木马检测
木马检测范文第1篇
关键词:HTTP隧道木马;原理;检测方法
中图分类号:TP309.5文献标识码:A文章编号:16727800(2012)009015202
0引言
随着互联网的飞速发展以及网络中病毒木马程序的日益泛滥,防火墙已经成为保护局域网络中主机免受恶意程序侵害的一道屏障。随着防火墙技术的日益成熟,很多传统远控型木马程序已经失去了其发展空间,然而一种新型的利用HTTP协议隧道的木马又出现了。本文将主要介绍该类木马的运行原理以及目前针对该类木马的主流检测方法。
1HTTP协议隧道
HTTP协议隧道位于应用层,是将需要传输的数据封装在HTTP协议格式数据包中,通过HTTP协议在网络中进行传输,当HTTP数据包抵达目的地后对HTTP数据包进行解包,得到真实的数据。HTTP协议隧道分为直接型和中转型两种模式。
1.1直接型模式
此模式中每台主机都既作客户端又作服务器,可以相互通信。在客户端中,数据经过HTTP隧道软件使用HTTP协议进行封装,然后通过80端口或者8080端口发送到对方主机。服务器端收到数据后对HTTP包进行解包操作得到实际传输的数据。
1.2中转型模式
此模式中有一个专门的HTTP隧道服务器,负责接收客户机的请求,然后与目标主机通信,将客户端传过来的数据交付给目标主机。在客户端与目标主机之间仍使用HTTP协议对数据进行封装后传输。
2HTTP隧道木马原理
HTTP隧道木马与传统木马程序在功能上基本一致,主要差别在于通信方式上。传统木马,不论是正向连接型还是反向连接型,基本都是通过高于1024端口进行通信,然而现在的很多杀毒软件以及防火墙对于这些端口的检测会较为严格,从而使得木马程序容易暴露身份。而随着B/S模式的广泛应用,越来越多的网上流量都是通过HTTP协议进行传输,因此绝大多数防火墙对于HTTP协议都采取进行简单协议结果判定后直接允许其通过的策略,而这样的策略就给了木马程序以可乘之机。
HTTP隧道木马利用HTTP协议隧道,将自己需要传输的数据利用HTTP协议进行封装,然后经由HTTP协议专用端口80端口或者8080端口与外部服务器进行连接,服务器在得到数据以后进行简单的HTTP协议解包就可以得到实际的数据。
一般此类木马选择的HTTP协议隧道类型均为上一节中介绍的中转型模式。在木马实际运行过程中,客户端(即控制端)首先将待执行的命令以文件的形式存放在HTTP隧道服务器中,而对于服务端(及被控端),每次上线后会主动请求连接HTTP隧道服务器,然后用GET或者POST命令请求服务器中的特定文件(预先设定好的存放命令的文件)。如果文件中有需要执行的命令,则在被控端主机上执行相应操作,然后将数据封装成HTTP数据包回送给HTTP隧道服务器,如果文件中没有命令需要执行,则服务端断开连接,一段时间后再次以相同方式询问是否有命令,如此往复。通过此流程,HTTP隧道木马就可以借用HTTP协议躲避防火墙的阻拦与控制端进行通信。
3主流检测方法
针对HTTP隧道木马的检测方法目前主要存在下面的三大类:基于签名的检测、基于协议的检测以及基于操作行为的检测。下面分别对3种检测方法进行介绍。
3.1基于签名的检测(SIGNATUREBASED DETECTION)
该方法主要通过检测HTTP协议数据包定的数据式样来判断是否是可疑的HTTP数据包。这里所谓的特定的数据式样,指的是比如“cat c:”、“cat d:”、“del c:”、“PWD”、“RETR ”、“cmdc:”、“cmd net start”等字串。这些字串一般为计算机的一些操作指令,如果HTTP数据包中含有这些数据式样则将其判定为使用HTTP隧道进行传输。
然而这种方法也存在一些问题,比如很难准确找到有哪些数据样式只存在于HTTP隧道木马传递的数据包中而不可能或很少出现在正常网页里,因为HTTP协议是基于对象的协议,可以传输任何类型的文件,我们不能保证这些文件中不会出现所定义的“数据式样”,因此此方法在实际运用中可行性较低。
3.2基于协议的检测
