專利名稱:一種基于木馬病毒種類分類建模的木馬檢測(cè)方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種木馬檢測(cè)方法�����,特別涉及一種基于木馬病毒種類分類建模的木馬檢測(cè)方法�。
背景技術(shù):
目前網(wǎng)頁(yè)篡改、網(wǎng)絡(luò)盜號(hào)�、拒絕服務(wù)攻擊、系統(tǒng)入侵����、蠕蟲(chóng)病毒傳播�、惡意軟件威脅等網(wǎng)絡(luò)安全事件屢見(jiàn)不鮮�����,而其中感染計(jì)算機(jī)病毒木馬程序的情況最為突出��。木馬程序以其隱蔽性強(qiáng)等特點(diǎn)進(jìn)行竊取密碼�����、控制系統(tǒng)等操作���,已成為嚴(yán)重的安全威脅。木馬編寫(xiě)技術(shù)的迅速發(fā)展給安全軟件帶來(lái)了新的挑戰(zhàn)����,代碼變形與加殼技術(shù)等技術(shù)的運(yùn)用使得各種木馬的變種程序橫行于網(wǎng)絡(luò),使得傳統(tǒng)的木馬檢測(cè)技術(shù)失去了作用�����。
發(fā)明內(nèi)容
本發(fā)明的目的就在于為了解決上述問(wèn)題而提供一種能夠?qū)ξ粗滦湍抉R進(jìn)行快速的識(shí)別和分析的基于木馬病毒種類分類建模的木馬檢測(cè)方法���。本發(fā)明通過(guò)以下技術(shù)方案來(lái)實(shí)現(xiàn)上述目的:一種基于木馬病毒種類分類建模的木馬檢測(cè)方法�����,包括以下步驟:(I)對(duì)已發(fā)現(xiàn)的木馬按照其特征進(jìn)行分類����;按照啟動(dòng)特征分類有注冊(cè)表類木馬、服務(wù)啟動(dòng)類木馬��、BIOS類木馬等�����,按照傳播途徑分類有:aut0run木馬�����、偽裝類木馬��、蠕蟲(chóng)類等�,按照木馬文件類型分類有:exe類型木馬、動(dòng)態(tài)庫(kù)類木馬�����、驅(qū)動(dòng)型木馬等。(2)按照一定的算法����,對(duì)每種類別的特征進(jìn)行建模,形成一個(gè)帶有模式化匹配的木馬識(shí)別類庫(kù)�;例如autorun木馬,此類木馬的共同特征是都會(huì)在盤(pán)符根目錄下生成一個(gè)autorun.1nf文件�,同時(shí)此類木馬都存在可執(zhí)行文件與autorun.1nf對(duì)應(yīng),此類木馬都能夠訪問(wèn)網(wǎng)絡(luò),那么autorun.1nf文件����、可執(zhí)行文件和訪問(wèn)網(wǎng)絡(luò)��,就能夠作為此類木馬的共同特征來(lái)進(jìn)行查殺��。(3)收集操作系統(tǒng)特征��,并通過(guò)步驟(2)的木馬識(shí)別類庫(kù)識(shí)別木馬并定位到木馬所屬的類別和特征���;文件1.exe在系統(tǒng)中��,它在某位置擁有啟動(dòng)項(xiàng)��,同時(shí)����,它修改了某些系統(tǒng)敏感文件,那么我們就說(shuō)我們能夠通過(guò)這些特征定位到1.exe歸屬于哪一類的木馬�����。同時(shí)����,建模也能夠根據(jù)進(jìn)程建模,如���,進(jìn)程1.exe是通過(guò)某種方式啟動(dòng)����,同時(shí)又注入了某些進(jìn)程���,訪問(wèn)了某些文件或網(wǎng)絡(luò)地址��,我們就能夠通過(guò)這些特征來(lái)定位進(jìn)程1.exe是歸屬與哪一類��。(4)定位可疑項(xiàng)�,根據(jù)系統(tǒng)的網(wǎng)絡(luò)訪問(wèn)行為或者自啟動(dòng)行為���,定位在系統(tǒng)中屬于可疑項(xiàng)的活動(dòng)��,然后再根據(jù)這些可疑項(xiàng)的特征����,加以類庫(kù)匹配,定位出木馬的位置�;首先,在系統(tǒng)的眾多進(jìn)程�、文件中,先確定哪些屬于可疑����。