专利名称:木马监控审计方法及系统的制作方法
技术领域:
本发明涉及信息技术网络安全领域,尤其涉及一种木马监控审计方法及系统。
背景技术:
木马程序相对传统病毒的危害程度更高,它不但能破坏主机系统,使主机系统瘫 痪,而且能够完全控制目标主机,通过远程控制端对目标主机实施任何可以在本地的操作, 同时也能将本地目标主机中的文件下载到木马控制端上和上传新的木马程序或其它病毒 程序。而目前对木马的检测与防护主要是采用基于病毒查杀、桌面主动防御、安全病毒网 关、防火墙等产品,这些产品的所采用的技术主要有三类第一类,基于木马程序的静态特征识别木马。通过对木马程序进行静态分析,提取 出可用于识别木马程序的特征串,作为识别、检测病毒的特征库,病毒查杀、桌面主动防御、 安全病毒网关基本采用这种技术,如卡巴斯基的防病毒软件、360的杀毒软件和桌面主动防 御软件等。第二类,基于网络异常通信行为阻断方式阻断木马通信的连接。通过在防火墙上 配置过滤规则,只允许正常的网络通信会话流通过,如http、email等应用协议的会话,而 对其它的网络通信会话则阻断其通信连接,从而阻断了木马程序的网络通信。第三类,基于网络通信行为特征识别木马。该技术是由中国人民解放军信息技术 安全研究中心与国都兴业信息审计系统技术有限共同研究的,并申请了专利,其专利申请 号是20091010157268. 5,该技术的核心是通过对木马程序在网络通信的过程中的网络通信 行为特征来对木马进行识别和检测。应用了网络行为监测技术。该技术的优点是不受木马 程序加壳、加花、变异的影响,不依赖主机系统环境。从对木马检测的技术分析,对木马的识别与检测技术可以归结为两类,一类是基 于静态特征,就是木马程序本身所具备的特征,另外一类是基于网络通信行为特征,也叫动 态特征。通过对木马程序在进行网络通信时,对其网络通信的会话流进行分析,提取出其特 征,作为识别木马的依据。针对目前木马识别、检测技术,其缺点主要包括如下几方面1)利用静态木马程序特征识别木马,能够识别已知的木马,但是对加壳、变异、加 花的木马程序则不能识别,必须重新分析,提取其新的特征,加入到木马特征库中。随着加 壳、加花技术的普及与相关软件越来越多,大量的变种木马在网络上泛滥,不但增加了木马 分析的工作量,也造成了特征库的频繁更新。2)基于静态特征方式识别、检测不但会随着特征库数量增加越来越庞大,造成检 测性能的下降,而且会影响目标主机系统的性能,将会占用越来越多的CPU、内存、磁盘资 源;另外由于分析新的特征需要一定的时间,也会造成响应的滞后性,该技术途径无法确定 木马程序是否已经运行过,做过什么类型的操作等。3)对操作系统的依赖性,大部分木马检测与防护产品都是基于主机系统开发的, 需要安装在目标主机的操作系统中,如卡巴斯基、360、趋势、诺顿等研发的杀毒、主动防御软件产品,都需要安装在系统中,一个产品多个不同的系统版本。4)随着木马的翻墙技术、端口反弹技术的应用普及,基于网络异常通信行为阻断 木马通信连接的有效性也越来越低,很多木马程序在进行网络通信时采用了标准的网络通 信端口,如80端口,并且采用反向连接技术,由被控端木马的代理程序主动通过80端口去 与控制端程序建立连接,这种方式会造成防火墙误认为是一个正常的基于Web访问的一个 连接而放行。该技术不对具体的木马进行检测与控制,不对网络通信内容进行处理分析,无 法确定是否是真的木马在通信,无法知道木马通信的内容及传输文件的内容。5)基于网络通信行为特征识别木马,只是通过其网络通信行为特征识别出其木马 类型,而对其木马通信的关键的网络活动如获取系统信息、修改系统配置、删除文件、下载 文件、上传文件等的网络行为和内容没有做进一步分析。
发明内容
本发明的目的在于提供一种木马监控审计方法及系统。基于本发明,不仅能够对 木马的类型进行识别,而且能够对木马的网络行为进行监控。本发明公开了一种木马监控审计方法,包括采集步骤,实时采集网络数据包;当 前会话确定步骤,检查网络数据包是否属于已经建立的网络会话,如果是,则插入到已建立 的会话中,否则建立新的会话;所述已建立的会话或所述新的会话作为当前会话;会话内 容记录步骤,检测当前会话是否为木马网络通信会话;若是,记录木马网络通信会话的内 容;木马网络操作行为检测步骤,依据记录的木马网络通信会话的内容,检测是否是木马网 络操作行为,若是,记录并监测木马网络操作行为;其中,木马网络操作行为的类型包括: 木马文件操作、木马屏幕操作、木马命令操作和进程/服务操作。