專利名稱:一種木馬檢測(cè)方法、裝置及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)安全領(lǐng)域,特別是涉及一種木馬檢測(cè)方法、裝置及系統(tǒng)。
背景技術(shù):
在網(wǎng)絡(luò)安全領(lǐng)域,木馬(Trojan Horse)通常指內(nèi)部包含為了完成特殊任務(wù)而編制 的代碼程序。這種程序通常是隱藏的,能夠在沒有獲得用戶許可的情況下,進(jìn)行拷貝文件、 竊取用戶密碼、監(jiān)視用戶操作等惡意操作?,F(xiàn)有技術(shù)中對(duì)木馬的檢測(cè)主要是基于單包網(wǎng)絡(luò)行為,將木馬的網(wǎng)絡(luò)特征搜集在木 馬特征庫中,檢測(cè)工具獲取某一幀網(wǎng)絡(luò)數(shù)據(jù)流中的關(guān)鍵字段作為特征碼,以掃描的方式將 所獲取的網(wǎng)絡(luò)數(shù)據(jù)流中的特征碼同木馬特征庫中的特征碼進(jìn)行比對(duì),如果在木馬特征庫中 比對(duì)到相同的特征碼,則判定網(wǎng)絡(luò)中存在木馬,并進(jìn)行相應(yīng)的報(bào)警。發(fā)明人發(fā)現(xiàn)上述方法中,由于網(wǎng)絡(luò)中的部分木馬是在同一源碼的程序上開發(fā)出 來的,大部分的網(wǎng)絡(luò)行為特征相似,因此,通過獲取某一幀網(wǎng)絡(luò)數(shù)據(jù)流中的關(guān)鍵字段作為特 征碼進(jìn)行判斷的方法,容易導(dǎo)致木馬事件的誤報(bào)。
發(fā)明內(nèi)容
本發(fā)明實(shí)施例提供一種木馬檢測(cè)方法、裝置及系統(tǒng),有效地提高了木馬攻擊行為 檢測(cè)的準(zhǔn)確率。本發(fā)明實(shí)施例提供一種木馬檢測(cè)方法,包括通過將報(bào)文按照捕獲時(shí)序與預(yù)置的木馬特征數(shù)據(jù)庫中的特征進(jìn)行第一次匹配,獲 得可疑特征報(bào)文,將獲取的可疑特征報(bào)文的身份標(biāo)識(shí)信息進(jìn)行緩存;當(dāng)滿足預(yù)置的第二次匹配條件時(shí),,其中,所述的表達(dá)式是所述木馬時(shí)序特征庫中 按照?qǐng)?zhí)行時(shí)序進(jìn)行關(guān)聯(lián)的木馬特征身份標(biāo)識(shí)信息;如果判斷結(jié)果為是,則確定所述可疑特征報(bào)文為木馬特征報(bào)文。本發(fā)明實(shí)施例還提供一種木馬檢測(cè)裝置,包括可疑報(bào)文獲取單元,用于通過將報(bào)文按照捕獲時(shí)序與預(yù)置的木馬特征數(shù)據(jù)庫中的 特征進(jìn)行第一次匹配,獲得可疑特征報(bào)文,將獲取的可疑特征報(bào)文的身份標(biāo)識(shí)信息進(jìn)行緩 存;時(shí)序特征匹配單元,用于當(dāng)滿足預(yù)置的第二次匹配條件時(shí),判斷所述身份標(biāo)識(shí)信 息按照緩存時(shí)序與預(yù)置的木馬時(shí)序特征庫中表達(dá)式是否匹配,其中,所述的表達(dá)式是所述 木馬時(shí)序特征庫中按照?qǐng)?zhí)行時(shí)序進(jìn)行關(guān)聯(lián)的木馬特征身份標(biāo)識(shí)信息;判斷單元,用于當(dāng)可疑特征報(bào)文身份標(biāo)識(shí)信息以及緩存時(shí)序與預(yù)置的木馬時(shí)序特 征庫中包括木馬特征身份標(biāo)識(shí)信息以及執(zhí)行時(shí)序的表達(dá)式匹配時(shí),確定匹配的可疑木馬特 征報(bào)文為木馬特征報(bào)文。本發(fā)明實(shí)施例還提供一種木馬檢測(cè)系統(tǒng),包括木馬特征庫,用于存儲(chǔ)木馬報(bào)文特征信息;
