一种反弹式木马的检测方法和系统的制作方法

专利名称：一种反弹式木马的检测方法和系统的制作方法
技术领域：
本发明属于信息安全技术领域，尤其涉及一种基于反弹木马上线方式与主机运行环境的恶意代码发现方法。
背景技术：
在互联网高度开放的今天，恶意代码快速增长，各种各样的恶意代码充斥在互联网中。这些恶意代码给网民带来不同的威胁，而其中威胁最大的就是控制类木马，这类木马可以完全控制用户电脑，在大的网络入侵事件和信息窃取事件中都有此类木马的身影。由于防火墙的限制，目前的控制类木马主要是反弹式木马。目前，对此类木马的检测主要包括主机的杀毒软件查杀和旁路网络检测。杀毒软件主要是针对恶意代码的文件特征和行为特征来检测恶意代码，缺点是因为依赖于静态特征和动态特征来发现恶意代码，所以，对已知恶意代码的变种和新的恶意代码没有较好的检测。旁路网络检测是通过对网络上的数据进行捕获，然后匹配。主要的检测特征是控制端和被控端的交互控制以及之间的连接保持。缺点是，由于是布置在旁路上，不能很好的发现恶意代码本身，从根本上解决问题，并且由于特征的限制不能很好的发现新的恶意代码。

发明内容
本发明的目的在于发现计算机上的已知的和未知的反弹式木马，并在很短的时间内完成对木马通讯的拦截，保护计算机的安全性。本发明克服了杀毒软件不能很好的发现已知恶意代码的变种和新的恶意代码的问题，并克服了旁路网络检测不能发现恶意代码和及时切断连接的问题。为解决上述问题，本发明的实现方法主要包括以下步骤
步骤I :实时监控系统网络包，采用驱动来监测网络数据包。步骤2 :实时获取当前网络连接和进程的关联表，通过系统API获取当前系统中所有有网络连接的进程，并以进程为单位来存储数据，包括源端口，目的端口，目的IP，PID(进程编号)，可疑类型，时间。步骤3 :对步骤I获取的网络包进行匹配。步骤31 :发现新的DNS请求转入步骤320，发现新的FTP连接转入步骤330，发现IP直接连接转入340。步骤320 :获取DNS请求的域名和本次连接的源端口，查找对应PID。查找对应PID是指通过源端口与步骤2关联数据表中的源端口进行查找，找出源端口与PID的对应关系。步骤321 :对步骤320中获取的域名进行黑名单匹配。如果匹配转入步骤36，否则转入步骤322。
黑名单是指可疑的域名地址或者已被确认为恶意代码采用的域名。步骤322 :是否存在URL请求，存在转入步骤323，不在转入步骤35。步骤323 :获取步骤322中URL请求的源端口，查找对应的PID，与步骤320中的PID进行对比，匹配则转入步骤324，否则转入步骤35。步骤324:对URL请求的返回值按规则进行匹 配，匹配则转入步骤340，否则转入步骤35。步骤330 :获取FTP连接的PID。步骤331 :是否发生文件下载，没有则转入步骤35，否则转入步骤332。步骤332 :步骤331是否与步骤330为同一 PID的网络行为，不是则转入步骤35，否则转入步骤333。步骤333 :对文件内容按规则进行匹配，匹配则进入步骤36，否则进入步骤340。步骤340 :对连接的IP，端口进行验证，如果匹配则可选择阻断此次连接，并加入可疑列表，否则进入步骤341。步骤341 :连接是否成功，不成功判断是否存在连接心跳，如果存在则转入步骤36，否则转入步骤342。连接心跳是指由于被控端不能确定控制端什么时候在线，所以被控端在没有连接成功的情况下会以一定的时间间隔连接控制端，直到连接成功。步骤342 :查找步骤340对应的PID，如果PID是步骤32或者步骤33中的PID则进入步骤343，否则进入步骤35。步骤343 :选择断开此次连接，并在短时间内阻止此目的IP和目的端口的连接，判断是否存在连接心跳。存在则进入步骤36，否则进入步骤35。步骤35 :该连接为安全连接。步骤36 :连接为可疑连接，保存结果与步骤4中的结果做对比。