专利名称:网络木马的综合检测方法及其功能模块架构装置的制作方法
技术领域:
本发明属于网络安全技术领域,特别是一种针对网络木马病毒的综合检测方法及为 实现其方法所采用的功能模块架构装置。采用本发明方法及其装置既可对已知的木马病毒 进行检测,还可对未知木马病毒进行检测。
背景技术:
木马病毒的泛滥,对计算机及网络系统造成的危害日益严重。目前,针对木马病毒的 检测和防御主要采用三种方式一是针对网页木马进行检测,如申请号为 200610152533.7、发明名称为《基于链接分析的网页木马追踪技术》及申请号为 200610152530.3、发明名称为《一种基于行为特征的网页木马检测方法》的专利文献所公 的即属于此类技术;二是单机防范,如申请号为200410052134.4、发明名称为《防止木马 或病毒窃取输入信息的方法》及申请号为200610035569.7、发明名称为《一种内嵌木马专 杀的网络游戏系统及査杀毒方法》即属于此类技术;三是各类杀毒软件,如卡巴斯基、360、 瑞星等。上述技术均是针对特定的木马病毒进行单机检测,虽然具有针对性强、对特定的 木马病毒防御及査、杀效果亦较好等特点;但却存在性能单一、且在每台需要防御的计算 机上均须安装相应的软件才能做到针对性的有效检测和防御;此外,若在一台计算机上安 装多种针对性的防木马病毒软件,又会出现相互干扰,影响其防病毒的效果。因而,上述 技术存在需单机采用专用软件进行针对性检测,性能单一,对木马病毒只能进行被动防御, 综合检测效果差、适应范围窄,各种木马检测软件之间相互干扰大等缺陷。
发明内容
本发明的目的是针对背景技术存在的缺陷,研究设计一种网络木马的综合检测方法及 其功能模块架构装置。达到在对内网不产生任何额外负担的情况下,有效提高对网络木马 病毒进行综合检测、防御的性能和效果,对木马病毒的适应性强、防御面宽,应用范围广 及可对内网进行整体防御等目的。
本发明的解决方案是将木马检测放在内网的单机之外进行,采用已知的木马病毒特征 参数及各类木马病毒的流量特征参数作为检测标准,通过旁路侦听内网数据,并将数据通 过检测模块处理,得到木马活动信息,最后将其送入网络木马病毒管理器作后继处理;而为实现该方法所采用的架构装置,则是以常规工业控制机作为基础来设置用于木马检测的 装置;该装置运行中分别与内网网络的侦听端口及外部网络联接,从而实现其发明目的。 因此,本发明的方法包括
A. 检测参数的初始化处理将需要保护的内网网段、检测模块网络地址、木马病毒 管理器网络地址以及各类网络木马病毒检测标准(参数)进行初始化设置;
B. 录入待检测数据从内网侦听端口录入数据,然后抽取数据中记录的内网地址、 内网端口号、外网地址、外网端口号、数据流向、数据量大小、协议编号、关键字数据、 出现时间,作为待检测的原始数据、以备检测;
C. 按已知木马病毒标准检测首先按照已知的木马病毒特征标准(参数)对待检测 的原始数据进行对比分析检测,若与任一已知的木马病毒标准相符,则将原始数据以及触 发的检测标准和触发时间作为木马病毒信息,送网络木马病毒管理器作后继处理;若不符 合已知的木马病毒标准,则转下一步继续检测;
D. 按木马病毒流量标准检测将经步骤C检测后输入的数据,与数据库中的在先分 析数据逐一进行比对检测,如果数据库中已经存在与输入数据对应的分析数据,则按照设 定的木马病毒的流量特征标准逐一进行对比分析检测,若与任一流量病毒检测标准相符, 则将输入数据以及触发的检测标准和触发时间,作为带木马病毒信息,送网络木马病毒管 理器作后继处理、同时转下一步骤对分析数据作丢弃处理,若均不相符亦转下一步骤作数 据丢弃处理;如果数据库中无在先分析数据或不存在对应分析数据,则将该输入数据存入 数据库中,作为分析数据;