時(shí)序特征庫,用于存儲(chǔ)預(yù)先按照木馬程序的執(zhí)行時(shí)序進(jìn)行關(guān)聯(lián)的木馬特征身份信 息;木馬檢測(cè)裝置,通過將報(bào)文按照捕獲時(shí)序與預(yù)置的木馬特征數(shù)據(jù)庫中的特征進(jìn)行 第一次匹配,獲得可疑特征報(bào)文,將獲取的可疑特征報(bào)文的身份標(biāo)識(shí)信息進(jìn)行緩存;當(dāng)滿足 預(yù)置的第二次匹配條件時(shí),判斷所述身份標(biāo)識(shí)信息按照緩存時(shí)序與預(yù)置的木馬時(shí)序特征庫 中表達(dá)式是否匹配,其中,所述的表達(dá)式是所述木馬時(shí)序特征庫中按照?qǐng)?zhí)行時(shí)序進(jìn)行關(guān)聯(lián) 的木馬特征身份標(biāo)識(shí)信息;如果判斷結(jié)果為是,則確定所述可疑特征報(bào)文為木馬特征報(bào)文。本發(fā)明實(shí)施例中,利用木馬攻擊過程中的特征執(zhí)行具有時(shí)間順序的這個(gè)特征,在 通過預(yù)置的木馬特征庫判斷得到可疑的特征報(bào)文后,進(jìn)一步利用木馬攻擊程序執(zhí)行時(shí)序的 特點(diǎn),判斷可疑的特征報(bào)文的執(zhí)行時(shí)序是否和木馬攻擊程序的執(zhí)行時(shí)序相同,如果相同,才 確定可疑特征報(bào)文為木馬特征報(bào)文;本發(fā)明實(shí)施例與現(xiàn)有技術(shù)中僅通過木馬特征庫來檢查 木馬攻擊行為的方法相比,有效地提高了木馬攻擊行為檢測(cè)的準(zhǔn)確率。
為了更清楚地說明本發(fā)明實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案,下面將對(duì)實(shí)施例中所 需要使用的附圖作簡單地介紹,顯而易見地,下面描述中的附圖僅僅是本發(fā)明的一些實(shí)施 例,對(duì)于本領(lǐng)域普通技術(shù)人員來講,在不付出創(chuàng)造性勞動(dòng)性的前提下,還可以根據(jù)這些附圖 獲得其他的附圖。圖1是本發(fā)明實(shí)施例提供的一種木馬檢測(cè)方法;圖2是本發(fā)明實(shí)施例提供的另一種木馬檢測(cè)方法;圖3是本發(fā)明實(shí)施例提供的一種木馬檢測(cè)裝置;圖4是本發(fā)明實(shí)施例提供的另一種木馬檢測(cè)裝置結(jié)構(gòu)圖;圖5是本發(fā)明實(shí)施例提供的一種木馬檢測(cè)系統(tǒng)。
具體實(shí)施例方式為使本發(fā)明的上述目的、特征和優(yōu)點(diǎn)能夠更加明顯易懂,下面結(jié)合附圖和具體實(shí) 施方式對(duì)本發(fā)明作進(jìn)一步詳細(xì)的說明。本發(fā)明實(shí)施例中,報(bào)文也可以替換成數(shù)據(jù)包、數(shù)據(jù)幀、數(shù)據(jù)塊、信元、分組等其他形 式的網(wǎng)絡(luò)傳輸數(shù)據(jù)單元,只要可以被檢測(cè)的,即符合本發(fā)明的發(fā)明構(gòu)想。本發(fā)明實(shí)施例提供一種木馬檢測(cè)方法,包括步驟100 通過將報(bào)文按照捕獲時(shí)序與預(yù)置的木馬特征數(shù)據(jù)庫中的特征進(jìn)行第一 次匹配,獲得可疑特征報(bào)文,將獲取的可疑特征報(bào)文身份標(biāo)識(shí)信息進(jìn)行緩存;在本發(fā)明實(shí)施例中,木馬檢測(cè)裝置對(duì)網(wǎng)絡(luò)設(shè)備中的會(huì)話流進(jìn)行報(bào)文的捕獲,將捕 獲得到的報(bào)文按照捕獲的時(shí)序與預(yù)置的木馬特征數(shù)據(jù)庫中的木馬報(bào)文特征進(jìn)行匹配,當(dāng) 然,獲取報(bào)文除了捕獲的方式,也可以由網(wǎng)絡(luò)設(shè)備主動(dòng)將報(bào)文發(fā)送給木馬檢測(cè)裝置;如果所 捕獲的報(bào)文中特征與所述數(shù)據(jù)庫中的木馬報(bào)文特征匹配一致,則確定該報(bào)文特征為可疑特 征報(bào)文;其中,預(yù)置的木馬特征數(shù)據(jù)庫中的特征可以是木馬的名稱、版本號(hào)、通信指令、操 作指令等。
5