步骤4 :对步骤2获取的进程进行分析。步骤41 :从步骤2中取一个进程信息进行分析，是否存在未分析的进程，是则转入步骤42，否则等待信息更新。步骤42 :获取进程的网络状态，依据该进程在正常情况下是否有网络行为来判断该进程是否可疑，如果匹配，则转入步骤46，否则转入步骤43。步骤43 :判断进程是否包含窗口，不包含则转入步骤46，否则转入步骤44。步骤44 :判断窗口是否隐藏，隐藏则转入步骤46，否则转入步骤45。步骤45 :该进程是否为隐藏进程，隐藏则装入步骤46，否则转入步骤41。步骤46 :加入可疑进程列表。步骤5 :对步骤3和步骤4的结果进行关联分析。步骤51 :如果一个PID同时出现在步骤3和步骤4的结果中，则切断连接，并根据进程信息关联到恶意代码本身，清除掉恶意代码。步骤52 :如果PID存在步骤3的结果中，并且不包含在步骤2的结果中，则认为该进程采用了 Rootkit技术来隐藏自身，利用Anti-Rootkit技术来清除恶意代码。可以根据不同的需求对以上的检测点进行配置，达到更好的检测效果。相应的，本发明还提出了一种反弹式木马的检测系统，包括监控模块，用于实时监控当前系统的网络包；
关联表模块，用于实时获取当前系统网络连接和进程的关联表；
可疑连接列表模块，用于对所述的网络包进行分析和匹配，分析和匹配的网络包类型包括DNS请求、FTP连接、IP连接，并从分析结果中获得可疑连接列表；
可疑进程列表模块，用于对所述的进程进行分析，获得可疑进程列表；
关联分析模块，用于对可疑连接列表和可疑进程列表进行关联分析，并进行处置。所述关联表模块具体用于获取当前系统中所有有网络连接的进程，以进程为单位存储相关数据，包括源端口、目的端口、目的IP、PID、可疑类型、时间。其中，分析和匹配DNS请求具体包括如果所述网络包中有DNS请求，则获取所述DNS请求的域名、源端口、以及源端口对应的PID ;所述源端口对应的PID通过所述关联表获得；
用所述的域名与黑名单进行匹配，所述黑名单是指可疑的域名和被恶意代码采用的域名，如果匹配成功，则将所述域名保存为可疑连接；
否则判断所述DNS请求完成后是否存在对DNS请求的域名的URL请求，如果没有则所述域名为安全连接，否则获取所述URL请求的源端口以及通过所述关联表获得所述源端口对应的PID，如果URL请求源端口对应的PID与DNS请求源端口对应的PID不相同，则所述域名为安全连接；
否则对所述URL请求的返回值进行特征匹配，如果匹配成功并且返回文件的大小满足预设的阈值，则将所述域名保存为可疑连接；
否则对所述URL请求返回的文件内容进行特征匹配，如果匹配成功则将所述域名保存为可疑连接；否则对所述URL请求返回的文件内容中的IP连接进行分析和匹配；
分析和匹配FTP连接具体包括
通过所述关联表获得FTP连接所对应的PID ；
判断所述FTP连接是否下载文件，如果不是则所述FTP连接为安全连接；否则判断所述下载文件的进程的PID是否与所述的FTP连接所对应的PID相同，如果不相同则所述FTP连接为安全连接；否则对所述的下载文件的大小和内容进行特征匹配，如果匹配成功则将所述FTP连接保存为可疑连接；否则将所述下载文件的内容中的IP连接进行分析和匹配；分析和匹配IP连接具体包括
对IP连接的IP和端口进行特征匹配，如果匹配成功则将所述的IP连接保存为可疑连接；如果匹配不成功则判断所述IP连接是否连接成功，如果连接不成功且存在连接心跳，则将所述IP连接保存为可疑连接，如果连接不成功且不存在连接心跳，则所述IP连接为安全连接；如果所述IP连接成功，且所述IP连接通过所述关联表所对应的PID与所述DNS请求源端口对应的PID不相同、并且所述IP连接通过所述关联表所对应的PID与所述FTP连接所对应的PID不相同，则所述IP连接为安全连接，否则阻断所述IP连接，如果不出现连接心跳，则所述IP连接为安全连接，如果存在连接心跳，则将所述IP连接保存为可疑连接。所述可疑进程列表模块具体包括