由于很多HTTP隧道木马在进行HTTP隧道传输时都只是进行了一个简单的HTTP协议封装,即在数据外加上了一个HTTP头部,然而这种简单的协议封装往往在很多时候不符合实际的HTTP协议正常的格式。并且在数据交互的过程中,HTTP隧道木马一般只是简单发送单个HTTP数据包,而不会完整执行整个HTTP协议中规定的一整套交互流程。根据这些协议上的特点可以对HTTP隧道木马进行检测。
然而在有些情况下这种方式仍不能正确地对该类木马进行准确识别。比如木马程序为了伪装而进行一系列虚假的HTTP协议交互过程,从协议层面上看该过程完全无法分辨出是否为木马程序。
3.3基于操作行为的检测
该方法主要提取了HTTP隧道木马程序在网络会话上的一系列特征,如:数据包大小、数量、会话时长、会话上传数据量、会话上传数据量和下载数据量之比以及会话平局上传速率等。然后基于这些特征采取数据挖掘技术,对HTTP隧道木马进行分类,对其建立相应木马网络会话特征模型,根据此模型对其进行检测。
资料显示,此种检测方法在HTTP隧道木马程序检测方面的效果较好。此方向研究者较多,各研究者之间差别在于采取的特征选取有细微不同,以及采取的分类算法存在一定差异。
3.4分析比较
分析了3种当前主流HTTP隧道木马检测技术以后,我们可以看到,第一种技术基本无法单独运用于真实环境下的木马检测,在某些情况下可以作为辅助条件进行木马判定;基于协议的检测方法存在一定的适用性,但是也很容易被木马绕过,因此会导致实际使用的效果不佳;而第三种方式则相对显得效果更好,有很好的实用性。
4结语
本文主要就HTTP隧道木马的运行原理进行了介绍,然后对目前主流的HTTP隧道木马检测方法进行了分析比较。通过分析几种当前提出较多的HTTP隧道木马检测方法,得到当前检测该类木马程序最有效的方法在于对木马网络回话中的一些特征进行分类处理,建立该类木马特征模型,然后进行检测。
参考文献:
[1]许治坤,王伟,郭添森,等.网络渗透技术[M].北京:电子工业出版社,2005.
[2]李俊林.通用性HTTP隧道检测技术研究[D].成都:电子科技大学,2006.
木马检测范文第2篇
针对木马的网络检测技术指通过对主机本身网络通信的监控严格限制通信端口与网络的连接,当发现通信异常的情况下马上对木马的运行进行组织,这种技术普遍的是以误用检测为基础的。网络检测技术包括防火墙技术,入侵检测技术等,根据防火墙检测原理的不同,防火墙技术又可以分为状态检测类型、过滤包型和应用三类。入侵检测技术能够通过对计算机中某些关键点的信息进行收集与分析,并发现违反安全策略的迹象与行为,IDS可以作为防火墙的补充,对提高信息安全基础结构自身的完整性能够发挥出重要的作用,但是由于IDS的检测速度小于网络的传输速度并且模式识别的技术也有待完善,所以存在一定的不可靠性与误报率。
2完整性检测技术。
完整性检测能够通过对文件系统或者目录快照的检查与系统中原始的可信任版本进行对比来查对其一致性来检测目录或者文件的变动,从而检测出系统中恶意程序是否存在。其检测方法包括基于文件内容的检测、基于文件基本属性的检测和基于文件数字签字的检测。完整性检测能够在很大程度上实现对系统安全的保护,但是其缺点也十分明显:一是完整性检测计算文件的工作量较大,其检测速度以及检测效率也必然会较慢;二是检测本身的成功率与管理员对文件计算数字签名的间隔有很大关系,但是由于其检测较慢,所以入侵者能够在此时间内将入侵的痕迹进行清理;三是完整性检测虽然能够检测出恶意程序,但是对其类型却不能识别;四是计算机中文件信息的修改也可能是由正常的程序引起的,所以完整性检测技术具有一定的误报可能性。
3特征码扫描技术。
特征码扫描技术是许多杀毒软件公司用来进行木马检测的工具,其方法包括特征扫描法和特征代码扫描法两类。作为最实用、最简单的对已知恶意程序进行检测的方法,其技术的关键是提取恶意程序的特征码,并在此基础上对恶意程序进行精确的查杀,所以这种方法对已知病毒和木马的检测准确率很好,误报率也较低,但是这种方法本身也存在一定的缺陷:一是不能检测出变形、加壳等具有隐蔽性的木马,也不能检测出未知的、新的木马;二是对病毒库具有很大的依赖性,而木马数量的增加会导致病毒库的扩大,其扫描时间也会随之延长;三是病毒库本身的更新滞后于新木马的产生,所以特征码扫描技术也就有了滞后性。
