专利名称:一种蜜罐系统和运用该系统检测木马的方法
技术领域:
本发明属于网络安全技术领域,具体涉及木马程序的检测系统和检测方法。
背景技术:
木马程序利用系统的漏洞,通过internet达到控制服务端的目的。现在的木马程序在未运行前一般难以检测,由于其不具有危险性。但是当木马程序被一些特定的动作触发时,其会针对性地对一些控制端、服务端进行控制,达到控制系统的目的。由于木马程序会自动销毁,一般的生存周期在20分钟左右。传统的安全检测软件针对一些可疑的程序会进行分析、判断。传统安全检测软件收集的往往是海量病毒样本,通过上传到服务器进行进一步地分析,由于样本量比较大,分析时间比较长,无法在短时间内给出判断结果。简单的基于云技术的搜集方式,由于样本量巨大,有可能在云计算中丢失该样本,无法精确、快速地检测出木马在生存周期内的活动状态,更不用说进行进一步的防御。因此需要一种快速、安全的检测系统。能在短时间内把木马程序检测出来,并提醒用户做进一步防御。随着网购的发展,支付安全已经越来越重要。目前很多木马程序在发布之前都会针对专门的防火墙、杀毒软件之类的安全防护软件进行反复检测,以求通过杀毒软件,获得更多的窃取价值。在这些木马程序正式发布前,通过常见的杀毒软件是必须的,所以如果可以在木马病毒在杀毒软件测试的时候快速、准确地获得该木马的行为特征,可以有效地预防该木马病毒。
发明内容
为了在木马生存周期内快速、精确发现木马病毒,本发明目的在于提供新型一种在病毒制作者正式发布木马病毒之前,利用安全防护软件测试木马病毒文件时就能发现木马病毒的蜜罐系统和运用该系统检测木马的方法。为了实现上述目的,本发明所采用技术方案如下:一种蜜罐系统,包括安装于用户计算机操作系统的系统客户端、与所述系统客户端交互通信的系统服务器,在所述系统客户端设有病毒作者过滤库,用于存储预存的病毒作者的病毒作者行为规则,所述病毒作者行为规则包括安全防护软件的数量、安全防护软件的操作次数和特征码定位器;在所述系统客户端设有检测模块,用于检测计算机安全防护软件的数量、安全防护软件的扫描操作次数、以及计算机中是否包含特征码定位器;在所述系统客户端设有第一判断模块,用于判断检测模块检测的结果是否是病毒作者过滤库中的病毒作者行为规则;在所述系统客户端设有提示模块,用于提示计算机操作者使用安全防护软件扫描的文件是否为病毒文件;在所述系统客户端设有提取模块,用于上传病毒作者扫描的文件至系统服务器;在所述系统服务器设有木马规则过滤库,用于存储常见的木马行为规则;在所述系统服务器设有第二判断模块,其根据木马规则过滤库判断提取模块上传的文件是否为病毒文件,并将判断结果反馈至提示模块,由提示模块通过窗口提示模式提示用户。
进一步地,所述病毒作者行为规则包括计算机内安装两个以上安全防护软件、24小时内安全防护软件扫描操作两次以上、以及存在特征码定位器。进一步地,所述检测模块检测结果与病毒作者行为规则过滤库中任一病毒作者行为规则匹配,则第一判断模块判断该计算机为病毒计算机。一种运用上述蜜罐系统的检测方法,用于快速、精确检测木马病毒,该检测方法包括以下步骤,检测模块检测计算机内安装安全防护软件的数量、24小时内安全防护软件扫描操作次数以及计算机内是否存在特征码定位器;第一判断模块判断根据检测模块的检测结果,通过与病毒作者过滤库中的病毒作者行为规则匹配,判断该计算机是否为病毒计算机;若检测模块检测结果与病毒作者行为规则过滤库中任一病毒作者行为规则匹配,则第一判断模块判断该计算机为病毒计算机;第一判断模块的判断结果发送至提取模块;提取模块提取计算机操作者使用安全防护软件扫描的文件至系统服务器;系统服务器的第二判断模块根据木马规则过滤库中的木马行为规则判断该文件是否为木马文件;第二判断模块的判断结果发送至系统客户端的提示模块;提示模块通过提示窗口的模式提示用户。进一步地,所述第一判断模块把该计算机为病毒计算机的判断结果发送至提取模块;判断结果为非病毒计算机则返回检测模块继续检测步骤。进一步地,所述第二判断模块把判断结果为木马文件的判断结果发送至客户端的提示模块;判断结果为非木马文件则返回检测模块继续检测步骤。与现有的技术相比,本发明的有益技术效果在于:本发明检测模块对计算机的安全防护软件数量、安全防护软件扫描操作的次数、以及计算机系统是否包含特征码定位器进行检测,第一判断模块根据检测结果和病毒作者过滤库判断计算机的状态,如果是病毒计算机,则对相应的文件进行进一步处理。这样可以有效、快速、准确地从病毒制作者这个源头上发现病毒,在木马病毒发布前就识别、并加以处理。通过第二判断模块对文件进一步处理,可以提前最新的木马行为规则,丰富了木马规则过滤库。进一步达到了更好的防御和发现木马的目的。本发明的检测方法区别于云检测,具有很强的针对性,可以快速、准确发现木马病毒,达到很好的预防效果。
