防网上窃取电脑文件的方法
【专利摘要】本发明涉及一种防网上窃取电脑文件的方法。本发明基于通用的网络协议。通过计算机网络,必定都要经由网卡,使用通用的网络协议才能顺利的将本地文件传输到目标IP。因此如果在网卡这一处设置一道防线,使用合理的选择算法,将本地文件流出的数据析取出来就能够实现网络窃取行为的识别。针对使用TCP/IP协议族植入木马、捆绑程序和植入恶意代码窃取用户本地磁盘文件等行为,提出了动态实时的协议分析结合数据包分析判断方法,从而实现在传播过程中实时的捕获这类行为,同时逆向分析,从而识别出本地窃取程序和窃取目标IP地址。
【专利说明】 防网上窃取电脑文件的方法
【技术领域】:
[0001]本发明针对在互联网的应用中,存在的使用TCP/IP协议族植入木马、捆绑程序和植入恶意代码窃取用户本地磁盘文件等行为,通过动态实时的协议分析结合数据包分析判断方法对这些行为进行捕获,同时逆向分析,从而识别出本地窃取程序和窃取目标IP地址。
【背景技术】:
[0002]目前,在互联网中广泛应用的协议是TCP/IP协议,是Internet最基本的协议。该协议分为四层协议,包括网络接口层、网络层、传输层和应用层。四层协议每一层为上层提供接口服务,并且调用下一层的服务,在整个网络中,同一层之间的通信是透明的。目前在网络层一般采用的是IP协议,在传输层主要使用面向连接协议的TCP和无连接的UDP协议。
[0003]每个IP数据包都有报头和报文两个信息,而报头具有一定的规范要求从IP数据包报头中可以看到的信息包括:协议版本是IPv4或IPv6,报头长度,上层协议类型,源地址和目的地址等信息。TCP协议使用的是面向连接协议,他和UDP协议是传输层中最重要的协议。这两个协议的报头中都可以获取到发送的源端口信息和目的端口信息。
【发明内容】
:
[0004]1、通过计算机网络,必定都要经由网卡,使用通用的网络协议才能顺利的将本地文件传输到目标IP。因此如果在网卡这一处设置一道防线,使用合理的选择算法,将本地文件流出的数据析取出来就能够实现网络窃取行为的识别。
[0005]2、在识别的过程中,已经获取了时间,文件名和目的IP地址。窃取行为的处理技术是找到木马程序或者对应程序宿主。经过信息处理将数据包中获取的机器数据,进一步转化为用户能看的懂的用户数据,方便用户进行判断。
【专利附图】
【附图说明】:
[0006]图1:系统模块示意图
[0007]图2:处理模块中映射关系图
【具体实施方式】:
[0008]1、网络窃取行为识别:
[0009](I)抓包:目前,在互联网中广泛应用的协议是TCP/IP协议族。TCP/IP协议为了适用不同操作系统、不同软件平台,而使用了基本传输单元:套接字(SOCKET)。套接字分为面向有连接的传输的流套接字、面向无连接的传输的数据报套接字以及能同时接收两者的原始套接字。
[0010]这里创建一个原始套接字,绑定到本地主机网卡,并且发送S10_RCVALL命令,从而将网卡设置为混杂模式,用以接收所有流经网卡的数据包。然后一直调用recv命令,将所有网卡接收到的数据包,放入缓冲队列,提供给下一步处理。
[0011](2)拆包:这四层在网络传输中各司其职,每一层为上层提供接口服务,并且调用下一层的服务。使用原始套接字截取到的数据包,是从网络层开始截取。网络接口层专司数据bit流的传输,其内容是在网络层的基础上加上报文头部,因此实际上所有流出的数据,从网络层截取,就能够截取到所有的数据包内容。
[0012](3)析包:取得了剥离了 IP报头和传输层报头之后的数据,也是最接近上层的协议,从这些数据中,识别出来文件窃取行为的标识,目前国内外没有对应的文献可查。同时对于网络数据包来说,用户主动传输文件,如邮件上传附件,和木马窃取文件使用的协议规范是一致的,所以从技术上说,从网卡处得到的信息,是无法确定一个本地文件流出的行为,是用户主动传输还是遭到窃取的。所以目前做的是通过筛选,将文件的流出行为识别出来,再由用户,根据实际操作来进行甄别和区分。
[0013]2、网络窃取行为的处理:
[0014]在识别的过程中,已经获取了时间,文件名和目的IP地址。窃取行为的处理技术是找到木马程序或者对应程序宿主。经过信息处理将数据包中获取的机器数据,进一步转化为用户能看的懂的用户数据,方便用户进行判断。一般用户更容易接受的是程序名和程序路径,对数据包中提到的端口等信息比较陌生,在具体实现的时候,端口号和程序名没有一一对应关系,在Window平台上,通过列举当前程序占用端口情况,通过映射,找到进程的名称和路径。这样完成了网络切取彳丁为的处理技术。最后在Visual Studio2010中完成整个程序的编码工作。
【权利要求】
1.网络窃取行为识别技术:通过计算机网络,必定都要经由网卡,使用通用的网络协议才能顺利的将本地文件传输到目标IP。因此如果在网卡这一处设置一道防线,使用合理的选择算法,将本地文件流出的数据析取出来就能够实现网络窃取行为的识别。
2.网络窃取行为的处理技术:在识别的过程中,已经获取了时间,文件名和目的IP地址。窃取行为的处理技术是找到木马程序或者对应程序宿主。经过信息处理将数据包中获取的机器数据,进一步转化为用户能看的懂的用户数据,方便用户进行判断。
【文档编号】H04L29/06GK103944873SQ201410035324
【公开日】2014年7月23日 申请日期:2014年1月24日 优先权日:2014年1月24日
【发明者】韩永飞, 汪栋 申请人:厦门密安信息技术有限责任公司