2. 技术
  3. 木马检测方法、装置及系统、通信系统与流程

木马检测方法、装置及系统、通信系统与流程

xiaoxiao23天前  23

本技术涉及网络安全,特别涉及一种木马检测方法、装置及系统、通信系统。


背景技术:

1、反弹端口型木马是一个专业级远程文件访问工具,利用它可实现对本地及远程驱动器进行包括文件删除、复制、移动、修改在内的各种操作,而且可以任意修改驱动器属性以及修改文件属性。反弹端口型木马包括客户端(被控制端)和服务端(控制端)。服务端运行后,会在本机打开一个特定的网络端口监听客户端的连接。客户端程序控制在攻击者手中,攻击者可以通过客户端程序获取远程计算机的数据或者通过客户端程序控制远程计算机。

2、由于反弹端口型木马的客户端会主动连接服务端,而目前大部分防火墙对于连入的连接往往会进行非常严格的过滤,但对于连出的连接却疏于防范,因此目前的防火墙通常无法防范反弹端口型木马的攻击。例如,反弹端口型木马的服务端的监听端口通常开在防火墙信任的端口上,把所有要传送的数据全部封装到合法的报文里进行传送,这样防火墙就不会拦截。比如防火墙所保护的内部主机被安装上反弹端口型木马的客户端程序(即木马文件)之后,该客户端程序可以控制该主机使用端口80(提供超文本传输协议(hypertext transfer protocol,http)服务的端口)或端口21(提供文件传输协议(filetransfer protocol,ftp)服务的端口)主动与服务端进行交互,此时防火墙会认为这是内部用户在使用该主机浏览网页或进行文件传输,因此不会进行拦截,则攻击者可以通过服务端与客户端的交互穿过防火墙侵入该主机。也就是说,只要主机被安装上反弹端口型木马的客户端程序,那么该主机很大概率上会被木马侵入成功。因此,目前亟需一种针对木马文件的检测方法,以降低主机被安装上木马文件的风险。


技术实现思路

1、本技术提供了一种木马检测方法、装置及系统、通信系统,可以在保证检测环境的安全性的前提下实现对木马文件的有效检测。

2、第一方面,提供了一种木马检测方法,该方法应用于服务系统。该服务系统包括代理服务端和木马蜜罐服务端。该方法包括:代理服务端拦截沙箱发送的第一连接请求报文,并向木马蜜罐服务端发送基于第一连接请求报文得到的第二连接请求报文。沙箱中运行有待检测文件。第一连接请求报文和第二连接请求报文的源地址均为沙箱的互联网协议(internet protocol,ip)地址。第一连接请求报文的目的地址为待检测文件所指示的目标服务端的ip地址。第二连接请求报文的目的地址为木马蜜罐服务端的ip地址。木马蜜罐服务端基于第二连接请求报文,通过代理服务端与沙箱建立通信连接。木马蜜罐服务端通过代理服务端向沙箱发送控制命令。该控制命令用于控制待检测文件在沙箱中执行操作。其中,待检测文件对控制命令的执行结果用于判断待检测文件是否为木马文件。

3、本技术中,沙箱在运行待检测文件时,如果该待检测文件触发沙箱向目标服务端发送连接请求报文,代理服务端可以拦截该连接请求报文,并转向木马蜜罐服务端发送连接请求报文,以使木马蜜罐服务端代替目标服务端与沙箱建立通信连接,并由木马蜜罐服务端向沙箱发送控制命令。本技术避免沙箱与目标服务端相连,可以在待检测文件是木马文件的情况下,防止沙箱被目标服务端控制和攻击,从而提高检测环境的安全性和可靠性。

4、可选地,木马蜜罐服务端与沙箱建立的通信连接为传输控制协议(transmissioncontrol protocol,tcp)连接。第一连接请求报文和第二连接请求报文均为同步序列编号(synchronize sequence numbers,syn)报文。相应地,木马蜜罐服务端基于第二连接请求报文,通过代理服务端与沙箱建立连接的实现过程,包括:木马蜜罐服务端向沙箱发送响应第二连接请求报文的第一确认报文。第一确认报文的源地址为木马蜜罐服务端的ip地址。第一确认报文的目的地址为沙箱的ip地址。代理服务端拦截第一确认报文,并向沙箱发送基于第一确认报文得到的第二确认报文。第二确认报文的源地址为目标服务端的ip地址。第二确认报文的目的地址为沙箱的ip地址。代理服务端拦截沙箱发送的响应第二确认报文的第三确认报文,并向木马蜜罐服务端发送基于第三确认报文得到的第四确认报文。第三确认报文和第四确认报文的源地址均为沙箱的ip地址。第三确认报文的目的地址为目标服务端的ip地址。第四确认报文的目的地址为木马蜜罐服务端的ip地址。

