基于反彈端口木馬的互聯(lián)審計方法
【技術領域】
[0001]本發(fā)明涉及信息安全技術領域���,特別是涉及一種基于反彈端口木馬的互聯(lián)審計方法��。
【背景技術】
[0002]在互聯(lián)網(wǎng)高度開放的今天����,木馬程序泛濫,各種各樣的木馬充斥在互聯(lián)網(wǎng)中����。這些木馬給網(wǎng)民帶來不同的威脅,而其中威脅最大的就是控制類木馬�,這類木馬可以完全控制目標主機,在大型網(wǎng)絡入侵事件和信息竊取事件中都有此類木馬的身影��。而目前對木馬的檢測與防護主要是采用基于病毒查殺����、防火墻等產(chǎn)品。
[0003]而隨著木馬的翻墻技術�、端口反彈技術的應用普及,基于網(wǎng)絡異常通信行為阻斷木馬通信連接的有效性也越來越低�����,很多木馬程序在進行網(wǎng)絡通信時采用了標準的網(wǎng)絡通信端口�,如80端口,并且采用反向連接技術�,由被控端木馬的代理程序主動通過80端口去與控制端程序建立連接,這種方式會造成防火墻誤認為是一個正常的基于Web訪問的一個連接而放行��。而基于防火墻的產(chǎn)品不對具體的木馬進行檢測與控制,不對網(wǎng)絡通信內容進行處理分析���,無法確定是否是真的木馬在通信,無法知道木馬通信的內容及傳輸文件的內容���。
【發(fā)明內容】
[0004]本發(fā)明主要解決的技術問題是提供一種基于反彈端口木馬的互聯(lián)審計方法���,能夠對木馬網(wǎng)絡操作行為進行報警或審計。
[0005]為解決上述技術問題�,本發(fā)明采用的一個技術方案是:提供一種基于反彈端口木馬的互聯(lián)審計方法,包括:預先設置允許IP連接操作的靜態(tài)IP地址名單��;實時采集當前系統(tǒng)的網(wǎng)絡數(shù)據(jù)包�����;檢查所述網(wǎng)絡數(shù)據(jù)包是否屬于已建立的網(wǎng)絡會話�����,如果屬于已建立的網(wǎng)絡會話�����,則將所述網(wǎng)絡數(shù)據(jù)包插入到已建立的會話中,如果不屬于已建立的網(wǎng)絡會話��,則建立新的網(wǎng)絡會話�,其中,所述已建立的網(wǎng)絡會話或所述新的網(wǎng)絡會話作為當前網(wǎng)絡會話����;根據(jù)所述靜態(tài)IP地址名單驗證所述網(wǎng)絡數(shù)據(jù)包的IP連接的靜態(tài)IP地址,如果所述IP連接的靜態(tài)IP地址驗證不通過��,則判定所述當前網(wǎng)絡會話為木馬網(wǎng)絡通信會話���;記錄木馬網(wǎng)絡通信會話的內容���,并根據(jù)記錄的木馬網(wǎng)絡通信會話的內容檢測木馬網(wǎng)絡通信會話是否包含木馬網(wǎng)絡操作行為,如果包含木馬網(wǎng)絡操作行為�����,記錄并監(jiān)測木馬網(wǎng)絡操作行為�����;根據(jù)木馬網(wǎng)絡操作行為的特性進行報警或提供審計���。
[0006]優(yōu)選地���,所述互聯(lián)審計方法還包括:根據(jù)木馬網(wǎng)絡操作行為的特性進行操作內容的還原�。
[0007]優(yōu)選地�����,所述木馬網(wǎng)絡操作行為的類型包括:木馬文件操作�、木馬屏幕操作�、木馬命令操作和進程/服務操作。
[0008]區(qū)別于現(xiàn)有技術的情況�����,本發(fā)明的有益效果是:通過預先設置允許IP連接操作的靜態(tài)IP地址名單以及實時獲取網(wǎng)絡會話的網(wǎng)絡數(shù)據(jù)包����,通過驗證網(wǎng)絡數(shù)據(jù)包的IP連接的靜態(tài)IP地址與靜態(tài)IP地址名單,從而能夠及時發(fā)現(xiàn)木馬���,以對木馬網(wǎng)絡操作行為進行報警或審計����。
【附圖說明】
[0009]圖1是本發(fā)明實施例基于反彈端口木馬的互聯(lián)審計方法的流程示意圖。
【具體實施方式】