依次取关联表模块所述的每一个进程，获取所述进程的网络状态，如果所述进程存在异常网络行为则将所述进程保存为可疑进程；如果所述进程不存在窗口或者存在隐藏窗口或者存在隐藏进程则将所述进程保存为可疑进程。
所述关联分析模块具体包括如果同一个PID存在于可疑连接列表和可疑进程列表中，则断开相应的连接，并根据PID关联到恶意代码本身，清除恶意代码；
如果PID存在于可疑连接列表中，不存在与所述关联表中，则利用Anti-Rootkit技术相应的清除恶意代码。本发明的有益效果是
本发明首先通过关联系统进程状态和网络特征匹配来发现已知的和未知的控制类木马，并能够在第一时间切断控制端的连接和清除恶意代码，达到保护主机安全的目的。


为了更清楚地说明本发明或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明中 记载的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。图I为本发明一种反弹式木马的检测方法流程 图2为本发明一种反弹式木马的检测方法的网络匹配流程 图3为本发明一种反弹式木马的检测方法的进程匹配流程 图4为本发明用于存储进程网络关联表的结构；
图5为本发明一种反弹式木马的检测系统示意图。
具体实施例方式为了使本技术领域的人员更好地理解本发明实施例中的技术方案，并使本发明的上述目的、特征和优点能够更加明显易懂，下面结合附图对本发明中技术方案作进一步详细的说明。本发明提出了一种基于反弹木马上线方式与主机运行环境的恶意代码发现解决方案，即通过分析主机的网络行为和进程状态来发现控制类木马。本发明基于反弹木马上线方式与主机运行环境的恶意代码发现方法具体包括实时监控系统网络步骤，实时获取当前网络连接和进程的关联步骤，网络包匹配步骤，进程匹配步骤，结果关联步骤。如图I所示，本发明一种反弹式木马的检测方法包括
SlOl :实时监控系统网络步骤
米用NDIS (NetWork Driver Interface Specification)中间层驱动程序来检测系统所有的网络数据包，防止漏掉一些隐藏的恶意代码通信。S102 :实时获取当前网络连接和进程的关联步骤
本发明采用系统API获取进程和网络连接的关联并用二级单链表来存储获取到的进程和网络连接的关联状态。如图4采用单链表来存储系统中的PID、可疑类型和一个指向网络状态的结构，该结构也是一个单链表存储结构，包括四个属性，源端口，目的端口，IP端口，时间。用于与网络检测关联和实时更新数据。因为是实时捕获，该结构会动态修改，只保存最近30分钟的结果。可疑类型分为进程可疑类型和网络可疑类型，不同可以类型可以异或保存进程可疑类型0为不可疑，I为可疑连接，2为无窗口，4为隐藏窗口，8为隐藏进程。网络可疑类型16为DNS黑名单，32为可疑URL，64为可疑ftp，128为可疑IP连接，256为可疑连接心跳。S103:网络包匹配步骤 具体参考图2，包括以下步骤
步骤31 :实时检测主机网络流量，当发现新的DNS请求则进入步骤320，发现新的FTP请求则进入330,发现连接则进入步骤340。步骤320 :对DNS进行黑名单匹配，DNS黑名单主要包括两类一种是已发现的具 有活性的恶意代码上线域名；一种是动态域名提供商提供的二级域名，比如在恶意代码中占大多数的*. 3322. org域名。如果匹配第一种则认为已经被种植木马，转入步骤36，匹配第二种则可以转入步骤36，或者为了减少误报率而进入步骤321。都不匹配则转入步骤321。步骤321 =DNS请求完成后是否存在对该域名的URL请求，并同时确认该请求所在的PID是否与步骤320的PID相同，通过查询步骤S102中的二级单链表获得结果。