法律状态公告日
法律状态信息
法律状态
2016-06-22
未缴年费专利权终止 IPC(主分类):G06F21/00 授权公告日:20120523 终止日期:20150504 申请日:20090504
专利权的终止
2012-05-23
授权
授权
2009-11-25
实质审查的生效
实质审查的生效
2009-09-30
公开
公开
技术领域
本发明属于网络安全技术领域,特别是一种针对网络木马病毒的综合检测方法及为实现其方法所采用的功能模块架构装置。采用本发明方法及其装置既可对已知的木马病毒进行检测,还可对未知木马病毒的行为进行动态预警跟踪检测。
背景技术
木马病毒的泛滥,对计算机及网络系统造成的危害日益严重。目前,针对木马病毒的检测和防御主要采用三种方式:一是针对网页木马进行检测,如:申请号为200610152533.7、发明名称为《基于链接分析的网页木马追踪技术》及申请号为200610152530.3、发明名称为《一种基于行为特征的网页木马检测方法》的专利文献所公的即属于此类技术;二是单机防范,如申请号为200410052134.4、发明名称为《防止木马或病毒窃取输入信息的方法》及申请号为200610035569.7、发明名称为《一种内嵌木马专杀的网络游戏系统及查杀毒方法》即属于此类技术;三是各类杀毒软件,如卡巴斯基、360、瑞星等。上述技术均是针对特定的木马病毒进行单机检测,虽然具有针对性强、对特定的木马病毒防御及查、杀效果亦较好等特点;但却存在性能单一、且在每台需要防御的计算机上均须安装相应的软件才能做到针对性的有效检测和防御;此外,若在一台计算机上安装多种针对性的防木马病毒软件,又会出现相互干扰,影响其防病毒的效果。因而,上述技术存在需单机采用专用软件进行针对性检测,性能单一,对木马病毒只能进行被动防御,不能在未知木马病毒发作前进行预警,对木马病毒变种、更新的适应性差、综合检测效果差、适应范围窄,各种木马检测软件之间相互干扰大等缺陷。
发明内容
本发明的目的是针对背景技术存在的缺陷,研究设计一种带预警功能的网络木马综合检测方法及其功能模块架构装置。既可对已知的木马病毒进行检测,而且又可对未知木马病毒的发生进行预警及检测,且在不增加内网任何负担、不在单机上新装对应软件的情况下,达到提高对网络木马病毒进行综合检测、防御的性能和效果,对木马病毒变种、更新的适应性强,防御面宽、应用范围广及对内网进行整体防御等目的。
本发明的解决方案是将木马检测放在内网的单机之外进行,采用已知的木马病毒特征参数作为对已知木马病毒的检测标准,而采用各类木马病毒的流量特征参数作为相应未知木马病毒的预警检测标准,采用各类木马病毒的周期特征参数作为预警后的未知木马病毒的周期检测标准,通过旁路侦听内网数据,并将数据通过已知木马检测模块、木马预警检测模块处理和木马周期检测模块,得到木马活动的信息后、将其送入网络木马病毒管理器作后继处理;而为实现该方法所采用的架构装置,则是以常规工业控制机作为基础来设置木马检测的功能模块架构;该装置运行中分别与内网网络的侦听端口及外部网络联接,从而实现其发明目的。因此,本发明的方法包括:
A.检测参数的初始化处理:将需要保护的内网网段、检测模块网络地址、木马病毒管理器网络地址以及已知木马病毒检测标准、未知木马病毒流量预警标准、未知木马病毒周期检测标准进行初始化设置;
B.录入待检测数据:从内网侦听端口录入数据,然后抽取数据中记录的内网地址、内网端口号、外网地址、外网端口号、数据流向、数据量大小、协议编号、关键字数据、出现时间,作为待检测的原始数据、以备检测;
C.按已知木马病毒标准检测:首先按照已知的木马病毒特征标准对待检测的原始数据进行对比分析检测,若与任一已知的木马病毒标准相符,则将原始数据以及触发的检测标准和触发时间作为木马病毒信息,送网络木马病毒管理器作后继处理;若不符合已知的木马病毒标准,则转下一步继续检测;
D.按木马病毒流量预警标准检测:将经步骤C检测后输入的数据,与数据库中在先的分析数据逐一进行比对检测,如果数据库中已经存在与该输入数据对应的分析数据,则按照设定的未知木马病毒的流量预警标准逐一进行对比分析检测,若与任一病毒流量预警检测标准相符,则将输入数据以及触发的预警标准和触发时间,作为达到木马病毒预警标准的预警数据、送网络木马病毒管理器作预警处理,并转下一步骤对预警数据作进一步比对检测处理,若均不相符则转步骤F作数据丢弃处理;如果数据库中无在先分析数据或不存在对应的分析数据,则将该输入数据存入数据库中,作为分析数据;