4实时监控技术。
实时监控是指对许多不同角度的流入、流入数据进行严格过滤,并对其中可能存在的恶意程序代码进行检测与处理,其中包括内存监控、文件监控、邮件监控、脚本监控等。实时监控所具有的实时性是与其他方法相比最突出的优势,当系统一旦遭到恶意程序的入侵,会被立即监控并清除,从而控制恶意程序在系统中造成的破坏。而这种技术对脚本以及邮件的监控还能够阻断恶意程序代码传播的途径,从而使恶意程序代码的传播减少。其缺点是只能够对已知的恶意程序进行检测,而这种缺点产生的原因是因为实时监控是建立在特征码的基础上运行的。
5虚拟机技术。
通过一个软件对CPU的模拟可以形成虚拟机,虚拟机可以执行、取指和译码,能够模拟代码在真实CPU上运行的效果。在虚拟的计算机环境中,程序锁具有的任何动态如内存的变化、寄存器的变化等都能够被反映出来,在此过程中,恶意程序代码的传染性也自然会被反映出来。虚拟机中执行的病毒虽然能够模拟出病毒程序执行的效果,但是却不会对真实的系统造成破坏,对一些变形的、加密的病毒的检测具有建好的效果。但是虚拟机技术的缺点则体现为在运行过程中会占用较大的系统资源,这也是虚拟机技术自身缺乏较高实用性的表现,并且一些木马也加入了对虚拟机进行检测的代码,能够判断自身运行的环境,而当发现自身处于虚拟机中使,木马可以中断执行行为或改变操作行为以避免被虚拟机检测。
6行为分析技术。
木马检测范文第3篇
[关键词]扫描权限后门
信息网络和安全体系是信息化健康发展的基础和保障。但是,随着信息化应用的深入、认识的提高和技术的发展,现有信息网络系统的安全性建设已提上工作日程。
入侵攻击有关方法,主要有完成攻击前的信息收集、完成主要的权限提升完成主要的后门留置等,下面仅就包括笔者根据近年来在网络管理中有关知识和经验,就入侵攻击的对策及检测情况做一阐述。
对入侵攻击来说,扫描是信息收集的主要手段,所以通过对各种扫描原理进行分析后,我们可以找到在攻击发生时数据流所具有的特征。
一、利用数据流特征来检测攻击的思路
扫描时,攻击者首先需要自己构造用来扫描的IP数据包,通过发送正常的和不正常的数据包达到计算机端口,再等待端口对其响应,通过响应的结果作为鉴别。我们要做的是让IDS系统能够比较准确地检测到系统遭受了网络扫描。考虑下面几种思路:
1.特征匹配。找到扫描攻击时数据包中含有的数据特征,可以通过分析网络信息包中是否含有端口扫描特征的数据,来检测端口扫描的存在。如UDP端口扫描尝试:content:“sUDP”等等。
2.统计分析。预先定义一个时间段,在这个时间段内如发现了超过某一预定值的连接次数,认为是端口扫描。
3.系统分析。若攻击者对同一主机使用缓慢的分布式扫描方法,间隔时间足够让入侵检测系统忽略,不按顺序扫描整个网段,将探测步骤分散在几个会话中,不导致系统或网络出现明显异常,不导致日志系统快速增加记录,那么这种扫描将是比较隐秘的。这样的话,通过上面的简单的统计分析方法不能检测到它们的存在,但是从理论上来说,扫描是无法绝对隐秘的,若能对收集到的长期数据进行系统分析,可以检测出缓慢和分布式的扫描。
二、检测本地权限攻击的思路
行为监测法、文件完备性检查、系统快照对比检查是常用的检测技术。虚拟机技术是下一步我们要研究的重点方向。
1.行为监测法。由于溢出程序有些行为在正常程序中比较罕见,因此可以根据溢出程序的共同行为制定规则条件,如果符合现有的条件规则就认为是溢出程序。行为监测法可以检测未知溢出程序,但实现起来有一定难度,不容易考虑周全。行为监测法从以下方面进行有效地监测:一是监控内存活动,跟踪内存容量的异常变化,对中断向量进行监控、检测。二是跟踪程序进程的堆栈变化,维护程序运行期的堆栈合法性。以防御本地溢出攻击和竞争条件攻击。监测敏感目录和敏感类型的文件。对来自www服务的脚本执行目录、ftp服务目录等敏感目录的可执行文件的运行,进行拦截、仲裁。对这些目录的文件写入操作进行审计,阻止非法程序的上传和写入。监测来自系统服务程序的命令的执行。对数据库服务程序的有关接口进行控制,防止通过系统服务程序进行的权限提升。监测注册表的访问,采用特征码检测的方法,阻止木马和攻击程序的运行。