如果存在URL请求并且PID相同则转入步骤322，否则转入步骤35。步骤322 :首先对URL做特征匹配，比如某些恶意代码会以ip. txt作为默认上线文件，如果匹配并对返回的文件做大小比较，满足阀值则转入步骤36，否则转入步骤323。步骤323 :对步骤322返回的文件内容进行匹配。主要分为纯文本和HTML文件，对应直接存储上线IP和通过留言板和blog存储上线IP。纯文本则通过正则查询是否存在IP格式，HTML则过滤掉多余标签，对过滤的内容进行IP匹配，不排除以后会出现使用HTML其他域来更新上线地址。如果匹配则转入步骤36，否则转入步骤340。步骤330 :查询步骤S102中的二级链表，获取对应的PID。步骤331 :监测FTP文件下载，无文件下载则转入步骤35，否则转入步骤332。如图I中的同进程文件下载。步骤332 :对文件大小和内容匹配，如果文件大小小于阀值，因为只需要存储上线IP不需要太多内容，并且匹配到IP地址则转入步骤36，否则转入步骤340。步骤340 :对连接的IP和端口做匹配，首先对IP地址进行解析，判断其是不是动态分配的IP地址或者网吧地址，然后判断端口是不是常用端口。如果都匹配则进入步骤344，转入步骤36，否则转入步骤341。步骤341 :判断连接是否成功，不成功转入步骤342，否则转入步骤343。步骤342 :判断是否存在连接心跳，因为正常软件在不能连接的时候会进行提示，而木马不能提示，所以会一直连接。如果存在连接则进入步骤36，否则进入步骤35。步骤343 :判断该连接的PID是否存在于步骤32或者步骤33中，如果不存在则进入步骤35，否则转入步骤344。步骤344 :可以选择关闭并阻断连接，然后判断是否会出现连接心跳。如果出现则转入步骤36否则转入步骤35。步骤35 :该连接为安全连接
步骤36 :连接为可疑连接，根据上述步骤将对应结果更新至步骤S102的二级链表中，如果不存在对应的PID则认为该链接对应的进程采用单独保存为Rootkit结果。
S104 :进程匹配步骤 具体如图3所示,包括
步骤41 :遍历步骤S102中的二级链表中进行进程匹配。步骤42 :获取步骤S102结构中的网络状态结构和进程连网特征，比如Winlogon进程正常情况不应该有网络行为，如果被发现网络行为就有可能是被恶意代码恶意注入，这也作为恶意代码清除的依赖条件。如果匹配则转入步骤46，否则转入步骤43。步骤43 :判断该PID是否有窗口，无则转入步骤46，否则转入步骤44。步骤44 :判断窗口是否具有隐藏属性，无则转入步骤46，否则转入步骤45。步骤45 :判断进程是否具有隐藏属性，无则转入步骤41，否则转入步骤46。步骤46 :进程为可疑，根据上述步骤将对应的结果更新至步骤S102的二级链表 中。S105 :结果关联步骤 包括
步骤51 :根据步骤S102中二级链表的可疑类型进行判断，小于16并且不等于0的为可疑进程，大于等于16小于512的为可疑网络连接。假设可疑类型为X，如果X满足下面公式则判断为木马。然后关闭连接，根据进程信息清除木马。公式((x&Oxf~0) ! =0) & ((x&OxlfO'O) ! =0) == TRUE说明同时存在可疑进程和可以网络连接时上述公式成立
步骤52 rootkit结果集判断，如果Rootkit集不为空，则关闭对应的网络连接，然后采用Anti-Rootkit技术清除恶意代码。如图5所示，是本发明的反弹式木马的检测系统示意图，包括
监控模块501，用于实时监控当前系统的网络包；
关联表模块502，用于实时获取当前系统网络连接和进程的关联表；
可疑连接列表模块503，用于对所述的网络包进行分析和匹配，分析和匹配的网络包类型包括DNS请求、FTP连接、IP连接，并从分析结果中获得可疑连接列表；
可疑进程列表模块504，用于对所述的进程进行分析，获得可疑进程列表；