上述木马监控审计方法,优选在所述木马网络操作行为的类型是木马文件操作或 木马命令操作时,所述木马网络操作行为检测步骤后还设置有还原步骤,依据木马网络操 作行为的特征对操作内容进行还原。上述木马监控审计方法,优选所述木马网络操作行为检测步骤后还设置有木马 网络操作审计步骤,基于木马网络操作行为的特性进行报警和/或提供事后审计。上述木马监控审计方法,优选所述会话内容记录步骤中,通过将木马通信行为特 征库与所述网络数据包的协议类型、通信端口号和数据载荷进行匹配的方式检测当前会话 是否为木马网络通信会话;并且,在是木马网络通信会话的情况下,发出报警信息。上述木马监控审计方法,优选所述采集步骤和所述当前会话确定步骤之间,还包 括有解析步骤,对所述网络数据包进行链路协议、网络协议、传输层协议、应用层协议的解 析;有效包验证步骤,基于解析结果,确定对所述网络数据包进行过滤,并在网络数据包为 无效包的情况下,丢弃该网络数据包。上述木马监控审计方法,优选所述采集步骤中,基于内存映射技术,将核心态采集 接口驱动程序的内存缓存区映射到用户态内存缓存空间上进行网络数据包的采集。上述木马监控审计方法,优选所述解析步骤包括提取MAC地址、IP地址、网络协议 类型、通信端口号以及应用层的数据载荷。上述木马监控审计方法,优选所述当前会话确定步骤中,采用Hash表建立所述新 的会话表的数据结构,利用五元组计算出Hash值,进行地址映射。
上述木马监控审计方法,优选所述还原步骤中,基于TCP流重组技术,对木马操作 行为传输信息的内容进行还原;当传输结束时,输出还原的内容到磁盘。上述木马监控审计方法,优选所述会话内容记录步骤中,所述木马通信行为特征 库依据下述方法进行更新步骤a、收集木马标本程序,并建立网络模拟环境,将木马程序 安装在模拟环境的主机设备上;步骤b、运行木马程序,并执行木马控制端提供的功能操 作;步骤C、通过网络数据包抓取工具对木马通信的网络数据包进行采集并保存;步骤d、分 析抓取的网络数据包,从网络数据包中提取其网络通信行为特征,包括上线行为特征及网 络操作行为特征;步骤e、将提取的特征加入到已有特征库中,并让本系统的探针模块重新 加载新的木马通信行为特征库;步骤f、建立闭环测试验证环境,并部署测试验证环境;重 复步骤b,查看系统是否有报警信息,如果没有报警信息或误报,则转到步骤d,重新提取特 征,并继续后续的工作,否则转到步骤h,进行开环测试验证;步骤h、建立开环测试验证环 境,并部署到测试验证环境;步骤i、访问互联网上的应用,查看系统是否有误报事件,如果 有,则转到步骤d ;针对不同的木马标本程序,重复如上a_i过程;当所有收集的木马特征分 析及提取完毕,发布新的木马通信行为特征库。另一方面,本发明还公开了一种木马监控审计系统,其特征在于,包括探针模块, 所述探针模块包括采集模块,用于实时采集网络数据包;当前会话确定模块,用于检查网 络数据包是否属于已经建立的网络会话,如果是,则插入到已建立的会话中,否则建立新的 会话;所述已建立的会话或所述新的会话作为当前会话;会话内容记录模块,用于判断当 前会话是否是木马通信会话,如果是,则在当前会话是属于木马网络通信会话时,记录木马 网络通信会话的内容;木马网络操作行为检测模块,用于依据记录的木马网络通信会话的 内容,检测是否是木马网络操作行为,若是,记录并监测木马网络操作行为;其中,木马网络 操作行为的类型包括木马文件操作、木马屏幕操作、木马命令操作和进程/服务操作。上述木马监控审计系统,优选在所述木马网络操作行为的类型是木马文件操作或 木马命令操作时,所述木马网络操作行为检测模块还连接有还原模块,用于判断所述木马 网络操作行为是否包含内容,若是,则还原网络操作的内容。上述木马监控审计系统,优选所述木马网络操作行为检测模块后还连接有木马 网络操作审计模块,用于基于木马网络操作行为的特性进行报警和/或提供事后审计。上述木马监控审计系统,优选所述会话内容记录模块中,通过将木马通信行为库 与所述网络数据包的协议类型、通信端口号和数据载荷进行匹配的方式检测当前会话是否 为木马网络通信会话;并且,在是木马网络通信会话的情况下,发出报警信息。