[发明专利]一种木马通信行为的检测方法、装置及电子设备

权利要求书

1.一种木马通信行为的检测方法，其特征在于，应用于基于icmp协议的木马通信；所述方法包括：

按照预设的时间窗口依次接收ping包；

确定当前时间窗口内接收到的ping包的指纹特征；

将当前时间窗口内接收到的ping包的指纹特征，与正常ping包的指纹特征进行比对；

若当前时间窗口内接收到的ping包的指纹特征，与正常ping包的指纹特征不匹配，则确定与正常ping包的指纹特征不匹配的ping包为异常ping包；

统计接收到的ping包中出现异常ping包的时间窗口的个数，并确定接收到的ping包中出现异常ping包的时间窗口的个数是否达到预设个数；

在所述预设个数的时间窗口内接收到的ping包中，确定各异常ping包的指纹特征；

根据各异常ping包的指纹特征，确定发起各异常ping包的通信是否为木马通信；

其中，所述根据各异常ping包的指纹特征，确定发起各异常ping包的通信是否为木马通信，包括：

将所述预设个数的时间窗口内接收到的异常ping包，以IP为单位进行分类；

确定单对IP所对应的异常ping包的指纹特征，是否命中预设的木马通信判断规则；

若单对IP所对应的异常ping包的指纹特征，命中预设的木马通信判断规则，则确定发起该单对IP所对应的异常ping包的通信为木马通信。

2.根据权利要求1所述的木马通信行为的检测方法，其特征在于，所述指纹特征包括：连接特征、数据包方向特征、流量特征和/或载荷特征。

3.一种木马通信行为的检测装置，其特征在于，应用于基于icmp协议的木马通信；所述装置包括：

数据接收模块，用于按照预设的时间窗口依次接收ping包；

第一指纹特征确定模块，用于确定当前时间窗口内接收到的ping包的指纹特征；

指纹特征比对模块，用于将当前时间窗口内接收到的ping包的指纹特征，与正常ping包的指纹特征进行比对；

异常数据确定模块，用于若当前时间窗口内接收到的ping包的指纹特征，与正常ping包的指纹特征不匹配，则确定与正常ping包的指纹特征不匹配的ping包为异常ping包；

统计模块，用于统计接收到的ping包中出现异常ping包的时间窗口的个数，并确定接收到的ping包中出现异常ping包的时间窗口的个数，是否达到预设个数；

第二指纹特征确定模块，用于在所述预设个数的时间窗口内接收到的ping包中，确定各异常ping包的指纹特征；

木马通信确定模块，用于根据各异常ping包的指纹特征，确定发起各异常ping包的通信是否为木马通信；

其中，所述木马通信确定模块，包括：

分类子模块，用于将所述预设个数的时间窗口内接收到的异常ping包，以IP为单位进行分类，

规则命中判断子模块，用于确定单对IP所对应的异常ping包的指纹特征，是否命中预设的木马通信判断规则；

木马通信确定子模块，用于若单对IP所对应的异常ping包的指纹特征，命中预设的木马通信判断规则，则确定发起该单对IP所对应的异常ping包的通信为木马通信。

4.根据权利要求3所述的木马通信行为的检测装置，其特征在于，所述指纹特征包括：连接特征、数据包方向特征、流量特征和/或载荷特征。

5.一种电子设备，其特征在于，所述电子设备包括：壳体、处理器、存储器、电路板和电源电路，其中，电路板安置在壳体围成的空间内部，处理器和存储器设置在电路板上；电源电路，用于为上述电子设备的各个电路或器件供电；存储器用于存储可执行程序代码；处理器通过读取存储器中存储的可执行程序代码来运行与可执行程序代码对应的程序，用于执行权利要求1至2中任一项所述的方法。

6.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质存储有一个或者多个程序，所述一个或者多个程序可被一个或者多个处理器执行，以实现权利要求1至2中任一项所述的方法。