一種檢測木馬的方法和設備與流程
本申請涉及計算機領域,特別是涉及一種檢測木馬的方法和設備。
背景技術:
在現有的檢測木馬的產品中,通過抓取網絡數據包,分析正常網絡連接的時間周期、流量波動情況、網絡協議的異常,從而捕獲木馬,即在木馬進行工作時對木馬進行檢測,但是,在現有技術中還沒有在木馬不工作的時候對木馬進行檢測的手段。
技術實現要素:
本申請的目的在于提供一種檢測木馬的方法和設備,本申請通過進行本地回環地址連接時相應的連接信息來檢測木馬。
一種檢測木馬的方法,其特征在于,所述方法包括:
獲取其進行本地回環地址連接前最后一次進行正常網絡連接的連接信息、進行本地回環地址連接后第一次進行正常網絡連接的連接信息和進行本地回環地址連接時的連接信息;
將其進行本地回環地址連接前最后一次進行正常網絡連接的連接信息、進行本地回環地址連接后第一次進行正常網絡連接的連接信息和進行本地回環地址連接時的連接信息中相應的連接信息進行歸并,以根據歸并結果對木馬進行檢測。
獲取其進行本地回環地址連接前最后一次進行正常網絡連接的連接信息是其進行本地回環地址連接前最后一次進行正常網絡連接的流量情況和/或連接時間,以及網絡通信協議;
獲取其進行本地回環地址連接后第一次進行正常網絡連接的連接信息是其進行本地回環地址連接后第一次進行正常網絡連接的流量情況和/或連接時間,以及網絡通信協議;
獲取其進行本地回環地址連接時的連接信息是其進行本地回環地址連接時的連接總時間和/或產生的總流量情況。
將其進行本地回環地址連接前最后一次進行正常網絡連接的連接信息、進行本地回環地址連接后第一次進行正常網絡連接的連接信息和進行本地回環地址連接時的連接信息中相應的連接信息進行歸并,具體為:
將其進行本地回環地址連接前最后一次進行正常網絡連接的連接時間、進行本地回環地址連接后第一次進行正常網絡連接的連接時間和進行本地回環地址連接時的連接總時間進行歸并;和/或,
將其進行本地回環地址連接前最后一次進行正常網絡連接的流量情況和進行本地回環地址連接后第一次進行正常網絡連接的流量情況與進行本地回環地址連接時產生的總流量進行歸并。
根據歸并結果對木馬進行檢測,具體為:
根據獲取的其進行本地回環地址連接前最后一次進行正常網絡連接的網絡通信協議、進行本地回環地址連接后第一次進行正常網絡連接的網絡通信協議和歸并結果對木馬進行檢測。
一種設備終端,其特征在于,所述設備包括:
獲取模塊,用于獲取進行本地回環地址連接前最后一次進行正常網絡連接的連接信息、進行本地回環地址連接后第一次進行正常網絡連接的連接信息和進行本地回環地址連接時的連接信息;
歸并模塊,用于將進行本地回環地址連接前最后一次進行正常網絡連接的連接信息、進行本地回環地址連接后第一次進行正常網絡連接的連接信息和進行本地回環地址連接時的連接信息中相應的連接信息進行歸并,以使所述設備終端根據歸并結果對木馬進行檢測。
所述獲取模塊獲取進行本地回環地址連接前最后一次進行正常網絡連接的連接信息是進行本地回環地址連接前最后一次進行正常網絡連接的流量情況和/或連接時間,以及網絡通信協議;
所述獲取模塊獲取進行本地回環地址連接后第一次進行正常網絡連接的連接信息是進行本地回環地址連接后第一次進行正常網絡連接的流量情況和/或連接時間,以及網絡通信協議;
所述獲取模塊獲取進行本地回環地址連接時的連接信息是進行本地回環地址連接時的連接總時間和/或產生的總流量情況。
所述歸并模塊,具體用于:
將進行本地回環地址連接前最后一次進行正常網絡連接的連接時間、進行本地回環地址連接后第一次進行正常網絡連接的連接時間和進行本地回環地址連接時的連接總時間進行歸并;和/或,
將進行本地回環地址連接前最后一次進行正常網絡連接的流量情況和進行本地回環地址連接后第一次進行正常網絡連接的流量情況與進行本地回環地址連接時的產生的總流量進行歸并。
