[发明专利]一种非法外联的判定方法、系统及装置

说明书

本发明公开了一种非法外联的判定方法、系统及装置。在外部程序对服务器发起或监听网络连接请求时，获取该网络连接请求的程序标识特征，然后判断网络连接的程序标识特征是否存在于预设程序标识特征库，当该程序标识特征存在于预设程序标识特征库时，判定网络连接为非法外联，能够在服务器与外部程序之间出现网络连接请求时就发现该网络连接，避免了获取网络连接请求的间隔长而不能及时发现该网络连接，且能够获取连接形式为短连接的网络连接，由于在服务器与外部程序之间建立网络连接前就获取程序标识特征，能够在黑客使用木马程序修改系统命令之前获取到该网络连接。此外，由于只需要获取该条网络连接的程序标识特征，节省了计算机存储资源。

技术领域

本发明涉及网络连接检测领域，特别是涉及一种非法外联的判定方法、系统及装置。

背景技术

黑客为了能够盗取服务器内的数据信息，需要先使程序与服务器之间建立起网络连接，以便后续进行盗窃活动，现有技术通过netstat–anp命令以周期性获取服务器与所有其他外部程序之间建立的网络连接的日志信息，然后将这些日志信息传送至预设网络连接信息库以判断网络连接的安全性，但周期性获取存在如下缺点：

1、通常无法及时获取到新建的网络连接，可能会在黑客成功盗取数据信息后才能获取到该网络连接。

2、在服务器与外部程序之间的网络连接是短连接时，由于短连接在数据发送完成后会断开，若该短连接的建立至断开的时间小于相邻两个周期的间隔时间，则无法获取该网络连接。

3、黑客会使用木马程序修改系统命令使得用户无法发现黑客的网络连接，例如，黑客可以使用rootkit hook(木马挂钩)技术覆盖或修改netstat命令，使得netstat–anp命令无法获取黑客与服务器之间的网络连接。

4、由于每次获取到的网络连接的数量很多，且大部分为上个周期已有的网络连接，会消耗大量的计算机存储资源。

发明内容

本发明的目的是提供一种非法外联的判定方法、系统及装置，能够获取形式为短连接的网络连接，且不会因为周期性获取的周期间隔长而不能及时发现该网络连接，能够在黑客使用木马程序修改系统命令之前获取到该网络连接，还节省了计算机存储资源。

为解决上述技术问题，本发明提供了一种非法外联的判定方法，包括：

在外部程序对服务器发起或监听网络连接请求时，获取所述网络连接请求中的程序标识特征；

判断所述程序标识特征是否存在于预设程序标识特征库；

若所述程序标识特征存在于所述预设程序标识特征库，则判定所述网络连接请求对应的网络连接为非法外联。

优选的，获取所述网络连接中的程序标识特征，包括：

在所述外部程序对所述服务器发起或监听所述网络连接请求时，获取包含所述网络连接请求的日志信息；

获取所述日志信息中的所述程序标识特征。

优选的，获取包含所述网络连接请求的日志信息，包括：

在所述外部程序对所述服务器发起所述网络连接请求时，调用所述服务器的系统调用表中的原生connect系统调用地址被修改后的第一系统调用地址；

在获取中断指令后基于所述第一调用地址获取包含所述网络连接请求的日志信息。

优选的，获取包含所述网络连接请求的日志信息，包括：

在所述外部程序对所述服务器监听所述网络连接请求时，调用所述服务器的系统调用表中的原生accept系统调用地址被修改后的第二系统调用地址；

在获取中断指令后基于所述第二系统调用地址获取包含所述网络连接请求的日志信息。