[发明专利]一种基于终端流量的木马检测方法

权利要求书

1.一种基于终端流量的木马检测方法，其特征在于：所述方法包括以下步骤：

步骤1：捕获数据流量信息，并分析时间段流量；

步骤2：对终端上下行数据流量进行分析；

步骤3：通过智能分析的数据流量与通信白名单数据进行核准匹配；

步骤4：终端流量数据包正确性检测。

2.根据权利要求1所述的基于终端流量的木马检测方法，其特征在于：所述步骤1包括以下步骤：

步骤1-1：捕获终端的数据流量信息，对所有产生的数据流量进行记录和统计；

步骤1-2：时间段内获取数据流量信息，实时记录产生的数据流量信息，根据捕获的数据包分析，得到产生数据流量的源端口或目的端口，在通过源端口找到占用端口的进程ID，通过进程ID找到此进程的记录项；

步骤1-3：若没有检测到时间段内产生的此进程记录项，则进行自建进程记录项，把数据包的长度累加到记录项的流量字段中。

3.根据权利要求1所述的基于终端流量的木马检测方法，其特征在于：所述步骤2包括以下步骤：

步骤2-1：建立数据流量检测模型，统计所有进程的上行流量和下行流量；

步骤2-2：通过数据流量检测模型进行进程ID、进程名称、上行流量、下行流量、时间段、数据包关键字、特征函数和恶意代码的检测；

步骤2-3：判定数据流量中上行流量与下行流量是否存在差异，若上行流量大于下行流量，则通过数据包进行关键字过滤分析；

步骤2-4：对下行流量过大数据包进行特征函数与恶意代码的检测；

步骤2-5：若下行流量中存在特征函数或恶意代码，则表面存在异常流量数据，通过进程ID查找对应的程序，自建的进程记录项与实时流量数据记录信息进行智能分析匹配定位对应进程。

4.根据权利要求1所述的基于终端流量的木马检测方法，其特征在于：所述步骤3中，根据木马行为特性，构建基于进程名称、源通信端口、目的IP地址和目的端口关联的通信白名单，在获取数据流量信息后，通过流量数据找到相应进程，根据数据包分析，查找产生流量进程源端口与外界通信的目的IP地址与目的端口，记录并与已构建通信白名单进行对比匹配，判定是否为木马程序。

5.根据权利要求1所述的基于终端流量的木马检测方法，其特征在于：终端流量数据包正确性检测包括协议正确性检测和协议数据包长度检测。

6.根据权利要求5所述的基于终端流量的木马检测方法，其特征在于：所述步骤4具体包括以下步骤：

步骤4-1：建立基于数据包的协议正确性检测模型，协议正确性检测模型涵盖字段包括端口号、协议、协议的特征、协议的数据包长度阀值信息；

步骤4-2：根据上行流量目的端口识别出相应的协议，根据协议特征对数据包内容进行验证；

步骤4-3：根据上行流量协议数据包长度的最大值进行检测，超过设定的某协议的最大数据包长度，就属于可疑数据包，其发送程序就属于可疑进程，完成协议数据包长度检测。