所述設備,還包括:
檢測模塊,用于根據獲取的進行本地回環地址連接前最后一次進行正常網絡連接的網絡通信協議、進行本地回環地址連接后第一次進行正常網絡連接的網絡通信協議和歸并結果對木馬檢測。
與現有技術相比,本申請實施例至少具有以下優點:
本申請歸并獲取的設備終端進行本地回環地址連接前最后一次進行正常網絡連接的連接信息、進行本地回環地址連接后第一次進行正常網絡連接的連接信息和進行本地回環地址連接時的連接信息中相應的連接信息,并通過分析歸并后連接信息來檢測木馬,從而可以在木馬在不活動時也能對木馬進行檢測,增加了對木馬的檢測手段,提高了對木馬的防范的途徑,保證了設備終端的安全性。
附圖說明
圖1為本申請實施例中的一種基于本地回環地址連接檢測木馬的方法流程圖;
圖2為本申請實施例中一種設備終端的結構示意圖。
具體實施方式
本申請將設備終端進行本地回環地址連接前最后一次進行正常網絡連接、進行本地回環地址連接后第一次進行正常網絡連接和進行本地回環地址連接看成一個正常的網絡連接,通過分析這個正常的網絡連接來檢測木馬。
下面將結合本申請中的附圖,對本申請中的技術方案進行清楚、完整的描述,顯然,所描述的實施例是本申請的一部分實施例,而不是全部的實施例。基于本申請中的實施例,本領域普通技術人員在沒有做出創造性勞動的前提下所獲得的所有其他實施例,都屬于本申請保護的范圍。
本地回環地址是以127開頭的地址(127.0.0.1-127.255.255.254),一般都會用來檢查本地網絡協議,基本數據接口等是否正常。本地回環地址,通常用127.0.0.1表示,如常通過ping通127.0.0.1說明本機的網卡和IP(Internet Protocol,網絡之間互連的協議)協議安裝沒有問題;這個地址不能在網絡上用于通信,通過該地址通信的數據包也不會經過網卡。
在很多通過網絡流量分析木馬的產品中,都是通過抓取經過網卡的網絡數據包,分析網絡連接的時間周期,流量波動情況,網絡協議的異常,從而捕獲木馬,但是本地回環地址連接會被黑客開發的特種木馬用來隱藏網絡通信,即:在特種木馬由于不活動時,特種木馬會連接到本地回環地址上,從而沒有了網絡活動,導致分析邏輯被中斷,在傳統的網絡抓包分析木馬的產品,都是基于在網卡上抓包,當在特種木馬不活動的時候就會將連接指向到本地回環地址,由于正常檢測木馬的產品無法捕獲特種木馬在連接到本地回環地址下的活動,因為在網卡上的抓包是抓不到本地回環地址連接上的數據包的,所以使得現有 的網絡抓包分析木馬失敗,這樣就會中斷正常檢測木馬時的分析邏輯,逃避了基于網絡數據包抓包分析的檢測技術,無法檢測并發現特種木馬。
如圖1所示,為本申請實施例中一種檢測木馬的方法,應用于網絡連接環境下檢測特種木馬,所述方法包括:
步驟101,設備終端獲取其進行本地回環地址連接前最后一次進行正常網絡連接的連接信息、進行本地回環地址連接后第一次進行正常網絡連接的連接信息和進行本地回環地址連接時的連接信息。
所述設備終端獲取其進行本地回環地址連接前最后一次進行正常網絡連接的連接信息是其進行本地回環地址連接前最后一次進行正常網絡連接的流量情況和/或連接時間,以及網絡通信協議;
所述設備終端獲取其進行本地回環地址連接后第一次進行正常網絡連接的連接信息是其進行本地回環地址連接后第一次進行正常網絡連接的流量情況和/或連接時間,以及網絡通信協議;
所述設備終端獲取其進行本地回環地址連接時的連接信息是其進行本地回環地址連接時的連接總時間和/或產生的總流量情況。
所述設備終端在進行日常連接中會有兩種連接方式,一種是正常網絡連接,用來進行網絡站點訪問連接,另一種是在不進行網絡站點訪問時所述設備終端會進行本地回環地址的連接,本地回環地址連接是用來檢查本地網絡協議、基本數據接口是否正常的,所述設備終端在停止進行網絡站點訪問后則會轉而進行本地回環地址連接。
