基于反弹端口木马的互联审计方法
【技术领域】
[0001]本发明涉及信息安全技术领域,特别是涉及一种基于反弹端口木马的互联审计方法。
【背景技术】
[0002]在互联网高度开放的今天,木马程序泛滥,各种各样的木马充斥在互联网中。这些木马给网民带来不同的威胁,而其中威胁最大的就是控制类木马,这类木马可以完全控制目标主机,在大型网络入侵事件和信息窃取事件中都有此类木马的身影。而目前对木马的检测与防护主要是采用基于病毒查杀、防火墙等产品。
[0003]而随着木马的翻墙技术、端口反弹技术的应用普及,基于网络异常通信行为阻断木马通信连接的有效性也越来越低,很多木马程序在进行网络通信时采用了标准的网络通信端口,如80端口,并且采用反向连接技术,由被控端木马的代理程序主动通过80端口去与控制端程序建立连接,这种方式会造成防火墙误认为是一个正常的基于Web访问的一个连接而放行。而基于防火墙的产品不对具体的木马进行检测与控制,不对网络通信内容进行处理分析,无法确定是否是真的木马在通信,无法知道木马通信的内容及传输文件的内容。
【发明内容】
[0004]本发明主要解决的技术问题是提供一种基于反弹端口木马的互联审计方法,能够对木马网络操作行为进行报警或审计。
[0005]为解决上述技术问题,本发明采用的一个技术方案是:提供一种基于反弹端口木马的互联审计方法,包括:预先设置允许IP连接操作的静态IP地址名单;实时采集当前系统的网络数据包;检查所述网络数据包是否属于已建立的网络会话,如果属于已建立的网络会话,则将所述网络数据包插入到已建立的会话中,如果不属于已建立的网络会话,则建立新的网络会话,其中,所述已建立的网络会话或所述新的网络会话作为当前网络会话;根据所述静态IP地址名单验证所述网络数据包的IP连接的静态IP地址,如果所述IP连接的静态IP地址验证不通过,则判定所述当前网络会话为木马网络通信会话;记录木马网络通信会话的内容,并根据记录的木马网络通信会话的内容检测木马网络通信会话是否包含木马网络操作行为,如果包含木马网络操作行为,记录并监测木马网络操作行为;根据木马网络操作行为的特性进行报警或提供审计。
[0006]优选地,所述互联审计方法还包括:根据木马网络操作行为的特性进行操作内容的还原。
[0007]优选地,所述木马网络操作行为的类型包括:木马文件操作、木马屏幕操作、木马命令操作和进程/服务操作。
[0008]区别于现有技术的情况,本发明的有益效果是:通过预先设置允许IP连接操作的静态IP地址名单以及实时获取网络会话的网络数据包,通过验证网络数据包的IP连接的静态IP地址与静态IP地址名单,从而能够及时发现木马,以对木马网络操作行为进行报警或审计。
【附图说明】
[0009]图1是本发明实施例基于反弹端口木马的互联审计方法的流程示意图。
【具体实施方式】
[0010]下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅是本发明的一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
[0011]参见图1,是本发明实施例基于反弹端口木马的互联审计方法的流程示意图。本实施例的互联审计方法包括:
[0012]S1:预先设置允许IP连接操作的静态IP地址名单。
[0013]S2:实时采集当前系统的网络数据包。
[0014]其中,为了能够高性能的采集网络数据包,在实际应用中,可以在网络接口程序中设置内存缓存区,从内存缓存区中采集网络数据包。
[0015]S3:检查网络数据包是否属于已建立的网络会话,如果属于已建立的网络会话,则进行步骤S4,如果不属于已建立的网络会话,则进行步骤S5。
[0016]其中,不同的网络会话是由网络通信的五元组来确定,为了提高查找效率,在建立会话表数据结构时采用Hash (哈希)表的方式,利用五元组计算出Hash值,进行地址映射。不同网络会话相同Hash值则采用双向链表的方式。
[0017]S4:将网络数据包插入到已建立的会话中。
[0018]S5:建立新的网络会话。
