[发明专利]一种木马程序的检测方法、装置、设备及存储介质

说明书

本申请公开了一种木马程序的检测方法，应用于服务器，包括：当检测到计算机进程时，获取计算机进程的上行流量和下行流量；然后判断上行流量是否大于下行流量；若是，则判定计算机进程中存在木马进程，从而确定出服务器中存在木马程序。由于当服务器中存在木马程序时，不管木马程序如何伪装、隐藏，只要其完成的功能和目的不变，那么服务器与客户机之间传输的流量特征便难以改变，因此，相较于现有技术，本方法能够更准确地检测出服务器中是否存在木马程序，以便能够对木马程序进行查杀，从而保障服务器的安全性。本申请还公开了一种木马程序的检测装置、设备及计算机可读存储介质，均具有上述有益效果。

技术领域

本发明涉及网络安全领域，特别涉及一种木马程序的检测方法、装置、设备及计算机可读存储介质。

背景技术

随着计算机技术的快速发展，网络安全问题也日益严峻，其中，由木马程序造成的网络安全问题越来越受到人们的重视。木马程序是黑客用于通过客户机(控制端)控制服务器(被控制端)的一段特定的程序，被控制端中的木马程序的服务一旦运行并与控制端连接，控制端将享有被控制端的大部分操作权限，窃取被控制端中的文件、图片、网页等信息，从而对被控制端的安全性造成严重的威胁。

在现有技术中，为了提高被控制端的服务器的安全性，通常是在服务器中通过特征码扫描或虚拟机技术等方式识别检测木马程序。但是，由于木马程序的伪装、隐藏特性，使得通过特征码扫描或虚拟机技术等方式难以检测出木马程序；另外，由于木马程序的伪装和隐藏技术也在快速发展，现有技术的方式由于需要预先获取木马程序的先验知识才能对木马程序进行检测识别，因此当出现新的伪装和隐藏手段时，现有技术的方法将无法实现对木马程序的检测，从而使得被控制端的服务器的安全性仍存在威胁。

因此，如何更准确地检测木马程序，保障服务器的安全性是本领域技术人员目前需要解决的技术问题。

发明内容

有鉴于此，本发明的目的在于提供一种木马程序的检测方法，能够更准确地检测木马程序，保障服务器的安全性；本发明的另一目的是提供一种木马程序的检测装置、设备及计算机可读存储介质，均具有上述有益效果。

为解决上述技术问题，本发明提供一种木马程序的检测方法，应用于服务器，包括：

当检测到计算机进程时，获取所述计算机进程的上行流量和下行流量；

判断所述上行流量是否大于所述下行流量；

若是，则判定所述计算机进程中存在木马进程。

优选地，在判断出所述上行流量大于所述下行流量之后，进一步包括：

累计第一预设时间内所述上行流量的第一总流量值和所述下行流量的第二总流量值；

计算所述第一总流量值和所述第二总流量值的比值，得到总流量比值；

判断所述总流量比值是否在第一阈值范围内；

若是，则进入所述判定所述计算机进程中存在木马进程的步骤。

优选地，在判断出所述总流量比值在所述第一阈值范围内之后，进一步包括：

分别计算所述上行流量的第一流量均值和所述下行流量的第二流量均值；

根据所述第一流量均值和所述第二流量均值计算出上下行平均流量比值；

判断所述上下行平均流量比值是否在第二阈值范围内；

若是，则进入所述判定所述计算机进程中存在木马进程的步骤。

优选地，在判断出所述总流量比值在所述第一阈值范围内之后，进一步包括：

计算在第二预设时间内，所述上行流量大于所述下行流量的时间占上下行流量有差异的时间的比值，得到时间比值；