基于网络会话的木马病毒分析技术

摘要

本发明涉及基于网络会话的木马病毒分析技术。本技术的操作步骤包括：(1)通过底层抓包技术获取网络数据包；(2)解码网络数据包并对IP分片包进行重组；(3)对TCP数据流进行重组；(4)对TCP会话状态进行跟踪并根据是否完成连接分别标记会话状态为半连接状态、已连接状态、关闭状态和删除TCP会话；(5)当接收到的数据包请求为断开会话连接，此时检查当前会话状态是否为已连接，如果是半连接状态，那么该来源主机地址可能是不存在的主机，此时记录该异常行为主机，并进行计数；(6)当一分钟内异常主机的累计计数大于30时，我们可以确定此主机就是感染木马病毒的主机。

主权项

基于网络会话的木马病毒分析技术，其特征主要表现在通过木马病毒的网络会话行为特点来定位木马病毒，其核心实现过程：(1)通过底层抓包技术获取网络数据包；(2)解码网络数据包，分别得到以太头、IP头、协议头、会话数据；(3)通过分析IP头标志位是否为分片数据包，如果是分片的数据包，那么进行IP数据包重组，得到完整的IP数据包；(4)通过协议头过滤出TCP数据包，根据TCP的三步握手规则以及建立来源IP、来源端口、目的IP、目的端口的TCP会话并进行跟踪；(5)对TCP会话进行状态设置，没有完成三步握手的TCP会话标记为半连接状态，已经完成握手的会话会已连接状态，正在关闭连接的为关闭状态，已经断开链接的则删除TCP会话；(6)当接收到的数据包TCP标志位RST为1时，表示来源主机要求断开会话连接，此时检查当前会话状态是否为已连接，如果是半连接状态，那么这该来源主机地址可能是不存在的，而目的主机可能是有异常行为的主机，此时记录该异常行为主机，并进行计数；(7)当一分钟内异常主机的累计计数大于30时，我们可以确定此主机就是感染木马病毒的主机；其具体操作步骤如下：(1)数据包捕获通过安装WINPCAP工具，我们可以抓取到底层网络数据包，并交由数据包分析模块处理；(2)数据包解码①首先判断数据包是否为以太网数据包，不是则丢弃；是则解码以太头，得到来源MAC地址、目的MAC地址以及以太协议类型；②以太头协议类型是否为IP协议类型，不是则丢弃；是则解码IP协议头，得到来源IP、目的IP、传输协议类型、IP头长度、IP分片标志等；③传输层协议类型是否为TCP协议类型，不是则丢弃；是则解码TCP协议头，得到来源端口、目的端口、TCP标志位等；(3)IP数据包重组①查找是否为新的数据包分组：通过对来源IP、来源端口、目的IP、目的端口作HASH运算得出一个HASH值，用这个HASH值在数据包分组链表中查找是否为新的分组，如果是，创建一新的分组添加到分组链表，如果不是，那么就按照分片标志位中的便宜量顺序插入到已有分组的分片链表中；②检测分组数据包是否接收完成：检查当前IP数据包是否为最后一个分片包，如果是，那就表示当前分组已经接收完所有的分片包，可以进行数据包的重组了；③数据包重组：对当前分组的所有分片包按照分片标志位中的偏移量顺序组合成一个新的IP数据包；(4)TCP会话跟踪通过来源IP、来源端口、目的IP、目的端口建立HASH值，每一个HASH值将作为一个会话连接，将只有SYN标志或者SYN+ACK标志的会话设置为半连接状态，将完成SYN‑＞SYN+ACK‑＞ACK三步握手连接的会话设置为已连接状态；将发送SYN+RST标志的设置为断开连接状态；将发送FIN+ACK的删除会话；(5)木马病毒分析由于感染木马的主机要需要接收木马制作者的控制命令，木马主机会定时的向控制端发送反向连接请求，而木马控制端不会时常在线，因此这规律性的反向连接将会导致网络异常连接，通过分析异常连接流量可以定位木马主机；通过统计每个主机的异常连接数量，当一分钟内异常主机的累计计数大于30时，我们可以确定此主机就是感染木马病毒的主机。