5、本技术中,在木马蜜罐服务端基于第二连接请求报文,通过代理服务端与沙箱建立连接的过程中,代理服务端会更改沙箱发出的报文的目的地址以及发往沙箱的报文的源地址。对于沙箱而言,会认为本侧是与目标服务端建立tcp连接的,因此沙箱中运行的待检测文件不会感知到连接对象发生变化,可以保证木马检测的准确性。

6、可选地,木马蜜罐服务端向沙箱发送控制命令的一种实现方式,包括:响应于接收到第四确认报文,木马蜜罐服务端立即向沙箱发送控制命令。

7、由于木马客户端连接真正的木马服务端后,会等待木马服务端下发控制命令,但真正的木马服务端通常试图在时间维度上规避木马检测,与木马客户端建立通信连接之后间隔一定时长再向木马客户端下发控制命令。本技术中,由木马蜜罐服务端代替真正的木马服务端,在与沙箱建立通信连接之后,立即向沙箱中运行的待检测文件下发控制命令,可以缩短检测时长,从而提高检测效率。

8、可选地,在木马蜜罐服务端基于第二连接请求报文,通过代理服务端与沙箱建立通信连接之后,代理服务端拦截沙箱发送的第一访问请求报文,并向木马蜜罐服务端发送基于第一访问请求报文得到的第二访问请求报文。第一访问请求报文和第二访问请求报文的源地址均为沙箱的ip地址。第一访问请求报文的目的地址为目标服务端的ip地址。第二访问请求报文的目的地址为木马蜜罐服务端的ip地址。第一访问请求报文包括资源标识,该资源标识用于指示沙箱向目标服务端所请求获取的资源。第二访问请求报文包括该资源标识。如果木马蜜罐服务端中存储有该资源标识所指示的资源,木马蜜罐服务端向沙箱发送响应第二访问请求报文的第一访问响应报文。第一访问响应报文包括该资源标识所指示的资源。第一访问响应报文的源地址为木马蜜罐服务端的ip地址。第一访问响应报文的目的地址为沙箱的ip地址。代理服务端拦截第一访问响应报文,并向沙箱发送基于第一访问响应报文得到的第二访问响应报文。第二访问响应报文的源地址为目标服务端的ip地址。第二访问响应报文的目的地址为沙箱的ip地址。第二访问响应报文包括该资源标识所指示的资源。

9、本技术通过木马蜜罐服务端向沙箱中的待检测文件提供其所需的资源。在木马蜜罐服务端存储有待检测文件所需资源的情况下,木马蜜罐服务端接收到访问请求之后可以直接向待检测文件提供该资源,无需与目标服务端交互,从而可以提高检测效率以及降低通信成本。

10、可选地,如果木马蜜罐服务端中未存储有资源标识所指示的资源,木马蜜罐服务端向目标服务端发送第三访问请求报文。第三访问请求报文包括该资源标识。木马蜜罐服务端接收目标服务端发送的响应第三访问请求报文的第三访问响应报文。第三访问响应报文包括该资源标识所指示的资源。木马蜜罐服务端存储该资源标识所指示的资源。

11、本技术中,在木马蜜罐服务端未存储有待检测文件所需资源的情况下,木马蜜罐服务端可以从目标服务端获取资源并存储在本地,这样后续再接收到请求该资源的访问请求后就无需再与目标服务端交互,从而可以提高检测效率以及降低通信成本。另外,由于木马蜜罐服务端中没有待检测文件,即使获取了资源标识指示的资源,木马蜜罐服务端也不会执行与该资源相关的行为;沙箱未与目标服务端建立通信连接,即使沙箱中的该待检测文件是木马文件,沙箱执行与该资源相关的行为也不会与目标服务端有交互;因此,在本技术方案中,目标服务端无法通过木马文件控制沙箱或木马蜜罐服务端,提高了检测环境的安全性。

12、可选地,在木马蜜罐服务端接收目标服务端发送的响应第三访问请求报文的第三访问响应报文之后,木马蜜罐服务端向沙箱发送响应第二访问请求报文的第一访问响应报文。第一访问响应报文携带有该资源标识所指示的资源。第一访问响应报文的源地址为木马蜜罐服务端的ip地址。第一访问响应报文的目的地址为沙箱的ip地址。代理服务端拦截第一访问响应报文,并向沙箱发送基于第一访问响应报文得到的第二访问响应报文。第二访问响应报文的源地址为目标服务端的ip地址。第二访问响应报文的目的地址为沙箱的ip地址。第二访问响应报文携带有该资源标识所指示的资源。