所述設備終端獲取的是在停止網絡站點訪問前最后一次網絡站點訪問連接時產生的流量的情況和/或訪問站點進行連接時持續的時間,以及使用的網絡通信協議,以及在停止本地回環地址連接后首次進行正常的站點訪問時產生的流量的情況和/或訪問站點進行連接時持續的時間,以及使用的網絡通信協議。
所述設備終端在進行本地回環地址連接時其訪問的IP地址是以127開頭的地址(127.0.0.1-127.255.255.254),并且一次訪問IP地址的時長時固定的,如 果一個在固定時長后,所述設備終端還在進行本地回環地址連接,那么所述設備終端會結束本次訪問進行下一次的訪問,即:本地回環地址連接是具有周期性的。并且,所述設備終端在進行每次本地回環地址連接時產生的流量是不同的,而且產生的流量時不經過網卡的。
步驟102,所述設備終端將其進行本地回環地址連接前最后一次進行正常網絡連接的連接信息、進行本地回環地址連接后第一次進行正常網絡連接的連接信息和進行本地回環地址連接時的連接信息中相應的連接信息進行歸并,以使所述設備終端根據歸并結果對木馬進行檢測。
其中,歸并是將所述設備終端獲取的進行本地回環地址連接前最后一次進行正常網絡連接的連接信息、進行本地回環地址連接后第一次進行正常網絡連接的連接信息和進行本地回環地址連接時的連接信息中相應的連接信息中相同類型的信息的數值進行相加。
所述設備終端將其進行本地回環地址連接前最后一次進行正常網絡連接的連接信息、進行本地回環地址連接后第一次進行正常網絡連接的連接信息和進行本地回環地址連接時的連接信息中相應的連接信息進行歸并,具體為:
所述設備終端將其進行本地回環地址連接前最后一次進行正常網絡連接的連接時間、進行本地回環地址連接后第一次進行正常網絡連接的連接時間和進行本地回環地址連接時的連接總時間進行歸并;和/或,
所述設備終端將其進行本地回環地址連接前最后一次進行正常網絡連接的流量情況和進行本地回環地址連接后第一次進行正常網絡連接的流量情況與進行本地回環地址連接時產生的總流量進行歸并。
當然,所述設備終端還可以獲取進行本地回環地址連接前最后一次進行正常網絡連接時連接到的IP地址、進行本地回環地址連接時的連接信息是其進行本地回環地址連接時連接到的所有IP地址、進行本地回環地址連接后第一次進行正常網絡連接時連接到的IP地址,在進行歸并時將進行本地回環地址連接前最后一次進行正常網絡連接時連接到的IP地址、進行本地回環地址連 接時的連接信息是其進行本地回環地址連接時連接到的所有IP地址、進行本地回環地址連接后第一次進行正常網絡連接時連接到的IP地址進行歸并,以使所述設備將進行本地回環地址連接前最后一次進行正常網絡的連接、進行本地回環地址的連接和進行本地回環地址連接后第一次進行正常網絡的連接看成一個連接。
所述設備終端將其進行本地回環地址連接前最后一次進行正常網絡連接和進行本地回環地址連接后第一次進行正常網絡連接與進行本地回環地址連接看成一個完整的連接,即:處在一個進程中的正常連接,所述設備終端將進行這3個連接時產生的類型相同的連接信息進行歸并,即:連接信息的數據進行相加,得到的是將這3個連接看成一個完整連接的連接信息。
所述設備終端根據歸并結果對木馬進行檢測,具體為:
所述設備終端根據獲取的其進行本地回環地址連接前最后一次進行正常網絡連接的網絡通信協議、進行本地回環地址連接后第一次進行正常網絡連接的網絡通信協議和歸并結果對木馬進行檢測。
具體的,設備終端對獲取的其進行本地回環地址連接前最后一次進行正常網絡連接的網絡通信協議、進行本地回環地址連接后第一次進行正常網絡連接的網絡通信協議和歸并結果進行還原和重組處理,以生成被特種木馬進程傳出接收的應用層文件,或與外界交互的有序信息交互序列;具體而言,首先去除歸并后的流量情況和/或連接時間,以及獲取的網絡通信協議中包頭的冗余信息,及其中的數據包的接收/發送時間,最后再使用數據重組應用層文件算法將歸并后的流量情況和/或連接時間,以及獲取的網絡通信協議進行還原處理,以生成被監測木馬傳出接收應用層文件或有序信息交互序列。