[0010]下面將結合本發(fā)明實施例中的附圖��,對本發(fā)明實施例中的技術方案進行清楚���、完整地描述���,顯然,所描述的實施例僅是本發(fā)明的一部分實施例���,而不是全部的實施例�?��;诒景l(fā)明中的實施例�����,本領域普通技術人員在沒有做出創(chuàng)造性勞動前提下所獲得的所有其他實施例����,都屬于本發(fā)明保護的范圍����。
[0011]參見圖1���,是本發(fā)明實施例基于反彈端口木馬的互聯(lián)審計方法的流程示意圖。本實施例的互聯(lián)審計方法包括:
[0012]S1:預先設置允許IP連接操作的靜態(tài)IP地址名單����。
[0013]S2:實時采集當前系統(tǒng)的網(wǎng)絡數(shù)據(jù)包。
[0014]其中���,為了能夠高性能的采集網(wǎng)絡數(shù)據(jù)包��,在實際應用中�,可以在網(wǎng)絡接口程序中設置內存緩存區(qū)��,從內存緩存區(qū)中采集網(wǎng)絡數(shù)據(jù)包���。
[0015]S3:檢查網(wǎng)絡數(shù)據(jù)包是否屬于已建立的網(wǎng)絡會話,如果屬于已建立的網(wǎng)絡會話�,則進行步驟S4,如果不屬于已建立的網(wǎng)絡會話���,則進行步驟S5�。
[0016]其中,不同的網(wǎng)絡會話是由網(wǎng)絡通信的五元組來確定��,為了提高查找效率����,在建立會話表數(shù)據(jù)結構時采用Hash (哈希)表的方式,利用五元組計算出Hash值��,進行地址映射��。不同網(wǎng)絡會話相同Hash值則采用雙向鏈表的方式����。
[0017]S4:將網(wǎng)絡數(shù)據(jù)包插入到已建立的會話中。
[0018]S5:建立新的網(wǎng)絡會話�����。
[0019]其中�����,已建立的網(wǎng)絡會話或新的網(wǎng)絡會話作為當前網(wǎng)絡會話��。
[0020]S6:根據(jù)靜態(tài)IP地址名單驗證網(wǎng)絡數(shù)據(jù)包的IP連接的靜態(tài)IP地址����,如果IP連接的靜態(tài)IP地址驗證不通過����,則進行步驟S7���。
[0021]其中�����,靜態(tài)IP地址可以是源IP地址���,也可以是目的IP地址。只要靜態(tài)IP地址名單不存在IP連接的靜態(tài)IP地址��,IP連接的靜態(tài)IP地址驗證不通過��。
[0022]S7:判定當前網(wǎng)絡會話為木馬網(wǎng)絡通信會話��。
[0023]S8:記錄木馬網(wǎng)絡通信會話的內容��,并根據(jù)記錄的木馬網(wǎng)絡通信會話的內容檢測木馬網(wǎng)絡通信會話是否包含木馬網(wǎng)絡操作行為����,如果包含木馬網(wǎng)絡操作行為,則進行步驟S90
[0024]其中�����,木馬網(wǎng)絡操作行為的類型包括:木馬文件操作�����、木馬屏幕操作��、木馬命令操作和進程/服務操作�����。木馬文件操作例如是文件的上傳��、下載�、創(chuàng)建、刪除���、修改��。木馬屏幕操作例如是截取屏幕內容�����。木馬命令操作例如是遠程執(zhí)行代碼�����、遠程啟動或關閉設備�����。進程/服務操作例如是遠程瀏覽����、啟動、結束進程���。
[0025]S9:記錄并監(jiān)測木馬網(wǎng)絡操作行為��。
[0026]SlO:根據(jù)木馬網(wǎng)絡操作行為的特性進行報警或提供審計��。
[0027]進一步地���,本實施例的互聯(lián)審計方法還可以包括步驟Sll:根據(jù)木馬網(wǎng)絡操作行為的特性進行操作內容的還原。還原的內容主要包括兩種:一種是木馬傳輸文件的內容還原���,另一種是木馬命令操作的內容還原�。
