[发明专利]一种基于数据包过滤的远程控制恶意程序检测方法及系统在审
| 申请号: | 201611249289.6 | 申请日: | 2016-12-29 |
| 公开(公告)号: | CN106657100A | 公开(公告)日: | 2017-05-10 |
| 发明(设计)人: | 许梦磊;童志明;何公道 | 申请(专利权)人: | 哈尔滨安天科技股份有限公司 |
| 主分类号: | H04L29/06 | 分类号: | H04L29/06;H04L29/08 |
| 代理公司: | 暂无信息 | 代理人: | 暂无信息 |
| 地址: | 150090 黑龙江省哈尔滨市*** | 国省代码: | 黑龙江;23 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 本发明提出基于数据包过滤的远程控制恶意程序检测方法及系统,该方法利用监测网络,获取预设时间段内的网络数据包,按照条件进行两次筛选出数据包大小在预设值范围内且通信IP固定的网络数据包,判断数据包的发包频率是否固定,若是则为可疑数据包,则可初步判定系统感染了远程控制恶意程序,然后对可疑数据包进行解析,获取其通信IP和内容,可对通信IP进行长期监测,并结合注册表查看工具,进程查看工具及系统日志判定系统是否被远程控制恶意程序感染。该方法可有效检测系统环境,检测是否有可疑数据包进而判断是否可能感染远程控制恶意软件,以便及时切断用户与服务器间的联系,有效的阻止重要信息的丢失。 | ||
| 搜索关键词: | 一种 基于 数据包 过滤 远程 控制 恶意程序 检测 方法 系统 | ||
【主权项】:
一种基于数据包过滤的远程控制恶意程序检测方法,其特征在于,包括:监测网络,获取预设时间段内的网络数据包,构成数据包集A;在所述数据包集A中,筛选出数据包大小在预设值范围内的数据包,构成数据包集B1或在所述数据包集A中筛选出通信IP固定的数据包,构成数据包集B2;在所述数据包集B1中,继续筛选出通信IP固定的数据包,构成数据包集C1或在所述数据包集B2中,继续筛选出数据包大小在预设值范围内的网络数据包,构成数据包集C2;判断所述数据包集C1或数据包集C2中的数据包的发包频率是否固定,若是则为可疑数据包,则初步判定系统感染了远程控制恶意程序,并进行深度判定。
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于哈尔滨安天科技股份有限公司,未经哈尔滨安天科技股份有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/201611249289.6/,转载请声明来源钻瓜专利网。