上述木马监控审计系统,优选所述采集模块和所述当前会话确定模块之间,还连 接有解析模块,用于对所述网络数据包进行链路协议、网络协议、传输层协议、应用层协议 的解析;有效包验证模块,用于基于解析结果,确定对所述网络数据包进行过滤,并在网络 数据包为无效包的情况下,丢弃该网络数据包。上述木马监控审计系统,优选所述会话内容记录模块中,所述木马通信行为库依 据下述方法进行更新步骤a、收集木马标本程序,并建立网络模拟环境,将木马程序安装 在模拟环境的主机设备上;步骤b、运行木马程序,并执行木马控制端提供的功能操作;步 骤C、通过网络数据包抓取工具对木马通信的网络数据包进行采集并保存;步骤d、分析抓 取的网络数据包,从网络数据包中提取其网络通信行为特征,包括上线行为特征及网络操7作行为特征;步骤e、将提取的特征加入到已有特征库中,并让本系统的探针模块重新加载 新的木马通信行为库;步骤f、建立闭环测试验证环境,并部署测试验证环境;重复步骤b, 查看系统是否有报警信息,如果没有报警信息或误报,则转到步骤d,重新提取特征,并继续 后续的工作,否则转到步骤h,进行开环测试验证;步骤h、建立开环测试验证环境,并部署 到测试验证环境;步骤i、访问互联网上的应用,查看系统是否有误报事件,如果有,则转到 步骤d ;针对不同的木马标本程序,重复如上a_i过程;当所有收集的木马特征分析及提取 完毕,发布新的木马通信行为库。本发明的优点为第一、本发明采用旁路监听的方式实时采用网络上的会话流,不占用用户网络的 通信资源,不影响用户网络的性能,也不需要在用户的主机系统中安装任何软件,只要将被 监测网络的数据流利用交换机镜像、集线器、分流器等设备旁路到本系统探针的采集接口 上,就能实现对木马网络通信的实时监测。第二、本发明能够及时的掌握木马的活动情况,准确定位被控目标、控制端的位 置。通过对木马上线及对目标系统实施的各种网络操作行为的实时监测,当发现有木马上 线和进行网络活动时,及时的发送报警信息的监控控制台。通过对木马通信的网络通信地 址进行跟踪和定位,能够准确的确定被控目标、控制端的物理位置。第三、本发明能够及时发现新的木马程序。木马为了能够长时间的控制“肉鸡”,防 止被主机系统安装的杀毒软件、木马专杀工具等检测到和清除,不断的会将新版本的木马 程序上传到被控端。如果能够及时监测到上传的新的木马程序,可以快速采取措施,如将上 传的文件删除,或作为木马特征分析的标本等;第四、本发明能够使用户及时的发现木马操作的行为和内容,实时监测木马在网 络上的各种操作行为,如查看系统资源、活动的进程操作,浏览、删除、创建目录操作,文 件的上传、下载操作,能够对木马的网络操作行为进行深层次的分析,当木马安全事件发生 后,可根据被窃取信息的保密级另I」、重要程度快速采取补救措施,将损失降到最低。第五、本发明完整、详细的记录了木马的各种网络操作行为事件及通信的会话内 容,并对关键的网络通信会话内容进行还原;定期生成安全事件报告发给用户,使用户能够 了解用户网络的安全态势。
图1为现有技术中木马的工作原理示意图;图2为本发明木马监控方法一个实施例的步骤流程图;图3为本发明木马监控方法一个实施例的步骤流程图;图4为本发明木马监控方法中,特征库的更新步骤流程图;图5为木马程序安装的网络模拟环境示意图;图6为闭环测试验证环境示意图;图7为开环测试验证环境示意图;图8为木马监控审计系统的逻辑结构示意图;图9为本发明木马监控审计系统中,探针模块的结构示意图;图10为本发明木马监控审计系统中,探针模块的结构示意图11为服务器模块的设计流程12为木马监控审计系统的部署示意图。
具体实施例方式为使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图和具体实 施方式对本发明作进一步详细的说明。首先介绍一下木马的概念与工作原理木马是一种在远程计算机之间建立起连接,使远程计算机能够通过网络控制本地 计算机的程序,它的运行遵照TCP/IP协议,由于它像间谍一样潜入用户的电脑,为其他人 的攻击打开后门,与战争中的“木马”战术十分相似,因而得名木马程序。木马程序由两部分构成,一部分是被安装植入到被控主机的系统中的代理程序, 另外一部分是控制端程序。木马代理程序运行后,需要与控制端建立网络连接(正向连接 或反向连接),当连接成功后,接收控制端发送的各种命令,如查看系统中有多少个磁盘 分区,获取目标系统操作系统类型、当前系统加载的驱动程序列表、文档目录下的文件名列 表等,将结果返回给控制端,控制端根据返回的信息,再进行其它类型的操作,如获取感兴 趣或有价值的信息等。