【技术实现步骤摘要】
—种木马网络通信检测与取证方法和系统
本专利技术属于计算机信息安全的计算机网络通信取证领域,更具体地,涉及一种木马网络通信检测与取证方法和系统
技术介绍
目前网络通信取证技术主要是依靠对网卡层的数据包的截取,并分析其中的通信链路地址(源IP、目地IP、源端口、目地端口)与数据包载荷,从而确定通信链路的源地址或目地是否可靠以及数据包载荷是否涉及用户隐私等。尽管通过这种分析可以从一定程度确定电脑是否遭受入侵威胁,但无法准确定位到是何进程将恶意文件从外部传入计算机或将计算机内敏感文件传出计算机,使得对计算机犯罪行为的取证还较为粗糙。目前现有的计算机取证技术大多依赖于国外的取证软件Encase、德国的X-WAYS系列取证软件等,这些软件可以实现简单的网络行为记录。但由于这些软件使用技术只能够记录通信链路地址及数据包载荷,而无法定位到发起这个网络通信会话的进程实体,因而不能从根本上无法消除犯罪主体的抵赖性,同时,通过这些取证软件得到的犯罪证据只是很多零散、无关联的网络数据包,无法通过呈现符合逻辑的证据链来举证犯罪行为。
技术实现思路
针对现有技术的以上缺陷或改进需求...
【技术保护点】
一种木马网络通信检测与取证方法,其特征在于,包括以下步骤:(1)接收用户提交的取证指令,并接受用户的输入,输入为需要被监测的木马进程ID号,根据该取证指令实时的从本机的网卡层捕获计算机网络通信时的网络数据包,以生成计算机网络数据包文件,同时从传输?网络层捕获用户被监测木马进程ID下的网络链接信息,以生成被监测木马进程的网络通信链接信息文件;(2)将计算机网络数据包文件在被监测木马进程的网络通信链接信息的控制下过滤出仅与被监测木马进程相关联的被监测木马进程网络数据包文件;(3)对被监测木马进程的网络通信包文件进行还原和重组处理,以生成被监测木马进程传出或接收的应用层文件,或与...
【技术特征摘要】
1. 一种木马网络通信检测与取证方法,其特征在于,包括以下步骤: (1)接收用户提交的取证指令,并接受用户的输入,输入为需要被监测的木马进程ID号,根据该取证指令实时的从本机的网卡层捕获计算机网络通信时的网络数据包,以生成计算机网络数据包文件,同时从传输-网络层捕获用户被监测木马进程ID下的网络链接信息,以生成被监测木马进程的网络通信链接信息文件; (2)将计算机网络数据包文件在被监测木马进程的网络通信链接信息的控制下过滤出仅与被监测木马进程相关联的被监测木马进程网络数据包文件; (3)对被监测木马进程的网络通信包文件进行还原和重组处理,以生成被监测木马进程传出或接收的应用层文件,或与外界交互的有序信息交互序列; (4)对步骤(1)得到的被监测木马进程的网络链接信息文件,步骤(2)得到的监测木马进程网络数据包文件与步骤(3)得到的被监测木马相关联应用层文件或有序信息交互序列进行整理归纳,以生成木马网络通信的三级有序证据链。2.根据权利要求1所述的木马网络通信检测与取证方法,其特征在于, 计算机网络数据包文件中包括该数据包所在通信链路的源端口号、目地端口号、目地IP地址和数据包载荷,以及该数据包的接收/发送时间; 被监测木马进程的网络通信链接信息文件包括进程的进程名和ID号,该进程发起或撤销的网络通信链路的源及目的端口号与目的IP地址,该进程该发起或断开网络链接的时间以及发起或断开网络链接的标志,其中网络链接信息文件的信息项是作为一个整体被导出的。3.根据权利要求2所述的木马网络通信检测与取证方法,其特征在于,计算机网络数据包的捕获是通过基于WinPcap协议实现,被监测木马进程网络链接信息的捕获是通过在传输网络层设置Hook函数的方式实现,这两种方式是通过基于TCP/IP网络协议栈所导出的。4.根据权利要求1或2所述的木马网络通信检测与取证方法,其特征在于,步骤(2)具体为,将计算机网络数据包文件中每一个数据包所在通信链路的端口号、IP地址与被监测木马进程网络链接信息文件中的进程所在通信链路的端口号、IP地址进行比较,以找出与之相同的多个数...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。