数据等重要信息,如盗窃系统管理员密码搞破坏;偷窃ADSL上网密码和游戏帐号密码用于牟利。所以木马病毒的危害性比其他电脑病毒更加大,更能够直接达到使用者的目的。这个现状就导致了许多别有用心的程序开发者大量的编写这类带有偷窃和监视别人电脑的侵入性程序,这就是目前网上大量木马病毒泛滥成灾的原因。鉴于木马病毒的这些巨大危害性和它与其他病毒的作用性质的不一样,所以木马病毒虽然属于病毒中的一类,但是要单独的从病毒类型中间剥离出来,独立地称之为“木马病毒”程序。
【附图说明】
:
[0026]图1为本发明技术的木马病毒行为图。
[0027]图2为本发明技术的数据包解码流程图。
[0028]图3为本发明技术的木马病毒分析流程图。
[0029]具体实践方式:
实施例:
[0030]为了更好的理解本发明的技术方案,现结合附图中的图表就具体实施进行进一步详细描述如下:
[0031](I)木马病毒行为特征--(如图1所不)
[0032]由于感染木马的主机要需要接收木马制作者的控制命令,木马主机会定时的向控制端发送反向连接请求,而木马控制端不会时常在线,因此这规律性的反向连接将会导致网络异常连接,通过分析异常连接流量可以定位木马主机;木马主机一旦连接上控制者主机,那么控制者将可以通过木马向其他主机进一步渗透或者做其它的行为;
[0033](2)数据包解码——(如图2所示)
[0034]①首先判断数据包是否为以太网数据包,不是则丢弃;是则解码以太头,得到来源MAC地址、目的MAC地址以及以太协议类型;
[0035]②以太头协议类型是否为IP协议类型,不是则丢弃;是则解码IP协议头,得到来源IP、目的IP、传输协议类型、IP头长度、IP分片标志等;
[0036]③传输层协议类型是否为TCP协议类型,不是则丢弃;是则解码TCP协议头,得到来源端口、目的端口、TCP标志位等;
[0037](3)木马病毒分析--(如图3所不)
[0038]①会话跟踪;根据TCP三步握手状态,建立TCP会话连接。
[0039]②异常连接分析:根据TCP标志位RST状态以及结合当前TCP会话状态检测,当RST为I同时TCP状态为半连接时,说明此目的主机之前正在发送异常连接请求,累计当前主机异常连接请求数。
[0040] ③木马病毒定位:当I分钟内单个主机异常连接请求数达到30个,我们可以确定这个主机被感染了木马病毒。
【主权项】
1.基于网络会话的木马病毒分析技术,其特征主要表现在通过木马病毒的网络会话行为特点来定位木马病毒,其核心实现过程:(I)通过底层抓包技术获取网络数据包;(2)解码网络数据包,分别得到以太头、IP头、协议头、会话数据;(3)通过分析IP头标志位是否为分片数据包,如果是分片的数据包,那么进行IP数据包重组,得到完整的IP数据包;(4)通过协议头过滤出TCP数据包,根据TCP的三步握手规则以及建立来源IP、来源端口、目的IP、目的端口的TCP会话并进行跟踪;(5)对TCP会话进行状态设置,没有完成三步握手的TCP会话标记为半连接状态,已经完成握手的会话会已连接状态,正在关闭连接的为关闭状态,已经断开链接的则删除TCP会话;(6)当接收到的数据包TCP标志位RST为I时,表示来源主机要求断开会话连接,此时检查当前会话状态是否为已连接,如果是半连接状态,那么这该来源主机地址可能是不存在的,而目的主机可能是有异常行为的主机,此时记录该异常行为主机,并进行计数;(7)当一分钟内异常主机的累计计数大于30时,我们可以确定此主机就是感染木马病毒的主机;其具体操作步骤如下: (1)数据包捕获 通过安装WINPCAP工具,我们可以抓取到底层网络数据包,并交由数据包分析模块处理; (2)数据包解码 ①首先判断数据包是否为以太网数据包,不是则丢弃;是则解码以太头,得到来源MAC地址、目的MAC地址以及以太协议类型; ②以太头协议类型是否为IP协议类型,不是则丢弃;是则解码IP协议头,得到来源IP、目的IP、传输协议类型、IP头长度、IP分片标志等; ③传输层协议类型是否为TCP协议类型,不是则丢弃;是则解码TCP协议头,得到来源端口、目的端口、TCP标志位等; (3)IP数据包重组 ①查找是否为新的数据包分组:通过对来源IP、来源端口、目的IP、目的端口作HASH运算得出一个HASH值,用这个HASH值在数据包分组链表中查找是否为新的分组,如果是,创建一新的分组添加到分组链表,如果不是,那么就按照分片标志位中的便宜量顺序插入到已有分组的分片链表中; ②检测分组数据包是否接收完成:检查当前IP数据包是否为最后一个分片包,如果是,那就表示当前分组已经接收完所有的分片包,可以进行数据包的重组了 ; ③数据包重组:对当前分组的所有分片包按照分片标志位中的偏移量顺序组合成一个新的IP数据包; (4)TCP会话跟踪 通过来源IP、来源端口、目的IP、目的端口建立HASH值,每一个HASH值将作为一个会话连接,将只有SYN标志或者SYN+ACK标志的会话设置为半连接状态,将完成SYN- >SYN+ACK- > ACK三步握手连接的会话设置为已连接状态;将发送SYN+RST标志的设置为断开连接状态;将发送FIN+ACK的删除会话; (5)木马病毒分析 由于感染木马的主机要需要接收木马制作者的控制命令,木马主机会定时的向控制端发送反向连接请求,而木马控制端不会时常在线,因此这规律性的反向连接将会导致网络异常连接,通过分析异常连接流量可以定位木马主机;通过统计每个主机的异常连接数量,当一分钟内异常主机的累计计数大于30时,我们可以确定此主机就是感染木马病毒的主机。
【专利摘要】本发明涉及基于网络会话的木马病毒分析技术。本技术的操作步骤包括:(1)通过底层抓包技术获取网络数据包;(2)解码网络数据包并对IP分片包进行重组;(3)对TCP数据流进行重组;(4)对TCP会话状态进行跟踪并根据是否完成连接分别标记会话状态为半连接状态、已连接状态、关闭状态和删除TCP会话;(5)当接收到的数据包请求为断开会话连接,此时检查当前会话状态是否为已连接,如果是半连接状态,那么该来源主机地址可能是不存在的主机,此时记录该异常行为主机,并进行计数;(6)当一分钟内异常主机的累计计数大于30时,我们可以确定此主机就是感染木马病毒的主机。
【IPC分类】H04L29-06
【公开号】CN104660584
【申请号】CN201410857309
【发明人】赖洪昌
【申请人】赖洪昌
【公开日】2015年5月27日
【申请日】2014年12月30日