13、可选地,第一访问请求报文为http请求报文或超文本传输安全协议(hypertexttransfer protocol secure,https)请求报文,资源标识为第一统一资源定位符(uniformresource locator,url)。第一url包括目标服务端的标识,该标识为域名或ip地址,该资源标识所指示的资源为目标服务端中第一url对应的位置所存储的资源。

14、可选地,第二访问请求报文还包括第二url。第二url包括木马蜜罐服务端的标识,木马蜜罐服务端中第二url对应的位置用于存储资源标识所指示的资源。

15、可选地,在代理服务端拦截沙箱发送的第一访问请求报文之后,代理服务端将第一url中目标服务端的标识修改为木马蜜罐服务端的标识,得到第二url。

16、可选地,第一访问响应报文携带的响应头参数包括木马蜜罐服务端的标识。第二访问响应报文携带的响应头参数包括目标服务端的标识。

17、可选地,第一访问请求报文为ftp请求报文,资源标识为文件路径,该资源标识所指示的资源为在目标服务端中基于文件路径索引到的文件。

18、第二方面,提供了一种木马检测方法,该方法应用于服务系统。该服务系统包括域名系统(domain name system,dns)服务端以及一个或多个木马蜜罐服务端。dns服务端存储有木马蜜罐服务端的ip地址与木马蜜罐服务端所模拟的真实木马服务端的域名的对应关系。该方法包括:dns服务端接收沙箱发送的dns请求报文。沙箱中运行有待检测文件,该dns请求报文包括待检测文件所指示的目标服务端的域名。dns服务端向沙箱发送响应该dns请求报文的dns响应报文。该dns响应报文包括第一木马蜜罐服务端的ip地址,第一木马蜜罐服务端为上述一个或多个木马蜜罐服务端中ip地址与目标服务端的域名对应的木马蜜罐服务端。第一木马蜜罐服务端接收沙箱发送的连接请求报文。该连接请求报文的源地址为沙箱的ip地址,该连接请求报文的目的地址为第一木马蜜罐服务端的ip地址。第一木马蜜罐服务端基于该连接请求报文与沙箱建立通信连接。第一木马蜜罐服务端向沙箱发送控制命令。该控制命令用于控制待检测文件在沙箱中执行操作。其中,待检测文件对控制命令的执行结果用于判断待检测文件是否为木马文件。

19、本技术中,沙箱在运行待检测文件时,如果该待检测文件触发沙箱发送dns请求以获取目标服务端的域名对应的ip地址,dns服务端接收到该dns请求之后,可以向沙箱提供与目标服务端的域名对应的木马蜜罐服务端的ip地址而非目标服务端的ip地址。之后待检测文件触发沙箱发起向目标服务端的连接请求时,沙箱会基于dns服务端提供的ip地址向对应的木马蜜罐服务端发送连接请求报文,由木马蜜罐服务端代替目标服务端与沙箱建立通信连接。本技术避免沙箱与目标服务端相连,可以在该待检测文件是木马文件的情况下,防止沙箱被目标服务端控制和攻击,从而提高检测环境的安全性和可靠性。

20、可选地,在第一木马蜜罐服务端基于连接请求报文与沙箱建立通信连接之后,第一木马蜜罐服务端接收沙箱发送的第一访问请求报文。第一访问请求报文的源地址为沙箱的ip地址。第一访问请求报文的目的地址为第一木马蜜罐服务端的ip地址。第一访问请求报文包括资源标识。该资源标识用于指示沙箱向目标服务端所请求获取的资源。如果第一木马蜜罐服务端中存储有该资源标识所指示的资源,第一木马蜜罐服务端向沙箱发送响应第一访问请求报文的第一访问响应报文。第一访问响应报文包括该资源标识所指示的资源。第一访问响应报文的源地址为木马蜜罐服务端的ip地址。第一访问响应报文的目的地址为沙箱的ip地址。

21、本技术通过木马蜜罐服务端向沙箱中的待检测文件提供其所需的资源。在木马蜜罐服务端存储有待检测文件所需资源的情况下,木马蜜罐服务端接收到访问请求之后可以直接向待检测文件提供该资源,无需与目标服务端交互,从而可以提高检测效率以及降低通信成本。

22、可选地,如果第一木马蜜罐服务端中未存储有该资源标识所指示的资源,第一木马蜜罐服务端向目标服务端发送第二访问请求报文。第二访问请求报文包括该资源标识。第一木马蜜罐服务端接收目标服务端发送的响应第二访问请求报文的第二访问响应报文,第二访问响应报文包括该资源标识所指示的资源。第一木马蜜罐服务端存储该资源标识所指示的资源。