此
所提供的图片用来辅助对本发明的进一步理解,构成本申请的一部分,并不构成对本发明的不当限定,在附图中:图1为本发明的结构示意图;图2为本发明检测流程示意图。图中:I—系统客户端;11 一检测模块;12—第一判断模块;13—提取模块;14一病毒作者过滤库;15—提示模块;2—系统服务器;21—木马规则过滤库;22—第二判断模块。
具体实施例方式下面将结合附图以及具体实施方法来详细说明本发明,在本发明的示意性实施及说明用来解释本发明,但并不作为对本发明的限定。本实施例包括安装于用户计算机操作系统的系统客户端1、与系统客户端I交互通信的系统服务器2两大部分。系统客户端I设有检测模块11、第一判断模块12、提取模块
13、病毒作者过滤库14和提示模块15。系统服务器2设有木马规则过滤库21,第二判断模块22。所述检测模块11用于检测计算机安全防护软件的数量、安全防护软件的操作次数、以及检测利用安全防护软件扫描的文件中是否包含特征码定位器。所述病毒作者过滤库14中存储有预设的病毒作者的病毒作者行为规则,所述病毒作者行为规则包括安全防护软件的数量、安全防护软件的扫描操作次数和特征码定位器。所述第一判断模块12用于判断检测模块11检测的结果是否是病毒作者过滤库14中的病毒作者行为规则。所述提取模块13用于上传病毒作者扫描的文件至系统服务器2。所述提示模块15用于提示计算机操作者使用安全防护软件扫描的文件是否为病毒文件。所述木马规则过滤库21用于存储常见的木马行为规则。所述第二判断模块22根据木马规则过滤库21判断提取模块13上传的文件是否为病毒文件,并将判断结果反馈至提示模块15,由提示模块15通过窗口提示模式提示用户。木马规则过滤库21中的木马行为规则根据多年以来搜集的木马病毒的行为规则制定。比如:操作系统经常发布漏洞更新,这些漏洞会成为木马下手的切入点。木马进程会对这些漏洞进行扫描,如果发现漏洞并没有及时打补丁,木马就会利用这些漏洞盗取用户信息。因此,扫描、探测操作系统漏洞是一种木马行为的表现。还有一些使用用户较多的安全防护软件也会有漏洞,这些漏洞与操作系统的服务端有联系,木马进程会利用这些漏洞劫持安全防护软件,进而产生窃取用户的信息等行为。这些动作行为都是木马具有的行为规则,木马行为过滤库21就是存储了大量这种木马行为规则。由于一个木马病毒程序在发布前,木马病毒制作者需要对其使用多款安全防护软件对其进行扫描、检测,以求通过尽可能多的安全防护软件的扫描、检测。因此,病毒制作者使用的计算机中必然会安装多款安全防护软件,并且这些安全软件的使用频率远远大于正常使用者。而且,目前病毒制作者制作木马病毒多使用特征码定位器。特征码定位器是一种通过修改特征码避免查杀软件查杀的程序。病毒制作者利用安全防护软件多次对木马病毒扫描,测试,看看是否能通过。因此需要多次对木马病毒程序修改,这种修改借助于特征码定位器。因此,计算机中存在这种非正常人使用的程序多数是一些病毒制造者。通过检测模块11检测计算机中安全防护软件数量、安全防护软件的使用频率、以及是否存在特征定位器可以初步判断该计算机是否病毒制作者使用的计算机。作为优选,病毒作者过滤库14中包括两个以上安全防护软件,24小时内安全防护软件运行两次以上的病毒作者行为规则。第一判断模块12根据检测模块11的检测结果判断该计算机是否为病毒计算机。若检测模块11检测到计算机中的安全防护软件包括两个以上,或者24小时内任一安全防护软件扫描操作的次数多于两次,或计算机中包含特征码定位器。只要检测模块11的检测结果满足三者其一,则第一判断模块12判断该计算机为病毒计算机。第一判断模块12根据检测模块11的检测结果与病毒作者过滤库14中的病毒作者规则匹配,当检测结果满足病毒作者过滤库14中的3个病毒作者规则中的一个就判断该计算机为病毒计算机并把判断结果传送至提取模块13进一步处理。作为优选,安全防护软件包括杀毒软件、防火墙、木马查杀器、蠕虫病毒专杀软件等等。不同公司出品的安全防护软件所用的查杀、防护技术不同。