[发明专利]木马监控审计方法及系统

权利要求书

1.一种木马监控审计方法，其特征在于，

采集步骤，实时采集网络数据包；

当前会话确定步骤，检查网络数据包是否属于已经建立的网络会话，如果是，则插入到已建立的会话中，否则建立新的会话；所述已建立的会话或所述新的会话作为当前会话；

会话内容记录步骤，检测当前会话是否为木马网络通信会话；若是，记录木马网络通信会话的内容；

木马网络操作行为检测步骤，依据记录的木马网络通信会话的内容，检测是否是木马网络操作行为，若是，记录并监测木马网络操作行为；

其中，木马网络操作行为的类型包括：木马文件操作、木马屏幕操作、木马命令操作和进程/服务操作。

2.根据权利要求1所述一种木马监控审计方法，其特征在于，在所述木马网络操作行为的类型是木马文件操作或木马命令操作时，所述木马网络操作行为检测步骤后还设置有：

还原步骤，依据木马网络操作行为的特征对操作内容进行还原。

3.根据权利要求1所述一种木马监控审计方法，其特征在于，所述木马网络操作行为检测步骤后还设置有：

木马网络操作审计步骤，基于木马网络操作行为的特性进行报警和/或提供事后审计。

4.根据权利要求3所述的木马监控审计方法，其特征在于，

所述会话内容记录步骤中，通过将木马通信行为特征库与所述网络数据包的协议类型、通信端口号和数据载荷进行匹配的方式检测当前会话是否为木马网络通信会话；并且，在是木马网络通信会话的情况下，发出报警信息。

5.根据权利要求4所述的木马监控审计方法，其特征在于，所述采集步骤和所述当前会话确定步骤之间，还包括有：

解析步骤，对所述网络数据包进行链路协议、网络协议、传输层协议、应用层协议的解析；

有效包验证步骤，基于解析结果，确定对所述网络数据包进行过滤，并在网络数据包为无效包的情况下，丢弃该网络数据包。

6.根据权利要求5所述的木马监控审计方法，其特征在于，

所述采集步骤中，基于内存映射技术，将核心态采集接口驱动程序的内存缓存区映射到用户态内存缓存空间上进行网络数据包的采集。

7.根据权利要求6所述的木马监控审计方法，其特征在于，

所述解析步骤包括提取MAC地址、IP地址、网络协议类型、通信端口号以及应用层的数据载荷。

8.根据权利要求7所述的木马监控审计方法，其特征在于，所述当前会话确定步骤中，

采用Hash表建立所述新的会话表的数据结构，利用五元组计算出Hash值，进行地址映射。

9.根据权利要求8所述的木马监控审计方法，其特征在于，所述还原步骤中，基于TCP流重组技术，对木马操作行为传输信息的内容进行还原；当传输结束时，输出还原的内容到磁盘。

10.根据权利要求9所述的木马监控审计方法，其特征在于，所述会话内容记录步骤中，所述木马通信行为特征库依据下述方法进行更新：

步骤a、收集木马标本程序，并建立网络模拟环境，将木马程序安装在模拟环境的主机设备上；

步骤b、运行木马程序，并执行木马控制端提供的功能操作；

步骤c、通过网络数据包抓取工具对木马通信的网络数据包进行采集并保存；

步骤d、分析抓取的网络数据包，从网络数据包中提取其网络通信行为特征，包括上线行为特征及网络操作行为特征；

步骤e、将提取的特征加入到已有特征库中，并让本系统的探针模块重新加载新的木马通信行为特征库；

步骤f、建立闭环测试验证环境，并部署测试验证环境；

重复步骤b，查看系统是否有报警信息，如果没有报警信息或误报，则转到步骤d，重新提取特征，并继续后续的工作，否则转到步骤h，进行开环测试验证；

步骤h、建立开环测试验证环境，并部署到测试验证环境；

步骤i、访问互联网上的应用，查看系统是否有误报事件，如果有，则转到步骤d；

针对不同的木马标本程序，重复如上a-i过程；当所有收集的木马特征分析及提取完毕，发布新的木马通信行为特征库。