宜量顺序插入到已有分组的分片链表中;②检测分组数据包是否接收完成:检查当前IP数据包是否为最后一个分片包,如果是,那就表示当前分组已经接收完所有的分片包,可以进行数据包的重组了;③数据包重组:对当前分组的所有分片包按照分片标志位中的偏移量顺序组合成一个新的IP数据包;(4)TCP会话跟踪通过来源IP、来源端口、目的IP、目的端口建立HASH值,每一个HASH值将作为一个会话连接,将只有SYN标志或者SYN+ACK标志的会话设置为半连接状态,将完成SYN‑>SYN+ACK‑>ACK三步握手连接的会话设置为已连接状态;将发送SYN+RST标志的设置为断开连接状态;将发送FIN+ACK的删除会话;(5)木马病毒分析由于感染木马的主机要需要接收木马制作者的控制命令,木马主机会定时的向控制端发送反向连接请求,而木马控制端不会时常在线,因此这规律性的反向连接将会导致网络异常连接,通过分析异常连接流量可以定位木马主机;通过统计每个主机的异常连接数量,当一分钟内异常主机的累计计数大于30时,我们可以确定此主机就是感染木马病毒的主机。...
【技术特征摘要】
1.基于网络会话的木马病毒分析方法,其特征主要表现在通过木马病毒的网络会话行为特点来定位木马病毒,其核心实现过程:(一)通过底层抓包技术获取网络数据包;(二)解码网络数据包,分别得到以太头、IP头、协议头、会话数据;(三)通过分析IP头标志位是否为分片数据包,如果是分片的数据包,那么进行IP数据包重组,得到完整的IP数据包;(四)通过协议头过滤出TCP数据包,根据TCP的三步握手规则以及建立来源IP、来源端口、目的IP、目的端口的TCP会话并进行跟踪;(五)对TCP会话进行状态设置,没有完成三步握手的TCP会话标记为半连接状态,已经完成握手的会话会已连接状态,正在关闭连接的为关闭状态,已经断开链接的则删除TCP会话;(六)当接收到的数据包TCP标志位RST为1时,表示来源主机要求断开会话连接,此时检查当前会话状态是否为已连接,如果是半连接状态,那么所述来源主机的地址可能是不存在的,而目的主机可能是有异常行为的主机,此时记录该主机为异常行为主机,并进行计数;(七)当一分钟内异常行为主机的累计计数大于30时,确定此主机就是感染木马病毒的主机;其具体操作步骤如下:(1)数据包捕获通过安装WINPCAP工具,抓取到底层网络数据包,并交由数据包分析模块处理;(2)数据包解码(2.1)首先判断数据包是否为以太网数据包,不是则丢弃;是则解码以太头,得到来源MAC地址、目的MAC地址以及以太协议类型;(2.2)以太头协议类型...
【专利技术属性】
技术研发人员:赖洪昌,
申请(专利权)人:赖洪昌,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。