設備終端將按照網絡通信協議傳輸的流量情況和/或連接時間,去除冗余信息,并通過特殊的還原處理,最后形成直觀的、可視的應用層文件,從而對木馬進行檢測。
設備終端根據歸并后的流量情況和/或連接時間,以及生成的被監測木馬傳 出接收應用層文件或有序信息交互序列進行整理歸納,以生成記錄被監測木馬網絡通信的三級有序邏輯相扣的證據鏈文件。
設備終端將獲取的歸并后的數據進行處理前后的數據進行歸納整理,確保最后生成一條完整的、合乎邏輯的、嚴謹的、科學的三級有序邏輯相扣的證據鏈,來對特種木馬進行檢測。
與現有技術相比,本申請實施例至少具有以下優點:
本申請歸并獲取的設備終端進行本地回環地址連接前最后一次進行正常網絡連接的連接信息、進行本地回環地址連接后第一次進行正常網絡連接的連接信息和進行本地回環地址連接時的連接信息中相應的連接信息,并通過分析歸并后連接信息來檢測木馬,從而可以在木馬在不活動時也能對木馬進行檢測,增加了對木馬的檢測手段,提高了對木馬的防范的途徑,保證了設備終端的安全性。
為了進一步闡述本申請的技術思想,現結合具體的應用場景,對本申請的技術方案進行說明,在實際應用中,具體場景的變化并不會影響本申請的保護范圍。
具體的,所述設備終端按照先后順序在進行A連接和B連接后不再進行其他正常的訪問連接后,所述設備終端進行本地回環地址連接,在進行本地回環地址連接時進行3次連接,隨后所述設備終端按照先后順序繼續進行正常的訪問連接:C連接和D連接。
所述設備終端監控系統內進行每個連接啟動時的進程,并獲取所述進行相應的連接信息。
所述設備終端需要獲取的是進行本地回環地址連接前最后一次進行正常網絡連接的連接信息:B連接的連接信息和進行本地回環地址連接后第一次進行正常網絡連接的連接信息:C連接的連接信息,以及進行本地回環地址連接時的連接信息:進行3次本地回環地址連接時產生的連接信息。
所述設備終端獲取B連接的連接信息:連接到的IP地址、流量情況、連 接時間和使用的網絡通信協議。
所述設備終端獲取在進行3次本地回環地址連接時產生的連接信息:連接到的3個IP地址、進行3次連接的總時間、進行3次連接時產生的總流量。
所述設備終端獲取C連接的連接信息:連接到的IP地址、流量情況、連接時間和使用的網絡通信協議。
所述設備終端將B連接的連接信息、進行3次本地回環地址連接時產生的連接信息和C連接的連接信息中相同類型的信息進行歸并,即:將B連接到的IP地址、進行3次本地回環地址連接時連接到的3個IP地址、C連接到的IP地址進行歸并;將B連接的連接時間、進行3次本地回環地址連接的連接總時間、C連接的連接時間進行歸并;將B連接的流量情況、進行3次本地回環地址連接的總流量情況、C連接的流量情況進行歸并,進一步的,所述設備終端將B連接、本地回環地址連接和C連接看成一個連接進行處理。
所述設備終端將歸并后得到的多個IP地址的整體看成一個IP地址,即B連接、C連接和進行本地回環地址連接的多個連接都連接到同一個IP地址上;將進行B連接、C連接和進行本地回環地址連接的多個連接的各個時間進行相加,將相加后的時間總和看成由B連接、C連接和進行本地回環地址連接的多個連接組成的總連接的連接時間;將進行B連接、C連接和進行本地回環地址連接的多個連接的流量進行相加,將相加后的流量總和看成由B連接、C連接和進行本地回環地址連接的多個連接組成的總連接產生的流量。
所述設備終端根據B連接的網絡通信協議、C連接的網絡通信協議和由B連接、C連接和進行本地回環地址連接的多個連接組成的總連接的IP地址、連接時間和流量情況對木馬進行檢測。