因此,病毒作者过滤库14的病毒作者规则的两个以上安全防护软件为相同或不同公司出品的安全防护软件。这样才能在更多使用不同安全防护软件的用户中逃避安全防护软件的查杀。提取模块13接收到第一判断模块12的判断结果,若判断结果为病毒计算机,则提取模块13提取计算机操作者使用安全软件扫描的文件到系统服务器2中。系统服务器2中木马规则过滤库21里存储有预设的木马规则行为。这些木马行为规则经过多年的搜集包含了很多已有木马的操作行为。其包括对文件自动压缩或解压,木马捆绑在一些文件上,造成文件增大,将文件改名,删除文件,更改文件内容,上传下载文件,扫描次数,扫描天数和扫描对象,还包括利用系统自动运行程序启动,修改注册表,伪装文件,修改组策略等行为。这些行为是木马的特有行为,也符合木马规则过滤库21中的木马行为规则。提取模块13把第一判断模块12把该计算机判断为病毒计算机的计算机操作者使用安全防护软件对文件进行扫描的文件提取到系统服务器2中。系统服务器2包含有虚拟机,可以模拟正常的计算机环境,通过监测判断该文件的行为判断该文件是否为木马病毒文件。若该文件的行为与木马规则过滤库21匹配,即该木马在系统服务器2的虚拟机中表现出对文件自动压缩或解压,木马捆绑在一些文件上,造成文件增大,将文件改名,删除文件,更改文件内容,上传下载文件,扫描次数,扫描天数和扫描对象,还包括利用系统自动运行程序启动,修改注册表,伪装文件,修改组策略等行为,则第二判断模块22判断该文件为木马文件。第二判断模块22产生了判断结果后,如果判断结果反馈至提示模块15。通过提示模块15提示用户。系统客户端I的提示模块15,收到第二判断模块22发送的判断结果。判断结果是木马文件,则通过弹出网页窗口的形式或者发出声音等形式警告用户发现木马文件,并停止用户正在运行程序。比如用户在网购,处于支付状态时发现了木马文件,通过窗口提示用户支付状态异常,停止交易。本实施例的系统服务器2还设有后端处理系统。后端处理系统可以进一步分析被第二判断模块22判断为木马文件的文件。从中提取更多新的木马规则,进一步更新木马规则过滤库21。举例:第二判断模块22判断提取模块13上传的文件为木马文件,该木马文件在系统服务器2的虚拟机中运行,其包括了 5个行为信息,分别为:把文件属性设置为只读,删除系统文件,将木马文件名称改成系统文件的名称,修改注册表load项,突然弹出一个警告窗口。通过与木马规则过滤库21中的木马行为规则对比,发现木马行为规则中没有突然弹出一个警告窗口这个行为信息。因此,后端处理系统把该行为信息增加到木马规则过滤库21中,更新了木马行为规则过滤库。本发明的蜜罐系统着重点在于发现木马病毒的制作者,进而提取木马文件的行为信息。通过发现木马病毒的制作者,有效地从源头上对木马文件进行分析、监控。更快,更准确地发现木马病毒。一种运用本发明的检测方法,用于快速、精确检测木马病毒,该检测方法包括以下步骤,
检测模块11检测计算机内安装安全防护软件的数量、24小时内安全防护软件扫描操作次数以及计算机内是否存在特征码定位器;检测模块11对这三项数据进行检测,并记录检测结果。第一判断模块12判断根据检测模块11的检测结果,通过与病毒作者过滤库14中的病毒作者行为规则匹配,判断该计算机是否为病毒计算机。病毒作者行为规则包括:计算机内的安全软件的数量在两个以上,24小时内安全防护软件扫描操作次数两次以上,计算机内包含特征码定位器。若检测模块11检测结果与病毒作者行为规则过滤库中任一病毒作者行为规则匹配,即检测模块检测的结果中包含计算机内的安全软件的数量在两个以上或24小时内安全防护软件扫描操作次数两次以上或计算机内包含特征码定位器或这三种的组合,则第一判断模块12判断该计算机为病毒计算机。第一判断模块12的把判断为病毒计算机的判断结果发送至提取模块13。若检测的结果为安全软件的数量为一个或24小时内安全防护软件扫描操作次数一次或计算机内没有特征码定位器,则判断该计算机为正常计算机,检测模块继续检测。提取模块13接收到第一判断模块12的判断结果后,提取计算机操作者使用安全防护软件扫描的文件至系统服务器2。文件在系统服务器的虚拟机中安装,由虚拟机检测其运行状态,提取其行为规则。系统服务器2的第二判断模块22根据木马规则过滤库21中的木马行为规则判断该文件是否为木马文件。木马规则过滤库中存储有大量的预设的木马行为规则,若上传至系统服务器2中的文件在虚拟机中具有木马规则过滤库中的木马行为规则,则第二判断模块22判断该文件为木马文件。第二判断模块22的判断结果发送至系统客户端I的提示模块15。提示模块15接收第二判断模块22的判断结果,如果第二判断模块22的判断结果是木马文件,则通过提示窗口的模式提示用户。如果第二判断模块22的判断结果不是木马文件,则返回检测模块11继续检测。以上对本发明实施例所提供的技术方案进行了详细介绍,本文中应用了具体个例对本发明实施例的原理以及实施方式进行了阐述,以上实施例的说明只适用于帮助理解本发明实施例的原理;同时,对于本领域的一般技术人员,依据本发明实施例,在具体实施方式
