一种检测木马的方法和设备与流程
本申请涉及计算机领域,特别是涉及一种检测木马的方法和设备。
背景技术:
在现有的检测木马的产品中,通过抓取网络数据包,分析正常网络连接的时间周期、流量波动情况、网络协议的异常,从而捕获木马,即在木马进行工作时对木马进行检测,但是,在现有技术中还没有在木马不工作的时候对木马进行检测的手段。
技术实现要素:
本申请的目的在于提供一种检测木马的方法和设备,本申请通过进行本地回环地址连接时相应的连接信息来检测木马。
一种检测木马的方法,其特征在于,所述方法包括:
获取其进行本地回环地址连接前最后一次进行正常网络连接的连接信息、进行本地回环地址连接后第一次进行正常网络连接的连接信息和进行本地回环地址连接时的连接信息;
将其进行本地回环地址连接前最后一次进行正常网络连接的连接信息、进行本地回环地址连接后第一次进行正常网络连接的连接信息和进行本地回环地址连接时的连接信息中相应的连接信息进行归并,以根据归并结果对木马进行检测。
获取其进行本地回环地址连接前最后一次进行正常网络连接的连接信息是其进行本地回环地址连接前最后一次进行正常网络连接的流量情况和/或连接时间,以及网络通信协议;
获取其进行本地回环地址连接后第一次进行正常网络连接的连接信息是其进行本地回环地址连接后第一次进行正常网络连接的流量情况和/或连接时间,以及网络通信协议;
获取其进行本地回环地址连接时的连接信息是其进行本地回环地址连接时的连接总时间和/或产生的总流量情况。
将其进行本地回环地址连接前最后一次进行正常网络连接的连接信息、进行本地回环地址连接后第一次进行正常网络连接的连接信息和进行本地回环地址连接时的连接信息中相应的连接信息进行归并,具体为:
将其进行本地回环地址连接前最后一次进行正常网络连接的连接时间、进行本地回环地址连接后第一次进行正常网络连接的连接时间和进行本地回环地址连接时的连接总时间进行归并;和/或,
将其进行本地回环地址连接前最后一次进行正常网络连接的流量情况和进行本地回环地址连接后第一次进行正常网络连接的流量情况与进行本地回环地址连接时产生的总流量进行归并。
根据归并结果对木马进行检测,具体为:
根据获取的其进行本地回环地址连接前最后一次进行正常网络连接的网络通信协议、进行本地回环地址连接后第一次进行正常网络连接的网络通信协议和归并结果对木马进行检测。
一种设备终端,其特征在于,所述设备包括:
获取模块,用于获取进行本地回环地址连接前最后一次进行正常网络连接的连接信息、进行本地回环地址连接后第一次进行正常网络连接的连接信息和进行本地回环地址连接时的连接信息;
归并模块,用于将进行本地回环地址连接前最后一次进行正常网络连接的连接信息、进行本地回环地址连接后第一次进行正常网络连接的连接信息和进行本地回环地址连接时的连接信息中相应的连接信息进行归并,以使所述设备终端根据归并结果对木马进行检测。
所述获取模块获取进行本地回环地址连接前最后一次进行正常网络连接的连接信息是进行本地回环地址连接前最后一次进行正常网络连接的流量情况和/或连接时间,以及网络通信协议;
所述获取模块获取进行本地回环地址连接后第一次进行正常网络连接的连接信息是进行本地回环地址连接后第一次进行正常网络连接的流量情况和/或连接时间,以及网络通信协议;
所述获取模块获取进行本地回环地址连接时的连接信息是进行本地回环地址连接时的连接总时间和/或产生的总流量情况。
所述归并模块,具体用于:
将进行本地回环地址连接前最后一次进行正常网络连接的连接时间、进行本地回环地址连接后第一次进行正常网络连接的连接时间和进行本地回环地址连接时的连接总时间进行归并;和/或,
将进行本地回环地址连接前最后一次进行正常网络连接的流量情况和进行本地回环地址连接后第一次进行正常网络连接的流量情况与进行本地回环地址连接时的产生的总流量进行归并。
