[发明专利]一种蜜罐系统和运用该系统检测木马的方法

说明书

技术领域

本发明属于网络安全技术领域，具体涉及木马程序的检测系统和检测方法。

背景技术

木马程序利用系统的漏洞，通过internet达到控制服务端的目的。现在的木马程序在未运行前一般难以检测，由于其不具有危险性。但是当木马程序被一些特定的动作触发时，其会针对性地对一些控制端、服务端进行控制，达到控制系统的目的。由于木马程序会自动销毁，一般的生存周期在20分钟左右。传统的安全检测软件针对一些可疑的程序会进行分析、判断。传统安全检测软件收集的往往是海量病毒样本，通过上传到服务器进行进一步地分析，由于样本量比较大，分析时间比较长，无法在短时间内给出判断结果。简单的基于云技术的搜集方式，由于样本量巨大，有可能在云计算中丢失该样本，无法精确、快速地检测出木马在生存周期内的活动状态，更不用说进行进一步的防御。因此需要一种快速、安全的检测系统。能在短时间内把木马程序检测出来，并提醒用户做进一步防御。

随着网购的发展，支付安全已经越来越重要。目前很多木马程序在发布之前都会针对专门的防火墙、杀毒软件之类的安全防护软件进行反复检测，以求通过杀毒软件，获得更多的窃取价值。在这些木马程序正式发布前，通过常见的杀毒软件是必须的，所以如果可以在木马病毒在杀毒软件测试的时候快速、准确地获得该木马的行为特征，可以有效地预防该木马病毒。

发明内容

为了在木马生存周期内快速、精确发现木马病毒，本发明目的在于提供新型一种在病毒制作者正式发布木马病毒之前，利用安全防护软件测试木马病毒文件时就能发现木马病毒的蜜罐系统和运用该系统检测木马的方法。

为了实现上述目的，本发明所采用技术方案如下：

一种蜜罐系统，包括安装于用户计算机操作系统的系统客户端、与所述系统客户端交互通信的系统服务器，在所述系统客户端设有病毒作者过滤库，用于存储预存的病毒作者的病毒作者行为规则，所述病毒作者行为规则包括安全防护软件的数量、安全防护软件的操作次数和特征码定位器；在所述系统客户端设有检测模块，用于检测计算机安全防护软件的数量、安全防护软件的扫描操作次数、以及计算机中是否包含特征码定位器；在所述系统客户端设有第一判断模块，用于判断检测模块检测的结果是否是病毒作者过滤库中的病毒作者行为规则；在所述系统客户端设有提示模块，用于提示计算机操作者使用安全防护软件扫描的文件是否为病毒文件；在所述系统客户端设有提取模块，用于上传病毒作者扫描的文件至系统服务器；在所述系统服务器设有木马规则过滤库，用于存储常见的木马行为规则；在所述系统服务器设有第二判断模块，其根据木马规则过滤库判断提取模块上传的文件是否为病毒文件，并将判断结果反馈至提示模块，由提示模块通过窗口提示模式提示用户。

进一步地，所述病毒作者行为规则包括计算机内安装两个以上安全防护软件、24小时内安全防护软件扫描操作两次以上、以及存在特征码定位器。

进一步地，所述检测模块检测结果与病毒作者行为规则过滤库中任一病毒作者行为规则匹配，则第一判断模块判断该计算机为病毒计算机。

一种运用上述蜜罐系统的检测方法，用于快速、精确检测木马病毒，该检测方法包括以下步骤，

检测模块检测计算机内安装安全防护软件的数量、24小时内安全防护软件扫描操作次数以及计算机内是否存在特征码定位器；

第一判断模块判断根据检测模块的检测结果，通过与病毒作者过滤库中的病毒作者行为规则匹配，判断该计算机是否为病毒计算机；若检测模块检测结果与病毒作者行为规则过滤库中任一病毒作者行为规则匹配，则第一判断模块判断该计算机为病毒计算机；第一判断模块的判断结果发送至提取模块；

提取模块提取计算机操作者使用安全防护软件扫描的文件至系统服务器；

系统服务器的第二判断模块根据木马规则过滤库中的木马行为规则判断该文件是否为木马文件；第二判断模块的判断结果发送至系统客户端的提示模块；

提示模块通过提示窗口的模式提示用户。

进一步地，所述第一判断模块把该计算机为病毒计算机的判断结果发送至提取模块；判断结果为非病毒计算机则返回检测模块继续检测步骤。

进一步地，所述第二判断模块把判断结果为木马文件的判断结果发送至客户端的提示模块；判断结果为非木马文件则返回检测模块继续检测步骤。

与现有的技术相比，本发明的有益技术效果在于：