[发明专利]一种识别失活木马程序的方法、装置和存储介质

权利要求书

1.一种识别失活木马程序的方法，其特征在于，包括：

从未知类型的流量的数据包提取出与服务端尝试连接的时间间隔的数据和/或与服务端进行连接的SYN请求应答比例的数据；

根据训练数据和提取出的数据，确定未知类型的流量来自于失活木马程序的概率以及未知类型的流量来自于正常程序的概率；

在未知类型的流量来自于失活木马程序的概率大于未知类型的流量来自于正常应用程序的概率时，确定未知类型的流量来自于失活木马程序；

其中，所述训练数据包括从多个正常应用程序连接服务端失败的数据包中提取的与服务端尝试连接的时间间隔的数据和从多个失活木马程序连接服务端失败的数据包中提取的与服务端尝试连接的时间间隔的数据，和/或，从多个正常应用程序连接服务端失败的数据包中提取的与服务端尝试连接的SYN请求应答比例的数据和从多个失活木马程序连接服务端失败的数据包中提取的与服务端尝试连接的SYN请求应答比例的数据。

2.如权利要求1所述的方法，其特征在于，在确定未知类型的流量来自于失活木马程序后，所述方法还包括：

根据从所述未知类型的流量的数据包提取出与服务端尝试连接的时间间隔的数据，计算与服务端尝试连接的平均周期及标准差；

将计算得到的与服务端尝试连接的平均周期及标准差，与预设的木马家族的识别库进行匹配；所述木马家族的识别库存储了多种类型的木马程序和多个与服务端尝试连接的平均间隔周期和标准差的对应关系；

确定未知流量来自于匹配中的类型的木马程序。

3.如权利要求2所述的方法，其特征在于，将计算得到的与服务端尝试连接的平均周期及标准差，与预设的木马家族的识别库进行匹配，包括：

将计算得到的与服务端尝试连接的平均周期及标准差，与所述识别库中的多个与服务端尝试连接的平均间隔周期和标准差进行比对；

确定在预设误差范围内的服务端尝试连接的平均间隔周期和标准差对应的类型的木马程序为匹配中的类型的木马程序。

4.一种识别失活木马程序的装置，其特征在于，所述装置包括存储器和处理器，所述存储器用于存储多条指令，所述处理器用于加载所述存储器中存储的指令以执行：

从未知类型的流量的数据包提取出与服务端尝试连接的时间间隔的数据和/或与服务端进行连接的SYN请求应答比例的数据；

根据训练数据和提取出的数据，确定未知类型的流量来自于失活木马程序的概率以及未知类型的流量来自于正常程序的概率；

在未知类型的流量来自于失活木马程序的概率大于未知类型的流量来自于正常应用程序的概率时，确定未知类型的流量来自于失活木马程序；

其中，所述训练数据包括从多个正常应用程序连接服务端失败的数据包中提取的与服务端尝试连接的时间间隔的数据和从多个失活木马程序连接服务端失败的数据包中提取的与服务端尝试连接的时间间隔的数据，和/或，从多个正常应用程序连接服务端失败的数据包中提取的与服务端尝试连接的SYN请求应答比例的数据和从多个失活木马程序连接服务端失败的数据包中提取的与服务端尝试连接的SYN请求应答比例的数据。

5.如权利要求4所述的装置，其特征在于，所述处理器还用于加载所述存储器中存储的指令以执行：

在确定未知类型的流量来自于失活木马程序后，根据从所述未知类型的流量的数据包提取出与服务端尝试连接的时间间隔的数据，计算与服务端尝试连接的平均周期及标准差；

将计算得到的与服务端尝试连接的平均周期及标准差，与预设的木马家族的识别库进行匹配；所述木马家族的识别库存储了多种类型的木马程序和多个与服务端尝试连接的平均间隔周期和标准差的对应关系；

确定未知流量来自于匹配中的类型的木马程序。

6.如权利要求5所述的装置，其特征在于，所述处理器用于加载所述存储器中存储的指令以执行：

将计算得到的与服务端尝试连接的平均周期及标准差，与所述识别库中的多个与服务端尝试连接的平均间隔周期和标准差进行比对；

确定在预设误差范围内的服务端尝试连接的平均间隔周期和标准差对应的类型的木马程序为匹配中的类型的木马程序。

7.一种非易失性计算机可读存储介质，其特征在于，所述存储介质中存储有多条指令，所述指令适于由处理器加载并执行权利要求 1-3任一所述的方法的步骤。