[发明专利]一种窃密木马的TCP心跳行为的检测方法有效
| 申请号: | 201210555371.7 | 申请日: | 2012-12-19 |
| 公开(公告)号: | CN103036743A | 公开(公告)日: | 2013-04-10 |
| 发明(设计)人: | 陈小军;时金桥;张浩亮;蒲以国;谭庆丰;徐菲;胡兰兰 | 申请(专利权)人: | 中国科学院信息工程研究所 |
| 主分类号: | H04L12/26 | 分类号: | H04L12/26;H04L29/06 |
| 代理公司: | 北京轻创知识产权代理有限公司 11212 | 代理人: | 杨立 |
| 地址: | 100093 *** | 国省代码: | 北京;11 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 本发明涉及一种窃密木马的TCP心跳行为的检测方法,包括:步骤1,抓取网络数据包,还原成TCP数据流;步骤2,检测是否有TCP保活心跳行为;步骤3,检测是否有TCP连接内心跳行为;步骤4,检测是否有TCP连接级心跳行为:步骤5,对检测出的窃密木马心跳行为进行误判检测。本发明基于网络数据包大小、方向和时间等特征,能计算出心跳的周期及其波动的范围,方法简单,检测结果准确全面,能运用在实时检测窃密木马的系统中,具有较好的检测效果。 | ||
| 搜索关键词: | 一种 窃密 木马 tcp 心跳 行为 检测 方法 | ||
【主权项】:
一种窃密木马的TCP传输控制协议心跳行为的检测方法,其特征在于,包括:步骤1,抓取网络数据包,还原成TCP数据流,并记录TCP数据流信息;步骤2,检测是否有TCP保活心跳行为:判断来自服务端和客户端的心跳数据包数量是否超过最少心跳数据包数量,若是则存在TCP保活心跳行为,并执行步骤5,否则根据窃密木马的连接持续时间是否超过阈值,执行步骤3或步骤4;步骤3,若连接持续时间超过阈值,检测是否有TCP连接内心跳行为:根据一个连接内每个方向的数据包的字节数和时间,判断字节数大小相似的数据包的发送序列是否具有周期性,若是则判断为可疑TCP连接内心跳行为,并执行步骤5,否则结束检测流程;步骤4,若连接持续时间未超过阈值,检测是否有TCP连接级心跳行为:分析具有相同三元组的若干连续TCP短连接的时间和通信字节数,判断通信字节数相似的连接序列是否具有周期性,若是则判断为可疑TCP连接级心跳行为,并执行步骤5,否则结束检测流程;步骤5,检测步骤2、步骤3或步骤4得到的相应心跳行为是否存在误判,若是则返回步骤1,否则结束检测流程。
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于中国科学院信息工程研究所,未经中国科学院信息工程研究所许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/201210555371.7/,转载请声明来源钻瓜专利网。
