本發(fā)明涉及木馬檢測技術領域，尤其是一種適用于私有網(wǎng)絡的域名上線木馬檢測方法及裝置。

背景技術：

傳統(tǒng)的木馬檢測技術從大的方面上可以分為兩類，一類是基于主機的木馬檢測技術，這種技術主要運行在單個主機上，通過主機上的一些特征對木馬等惡意軟件進行檢測，一類是基于網(wǎng)絡的木馬檢測技術，通過對網(wǎng)絡流量特征的分析，對木馬攻擊進行檢測和防范。相比于基于主機的檢測方式，基于網(wǎng)絡的惡意流量檢測技術能夠為整個局域網(wǎng)提供實時的風險感知能力，且具備更低的部署成本和更大的保護范圍。

在實際部署和應用中，對互聯(lián)網(wǎng)的訪問限制往往使得上述方法的檢測效果大打折扣。私有網(wǎng)絡中就存在這樣的情況：基于主機和基于網(wǎng)絡的檢測方法在私有網(wǎng)絡環(huán)境下并不能有效的實現(xiàn)木馬的檢測，因為私有網(wǎng)絡通常不能直接訪問互聯(lián)網(wǎng)，造成基于主機的特征碼更新不及時、基于網(wǎng)絡的通信行為不能正常觸發(fā)等問題，導致現(xiàn)有的檢測技術無法充分發(fā)揮其應有的作用。

技術實現(xiàn)要素：

本發(fā)明所要解決的技術問題是：針對現(xiàn)有技術存在的問題，提供一種適用于私有網(wǎng)絡的域名上線木馬檢測方法及裝置。解決了私有網(wǎng)絡由于無法連接互聯(lián)網(wǎng)但是在產(chǎn)生木馬行為檢測帶來的問題，對潛伏于私有網(wǎng)絡中的域名上線木馬可有效觸發(fā)其行為并實現(xiàn)檢測。

本發(fā)明采用的技術方案如下：

一種適用于私有網(wǎng)絡的域名上線木馬檢測方法包括：

步驟1：在私有網(wǎng)絡中設置域名服務模塊，將私有網(wǎng)絡各主機的域名服務器IP地址配置為域名服務模塊所在主機IP地址，用以接管域名服務；域名服務模塊為私有網(wǎng)絡中所有域名服務請求提供可訪問的IP地址應答的域名應答包；

步驟2：域名服務模塊監(jiān)聽并抓取私有網(wǎng)絡中的所有網(wǎng)絡請求，識別并判斷其目的端口，獲取木馬連接端口信息；

步驟3：域名服務模塊在獲取的端口上進行監(jiān)聽操作，接受木馬主機網(wǎng)絡連接；然后觸發(fā)木馬通信行為；

步驟4：域名服務模塊構造網(wǎng)絡連接應答包，處理網(wǎng)絡連接請求，并進行網(wǎng)絡數(shù)據(jù)接收和處理；

步驟5：木馬分析模塊綜合處理網(wǎng)絡數(shù)據(jù)和行為，實現(xiàn)木馬檢測。

進一步的，所述域名應答包以DNS協(xié)議來構建的應答包。

進一步的，所述網(wǎng)絡連接應答包格式，網(wǎng)絡連接應答包處理網(wǎng)絡連接請求，并進行數(shù)據(jù)和處理的具體過程是：

步驟1：構造網(wǎng)絡連接應答包，網(wǎng)絡連接應答包格式：IP頭部+TCP頭部+觸發(fā)數(shù)據(jù)，其中觸發(fā)數(shù)據(jù)是可變長度的數(shù)據(jù)：

步驟2：將構造好的網(wǎng)絡連接應答包通過網(wǎng)絡連接請求套接字發(fā)送給請求方，同時保持對該套接字的網(wǎng)絡監(jiān)聽；

步驟3：持續(xù)接收來自于步驟2中監(jiān)聽的網(wǎng)絡數(shù)據(jù)，并按照網(wǎng)絡協(xié)議進行解析后進行存儲，同時跳轉到步驟1循環(huán)執(zhí)行。

一種適用于私有網(wǎng)絡的域名上線木馬檢測裝置包括：

域名服務模塊，用于設置在私有網(wǎng)絡中，將私有網(wǎng)絡各主機的域名服務器IP地址配置為域名服務模塊所在主機IP地址，用以接管域名服務；域名服務模塊為私有網(wǎng)絡中所有域名服務請求提供可訪問的IP地址應答的域名應答包；

然后監(jiān)聽并抓取私有網(wǎng)絡中的所有網(wǎng)絡請求，識別并判斷其目的端口，獲取木馬連接端口信息；在獲取的端口上進行監(jiān)聽操作，接受木馬主機網(wǎng)絡連接；然后觸發(fā)木馬通信行為；域名服務模塊構造網(wǎng)絡連接應答包處理網(wǎng)絡連接請求，并進行網(wǎng)絡數(shù)據(jù)接收和處理；