E. 对分析数据进行丢弃处理将当前时间与数据库中的分析数据录入时间之差,逐 一与设定的分析数据留存时间进行比对,并陆续将达到留存期限的分析数据丢弃。
以上所述设定的木马病毒的流量特征标准包括复位(Reset,简称RST)报文检测标准,
邮件行为检测标准,通信连接行为检测标准,关键字检测标准,以及经过加密处理的报文
在内的全部或部分标准。其中所述复位(RST)报文检测标准为内网传出数据中的RST协 议报文,在规定时间范围内不允许重复传出的次数;而邮件行为检测标准为从内网中传出 的收件人地址和主题均相同的邮件,在规定时间范围内不允许重复传出的次数;通信连接 行为检测标准为,在规定时间范围内从同一内网地址流出到同一外网地址的数据流量,与 从该外网地址返回该内网地址的数据流量的差异程度不允许达到的值(设定的值);关键 字检测标准为从内网流出到外网的数据流量中不允许出现的字符;经过加密处理的报文检 测标准为从内网流出到外网的数据流量中不允许出现加密后的字符。
5上述网络木马病毒检测方法所采用的功能模块架构装置,包括
A. —个参数初始化处理单元模块,用于存储需要保护的内网网段、检测模块网络地 址、木马病毒管理器网络地址以及各类网络木马病毒检测标准的初始化参数的数据;
B. —个录入待检测数据单元模块,用于抽取从内网侦听端口录入的待检测数据以备
检测;
C. 一个已知木马病毒标准检测单元模块,用于调用己知木马病毒检测标准,对待检
测的原始数据进行对比分析并判断其是否符合已知木马病毒检测标准;
D. —个木马病毒流量标准检测单元模块,用于调用包括复位(RST)报文检测标准、
邮件行为检测标准、通信连接行为检测标准,关键字检测标准,以及经过加密处理的报文 在内的全部或部分检测标准,对分析数据进行逐一对比分析并判断是否与任一木马病毒流 量标准相符,是否作为分析数据存储入数据库;
E. —个木马病毒发送单元模块,用于将己知木马病毒标准检测单元模块和木马病毒 流量标准检测单元模块送出的木马病毒信息,发送到木马病毒管理器;
F. —个对分析数据进行丢弃处理的单元模块,用于对分析数据的滞留时间进行判断, 并陆续将达到设定存储期限的分析数据从数据库中清除。
本发明方法由于通过旁路侦听内网数据,并采用已知的木马病毒特征参数及各类木马 病毒的流量特征参数作为检测标准对其进行综合检测,然后将检测到的木马活动信息送入 网络木马病毒管理器处理;而实现该方法的装置则是以常规工业控制机作为基础设置的功 能模块架构装置。采用本发明方法及其功能模块架构装置具有在对内网不产生任何额外的 负担的情况下,有效提高对网络木马病毒进行综合检测、防御的性能和效果,对木马病毒 的适应性强、防御面宽、应用范围广,可对内网进行整体防御而不需对每台单机分别设防 等特点。
图1为本发明综合检测方法流程示意图(方框图); 图2本发明具体实施方式
用功能模块架构装置结构示意图(方框图); 图3本发明实施方式综合检测方法流程示意图(方框图)。
具体实施例方式
附图2为本实施方式检测用装置的功能模块架构(结构)框图。本实施方式采用 Arck-114R型工业控制机作为检测装置;即在控制机内的存储器(可执行存储器和数据存储器)中分别设置参数初始化单元模块,录入待检测数据的单元模块,已知木马病毒标准 检测单元模块,木马病毒流量标准检测单元模块,木马病毒告警单元模块,到期数据丢弃 模块及相应的数椐库;整个检测装置通过人机输入接口设置各功能模块及对应的参数,通 过网络输入接口与内网网络设备的侦听端口连接并录入待检测数据,而通过网络输出接口 与外网连接并向网络管理器发送木马病毒信息。