23、本技术中,在木马蜜罐服务端未存储有待检测文件所需资源的情况下,木马蜜罐服务端可以从目标服务端获取资源并存储在本地,这样后续再接收到请求该资源的访问请求后就无需再与目标服务端交互,从而可以提高检测效率以及降低通信成本。另外,由于木马蜜罐服务端中没有待检测文件,即使获取了资源标识指示的资源,木马蜜罐服务端也不会执行与该资源相关的行为;沙箱未与目标服务端建立通信连接,即使沙箱中的该待检测文件是木马文件,沙箱执行与该资源相关的行为也不会与目标服务端有交互;因此,在本技术方案中,目标服务端无法通过木马文件控制沙箱或木马蜜罐服务端,提高了检测环境的安全性。

24、可选地,在第一木马蜜罐服务端接收目标服务端发送的响应第二访问请求报文的第二访问响应报文之后,第一木马蜜罐服务端向沙箱发送响应第一访问请求报文的第一访问响应报文。第一访问响应报文包括该资源标识所指示的资源。第一访问响应报文的源地址为木马蜜罐服务端的ip地址。第一访问响应报文的目的地址为沙箱的ip地址。

25、第三方面,提供了一种木马检测装置,该装置可以是代理服务端。所述装置包括多个功能模块,所述多个功能模块相互作用,实现上述第一方面及其各实施方式中的方法中代理服务端执行的步骤。所述多个功能模块可以基于软件、硬件或软件和硬件的结合实现,且所述多个功能模块可以基于具体实现进行任意组合或分割。

26、例如,该装置包括收发模块。收发模块,用于拦截沙箱发送的第一连接请求报文,并向木马蜜罐服务端发送基于第一连接请求报文得到的第二连接请求报文,沙箱中运行有待检测文件,第一连接请求报文和第二连接请求报文的源地址均为沙箱的ip地址,第一连接请求报文的目的地址为待检测文件所指示的目标服务端的ip地址,第二连接请求报文的目的地址为木马蜜罐服务端的ip地址。收发模块,还用于辅助木马蜜罐服务端与沙箱建立通信连接。收发模块,还用于向沙箱发送来自木马蜜罐服务端的控制命令,控制命令用于控制待检测文件在沙箱中执行操作,其中,待检测文件对控制命令的执行结果用于判断待检测文件是否为木马文件。

27、可选地,上述通信连接为tcp连接,第一连接请求报文和第二连接请求报文均为syn报文。收发模块,用于拦截木马蜜罐服务端向沙箱发送的响应第二连接请求报文的第一确认报文,并向沙箱发送基于第一确认报文得到的第二确认报文,第一确认报文的源地址为木马蜜罐服务端的ip地址,第二确认报文的源地址为目标服务端的ip地址,第一确认报文和第二确认报文的目的地址均为沙箱的ip地址。收发模块,还用于拦截沙箱发送的响应第二确认报文的第三确认报文,并向木马蜜罐服务端发送基于第三确认报文得到的第四确认报文,第三确认报文和第四确认报文的源地址均为沙箱的ip地址,第三确认报文的目的地址为目标服务端的ip地址,第四确认报文的目的地址为木马蜜罐服务端的ip地址。

28、可选地,收发模块,还用于拦截沙箱发送的第一访问请求报文,并向木马蜜罐服务端发送基于第一访问请求报文得到的第二访问请求报文,第一访问请求报文和第二访问请求报文的源地址均为沙箱的ip地址,第一访问请求报文的目的地址为目标服务端的ip地址,第二访问请求报文的目的地址为木马蜜罐服务端的ip地址,第一访问请求报文包括资源标识,资源标识用于指示沙箱向目标服务端所请求获取的资源,第二访问请求报文包括资源标识。收发模块,还用于拦截木马蜜罐服务端向沙箱发送的响应第二访问请求报文的第一访问响应报文,并向沙箱发送基于第一访问响应报文得到的第二访问响应报文,第一访问响应报文的源地址为木马蜜罐服务端的ip地址,第二访问响应报文的源地址为目标服务端的ip地址,第一访问响应报文和第二访问响应报文的目的地址均为沙箱的ip地址,第一访问响应报文包括资源标识所指示的资源,第二访问响应报文包括资源标识所指示的资源。

29、可选地,第一访问请求报文为http请求报文或https请求报文,资源标识为第一url,第一url包括目标服务端的标识,标识为域名或ip地址,资源标识所指示的资源为目标服务端中第一url对应的位置所存储的资源。