2.文件完备性检查。对系统文件和常用库文件做定期的完备性检查。可以采用checksum的方式,对重要文件做先验快照,检测对这些文件的访问,对这些文件的完备性作检查,结合行为检测的方法,防止文件覆盖攻击和欺骗攻击。
3.系统快照对比检查。对系统中的公共信息,如系统的配置参数,环境变量做先验快照,检测对这些系统变量的访问,防止篡改导向攻击。
4.虚拟机技术。通过构造虚拟x86计算机的寄存器表、指令对照表和虚拟内存,能够让具有溢出敏感特征的程序在虚拟机中运行一段时间。这一过程可以提取与有可能被怀疑是溢出程序或与溢出程序程序相似的行为,比如可疑的跳转等和正常计算机程序不一样的地方,再结合特征码扫描法,将已知溢出程序代码特征库的先验知识应用到虚拟机的运行结果中,完成对一个特定攻击行为的判定。
虚拟机技术仍然与传统技术相结合,并没有抛弃已知的特征知识库。虚拟机的引入使得防御软件从单纯的静态分析进入了动态和静态分析相结合的境界,在一个阶段里面,极大地提高了已知攻击和未知攻击的检测水平,以相对比较少的代价获得了可观的突破。在今后相当长的一段时间内,虚拟机在合理的完整性、技术技巧等方面都会有相当的进展。目前国际上公认的、并已经实现的虚拟机技术在未知攻击的判定上可达到80%左右的准确率。
三、后门留置检测的常用技术
1.对比检测法。检测后门时,重要的是要检测木马的可疑踪迹和异常行为。因为木马程序在目标网络的主机上驻留时,为了不被用户轻易发现,往往会采取各种各样的隐藏措施,因此检测木马程序时必须考虑到木马可能采取的隐藏技术并进行有效地规避,才能发现木马引起的异常现象从而使隐身的木马“现形”。常用的检测木马可疑踪迹和异常行为的方法包括对比检测法、文件防篡改法、系统资源监测法和协议分析法等。
2.文件防篡改法。文件防篡改法是指用户在打开新文件前,首先对该文件的身份信息进行检验以确保没有被第三方修改。文件的身份信息是用于惟一标识文件的指纹信息,可以采用数字签名或者md5检验和的方式进行生成。
木马检测范文第4篇
[关键词] 扫描 权限 后门
信息网络和安全体系是信息化健康发展的基础和保障。但是,随着信息化应用的深入、认识的提高和技术的发展,现有信息网络系统的安全性建设已提上工作日程。
入侵攻击有关方法,主要有完成攻击前的信息收集、完成主要的权限提升完成主要的后门留置等,下面仅就包括笔者根据近年来在网络管理中有关知识和经验,就入侵攻击的对策及检测情况做一阐述。
对入侵攻击来说,扫描是信息收集的主要手段,所以通过对各种扫描原理进行分析后,我们可以找到在攻击发生时数据流所具有的特征。
一、利用数据流特征来检测攻击的思路
扫描时,攻击者首先需要自己构造用来扫描的IP数据包,通过发送正常的和不正常的数据包达到计算机端口,再等待端口对其响应,通过响应的结果作为鉴别。我们要做的是让IDS系统能够比较准确地检测到系统遭受了网络扫描。考虑下面几种思路:
1.特征匹配。找到扫描攻击时数据包中含有的数据特征,可以通过分析网络信息包中是否含有端口扫描特征的数据,来检测端口扫描的存在。如UDP端口扫描尝试:content:“sUDP”等等。
2.统计分析。预先定义一个时间段,在这个时间段内如发现了超过某一预定值的连接次数,认为是端口扫描。
3.系统分析。若攻击者对同一主机使用缓慢的分布式扫描方法,间隔时间足够让入侵检测系统忽略,不按顺序扫描整个网段,将探测步骤分散在几个会话中,不导致系统或网络出现明显异常,不导致日志系统快速增加记录,那么这种扫描将是比较隐秘的。这样的话,通过上面的简单的统计分析方法不能检测到它们的存在,但是从理论上来说,扫描是无法绝对隐秘的,若能对收集到的长期数据进行系统分析,可以检测出缓慢和分布式的扫描。
二、检测本地权限攻击的思路
行为监测法、文件完备性检查、系统快照对比检查是常用的检测技术。虚拟机技术是下一步我们要研究的重点方向。