下面以下述参数为例进行说明
需要保护的内网网段是(2.3.4.10-2.3.4.200);
网络设备管理器地址为(5.6.10.150)
木马流量检测标准(参数)
已知木马病毒标准检测参数,简记为l(已知检测标准集);
RST报文检测标准为l分钟内不允许重复出现5次,简记为2.1(1, 5);
邮件行为检测标准为在2天内不允许重复出现3次从同一内网地址中传出的收件人地 址和主题均相同的邮件,简记为2.2(2, 3);
通信连接行为检测标准为在10分钟内不允许重复出现3次从同一内网地址流出到同 一外网地址的数据流量,与从该外网地址流入(返回)该内网地址的数据流量的差异程度 达到2倍及两倍以上的情况,简记为2.3(10, 3, 2);
关键字为"机密设计文件",简记为2.4("机密设计文件");
经过加密处理的报文检测标准为从网流出到外网的数据流量中出现加密字符,简记为 2.5(加密字符)。
分析数据存储期限为2天,简记为2.6(2)。为简化叙述,将上述木马流量检测标准简 记为2(木马流量检测标准集) 其综合检测方法包括
A. 检测参数的初始化处理将上述参数通过人机接口植入到检测装置中;
B. 录入待检测的数据当从内网网络设备侦听端口有数据录入时,抽取其中记录的 内网地址、内网端口号、外网地址、外网端口号、数据流向、数据量大小、出现时间、协 议编号、关键字数据、报文内容,作为待检测的原始数据以备检测;
C.按已知木马病毒标准检测首先按照已知的木马病毒特征标准l(已知检测标准集)对待 检测的原始数据进行对比分析,若与其中任一已知的木马病毒标准相符,则将该数据以及 触发的检测标准和触发时间, 一并送网络木马病毒管理器,再转到第5步作后继处理;若 不符合已知的木马病毒标准,则转下一步继续检测;
D.按木马病毒流量标准检测将经步骤C检测后输入的待检测数据,按照设定的木
7马病毒的流量特征标准2(木马流量检测标准集)逐一进行对比分析检测,若与其中任一木 马病毒的流量标准相符,则将该数据以及触发的检测标准和触发时间, 一并送网络木马病 毒管理器作后续处理,并转下一步作数据丢弃处理;若均不相符,则将该数据存入数据库 中、作为分析数据,并转下一步;
E.按数据留存时间进行数据丢弃处理将当前时间与分析数据的录入时间之差,逐 一与规定的留存时间进行比对,并陆续将达到留存期限的分析数据丢弃。
在本实施例中, 一旦出现已知的木马病毒,例如出现符合l(已知检测标准集)中的任 一标准的数据;或者出现木马病毒的流量,例如出现符合2(木马流量检测标准集)中的任 一标准的数据,木马综合检测器就会通过木马病毒信息发送模块经网络输出接口,向木马 病毒管理器发送在步骤C,或者步骤D检测出的木马病毒信息。
权利要求
1、一种网络木马的综合检测方法,包括A.检测参数的初始化处理将需要保护的内网网段、检测模块网络地址、木马病毒管理器网络地址以及各类网络木马病毒检测标准(参数)进行初始化设置;B.录入待检测数据从内网侦听端口录入数据,然后抽取数据中记录的内网地址、内网端口号、外网地址、外网端口号、数据流向、数据量大小、协议编号、关键字数据、出现时间,作为待检测的原始数据、以备检测;C.按已知木马病毒标准检测首先按照已知的木马病毒特征标准(参数)对待检测的原始数据进行对比分析检测,若与任一已知的木马病毒标准相符,则将原始数据以及触发的检测标准和触发时间作为木马病毒信息,送网络木马病毒管理器作后继处理;若不符合已知的木马病毒标准,则转下一步继续检测;D.