[发明专利]检测网络通讯行为的监测方法及其系统无效
| 申请号: | 201010002866.8 | 申请日: | 2010-01-21 |
| 公开(公告)号: | CN102136956A | 公开(公告)日: | 2011-07-27 |
| 发明(设计)人: | 黄琼莹;黄柏智;蔡东霖 | 申请(专利权)人: | 宏碁股份有限公司 |
| 主分类号: | H04L12/26 | 分类号: | H04L12/26;H04L12/56;H04L29/06 |
| 代理公司: | 北京市柳沈律师事务所 11105 | 代理人: | 史新宏 |
| 地址: | 中国台*** | 国省代码: | 中国台湾;71 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 检测 网络通讯 行为 监测 方法 及其 系统 | ||
1.一种检测网络通讯行为的监测方法,包括:
撷取由一终端设备所发出的多个分组信息,其中各该分组信息包括所采用的一应用层通讯协议;
检查各该分组信息所采用的该应用层通讯协议是否能被识别;以及
若上述分组信息的一第一分组信息所采用的该应用层通讯协议无法被识别时,撷取该第一分组信息作为判别该终端设备是否发生异常网络通讯行为的依据。
2.如权利要求1所述的检测网络通讯行为的监测方法,撷取该第一分组信息以作为判别该终端设备是否发生异常网络通讯行为依据的步骤包括:
监控该终端设备所执行的多个程序;
检查各该程序是否能被识别;
若该程序中的一第一程序无法被识别时,撷取该第一程序的信息;以及
交叉比对该第一程序的信息与该第一分组信息以判别该第一程序是否为一恶意程序。
3.如权利要求2所述的检测网络通讯行为的监测方法,其中交叉比对该第一程序的信息与该第一分组信息以判别该第一分组信息是否由该第一程序所发出的步骤包括:比对该第一程序的执行时间与该终端设备发出该分组信息的时间是否相同。
4.如权利要求2所述的检测网络通讯行为的监测方法,其中交叉比对该第一程序的信息与该第一分组信息以判别该第一分组信息是否由该第一程序所发出的步骤包括:比对该第一程序内的一通讯连接端口与该第一分组信息的一来源/目的地连接端口是否相同。
5.如权利要求2所述的检测网络通讯行为的监测方法,其中检查各该程序是否能被识别的步骤包括:
检查该程序的散列值是否存在于一数据库内;以及
若该程序的散列值并未在该数据库内,或该数据库识别出该程序属于一恶意程序时,将该程序视为无法识别。
6.如权利要求2所述的检测网络通讯行为的监测方法,其中检查各该程序是否能被识别的步骤包括:
检查该程序的文件名称是否位于一数据库内;以及
若该程序的文件名称并未在该数据库内,或该数据库识别出该程序的文件名称属于一恶意程序时,将该程序视为无法识别。
7.如权利要求2所述的检测网络通讯行为的监测方法,其中检查各该程序是否能被识别的步骤包括:
检查该程序的机器码是否位于一数据库内;以及
若该程序的机器码并未在该数据库内,或该数据库识别出该程序的机器码属于一恶意程序时,将该程序视为无法识别。
8.如权利要求2所述的检测网络通讯行为的监测方法,还包括藉由一防火墙模块停止该第一程序的网络联机。
9.如权利要求2所述的检测网络通讯行为的监测方法,还包括停止正在执行的该第一程序。
10.一种检测网络通讯行为的监测系统,包括:
一网络监控模块,用以撷取由一终端设备所发出的多个分组信息,其中各该分组信息包括所采用的一应用层通讯协议,该网络监控模块检查各该分组信息所采用的该应用层通讯协议是否能被识别,若上述分组信息的一第一分组信息所采用的该应用层通讯协议无法被识别时,撷取该第一分组信息;以及
一信息比对模块,用以依据该第一分组信息来判别该终端设备是否发生异常网络通讯行为。
11.如权利要求10所述的检测网络通讯行为的监测系统,还包括一终端监控模块,用以监控该终端设备所执行的多个程序,并检查各该程序是否能被识别,若该程序中的一第一程序无法被该终端监控模块所识别时,撷取该第一程序的信息,其中,该信息比对模块交叉比对该第一程序的信息与该第一分组信息以判别该第一程序是否为一恶意程序。
12.如权利要求10所述的检测网络通讯行为的监测系统,还包括一防火墙模块,用以停止该第一程序的网络联机。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于宏碁股份有限公司,未经宏碁股份有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201010002866.8/1.html,转载请声明来源钻瓜专利网。