E.按木马病毒周期标准检测:将经步骤D检测后达到预警标准的数据,标记为预警数据,并按照设定的未知木马病毒的周期标准与数据库中在先的预警数据逐一进行对比分析检测,若与任一未知木马病毒周期检测标准相符,则将该数据以及触发的周期检测标准和触发时间,作为带木马病毒的数据存入数据库中并送网络木马病毒管理器作后继处理、同时转下一步骤对分析数据和预警数据作丢弃处理,若均不相符亦转下一步骤对分析数据和预警数据作丢弃处理;
F.对分析数据和预警数据丢弃处理:将当前时间与数据库中的分析数据和预警数据的录入时间之差,分别逐一与设定的分析数据留存时间和预警数据留存时间进行比对,并陆续将达到留存期限的数据丢弃。
以上所述按设定的木马病毒的流量预警标准,包括复位(Reset,简称RST)报文检测预警标准,邮件行为检测预警标准,通信连接行为检测预警标准,关键字检测预警标准,以及经过加密处理的报文在内的全部或部分预警标准。其中:所述复位(RST)报文预警检测标准为内网传出数据中的RST协议报文,在规定时间范围内不允许重复传出的次数;而邮件行为检测预警标准为从内网中传出的收件人地址和主题均相同的邮件,在规定时间范围内不允许重复传出的次数;通信连接行为检测预警标准为,在规定时间范围内从同一内网地址流出到同一外网地址的数据流量,与从该外网地址返回该内网地址的数据流量的差异程度不允许达到的值(设定的值);关键字检测预警标准为从内网流出到外网的数据流量中不允许出现的字符;经过加密处理的报文检测预警标准为从内网流出到外网的数据流中不允许出现加密后的字符。
而所述的未知木马病毒周期检测标准是包括复位(Reset,简称RST)报文周期检测标准,邮件行为周期检测标准以及通信周期检测标准在内的全部或部分标准。其中:复位报文周期检测标准是:待检测数据中出现从内网传到相同的外网IP地址的RST报文,在预定的时间内呈现周期性;邮件行为周期检测标准是:待检测数据中出现从内网地址发往外网同一邮件地址,在预定的时间内呈现周期性;通信周期检测标准是:待检测数据出现从内网地址发往同一外网IP地址的数据流量,在预定的时间内呈现周期性。
上述网络木马病毒检测方法所采用的功能模块架构装置,包括:
A.一个参数初始化处理单元模块,用于存储需要保护的内网网段、检测模块网络地址、木马病毒管理器网络地址以及各类网络木马病毒检测标准的初始化参数的数据;
B.一个录入待检测数据单元模块,用于抽取从内网侦听端口录入的待检测数据以备检测;
C.一个已知木马病毒标准检测单元模块,用于调用已知木马病毒检测标准,对待检测的原始数据进行对比分析并判断其是否符合已知木马病毒检测标准;
D.一个木马病毒流量预警标准检测单元模块,用于调用包括复位(RST)报文检测预警标准、邮件行为检测预警标准、通信连接行为检测预警标准,关键字检测预警标准,以及经过加密处理的报文在内的全部或部分检测预警标准,对分析数据进行逐一对比分析并判断是否与任一木马病毒流量预警标准相符,是否作为分析数据存储入数据库;
E.一个木马病毒周期标准检测单元模块,用于调用包括复位(RST)报文周期检测标准、邮件行为周期检测标准、通信连接行为周期检测标准、在内的全部或部分周期检测标准,对预警数据进行逐一对比分析并判断是否与任一木马病毒周期标准相符,是否作为预警数据存储入数据库;
F.一个木马病毒信息发送单元模块,用于将木马病毒流量标准预警检测单元模块和木马病毒周期标准检测单元模块送出的信息,发送到木马病毒管理器;
G.一个对分析数据和预警数据进行丢弃处理的单元模块,用于对分析数据和预警数据的滞留时间进行判断,并陆续将达到设定存储期限的分析数据和预警数据从数据库中清除;
本发明方法由于通过旁路侦听内网数据,并采用已知木马病毒检测参数、木马病毒的流量预警参数进行综合检测,得到木马病毒预警信息,并将木马病毒预警信息继续按照木马病毒的周期检测标准作进一步检测,然后将检测到的木马活动信息送入网络木马病毒管理器处理;而实现该方法的装置则是以常规工业控制机作为基础设置的功能模块架构装置。采用本发明方法及其功能模块架构装置具有在对内网不产生任何额外的负担的情况下,有效提高对网络木马病毒进行综合检测、防御的性能和效果,对木马病毒变种、更新的适应性强,防御面宽、应用范围广,对内网进行整体防御而不需对单机分别设防等特点。
附图说明
图1为本发明的带预警功能的木马病毒检测方法流程示意图(方框图);
图2本发明具体实施方式用功能模块架构装置结构示意图(方框图);
图3本发明实施方式带预警功能的木马病毒检测方法流程示意图(方框图)。
具体实施方式
附图2为本实施方式检测用装置的功能模块架构(结构)框图。本实施方式采用Arck-114R型工业控制机作为检测装置;即在控制机内的存储器(可执行存储器和数据存储器)中分别设置参数初始化单元模块,录入待检测数据的单元模块,已知木马病毒标准检测单元模块,木马病毒流量预警标准检测单元模块,木马病毒周期检测单元模块,木马病毒告警单元模块,到期数据丢弃模块及相应的数据库;整个检测装置通过人机输入接口设置各功能模块及对应的参数,通过网络输入接口与内网网络设备的侦听端口连接并录入待检测数据,而通过网络输出接口与外网连接并向网络管理器发送木马病毒信息。
