[发明专利]一种木马通信通道检测方法及系统有效
| 申请号: | 201410816251.7 | 申请日: | 2014-12-23 |
| 公开(公告)号: | CN105791236B | 公开(公告)日: | 2019-03-12 |
| 发明(设计)人: | 周涛;彭涛;李高超 | 申请(专利权)人: | 北京网御星云信息技术有限公司 |
| 主分类号: | H04L29/06 | 分类号: | H04L29/06 |
| 代理公司: | 北京安信方达知识产权代理有限公司 11262 | 代理人: | 王康;栗若木 |
| 地址: | 100193 北京市海淀区东北*** | 国省代码: | 北京;11 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 本发明公开了一种木马通信通道检测方法及系统,包括:获取待检测数据流,设置检测分值为0。检查待检测数据流中是否存在可疑加密行为,若存在则增加检测分值;并检查是否存在可疑心跳行为,若存在则增加检测分值,并将存在可疑心跳行为的数据包从待检测数据流中删除,记为清洗后的待检测数据流。检查清洗后待检测数据中是否存在异常数据传输模式,若存在则增加检测分值;并检测是否存在异常上下行流量比,若存在则增加检测分值。根据检测分值的最终结果,判断网络连接是否为可疑木马通信通道。通过本发明的方案,能够从心跳行为、异常数据传输驱动模式、可疑加密行为、异常上下行流量比等特征上检测未知木马,降低漏报、误报等情况的发生。 | ||
| 搜索关键词: | 一种 木马 通信 通道 检测 方法 系统 | ||
【主权项】:
1.一种木马通信通道检测方法,其特征在于,所述方法包括:以串行或并行接入的方式获取一个网络连接从开始到结束的全部数据包,记为待检测数据流,设置检测分值为0;检查所述待检测数据流中是否存在可疑加密行为,如果存在则增加所述检测分值;检查所述待检测数据流中是否存在可疑心跳行为,如果存在则增加所述检测分值,并将存在可疑心跳行为的数据包从所述待检测数据流中删除,将所述待检测数据流记为清洗后的待检测数据流;检查所述清洗后待检测数据流中是否存在异常数据传输模式,如果存在则增加所述检测分值;检测所述清洗后的待检测数据流中是否存在异常上下行流量比,如果存在则增加所述检测分值;根据所述检测分值的最终结果,判断所述网络连接是否为可疑木马通信通道;其中,所述检测清洗后的待检测数据流中是否存在异常数据传输模式,如果存在则增加所述检测分值具体包括以下步骤:根据所述清洗后的待检测数据流,生成两个时间序列:客户端到服务器端数据传输时间序列和服务器端到客户端数据传输时间序列;找到两个时间序列中的活跃点,生成两个活跃时间点序列:客户端到服务器端活跃时间点序列和服务器端到客户端活跃时间点序列;查找服务器端到客户端的活跃时间点中,有多少个所述活跃时间点得到了客户端的响应;计算服务器端到客户端活跃时间点的响应率,计算客户端到服务器端活跃时间点的激活率;如果二者的比例均超过设定的阈值Tr,且服务器端和客户端的命令‑响应交互次数超过了设定的阈值Tmn,则产生检测到所述异常数据传输模式的报警,同时根据检测结果增加所述检测分值的取值,所述响应率是指:从服务器端到客户端的活跃数据传输中,得到了客户端及时响应的概率;所述激活率是指:从客户端到服务器端的活跃数据传输中,数据传输行为是由于被服务器端激活才发生的概率。
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于北京网御星云信息技术有限公司,未经北京网御星云信息技术有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/201410816251.7/,转载请声明来源钻瓜专利网。
