一种针对内网端口反弹型木马的防范方法

一种针对内网端口反弹型木马的防范方法
【技术领域】
[0001]本发明属于网络环境下信息安全技术领域，具体是一种针对内网端口反弹型木马的防范方法。
【背景技术】
[0002]在网络安全领域，恶意代码快速增长，各种各样的恶意代码充斥在互联网中，最严重的当属病毒和木马，病毒的目的在于破坏计算机系统和文件，而木马则更倾向于机密信息窃取。木马有客户端和服务器端，一般来说服务器端和客户端相互配合，以完成一些破坏和信息窃取活动。当前，木马完全可以做到免杀并且隐藏自身的痕迹，由于防火墙限制，现在大部分木马都是反弹型木马。
[0003]反弹端口型木马利用了防火墙的弱点:
[0004]防火墙对于连入的链接往往会进行非常严格的过滤，但是对于连出的链接却疏于防范；于是，与一般的木马相反，反弹端口型木马的服务端(被控制端)使用主动端口，客户端(控制端)使用被动端口，木马定时监测控制端的存在，发现控制端上线立即弹出端口主动连结控制端打开的主动端口。
[0005]为了隐蔽起见，控制端的被动端口一般开在80，这样，即使用户使用端口扫描软件检查自己的端口，发现的也是正常的网络连接，不会产生怀疑。
[0006]目前针对木马的检测方法主要是特征码扫描和主动防御的方法，根据扫描特征码的方法判断木马的方法其缺陷是:一旦木马发生变种或者产生一个新的木马则杀毒软件就没有办法更好的检测。
[0007]而主动防御的方法也没有办法很好地检测使用内核技术的木马。

