[发明专利]网络木马的综合检测方法及其功能模块架构装置

权利要求书

1.一种网络木马的综合检测方法，包括：

A.检测参数的初始化处理：将需要保护的内网网段、检测模块网络地址、木马病毒 管理器网络地址以及各类网络木马病毒检测标准进行初始化设置；

B.录入待检测数据：从内网侦听端口录入数据，然后抽取数据中记录的内网地址、 内网端口号、外网地址、外网端口号、数据流向、数据量大小、协议编号、关键字数据、 出现时间，作为待检测的原始数据、以备检测；

C.按已知木马病毒标准检测：首先按照已知的木马病毒标准对待检测的原始数据进 行对比分析检测，若与任一已知的木马病毒标准相符，则将原始数据以及触发的检测标准 和触发时间作为木马病毒信息，送木马病毒管理器作后继处理；若不符合已知的木马病毒 标准，则转下一步继续检测；

D.按木马病毒的流量标准检测：将经步骤C检测后输入的数据，与数据库中的在先 分析数据逐一进行比对检测，如果数据库中已经存在与输入数据对应的分析数据，则按照 设定的木马病毒的流量标准逐一进行对比分析检测，若与任一木马病毒的流量标准相符， 则将输入数据以及触发的流量标准和触发时间，作为带木马病毒信息，送木马病毒管理器 作后继处理、同时转下一步骤对分析数据作丢弃处理，若均不相符亦转下一步骤作数据丢 弃处理；如果数据库中无在先分析数据或不存在对应分析数据，则将该输入数据存入数据 库中，作为分析数据；

E.对分析数据进行丢弃处理：将当前时间与数据库中的分析数据录入时间之差，逐 一与设定的分析数据留存时间进行比对，并陆续将达到留存期限的分析数据丢弃。

2.按权利要求1所述网络木马的综合检测方法，其特征在于所述设定的木马病毒的 流量标准包括：复位报文检测标准，邮件行为检测标准，通信连接行为检测标准，关键字 检测标准，以及经过加密处理的报文检测标准在内的全部或部分标准。

3.按权利要求2所述网络木马的综合检测方法，其特征在于所述复位报文检测标准 为内网传出数据中的RST协议报文，在规定时间范围内不允许重复传出的次数；而邮件 行为检测标准为从内网中传出的收件人地址和主题均相同的邮件，在规定时间范围内不允 许重复传出的次数；通信连接行为检测标准为，在规定时间范围内从同一内网地址流出到 同一外网地址的数据流量，与从该外网地址返回该内网地址的数据流量的差异程度不允许 达到的值；关键字检测标准为从内网流出到外网的数据流量中不允许出现的字符；经过加 密处理的报文检测标准为从内网流出到外网的数据流量中不允许出现加密后的字符。

4.一种网络木马的综合检测装置，包括：

A.一个参数初始化处理单元模块，用于存储需要保护的内网网段、检测模块网络地 址、木马病毒管理器网络地址以及各类网络木马病毒检测标准的初始化参数的数据；

B.一个录入待检测数据单元模块，用于抽取从内网侦听端口录入的待检测数据以备 检测；

C.一个已知木马病毒标准检测单元模块，用于调用已知木马病毒检测标准，对待检 测的原始数据进行对比分析并判断其是否符合已知木马病毒检测标准；

D.一个木马病毒流量标准检测单元模块，用于调用木马病毒流量标准对分析数据进 行逐一对比分析并判断是否与任一木马病毒流量标准相符，是否作为分析数据存储入数据 库；上述木马病毒流量标准包括复位报文检测标准、邮件行为检测标准、通信连接行为检 测标准、关键字检测标准、以及经过加密处理的报文检测标准在内的全部或部分检测标准；

E.一个木马病毒发送单元模块，用于将已知木马病毒标准检测单元模块和木马病毒 流量标准检测单元模块送出的木马病毒信息，发送到木马病毒管理器；

F.一个对分析数据进行丢弃处理的单元模块，用于对分析数据的滞留时间进行判断， 并陆续将达到设定存储期限的分析数据从数据库中清除。