步驟102 當(dāng)滿足預(yù)置的第二次匹配條件時(shí),判斷所述身份標(biāo)識(shí)信息按照緩存時(shí) 序與預(yù)置的木馬時(shí)序特征庫中表達(dá)式是否匹配,其中,所述的表達(dá)式是按照?qǐng)?zhí)行時(shí)序進(jìn)行 關(guān)聯(lián)的木馬特征身份標(biāo)識(shí)信息;為實(shí)現(xiàn)發(fā)明目的,本發(fā)明實(shí)施例中需要預(yù)置一個(gè)木馬時(shí)序特征庫,所述預(yù)置的木 馬時(shí)序特征庫中集合了按照木馬程序的執(zhí)行時(shí)序進(jìn)行關(guān)聯(lián)的木馬特征;通過發(fā)明人研究發(fā) 現(xiàn),木馬攻擊的行為過程主要分為三個(gè)狀態(tài)狀態(tài)1 木馬上線;狀態(tài)2 木馬操作;狀態(tài)3 木馬下線;并且按照狀態(tài)1至狀態(tài)3的執(zhí)行時(shí)序進(jìn)行;因此本發(fā)明實(shí)施例利用木馬攻擊行 為的執(zhí)行時(shí)序這個(gè)特點(diǎn)預(yù)先設(shè)置木馬時(shí)序特征庫,通過分析已知的木馬程序特征以及特征 的執(zhí)行時(shí)序,將木馬特征按照木馬程序的執(zhí)行時(shí)序進(jìn)行關(guān)聯(lián)后,放入所述的木馬時(shí)序特征 庫中;其中,放入木馬特征庫中的木馬特征身份標(biāo)識(shí)信息,可以是能夠標(biāo)識(shí)報(bào)文的特征標(biāo) 識(shí),例如木馬身份標(biāo)識(shí)碼(TID,uniquely identify Trojan rules),將木馬特征的TID碼 按照木馬程序的執(zhí)行時(shí)序進(jìn)行關(guān)聯(lián)后,放入所述的木馬時(shí)序特征庫中,例如木馬攻擊程序 中木馬上線特征TID碼為1001,木馬操作特征TID碼1002,木馬下線特征TID碼1003, 在木馬時(shí)序特征庫中,將木馬特征的TID碼按照?qǐng)?zhí)行時(shí)序進(jìn)行關(guān)聯(lián)組成表達(dá)式,如表達(dá)式 E[1001]->E[1002]->E[1003];其中,預(yù)置的第二次匹配條件可以是緩存達(dá)到預(yù)置的時(shí)長,例如,預(yù)置時(shí)長為1分 鐘,在第一次匹配上特征的1分鐘內(nèi),存在可疑身份標(biāo)識(shí)分別為1001、1002、1003、的報(bào)文, 則在每隔1分鐘時(shí)進(jìn)行一回第二次匹配,匹配表達(dá)式E [1001] ->E [1002] ->E [1003];也可以 是緩存內(nèi)容到達(dá)預(yù)置的大小,例如,預(yù)置緩存大小為IK時(shí),在緩存容量達(dá)到IK時(shí)進(jìn)行二次 匹配,并且使用先進(jìn)先出的方式對(duì)緩存內(nèi)容進(jìn)行刪除。在本實(shí)施例中,當(dāng)?shù)谝淮纹ヅ涞玫娇梢商卣鲌?bào)文后,為提高第二次匹配的匹配效 率,緩存的可疑特征報(bào)文信息可以是可疑特征報(bào)文的身份標(biāo)識(shí)信息,例如緩存用于標(biāo)識(shí)報(bào) 文特征的唯一性的TID碼,在進(jìn)行第二次匹配時(shí)僅匹配報(bào)文的身份標(biāo)識(shí);步驟104 當(dāng)可疑特征報(bào)文身份標(biāo)識(shí)信息以及緩存時(shí)序與預(yù)置的木馬時(shí)序特征庫 中包括木馬特征身份標(biāo)識(shí)信息以及執(zhí)行時(shí)序的表達(dá)式匹配時(shí),確定匹配的可疑特征報(bào)文為 木馬特征報(bào)文;其中,該方法還可以包括當(dāng)可疑特征報(bào)文身份標(biāo)識(shí)信息以及緩存時(shí)序與預(yù)置的 木馬時(shí)序特征庫中包括木馬特征身份標(biāo)識(shí)信息以及執(zhí)行時(shí)序的表達(dá)式不匹配時(shí),確定所匹 配的可疑特征報(bào)文不是木馬特征報(bào)文。通常可疑特征報(bào)文檢測(cè)裝置針對(duì)數(shù)據(jù)流進(jìn)行捕獲報(bào)文時(shí),當(dāng)發(fā)現(xiàn)所捕獲的報(bào)文為 可疑特征報(bào)文時(shí)就將其身份標(biāo)識(shí)進(jìn)行緩存,因此,可疑特征報(bào)文的身份標(biāo)識(shí)的緩存按照被 發(fā)現(xiàn)的時(shí)序保存在緩存中;其中,針對(duì)數(shù)據(jù)流捕獲報(bào)文可以是針對(duì)具有相同源IP和目的 IP的多會(huì)話流中捕獲不同報(bào)文,具體方式本實(shí)施例不做限制。