[发明专利]一种识别失活木马程序的方法、装置和存储介质

说明书

本发明实施例提供了一种识别失活木马程序的方法、装置及存储介质，从而识别出网内处于失活或者暂时失活的木马程序，定位被该木马程序感染的主机。该方法包括：从未知类型的流量的数据包提取出与服务端尝试连接的时间间隔的数据和/或与服务端进行连接的SYN请求应答比例的数据；根据训练数据和提取出的数据，确定未知类型的流量来自于失活木马程序的概率以及未知类型的流量来自于正常程序的概率；在未知类型的流量来自于失活木马程序的概率大于未知类型的流量来自于正常应用程序的概率时，确定未知类型的流量来自于失活木马程序。

技术领域

本发明涉及信息安全技术领域，尤其涉及一种识别失活木马程序的方法、装置及存储介质。

背景技术

随着互联网的快速发展宽带的普及，基于流量监控系统已经成为入侵检测的重要手段之一，对于可以正常通讯的木马，会在TCP三次握手成功后，与服务端通讯，这种情况下通过被动式监视就能够简单的发现与定位出当前被感染的主机，也就是说，目前只有在木马与服务端正常通讯，才能够发现与定位出当前被感染的主机，确认主机感染了木马程序。其中，TCP 连接通过三次握手进行初始化，三次握手的目的是同步连接双方的序列号和确认号并交换 TCP 窗口大小信息，以保证在发送数据前建立可靠的连接。

而对于处于控制命令服务器（CC, Command and Control）已经失活或者暂时失活状态的主机，主机中感染的木马程序在执行TCP三次握手时不能成功，导致木马程序与服务端不能通讯，这导致目前的被动式监视的方式难以发现被CC失活木马感染的主机，而CC失活木马很可能再次复活，因此，这会使得网内的威胁不能很好的被发现，从而可能造成不可预估的威胁情况。

综上所述，目前的基于流量监控的被动式监视方法不能发现被失活木马感染的主机。

发明内容

本发明实施例提供了一种识别失活木马程序的方法、装置及存储介质，从而识别出网内处于失活或者暂时失活的木马程序，定位被该木马程序感染的主机。

基于上述问题，本发明实施例提供的一种识别失活木马程序的方法，包括：

从未知类型的流量的数据包提取出与服务端尝试连接的时间间隔的数据和/或与服务端进行连接的SYN请求应答比例的数据；

根据训练数据和提取出的数据，确定未知类型的流量来自于失活木马程序的概率以及未知类型的流量来自于正常程序的概率；

在未知类型的流量来自于失活木马程序的概率大于未知类型的流量来自于正常应用程序的概率时，确定未知类型的流量来自于失活木马程序；

其中，所述训练数据包括从多个正常应用程序连接服务端失败的数据包中提取的与服务端尝试连接的时间间隔的数据和从多个失活木马程序连接服务端失败的数据包中提取的与服务端尝试连接的时间间隔的数据，和/或，从多个正常应用程序连接服务端失败的数据包中提取的与服务端尝试连接的SYN请求应答比例的数据和从多个失活木马程序连接服务端失败的数据包中提取的与服务端尝试连接的SYN请求应答比例的数据。

本发明实施例提供的一种识别失活木马程序的装置，包括存储器和处理器，所述存储器用于存储多条指令，所述处理器用于加载所述存储器中存储的指令以执行：

从未知类型的流量的数据包提取出与服务端尝试连接的时间间隔的数据和/或与服务端进行连接的SYN请求应答比例的数据；

根据训练数据和提取出的数据，确定未知类型的流量来自于失活木马程序的概率以及未知类型的流量来自于正常程序的概率；

在未知类型的流量来自于失活木马程序的概率大于未知类型的流量来自于正常应用程序的概率时，确定未知类型的流量来自于失活木马程序；