【发明内容】

[0008]本发明的目的在于提供了一种针对内网端口反弹型木马的防范方法，用于克服杀毒软件不能很好的发现已知木马的变种和新的木马的问题。
[0009]为解决上述问题，本发明的技术方案为:
[0010]一种针对内网端口反弹型木马的防范方法，包括以下步骤:
[0011]步骤1.确定可信程序名单:
[0012]为所有可信程序设定key-value，其中key为程序名称，value值为可执行程序的MD5(Message Digest Algorithm 5)值；
[0013]内网出口网关保存一份key-value名单，即可信程序名单；
[0014]步骤2.打安全标签:
[0015]对内网中每台主机应用程序发出的网络报文进行安全上下文标记，安全上下文标记内容包括:
[0016](I)发送此报文的程序名称，
[0017](2)程序的 MD5 值，
[0018](3)主机的 MAC (Medium/Media Access Control)地址；
[0019]步骤3.内网出口网关处捕获内网中流出的所有报文；
[0020]步骤4.检测报文中提供的安全上下文并分析报文内容:
[0021]提取报文中的安全上下文，将其与网关的可信程序名单(key-value名单)进行对比，如果程序名称及MD5值与可信程序名单一致，则放行并建立一个cache (缓存);预设时间内，再次捕获到由此MAC地址所对应主机的相同程序发出的网络报文则直接放行；
[0022]反之则丢掉数据包，限制放行，并将相关信息记录于日志中；同时，对报文连接的外网IP地址记入黑名单。
[0023]本发明的优点在于:
[0024](I)解决了杀毒软件无法检测最新的木马以及已有木马的变种从而带来的威胁。
[0025](2)不再只依赖于传统的网站白名单的方法，因反弹木马多连接第三方网站获取信息，而这些第三方网站多为安全可信的网站。
[0026]本发明通过安全上下文，验证报文发送的主体，从而确定连接的安全性，不仅仅根据白名单中的信息判断。
[0027](3)不破坏现有的网络协议与网络应用。安全上下文只在应用程序通过本机网卡时，通过系统的内核模块在网络报文中添加，不影响现有的网络应用。
[0028]安全上下文的判断也是通过内核模块，将报文中的安全上下文提取出来并重新将报文恢复并传递给网关，判断模块会检查应用程序的校验码从而确定放行与否。
[0029]整个过程不会对用户以及程序造成任何影响，是一个完全透明的过程。
【附图说明】
[0030]图1为内网主机应用程序通过主机发送报文进行安全上下文标记过程。
[0031]图2为内网网关在接收到外联数据包后提取安全上下文并分析数据报文的过程。
【具体实施方式】
[0032]根据以上所述，结合附图和实施例对本发明中的技术方案作进一步详细的说明。
[0033]本实施例中，假设一个内网主机为A，此主机上的一个网络应用程序为WA，安全标签添加模块MA，内网网关G，网关上的安全上下文解析与控制模块MG。
[0034]首先，先确定可信应用程序，将其程序名称和程序的MD5值存入可信程序名单(key-value名单)中存放到内网出口网关，可以根据需求动态增加或者删除可信应用名单中的内容；
[0035]WA连接外网发送报文，通过安全标签添加模块MA，在报文中添加安全上下文，包括本机MAC地址、发送报文的应用程序名称和该应用程序的MD5校验值，然后通过本机网卡将报文发送到内网出口网关，如图1所述；
[0036]网关控制模块MG捕获报文，提取出报文中的安全上下文，将发送报文的应用程序名称和相应的校验值与可信程序名单中的应用程序对比，如图2所示；
[0037]如果名单中不存在此应用名称则丢掉该报文，并将发送报文的主机地址和可疑应用程序记录在黑名单中，同时通知该主机的管理员或者操作人员，对该主机进行安全检查；如果安全上下文与网关中保存的MD5校验值不同，也进行相同处理；
[0038]如果安全上下文中的程序名称及MD5校验值与网关中的可信程序名单相同，则将该报文去掉安全上下文恢复成正常的报文传递给网关G，并建立一个缓存，同时通知该程序对应的主机对于该程序发出的数据包10分钟内不再进行安全上下文标记，10分钟之内再捕获到该主机程序发送的报文则直接放行，10分钟之后，再进行正常标记，捕获和处理。
[0039]以上所述，仅为本发明的【具体实施方式】，本说明书中所公开的任一特征，除非特别叙述，均可被其他等效或具有类似目的的替代特征加以替换；所公开的所有特征、或所有方法或过程中的步骤，除了互相排斥的特征和/或步骤以外，均可以任何方式组合。
【主权项】
1.一种针对内网端口反弹型木马的防范方法，包括以下步骤: 步骤1.确定可信程序名单: 为所有可信程序设定key-value，其中key为程序名称，value值为可执行程序的MD5值； 内网出口网关保存一份key-value名单，即可信程序名单； 步骤2.打安全标签: 对内网中每台主机应用程序发出的网络报文进行安全上下文标记，安全上下文标记内容包括: (1)发送此报文的程序名称， (2)程序的MD5值， (3)主机的MAC地址； 步骤3.内网出口网关处捕获内网中流出的所有报文； 步骤4.检测报文中提供的安全上下文并分析报文内容: 提取报文中的安全上下文，将其与网关的可信程序名单进行对比，如果程序名称及MD5值与可信程序名单一致，则放行并建立一个cache ;预设时间内，再次捕获到由此MAC地址所对应主机的相同程序发出的网络报文则直接放行； 反之则丢掉数据包，限制放行，并将相关信息记录于日志中；同时，对报文连接的外网IP地址记入黑名单。
【专利摘要】本发明属于网络环境下信息安全技术领域，提出一种防范内网反弹型木马的方法，用于克服杀毒软件不能很好的发现已知木马的变种和新的木马的问题。该方法首先建立可信程序名单，并于内网出口网关保存该可信名单；再对发送报文进行安全上下文标记，然后在内网出口处对报文中的安全上下文提取，将其与网关的可信程序名单进行对比，如果程序名称及MD5值与可信程序名单一致，则放行，反之则丢掉数据包，限制放行并记入黑名单。从而，本发明有效解决由于传统木马检测方法无法对变种木马或者新木马进行有效检测而带来的内网安全问题。
【IPC分类】H04L29/06
【公开号】CN105119938
【申请号】CN201510585555
【发明人】张小松, 白金, 牛伟纳, 徐浩然, 吴安彬, 唐海洋, 张 林
【申请人】电子科技大学
【公开日】2015年12月2日
【申请日】2015年9月14日