確定可疑的方法主要通過(guò)是否具有網(wǎng)絡(luò)訪問(wèn)行為�。在實(shí)際木馬運(yùn)行中,特別是在斷網(wǎng)的情況下�����,木馬會(huì)不停的去探測(cè)網(wǎng)絡(luò)是否連通�����,根據(jù)這個(gè)特點(diǎn)�,我們能夠去定位系統(tǒng)中的可疑項(xiàng)���,然后對(duì)這些可疑項(xiàng)依據(jù)類庫(kù)中的特征進(jìn)行分析,找出木馬的所在�。
(5)根據(jù)步驟(3)收集的操作系統(tǒng)特征,通過(guò)算法在類庫(kù)中進(jìn)行模式匹配來(lái)識(shí)別系統(tǒng)中的木馬��;在進(jìn)行木馬分析的時(shí)候��,先對(duì)系統(tǒng)相關(guān)信息����、進(jìn)程相關(guān)信息、網(wǎng)絡(luò)相關(guān)信息等系統(tǒng)信息進(jìn)行枚舉����,然后將枚舉的結(jié)果按照類庫(kù)中對(duì)特征的描述歸類。這些枚舉的點(diǎn)在行為分析的過(guò)程中被稱為取樣分析�,在操作系統(tǒng)中獲取木馬行為可能存在的樣本,拿這些取到的樣本����,到木馬類別庫(kù)中進(jìn)行匹配分析系統(tǒng)中是否存在木馬,以及木馬有哪些行為等����。(6)發(fā)現(xiàn)與類庫(kù)中模式相匹配則判斷為檢測(cè)到木馬����,并列舉此木馬進(jìn)行過(guò)程中的所有操作以及此類木馬的特征行為��。進(jìn)一步地����,所述木馬識(shí)別類庫(kù)能夠按照不同類別單獨(dú)使用,也能夠?qū)㈩悗?kù)整體結(jié)合組成一個(gè)龐大的類庫(kù)網(wǎng)絡(luò)使用�。對(duì)于有些特種木馬來(lái)說(shuō),不一定是簡(jiǎn)單的集成一種木馬類庫(kù)�,更有可能是混雜、集合了多種類庫(kù)的優(yōu)點(diǎn)���?����;谶@個(gè)原因,我們能夠把以上類庫(kù)結(jié)合起來(lái)����,組成一個(gè)龐大的木馬類別行為識(shí)別網(wǎng)絡(luò),相互配合來(lái)完成木馬的追蹤定位分析功能�。本發(fā)明的有益效果在于:本發(fā)明能夠?qū)ο到y(tǒng)中存在的木馬��,特別是對(duì)未知新型木馬進(jìn)行快速的識(shí)別�、分析����。不但能夠告訴使用者木馬文件的位置,還能夠告訴使用者木馬具有的功能和木馬可能在系統(tǒng)里面做哪些操作��,此種檢測(cè)方式與傳統(tǒng)檢測(cè)方式相比�,對(duì)木馬的檢測(cè)能力,特別是在對(duì)未知新型木馬的識(shí)別和檢測(cè)能力上���,有著很大的提高��。
圖1是本發(fā)明一種基于木馬病毒種類分類建模的木馬檢測(cè)方法的流程圖���;圖2是本發(fā)明中的木馬A的工作流程圖。
具體實(shí)施例方式下面結(jié)合附圖對(duì)本發(fā)明作進(jìn)一步說(shuō)明:如圖1所示��,本發(fā)明一種基于木馬病毒種類分類建模的木馬檢測(cè)方法�,包括以下步驟:(I)對(duì)已發(fā)現(xiàn)的木馬按照其特征進(jìn)行分類;(2)對(duì)每種類別的特征進(jìn)行建模��,形成一個(gè)帶有模式化匹配的木馬識(shí)別類庫(kù)��;所述木馬識(shí)別類庫(kù)能夠按照不同類別單獨(dú)使用,也能夠?qū)㈩悗?kù)整體結(jié)合組成一個(gè)龐大的類庫(kù)網(wǎng)絡(luò)使用��。