[发明专利]基于网络通信行为的未知木马检测方法有效
| 申请号: | 201410188835.4 | 申请日: | 2014-05-06 |
| 公开(公告)号: | CN103944788B | 公开(公告)日: | 2017-07-04 |
| 发明(设计)人: | 李佳;王明华;云晓春;高胜;李志辉;李世淙 | 申请(专利权)人: | 国家计算机网络与信息安全管理中心 |
| 主分类号: | H04L12/26 | 分类号: | H04L12/26;H04L29/06 |
| 代理公司: | 北京中原华和知识产权代理有限责任公司11019 | 代理人: | 寿宁,张华辉 |
| 地址: | 100029*** | 国省代码: | 北京;11 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 本发明是关于一种基于网络通信行为的未知木马检测方法,包括以下步骤采集网络通信行为的原始数据;对采集到的原始数据进行预处理;根据木马通信特征,提取经预处理后数据中的特征;基于正常通信行为和木马通信行为,建立可疑规则库;及利用可疑规则库,对预处理后数据进行检测,以确定未知木马;其中,利用可疑规则库对预处理后数据的检测,实质上是对预处理后数据进行匹配的问题,是匹配可疑规则库中规则的过程。借由本发明,实现对未知木马的高效检测。 | ||
| 搜索关键词: | 基于 网络 通信 行为 未知 木马 检测 方法 | ||
【主权项】:
一种基于网络通信行为的未知木马检测方法,其特征在于其包括以下步骤:采集网络通信行为的原始数据;对采集到的原始数据进行预处理,包括:重组传输层连接,记录传输层连接的相关信息,并解析传输层连接的负载内容;根据木马通信特征,提取经预处理后数据中的特征,所提取的特征是在传输层连接的基础上提取的;基于正常通信行为和木马通信行为,建立可疑规则库,其中可疑规则库中的规则包括:(1)服务器主动外联公网地址;(2)某IP固定时间间隔请求某域名;(3)非工作时间内网主机主动外联;(4)内部IP请求域名后,连接该域名对应IP的非常用端口;(5)端口与通信内容协议不匹配;(6)邮件服务器发起的DNS请求不是mx记录;(7)HTTP报文中请求头的域名与实际请求解析的域名不一致;及利用可疑规则库,对预处理后数据进行检测,以确定未知木马,具体分为以下a、b两步:a、设定表示传输层连接的参数变量、集合变量、常用协议与类型变量、运算符变量、函数以及各阈值变量;b、利用可疑规则库,对任一通信连接进行检测;其中,利用可疑规则库对预处理后数据的检测,实质上是对预处理后数据进行匹配的问题,是匹配可疑规则库中规则的过程。
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于国家计算机网络与信息安全管理中心,未经国家计算机网络与信息安全管理中心许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/201410188835.4/,转载请声明来源钻瓜专利网。
- 上一篇:调温混纺机织物及其生产方法
- 下一篇:一种扬声器振膜材料及其制备方法