所述设备,还包括:
检测模块,用于根据获取的进行本地回环地址连接前最后一次进行正常网络连接的网络通信协议、进行本地回环地址连接后第一次进行正常网络连接的网络通信协议和归并结果对木马检测。
与现有技术相比,本申请实施例至少具有以下优点:
本申请归并获取的设备终端进行本地回环地址连接前最后一次进行正常网络连接的连接信息、进行本地回环地址连接后第一次进行正常网络连接的连接信息和进行本地回环地址连接时的连接信息中相应的连接信息,并通过分析归并后连接信息来检测木马,从而可以在木马在不活动时也能对木马进行检测,增加了对木马的检测手段,提高了对木马的防范的途径,保证了设备终端的安全性。
附图说明
图1为本申请实施例中的一种基于本地回环地址连接检测木马的方法流程图;
图2为本申请实施例中一种设备终端的结构示意图。
具体实施方式
本申请将设备终端进行本地回环地址连接前最后一次进行正常网络连接、进行本地回环地址连接后第一次进行正常网络连接和进行本地回环地址连接看成一个正常的网络连接,通过分析这个正常的网络连接来检测木马。
下面将结合本申请中的附图,对本申请中的技术方案进行清楚、完整的描述,显然,所描述的实施例是本申请的一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本申请保护的范围。
本地回环地址是以127开头的地址(127.0.0.1-127.255.255.254),一般都会用来检查本地网络协议,基本数据接口等是否正常。本地回环地址,通常用127.0.0.1表示,如常通过ping通127.0.0.1说明本机的网卡和IP(Internet Protocol,网络之间互连的协议)协议安装没有问题;这个地址不能在网络上用于通信,通过该地址通信的数据包也不会经过网卡。
在很多通过网络流量分析木马的产品中,都是通过抓取经过网卡的网络数据包,分析网络连接的时间周期,流量波动情况,网络协议的异常,从而捕获木马,但是本地回环地址连接会被黑客开发的特种木马用来隐藏网络通信,即:在特种木马由于不活动时,特种木马会连接到本地回环地址上,从而没有了网络活动,导致分析逻辑被中断,在传统的网络抓包分析木马的产品,都是基于在网卡上抓包,当在特种木马不活动的时候就会将连接指向到本地回环地址,由于正常检测木马的产品无法捕获特种木马在连接到本地回环地址下的活动,因为在网卡上的抓包是抓不到本地回环地址连接上的数据包的,所以使得现有 的网络抓包分析木马失败,这样就会中断正常检测木马时的分析逻辑,逃避了基于网络数据包抓包分析的检测技术,无法检测并发现特种木马。
如图1所示,为本申请实施例中一种检测木马的方法,应用于网络连接环境下检测特种木马,所述方法包括:
步骤101,设备终端获取其进行本地回环地址连接前最后一次进行正常网络连接的连接信息、进行本地回环地址连接后第一次进行正常网络连接的连接信息和进行本地回环地址连接时的连接信息。
所述设备终端获取其进行本地回环地址连接前最后一次进行正常网络连接的连接信息是其进行本地回环地址连接前最后一次进行正常网络连接的流量情况和/或连接时间,以及网络通信协议;
所述设备终端获取其进行本地回环地址连接后第一次进行正常网络连接的连接信息是其进行本地回环地址连接后第一次进行正常网络连接的流量情况和/或连接时间,以及网络通信协议;
所述设备终端获取其进行本地回环地址连接时的连接信息是其进行本地回环地址连接时的连接总时间和/或产生的总流量情况。
所述设备终端在进行日常连接中会有两种连接方式,一种是正常网络连接,用来进行网络站点访问连接,另一种是在不进行网络站点访问时所述设备终端会进行本地回环地址的连接,本地回环地址连接是用来检查本地网络协议、基本数据接口是否正常的,所述设备终端在停止进行网络站点访问后则会转而进行本地回环地址连接。