(3)收集操作系統(tǒng)特征����,并通過(guò)步驟(2)的木馬識(shí)別類庫(kù)識(shí)別木馬并定位到木馬所屬的類別和特征;(4)定位可疑項(xiàng)����,根據(jù)系統(tǒng)的網(wǎng)絡(luò)訪問(wèn)行為或者自啟動(dòng)行為,定位在系統(tǒng)中屬于可疑項(xiàng)的活動(dòng)���,然后再根據(jù)這些可疑項(xiàng)的特征����,加以類庫(kù)匹配�����,定位出木馬的位置�����;(5)根據(jù)步驟(3)收集的操作系統(tǒng)特征通過(guò)算法在類庫(kù)中進(jìn)行模式匹配來(lái)識(shí)別系統(tǒng)中的木馬�;(6)發(fā)現(xiàn)與類庫(kù)中模式相匹配則判斷為檢測(cè)到木馬,并列舉此木馬進(jìn)行過(guò)程中的所有操作以及此類木馬的特征行為�。實(shí)施案例:木馬檢查木馬A是一款免殺效果做的很好的木馬。采用驅(qū)動(dòng)加密通信的方式與外部主機(jī)使用中轉(zhuǎn)服務(wù)器B進(jìn)行反彈式連接�。因此,當(dāng)機(jī)器中了此種木馬的時(shí)候��,由于木馬做了免殺�,能夠躲過(guò)基于特征碼的主流殺毒軟件和木馬檢查工具的檢查。因?yàn)槟抉R在通信過(guò)程中�����,使用了驅(qū)動(dòng)加密的方式���,那么就意味著不管是本地采集數(shù)據(jù)包還是網(wǎng)絡(luò)IDS (入侵檢測(cè)系統(tǒng))���,都無(wú)法解析出那些數(shù)據(jù)包是木馬收發(fā)信息的數(shù)據(jù)包,也就無(wú)法判斷木馬與那些機(jī)器進(jìn)行數(shù)據(jù)交互���。該木馬A的工作流程圖大致如圖2所示:在該流程中����,能夠看出,如果在受害主機(jī)上�,定位不出木馬A的位置和行為的話,很難通過(guò)其它方法來(lái)定位到黑客所在的位置��。使用分類建模的方法���,總結(jié)驅(qū)動(dòng)木馬�����、加密木馬和反彈類木馬的共同特征�����。如驅(qū)動(dòng)木馬����,在驅(qū)動(dòng)木馬收發(fā)數(shù)據(jù)之前����,因?yàn)轵?qū)動(dòng)獲取某些信息是比較困難的,所以此類木馬一般都是在驅(qū)動(dòng)收發(fā)數(shù)據(jù)之前���,都與應(yīng)用層有一個(gè)數(shù)據(jù)的交互�����。此類交互可能是采用IRP(—種應(yīng)用層和驅(qū)動(dòng)通信的信號(hào)量)或者通過(guò)文件間接傳遞信息的方式���。加密木馬的加密操作在內(nèi)存中都有著共同的特征(如HASH類函數(shù)調(diào)用),而反彈類木馬��,更有一個(gè)和服務(wù)器數(shù)據(jù)交互的過(guò)程��,在交互之后會(huì)連接真正黑客所在的服務(wù)器����。根據(jù)以上的特點(diǎn),對(duì)木馬A這一類驅(qū)動(dòng)加密反彈性質(zhì)的木馬�,根據(jù)驅(qū)動(dòng)木馬、加密木馬和反彈類木馬共同特征的建模�����,就有了一套清晰的模型框架能夠把木馬A匹配出來(lái)�����,大致的匹配流程如下:根據(jù)驅(qū)動(dòng)木馬特征����,檢測(cè)那些數(shù)據(jù)包在發(fā)送的過(guò)程中����,有過(guò)驅(qū)動(dòng)層與應(yīng)用層的數(shù)據(jù)交互�����,比如IRP通信�,比如文件訪問(wèn)等。通過(guò)這一條模式��,不但能夠定位到那些網(wǎng)絡(luò)數(shù)據(jù)是和可疑木馬相關(guān)��,還能夠定位出可能與可疑木馬相關(guān)的驅(qū)動(dòng)和應(yīng)用層模塊���。經(jīng)過(guò)第一條模式匹配后��,定位到了網(wǎng)絡(luò)數(shù)據(jù)和模塊�,然后再按照加密木馬通信的特點(diǎn)�,對(duì)驅(qū)動(dòng)或者模塊內(nèi)部數(shù)據(jù)進(jìn)行分析,能夠通過(guò)數(shù)據(jù)特征以及使用函數(shù)的特征識(shí)別出加密方式����。