关联分析模块505，用于对可疑连接列表和可疑进程列表进行关联分析，并进行处置。所述关联表模块502具体用于获取当前系统中所有有网络连接的进程，以进程为单位存储相关数据，包括源端口、目的端口、目的IP、PID、可疑类型、时间。其中，分析和匹配DNS请求具体包括
如果所述网络包中有DNS请求，则获取所述DNS请求的域名、源端口、以及源端口对应的PID ;所述源端口对应的PID通过所述关联表获得；
用所述的域名与黑名单进行匹配，所述黑名单是指可疑的域名和被恶意代码采用的域名，如果匹配成功，则将所述域名保存为可疑连接；
否则判断所述DNS请求完成后是否存在对DNS请求的域名的URL请求，如果没有则所述域名为安全连接，否则获取所述URL请求的源端口以及通过所述关联表获得所述源端口对应的PID，如果URL请求源端口对应的PID与DNS请求源端口对应的PID不相同，则所述域名为安全连接；
否则对所述URL请求的返回值进行特征匹配，如果匹配成功并且返回文件的大小满足预设的阈值，则将所述域名保存为可疑连接；
否则对所述URL请求返回的文件内容进行特征匹配，如果匹配成功则将所述域名保存为可疑连接；否则对所述URL请求返回的文件内容中的IP连接进行分析和匹配；
分析和匹配FTP连接具体包括
通过所述关联表获得FTP连接所对应的PID ；
判断所述FTP连接是否下载文件，如果不是则所述FTP连接为安全连接；否则判断所述下载文件的进程的PID是否与所述的FTP连接所对应的PID相同，如果不相同则所述FTP连接为安全连接；否则对所述的下载文件的大小和内容进行特征匹配，如果匹配成功则将所述FTP连接保存为可疑连接；否则将所述下载文件的内容中的IP连接进行分析和匹配；分析和匹配IP连接具体包括 对IP连接的IP和端口进行特征匹配，如果匹配成功则将所述的IP连接保存为可疑连接；如果匹配不成功则判断所述IP连接是否连接成功，如果连接不成功且存在连接心跳，则将所述IP连接保存为可疑连接，如果连接不成功且不存在连接心跳，则所述IP连接为安全连接；如果所述IP连接成功，且所述IP连接通过所述关联表所对应的PID与所述DNS请求源端口对应的PID不相同、并且所述IP连接通过所述关联表所对应的PID与所述FTP连接所对应的PID不相同，则所述IP连接为安全连接，否则阻断所述IP连接，如果不出现连接心跳，则所述IP连接为安全连接，如果存在连接心跳，则将所述IP连接保存为可疑连接。
所述可疑进程列表模块504具体包括
依次取关联表模块502所述的每一个进程，获取所述进程的网络状态，如果所述进程存在异常网络行为则将所述进程保存为可疑进程；如果所述进程不存在窗口或者存在隐藏窗口或者存在隐藏进程则将所述进程保存为可疑进程。所述关联分析模块505具体包括如果同一个PID存在于可疑连接列表和可疑进程列表中，则断开相应的连接，并根据PID关联到恶意代码本身，清除恶意代码；
如果PID存在于可疑连接列表中，不存在与所述关联表中，贝U利用Anti-Rootkit技术相应的清除恶意代码。本说明书中方法的实施例采用递进的方式描述，对于系统的实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。虽然通过实施例描绘了本发明，本领域普通技术人员知道，本发明有许多变形和变化而不脱离本发明的精神，希望所附的权利要求包括这些变形和变化而不脱离本发明的精神。
权利要求
1.一种反弹式木马的检测方法，其特征在于，包括 步骤a、实时监控当前系统的网络包； 步骤b、实时获取当前系统网络连接和进程的关联表； 步骤C、对所述的网络包进行分析和匹配，分析和匹配的网络包类型包括DNS请求、FTP连接、IP连接，并从分析结果中获得可疑连接列表； 步骤d、对所述的进程进行分析，获得可疑进程列表； 步骤e、对可疑连接列表和可疑进程列表进行关联分析，并进行处置。