30、可选地,第二访问请求报文还包括第二url,第二url包括木马蜜罐服务端的标识,木马蜜罐服务端中第二url对应的位置用于存储资源标识所指示的资源。

31、可选地,该装置还包括:处理模块,用于将第一url中目标服务端的标识修改为木马蜜罐服务端的标识,得到第二url。

32、可选地,第一访问响应报文携带的响应头参数包括木马蜜罐服务端的标识,第二访问响应报文携带的响应头参数包括目标服务端的标识。

33、可选地,第一访问请求报文为ftp请求报文,资源标识为文件路径,资源标识所指示的资源为在目标服务端中基于文件路径索引到的文件。

34、第四方面,提供了一种木马检测装置,该装置可以是木马蜜罐服务端。所述装置包括多个功能模块,所述多个功能模块相互作用,实现上述第一方面及其各实施方式中的方法中木马蜜罐服务端执行的步骤。所述多个功能模块可以基于软件、硬件或软件和硬件的结合实现,且所述多个功能模块可以基于具体实现进行任意组合或分割。

35、例如,该装置包括收发模块。收发模块,用于接收代理服务端发送的连接请求报文,连接请求报文的源地址为沙箱的ip地址,连接请求报文的目的地址为木马蜜罐服务端的ip地址。收发模块,还用于基于连接请求报文,通过代理服务端与沙箱建立通信连接。收发模块,还用于通过代理服务端向沙箱发送控制命令,控制命令用于控制沙箱中运行的待检测文件在沙箱中执行操作,其中,待检测文件对控制命令的执行结果用于判断待检测文件是否为木马文件。

36、可选地,上述通信连接为tcp连接,第一连接请求报文和第二连接请求报文均为syn报文。收发模块,用于向沙箱发送响应连接请求报文的第一确认报文,第一确认报文的源地址为木马蜜罐服务端的ip地址,第一确认报文的目的地址为沙箱的ip地址。收发模块,还用于接收代理服务端发送的响应第一确认报文的第二确认报文,第二确认报文的源地址为沙箱的ip地址,第二确认报文的目的地址为木马蜜罐服务端的ip地址。

37、可选地,收发模块,具体用于响应于接收到第四确认报文,立即向沙箱发送控制命令。

38、可选地,收发模块,还用于接收代理服务端发送的第一访问请求报文,第一访问请求报文的源地址为沙箱的ip地址,第一访问请求报文的目的地址为木马蜜罐服务端的ip地址,第一访问请求报文包括资源标识,资源标识用于指示沙箱向目标服务端所请求获取的资源。收发模块,还用于如果木马蜜罐服务端中存储有资源标识所指示的资源,向沙箱发送响应第一访问请求报文的第一访问响应报文,第一访问响应报文包括资源标识所指示的资源,第一访问响应报文的源地址为木马蜜罐服务端的ip地址,第一访问响应报文的目的地址为沙箱的ip地址。

39、可选地,该装置还包括:存储模块。收发模块,还用于如果木马蜜罐服务端中未存储有资源标识所指示的资源,向目标服务端发送第二访问请求报文,第二访问请求报文包括资源标识。收发模块,还用于接收目标服务端发送的响应第二访问请求报文的第二访问响应报文,第二访问响应报文包括资源标识所指示的资源。存储模块,用于存储资源标识所指示的资源。

40、可选地,第一访问请求报文为http请求报文或https请求报文,资源标识为第一url,第一url包括目标服务端的标识,标识为域名或ip地址,资源标识所指示的资源为目标服务端中第一url对应的位置所存储的资源。

41、可选地,第二访问请求报文还包括第二url,第二url包括木马蜜罐服务端的标识,木马蜜罐服务端中第二url对应的位置用于存储资源标识所指示的资源。

42、可选地,第一访问请求报文为ftp请求报文,资源标识为文件路径,资源标识所指示的资源为在目标服务端中基于文件路径索引到的文件。

43、第五方面,提供了一种木马检测装置,该装置可以是dns服务端,dns服务端存储有一个或多个木马蜜罐服务端的ip地址与该木马蜜罐服务端所模拟的真实木马服务端的域名的对应关系。所述装置包括多个功能模块,所述多个功能模块相互作用,实现上述第二方面及其各实施方式中的方法中dns服务端执行的步骤。所述多个功能模块可以基于软件、硬件或软件和硬件的结合实现,且所述多个功能模块可以基于具体实现进行任意组合或分割。

