[发明专利]一种木马远程shell行为检测装置及方法有效
| 申请号: | 201310489714.9 | 申请日: | 2013-10-18 |
| 公开(公告)号: | CN103532957B | 公开(公告)日: | 2017-09-15 |
| 发明(设计)人: | 张小松;黄金;牛伟纳;王俊峰;王标;何永强 | 申请(专利权)人: | 电子科技大学 |
| 主分类号: | H04L29/06 | 分类号: | H04L29/06 |
| 代理公司: | 成都弘毅天承知识产权代理有限公司51230 | 代理人: | 杨保刚 |
| 地址: | 611731 四川省成*** | 国省代码: | 四川;51 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 本发明公开了一种木马远程shell行为检测装置及方法,检测装置包括数据包采集装置,数据流筛选过滤装置,数据流特征提取装置和木马shell行为特征检测装置。检测方法首先为获取网络入口实时网络流量数据;然后对实时网络流量数据进行数据流分类,过滤掉无关协议数据流;再提取每个数据流一个应答响应过程中出入包载荷比率、出入包数目比率、数据流应答间隔;最后将一定时间间隔内提取到的数据流特征构造成特征向量输入到构造的神经网络模型当中;最后通过神经网络模型计算得出结果,判断该数据流是否存在木马远程shell行为,并输出结果,同时将检测结果反馈到数据流筛选过滤中,适用于大规模网络环境,能够对已知和未知木马远程shell行为进行检测。 | ||
| 搜索关键词: | 一种 木马 远程 shell 行为 检测 装置 方法 | ||
【主权项】:
一种木马远程shell行为检测装置,其特征在于,包括:数据包采集装置:用于获取网络入口实时网络流量数据的;数据流筛选过滤装置:用于对实时网络流量数据按源IP、源端口、目的IP、目的端口、协议类型进行数据流分类,过滤掉无关协议数据流;数据流特征提取装置:用于提取每个数据流一个应答响应过程中出入包载荷比率、出入包数目比率、数据流应答间隔;木马shell行为特征检测装置:用于将一定时间间隔内提取到的数据流特征构造成特征向量[x1,x2,x3]输入到构造的神经网络模型当中,x1代表数据流的一个应答响应过程中出入包载荷比率,x2代表数据流一个应答响应过程中出入包数目比,x3代表数据流一个连续应答响应过程的时间间隔,通过神经网络模型计算得出结果,判断该数据流是否存在木马远程shell行为,并输出结果,同时将检测结果反馈到数据流筛选过滤中的步骤;所述木马shell行为特征检测装置中的模型学习算法为神经网络模型,神经网络模型的函数表达为:y=wx,其中w为特征性向量系数矩阵[w1,w2,w3],x为特征值矩阵[x1,x2,x3]T,theta,为检测阈值,t为检测结果;对于某个输入[x1,x2,x3],a=w1x1+w2x2+w3x3≥theta,输出结果为1,表示检测到木马shell行为;反之输出结果0,没有检测到木马shell行为。
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于电子科技大学,未经电子科技大学许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/201310489714.9/,转载请声明来源钻瓜专利网。
- 上一篇:一种电动车遮雨棚
- 下一篇:齿条和齿条齿成形模具