所述设备终端获取的是在停止网络站点访问前最后一次网络站点访问连接时产生的流量的情况和/或访问站点进行连接时持续的时间,以及使用的网络通信协议,以及在停止本地回环地址连接后首次进行正常的站点访问时产生的流量的情况和/或访问站点进行连接时持续的时间,以及使用的网络通信协议。
所述设备终端在进行本地回环地址连接时其访问的IP地址是以127开头的地址(127.0.0.1-127.255.255.254),并且一次访问IP地址的时长时固定的,如 果一个在固定时长后,所述设备终端还在进行本地回环地址连接,那么所述设备终端会结束本次访问进行下一次的访问,即:本地回环地址连接是具有周期性的。并且,所述设备终端在进行每次本地回环地址连接时产生的流量是不同的,而且产生的流量时不经过网卡的。
步骤102,所述设备终端将其进行本地回环地址连接前最后一次进行正常网络连接的连接信息、进行本地回环地址连接后第一次进行正常网络连接的连接信息和进行本地回环地址连接时的连接信息中相应的连接信息进行归并,以使所述设备终端根据归并结果对木马进行检测。
其中,归并是将所述设备终端获取的进行本地回环地址连接前最后一次进行正常网络连接的连接信息、进行本地回环地址连接后第一次进行正常网络连接的连接信息和进行本地回环地址连接时的连接信息中相应的连接信息中相同类型的信息的数值进行相加。
所述设备终端将其进行本地回环地址连接前最后一次进行正常网络连接的连接信息、进行本地回环地址连接后第一次进行正常网络连接的连接信息和进行本地回环地址连接时的连接信息中相应的连接信息进行归并,具体为:
所述设备终端将其进行本地回环地址连接前最后一次进行正常网络连接的连接时间、进行本地回环地址连接后第一次进行正常网络连接的连接时间和进行本地回环地址连接时的连接总时间进行归并;和/或,
所述设备终端将其进行本地回环地址连接前最后一次进行正常网络连接的流量情况和进行本地回环地址连接后第一次进行正常网络连接的流量情况与进行本地回环地址连接时产生的总流量进行归并。
当然,所述设备终端还可以获取进行本地回环地址连接前最后一次进行正常网络连接时连接到的IP地址、进行本地回环地址连接时的连接信息是其进行本地回环地址连接时连接到的所有IP地址、进行本地回环地址连接后第一次进行正常网络连接时连接到的IP地址,在进行归并时将进行本地回环地址连接前最后一次进行正常网络连接时连接到的IP地址、进行本地回环地址连 接时的连接信息是其进行本地回环地址连接时连接到的所有IP地址、进行本地回环地址连接后第一次进行正常网络连接时连接到的IP地址进行归并,以使所述设备将进行本地回环地址连接前最后一次进行正常网络的连接、进行本地回环地址的连接和进行本地回环地址连接后第一次进行正常网络的连接看成一个连接。
所述设备终端将其进行本地回环地址连接前最后一次进行正常网络连接和进行本地回环地址连接后第一次进行正常网络连接与进行本地回环地址连接看成一个完整的连接,即:处在一个进程中的正常连接,所述设备终端将进行这3个连接时产生的类型相同的连接信息进行归并,即:连接信息的数据进行相加,得到的是将这3个连接看成一个完整连接的连接信息。
所述设备终端根据归并结果对木马进行检测,具体为:
所述设备终端根据获取的其进行本地回环地址连接前最后一次进行正常网络连接的网络通信协议、进行本地回环地址连接后第一次进行正常网络连接的网络通信协议和归并结果对木马进行检测。
具体的,设备终端对获取的其进行本地回环地址连接前最后一次进行正常网络连接的网络通信协议、进行本地回环地址连接后第一次进行正常网络连接的网络通信协议和归并结果进行还原和重组处理,以生成被特种木马进程传出接收的应用层文件,或与外界交互的有序信息交互序列;具体而言,首先去除归并后的流量情况和/或连接时间,以及获取的网络通信协议中包头的冗余信息,及其中的数据包的接收/发送时间,最后再使用数据重组应用层文件算法将归并后的流量情况和/或连接时间,以及获取的网络通信协议进行还原处理,以生成被监测木马传出接收应用层文件或有序信息交互序列。