44、例如,该装置包括收发模块。收发模块,用于接收沙箱发送的dns请求报文,沙箱中运行有待检测文件,dns请求报文包括待检测文件所指示的目标服务端的域名。收发模块,还用于向沙箱发送响应dns请求报文的dns响应报文。dns响应报文包括第一木马蜜罐服务端的ip地址,第一木马蜜罐服务端为上述一个或多个木马蜜罐服务端中ip地址与目标服务端的域名对应的木马蜜罐服务端。

45、第六方面,提供了一种木马检测装置,该装置可以是木马蜜罐服务端。所述装置包括多个功能模块,所述多个功能模块相互作用,实现上述第二方面及其各实施方式中的方法中第一木马蜜罐服务端执行的步骤。所述多个功能模块可以基于软件、硬件或软件和硬件的结合实现,且所述多个功能模块可以基于具体实现进行任意组合或分割。

46、例如,该装置包括收发模块。收发模块,用于接收沙箱发送的连接请求报文,该连接请求报文的源地址为沙箱的ip地址,该连接请求报文的目的地址为木马蜜罐服务端的ip地址。收发模块,还用于基于该连接请求报文与沙箱建立通信连接。收发模块,还用于向沙箱发送控制命令。该控制命令用于控制待检测文件在沙箱中执行操作。其中,待检测文件对控制命令的执行结果用于判断待检测文件是否为木马文件。

47、可选地,收发模块,还用于接收沙箱发送的第一访问请求报文,第一访问请求报文的源地址为沙箱的ip地址,第一访问请求报文的目的地址为木马蜜罐服务端的ip地址,第一访问请求报文包括资源标识,资源标识用于指示沙箱向目标服务端所请求获取的资源。收发模块,还用于如果木马蜜罐服务端中存储有资源标识所指示的资源,向沙箱发送响应第一访问请求报文的第一访问响应报文,第一访问响应报文包括资源标识所指示的资源,第一访问响应报文的源地址为木马蜜罐服务端的ip地址,第一访问响应报文的目的地址为沙箱的ip地址。

48、可选地,该装置还包括:存储模块。收发模块,还用于如果木马蜜罐服务端中未存储有资源标识所指示的资源,向目标服务端发送第二访问请求报文,第二访问请求报文包括资源标识。收发模块,还用于接收目标服务端发送的响应第二访问请求报文的第二访问响应报文,第二访问响应报文包括资源标识所指示的资源。存储模块,用于存储资源标识所指示的资源。

49、第七方面,提供了一种服务系统,该服务系统包括上述第三方面及其各实施方式中的装置以及上述第四方面及其各实施方式中的装置;或者,该服务系统包括上述第五方面及其各实施方式中的装置以及上述第六方面及其各实施方式中的装置。

50、第八方面,提供了一种木马检测系统,包括:沙箱和服务系统,所述服务系统包括代理服务端和木马蜜罐服务端,所述沙箱与所述代理服务端相连,所述代理服务端用于执行上述第一方面及其各实施方式中的方法中代理服务端执行的步骤,所述木马蜜罐服务端用于执行上述第一方面及其各实施方式中的方法中木马蜜罐服务端执行的步骤。

51、第九方面,提供了一种木马检测系统,包括:沙箱和服务系统,所述服务系统包括dns服务端和木马蜜罐服务端,所述沙箱与所述dns服务端相连,所述dns服务端用于执行上述第二方面及其各实施方式中的方法中dns服务端执行的步骤,所述木马蜜罐服务端用于执行上述第二方面及其各实施方式中的方法中第一木马蜜罐服务端执行的步骤。

52、第十方面,提供了一种通信系统,包括:网关和木马检测系统,所述木马检测系统包括如上述第八方面或第九方面所述的木马检测系统。所述网关用于对经过所述网关的流量进行解析,如果所述流量中携带有文件信息,将基于所述文件信息还原得到的文件作为待检测文件输入所述木马检测系统中的沙箱。

53、可选地,所述网关与所述木马检测系统集成在同一台设备中。

54、第十一方面,提供了一种计算机设备,包括:处理器和存储器;所述存储器,用于存储计算机程序,所述计算机程序包括程序指令;所述处理器,用于调用所述计算机程序,实现上述第一方面及其各实施方式中的方法中代理服务端和/或木马蜜罐服务端执行的步骤,或者实现上述第二方面及其各实施方式中的方法中dns服务端和/或第一木马蜜罐服务端执行的步骤。

55、第十二方面,提供了一种计算机可读存储介质,所述计算机可读存储介质上存储有指令,当所述指令被处理器执行时,实现上述第一方面及其各实施方式中的方法中代理服务端和/或木马蜜罐服务端执行的步骤,或者实现上述第二方面及其各实施方式中的方法中dns服务端和/或第一木马蜜罐服务端执行的步骤。