下面是一种反向连接方式的木马的工作流程图参照图1,木马网络通信流程一般经历三个阶段木马控制端与被控端网络连接建立阶段,该阶段针对不同的木马程序建立连接的 连接方式不同,一种方式是木马控制端程序主动连接被控端的代理程序,叫正向连接;另外 一种是被控端代理程序主动连接控制端程序,叫反向连接,如图1的(1)、O)、(3)。木马控制端与被控端连接建立成功后,由控制端发送各种控制命令到被控端,被 控端根据发送的命令,执行相应的操作,如查看目标系统的磁盘分区、浏览系统目录等,如 图1的(4)、⑶,步骤(4)和(5)可以重复、循环执行。当木马通信结束后,由控制端发送连接中断请求,被控端响应连接中断请求,木马 通信会话结束,如图1的(6)、(7)。方法实施例参照图2,图2为本发明木马监控方法一个实施例的步骤流程图,包括如下步骤 采集步骤S210,实时采集网络数据包;当前会话确定步骤S220,检查网络数据包是否属于 已经建立的网络会话,如果是,则插入到已建立的会话中,否则建立新的会话;所述已建立 的会话或所述新的会话作为当前会话;会话内容记录步骤S230,判断当前会话是否是木马 通信会话,如果是,则在当前会话是属于木马网络操作行为的前提下,记录木马网络通信会 话内容;木马操作行为检测步骤S240,依据记录的木马网络通信会话的内容,检测是否是 木马网络操作行为,若是,记录并监测木马网络操作行为。其中,步骤S240中,木马网络操作行为包括1)木马文件操作,如文件上传、下 载,目录的创建、删除与修改;2)木马屏幕操作截取屏幕,键盘记录;3)木马命令操作,如, 远程执行命令,远程重启/关闭设备;4)进程/服务操作,如远程浏览、启动、停止进程。进一步的,该实施例还可以包括还原步骤,该步骤判断所述木马网络操作行为是 否包含内容,若是,则还原网络操作的内容。这里,木马网络操作内容还原,能够还原木马网 络操作行为的操作内容可依据木马操作行为的特征对操作内容进行还原,主要包括两类还原1)木马传输文件的内容还原;2)木马命令操作的内容还原。进一步的,该实施例还可以包括木马网络操作审计步骤,基于木马网络操作行为 的特性进行报警和/或提供事后审计。事后审计包括1)完整记录木马活动行为和内容, 为木马安全事件产生的损失进行评估,同时为安全事件的溯源提供依据。2)提供基于时间范围、事件类型、事件名称、IP地址、协议等条件的审计功能。提 供事件对应的网络会话流内容、还原的内容的导出功能。3)报告输出功能。自动定时生成安全事件统计分析报告,以邮件的方式发送到用 户的邮箱中,报告分为日报告、周报告、月报告。参照图3,图3为本发明木马监控方法一个实施例的步骤流程图,具体说明如下a)、实时采集网络数据包。为了能够高性能的采集网络,本系统采用了内存映射技 术,将核心态的采集接口驱动程序的内存缓存区映射到用户态内存缓存空间上,减少了系 统核心态与用户态的频繁切换,从而提高了网络数据包的采集性能。b)、网络数据包的链路协议与网络协议解析。对采集的原始网络数据包需要进行 协议解析,提取出离出链路层协议、网络层协议、传输层协议、应用层协议的内容,如MAC地 址、IP地址、网络协议类型、通信端口号以及应用层的数据载荷等。c)、检查包的有效性。基于步骤b)解析的内容,对包进行过滤,如非IP包、广播包 等,如果是无效的包,则丢弃,并转到步骤a),否则转到步骤d)。d)、检查当前包是否是属于已建立的网络会话中,如果是,则插入到已建立的会话 表中,否则建立新的会话,不同的网络会话是由网络通信的五元组来确定,为了提高查找效 率,在建立会话表数据结构时,采用了 Hash表的方式,利用五元组计算出Hash值,进行地址 映射。不同会话相同Hash值则采用双向链表的方式。e)、判断当前会话是否是木马通信会话,如果不是,则转到步骤f),如果是,则转到 步骤g)。f)、利用当前包的协议类型、通信端口号、数据载荷去匹配木马通信行为特征库, 检查是否是木马通信行为。为了提高检测的准确度,采用多规则模式,就是对一个木马类型 的识别,采用多个特征规则,只有一个网络会话中满足了多个特征,才能确定是木马通信行 为。在特征库匹配时,采用了快速的成熟的模式匹配算法。本步骤根据规则可能执行多次。 当发现时木马通信行为时,则发送报警信息,并开始记录网络通信的会话内容。