木馬分析模塊，用于綜合處理網(wǎng)絡數(shù)據(jù)和行為，實現(xiàn)木馬檢測。

綜上所述，由于采用了上述技術方案，本發(fā)明的有益效果是：

本發(fā)明通過在專用網(wǎng)絡中設置特殊的域名服務、網(wǎng)絡連接服務，解決了木馬在私有網(wǎng)絡中無法解析控制服務器域名、無法進行網(wǎng)絡連接、不能產(chǎn)生網(wǎng)絡連接和通信行為等問題；通過構造特殊的域名應答包和網(wǎng)絡連接應答包，可以有效的實現(xiàn)域名上線木馬的主動觸發(fā)。

附圖說明

本發(fā)明將通過例子并參照附圖的方式說明，其中：

圖1 是本發(fā)明實施實例的一種流程框圖。

圖2是域名應答包格式圖。

圖3是網(wǎng)絡連接應答包格式圖。

具體實施方式

本說明書中公開的所有特征，或公開的所有方法或過程中的步驟，除了互相排斥的特征和/或步驟以外，均可以以任何方式組合。

本說明書中公開的任一特征，除非特別敘述，均可被其他等效或具有類似目的的替代特征加以替換。即，除非特別敘述，每個特征只是一系列等效或類似特征中的一個例子而已。

如圖1，私有網(wǎng)絡是一個不與外界網(wǎng)絡通訊的局域網(wǎng)，例如zigbee局域網(wǎng)、藍牙局域網(wǎng)等。只能是通過除過網(wǎng)絡連接之外進行數(shù)據(jù)傳遞的網(wǎng)絡，網(wǎng)絡中各個主機不向外發(fā)送數(shù)據(jù)，也不能接受外界的網(wǎng)絡數(shù)據(jù)連接請求，只能接收外界除過網(wǎng)絡上數(shù)據(jù)連接請求外的方式進行數(shù)據(jù)傳遞，比如通過u盤與私有網(wǎng)絡中某臺主機進行數(shù)據(jù)傳遞。

木馬主機為帶有木馬病毒的任意一個硬件裝置，比如帶木馬病毒的U盤，帶木馬病毒的硬盤。

私有網(wǎng)絡各主機指的是需要檢測是否感染木馬病毒的主機。

本發(fā)明通過特殊的域名服務觸發(fā)私有網(wǎng)絡中的木馬網(wǎng)絡連接行為；木馬進行網(wǎng)絡連接時，利用指定端口監(jiān)聽來接收網(wǎng)絡連接，實現(xiàn)木馬通信行為的觸發(fā)；利用過程中收集和記錄的相關行為和數(shù)據(jù)實現(xiàn)木馬的檢測。具體采用下面的步驟：

1）接管域名服務，為私有網(wǎng)絡中的所有域名請求提供可訪問的IP地址應答，觸發(fā)木馬網(wǎng)絡連接行為；

2）監(jiān)聽并抓取私有網(wǎng)絡中的所有網(wǎng)絡請求，識別并判斷其目的端口，獲取木馬連接端口信息；

3）在獲取的端口上進行監(jiān)聽操作，接受木馬網(wǎng)絡連接，觸發(fā)其通信行為；

4）處理網(wǎng)絡連接請求，并進行數(shù)據(jù)接收和處理；

綜合處理網(wǎng)絡數(shù)據(jù)和行為，利用特征關聯(lián)分析結果加權判定，實現(xiàn)木馬檢測。

實施例一：本實施實例為一個包含5臺主機的小型私有局域網(wǎng)絡中利用本方法進行域名上線木馬的觸發(fā)和檢測的具體步驟：

首先，在目標網(wǎng)絡中隨機抽取一臺主機作為木馬植入主機，將樣本木馬植入到該主機中。

其次，在目標網(wǎng)絡中部署特殊域名服務模塊，將網(wǎng)內(nèi)各主機的域名服務器IP地址配置為域名服務模塊所在主機IP地址，接管目標網(wǎng)絡域名服務，獲得網(wǎng)內(nèi)所有域名請求數(shù)據(jù)和行為，并適時進行應答。通過監(jiān)聽特定的端口，接受來自木馬主機的連接請求和數(shù)據(jù)，記錄該數(shù)據(jù)和行為。

最后，通過對收集到的數(shù)據(jù)進行處理，并對記錄的行為進行關聯(lián)分析，加權判定即可檢測出木馬。

本發(fā)明并不局限于前述的具體實施方式。本發(fā)明擴展到任何在本說明書中披露的新特征或任何新的組合，以及披露的任一新的方法或過程的步驟或任何新的組合。