2.如权利要求I所述的方法，其特征在于，步骤b具体包括获取当前系统中所有有网络连接的进程，以进程为单位存储相关数据，包括源端口、目的端口、目的IP、PID、可疑类型、时间。
3.如权利要求I所述的方法，其特征在于，分析和匹配DNS请求具体包括 如果所述网络包中有DNS请求，则获取所述DNS请求的域名、源端口、以及源端口对应的PID ;所述源端口对应的PID通过所述关联表获得； 用所述的域名与黑名单进行匹配，所述黑名单是指可疑的域名和被恶意代码采用的域名，如果匹配成功，则将所述域名保存为可疑连接； 否则判断所述DNS请求完成后是否存在对DNS请求的域名的URL请求，如果没有则所述域名为安全连接，否则获取所述URL请求的源端口以及通过所述关联表获得所述源端口对应的PID，如果URL请求源端口对应的PID与DNS请求源端口对应的PID不相同，则所述域名为安全连接； 否则对所述URL请求的返回值进行特征匹配，如果匹配成功并且返回文件的大小满足预设的阈值，则将所述域名保存为可疑连接； 否则对所述URL请求返回的文件内容进行特征匹配，如果匹配成功则将所述域名保存为可疑连接；否则对所述URL请求返回的文件内容中的IP连接进行分析和匹配。
4.如权利要求I所述的方法，其特征在于，分析和匹配FTP连接具体包括 通过所述关联表获得FTP连接所对应的PID ； 判断所述FTP连接是否下载文件，如果不是则所述FTP连接为安全连接；否则判断所述下载文件的进程的PID是否与所述的FTP连接所对应的PID相同，如果不相同则所述FTP连接为安全连接；否则对所述的下载文件的大小和内容进行特征匹配，如果匹配成功则将所述FTP连接保存为可疑连接；否则将所述下载文件的内容中的IP连接进行分析和匹配。
5.如权利要求I或3或4所述的方法，其特征在于，分析和匹配IP连接具体包括 对IP连接的IP和端口进行特征匹配，如果匹配成功则将所述的IP连接保存为可疑连接；如果匹配不成功则判断所述IP连接是否连接成功，如果连接不成功且存在连接心跳，则将所述IP连接保存为可疑连接，如果连接不成功且不存在连接心跳，则所述IP连接为安全连接；如果所述IP连接成功，且所述IP连接通过所述关联表所对应的PID与所述DNS请求源端口对应的PID不相同、并且所述IP连接通过所述关联表所对应的PID与所述FTP连接所对应的PID不相同，则所述IP连接为安全连接，否则阻断所述IP连接，如果不出现连接心跳，则所述IP连接为安全连接，如果存在连接心跳，则将所述IP连接保存为可疑连接。
6.如权利要求I所述的方法，其特征在于，步骤d具体包括 依次取步骤b所述的每一个进程，获取所述进程的网络状态，如果所述进程存在异常网络行为则将所述进程保存为可疑进程；如果所述进程不存在窗口或者存在隐藏窗口或者存在隐藏进程则将所述进程保存为可疑进程。
7.如权利要求I所述的方法，其特征在于，步骤e具体包括 如果同一个PID存在于可疑连接列表和可疑进程列表中，则断开相应的连接，并根据PID关联到恶意代码本身，清除恶意代码； 如果PID存在于可疑连接列表中，不存在与所述关联表中，则利用Anti-Rootkit技术相应的清除恶意代码。
8.一种反弹式木马的检测系统，其特征在于，包括 监控模块，用于实时监控当前系统的网络包； 关联表模块，用于实时获取当前系统网络连接和进程的关联表； 可疑连接列表模块，用于对所述的网络包进行分析和匹配，分析和匹配的网络包类型包括DNS请求、FTP连接、IP连接，并从分析结果中获得可疑连接列表； 可疑进程列表模块，用于对所述的进程进行分析，获得可疑进程列表； 关联分析模块，用于对可疑连接列表和可疑进程列表进行关联分析，并进行处置。
9.如权利要求8所述的反弹式木马的检测系统，其特征在于，关联表模块具体用于获取当前系统中所有有网络连接的进程，以进程为单位存储相关数据，包括源端口、目的端口、目的IP、PID、可疑类型、时间。