转到步骤 a).g)、检测当前数据流是否为木马网络操作行为,如果不是,则转到步骤a),否则转 到步骤h).h)、利用木马网络操作行为特征库匹配当前网络操作行为是否属于已知的木马网 络操作行为,如果是,则记录并发送报警信息,并转入步骤i),否则转入步骤a) /i)、监测木马网络操作行为是否包含内容。如果不是,则转到步骤a),否则还原网 络操作内容。基于TCP流重组技术,对传输的信息内容进行还原。当传输结束时,输出还原 的内容到磁盘。并转到步骤a)。检测当前数据流是否为木马网络操作行为,如果不是,则转到步骤a),否则转到步 骤在运行过程中,不断的重复执行如上a到i之间的步骤,实现对木马的监控。在上述实施例是依赖木马的特征库是实现的,为了保证系统能识别更多的木马通信行为,需要不断的收集木马标本程序,进行分析,提取其特征,并更新到特征库中。对一个 木马程序的分析与特征的提取,可以采用如下方法a、收集木马标本程序,并建立网络模拟 环境,将木马程序安装在模拟环境的主机设备上,其网络模拟环境如图5所示;b、运行木马 程序,并执行木马控制端提供的各种功能操作;C、通过网络数据包抓取工具对木马通信的 网络数据包进行采集并保存;d、分析抓取的网络数据包,从网络数据包中提取其网络通信 行为特征,包括上线行为特征及网络操作行为特征;e、将提取的特征加入到特征库中,并让 本系统的探针模块重新加载新的特征库;f、建立闭环测试验证环境,并将本系统部署到测 试验证环境中,如图6所示。g、重复步骤b,并通过客户端查看系统是否有报警信息,如果没 有报警信息或误报,则转到步骤d,重新提取特征,并继续后续的工作,否则转到步骤h,进 行开环测试验证;h、建立开环测试验证环境,并将本系统部署到测试验证环境中,如图7所 示;i、访问会联网上的各种应用,如访问网页、收发电子邮件、文件传输、及时通信等,查看 系统是否有误报事件,如果有,则转到步骤d ;j、针对不同的木马标本程序,重复如上a-i过 程。当所有收集的木马特征分析、提取完毕,发布新的木马特征库。木马监控审计系统实施例木马监控审计系统设计的思想与原理是应用网络行为监测技术来识别各种木马 和木马的网络通信活动。木马会通过加壳、加花和变种、升级的方法躲避基于木马程序静态 特征查杀软件的查杀,而其所采用的网络应用协议及传输的命令内容相对固定,不会轻易 改变,因这些内容的改变将会涉及到控制端程序、代理服务程序的同步更新,需要在已植入 的目标系统中重新植入木马代理服务程序。采用此技术的另一个好处是不仅能识别已知的 木马程序,也能识别通过加壳、加花和变异的未知木马程序,相对传统的静态特征库数量, 其特征库的数量会大大减少,会提高系统的检测效率。木马监控审计系统采用旁路监听的方式采集被监测网上的数据流,实时监测传输 在网络上的每个网络会话流,并对内容进行分析,检测其是否是木马网络通信行为,如果是 木马网络通信行为,则对其内容进一步分析,判断其是什么类型的网络活动,并对网络活动 的内容进行还原。同时提供了实时报警功能,使用户及时发现发生的网络安全事件。参照图8,图8为木马监控审计系统的逻辑结构示意图。木马监控审计系统采用三 级构架(客户层-服务层-采集处理层)设计与实现,客户层与服务层采用B/S(浏览器/ 服务器)方式,具体由探针模块、服务器模块与客户端模块三部分组成。探针模块是系统的 核心模块,它负责网络数据包的采集、协议识别、木马类型与网络活动的识别、木马操作行 为和内容的还原、实时监测与事件记录等功能;服务器模块主要为客户端模块提供事件的 实时监测、统计、审计及会话内容导出功能;客户端模块是一个用户接口模块,它利用系统 安装的浏览器软件,通过Web方式访问服务器提供的实时监测、统计、审计等功能。下面首先对探针模块进行说明。探针模块涉及到网络数据包的实时采集技术、网络协议分析技术、网络会话还原 技术、TCP流重组技术、模式匹配技术等。参照图9,图9为本发明木马审计系统中,探针模块 的结构示意图,包括采集模块90,用于实时采集网络数据包;当前会话确定模块92,用于 检查网络数据包是否属于已经建立的网络会话,如果是,则插入到已建立的会话中,否则建 立新的会话;所述已建立的会话或所述新的会话作为当前会话;会话内容记录模块94,用 于判断当前会话是否是木马通信会话,如果是,则在当前会话是属于木马网络操作行为的11前提下,产生报警信息,并记录网络通信会话内容;木马操作行为检测模块96,用于依据记 录的所述会话内容,检测木马网络操作行为是否包含内容。