| 发明名称 | 一种木马行为识别方法与系统 | ||
| 摘要 | 本发明提供了一种木马行为的识别方法及系统;所述方法包括:配置木马行为特征;捕获网络包;基于所述木马行为特征识别所述网络包的木马行为状态;记录识别出的木马行为状态,基于该记录识别木马行为。本发明能够有效识别木马行为。 | ||
| 申请公布号 | CN103428223B | 申请公布日期 | 2016.08.10 |
| 申请号 | CN201310381668.0 | 申请日期 | 2013.08.28 |
| 申请人 | 北京永信至诚科技股份有限公司 | 发明人 | 陈俊 |
| 分类号 | H04L29/06(2006.01)I | 主分类号 | H04L29/06(2006.01)I |
| 代理机构 | 北京安信方达知识产权代理有限公司 11262 | 代理人 | 王丹;栗若木 |
| 主权项 | 一种木马行为的识别方法,应用于局域网中,包括:配置木马行为特征、木马控制特征和木马控制命令,所述木马行为特征包括以下任一情况或其任意组合:响应内容为域名:端口或IP地址:端口格式;响应包长度小于200个字节,并且内容离散度大于0.3;内网终端发送到外网终端的数据包长度大于200个字节;所述木马控制特征为:数据包长度小于200个字节,并且外网终端发送到内网终端的数据包长度与内网终端发送到外网终端的数据包长度比例大于1;捕获网络包;基于所述木马行为特征识别所述网络包的木马行为状态,包括:当响应内容为域名:端口或IP地址:端口格式时,将所述网络包识别为木马控制端信息获取行为状态;当响应包长度小于200个字节,并且内容离散度大于0.3时,将所述网络包识别为木马连接与认证行为状态;当内网发送到外网的数据包长度大于200个字节时,将所述网络包识别为木马窃密行为状态;记录识别出的木马行为状态,基于该记录识别木马行为,包括:当将所述网络包识别为木马控制端信息获取行为状态、木马连接与认证行为状态和木马窃密行为状态中任一种时,记录传输该网络包的内网终端和外网终端,并记录该内网终端和外网终端具备所识别出的木马行为状态;根据该记录,将同时具备木马控制端信息获取行为状态、木马连接与认证行为状态和木马窃密行为状态的内网终端或外网终端分别识别为木马行为内网终端和木马行为外网终端。 | ||
| 地址 | 100094 北京市海淀区东北旺西路8号院4号楼305号 | ||