以及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
权利要求
1.一种蜜罐系统,包括安装于用户计算机操作系统的系统客户端、与所述系统客户端交互通信的系统服务器,其特征在于: 在所述系统客户端设有病毒作者过滤库,用于存储预存的病毒作者的病毒作者行为规贝U,所述病毒作者行为规则包括安全防护软件的数量、安全防护软件的扫描操作次数和特征码定位器; 在所述系统客户端设有检测模块,用于检测计算机安全防护软件的数量、安全防护软件的扫描操作次数、以及计算机中是否包含特征码定位器; 在所述系统客户端设有第一判断模块,用于判断检测模块检测的结果是否是病毒作者过滤库中的病毒作者行为规则; 在所述系统客户端设有提示模块,用于提示计算机操作者使用安全防护软件扫描的文件是否为病毒文件; 在所述系统客户端设有提取模块,用于上传病毒作者扫描的文件至系统服务器; 在所述系统服务器设有木马规则过滤库,用于存储常见的木马行为规则; 在所述系统服务器设有第二判断模块,其根据木马规则过滤库判断提取模块上传的文件是否为病毒文件,并将判断结果反馈至提示模块,由提示模块通过窗口提示模式提示用户。
2.根据权利要求1所述的蜜罐系统,其特征在于:所述病毒作者行为规则包括计算机内安装两个以上安全防护软件、24小时内安全防护软件扫描操作两次以上、以及存在特征码定位器。
3.根据权利要求1或2所述的蜜罐系统,其特征在于:所述检测模块检测结果与病毒作者行为规则过滤库中任一病毒作者行为规则匹配,则第一判断模块判断该计算机为病毒计算机。
4.一种运用权利要求1-3任一所述蜜罐系统检测木马的方法,用于快速、精确检测木马病毒,其特征在于,该检测方法包括以下步骤: 检测模块检测计算机内安装安全防护软件的数量、24小时内安全防护软件扫描操作次数以及计算机内是否存在特征码定位器; 第一判断模块判断根据检测模块的检测结果,通过与病毒作者过滤库中的病毒作者行为规则匹配,判断该计算机是否为病毒计算机;若检测模块检测结果与病毒作者行为规则过滤库中任一病毒作者行为规则匹配,则第一判断模块判断该计算机为病毒计算机;第一判断模块的判断结果发送至提取模块; 提取模块提取计算机操作者使用安全防护软件扫描的文件至系统服务器; 系统服务器的第二判断模块根据木马规则过滤库中的木马行为规则判断该文件是否为木马文件;第二判断模块的判断结果发送至系统客户端的提示模块; 提示模块通过提示窗口的模式提示用户。
5.根据权利要求4所述的方法,其特征在于:所述第一判断模块把该计算机为病毒计算机的判断结果发送至提取模块;判断结果为非病毒计算机则返回检测模块继续检测步骤。
6.根据权利要求4所述的方法,其特征在于:所述第二判断模块把判断结果为木马文件的判断结果发送至客户端的提示模块;判断结果为非木马文件则返回检测模块继续检测步骤。
全文摘要
本发明公开了一种蜜罐系统和运用该系统检测木马的方法,包括安装于用户计算机操作系统的系统客户端、与系统客户端交互通信的系统服务器,所述系统客户端设有第一判断模块、检测模块、提示模块和提取模块;所述系统服务器设有木马规则过滤库和第二判断模块;本系统通过系统客户端从源头发现木马病毒的源头病毒作者,在系统服务器对病毒作者使用安全防护软件扫描的文件进行木马判断。本发明区别基于“云”的搜集方式,可以从源头快速、准确检测木马文件并对用户进行提示。
文档编号G06F21/56GK103150512SQ20131008663
公开日2013年6月12日 申请日期2013年3月18日 优先权日2013年3月18日
发明者陈章群, 杨锐, 陈睿 申请人:珠海市君天电子科技有限公司, 北京金山安全软件有限公司, 贝壳网际(北京)安全技术有限公司, 北京金山网络科技有限公司