若是,则还原网络操作内容。基 于TCP流重组技术,对传输的信息内容进行还原。当传输结束时,输出还原的内容到磁盘。并且,所述会话内容记录模块94中,若所述当前会话是木马通信会话,,则检测当 前会话是否为木马通信行为,若是,则发出报警信息,并记录网络通信的会话内容;其中,所 述检测通过将木马通信行为库与所述网络数据包的协议类型、通信端口号和数据载荷进行 匹配来实现。参照图10,图10为本发明木马审计系统中,探针模块的结构示意图。该实施例的 特点是,在采集模块90和当前会话确定模块92之间,还连接有解析模块91A和有效包验 证模块91B,其中解析模块91A用于对所述网络数据包进行链路协议、网络协议、传输层协 议、应用层协议的解析;有效包验证模块91B用于基于解析结果,确定对所述网络数据包进 行过滤,并在网络数据包为无效包的情况下,丢弃该网络数据包。探针模块是本系统的核心模块,它负责如下功能的实现1、网络数据包的采集与会话还原。从被监测的网络上实时采集网络数据包,进行 链路协议、网络协议的解析,过滤掉无效的网络数据包,对有效的网络数据包基于网络通信 的五元组(源IP地址、目的IP地址、源端口、目的端口、传输协议)建立网络会话跟踪表, 并调用木马类型与行为识别模块,检测当前会话是否是木马通信。2、木马类型与网络行为的识别。识别当前会话是否是木马通信行为,包括木马上 线行为及其它如浏览系统目录、查看进程状态、获取系统配置、删除目录或文件、下载文件、 上传文件等。3、木马操作内容还原。当识别出木马操作行为时,对木马操作的内容进行还原,并 记录到磁盘中。4、实时监测。当发现被检测的网络上有木马的通信行为时,及时产生一条报警记 录并记录到数据库的事件表中。报警事件的内容包括事件发生的时间、通信地址、事件类 型、事件名称等。5、木马通信会话记录。以标准的格式完整记录控制端与被控端之间通信的会话 流,便于事后对木马的通信行为做进一步的分析。6、木马控制源的跟踪与定位。应用IP定位技术定位木马控制源所在的物理位置, 为破获网络犯罪案件、追踪网络嫌疑人提供技术手段。下面对服务器模块进行说明。本发明采用了 B/S(客户/服务)构架,该构架的 好处就是不需要在用户的客户端安装任何软件,只要通过浏览器去访问服务端所提供的功 能,就能完成对系统应用和管理。基于本系统所提供的功能,管理服务器模块主要实现事件 的统计、审计、实时监测、事件维护及配置管理功能。参照图11,图11为服务器模块的设计 流程图。服务器模块具有如下功能a)实时监测功能。将当前发生的安全报警事件及时推送到用户客户端,通过冒泡 窗口、声音等方式提示用户有新的安全事件发生。报警事件包括事件发生的时间,网络通 信的地址、端口及协议,事件类型,事件名称等。b)事件统计功能。为用户提供基于时间范围、事件类型、事件名称等条件的统计功12能,并以表格和图形的方式进行展示统计结果。c)事件审计功能。为用户提供基于时间范围、事件类型、事件名称、IP地址、协议 等条件的审计功能。提供事件对应的网络会话流内容、还原的内容的导出功能。d)报告输出功能。自动定时生成安全事件统计分析报告,以邮件的方式发送到用 户的邮箱中,报告分为日报告、周报告、月报告。e)事件维护功能。对保存的安全历史事件记录提供在线维护及转储功能。f)配置管理功能。配置管理功能包括系统的策略配置、用户管理、系统参数配置等。参照图12,图12为木马监控审计系统的部署示意图,可以看出,本发明利用旁路 监听的方式实现对木马网络通信活动的监控审计,只要通过交换机镜像、分流器、集线器等 接入设备将被监测网络上的数据流接入到本系统,不需要在用户的终端上安装任何软件、 不改变用户网络的拓扑结构、不占用用户的网络通信资源。综上,本发明能够实现如下功能第一、木马识别,能够基于木马的网络通信数据流特征识别已知或未知的木马主 要是远程控制型木马,不受木马程序本身加壳、加花、变异的影响,能够定位远程控制端与 用户被控端的主机地址和采用的网络通信协议;主要识别方法a)、建立网络会话跟踪表。基于网络通信的五元组(源IP地址、目的IP地址、源 端口、目的端口、传输协议)立网络会话跟踪表;b)、对网络会话包进行特征匹配,如果满足某个木马的网络通信数据特征,则该网 络通信会话属于木马通信;第二、木马通信内容记录,能够完整记录木马控制端与被控端之间通信的网络数 据流,便于事后对木马通信内容做进一步的分析。