设备终端将按照网络通信协议传输的流量情况和/或连接时间,去除冗余信息,并通过特殊的还原处理,最后形成直观的、可视的应用层文件,从而对木马进行检测。
设备终端根据归并后的流量情况和/或连接时间,以及生成的被监测木马传 出接收应用层文件或有序信息交互序列进行整理归纳,以生成记录被监测木马网络通信的三级有序逻辑相扣的证据链文件。
设备终端将获取的归并后的数据进行处理前后的数据进行归纳整理,确保最后生成一条完整的、合乎逻辑的、严谨的、科学的三级有序逻辑相扣的证据链,来对特种木马进行检测。
与现有技术相比,本申请实施例至少具有以下优点:
本申请归并获取的设备终端进行本地回环地址连接前最后一次进行正常网络连接的连接信息、进行本地回环地址连接后第一次进行正常网络连接的连接信息和进行本地回环地址连接时的连接信息中相应的连接信息,并通过分析归并后连接信息来检测木马,从而可以在木马在不活动时也能对木马进行检测,增加了对木马的检测手段,提高了对木马的防范的途径,保证了设备终端的安全性。
为了进一步阐述本申请的技术思想,现结合具体的应用场景,对本申请的技术方案进行说明,在实际应用中,具体场景的变化并不会影响本申请的保护范围。
具体的,所述设备终端按照先后顺序在进行A连接和B连接后不再进行其他正常的访问连接后,所述设备终端进行本地回环地址连接,在进行本地回环地址连接时进行3次连接,随后所述设备终端按照先后顺序继续进行正常的访问连接:C连接和D连接。
所述设备终端监控系统内进行每个连接启动时的进程,并获取所述进行相应的连接信息。
所述设备终端需要获取的是进行本地回环地址连接前最后一次进行正常网络连接的连接信息:B连接的连接信息和进行本地回环地址连接后第一次进行正常网络连接的连接信息:C连接的连接信息,以及进行本地回环地址连接时的连接信息:进行3次本地回环地址连接时产生的连接信息。
所述设备终端获取B连接的连接信息:连接到的IP地址、流量情况、连 接时间和使用的网络通信协议。
所述设备终端获取在进行3次本地回环地址连接时产生的连接信息:连接到的3个IP地址、进行3次连接的总时间、进行3次连接时产生的总流量。
所述设备终端获取C连接的连接信息:连接到的IP地址、流量情况、连接时间和使用的网络通信协议。
所述设备终端将B连接的连接信息、进行3次本地回环地址连接时产生的连接信息和C连接的连接信息中相同类型的信息进行归并,即:将B连接到的IP地址、进行3次本地回环地址连接时连接到的3个IP地址、C连接到的IP地址进行归并;将B连接的连接时间、进行3次本地回环地址连接的连接总时间、C连接的连接时间进行归并;将B连接的流量情况、进行3次本地回环地址连接的总流量情况、C连接的流量情况进行归并,进一步的,所述设备终端将B连接、本地回环地址连接和C连接看成一个连接进行处理。
所述设备终端将归并后得到的多个IP地址的整体看成一个IP地址,即B连接、C连接和进行本地回环地址连接的多个连接都连接到同一个IP地址上;将进行B连接、C连接和进行本地回环地址连接的多个连接的各个时间进行相加,将相加后的时间总和看成由B连接、C连接和进行本地回环地址连接的多个连接组成的总连接的连接时间;将进行B连接、C连接和进行本地回环地址连接的多个连接的流量进行相加,将相加后的流量总和看成由B连接、C连接和进行本地回环地址连接的多个连接组成的总连接产生的流量。
所述设备终端根据B连接的网络通信协议、C连接的网络通信协议和由B连接、C连接和进行本地回环地址连接的多个连接组成的总连接的IP地址、连接时间和流量情况对木马进行检测。