本實(shí)施例中,所緩存的可疑特征報(bào)文身份標(biāo)識(shí)信息按照緩存時(shí)序與預(yù)置的木馬時(shí) 序特征庫中表達(dá)式進(jìn)行第二次匹配,所述的表達(dá)式是所述木馬時(shí)序特征庫中按照?qǐng)?zhí)行時(shí)序 進(jìn)行關(guān)聯(lián)的木馬特征身份標(biāo)識(shí)信息,可以是首先判斷緩存中所存儲(chǔ)的可疑特征報(bào)文身份標(biāo)識(shí)信息是否能在預(yù)置的木馬時(shí)序 特征庫中匹配到相同的木馬特征身份標(biāo)識(shí)信息;當(dāng)匹配到有相同的木馬特征報(bào)文身份標(biāo)識(shí) 信息時(shí),則繼續(xù)判斷所匹配得到的相同可疑特征報(bào)文的緩存時(shí)序是否和木馬特征的執(zhí)行時(shí)序相同;如果是,則確定可疑特征報(bào)文為木馬特征報(bào)文,如果否,則確定可疑特征報(bào)文不是 木馬特征報(bào)文;當(dāng)然,為了提高匹配效率,在判斷緩存中所存儲(chǔ)的可疑特征報(bào)文身份標(biāo)識(shí)信息是 否與預(yù)置的表達(dá)式匹配時(shí),也可以先判斷緩存順序?yàn)榈谝坏目梢商卣鲌?bào)文是否有木馬特征 身份標(biāo)識(shí)信息匹配,如果是,則再繼續(xù)判斷緩存順序在第二的可疑特征報(bào)文身份標(biāo)識(shí)信息 是否有木馬特征身份標(biāo)識(shí)信息匹配,如果否,則停止匹配,以此類推,直到緩存中的可疑特 征報(bào)文匹配完畢;本發(fā)明實(shí)施例中,利用木馬攻擊過程中的特征執(zhí)行具有時(shí)間順序的這個(gè)特征,在 通過預(yù)置的木馬特征庫判斷得到可疑的特征報(bào)文后,進(jìn)一步利用木馬攻擊程序執(zhí)行時(shí)序的 特點(diǎn),判斷可疑的特征報(bào)文的執(zhí)行時(shí)序是否和木馬攻擊程序的執(zhí)行時(shí)序相同,如果相同,則 確定可疑特征報(bào)文為木馬特征報(bào)文;而現(xiàn)有技術(shù)中由于一些木馬的通信格式以簡單的數(shù)字 來約定,對(duì)于特征碼為數(shù)字的正常數(shù)據(jù)幀,在網(wǎng)絡(luò)行為檢測(cè)時(shí),也容易被誤報(bào)為木馬。本發(fā) 明實(shí)施例與現(xiàn)有技術(shù)中僅通過木馬特征庫來檢查木馬攻擊行為的方法相比,有效地提高了 木馬攻擊行為檢測(cè)的準(zhǔn)確率。參見圖2,本發(fā)明還提供另一種木馬檢測(cè)方法,相較于前一實(shí)施例,本實(shí)施例中增 加了當(dāng)完成上述實(shí)施例中的第二次匹配后,對(duì)于緩存中已經(jīng)存儲(chǔ)的特征報(bào)文進(jìn)行處理的步 驟,具體包括步驟200 通過將報(bào)文的特征按照捕獲時(shí)序與預(yù)置的木馬特征數(shù)據(jù)庫中的特征進(jìn) 行第一次匹配,獲得可疑特征報(bào)文,將獲取的可疑特征報(bào)文身份標(biāo)識(shí)進(jìn)行緩存;步驟202 當(dāng)滿足預(yù)置的第二次匹配條件時(shí),將所緩存的可疑特征報(bào)文身份標(biāo)識(shí) 信息按照緩存時(shí)序與預(yù)置的木馬時(shí)序特征庫中表達(dá)式進(jìn)行第二次匹配,所述的表達(dá)式是按 照?qǐng)?zhí)行時(shí)序進(jìn)行關(guān)聯(lián)的木馬特征身份標(biāo)識(shí)信息;步驟204 當(dāng)可疑特征報(bào)文身份標(biāo)識(shí)信息以及緩存時(shí)序與預(yù)置的木馬時(shí)序特征庫 中包括木馬特征身份標(biāo)識(shí)信息以及執(zhí)行時(shí)序的表達(dá)式匹配時(shí),確定可疑特征報(bào)文為木馬特 征報(bào)文;上述步驟的具體實(shí)現(xiàn)過程和前述實(shí)施例相同,在本實(shí)施例中不再贅述;步驟206 所述第二次匹配完成后,刪除緩存中已經(jīng)匹配過的可疑特征報(bào)文的身 份標(biāo)識(shí)信息;步驟208 當(dāng)緩存中存儲(chǔ)容量達(dá)到預(yù)置的第二閾值時(shí),對(duì)緩存中已存儲(chǔ)的可疑特 征報(bào)文的身份標(biāo)識(shí)信息采用先進(jìn)先出的方式進(jìn)行刪除,并且優(yōu)先刪除已經(jīng)匹配過的身份信 息內(nèi)容。