第三、木马网络操作行为监测,能够识别并监测木马在网络通信过程中各种网络 操作行为,主要包括如下几类a)、木马文件操作,如文件上传、下载,目录的创建、删除与修改b)、木马屏幕操作截取屏幕,键盘记录C)、木马命令操作,如,远程执行命令,远程重启/关闭设备d)、进程/服务操作,如远程浏览、启动、停止进程第四、木马网络操作内容还原,能够还原木马网络操作行为的操作内容可依据木 马操作行为的特征对操作内容进行还原a)、木马传输文件的内容还原b)、木马命令操作的内容还原第五、木马网络操作审计,支持基于木马事件发生的时间范围、事件名称、木马操 作行为类型、木马操作内容等制定报警响应策略,同时可提供事后审计。以上对本发明所提供的一种木马监控审计方法及系统进行详细介绍,本文中应用 了具体实施例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理 解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式
及应用范围上均会有改变之处。综上所述,本说明书内容不应理解为对本发 明的限制。
权利要求
1.一种木马监控审计方法,其特征在于, 采集步骤,实时采集网络数据包;当前会话确定步骤,检查网络数据包是否属于已经建立的网络会话,如果是,则插入到 已建立的会话中,否则建立新的会话;所述已建立的会话或所述新的会话作为当前会话;会话内容记录步骤,检测当前会话是否为木马网络通信会话;若是,记录木马网络通信 会话的内容;木马网络操作行为检测步骤,依据记录的木马网络通信会话的内容,检测是否是木马 网络操作行为,若是,记录并监测木马网络操作行为;其中,木马网络操作行为的类型包括木马文件操作、木马屏幕操作、木马命令操作和 进程/服务操作。
2.根据权利要求1所述一种木马监控审计方法,其特征在于,在所述木马网络操作行 为的类型是木马文件操作或木马命令操作时,所述木马网络操作行为检测步骤后还设置 有还原步骤,依据木马网络操作行为的特征对操作内容进行还原。
3.根据权利要求1所述一种木马监控审计方法,其特征在于,所述木马网络操作行为 检测步骤后还设置有木马网络操作审计步骤,基于木马网络操作行为的特性进行报警和/或提供事后审计。
4.根据权利要求3所述的木马监控审计方法,其特征在于,所述会话内容记录步骤中,通过将木马通信行为特征库与所述网络数据包的协议类 型、通信端口号和数据载荷进行匹配的方式检测当前会话是否为木马网络通信会话;并且, 在是木马网络通信会话的情况下,发出报警信息。
5.根据权利要求4所述的木马监控审计方法,其特征在于,所述采集步骤和所述当前 会话确定步骤之间,还包括有解析步骤,对所述网络数据包进行链路协议、网络协议、传输层协议、应用层协议的解析;有效包验证步骤,基于解析结果,确定对所述网络数据包进行过滤,并在网络数据包为 无效包的情况下,丢弃该网络数据包。
6.根据权利要求5所述的木马监控审计方法,其特征在于,所述采集步骤中,基于内存映射技术,将核心态采集接口驱动程序的内存缓存区映射 到用户态内存缓存空间上进行网络数据包的采集。
7.根据权利要求6所述的木马监控审计方法,其特征在于,所述解析步骤包括提取MAC地址、IP地址、网络协议类型、通信端口号以及应用层的数 据载荷。
8.根据权利要求7所述的木马监控审计方法,其特征在于,所述当前会话确定步骤中, 采用Hash表建立所述新的会话表的数据结构,利用五元组计算出Hash值,进行地址映射。
9.根据权利要求8所述的木马监控审计方法,其特征在于,所述还原步骤中,基于TCP 流重组技术,对木马操作行为传输信息的内容进行还原;当传输结束时,输出还原的内容到磁盘。
10.根据权利要求9所述的木马监控审计方法,其特征在于,所述会话内容记录步骤 中,所述木马通信行为特征库依据下述方法进行更新步骤a、收集木马标本程序,并建立网络模拟环境,将木马程序安装在模拟环境的主机 设备上;步骤b、运行木马程序,并执行木马控制端提供的功能操作; 步骤C、通过网络数据包抓取工具对木马通信的网络数据包进行采集并保存; 步骤d、分析抓取的网络数据包,从网络数据包中提取其网络通信行为特征,包括上线 行为特征及网络操作行为特征;步骤e、将提取的特征加入到已有特征库中,并让本系统的探针模块重新加载新的木马 通信行为特征库;步骤f、建立闭环测试验证环境,并部署测试验证环境;重复步骤b,查看系统是否有报警信息,如果没有报警信息或误报,则转到步骤d,重新 提取特征,并继续后续的工作,否则转到步骤h,进行开环测试验证; 步骤h、建立开环测试验证环境,并部署到测试验证环境; 步骤i、访问互联网上的应用,查看系统是否有误报事件,如果有,则转到步骤d ; 针对不同的木马标本程序,重复如上a-i过程;当所有收集的木马特征分析及提取完 毕,发布新的木马通信行为特征库。
