[发明专利]基于沙箱检测文件识别木马回连方法及装置有效
| 申请号: | 201710802842.2 | 申请日: | 2017-09-07 |
| 公开(公告)号: | CN107395650B | 公开(公告)日: | 2020-06-09 |
| 发明(设计)人: | 沈伟;范渊;李凯;黄进 | 申请(专利权)人: | 杭州安恒信息技术股份有限公司 |
| 主分类号: | H04L29/06 | 分类号: | H04L29/06;H04L29/12 |
| 代理公司: | 北京超凡志成知识产权代理事务所(普通合伙) 11371 | 代理人: | 苏胜 |
| 地址: | 310052 浙江省*** | 国省代码: | 浙江;33 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 本发明实施例提供的基于沙箱检测文件识别木马回连方法及装置,属于网络安全检测领域。该方法通过捕获流经网卡的IP协议流量数据包,从而解析所述流量数据包,并分离所述流量数据包所携带的文件,再基于沙箱检测所述文件,捕获网络行为,再通过判断所述网络行为是否是恶意行为来识别所述网络行为所对应的域名和互联网协议地址是否为回连域名,进而通过回连域名准确识别回连行为,并能获取被木马感染的设备IP;同时能识别一些可疑的回连域名供安全人员进一步分析,进一步更快更高效的识别回连域名。 | ||
| 搜索关键词: | 基于 检测 文件 识别 木马 方法 装置 | ||
【主权项】:
一种基于沙箱检测文件识别木马回连方法,其特征在于,包括:捕获流经网卡的IP协议流量数据包;解析所述流量数据包,并分离所述流量数据包所携带的文件;基于沙箱检测所述文件,捕获网络行为;判断所述网络行为是否是恶意行为;若是,将所述网络行为所对应的域名和互联网协议地址存入预设回连名单库;若否,判断所述网络行为所对应的域名是否属于预设白名单库;若否,判断所述域名和所述域名所对应的所述互联网协议中至少一个是否属于所述回连名单库;若是,将不属于所述回连名单库的一个存入所述回连名单库;若否,将所述互联网协议地址和所述域名存入预设可疑名单库。
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于杭州安恒信息技术股份有限公司,未经杭州安恒信息技术股份有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/201710802842.2/,转载请声明来源钻瓜专利网。
- 上一篇:一种基于权属的数据授权方法及系统
- 下一篇:服务系统及信息处理方法