根據(jù)反彈木馬的特征����,在木馬訪問(wèn)中轉(zhuǎn)服務(wù)器之后�����,中轉(zhuǎn)服務(wù)器會(huì)將下一跳的地址告訴木馬A�����。通過(guò)對(duì)前兩步已經(jīng)分析得出的模塊和驅(qū)動(dòng)特征��,繼續(xù)監(jiān)聽(tīng)木馬A的網(wǎng)絡(luò)通信行為���,就能夠找到木馬下一步和黑客的真實(shí)通信內(nèi)容。至此�����,木馬模塊�、木馬驅(qū)動(dòng)、加密方式��、黑客的地理位置都被準(zhǔn)確的檢查�����。
權(quán)利要求
1.一種基于木馬病毒種類分類建模的木馬檢測(cè)方法,其特征在于:包括以下步驟: (1)對(duì)已發(fā)現(xiàn)的木馬按照其特征進(jìn)行分類�����; (2)對(duì)每種類別的特征進(jìn)行建模�,形成一個(gè)帶有模式化匹配的木馬識(shí)別類庫(kù); (3)收集操作系統(tǒng)特征���,并通過(guò)步驟(2)的木馬識(shí)別類庫(kù)識(shí)別木馬并定位到木馬所屬的類別和特征�����; (4)定位可疑項(xiàng)�����,根據(jù)系統(tǒng)的網(wǎng)絡(luò)訪問(wèn)行為或者自啟動(dòng)行為��,定位在系統(tǒng)中屬于可疑項(xiàng)的活動(dòng)���,然后再根據(jù)這些可疑項(xiàng)的特征,加以類庫(kù)匹配���,定位出木馬的位置�����; (5)根據(jù)步驟(3)收集的操作系統(tǒng)特征通過(guò)算法在類庫(kù)中進(jìn)行模式匹配來(lái)識(shí)別系統(tǒng)中的木馬���; (6)發(fā)現(xiàn)與類庫(kù)中模式相匹配則判斷為檢測(cè)到木馬�����,并列舉此木馬進(jìn)行過(guò)程中的所有操作以及此類木馬的特征行為。
2.根據(jù)權(quán)利要求1所述的一種基于木馬病毒種類分類建模的木馬檢測(cè)方法�����,其特征在于:所述木馬識(shí)別類庫(kù)能夠按照不同類別單獨(dú)使用�,也能夠?qū)㈩悗?kù)整體結(jié)合組成一個(gè)龐大的類庫(kù)網(wǎng)絡(luò)使用。
全文摘要
本發(fā)明公開(kāi)了一種基于木馬病毒種類分類建模的木馬檢測(cè)方法��,包括以下步驟(1)對(duì)已發(fā)現(xiàn)的木馬按照其特征進(jìn)行分類�����;(2)形成木馬識(shí)別類庫(kù)�����;(3)收集操作系統(tǒng)特征,并通過(guò)步驟(2)的木馬識(shí)別類庫(kù)識(shí)別木馬并定位到木馬所屬的類別和特征�����;(4)定位可疑項(xiàng)�����;(5)根據(jù)步驟(3)收集的操作系統(tǒng)特征���,通過(guò)算法在類庫(kù)中進(jìn)行模式匹配來(lái)識(shí)別系統(tǒng)中的木馬�;(6)發(fā)現(xiàn)有與類庫(kù)中模式匹配相同則判斷為檢測(cè)到木馬����。本發(fā)明能夠?qū)ο到y(tǒng)中存在的木馬,特別是對(duì)未知新型木馬進(jìn)行快速的識(shí)別�、分析。此種檢測(cè)方式與傳統(tǒng)檢測(cè)方式相比����,對(duì)木馬的檢測(cè)能力,特別是在對(duì)未知新型木馬的識(shí)別和檢測(cè)能力上��,有著很大的提高。
文檔編號(hào)H04L29/06GK103095714SQ20131002881
公開(kāi)日2013年5月8日 申請(qǐng)日期2013年1月25日 優(yōu)先權(quán)日2013年1月25日
發(fā)明者陳虹宇, 其他發(fā)明人請(qǐng)求不公開(kāi)姓名 申請(qǐng)人:四川神琥科技有限公司