| 发明名称 | 一种木马远程shell行为检测装置及方法 | ||
| 摘要 | 本发明公开了一种木马远程shell行为检测装置及方法,检测装置包括数据包采集装置,数据流筛选过滤装置,数据流特征提取装置和木马shell行为特征检测装置。检测方法首先为获取网络入口实时网络流量数据;然后对实时网络流量数据进行数据流分类,过滤掉无关协议数据流;再提取每个数据流一个应答响应过程中出入包载荷比率、出入包数目比率、数据流应答间隔;最后将一定时间间隔内提取到的数据流特征构造成特征向量输入到构造的神经网络模型当中;最后通过神经网络模型计算得出结果,判断该数据流是否存在木马远程shell行为,并输出结果,同时将检测结果反馈到数据流筛选过滤中,适用于大规模网络环境,能够对已知和未知木马远程shell行为进行检测。 | ||
| 申请公布号 | CN103532957A | 申请公布日期 | 2014.01.22 |
| 申请号 | CN201310489714.9 | 申请日期 | 2013.10.18 |
| 申请人 | 电子科技大学 | 发明人 | 张小松;黄金;牛伟纳;陈瑞东;王东;罗荣森;孙恩博 |
| 分类号 | H04L29/06(2006.01)I | 主分类号 | H04L29/06(2006.01)I |
| 代理机构 | 成都华典专利事务所(普通合伙) 51223 | 代理人 | 徐丰;杨保刚 |
| 主权项 | 一种木马远程shell行为检测装置,其特征在于,包括:数据包采集装置:用于获取网络入口实时网络流量数据的;数据流筛选过滤装置:用于对实时网络流量数据按源IP、源端口、目的IP、目的端口、协议类型进行数据流分类,过滤掉无关协议数据流;数据流特征提取装置:用于提取每个数据流一个应答响应过程中出入包载荷比率、出入包数目比率、数据流应答间隔;木马shell行为特征检测装置:用于将一定时间间隔内提取到的数据流特征构造成特征向量[x1 ,x2 ,x3]输入到构造的神经网络模型当中,x1 代表数据流的一个应答响应过程中出入包载荷比率,x2代表数据流一个应答响应过程中出入包数目比 ,x3 代表数据流一个连续应答响应过程的时间间隔,通过神经网络模型计算得出结果,判断该数据流是否存在木马远程shell行为,并输出结果,同时将检测结果反馈到数据流筛选过滤中的步骤。 | ||
| 地址 | 611731 四川省成都市高新区(西区)西源大道2006号 | ||