[发明专利]一种针对内网端口反弹型木马的防范方法有效
| 申请号: | 201510585555.1 | 申请日: | 2015-09-14 |
| 公开(公告)号: | CN105119938B | 公开(公告)日: | 2018-05-18 |
| 发明(设计)人: | 张小松;白金;牛伟纳;徐浩然;吴安彬;唐海洋;张林 | 申请(专利权)人: | 电子科技大学 |
| 主分类号: | H04L29/06 | 分类号: | H04L29/06 |
| 代理公司: | 电子科技大学专利中心 51203 | 代理人: | 李明光 |
| 地址: | 611731 四川省成*** | 国省代码: | 四川;51 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 本发明属于网络环境下信息安全技术领域,提出一种防范内网反弹型木马的方法,用于克服杀毒软件不能很好的发现已知木马的变种和新的木马的问题。该方法首先建立可信程序名单,并于内网出口网关保存该可信名单;再对发送报文进行安全上下文标记,然后在内网出口处对报文中的安全上下文提取,将其与网关的可信程序名单进行对比,如果程序名称及MD5值与可信程序名单一致,则放行,反之则丢掉数据包,限制放行并记入黑名单。从而,本发明有效解决由于传统木马检测方法无法对变种木马或者新木马进行有效检测而带来的内网安全问题。 | ||
| 搜索关键词: | 一种 针对 端口 反弹 木马 防范 方法 | ||
【主权项】:
1.一种针对内网端口反弹型木马的防范方法,包括以下步骤:步骤1.确定可信程序名单:为所有可信程序设定key-value,其中key为程序名称,value值为可信程序的MD5值;内网出口网关保存一份key-value名单,即可信程序名单;步骤2.打安全标签:内网中每台主机对其本地应用程序发出的网络报文进行安全上下文标记,安全上下文标记内容包括:(1)发送此报文的程序名称,(2)程序的MD5值,(3)主机的MAC地址;步骤3.内网出口网关处捕获内网中流出的所有报文;步骤4.内网出口网关检测报文中提供的安全上下文并分析报文内容:提取报文中的安全上下文,将其与网关的可信程序名单进行对比,如果程序名称及MD5值与可信程序名单一致,则放行并建立一个cache;预设时间内,再次捕获到由此MAC地址所对应主机的相同程序发出的网络报文则直接放行;反之则丢掉数据包,限制放行,并将相关信息记录于日志中;同时,对报文连接的外网IP地址记入黑名单。
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于电子科技大学,未经电子科技大学许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/201510585555.1/,转载请声明来源钻瓜专利网。