1.行为监测法。由于溢出程序有些行为在正常程序中比较罕见,因此可以根据溢出程序的共同行为制定规则条件,如果符合现有的条件规则就认为是溢出程序。行为监测法可以检测未知溢出程序,但实现起来有一定难度,不容易考虑周全。行为监测法从以下方面进行有效地监测:一是监控内存活动,跟踪内存容量的异常变化,对中断向量进行监控、检测。二是跟踪程序进程的堆栈变化,维护程序运行期的堆栈合法性。以防御本地溢出攻击和竞争条件攻击。
监测敏感目录和敏感类型的文件。对来自www服务的脚本执行目录、ftp服务目录等敏感目录的可执行文件的运行,进行拦截、仲裁。对这些目录的文件写入操作进行审计,阻止非法程序的上传和写入。监测来自系统服务程序的命令的执行。对数据库服务程序的有关接口进行控制,防止通过系统服务程序进行的权限提升。监测注册表的访问,采用特征码检测的方法,阻止木马和攻击程序的运行。
2.文件完备性检查。对系统文件和常用库文件做定期的完备性检查。可以采用checksum的方式,对重要文件做先验快照,检测对这些文件的访问,对这些文件的完备性作检查,结合行为检测的方法,防止文件覆盖攻击和欺骗攻击。
3.系统快照对比检查。对系统中的公共信息,如系统的配置参数,环境变量做先验快照, 检测对这些系统变量的访问,防止篡改导向攻击。
4.虚拟机技术。通过构造虚拟x86计算机的寄存器表、指令对照表和虚拟内存,能够让具有溢出敏感特征的程序在虚拟机中运行一段时间。这一过程可以提取与有可能被怀疑是溢出程序或与溢出程序程序相似的行为,比如可疑的跳转等和正常计算机程序不一样的地方,再结合特征码扫描法,将已知溢出程序代码特征库的先验知识应用到虚拟机的运行结果中,完成对一个特定攻击行为的判定。
虚拟机技术仍然与传统技术相结合,并没有抛弃已知的特征知识库。虚拟机的引入使得防御软件从单纯的静态分析进入了动态和静态分析相结合的境界,在一个阶段里面,极大地提高了已知攻击和未知攻击的检测水平,以相对比较少的代价获得了可观的突破。在今后相当长的一段时间内,虚拟机在合理的完整性、技术技巧等方面都会有相当的进展。目前国际上公认的、并已经实现的虚拟机技术在未知攻击的判定上可达到80%左右的准确率。
三、后门留置检测的常用技术
1.对比检测法。检测后门时,重要的是要检测木马的可疑踪迹和异常行为。因为木马程序在目标网络的主机上驻留时,为了不被用户轻易发现,往往会采取各种各样的隐藏措施,因此检测木马程序时必须考虑到木马可能采取的隐藏技术并进行有效地规避,才能发现木马引起的异常现象从而使隐身的木马“现形”。 常用的检测木马可疑踪迹和异常行为的方法包括对比检测法、文件防篡改法、系统资源监测法和协议分析法等。
2.文件防篡改法。文件防篡改法是指用户在打开新文件前,首先对该文件的身份信息进行检验以确保没有被第三方修改。文件的身份信息是用于惟一标识文件的指纹信息,可以采用数字签名或者md5检验和的方式进行生成。
木马检测范文第5篇
【摘要】 目的 优化高效液相色谱法对马兜铃酸进行含量分析。方法 通过比较不同提取溶剂、不同提取方法,确定较为合理的供试品溶液制备方法。比较不同流动相条件对马兜铃酸含量测定的影响,选择含量分析色谱条件。测定不同波长下的最低检出限度,确定痕量分析条件。结果 供试品溶液制备中以70%甲醇直接加热回流提取,效率优于其他提取方法。做一般含量分析时可以选择流动相为甲醇-1%醋酸水溶液(70∶30)或乙腈-0.3%(nh4)2co3(ph=7.5) (25∶75),250 nm或319 nm作为检测波长。做痕量分析时宜选择流动相为乙腈-0.3%(nh4)2co3(ph=7.5)(25∶75),并选择检测波长为224 nm,最小检出量可达0.02 ng。结论 本实验所建立的方法可以准确可靠的进行马兜铃酸含量分析并进行痕量检查。
【关键词】 马兜铃酸;高效液相色谱法;含量测定
