[发明专利]一种防木马的网络安全系统及方法

说明书

技术领域

本发明涉及一种网络安全系统及方法，尤其涉及一种防御木马的网络安全系统及方法。

背景技术

目前计算机网络技术影响到个人和企业的各个方面。几乎所有的电脑，甚至个人通讯设备，如手机，都连接到了互联网上，互联网已经深入到社会的每个角落。互联网的普及使得信息安全成为重要的社会问题，许多别有用心的程序开发者编写大量的特洛伊木马(简称木马)程序，用以窥视他人隐私和窃取他人的机密信息如网上银行帐号等，进而牟取经济利益。

特洛伊木马(简称木马)程序通常是在假意进行某些操作的同时，执行用户所不希望的操作。例如，一个木马程序将自己表现为一个登录程序，提示用户输入账号和密码，借此收集重要信息，然后秘密的发送到控制端。木马实际就是一种专门用于盗取他人资料的程序，当木马植入到用户的电脑后，电脑就会被监控起来。轻者，把网络账号、密码等信息以邮件的形式发送到黑客的邮箱。重者，木马制作者可以像操作自己的机器一样控制用户的机器，甚至可以远程监控用户所有操作。通常木马有三种工作方式，可控数据窃取型，特定数据窃取型和傀儡型木马。图1为可控数据窃取型木马的工作方式，其中，服务端是被安装了木马程序的一端，控制端是远程操控服务端的一端。对于可控数据窃取型木马，控制端112根据其自身需要选择回传数据，具体的工作过程如下：

1.建立服务端111与控制端112之间的连接，连接方式有两种：

(1)由控制端112发起面向服务端111的连接，即控制端112有针对性的从服务端111窃取数据，该连接方式通常出现在定向木马植入模式中；

(2)木马的植入不是针对某特定服务端的，控制端112等待已经植入木马的服务端111发起连接，该连接方式通常出现在非定向木马植入模式中。

2.控制端112发送指令，获取服务端111的数据；

3.服务端111接收指令，回传服务端111的数据。

对于特定数据窃取型木马，服务端直接发送数据到控制端，不需要控制端发送指令。特定数据窃取型木马具有目的性和针对性，即特定数据窃取型木马是针对特定服务端窃取特定信息的木马病毒。

对于傀儡型木马，控制端直接发送指令到服务端，不需要服务端回传数据到控制端，傀儡型木马的目的是控制及监视服务端。

目前防御木马的方法有多种，主要是预防木马(如防火墙)和查杀木马(如杀毒软件)。防火墙是通过监控通讯端口和协议对通讯端口进行限制来防止病毒的入侵，主要功能是对入侵病毒进行隔离以及防止黑客攻击，对于木马的防治作用很微弱。市场上存在的查杀木马工具是在系统运行时，扫描系统内存中的进程及硬盘上保存的系统文件，并匹配相关特征文件，从而发现木马。

木马实际就是一个潜入服务端内部，获取其操作权限的程序，该程序对系统本身不具有攻击性。因此，即使服务端中了木马，只要在信息发送到控制端之前，能够成功的被拦截，木马也就失去了控制服务端的作用。鉴于木马的此种特点以及木马的巨大危害性，在预防木马和查杀木马的基础上服务端仍旧被安装了木马的情况下，仍需一种有效防止将用户数据传送到控制端的方法来弥补防杀木马的不足。

发明内容

本发明针对以上不足，提供了一种能有效防止控制端通过木马病毒窃取服务端机密信息的系统和方法。

在第一方面，本发明提供了一种防木马的网络设备，包括病毒识别模块和策略控制模块；控制端通过互联网与服务端相连，以便控制端向服务端发送指令，和/或服务端向控制端回传数据；病毒识别模块分析来自控制端和/或来自服务端的数据包中的应用层数据，识别木马病毒；在识别到木马病毒的情况下，策略控制模块对服务端采取保护操作。

在第二方面，本发明提供了一种防木马的计算机系统，包括病毒识别模块和策略控制模块；控制端通过互联网与该计算机系统相连，以便控制端向该计算机系统发送指令，和/或该计算机系统向控制端回传数据；病毒识别模块分析来自控制端和/或该计算机系统的数据包中的应用层数据，识别木马病毒；在识别到木马病毒的情况下，策略控制模块对该计算机系统采取保护操作。

在第三方面，本发明提供了一种防木马的网络安全方法，该方法是，截获由服务端发送出去和/或发送到服务端的数据包，根据数据包中的应用层数据识别木马病毒，在识别到木马病毒的情况下对服务端采取保护操作。