56、第十三方面,提供了一种计算机程序产品,包括计算机程序,所述计算机程序被处理器执行时,实现上述第一方面及其各实施方式中的方法中代理服务端和/或木马蜜罐服务端执行的步骤,或者实现上述第二方面及其各实施方式中的方法中dns服务端和/或第一木马蜜罐服务端执行的步骤。

57、第十四方面,提供了一种芯片,芯片包括可编程逻辑电路和/或程序指令,当芯片运行时,实现上述第一方面及其各实施方式中的方法中代理服务端和/或木马蜜罐服务端执行的步骤,或者实现上述第二方面及其各实施方式中的方法中dns服务端和/或第一木马蜜罐服务端执行的步骤。


技术特征:

1.一种木马检测方法,其特征在于,应用于服务系统,所述服务系统包括代理服务端和木马蜜罐服务端,所述方法包括:

2.根据权利要求1所述的方法,其特征在于,所述通信连接为传输控制协议tcp连接,所述第一连接请求报文和所述第二连接请求报文均为同步序列编号syn报文,所述木马蜜罐服务端基于所述第二连接请求报文,通过所述代理服务端与所述沙箱建立连接,包括:

3.根据权利要求2所述的方法,其特征在于,所述木马蜜罐服务端向所述沙箱发送控制命令,包括:

4.根据权利要求1至3任一所述的方法,其特征在于,在所述木马蜜罐服务端基于所述第二连接请求报文,通过所述代理服务端与所述沙箱建立通信连接之后,所述方法还包括:

5.根据权利要求4所述的方法,其特征在于,所述方法还包括:

6.根据权利要求5所述的方法,其特征在于,在所述木马蜜罐服务端接收所述目标服务端发送的响应所述第三访问请求报文的第三访问响应报文之后,所述方法还包括:

7.根据权利要求4至6任一所述的方法,其特征在于,所述第一访问请求报文为超文本传输协议http请求报文或超文本传输安全协议https请求报文,所述资源标识为第一统一资源定位符url,第一url包括所述目标服务端的标识,所述标识为域名或ip地址,所述资源标识所指示的资源为所述目标服务端中所述第一url对应的位置所存储的资源。

8.根据权利要求7所述的方法,其特征在于,所述第二访问请求报文还包括第二url,所述第二url包括所述木马蜜罐服务端的标识,所述木马蜜罐服务端中所述第二url对应的位置用于存储所述资源标识所指示的资源。

9.根据权利要求8所述的方法,其特征在于,在所述代理服务端拦截所述沙箱发送的第一访问请求报文之后,所述方法还包括:

10.根据权利要求7至9任一所述的方法,其特征在于,所述第一访问响应报文携带的响应头参数包括所述木马蜜罐服务端的标识,所述第二访问响应报文携带的响应头参数包括所述目标服务端的标识。

11.根据权利要求4至6任一所述的方法,其特征在于,所述第一访问请求报文为文件传输协议ftp请求报文,所述资源标识为文件路径,所述资源标识所指示的资源为在所述目标服务端中基于所述文件路径索引到的文件。

12.一种木马检测方法,其特征在于,应用于服务系统,所述服务系统包括域名系统dns服务端以及一个或多个木马蜜罐服务端,所述dns服务端存储有所述木马蜜罐服务端的互联网协议ip地址与所述木马蜜罐服务端所模拟的真实木马服务端的域名的对应关系;所述方法包括:

13.根据权利要求12所述的方法,其特征在于,在所述第一木马蜜罐服务端基于所述连接请求报文与所述沙箱建立通信连接之后,所述方法还包括:

14.根据权利要求13所述的方法,其特征在于,所述方法还包括:

15.根据权利要求14所述的方法,其特征在于,在所述第一木马蜜罐服务端接收所述目标服务端发送的响应所述第二访问请求报文的第二访问响应报文之后,所述方法还包括:

16.一种木马检测装置,其特征在于,包括:

17.根据权利要求16所述的装置,其特征在于,所述通信连接为传输控制协议tcp连接,所述第一连接请求报文和所述第二连接请求报文均为同步序列编号syn报文;

18.根据权利要求16或17所述的装置,其特征在于,

19.根据权利要求18所述的装置,其特征在于,所述第一访问请求报文为超文本传输协议http请求报文或超文本传输安全协议https请求报文,所述资源标识为第一统一资源定位符url,第一url包括所述目标服务端的标识,所述标识为域名或ip地址,所述资源标识所指示的资源为所述目标服务端中所述第一url对应的位置所存储的资源。