按木马病毒流量标准检测将经步骤C检测后输入的数据,与数据库中的在先分析数据逐一进行比对检测,如果数据库中已经存在与输入数据对应的分析数据,则按照设定的木马病毒的流量特征标准逐一进行对比分析检测,若与任一流量病毒检测标准相符,则将输入数据以及触发的检测标准和触发时间,作为带木马病毒信息,送网络木马病毒管理器作后继处理、同时转下一步骤对分析数据作丢弃处理,若均不相符亦转下一步骤作数据丢弃处理;如果数据库中无在先分析数据或不存在对应分析数据,则将该输入数据存入数据库中,作为分析数据;E.对分析数据进行丢弃处理将当前时间与数据库中的分析数据录入时间之差,逐一与设定的分析数据留存时间进行比对,并陆续将达到留存期限的分析数据丢弃。
2、 按权利要求1所述网络木马的综合检测方法,其特征在于所述设定的木马病毒的 流量特征标准包括复位报文检测标准,邮件行为检测标准,通信连接行为检测标准,关 键字检测标准,以及经过加密处理的报文在内的全部或部分标准。
3、 按权利要求2所述网络木马的综合检测方法,其特征在于所述复位报文检测标准 为内网传出数据中的RST协议报文,在规定时间范围内不允许重复传出的次数;而邮件 行为检测标准为从内网中传出的收件人地址和主题均相同的邮件,在规定时间范围内不允 许重复传出的次数;通信连接行为检测标准为,在规定时间范围内从同一内网地址流出到 同一外网地址的数据流量,与从该外网地址返回该内网地址的数据流量的差异程度不允许 达到的值;关键字检测标准为从内网流出到外网的数据流量中不允许出现的字符;经过加密处理的报文检测标准为从内网流出到外网的数据流量中不允许出现加密后的字符。
4、按权利要求l所述网络木马的综合检测方法所用功能模块架构装置,包括A. —个参数初始化处理单元模块,用于存储需要保护的内网网段、检测模块网络地 址、木马病毒管理器网络地址以及各类网络木马病毒检测标准的初始化参数的数据;B. —个录入待检测数据单元模块,用于抽取从内网侦听端口录入的待检测数据以备检测;C. 一个已知木马病毒标准检测单元模块,用于调用已知木马病毒检测标准,对待检 测的原始数据进行对比分析并判断其是否符合已知木马病毒检测标准;D. —个木马病毒流量标准检测单元模块,用于调用包括复位报文检测标准、邮件行 为检测标准、通信连接行为检测标准,关键字检测标准,以及经过加密处理的报文在内的 全部或部分检测标准,对分析数据进行逐一对比分析并判断是否与任一木马病毒流量标准 相符,是否作为分析数据存储入数据库;E. —个木马病毒发送单元模块,用于将已知木马病毒标准检测单元模块和木马病毒 流量标准检测单元模块送出的木马病毒信息,发送到木马病毒管理器;F. —个对分析数据进行丢弃处理的单元模块,用于对分析数据的滞留时间进行判断, 并陆续将达到设定存储期限的分析数据从数据库中清除。
全文摘要
该发明属于网络安全技术领域中的网络木马病毒的综合检测方法及所采用的功能模块架构装置。检测方法包括检测参数的初始化处理,录入待检测数据,按已知木马病毒标准检测,按木马病毒流量标准检测,对分析数据进行丢弃处理;而所采用的功能模块架构装置包括参数初始化处理单元模块,录入待检测数据单元模块,已知木马病毒标准检测单元模块,木马病毒流量标准检测单元模块,木马病毒发送单元模块,分析数据丢弃处理单元模块。该发明具有对内网不产生任何额外负担,有效提高了对网络木马病毒进行综合检测、防御的性能和效果,对木马病毒及其变种的适应性强、防御面宽、应用范围广,对内网进行整体防御而不需对每台单机分别设防等特点。
文档编号H04L12/24GK101552779SQ20091005919
公开日2009年10月7日 申请日期2009年5月4日 优先权日2009年5月4日
发明者王光卫, 范明钰 申请人:电子科技大学