[发明专利]网络木马的综合检测方法及其功能模块架构装置

摘要

该发明属于网络安全技术领域中的网络木马病毒的综合检测方法及所采用的功能模块架构装置。检测方法包括检测参数的初始化处理，录入待检测数据，按已知木马病毒标准检测，按木马病毒流量标准检测，对分析数据进行丢弃处理；而所采用的功能模块架构装置包括参数初始化处理单元模块，录入待检测数据单元模块，已知木马病毒标准检测单元模块，木马病毒流量标准检测单元模块，木马病毒发送单元模块，分析数据丢弃处理单元模块。该发明具有对内网不产生任何额外负担，有效提高了对网络木马病毒进行综合检测、防御的性能和效果，对木马病毒及其变种的适应性强、防御面宽、应用范围广，对内网进行整体防御而不需对每台单机分别设防等特点。

主权项

1、一种网络木马的综合检测方法，包括：A.检测参数的初始化处理：将需要保护的内网网段、检测模块网络地址、木马病毒管理器网络地址以及各类网络木马病毒检测标准(参数)进行初始化设置；B.录入待检测数据：从内网侦听端口录入数据，然后抽取数据中记录的内网地址、内网端口号、外网地址、外网端口号、数据流向、数据量大小、协议编号、关键字数据、出现时间，作为待检测的原始数据、以备检测；C.按已知木马病毒标准检测：首先按照已知的木马病毒特征标准(参数)对待检测的原始数据进行对比分析检测，若与任一已知的木马病毒标准相符，则将原始数据以及触发的检测标准和触发时间作为木马病毒信息，送网络木马病毒管理器作后继处理；若不符合已知的木马病毒标准，则转下一步继续检测；D.按木马病毒流量标准检测：将经步骤C检测后输入的数据，与数据库中的在先分析数据逐一进行比对检测，如果数据库中已经存在与输入数据对应的分析数据，则按照设定的木马病毒的流量特征标准逐一进行对比分析检测，若与任一流量病毒检测标准相符，则将输入数据以及触发的检测标准和触发时间，作为带木马病毒信息，送网络木马病毒管理器作后继处理、同时转下一步骤对分析数据作丢弃处理，若均不相符亦转下一步骤作数据丢弃处理；如果数据库中无在先分析数据或不存在对应分析数据，则将该输入数据存入数据库中，作为分析数据；E.对分析数据进行丢弃处理：将当前时间与数据库中的分析数据录入时间之差，逐一与设定的分析数据留存时间进行比对，并陆续将达到留存期限的分析数据丢弃。