其中,當(dāng)緩存中存儲(chǔ)容量達(dá)到預(yù)置的第二閾值時(shí),對(duì)于緩存中的已存儲(chǔ)的特征報(bào) 文可以而采用先進(jìn)先出的方式對(duì)緩沖中已存儲(chǔ)的可以特征報(bào)文身份標(biāo)識(shí)進(jìn)行刪除,可以保 證將所存儲(chǔ)的數(shù)據(jù)中最舊的數(shù)據(jù)被刪除;而在所述第二次匹配結(jié)束后,刪除已經(jīng)匹配過的 身份標(biāo)識(shí)信息內(nèi)容,這樣可以保證緩存的存儲(chǔ)效率。本發(fā)明實(shí)施例中,在前述實(shí)施例的基礎(chǔ)上,對(duì)緩存中內(nèi)容采用先進(jìn)先出進(jìn)行刪除, 有效保證了緩存效率的同時(shí),與現(xiàn)有技術(shù)中僅通過木馬特征庫來檢查木馬攻擊行為的方法 相比,有效地提高了木馬攻擊行為檢測(cè)的準(zhǔn)確率。參見圖3,本發(fā)明實(shí)施例還提供一種木馬檢測(cè)裝置,可以應(yīng)用前述木馬檢測(cè)方法,
7該裝置包括可疑報(bào)文獲取單元300,用于通過將報(bào)文按照捕獲時(shí)序與預(yù)置的木馬特征數(shù)據(jù)庫 中的特征進(jìn)行第一次匹配,獲得可疑特征報(bào)文,將獲取的可疑特征報(bào)文身份標(biāo)識(shí)信息進(jìn)行 緩存;其中,可疑報(bào)文獲取單元對(duì)網(wǎng)絡(luò)設(shè)備中的會(huì)話流進(jìn)行報(bào)文的捕獲,將捕獲得到的 報(bào)文按照捕獲的時(shí)序與預(yù)置的木馬特征數(shù)據(jù)庫中的特征進(jìn)行匹配;如果所捕獲的報(bào)文中特 征與所述數(shù)據(jù)庫中的特征匹配一致,則確定該報(bào)文特征為可疑特征報(bào)文;時(shí)序特征匹配單元304,用于當(dāng)滿足預(yù)置的第二次匹配條件時(shí),判斷所述身份標(biāo)識(shí) 信息按照緩存時(shí)序與預(yù)置的木馬時(shí)序特征庫中表達(dá)式是否匹配其中,所述的表達(dá)式是按照 執(zhí)行時(shí)序進(jìn)行關(guān)聯(lián)的木馬特征身份標(biāo)識(shí)信息;在本實(shí)施例中,按照?qǐng)?zhí)行時(shí)序進(jìn)行關(guān)聯(lián)的木馬特征身份標(biāo)識(shí)表達(dá)式和方法實(shí)施例 中的生成表達(dá)式的方法相同,在此不再贅述。當(dāng)?shù)谝淮纹ヅ涞玫娇梢商卣鲌?bào)文后,為提高第 二次匹配的匹配效率,時(shí)序特征匹配單元所緩存的可疑特征報(bào)文信息可以是可疑特征報(bào)文 的身份標(biāo)識(shí)信息,例如緩存用于標(biāo)識(shí)報(bào)文特征的唯一性的TID碼,在進(jìn)行第二次匹配時(shí)僅 匹配報(bào)文的身份標(biāo)識(shí);判斷單元306,用于當(dāng)可疑特征報(bào)文身份標(biāo)識(shí)信息以及緩存時(shí)序與預(yù)置的木馬時(shí) 序特征庫中包括木馬特征身份標(biāo)識(shí)信息以及執(zhí)行時(shí)序的表達(dá)式匹配時(shí),確定匹配的可疑木 馬特征報(bào)文為木馬特征報(bào)文;其中,判斷單元,還可以用于當(dāng)可疑特征報(bào)文身份標(biāo)識(shí)信息以及緩存時(shí)序與預(yù)置 的木馬特征庫中特征身份標(biāo)識(shí)信息以及執(zhí)行時(shí)序不匹配時(shí),確定所匹配的可疑特征報(bào)文不 是木馬特征報(bào)文。圖4為另一種木馬檢測(cè)裝置結(jié)構(gòu)圖,其中木馬檢測(cè)裝置的時(shí)序特征匹配單元304 可以包括身份標(biāo)識(shí)匹配單元41,用于判斷緩存中所存儲(chǔ)的可疑特征報(bào)文身份標(biāo)識(shí)信息是否 能在預(yù)置的木馬時(shí)序特征庫中匹配到相同的木馬特征身份標(biāo)識(shí)信息匹配;時(shí)序特征匹配單元42,用于當(dāng)匹配到有相同的木馬特征報(bào)文身份標(biāo)識(shí)信息時(shí),則 繼續(xù)判斷所匹配得到的相同可疑特征報(bào)文的緩存時(shí)序是否和木馬特征的執(zhí)行時(shí)序相同,并 將判斷結(jié)果發(fā)送至判斷單元;通??