abstract:objective to optimize the rp-hplc procedure for the determination of aristolochic acid. method different extraction solvents and methods have been screened to get the most efficient way for sample preparation. the influence of different mobile systems on quantitation were compared to choose an approprate mobile system for determination. besides, the minimum limits of different detecting waves were measured to give the method to detect trace amount of aristolochic acid. result refluxing with 70% methanol was better than other ways in sample preparation. both methanol-1% acetic acid (70∶30) solution and 0.3% ammonium carbonate solution (ph=7.5)-acetonitrile (75∶25) with wavelength of 250 nm and 319 nm can be used for quantitation while 0.3% ammonium carbonate solution (ph=7.5)-acetonitrile (75∶25) with wavelength of 224 nm for trace detection. the minimum detectable amount was 0.02 ng. conclusion the method established can be applied to determinate aristolochic acid and detect trace amout exactly.
key words:aristolochic acid;rp-hplc procedure;sample preparation;chromatographic condition
马兜铃酸是马兜铃科植物中的主要成分,近年来已证实其具有肾脏毒性。鉴于马兜铃科植物种类很多,名称混淆现象也很常见,各地方用药种类十分复杂,所以,有必要建立一个简单有效、便于推广的方法对马兜铃酸进行定量分析,以便真实准确地反映出药材或制剂中马兜铃酸的含量,保证用药安全。目前,高效液相色谱法是在马兜铃酸含量测定中使用最多、发展也较为成熟的一种方法,但测定条件多种多样。为此,本试验从供试品溶液的制备、色谱条件的选择两个方面进行了研究,以期建立并推荐一个能准确反映马兜铃酸含量的高效液相色谱法。
1 仪器与试剂
美国科普公司ssi pc3000高效液相色谱仪,model 500紫外检测器,horiba b-212ph计,anastar色谱工作站。色谱纯试剂购自天津康科德化学试剂厂,分析纯试剂购自山东禹王化学试剂厂。关木通(两年生)采自沈阳药科大学药用植物园,马兜铃酸a对照品购自中国生物制品检定所(批号110746-200204)。
2 供试品溶液的制备
2.1 提取溶剂的选择
现有的研究中,马兜铃酸的提取溶剂多数选择甲醇、乙醇、丙酮或加入一定量的酸来提取,有文献报道,丙酮-10%甲酸提取效率较高。我们也重点考察了该浓度酸及常用溶剂对提取效率的影响。取干燥关木通药材粉末(40目),精密称定30份,各0.5 g,分别加入表1所示溶剂各20 ml,每种溶剂各提取2份,共30份,分别浸泡2 h,超声15 min,过滤,滤液蒸干,残渣以甲醇溶解,定容至10 ml容量瓶中,微孔滤膜过滤后,供hplc测定用。结果见表1。表1 不同提取溶剂的比较(略)
从实验数据看,甲醇、乙醇不适宜对马兜铃酸进行提取,加入酸或醇水溶液,可使马兜铃酸的提取效率显著增加,综合比较各种溶剂,70%甲醇对马兜铃酸的提取效率最高,可以作为马兜铃酸的最优提取溶剂。
2.2 提取方法的选择