當然,所述設備終端還可以在獲取B連接和C連接的網絡通信協議后,只獲取B連接、C連接和本地回環地址連接的流量情況和/或連接時間,所述設備終端對B連接、C連接和本地回環地址連接的流量情況和/或連接時間進行歸并,根據B連接和C連接的網絡通信協議和歸并后的流量情況和/或連接 時間進行木馬檢測。
基于與上述方法同樣的申請構思,本申請還提出了一種設備終端,如圖2所述,該設備包括:
獲取模塊21,用于獲取所述設備終端進行本地回環地址連接前最后一次進行正常網絡連接的連接信息、進行本地回環地址連接后第一次進行正常網絡連接的連接信息和進行本地回環地址連接時的連接信息;
歸并模塊22,用于將所述設備終端進行本地回環地址連接前最后一次進行正常網絡連接的連接信息、進行本地回環地址連接后第一次進行正常網絡連接的連接信息和進行本地回環地址連接時的連接信息中相應的連接信息進行歸并,以使所述設備終端根據歸并結果對木馬進行檢測。
所述獲取模塊獲取進行本地回環地址連接前最后一次進行正常網絡連接的連接信息是進行本地回環地址連接前最后一次進行正常網絡連接的流量情況和/或連接時間,以及網絡通信協議;
所述獲取模塊獲取進行本地回環地址連接后第一次進行正常網絡連接的連接信息是進行本地回環地址連接后第一次進行正常網絡連接的流量情況和/或連接時間,以及網絡通信協議;
所述獲取模塊獲取進行本地回環地址連接時的連接信息是進行本地回環地址連接時的連接總時間和/或產生的總流量情況。
所述歸并模塊,具體用于:
將所述設備終端進行本地回環地址連接前最后一次進行正常網絡連接的連接時間、進行本地回環地址連接后第一次進行正常網絡連接的連接時間和進行本地回環地址連接時的連接總時間進行歸并;和/或,
將所述設備終端進行本地回環地址連接前最后一次進行正常網絡連接的流量情況和進行本地回環地址連接后第一次進行正常網絡連接的流量情況與進行本地回環地址連接時的產生的總流量進行歸并。
所述設備,還包括:
檢測模塊,用于根據所述設備終端獲取的進行本地回環地址連接前最后一次進行正常網絡連接的網絡通信協議、進行本地回環地址連接后第一次進行正常網絡連接的網絡通信協議和歸并結果對木馬檢測。
與現有技術相比,本申請實施例至少具有以下優點:
本申請歸并獲取的設備終端進行本地回環地址連接前最后一次進行正常網絡連接的連接信息、進行本地回環地址連接后第一次進行正常網絡連接的連接信息和進行本地回環地址連接時的連接信息中相應的連接信息,并通過分析歸并后連接信息來檢測木馬,從而可以在木馬在不活動時也能對木馬進行檢測,增加了對木馬的檢測手段,提高了對木馬的防范的途徑,保證了設備終端的安全性。
本領域技術人員可以理解實施例中的設備中的模塊可以按照實施例描述進行分布于實施例的裝置中,也可以進行相應變化位于不同于本實施例的一個或多個裝置中。上述實施例的模塊可以合并為一個模塊,也可以進一步拆分成多個子模塊。
通過以上的實施方式的描述,本領域的技術人員可以清楚地了解到本申請可借助軟件加必需的通用硬件平臺的方式來實現,當然也可以通過硬件,但很多情況下前者是更佳的實施方式。基于這樣的理解,本申請的技術方案本質上或者說對現有技術做出貢獻的部分可以以軟件產品的形式提現出來,該計算機軟件產品存儲在一個存儲介質中,包括若干指令用以使得一臺設備設備(可以是手機,個人計算機,服務器,或者網絡設備等)執行本申請各個實施例所述的方法。
以上所述僅是本申請的優選實施方式,應當指出,對于本技術領域的普通技術人員來說,在不脫離本申請原理的前提下,還可以做出若干改進和潤飾,這些改進和潤飾也應視本申請的保護范圍。
以上公開的僅為本申請的幾個具體實施例,但是,本申請并非局限于此,任何本領域的技術人員能思之的變化都應落入本申請的保護范圍。
- 還沒有人留言評論。精彩留言會獲得點贊!