梢蓤?bào)文獲取單元針對(duì)數(shù)據(jù)流進(jìn)行捕獲報(bào)文時(shí),當(dāng)發(fā)現(xiàn)所捕獲的報(bào)文為可疑 特征報(bào)文時(shí)就將其進(jìn)行緩存,因此,可疑特征報(bào)文的緩存按照被發(fā)現(xiàn)的時(shí)序保存在緩存中; 其中,針對(duì)數(shù)據(jù)流捕獲報(bào)文可以是針對(duì)具有相同源IP和目的IP的多會(huì)話流中捕獲不同報(bào) 文,具體方式本實(shí)施例不做限制。進(jìn)一步,為了能保證緩存效率,保證緩存中最舊的數(shù)據(jù)刪除掉。本發(fā)明實(shí)施例中可 疑報(bào)文獲取單元300,還可以用于當(dāng)緩存中存儲(chǔ)容量達(dá)到預(yù)置第二閾值時(shí),對(duì)已緩存的可 疑特征報(bào)文的身份標(biāo)識(shí)信息采用先進(jìn)先出的方式進(jìn)行刪除;另外,為提高緩存中數(shù)據(jù)存儲(chǔ)的效率,本發(fā)明實(shí)施例中可疑報(bào)文獲取單元300,還 可以用于當(dāng)完成第二次匹配后,刪除已經(jīng)匹配過的信息內(nèi)容。本發(fā)明實(shí)施例中除時(shí)序特征匹配單元304外,其他模塊及功能和前一實(shí)施例相 同,在此不再贅述。
參見圖5,本發(fā)明實(shí)施例還提供一種木馬檢測(cè)系統(tǒng),包括木馬特征庫502,用于存儲(chǔ)木馬報(bào)文特征信息;其中,預(yù)置的木馬特征數(shù)據(jù)庫中的特征信息可以是木馬的名稱、版本號(hào)、通信指 令、操作指令等;時(shí)序特征庫504,用于存儲(chǔ)預(yù)先按照木馬程序的執(zhí)行時(shí)序進(jìn)行關(guān)聯(lián)的木馬特征身 份標(biāo)識(shí)信息的表達(dá)式;木馬檢測(cè)裝置500,通過將報(bào)文按照捕獲時(shí)序與預(yù)置的木馬特征數(shù)據(jù)庫中的特征 進(jìn)行第一次匹配,獲得可疑特征報(bào)文,將獲取的可疑特征報(bào)文的身份標(biāo)識(shí)信息進(jìn)行緩存;當(dāng) 滿足預(yù)置的第二次匹配條件時(shí),判斷所述身份標(biāo)識(shí)信息按照緩存時(shí)序與預(yù)置的木馬時(shí)序特 征庫中表達(dá)式是否匹配,其中,所述的表達(dá)式是所述木馬時(shí)序特征庫中按照?qǐng)?zhí)行時(shí)序進(jìn)行 關(guān)聯(lián)的木馬特征身份標(biāo)識(shí)信息;如果判斷結(jié)果為是,則確定所述可疑特征報(bào)文為木馬特征 報(bào)文;其中,木馬時(shí)序特征庫中表達(dá)式的生產(chǎn)和前述方法實(shí)施例中所述的設(shè)置方法相 同,木馬檢測(cè)裝置前文也有描述,在此不再贅述。本實(shí)施例所提供的木馬檢測(cè)系統(tǒng)可以作為 網(wǎng)絡(luò)安全檢測(cè)類產(chǎn)品,例如防火墻、安全網(wǎng)關(guān)等;本發(fā)明實(shí)施例中,利用木馬攻擊過程中的特征執(zhí)行具有時(shí)間順序的這個(gè)特征,在 通過預(yù)置的木馬特征庫判斷得到可疑的特征報(bào)文后,進(jìn)一步利用木馬攻擊程序執(zhí)行時(shí)序的 特點(diǎn),判斷可疑的特征報(bào)文的執(zhí)行時(shí)序是否和木馬攻擊程序的執(zhí)行時(shí)序相同,如果相同,則 確定可疑特征報(bào)文為木馬特征報(bào)文;與現(xiàn)有技術(shù)中僅通過木馬特征庫來檢查木馬攻擊行為 的方法相比,有效地提高了木馬攻擊行為檢測(cè)的準(zhǔn)確率。