[发明专利]一种反弹式木马的检测方法

权利要求书

1.一种反弹式木马的检测方法，其特征在于，通过网络模拟端获取本机发送的网络数据，对其通信行为进行分析，然后对本机进程进行分析，最后将进程的本地特征与其网络特征综合起来判断识别木马。

2.根据权利要求1所述的一种反弹式木马的检测方法，其特征在于，该方法包括以下步骤：

步骤1：接入网络模拟端；

步骤2：关联进程网络数据；

步骤3：检测进程的本地特征；

步骤4：分析进程数据。

3.根据权利要求2所述的一种反弹式木马的检测方法，其特征在于，步骤1中的网络模拟端负责响应接入计算机发出的连接请求以构造出虚拟的互连网环境，并将接入计算机发出的网络数据反馈给检测端，供其综合分析，在网络模拟端设有：数据包采集模块、数据包分析模块、数据包响应模块、网络数据反馈模块。

4.根据权利要求2所述的一种反弹式木马的检测方法，其特征在于，步骤2中关联进程网络数据是指：通过网络模拟端反馈回来的数据包，检测端将网络数据包与本地进程关联起来，其关联方法如下：检测端根据被检测主机的网络端口状态，反查出各端口对应的进程，然后将该端口发送的数据包记录在该进程下。

5.根据权利要求2所述的一种反弹式木马的检测方法，其特征在于，步骤3检测该进程的本地特征，包括是否加载了不在白名单的模块或者打开了不在白名单中的文件句柄，检测方法如下：枚举出该进程加载的所有模块和打开的文件句柄，然后将这些模块和文件通过白名单库筛选，如果该模块或文件不在白名单库中，那么再验证该模块或文件的数字签名，如果数字签名验证失败则将其判断为可疑模块。

6.根据权利要求5所述的一种反弹式木马的检测方法，其特征在于，白名单库中存储操作系统以及常用软件组成模块运行时的各个模块的唯一性标识值：SHA1散列值。

7.根据权利要求5所述的一种反弹式木马的检测方法，其特征在于，步骤3中检测该进程的本地特征时首先根据白名单库对计算机操作系统运行时所加载的模块进行扫描，扫描项包括操作系统启动加载模块和系统运行的进程加载的模块。

8.根据权利要求2所述的一种反弹式木马的检测方法，其特征在于，步骤4分析进程数据，首先判断该进程的本地行为特征，如果进程的本地行为特征为可疑，则继续判断该进程的网络行为特征，统计该进程发送的特征数据包，计算这些特征数据包的间隔周期，如果存在一个周期，则判断该进程为木马进程。

9.根据权利要求8所述的一种反弹式木马的检测方法，其特征在于，判断该进程的本地行为特征包括以下选项中的至少一部分：

1）进程与其访问的URL是不是在白名单库中，

2）是否劫持IE浏览器，

3）是否伪造系统进程，

4）是否加载了可疑模块。