11.一种木马监控审计系统,其特征在于,包括探针模块,所述探针模块包括 采集模块,用于实时采集网络数据包;当前会话确定模块,用于检查网络数据包是否属于已经建立的网络会话,如果是,则插 入到已建立的会话中,否则建立新的会话;所述已建立的会话或所述新的会话作为当前会 话;会话内容记录模块,用于判断当前会话是否是木马通信会话,如果是,则在当前会话是 属于木马网络通信会话时,记录木马网络通信会话的内容;木马网络操作行为检测模块,用于依据记录的木马网络通信会话的内容,检测是否是 木马网络操作行为,若是,记录并监测木马网络操作行为;其中,木马网络操作行为的类型包括木马文件操作、木马屏幕操作、木马命令操作和 进程/服务操作。
12.根据权利要求11所述一种木马监控审计系统,其特征在于,在所述木马网络操作行为的类型是木马文件操作或木马命令操作时,所述木马网络操 作行为检测模块还连接有还原模块,用于判断所述木马网络操作行为是否包含内容,若是,则还原网络操作的内容。
13.根据权利要求12所述一种木马监控审计系统,其特征在于, 所述木马网络操作行为检测模块后还连接有木马网络操作审计模块,用于基于木马网络操作行为的特性进行报警和/或提供事后审计。
14.根据权利要求13所述的木马监控审计系统,其特征在于,所述会话内容记录模块中,通过将木马通信行为库与所述网络数据包的协议类型、通 信端口号和数据载荷进行匹配的方式检测当前会话是否为木马网络通信会话;并且,在是 木马网络通信会话的情况下,发出报警信息。
15.根据权利要求14所述的木马监控审计系统,其特征在于,所述采集模块和所述当 前会话确定模块之间,还连接有解析模块,用于对所述网络数据包进行链路协议、网络协议、传输层协议、应用层协议 的解析;有效包验证模块,用于基于解析结果,确定对所述网络数据包进行过滤,并在网络数据 包为无效包的情况下,丢弃该网络数据包。
16.根据权利要求15所述的木马监控审计系统,其特征在于,所述会话内容记录模块 中,所述木马通信行为库依据下述方法进行更新步骤a、收集木马标本程序,并建立网络模拟环境,将木马程序安装在模拟环境的主机 设备上;步骤b、运行木马程序,并执行木马控制端提供的功能操作; 步骤C、通过网络数据包抓取工具对木马通信的网络数据包进行采集并保存; 步骤d、分析抓取的网络数据包,从网络数据包中提取其网络通信行为特征,包括上线 行为特征及网络操作行为特征;步骤e、将提取的特征加入到已有特征库中,并让本系统的探针模块重新加载新的木马 通信行为库;步骤f、建立闭环测试验证环境,并部署测试验证环境;重复步骤b,查看系统是否有报警信息,如果没有报警信息或误报,则转到步骤d,重新 提取特征,并继续后续的工作,否则转到步骤h,进行开环测试验证; 步骤h、建立开环测试验证环境,并部署到测试验证环境; 步骤i、访问互联网上的应用,查看系统是否有误报事件,如果有,则转到步骤d; 针对不同的木马标本程序,重复如上a-i过程;当所有收集的木马特征分析及提取完 毕,发布新的木马通信行为库。
全文摘要
本发明公开了一种木马监控审计方法及系统。其中,该方法包括实时采集网络数据包;当前会话确定步骤,检查网络数据包是否属于已经建立的网络会话,如果是,则插入到已建立的会话中,否则建立新的会话;判断当前会话是否是木马通信会话,如果是,则在当前会话是属于木马网络通信会话时,记录木马网络通信会话的内容;依据记录的木马网络通信会话的内容,检测是否是木马网络操作行为,若是,记录并监测木马网络操作行为。基于本发明,不仅能够对木马的类型进行识别,而且能够对木马的网络行为进行监控。
文档编号H04L29/06GK102045220SQ20101059641
公开日2011年5月4日 申请日期2010年12月20日 优先权日2010年12月9日
发明者常乐, 张佃, 徐亚非 申请人:国都兴业信息审计系统技术(北京)有限公司