通過以上的實(shí)施方式的描述,本領(lǐng)域的技術(shù)人員可以清楚地了解到本發(fā)明可借 助軟件加必需的硬件平臺(tái)的方式來實(shí)現(xiàn),當(dāng)然也可以全部通過硬件來實(shí)施,但很多情況下 前者是更佳的實(shí)施方式?;谶@樣的理解,本發(fā)明的技術(shù)方案對(duì)背景技術(shù)做出貢獻(xiàn)的全部 或者部分可以以軟件產(chǎn)品的形式體現(xiàn)出來,該計(jì)算機(jī)軟件產(chǎn)品可以存儲(chǔ)在存儲(chǔ)介質(zhì)中,如 ROM/RAM、磁碟、光盤等,包括若干指令用以使得一臺(tái)計(jì)算機(jī)設(shè)備(可以是個(gè)人計(jì)算機(jī),服務(wù) 器,或者網(wǎng)絡(luò)設(shè)備等)執(zhí)行本發(fā)明各個(gè)實(shí)施例或者實(shí)施例的某些部分所述的方法。 以上對(duì)本發(fā)明進(jìn)行了詳細(xì)介紹,本文中應(yīng)用了具體個(gè)例對(duì)本發(fā)明的原理及實(shí)施方 式進(jìn)行了闡述,以上實(shí)施例的說明只是用于幫助理解本發(fā)明的方法及其核心思想;同時(shí),對(duì) 于本領(lǐng)域的一般技術(shù)人員,依據(jù)本發(fā)明的思想,在具體實(shí)施方式
及應(yīng)用范圍上均會(huì)有改變 之處,綜上所述,本說明書內(nèi)容不應(yīng)理解為對(duì)本發(fā)明的限制。
權(quán)利要求
1.一種木馬檢測(cè)方法,其特征在于,包括通過將報(bào)文按照捕獲時(shí)序與預(yù)置的木馬特征數(shù)據(jù)庫中的特征進(jìn)行第一次匹配,獲得可 疑特征報(bào)文,將獲取的可疑特征報(bào)文的身份標(biāo)識(shí)信息進(jìn)行緩存;當(dāng)滿足預(yù)置的第二次匹配條件時(shí),,其中,所述的表達(dá)式是所述木馬時(shí)序特征庫中按照 執(zhí)行時(shí)序進(jìn)行關(guān)聯(lián)的木馬特征身份標(biāo)識(shí)信息;如果判斷結(jié)果為是,則確定所述可疑特征報(bào)文為木馬特征報(bào)文。
2.根據(jù)權(quán)利要求1所述的木馬檢測(cè)方法,其特征在于所述將所緩存的可疑特征報(bào)文身份標(biāo)識(shí)信息按照緩存時(shí)序與預(yù)置的木馬時(shí)序特征庫 中表達(dá)式進(jìn)行第二次匹配,所述的表達(dá)式是所述木馬時(shí)序特征庫中按照?qǐng)?zhí)行時(shí)序進(jìn)行關(guān)聯(lián) 的木馬特征身份標(biāo)識(shí)信息,包括判斷緩存中可疑特征報(bào)文的身份標(biāo)識(shí)信息是否能與預(yù)置的木馬時(shí)序特征庫中的木馬 特征身份標(biāo)識(shí)信息匹配;如果匹配,則繼續(xù)判斷該可疑特征報(bào)文的緩存時(shí)序是否和木馬特征的執(zhí)行時(shí)序相同。
3.根據(jù)權(quán)利要求1或2所述的木馬檢測(cè)方法,其特征在于,所述預(yù)置的第二次匹配條件 包括當(dāng)所述緩存中存儲(chǔ)的可疑特征報(bào)文的身份標(biāo)識(shí)達(dá)到預(yù)置的時(shí)長; 或當(dāng)所述緩存中容量達(dá)到預(yù)置第一閾值的大小。
4.根據(jù)權(quán)利要求1或2所述的木馬檢測(cè)方法,其特征在于,還包括當(dāng)緩存中存儲(chǔ)容量達(dá)到預(yù)置第二閾值時(shí),對(duì)已緩存的可疑特征報(bào)文的身份標(biāo)識(shí)信息采 用先進(jìn)先出的方式進(jìn)行刪除。
5.根據(jù)權(quán)利要求4所述的木馬檢測(cè)方法,其特征在于還包括所述第二次匹配完成后,刪除緩存中已經(jīng)匹配過的可疑特征報(bào)文的身份標(biāo)識(shí)信息。
6.根據(jù)權(quán)利要求3所述的木馬檢測(cè)方法,其特征在于所述身份標(biāo)識(shí)信息為木馬身份 標(biāo)識(shí)石馬(TID,uniquely identify Trojan rules)。
