[发明专利]一种分析网络流量检测大规模恶意代码传播的方法在审
| 申请号: | 202210295069.6 | 申请日: | 2022-03-23 |
| 公开(公告)号: | CN114826670A | 公开(公告)日: | 2022-07-29 |
| 发明(设计)人: | 徐剑;严寒冰;韩志辉;贺铮;张榜;严定宇;刘玲 | 申请(专利权)人: | 国家计算机网络与信息安全管理中心 |
| 主分类号: | H04L9/40 | 分类号: | H04L9/40;H04L67/02;H04L67/06 |
| 代理公司: | 北京中原华和知识产权代理有限责任公司 11019 | 代理人: | 寿宁;饶黄裳 |
| 地址: | 100026*** | 国省代码: | 北京;11 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 一种 分析 网络流量 检测 大规模 恶意代码 传播 方法 | ||
1.一种分析网络流量检测大规模恶意代码传播的方法,其特征在于,其主要步骤包括:
步骤1:根据检测覆盖范围需要获取网络流入流出全部流量;
步骤2:通过深度包数据检测对网络流入流出流量进行深度分析:主要是,通过深入读取IP报文所载荷的内容来对应用层信息进行重组,从而得到整个应用程序的内容,包括识别主要文件传输协议还原传输文件,记录文件传播日志,传播日志包括下载时间、下载IP、下载端口、文件MD5、文件网址即URL、文件网址IP、文件网址域名、文件网址端口;
步骤3:利用大规模异常传播检测算法分析文件传播日志,计算每个样本下载IP数、下载次数、下载IP数每天增长率、下载次数每天增长率、下载IP数每小时增长率、下载次数每小时增长率;
步骤4:对于大规模传播或即将大规模传播的文件,首先利用威胁情报分析其恶意性,如果威胁情报无相关信息,则利用动态沙箱进行养殖分析其恶意性;
步骤5:对于大规模传播或即将大规模传播的恶意代码,关联分析其URL、IP、域名,发现其所属攻击团伙全部恶意代码,还原攻击传播路径。
2.根据权利要求1所述的一种分析网络流量检测大规模恶意代码传播的方法,其特征在于,所述的威胁情报为用于识别和检测威胁的失陷标识,包括:文件HASH,IP,域名,程序运行路径,注册表项以及相关的归属标签。
3.根据权利要1所述的一种分析网络流量检测大规模恶意代码传播的方法,其特征在于,所述网络为各运营商网络、各省市运营商网络、各地市运营商网络、各大型企业内部网络。
4.根据权利要1所述的一种分析网络流量检测大规模恶意代码传播的方法,其特征在于,所述主要文件传输协议包括HTTP协议、FTP协议、TCP协议、UDP协议。
5.根据权利要1所述的一种分析网络流量检测大规模恶意代码传播的方法,其特征在于,所述大规模传播是下载IP数、下载次数超过阈值Na。
6.根据权利要1所述的一种分析网络流量检测大规模恶意代码传播的方法,其特征在于,所述即将大规模传播是下载IP数每天增长率、下载次数每天增长率、下载IP数每小时增长率、下载次数每小时增长率超过阈值Nb。
7.根据权利要求5所述的一种分析网络流量检测大规模恶意代码传播的方法,其特征在于,所述的阈值Na是网络内主机数量的万分之一。
8.根据权利要求6所述的一种分析网络流量检测大规模恶意代码传播的方法,其特征在于,所述的阈值Nb设定为100%。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于国家计算机网络与信息安全管理中心,未经国家计算机网络与信息安全管理中心许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/202210295069.6/1.html,转载请声明来源钻瓜专利网。