当然,所述设备终端还可以在获取B连接和C连接的网络通信协议后,只获取B连接、C连接和本地回环地址连接的流量情况和/或连接时间,所述设备终端对B连接、C连接和本地回环地址连接的流量情况和/或连接时间进行归并,根据B连接和C连接的网络通信协议和归并后的流量情况和/或连接 时间进行木马检测。
基于与上述方法同样的申请构思,本申请还提出了一种设备终端,如图2所述,该设备包括:
获取模块21,用于获取所述设备终端进行本地回环地址连接前最后一次进行正常网络连接的连接信息、进行本地回环地址连接后第一次进行正常网络连接的连接信息和进行本地回环地址连接时的连接信息;
归并模块22,用于将所述设备终端进行本地回环地址连接前最后一次进行正常网络连接的连接信息、进行本地回环地址连接后第一次进行正常网络连接的连接信息和进行本地回环地址连接时的连接信息中相应的连接信息进行归并,以使所述设备终端根据归并结果对木马进行检测。
所述获取模块获取进行本地回环地址连接前最后一次进行正常网络连接的连接信息是进行本地回环地址连接前最后一次进行正常网络连接的流量情况和/或连接时间,以及网络通信协议;
所述获取模块获取进行本地回环地址连接后第一次进行正常网络连接的连接信息是进行本地回环地址连接后第一次进行正常网络连接的流量情况和/或连接时间,以及网络通信协议;
所述获取模块获取进行本地回环地址连接时的连接信息是进行本地回环地址连接时的连接总时间和/或产生的总流量情况。
所述归并模块,具体用于:
将所述设备终端进行本地回环地址连接前最后一次进行正常网络连接的连接时间、进行本地回环地址连接后第一次进行正常网络连接的连接时间和进行本地回环地址连接时的连接总时间进行归并;和/或,
将所述设备终端进行本地回环地址连接前最后一次进行正常网络连接的流量情况和进行本地回环地址连接后第一次进行正常网络连接的流量情况与进行本地回环地址连接时的产生的总流量进行归并。
所述设备,还包括:
检测模块,用于根据所述设备终端获取的进行本地回环地址连接前最后一次进行正常网络连接的网络通信协议、进行本地回环地址连接后第一次进行正常网络连接的网络通信协议和归并结果对木马检测。
与现有技术相比,本申请实施例至少具有以下优点:
本申请归并获取的设备终端进行本地回环地址连接前最后一次进行正常网络连接的连接信息、进行本地回环地址连接后第一次进行正常网络连接的连接信息和进行本地回环地址连接时的连接信息中相应的连接信息,并通过分析归并后连接信息来检测木马,从而可以在木马在不活动时也能对木马进行检测,增加了对木马的检测手段,提高了对木马的防范的途径,保证了设备终端的安全性。
本领域技术人员可以理解实施例中的设备中的模块可以按照实施例描述进行分布于实施例的装置中,也可以进行相应变化位于不同于本实施例的一个或多个装置中。上述实施例的模块可以合并为一个模块,也可以进一步拆分成多个子模块。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本申请可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式提现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台设备设备(可以是手机,个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述的方法。
以上所述仅是本申请的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视本申请的保护范围。
以上公开的仅为本申请的几个具体实施例,但是,本申请并非局限于此,任何本领域的技术人员能思之的变化都应落入本申请的保护范围。
- 还没有人留言评论。精彩留言会获得点赞!