7.一種木馬檢測(cè)裝置,其特征在于,包括可疑報(bào)文獲取單元,用于通過將報(bào)文按照捕獲時(shí)序與預(yù)置的木馬特征數(shù)據(jù)庫中的特征 進(jìn)行第一次匹配,獲得可疑特征報(bào)文,將獲取的可疑特征報(bào)文的身份標(biāo)識(shí)信息進(jìn)行緩存;時(shí)序特征匹配單元,用于當(dāng)滿足預(yù)置的第二次匹配條件時(shí),判斷所述身份標(biāo)識(shí)信息按 照緩存時(shí)序與預(yù)置的木馬時(shí)序特征庫中表達(dá)式是否匹配,其中,所述的表達(dá)式是所述木馬 時(shí)序特征庫中按照?qǐng)?zhí)行時(shí)序進(jìn)行關(guān)聯(lián)的木馬特征身份標(biāo)識(shí)信息;判斷單元,用于當(dāng)可疑特征報(bào)文身份標(biāo)識(shí)信息以及緩存時(shí)序與預(yù)置的木馬時(shí)序特征庫 中包括木馬特征身份標(biāo)識(shí)信息以及執(zhí)行時(shí)序的表達(dá)式匹配時(shí),確定匹配的可疑木馬特征報(bào) 文為木馬特征報(bào)文。
8.根據(jù)權(quán)利要求7所述的木馬檢測(cè)裝置,其特征在于,所述時(shí)序特征匹配單元包括 身份標(biāo)識(shí)匹配單元,用于判斷緩存中所存儲(chǔ)的可疑特征報(bào)文身份標(biāo)識(shí)信息是否能在預(yù)置的木馬時(shí)序特征庫中匹配到相同的木馬特征身份標(biāo)識(shí)信息匹配;時(shí)序特征匹配單元,用于當(dāng)匹配到有相同的木馬特征報(bào)文身份標(biāo)識(shí)信息時(shí),則繼續(xù)判 斷所匹配得到的相同可疑特征報(bào)文的緩存時(shí)序是否和木馬特征的執(zhí)行時(shí)序相同,并將判斷結(jié)果發(fā)送至判斷單元。
9.根據(jù)權(quán)利要求7或8所述的木馬檢測(cè)裝置,其特征在于,所述可疑報(bào)文獲取單元,還 可以用于當(dāng)緩存中存儲(chǔ)容量達(dá)到預(yù)置第二閾值時(shí),對(duì)已緩存的可疑特征報(bào)文的身份標(biāo)識(shí) 信息采用先進(jìn)先出的方式進(jìn)行刪除。
10.根據(jù)權(quán)利要求9所述的木馬檢測(cè)裝置,其特征在于,所述可疑報(bào)文獲取單元,還可 以用于所述第二次匹配完成后,刪除緩存中已經(jīng)匹配過的可疑特征報(bào)文的身份標(biāo)識(shí)信息。
11.一種木馬檢測(cè)系統(tǒng),其特征在于,包括木馬特征庫,用于存儲(chǔ)木馬報(bào)文特征信息;時(shí)序特征庫,用于存儲(chǔ)預(yù)先按照木馬程序的執(zhí)行時(shí)序進(jìn)行關(guān)聯(lián)的木馬特征身份信息;木馬檢測(cè)裝置,通過將報(bào)文按照捕獲時(shí)序與預(yù)置的木馬特征數(shù)據(jù)庫中的特征進(jìn)行第一 次匹配,獲得可疑特征報(bào)文,將獲取的可疑特征報(bào)文的身份標(biāo)識(shí)信息進(jìn)行緩存;當(dāng)滿足預(yù)置 的第二次匹配條件時(shí),判斷所述身份標(biāo)識(shí)信息按照緩存時(shí)序與預(yù)置的木馬時(shí)序特征庫中表 達(dá)式是否匹配,其中,所述的表達(dá)式是所述木馬時(shí)序特征庫中按照?qǐng)?zhí)行時(shí)序進(jìn)行關(guān)聯(lián)的木 馬特征身份標(biāo)識(shí)信息;如果判斷結(jié)果為是,則確定所述可疑特征報(bào)文為木馬特征報(bào)文。
全文摘要
本發(fā)明實(shí)施例中,利用木馬攻擊過程中的特征執(zhí)行具有時(shí)間順序的這個(gè)特征,在通過預(yù)置的木馬特征庫判斷得到可疑的特征報(bào)文后,進(jìn)一步利用木馬攻擊程序執(zhí)行時(shí)序的特點(diǎn),判斷可疑的特征報(bào)文的執(zhí)行時(shí)序是否和木馬攻擊程序的執(zhí)行時(shí)序相同,如果相同,則確定可疑特征報(bào)文為木馬特征報(bào)文;本發(fā)明實(shí)施例與現(xiàn)有技術(shù)中僅通過木馬特征庫來檢查木馬攻擊行為的方法相比,有效地提高了木馬攻擊行為檢測(cè)的準(zhǔn)確率。
文檔編號(hào)H04L12/56GK102111400SQ20101058162
公開日2011年6月29日 申請(qǐng)日期2010年12月7日 優(yōu)先權(quán)日2010年12月7日
發(fā)明者鄒榮新 申請(qǐng)人:成都市華為賽門鐵克科技有限公司