[0019]其中,已建立的网络会话或新的网络会话作为当前网络会话。
[0020]S6:根据静态IP地址名单验证网络数据包的IP连接的静态IP地址,如果IP连接的静态IP地址验证不通过,则进行步骤S7。
[0021]其中,静态IP地址可以是源IP地址,也可以是目的IP地址。只要静态IP地址名单不存在IP连接的静态IP地址,IP连接的静态IP地址验证不通过。
[0022]S7:判定当前网络会话为木马网络通信会话。
[0023]S8:记录木马网络通信会话的内容,并根据记录的木马网络通信会话的内容检测木马网络通信会话是否包含木马网络操作行为,如果包含木马网络操作行为,则进行步骤S90
[0024]其中,木马网络操作行为的类型包括:木马文件操作、木马屏幕操作、木马命令操作和进程/服务操作。木马文件操作例如是文件的上传、下载、创建、删除、修改。木马屏幕操作例如是截取屏幕内容。木马命令操作例如是远程执行代码、远程启动或关闭设备。进程/服务操作例如是远程浏览、启动、结束进程。
[0025]S9:记录并监测木马网络操作行为。
[0026]SlO:根据木马网络操作行为的特性进行报警或提供审计。
[0027]进一步地,本实施例的互联审计方法还可以包括步骤Sll:根据木马网络操作行为的特性进行操作内容的还原。还原的内容主要包括两种:一种是木马传输文件的内容还原,另一种是木马命令操作的内容还原。
[0028]通过上述方式,本发明实施例的基于反弹端口木马的互联审计方法通过预先设置允许IP连接操作的静态IP地址名单以及实时获取网络会话的网络数据包,通过验证网络数据包的IP连接的静态IP地址与静态IP地址名单,从而能够及时发现木马,以对木马网络操作行为进行报警或审计。
[0029]以上所述仅为本发明的实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
【主权项】
1.一种基于反弹端口木马的互联审计方法,其特征在于,包括: 预先设置允许IP连接操作的静态IP地址名单; 实时采集当前系统的网络数据包; 检查所述网络数据包是否属于已建立的网络会话,如果属于已建立的网络会话,则将所述网络数据包插入到已建立的会话中,如果不属于已建立的网络会话,则建立新的网络会话,其中,所述已建立的网络会话或所述新的网络会话作为当前网络会话; 根据所述静态IP地址名单验证所述网络数据包的IP连接的静态IP地址,如果所述IP连接的静态IP地址验证不通过,则判定所述当前网络会话为木马网络通信会话; 记录木马网络通信会话的内容,并根据记录的木马网络通信会话的内容检测木马网络通信会话是否包含木马网络操作行为,如果包含木马网络操作行为,记录并监测木马网络操作行为; 根据木马网络操作行为的特性进行报警或提供审计。
2.根据权利要求1所述的互联审计方法,其特征在于,所述互联审计方法还包括: 根据木马网络操作行为的特性进行操作内容的还原。
3.根据权利要求1所述的互联审计方法,其特征在于,所述木马网络操作行为的类型包括:木马文件操作、木马屏幕操作、木马命令操作和进程/服务操作。
【专利摘要】本发明提供了一种基于反弹端口木马的互联审计方法。其包括:预先设置允许IP连接操作的静态IP地址名单;实时采集当前系统的网络数据包;检查网络数据包是否属于已建立的网络会话,如果是,则将网络数据包插入到已建立的会话中,否则建立新的网络会话;根据静态IP地址名单验证网络数据包的IP连接的静态IP地址,如果IP连接的静态IP地址验证不通过,则判定当前网络会话为木马网络通信会话;记录木马网络通信会话的内容,并检测木马网络通信会话是否包含木马网络操作行为,如果是,记录并监测木马网络操作行为;根据木马网络操作行为的特性进行报警或提供审计。本发明能够对木马网络操作行为进行报警或审计。
【IPC分类】H04L29-06, G06F21-56, H04L12-24
【公开号】CN104753955
【申请号】CN201510172291
【发明人】罗春
【申请人】成都双奥阳科技有限公司
【公开日】2015年7月1日
【申请日】2015年4月13日