10.如权利要求8所述的反弹式木马的检测系统，其特征在于， 分析和匹配DNS请求具体包括 如果所述网络包中有DNS请求，则获取所述DNS请求的域名、源端口、以及源端口对应的PID ;所述源端口对应的PID通过所述关联表获得； 用所述的域名与黑名单进行匹配，所述黑名单是指可疑的域名和被恶意代码采用的域名，如果匹配成功，则将所述域名保存为可疑连接； 否则判断所述DNS请求完成后是否存在对DNS请求的域名的URL请求，如果没有则所述域名为安全连接，否则获取所述URL请求的源端口以及通过所述关联表获得所述源端口对应的PID，如果URL请求源端口对应的PID与DNS请求源端口对应的PID不相同，则所述域名为安全连接； 否则对所述URL请求的返回值进行特征匹配，如果匹配成功并且返回文件的大小满足预设的阈值，则将所述域名保存为可疑连接； 否则对所述URL请求返回的文件内容进行特征匹配，如果匹配成功则将所述域名保存为可疑连接；否则对所述URL请求返回的文件内容中的IP连接进行分析和匹配； 分析和匹配FTP连接具体包括 通过所述关联表获得FTP连接所对应的PID ；判断所述FTP连接是否下载文件，如果不是则所述FTP连接为安全连接；否则判断所述下载文件的进程的PID是否与所述的FTP连接所对应的PID相同，如果不相同则所述FTP连接为安全连接；否则对所述的下载文件的大小和内容进行特征匹配，如果匹配成功则将所述FTP连接保存为可疑连接；否则将所述下载文件的内容中的IP连接进行分析和匹配；分析和匹配IP连接具体包括 对IP连接的IP和端口进行特征匹配，如果匹配成功则将所述的IP连接保存为可疑连接；如果匹配不成功则判断所述IP连接是否连接成功，如果连接不成功且存在连接心跳，则将所述IP连接保存为可疑连接，如果连接不成功且不存在连接心跳，则所述IP连接为安全连接；如果所述IP连接成功，且所述IP连接通过所述关联表所对应的PID与所述DNS请求源端口对应的PID不相同、并且所述IP连接通过所述关联表所对应的PID与所述FTP连接所对应的PID不相同，则所述IP连接为安全连接，否则阻断所述IP连接，如果不出现连接心跳，则所述IP连接为安全连接，如果存在连接心跳，则将所述IP连接保存为可疑连接。
11.如权利要求8所述的反弹式木马的检测系统，其特征在于，可疑进程列表模块具体包括 依次取关联表模块所述的每一个进程，获取所述进程的网络状态，如果所述进程存在异常网络行为则将所述进程保存为可疑进程；如果所述进程不存在窗口或者存在隐藏窗口或者存在隐藏进程则将所述进程保存为可疑进程。
12.如权利要求8所述的反弹式木马的检测系统，其特征在于，关联分析模块具体包括如果同一个PID存在于可疑连接列表和可疑进程列表中，则断开相应的连接，并根据PID关联到恶意代码本身，清除恶意代码； 如果PID存在于可疑连接列表中，不存在与所述关联表中，则利用Anti-Rootkit技术相应的清除恶意代码。
全文摘要
本发明公开了一种反弹式木马的检测方法，包括实时监控当前系统的网络包；实时获取当前系统网络连接和进程的关联表；对所述的网络包进行分析和匹配，分析和匹配的网络包类型包括DNS请求、FTP连接、IP连接，并从分析结果中获得可疑连接列表；对所述的进程进行分析，获得可疑进程列表；对可疑连接列表和可疑进程列表进行关联分析，并进行处置。本发明还公开了一种反弹式木马的检测系统。本发明首先通过关联系统进程状态和网络特征匹配来发现已知的和未知的控制类木马，并能够在第一时间切断控制端的连接和清除恶意代码，达到保护主机安全的目的。
文档编号H04L29/06GK102761458SQ20111042966
公开日2012年10月31日 申请日期2011年12月20日 优先权日2011年12月20日
发明者刘佳男, 李伟, 李柏松 申请人:北京安天电子设备有限公司