①索氏提取法:取0.5 g关木通药材粉末4份,以70%甲醇120 ml分别索氏提取1、2、3.5、5 h,分别测定含量,结果表明3.5 h后峰面积不再增加。②直接加热回流法:取关木通粉末1份,提取溶剂为70%甲醇25 ml,提取1 h,过滤,滤液进行含量测定,滤渣再重复提取2次,分别得滤液并测定含量。结果表明,关木通提取1次即1 h即提取完全。③超声提取法:取关木通粉末1份,提取溶剂为70%甲醇25 ml,提取15 min,过滤,滤液进行含量测定,滤渣再重复提取4次,分别得滤液并测定含量,结果表明,关木通重复提取4次即1 h,即提取完全。见图1。
从图1可以看出,在提取完全的情况下,超声提取法需提取4次,耗费1 h,消耗溶剂共100 ml;索氏提取法需提取3.5 h,消耗溶剂120 ml;直接加热回流法需提取1次,提取1 h,消耗溶剂25 ml,即可提取完全。故建议选择直接加热回流法提取。
3 色谱条件
3.1 流动相对马兜铃酸含量测定的影响
从大量的文献报道来看,马兜铃酸含量测定的流动相一般使用甲醇-水系统[1]、乙腈-水系统[2],另有采用乙腈-0.3% (nh4)2co3(ph=7.5)[3]系统,本试验对不同流动相系统[甲醇-水-冰醋酸(70∶30∶1)、乙腈-水-冰醋酸(50∶50∶1)、乙腈-0.3% (nh4)2co3(ph=7.5,25∶75)]进行了比较,见表2。
由表2可以看出,3种流动相条件均可与其他成分实现基本分离,理论塔板数也符合定量分析的要求,但在乙腈-水系统下,马兜铃酸计算含量偏低。表2 不同流动相系统的比较(略)
3.2 低酸度对色谱分离的影响
由于马兜铃酸属于酸性物质,流动相中加入适量的酸可以改善峰形,但是酸的加入将会影响色谱住的使用寿命,本节探讨不同酸度对马兜铃酸分离的影响,结果见表3。表3 低酸度对色谱分离的影响(略)
从表3可以看出,甲醇-1%醋酸水溶液流动相条件分离度良好,理论塔板数符合定量分析要求,降低酸度不影响色谱分离,甲醇-1%醋酸水溶液适合作为含量测定的流动相条件。
3.3 痕量分析时色谱条件的选择
仪器及方法的检测限度是进行马兜铃酸痕量分析的重要指标,为确保用药的安全性,要求色谱条件具有较低的检测限。马兜铃酸有4处最大吸收,即224、250、319、390 nm。取配置好的0.05 mg/ml马兜铃酸对照品溶液,采用无限稀释法,流动相选择甲醇-1%醋酸水溶液及乙腈-0.3%(nh4)2co3(ph=7.5),并配以不同检测波长进行最低检出限度的考察,结果见表4。表4 不同色谱条件的最低检测限度(略)
从表4可以看出,乙腈-0.3%(nh4)2co3(ph=7.5)配以224 nm检测波长可以获得最低的检出限度(见图2),该条件可用于限度检出。
此外,根据样品在不同波长下的最低检测限可以看出,样品在390 nm处检测限较高,不适合作为马兜铃酸含量测定时的检测波长,而250 nm及319 nm检测波长下检出限较低(<1 ng),信号相对较高,适合作为含量分析的检测波长。同时,考虑到224 nm检测波长在复杂样品分析时易出现杂质峰干扰,不建议作为含测检测波长。
4 小结与讨论
本试验对高效液相色谱方法测定马兜铃酸含量的供试品溶液的制备方法进行了条件优化选择,确定供试品溶液的制备方法为70%甲醇直接加热回流法进行提取。
在流动相选择上,研究发现,甲醇-1%醋酸水溶液(70∶30) 及乙腈-0.3%(nh4)2co3(ph=7.5)可以满足马兜铃酸含量分析需要,结果较为准确。当药材中马兜铃酸含量较低,需进行痕量分析时宜选择流动相为乙腈-0.3%(nh4)2co3(ph=7.5),检测波长为224 nm。
本试验首次对甲醇-水分离马兜铃酸的酸度进行了考察,发现采用低酸度的甲醇-1%醋酸水溶液对马兜铃酸进行含量测定,不仅可以获得良好的分离效果,且可以减缓流动相对色谱柱的损耗,适宜用作马兜铃酸的含量测定方法。
【参考文献】
[1] 由丽双,王智民,姜 旭,等.hplc法测定不同产地关木通中马兜铃酸a的含量[j].中国中药杂志,2003,28(5):465-467.
