[发明专利]一种通过分析网络行为检测木马程序的方法及装置无效
| 申请号: | 201010182380.7 | 申请日: | 2010-05-25 |
| 公开(公告)号: | CN101854275A | 公开(公告)日: | 2010-10-06 |
| 发明(设计)人: | 孙丹鸣;杨更;何涛 | 申请(专利权)人: | 军工思波信息科技产业有限公司 |
| 主分类号: | H04L12/26 | 分类号: | H04L12/26;H04L29/06 |
| 代理公司: | 南昌新天下专利商标代理有限公司 36115 | 代理人: | 施秀瑾 |
| 地址: | 330000 江西*** | 国省代码: | 江西;36 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 一种 通过 分析 网络 行为 检测 木马程序 方法 装置 | ||
1.一种通过分析网络行为检测木马程序的方法,其特征是采用分析对比行为特征的方式检测木马,首先搜集局域网内的网络行为,提取分析其典型行为特征,通过木马外连、信息窃取和信息外发网络行为,实时检测木马,其过程是:
1)采集网络数据包;
2)对数据包拆分重组;
3)解析网络行为方式;
4)将网络行为与木马行为特征库进行特征对比;
5)若行为特征相同,则产生报警行为,若不相同,则捕获下一个网络数据包。
2.根据权利要求所述的方法,其特征是所述的网络行为特征为木马的外连、信息窃取和信息外发。
3.实现根据权利要求1所述的方法的装置,其特征是由网络数据采集器、网络数据分析机组成;
所述的采集器,包括数据采集模块、数据转发模块,数据采集模块采集网络数据包,并经数据转发模块发送到分析机做处理。
所述的分析机,包括数据接收器、协议解析器、数据持久化模块、规则挖掘模块、策略制定模块、关联分析器、安全事件报告模块,数据接收器接收采集器发送的数据,并将数据交协议解析器进行会话重组,会话重组后保存于数据持久化模块中;规则挖掘模块访问持久化模块中的数据,进行网络行为规则挖掘,生产网络行为的黑、白名单,关联分析模块利用规则挖掘模块生产的网络行为规则和策略制定模块的策略选择,进行关联分析,生成安全事件报告,最后将安全事件报告呈现给前端系统。
4.权利要求3所述装置的应用,其特征是将所述的装置以旁路并联的方式接入局域网络上。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于军工思波信息科技产业有限公司,未经军工思波信息科技产业有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201010182380.7/1.html,转载请声明来源钻瓜专利网。
