本發明專利技術屬于網絡環境下信息安全技術領域,提出一種防范內網反彈型木馬的方法,用于克服殺毒軟件不能很好的發現已知木馬的變種和新的木馬的問題。該方法首先建立可信程序名單,并于內網出口網關保存該可信名單;再對發送報文進行安全上下文標記,然后在內網出口處對報文中的安全上下文提取,將其與網關的可信程序名單進行對比,如果程序名稱及MD5值與可信程序名單一致,則放行,反之則丟掉數據包,限制放行并記入黑名單。從而,本發明專利技術有效解決由于傳統木馬檢測方法無法對變種木馬或者新木馬進行有效檢測而帶來的內網安全問題。
【技術實現步驟摘要】
本專利技術屬于網絡環境下信息安全
,具體是。
技術介紹
在網絡安全領域,惡意代碼快速增長,各種各樣的惡意代碼充斥在互聯網中,最嚴重的當屬病毒和木馬,病毒的目的在于破壞計算機系統和文件,而木馬則更傾向于機密信息竊取。木馬有客戶端和服務器端,一般來說服務器端和客戶端相互配合,以完成一些破壞和信息竊取活動。當前,木馬完全可以做到免殺并且隱藏自身的痕跡,由于防火墻限制,現在大部分木馬都是反彈型木馬。反彈端口型木馬利用了防火墻的弱點:防火墻對于連入的鏈接往往會進行非常嚴格的過濾,但是對于連出的鏈接卻疏于防范;于是,與一般的木馬相反,反彈端口型木馬的服務端(被控制端)使用主動端口,客戶端(控制端)使用被動端口,木馬定時監測控制端的存在,發現控制端上線立即彈出端口主動連結控制端打開的主動端口。為了隱蔽起見,控制端的被動端口一般開在80,這樣,即使用戶使用端口掃描軟件檢查自己的端口,發現的也是正常的網絡連接,不會產生懷疑。目前針對木馬的檢測方法主要是特征碼掃描和主動防御的方法,根據掃描特征碼的方法判斷木馬的方法其缺陷是:一旦木馬發生變種或者產生一個新的木馬則殺毒軟件就沒有辦法更好的檢測。而主動防御的方法也沒有辦法很好地檢測使用內核技術的木馬。
技術實現思路
本專利技術的目的在于提供了,用于克服殺毒軟件不能很好的發現已知木馬的變種和新的木馬的問題。為解決上述問題,本專利技術的技術方案為:,包括以下步驟:步驟1.確定可信程序名單:為所有可信程序設定key-value,其中key為程序名稱,value值為可執行程序的MD5(Message Digest Algorithm 5)值;內網出口網關保存一份key-value名單,即可信程序名單;步驟2.打安全標簽:對內網中每臺主機應用程序發出的網絡報文進行安全上下文標記,安全上下文標記內容包括:(I)發送此報文的程序名稱,(2)程序的 MD5 值,(3)主機的 MAC (Medium/Media Access Control)地址;步驟3.內網出口網關處捕獲內網中流出的所有報文;步驟4.檢測報文中提供的安全上下文并分析報文內容:提取報文中的安全上下文,將其與網關的可信程序名單(key-value名單)進行對比,如果程序名稱及MD5值與可信程序名單一致,則放行并建立一個cache (緩存);預設時間內,再次捕獲到由此MAC地址所對應主機的相同程序發出的網絡報文則直接放行;反之則丟掉數據包,限制放行,并將相關信息記錄于日志中;同時,對報文連接的外網IP地址記入黑名單。本專利技術的優點在于:(I)解決了殺毒軟件無法檢測最新的木馬以及已有木馬的變種從而帶來的威脅。(2)不再只依賴于傳統的網站白名單的方法,因反彈木馬多連接第三方網站獲取信息,而這些第三方網站多為安全可信的網站。本專利技術通過安全上下文,驗證報文發送的主體,從而確定連接的安全性,不僅僅根據白名單中的信息判斷。(3)不破壞現有的網絡協議與網絡應用。安全上下文只在應用程序通過本機網卡時,通過系統的內核模塊在網絡報文中添加,不影響現有的網絡應用。安全上下文的判斷也是通過內核模塊,將報文中的安全上下文提取出來并重新將報文恢復并傳遞給網關,判斷模塊會檢查應用程序的校驗碼從而確定放行與否。整個過程不會對用戶以及程序造成任何影響,是一個完全透明的過程。【附圖說明】圖1為內網主機應用程序通過主機發送報文進行安全上下文標記過程。圖2為內網網關在接收到外聯數據包后提取安全上下文并分析數據報文的過程。【具體實施方式】根據以上所述,結合附圖和實施例對本專利技術中的技術方案作進一步詳細的說明。本實施例中,假設一個內網主機為A,此主機上的一個網絡應用程序為WA,安全標簽添加模塊MA,內網網關G,網關上的安全上下文解析與控制模塊MG。