[发明专利]一种防木马的网络安全系统及方法

权利要求书

1.一种防木马的网络设备(220)，其中一控制端(240)通过互联网(230)经网络设备(220)与一服务端(210)相连，以便控制端(240)向服务端(210)发送指令，和/或服务端(210)向控制端(240)回传数据；其特征在于所述网络设备(220)包括：

病毒识别模块(221)，基于来自控制端(240)的指令数据包中的应用层数据和/或来自服务端(210)的回传数据包中的应用层数据，识别木马病毒；和

策略控制模块(222)，在病毒识别模块(221)识别到木马病毒的情况下对服务端(210)采取保护操作。

2.如权利要求1所述的一种防木马的网络设备(220)，其特征在于病毒识别模块(221)基于应用层数据和TCP头和/或IP头信息识别木马病毒。

3.如权利要求1或2所述的一种防木马的网络设备(220)，其特征在于所述应用层数据，或者应用层数据和TCP头和/或IP头信息属于服务端(210)与控制端(240)之间连接一次传输多个数据包的情况。

4.如权利要求1或2所述的一种防木马的网络设备(220)，其特征在于所述应用层数据或者应用层数据和TCP头和/或IP头信息属于服务端(210)与控制端(240)之间连接多次传输多个数据包的情况。

5.如权利要求1所述的一种防木马的网络设备(220)，其特征在于病毒识别模块(221)还基于一次连接中多个数据包之间的关系识别木马病毒。

6.如权利要求1所述的一种防木马的网络设备(220)，其特征在于病毒识别模块(221)还基于多次连接中多个数据包之间的关系识别木马病毒。

7.如权利要求1所述的一种防木马的网络设备(220)，其特征在于，策略控制模块(222)对服务端(210)采取的保护操作是阻止服务端(210)与控制端(240)之间传输数据包。

8.如权利要求1所述的一种防木马的网络设备(220)，其特征在于，策略控制模块(222)对服务端(210)采取的保护操作是断开服务端(210)与控制端(240)之间的连接。

9.如权利要求1所述的一种防木马的网络设备(220)，其特征在于，策略控制模块(222)对服务端(210)采取的保护操作是通知服务端(210)被安装了木马程序。

10.一种防木马的计算机系统，其中一控制端通过互联网与该计算机系统相连，以便控制端向该计算机系统发送指令，和/或该计算机系统向控制端回传数据；其特征在于所述计算机系统包括：

病毒识别模块，基于来自控制端的指令数据包中的应用层数据和/或计算机系统拟回传的数据包中的应用层数据，识别木马病毒；和

策略控制模块，在病毒识别模块识别到木马病毒的情况下对计算机系统采取保护操作。

11.一种置于计算机中的防木马设备，其中一控制端通过互联网经该计算机中的防木马设备与该计算机相连，以便控制端向该计算机发送指令，和/或该计算机向控制端回传数据；其特征在于所述防木马设备包括：

病毒识别模块，基于来自控制端的指令数据包中的应用层数据和/或该计算机拟回传的数据包中的应用层数据，识别木马病毒；和

策略控制模块，在病毒识别模块识别到木马病毒的情况下对计算机采取保护操作。

12.一种置于网络设备中的防木马设备，其中一控制端通过互联网经该防木马设备与服务端相连，以便控制端向服务端发送指令，和/或服务端向控制端回传数据；其特征在于所述防木马设备包括：

病毒识别模块，基于来自控制端的指令数据包中的应用层数据和/或服务端拟回传的数据包中的应用层数据，识别木马病毒；和

策略控制模块，在病毒识别模块识别到木马病毒的情况下对服务端采取保护操作。

13.一种防木马的网络安全方法，包括

截获控制端(240)通过互联网(230)传往服务端(210)的数据包和/或服务端(210)通过互联网传往控制端(240)的数据包；

根据数据包中的应用层数据识别木马病毒；

在识别到木马病毒的情况下对服务端采取保护操作。