[发明专利]一种基于数据包过滤的远程控制恶意程序检测方法及系统在审
| 申请号: | 201611249289.6 | 申请日: | 2016-12-29 |
| 公开(公告)号: | CN106657100A | 公开(公告)日: | 2017-05-10 |
| 发明(设计)人: | 许梦磊;童志明;何公道 | 申请(专利权)人: | 哈尔滨安天科技股份有限公司 |
| 主分类号: | H04L29/06 | 分类号: | H04L29/06;H04L29/08 |
| 代理公司: | 暂无信息 | 代理人: | 暂无信息 |
| 地址: | 150090 黑龙江省哈尔滨市*** | 国省代码: | 黑龙江;23 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 一种 基于 数据包 过滤 远程 控制 恶意程序 检测 方法 系统 | ||
1.一种基于数据包过滤的远程控制恶意程序检测方法,其特征在于,包括:
监测网络,获取预设时间段内的网络数据包,构成数据包集A;
在所述数据包集A中,筛选出数据包大小在预设值范围内的数据包,构成数据包集B1或在所述数据包集A中筛选出通信IP固定的数据包,构成数据包集B2;
在所述数据包集B1中,继续筛选出通信IP固定的数据包,构成数据包集C1或在所述数据包集B2中,继续筛选出数据包大小在预设值范围内的网络数据包,构成数据包集C2;
判断所述数据包集C1或数据包集C2中的数据包的发包频率是否固定,若是则为可疑数据包,则初步判定系统感染了远程控制恶意程序,并进行深度判定。
2.如权利要求1所述的方法,其特征在于,所述深度判定具体包括:
解析可疑数据包,获取其通信IP和内容并长期监测;结合查看工具及系统日志判定系统是否感染了远程控制恶意程序。
3.如权利要求2所述的方法,其特征在于,所述查看工具包括注册表查看工具以及进程查看工具。
4.一种基于数据包过滤的远程控制恶意程序检测系统,其特征在于,
包括:
监测模块,用于监测网络,获取预设时间段内的网络数据包,构成数据包集A;
筛选模块一,用于在所述数据包集A中,筛选出数据包大小在预设值范围内的数据包,构成数据包集B1或在所述数据包集A中筛选出通信IP固定的数据包,构成数据包集B2;
筛选模块二,用于在所述数据包集B1中,继续筛选出通信IP固定的数据包,构成数据包集C1或在所述数据包集B2中,继续筛选出数据包大小在预设值范围内的网络数据包,构成数据包集C2;
判定模块,判断所述数据包集C1或数据包集C2中的数据包的发包频率是否固定,若是则为可疑数据包,则可初步判定系统感染了远程控制恶意程序,并进行深度判定。
5.如权利要求4所述的系统,其特征在于,所述深度判定具体包括:
解析可疑数据包,获取其通信IP和内容并长期监测;结合查看工具及系统日志判定系统是否感染了远程控制恶意程序。
6.如权利要求5所述的系统,其特征在于,所述查看工具包括注册表查看工具以及进程查看工具。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于哈尔滨安天科技股份有限公司,未经哈尔滨安天科技股份有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201611249289.6/1.html,转载请声明来源钻瓜专利网。