首先,先確定可信應用程序,將其程序名稱和程序的MD5值存入可信程序名單(key-value名單)中存放到內網出口網關,可以根據需求動態增加或者刪除可信應用名單中的內容;WA連接外網發送報文,通過安全標簽添加模塊MA,在報文中添加安全上下文,包括本機MAC地址、發送報文的應用程序名稱和該應用程序的MD5校驗值,然后通過本機網卡將報文發送到內網出口網關,如圖1所述;網關控制模塊MG捕獲報文,提取出報文中的安全上下文,將發送報文的應用程序名稱和相應的校驗值與可信程序名單中的應用程序對比,如圖2所示;如果名單中不存在此應用名稱則丟掉該報文,并將發送報文的主機地址和可疑應用程序記錄在黑名單中,同時通知該主機的管理員或者操作人員,對該主機進行安全檢查;如果安全上下文與網關中保存的MD5校驗值不同,也進行相同處理;如果安全上下文中的程序名稱及MD5校驗值與網關中的可信程序名單相同,則將該報文去掉安全上下文恢復成正常的報文傳遞給網關G,并建立一個緩存,同時通知該程序對應的主機對于該程序發出的數據包10分鐘內不再進行安全上下文標記,10分鐘之內再捕獲到該主機程序發送的報文則直接放行,10分鐘之后,再進行正常標記,捕獲和處理。以上所述,僅為本專利技術的【具體實施方式】,本說明書中所公開的任一特征,除非特別敘述,均可被其他等效或具有類似目的的替代特征加以替換;所公開的所有特征、或所有方法或過程中的步驟,除了互相排斥的特征和/或步驟以外,均可以任何方式組合。【主權項】1.,包括以下步驟: 步驟1.確定可信程序名單: 為所有可信程序設定key-value,其中key為程序名稱,value值為可執行程序的MD5值; 內網出口網關保存一份key-value名單,即可信程序名單; 步驟2.打安全標簽: 對內網中每臺主機應用程序發出的網絡報文進行安全上下文標記,安全上下文標記內容包括: (1)發送此報文的程序名稱, (2)程序的MD5值, (3)主機的MAC地址; 步驟3.內網出口網關處捕獲內網中流出的所有報文; 步驟4.檢測報文中提供的安全上下文并分析報文內容: 提取報文中的安全上下文,將其與網關的可信程序名單進行對比,如果程序名稱及MD5值與可信程序名單一致,則放行并建立一個cache ;預設時間內,再次捕獲到由此MAC地址所對應主機的相同程序發出的網絡報文則直接放行; 反之則丟掉數據包,限制放行,并將相關信息記錄于日志中;同時,對報文連接的外網IP地址記入黑名單。【專利摘要】本專利技術屬于網絡環境下信息安全
,提出一種防范內網反彈型木馬的方法,用于克服殺毒軟件不能很好的發現已知木馬的變種和新的木馬的問題。該方法首先建立可信程序名單,并于內網出口網關保存該可信名單;再對發送報文進行安全上下文標記,然后在內網出口處對報文中的安全上下文提取,將其與網關的可信程序名單進行對比,如果程序名稱及MD5值與可信程序名單一致,則放行,反之則丟掉數據包,限制放行并記入黑名單。從而,本專利技術有效解決由于傳統木馬檢測方法無法對變種木馬或者新木馬進行有效檢測而帶來的內網安全問題。【IPC分類】H04L29/06【公開號】CN105119938【申請號】CN201510585555【專利技術人】張小松, 白金, 牛偉納, 徐浩然, 吳安彬, 唐海洋, 張 林 【申請人】電子科技大學【公開日】2015年12月2日【申請日】2015年9月14日本文檔來自技高網...
【技術保護點】
一種針對內網端口反彈型木馬的防范方法,包括以下步驟:步驟1.確定可信程序名單:為所有可信程序設定key?value,其中key為程序名稱,value值為可執行程序的MD5值;內網出口網關保存一份key?value名單,即可信程序名單;步驟2.打安全標簽:對內網中每臺主機應用程序發出的網絡報文進行安全上下文標記,安全上下文標記內容包括:(1)發送此報文的程序名稱,(2)程序的MD5值,(3)主機的MAC地址;步驟3.內網出口網關處捕獲內網中流出的所有報文;步驟4.檢測報文中提供的安全上下文并分析報文內容:提取報文中的安全上下文,將其與網關的可信程序名單進行對比,如果程序名稱及MD5值與可信程序名單一致,則放行并建立一個cache;預設時間內,再次捕獲到由此MAC地址所對應主機的相同程序發出的網絡報文則直接放行;反之則丟掉數據包,限制放行,并將相關信息記錄于日志中;同時,對報文連接的外網IP地址記入黑名單。
【技術特征摘要】
【專利技術屬性】
技術研發人員:張小松,白金,牛偉納,徐浩然,吳安彬,唐海洋,張林,
申請(專利權)人:電子科技大學,
類型:發明
國別省市:四川;51
還沒有人留言評論。發表了對其他瀏覽者有用的留言會獲得科技券。