[0028]通過上述方式��,本發(fā)明實施例的基于反彈端口木馬的互聯(lián)審計方法通過預先設置允許IP連接操作的靜態(tài)IP地址名單以及實時獲取網(wǎng)絡會話的網(wǎng)絡數(shù)據(jù)包�����,通過驗證網(wǎng)絡數(shù)據(jù)包的IP連接的靜態(tài)IP地址與靜態(tài)IP地址名單����,從而能夠及時發(fā)現(xiàn)木馬,以對木馬網(wǎng)絡操作行為進行報警或審計����。
[0029]以上所述僅為本發(fā)明的實施例,并非因此限制本發(fā)明的專利范圍���,凡是利用本發(fā)明說明書及附圖內容所作的等效結構或等效流程變換�,或直接或間接運用在其他相關的技術領域���,均同理包括在本發(fā)明的專利保護范圍內����。
【主權項】
1.一種基于反彈端口木馬的互聯(lián)審計方法�����,其特征在于,包括: 預先設置允許IP連接操作的靜態(tài)IP地址名單���; 實時采集當前系統(tǒng)的網(wǎng)絡數(shù)據(jù)包����; 檢查所述網(wǎng)絡數(shù)據(jù)包是否屬于已建立的網(wǎng)絡會話����,如果屬于已建立的網(wǎng)絡會話,則將所述網(wǎng)絡數(shù)據(jù)包插入到已建立的會話中�,如果不屬于已建立的網(wǎng)絡會話,則建立新的網(wǎng)絡會話�,其中,所述已建立的網(wǎng)絡會話或所述新的網(wǎng)絡會話作為當前網(wǎng)絡會話�����; 根據(jù)所述靜態(tài)IP地址名單驗證所述網(wǎng)絡數(shù)據(jù)包的IP連接的靜態(tài)IP地址����,如果所述IP連接的靜態(tài)IP地址驗證不通過,則判定所述當前網(wǎng)絡會話為木馬網(wǎng)絡通信會話; 記錄木馬網(wǎng)絡通信會話的內容���,并根據(jù)記錄的木馬網(wǎng)絡通信會話的內容檢測木馬網(wǎng)絡通信會話是否包含木馬網(wǎng)絡操作行為,如果包含木馬網(wǎng)絡操作行為����,記錄并監(jiān)測木馬網(wǎng)絡操作行為; 根據(jù)木馬網(wǎng)絡操作行為的特性進行報警或提供審計��。
2.根據(jù)權利要求1所述的互聯(lián)審計方法��,其特征在于����,所述互聯(lián)審計方法還包括: 根據(jù)木馬網(wǎng)絡操作行為的特性進行操作內容的還原。
3.根據(jù)權利要求1所述的互聯(lián)審計方法��,其特征在于���,所述木馬網(wǎng)絡操作行為的類型包括:木馬文件操作����、木馬屏幕操作��、木馬命令操作和進程/服務操作���。
【專利摘要】本發(fā)明提供了一種基于反彈端口木馬的互聯(lián)審計方法�����。其包括:預先設置允許IP連接操作的靜態(tài)IP地址名單���;實時采集當前系統(tǒng)的網(wǎng)絡數(shù)據(jù)包���;檢查網(wǎng)絡數(shù)據(jù)包是否屬于已建立的網(wǎng)絡會話,如果是�,則將網(wǎng)絡數(shù)據(jù)包插入到已建立的會話中,否則建立新的網(wǎng)絡會話����;根據(jù)靜態(tài)IP地址名單驗證網(wǎng)絡數(shù)據(jù)包的IP連接的靜態(tài)IP地址,如果IP連接的靜態(tài)IP地址驗證不通過��,則判定當前網(wǎng)絡會話為木馬網(wǎng)絡通信會話��;記錄木馬網(wǎng)絡通信會話的內容����,并檢測木馬網(wǎng)絡通信會話是否包含木馬網(wǎng)絡操作行為,如果是,記錄并監(jiān)測木馬網(wǎng)絡操作行為���;根據(jù)木馬網(wǎng)絡操作行為的特性進行報警或提供審計��。本發(fā)明能夠對木馬網(wǎng)絡操作行為進行報警或審計�。
【IPC分類】H04L29-06, G06F21-56, H04L12-24
【公開號】CN104753955
【申請?zhí)枴緾N201510172291
【發(fā)明人】羅春
【申請人】成都雙奧陽科技有限公司
【公開日】2015年7月1日
【申請日】2015年4月13日