一种模拟网络活动检测木马的方法及系统技术方案

本发明专利技术提供了一种模拟网络活动检测木马的方法及系统，包括：在不同系统环境下运行已知木马程序，并根据其网络连接行为，模拟返回相应连接成功的信息，激发木马程序发出网络数据包；利用网络抓包工具，抓取所述木马程序在各系统环境下的网络通讯数据包，并对比得到各系统环境下相同的数据，作为所述已知木马程序的网络通讯协议特征；监控网络中的网络数据包，并与特征匹配，如果匹配，则判定为木马，报警并进行拦截；否则继续监控。通过本发明专利技术的方法，模拟控制端反馈的信息，解决了木马控制端不存活的情况，并能够解决通过普通网络特征监测对非活动的木马监测无效的问题。

【技术实现步骤摘要】

本专利技术涉及网络安全领域，特别涉及一种模拟网络活动检测木马的方法及系统。
技术介绍
随着互联网技术的发展和普及，计算机网络得到了广泛应用，越来越多的个人电脑加入到网络中，利用广泛开放的网络环境进行全球通信已经成为时代发展的趋势，人们日常的经济和社会生活也越来越依赖互联网，但网络技术给人们带来巨大便利的同时也带来了各种各样的安全威胁，其中特洛伊木马泛滥异常猖獗，技术上不断更新，而传统的基于特征代码的提取和对比的防火墙和反病毒技术有很大的局限性，对于新型的木马一般难以检测和清除，从而造成无法挽回的巨大损失，所以检测木马必须要有新的思路，即通过网络通信特征来检测木马，但这种方式依赖于网络数据包，然而在进行木马网络通信特征提取时，常常会遇到控制端不存活或网络不存活的情况，例如控制端断网未能连接网络等，导致即便运行所述木马程序，但依然无法获取到木马的网络通信特征。
技术实现思路
基于上述问题，本专利技术提出了一种模拟网络活动检测木马的方法，本专利技术能够通过模拟网络控制端或网络存活，激发木马的回连行为，进而激发其发送网络数据包，获取其网络通讯协议特征，解决了现有方法中对非活动的木马无效的问题。一种模拟网络活动检测木马的方法，包括: 在不同系统环境下，分别运行已知木马程序，并根据所述木马程序的网络连接行为，模拟控制端返回相应连接成功的信息，激发木马程序发出网络通讯数据包；即在多种操作系统环境下，模拟木马的网络回连行为成功，激发木马的网络通讯数据包首包； 利用网络抓包工具，抓取所述木马程序在各系统环境下的网络通讯数据包，并保存；提取所述各系统环境下的网络通讯数据包，并对比得到各系统环境下相同的数据或数据格式，作为所述已知木马程序的网络通讯协议特征，并保存形成特征库； 监控网络中的网络数据包，并与特征库中的网络通讯协议特征匹配，如果匹配，则判定为木马，报警并进行拦截；否则继续监控。所述的方法中，所述与特征库中的网络通讯协议特征匹配包括:正则匹配或特征组合匹配。本专利技术还提供一种模拟网络活动检测木马的系统，包括: 模拟运行模块，用于在不同系统环境下，分别运行已知木马程序，并根据所述木马程序的网络连接行为，模拟控制端返回相应连接成功的信息，激发木马程序发出网络通讯数据包； 抓包模块，用于利用网络抓包工具，抓取所述木马程序在各系统环境下的网络通讯数据包，并保存； 特征提取模块，用于提取所述各系统环境下的网络通讯数据包，并对比得到各系统环境下相同的数据或数据格式，作为所述已知木马程序的网络通讯协议特征，并保存形成特征库； 监控模块，用于监控网络中的网络数据包，并与特征库中的网络通讯协议特征匹配，如果匹配，则判定为木马，报警并进行拦截；否则继续监控。述的系统中，所述与特征库中的网络通讯协议特征匹配包括:正则匹配或特征组合匹配。本专利技术所提出的方法及系统，能够通过模拟控制端返回的信息，激发木马的网络行为，获取木马在各种不同系统环境下的网络通讯数据包，并比较提取相同的网络通讯协议特征，用于对网络中的数据包进行检测。通过本专利技术的方法，能够通过模拟控制端或网络存活，激发木马的回连行为，来获取非活动木马的网络通讯特征，进而对普通的检测技术无法识别的木马，如加壳木马进行检测。【附图说明】为了更清楚地说明本专利技术或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本专利技术中记载的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。图1为本专利技术一种模拟网络活动检测木马的方法流程图； 图2为本专利技术一种模拟网络活动检测木马的系统示意图。【具体实施方式】为了使本
的人员更好地理解本专利技术实施例中的技术方案，并使本专利技术的上述目的、特征和优点能够更加明显易懂，下面结合附图对本专利技术中技术方案作进一步详细的说明。基于上述问题，本专利技术提出了一种模拟网络活动检测木马的方法，本专利技术能够通过模拟网络控制端或网络存活，激发木马的回连行为，进而激发其发送网络数据包，获取其网络通讯协议特征，解决了现有方法中对非活动的木马无效的问题。一种模拟网络活动检测木马的方法，如图1所示，包括: 5101:在不同系统环境下，分别运行已知木马程序，并根据所述木马程序的网络连接行为，模拟控制端返回相应连接成功的信息，激发木马程序发出网络通讯数据包；即在多种操作系统环境下，模拟木马的网络回连行为成功，激发木马的网络数据包首包；所述多种操作系统环境，如windows xp、windows 7或windows8等系统环境； 所述的模拟控制端返回相应连接成功的信息为根据木马所发送数据包中的具体函数进行反馈，如:如果为dns解析函数gethostbyname，则进行hook ;当遇到函数识别查询域名为外网域名，则返回模拟的外网规则ip ;如果为连接函数connect，则返回成功；如果为网页访问函数internetconnect失效，则返回成功句柄；如果为下载函数URLDownloadtofiIe等下载类型函数，则模拟返回一个exe文件等；当前第1页1 2 本文档来自技高网...

【技术保护点】
一种模拟网络活动检测木马的方法，其特征在于，包括：在不同系统环境下，分别运行已知木马程序，并根据所述木马程序的网络连接行为，模拟控制端返回相应连接成功的信息，激发木马程序发出网络通讯数据包；利用网络抓包工具，抓取所述木马程序在各系统环境下的网络通讯数据包，并保存；提取所述各系统环境下的网络通讯数据包，并对比得到各系统环境下相同的数据或数据格式，作为所述已知木马程序的网络通讯协议特征，并保存形成特征库；监控网络中的网络数据包，并与特征库中的网络通讯协议特征匹配，如果匹配，则判定为木马，报警并进行拦截；否则继续监控。

【技术特征摘要】

【专利技术属性】
技术研发人员：廖伟，康学斌，肖新光，
申请(专利权)人：哈尔滨安天科技股份有限公司，
类型：发明
国别省市：黑龙江;23