下面以下述参数为例进行说明。
需要保护的内网网段是(2.7.4.30-2.7.4.200);
网络设备管理器地址为(120.9.7.3);
木马流量检测标准(参数):
已知木马病毒标准检测参数,简记为1(已知检测标准集);
RST报文流量检测标准为1分钟内不允许重复出现5次,简记为2.1(1,5);
邮件行为流量检测标准为在2天内不允许重复出现3次从内网地址中传出的收件人地址和主题均相同的邮件,简记为2.2(2,3);
通信连接行为流量检测标准为在10分钟内不允许重复出现3次从内网地址流出到一外网地址的数据流量,与从该外网地址流入内网地址的数据流量的差异程度达到2倍及两倍以上的情况,简记为2.3(10,3,2);
关键字为“机密设计文件”,简记为2.4(“机密设计文件”);
经过加密处理的报文检测标准为从网流出到外网的数据流量中出现加密字符,简记为2.5(加密字符)。
分析数据存储期限为2天,简记为2.6(2)。
为简化叙述,将上述木马流量预警检测标准简记为2(木马流量预警标准集)。
RST报文周期检测标准为,从内网传到相同的外网IP地址的RST报文,在10分钟内呈现周期性,简记3.1(10);
邮件行为周期检测标准为,从内网发往外网同一邮件地址,在10天内呈现周期性,简记为3.2(10);
通信流量行为周期检测标准为,从内网发往同一外网IP地址的数据流量,在7天内呈现周期性,简记3.3(7);
预警数据存储期限为30天,简记为3.4(30)。
为简化叙述,将上述木马病毒周期检测标准简记为3(木马病毒周期检测标准集)。
其综合检测方法包括:
A.检测参数的初始化处理:将需要保护的内网网段(2.7.4.30-2.7.4.200)、木马病毒管理器网络地址(120.9.7.3),以及已知木马病毒检测标准1(已知检测标准集)、未知木马病毒流量预警标准2(木马流量预警标准集)、未知木马病毒周期检测标准3(木马病毒周期检测标准集)进行初始化设置;
B.录入待检测数据:从内网侦听端口录入数据,然后抽取数据中记录的内网地址、内网端口号、外网地址、外网端口号、数据流向、数据量大小、协议编号、关键字数据、出现时间,作为待检测的原始数据以备检测;
C.按已知木马病毒标准检测:首先按照已知的木马病毒特征标准1(已知检测标准集)对待检测的原始数据进行对比分析检测,若与任一已知的木马病毒标准相符,则将原始数据以及触发的检测标准和触发时间作为木马病毒信息,送网络木马病毒管理器作后继处理;若不符合已知的木马病毒标准,则转下一步继续检测;
D.按木马病毒流量预警标准检测:将经步骤C检测后输入的数据,与数据库中在先的分析数据逐一进行比对检测,如果数据库中已经存在与输入数据对应的分析数据,则按照设定的未知木马病毒的流量预警标准2(木马流量预警标准集)逐一进行对比分析检测,若与任一病毒流量预警检测标准相符,则将分析数据以及触发的预警标准和触发时间,作为达到木马病毒预警标准的预警病毒数据,送网络木马病毒管理器作预警处理、并转下一步骤对预警数据作进一步比对检测处理,若均不相符亦转步骤F作数据丢弃处理;如果数据库中无在先分析数据或不存在对应分析数据,则将该输入的数据存入数据库中,作为分析数据;
E.按木马病毒周期标准检测:将经步骤D检测后达到预警标准的数据,标记为预警数据,并按照设定的未知木马病毒的周期标准3(木马病毒周期检测标准集)与数据库中在先的预警数据逐一进行对比分析检测,若与任一未知木马病毒周期检测标准相符,则将该数据以及触发的周期检测标准和触发时间,作为带木马病毒的信息,送网络木马病毒管理器作后继处理、同时转下一步骤对分析数据和预警数据作丢弃处理,若均不相符亦转下一步骤对分析数据和预警数据作丢弃处理;
F.对分析数据和预警数据丢弃处理:将当前时间与数据库中的分析数据和预警数据的录入时间之差,分别逐一与设定的分析数据留存时间和预警数据留存时间进行比对,并陆续将达到留存期限的数据丢弃。
在本实施例中,一旦出现已知的木马病毒,例如出现符合1(已知检测标准集)中的任一标准的数据;或者出现木马病毒的流量特征,例如出现符合2(木马流量预警标准集)中的任一标准的数据;或者出现木马病毒的周期特征,例如出现符合3(木马周期检测标准集)中的任一标准的数据,木马综合检测器就会通过木马病毒信息发送模块经网络输出接口,向木马病毒管理器发送在步骤C、或者步骤D、或者步骤E检测出的木马病毒信息。
机译: 网络架构的检测方法及装置
机译: 重叠频率带中无线通信网络的检测方法和装置
机译: 重叠频率带中无线通信网络的检测方法和装置