20.根据权利要求19所述的装置,其特征在于,所述第二访问请求报文还包括第二url,所述第二url包括所述木马蜜罐服务端的标识,所述木马蜜罐服务端中所述第二url对应的位置用于存储所述资源标识所指示的资源。

21.根据权利要求20所述的装置,其特征在于,所述装置还包括:

22.根据权利要求19至21任一所述的装置,其特征在于,所述第一访问响应报文携带的响应头参数包括所述木马蜜罐服务端的标识,所述第二访问响应报文携带的响应头参数包括所述目标服务端的标识。

23.根据权利要求18所述的装置,其特征在于,所述第一访问请求报文为文件传输协议ftp请求报文,所述资源标识为文件路径,所述资源标识所指示的资源为在所述目标服务端中基于所述文件路径索引到的文件。

24.一种木马检测装置,其特征在于,包括:

25.根据权利要求24所述的装置,其特征在于,所述通信连接为传输控制协议tcp连接,所述第一连接请求报文和所述第二连接请求报文均为同步序列编号syn报文;

26.根据权利要求24或25所述的装置,其特征在于,

27.根据权利要求24至26任一所述的装置,其特征在于,

28.根据权利要求27所述的装置,其特征在于,所述装置还包括:存储模块;

29.根据权利要求27或28所述的装置,其特征在于,所述第一访问请求报文为超文本传输协议http请求报文或超文本传输安全协议https请求报文,所述资源标识为第一统一资源定位符url,第一url包括所述目标服务端的标识,所述标识为域名或ip地址,所述资源标识所指示的资源为所述目标服务端中所述第一url对应的位置所存储的资源。

30.根据权利要求29所述的装置,其特征在于,所述第二访问请求报文还包括第二url,所述第二url包括所述木马蜜罐服务端的标识,所述木马蜜罐服务端中所述第二url对应的位置用于存储所述资源标识所指示的资源。

31.根据权利要求27或28所述的装置,其特征在于,所述第一访问请求报文为文件传输协议ftp请求报文,所述资源标识为文件路径,所述资源标识所指示的资源为在所述目标服务端中基于所述文件路径索引到的文件。

32.一种木马检测系统,其特征在于,包括:沙箱和服务系统,所述服务系统包括代理服务端和木马蜜罐服务端,所述沙箱与所述代理服务端相连,所述代理服务端用于执行如权利要求1至11任一所述的方法中代理服务端执行的步骤,所述木马蜜罐服务端用于执行如权利要求1至11任一所述的方法中木马蜜罐服务端执行的步骤。

33.一种木马检测系统,其特征在于,包括:沙箱和服务系统,所述服务系统包括域名系统dns服务端和木马蜜罐服务端,所述沙箱与所述dns服务端相连,所述dns服务端用于执行如权利要求12至15任一所述的方法中dns服务端执行的步骤,所述木马蜜罐服务端用于执行如权利要求12至15任一所述的方法中第一木马蜜罐服务端执行的步骤。

34.一种通信系统,其特征在于,包括:网关和木马检测系统,所述木马检测系统包括如权利要求32或33所述的木马检测系统;

35.根据权利要求34所述的通信系统,其特征在于,所述网关与所述木马检测系统集成在同一台设备中。

36.一种计算机设备,其特征在于,包括:处理器和存储器;

37.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有指令,当所述指令被处理器执行时,实现如权利要求1至11任一所述的方法中代理服务端和/或木马蜜罐服务端执行的步骤,或者实现如权利要求12至15任一所述的方法中域名系统dns服务端和/或第一木马蜜罐服务端执行的步骤。

38.一种计算机程序产品,其特征在于,包括计算机程序,所述计算机程序被处理器执行时,实现如权利要求1至11任一所述的方法中代理服务端和/或木马蜜罐服务端执行的步骤,或者实现如权利要求12至15任一所述的方法中域名系统dns服务端和/或第一木马蜜罐服务端执行的步骤。


技术总结
本申请公开了一种木马检测方法、装置及系统、通信系统,属于网络安全技术领域。当沙箱中运行的待检测文件触发沙箱向目标服务端发送连接请求报文时,代理服务端可以拦截该连接请求报文,并转向木马蜜罐服务端发送连接请求报文,以使木马蜜罐服务端代替目标服务端与沙箱建立通信连接,然后由木马蜜罐服务端通过代理服务端向沙箱发送控制命令。本申请避免沙箱与目标服务端相连,可以在待检测文件是木马文件的情况下,防止沙箱被目标服务端控制和攻击,从而提高检测环境的安全性和可靠性。

技术研发人员:杨利东
受保护的技术使用者:华为技术有限公司
技术研发日:
技术公布日:2024/9/23

专利

最新回复(0)