一种适用于私有网络的域名上线木马检测方法及装置与流程

本发明涉及木马检测技术领域，尤其是一种适用于私有网络的域名上线木马检测方法及装置。

背景技术：

传统的木马检测技术从大的方面上可以分为两类，一类是基于主机的木马检测技术，这种技术主要运行在单个主机上，通过主机上的一些特征对木马等恶意软件进行检测，一类是基于网络的木马检测技术，通过对网络流量特征的分析，对木马攻击进行检测和防范。相比于基于主机的检测方式，基于网络的恶意流量检测技术能够为整个局域网提供实时的风险感知能力，且具备更低的部署成本和更大的保护范围。

在实际部署和应用中，对互联网的访问限制往往使得上述方法的检测效果大打折扣。私有网络中就存在这样的情况：基于主机和基于网络的检测方法在私有网络环境下并不能有效的实现木马的检测，因为私有网络通常不能直接访问互联网，造成基于主机的特征码更新不及时、基于网络的通信行为不能正常触发等问题，导致现有的检测技术无法充分发挥其应有的作用。

技术实现要素：

本发明所要解决的技术问题是：针对现有技术存在的问题，提供一种适用于私有网络的域名上线木马检测方法及装置。解决了私有网络由于无法连接互联网但是在产生木马行为检测带来的问题，对潜伏于私有网络中的域名上线木马可有效触发其行为并实现检测。

本发明采用的技术方案如下：

一种适用于私有网络的域名上线木马检测方法包括：

步骤1：在私有网络中设置域名服务模块，将私有网络各主机的域名服务器IP地址配置为域名服务模块所在主机IP地址，用以接管域名服务；域名服务模块为私有网络中所有域名服务请求提供可访问的IP地址应答的域名应答包；

步骤2：域名服务模块监听并抓取私有网络中的所有网络请求，识别并判断其目的端口，获取木马连接端口信息；

步骤3：域名服务模块在获取的端口上进行监听操作，接受木马主机网络连接；然后触发木马通信行为；

步骤4：域名服务模块构造网络连接应答包，处理网络连接请求，并进行网络数据接收和处理；

步骤5：木马分析模块综合处理网络数据和行为，实现木马检测。

进一步的，所述域名应答包以DNS协议来构建的应答包。

进一步的，所述网络连接应答包格式，网络连接应答包处理网络连接请求，并进行数据和处理的具体过程是：

步骤1：构造网络连接应答包，网络连接应答包格式：IP头部+TCP头部+触发数据，其中触发数据是可变长度的数据：

步骤2：将构造好的网络连接应答包通过网络连接请求套接字发送给请求方，同时保持对该套接字的网络监听；

步骤3：持续接收来自于步骤2中监听的网络数据，并按照网络协议进行解析后进行存储，同时跳转到步骤1循环执行。

一种适用于私有网络的域名上线木马检测装置包括：

域名服务模块，用于设置在私有网络中，将私有网络各主机的域名服务器IP地址配置为域名服务模块所在主机IP地址，用以接管域名服务；域名服务模块为私有网络中所有域名服务请求提供可访问的IP地址应答的域名应答包；

然后监听并抓取私有网络中的所有网络请求，识别并判断其目的端口，获取木马连接端口信息；在获取的端口上进行监听操作，接受木马主机网络连接；然后触发木马通信行为；域名服务模块构造网络连接应答包处理网络连接请求，并进行网络数据接收和处理；

木马分析模块，用于综合处理网络数据和行为，实现木马检测。

综上所述，由于采用了上述技术方案，本发明的有益效果是：

本发明通过在专用网络中设置特殊的域名服务、网络连接服务，解决了木马在私有网络中无法解析控制服务器域名、无法进行网络连接、不能产生网络连接和通信行为等问题；通过构造特殊的域名应答包和网络连接应答包，可以有效的实现域名上线木马的主动触发。

附图说明

本发明将通过例子并参照附图的方式说明，其中：

图1 是本发明实施实例的一种流程框图。

图2是域名应答包格式图。

图3是网络连接应答包格式图。

具体实施方式

本说明书中公开的所有特征，或公开的所有方法或过程中的步骤，除了互相排斥的特征和/或步骤以外，均可以以任何方式组合。

本说明书中公开的任一特征，除非特别叙述，均可被其他等效或具有类似目的的替代特征加以替换。即，除非特别叙述，每个特征只是一系列等效或类似特征中的一个例子而已。

如图1，私有网络是一个不与外界网络通讯的局域网，例如zigbee局域网、蓝牙局域网等。只能是通过除过网络连接之外进行数据传递的网络，网络中各个主机不向外发送数据，也不能接受外界的网络数据连接请求，只能接收外界除过网络上数据连接请求外的方式进行数据传递，比如通过u盘与私有网络中某台主机进行数据传递。

木马主机为带有木马病毒的任意一个硬件装置，比如带木马病毒的U盘，带木马病毒的硬盘。

私有网络各主机指的是需要检测是否感染木马病毒的主机。

本发明通过特殊的域名服务触发私有网络中的木马网络连接行为；木马进行网络连接时，利用指定端口监听来接收网络连接，实现木马通信行为的触发；利用过程中收集和记录的相关行为和数据实现木马的检测。具体采用下面的步骤：

1）接管域名服务，为私有网络中的所有域名请求提供可访问的IP地址应答，触发木马网络连接行为；

2）监听并抓取私有网络中的所有网络请求，识别并判断其目的端口，获取木马连接端口信息；

3）在获取的端口上进行监听操作，接受木马网络连接，触发其通信行为；

4）处理网络连接请求，并进行数据接收和处理；

综合处理网络数据和行为，利用特征关联分析结果加权判定，实现木马检测。

实施例一：本实施实例为一个包含5台主机的小型私有局域网络中利用本方法进行域名上线木马的触发和检测的具体步骤：

首先，在目标网络中随机抽取一台主机作为木马植入主机，将样本木马植入到该主机中。

其次，在目标网络中部署特殊域名服务模块，将网内各主机的域名服务器IP地址配置为域名服务模块所在主机IP地址，接管目标网络域名服务，获得网内所有域名请求数据和行为，并适时进行应答。通过监听特定的端口，接受来自木马主机的连接请求和数据，记录该数据和行为。

最后，通过对收集到的数据进行处理，并对记录的行为进行关联分析，加权判定即可检测出木马。

本发明并不局限于前述的具体实施方式。本发明扩展到任何在本说明书中披露的新特征或任何新的组合，以及披露的任一新的方法或过程的步骤或任何新的组合。