基于网络会话的木马病毒分析技术的制作方法

基于网络会话的木马病毒分析技术的制作方法
【技术领域】
[0001]本发明涉及基于网络会话的木马病毒分析技术，属于计算机应用技术领域。
【背景技术】
[0002]随着互联网技术的发展和普及，计算机网络得到了广泛应用，利用广泛开放的网络环境进行全球通信已经成为时代发展的趋势，人们日常的经济和社会生活也越来越依赖互联网。但网络技术给人们带来巨大的便利的同时也带来了各种各样的安全威胁，例如黑客攻击，计算机病毒、特洛伊木马泛滥等。研宄在目前开放的网络环境下，如何保证自己的信息安全就显的非常重要。
[0003]木马是一种具有运行非预期或未授权功能的程序，例如可以记录用户键入的密码，远程传输文件，甚至可以完全远程控制计算机等。一般黑客在攻击目标得手之后，就会在主机上安装后门，即特洛伊木马。特洛伊木马可以在用户毫不知情的情况下泄漏用户的密码、用户的秘密资料等，甚至可以远程监控用户的操作，因此，某些行业，如国防、外交和商务部门，特洛伊木马的危害性更大，一旦这些部门被安装了木马，损失就会非常惨重。
[0004]在网络攻击与安全防范日益激烈的对抗中，木马攻击技术在不断地完善。现在木马攻击手段已成为网络攻击的最常用、最有效的手段之一，是一系列网络攻击活动中重要的组成部分，严重地威胁着计算机网络系统的安全。传统的特征码检测技术对于检测已知恶意代码，非常快捷有效，但是对于检测未知的恶意代码则无能为力。因此，我们发明了 “基于网络会话的木马病毒分析技术”

【发明内容】

[0005]为了能够有效的发现未知病毒木马，减低木马行为带来的损失与影响。本发明实施例提供了基于网络会话的木马病毒分析技术，以此大力提高未知病毒木马的检测能力，所述技术方案如下:
[0006]1.基于网络会话的木马病毒分析技术，其特征主要表现在通过木马病毒的网络会话行为特点来定位木马病毒，其核心实现过程:(I)通过底层抓包技术获取网络数据包；
(2)解码网络数据包，分别得到以太头、IP头、协议头、会话数据；(3)通过分析IP头标志位是否为分片数据包，如果是分片的数据包，那么进行IP数据包重组，得到完整的IP数据包；(4)通过协议头过滤出TCP数据包，根据TCP的三步握手规则以及建立来源IP、来源端口、目的IP、目的端口的TCP会话并进行跟踪；(5)对TCP会话进行状态设置，没有完成三步握手的TCP会话标记为半连接状态，已经完成握手的会话会已连接状态，正在关闭连接的为关闭状态，已经断开链接的则删除TCP会话；(6)当接收到的数据包TCP标志位RST为I时，表示来源主机要求断开会话连接，此时检查当前会话状态是否为已连接，如果是半连接状态，那么这该来源主机地址可能是不存在的，而目的主机可能是有异常行为的主机，此时记录该异常行为主机，并进行计数；(7)当一分钟内异常主机的累计计数大于30时，我们可以确定此主机就是感染木马病毒的主机；其具体操作步骤如下:
[0007](I)数据包捕获
[0008]通过安装WINPCAP工具，我们可以抓取到底层网络数据包，并交由数据包分析模块处理；
[0009](2)数据包解码
[0010]①首先判断数据包是否为以太网数据包，不是则丢弃；是则解码以太头，得到来源MAC地址、目的MAC地址以及以太协议类型；
[0011]②以太头协议类型是否为IP协议类型，不是则丢弃；是则解码IP协议头，得到来源IP、目的IP、传输协议类型、IP头长度、IP分片标志等；
[0012]③传输层协议类型是否为TCP协议类型，不是则丢弃；是则解码TCP协议头，得到来源端口、目的端口、TCP标志位等；
[0013](3) IP数据包重组
[0014]①查找是否为新的数据包分组:通过对来源IP、来源端口、目的IP、目的端口作HASH运算得出一个HASH值，用这个HASH值在数据包分组链表中查找是否为新的分组，如果是，创建一新的分组添加到分组链表，如果不是，那么就按照分片标志位中的便宜量顺序插入到已有分组的分片链表中；
[0015]②检测分组数据包是否接收完成:检查当前IP数据包是否为最后一个分片包，如果是，那就表示当前分组已经接收完所有的分片包，可以进行数据包的重组了 ；
[0016]③数据包重组:对当前分组的所有分片包按照分片标志位中的偏移量顺序组合成一个新的IP数据包；
[0017](4) TCP会话跟踪
[0018]通过来源IP、来源端口、目的IP、目的端口建立HASH值，每一个HASH值将作为一个会话连接，将只有SYN标志或者SYN+ACK标志的会话设置为半连接状态，将完成SYN- >SYN+ACK- > ACK三步握手连接的会话设置为已连接状态；将发送SYN+RST标志的设置为断开连接状态；将发送FIN+ACK的删除会话；
[0019](5)木马病毒分析
[0020]由于感染木马的主机要需要接收木马制作者的控制命令，木马主机会定时的向控制端发送反向连接请求，而木马控制端不会时常在线，因此这规律性的反向连接将会导致网络异常连接，通过分析异常连接流量可以定位木马主机；通过统计每个主机的异常连接数量，当一分钟内异常主机的累计计数大于30时，我们可以确定此主机就是感染木马病毒的主机；
[0021]以下是对本发明的技术作进一步的说明:
[0022]所述的WINPCAP，winpcap (windows packet capture)是 windows 平台下一个免费，公共的网络访问系统。开发winpcap这个项目的目的在于为Win32应用程序提供访问网络底层的能力。它用于windows系统下的直接的网络编程。
[0023]所述的SYN，SYN(synchronous)是TCP/IP建立连接时使用的握手信号。在客户机和服务器之间建立正常的TCP网络连接时，客户机首先发出一个SYN消息，服务器使用SYN+ACK应答表示接收到了这个消息，最后客户机再以ACK消息响应。这样在客户机和服务器之间才能建立起可靠的TCP连接，数据才可以在客户机和服务器之间传递。
[0024]所述的ACK，ACK (Acknowledgement)，即确认字符，在数据通信中，接收站发给发送站的一种传输类控制字符。表示发来的数据已确认接收无误。
[0025]所述的木马病毒，木马病毒和其他病毒一样都是一种人为的程序，都属于电脑病毒。大家都知道以前的电脑病毒的作用，其实完全就是为了搞破坏，破坏电脑里的资料数据，除了破坏之外其它无非就是有些病毒制造者为了达到某些目的而进行的威慑和敲诈勒索的作用，或是为了炫耀自己的技术。木马病毒则不一样，它的作用是赤裸裸的偷偷监视别人的所有操作和盗窃别人的各种密码和