[发明专利]木马监控审计方法及系统

说明书

技术领域

本发明涉及信息技术网络安全领域，尤其涉及一种木马监控审计方法及系统。

背景技术

木马程序相对传统病毒的危害程度更高，它不但能破坏主机系统，使主机系统瘫痪，而且能够完全控制目标主机，通过远程控制端对目标主机实施任何可以在本地的操作，同时也能将本地目标主机中的文件下载到木马控制端上和上传新的木马程序或其它病毒程序。而目前对木马的检测与防护主要是采用基于病毒查杀、桌面主动防御、安全病毒网关、防火墙等产品，这些产品的所采用的技术主要有三类：

第一类，基于木马程序的静态特征识别木马。通过对木马程序进行静态分析，提取出可用于识别木马程序的特征串，作为识别、检测病毒的特征库，病毒查杀、桌面主动防御、安全病毒网关基本采用这种技术，如卡巴斯基的防病毒软件、360的杀毒软件和桌面主动防御软件等。

第二类，基于网络异常通信行为阻断方式阻断木马通信的连接。通过在防火墙上配置过滤规则，只允许正常的网络通信会话流通过，如http、email等应用协议的会话，而对其它的网络通信会话则阻断其通信连接，从而阻断了木马程序的网络通信。

第三类，基于网络通信行为特征识别木马。该技术是由中国人民解放军信息技术安全研究中心与国都兴业信息审计系统技术有限共同研究的，并申请了专利，其专利申请号是20091010157268.5，该技术的核心是通过对木马程序在网络通信的过程中的网络通信行为特征来对木马进行识别和检测。应用了网络行为监测技术。该技术的优点是不受木马程序加壳、加花、变异的影响，不依赖主机系统环境。

从对木马检测的技术分析，对木马的识别与检测技术可以归结为两类，一类是基于静态特征，就是木马程序本身所具备的特征，另外一类是基于网络通信行为特征，也叫动态特征。通过对木马程序在进行网络通信时，对其网络通信的会话流进行分析，提取出其特征，作为识别木马的依据。

针对目前木马识别、检测技术，其缺点主要包括如下几方面：

1)利用静态木马程序特征识别木马，能够识别已知的木马，但是对加壳、变异、加花的木马程序则不能识别，必须重新分析，提取其新的特征，加入到木马特征库中。随着加壳、加花技术的普及与相关软件越来越多，大量的变种木马在网络上泛滥，不但增加了木马分析的工作量，也造成了特征库的频繁更新。

2)基于静态特征方式识别、检测不但会随着特征库数量增加越来越庞大，造成检测性能的下降，而且会影响目标主机系统的性能，将会占用越来越多的CPU、内存、磁盘资源；另外由于分析新的特征需要一定的时间，也会造成响应的滞后性，该技术途径无法确定木马程序是否已经运行过，做过什么类型的操作等。

3)对操作系统的依赖性，大部分木马检测与防护产品都是基于主机系统开发的，需要安装在目标主机的操作系统中，如：卡巴斯基、360、趋势、诺顿等研发的杀毒、主动防御软件产品，都需要安装在系统中，一个产品多个不同的系统版本。

4)随着木马的翻墙技术、端口反弹技术的应用普及，基于网络异常通信行为阻断木马通信连接的有效性也越来越低，很多木马程序在进行网络通信时采用了标准的网络通信端口，如80端口，并且采用反向连接技术，由被控端木马的代理程序主动通过80端口去与控制端程序建立连接，这种方式会造成防火墙误认为是一个正常的基于Web访问的一个连接而放行。该技术不对具体的木马进行检测与控制，不对网络通信内容进行处理分析，无法确定是否是真的木马在通信，无法知道木马通信的内容及传输文件的内容。

5)基于网络通信行为特征识别木马，只是通过其网络通信行为特征识别出其木马类型，而对其木马通信的关键的网络活动如获取系统信息、修改系统配置、删除文件、下载文件、上传文件等的网络行为和内容没有做进一步分析。

发明内容

本发明的目的在于提供一种木马监控审计方法及系统。基于本发明，不仅能够对木马的类型进行识别，而且能够对木马的网络行为进行监控。

本发明公开了一种木马监控审计方法，包括：采集步骤，实时采集网络数据包；当前会话确定步骤，检查网络数据包是否属于已经建立的网络会话，如果是，则插入到已建立的会话中，否则建立新的会话；所述已建立的会话或所述新的会话作为当前会话；会话内容记录步骤，检测当前会话是否为木马网络通信会话；若是，记录木马网络通信会话的内容；木马网络操作行为检测步骤，依据记录的木马网络通信会话的内容，检测是否是木马网络操作行为，若是，记录并监测木马网络操作行为；其中，木马网络操作行为的类型包括：木马文件操作、木马屏幕操作、木马命令操作和进程/服务操作。