发明名称 |
基于网络通信行为特征的木马识别方法 |
摘要 |
本发明提供一种基于网络通信行为特征的木马识别方法,包括建立木马数据流量的马尔科夫模型;对网络上的数据流量进行监测;对所监测到的网络通信行为进行筛选;若所监测到的网络通信行为并非木马通信会话,则证明当前数据流量为无关流量;否则,得到所述网络通信行为的时序序列;将实际网络数据流量还原成若干的网络会话,再将网络会话与马尔科夫模型进行匹配;若二者不匹配,则证明当前网络会话并非木马通信数据;否则证明当前网络会话为木马通信数据。本发明使用木马通信行为特征及其时序性来实现对木马通信行为的监测,有效避免木马变形加壳等规避技术对木马检测结果的影响,提高了网络木马检测的效率和准确率。 |
申请公布号 |
CN103475663A |
申请公布日期 |
2013.12.25 |
申请号 |
CN201310419949.0 |
申请日期 |
2013.09.13 |
申请人 |
无锡华御信息技术有限公司 |
发明人 |
耿振民 |
分类号 |
H04L29/06(2006.01)I |
主分类号 |
H04L29/06(2006.01)I |
代理机构 |
上海光华专利事务所 31219 |
代理人 |
余明伟 |
主权项 |
一种基于网络通信行为特征的木马识别方法,其特征在于,所述木马识别方法至少包括以下步骤:建立木马数据流量的马尔科夫模型;对网络上的数据流量进行监测;对所监测到的网络通信行为进行筛选;若所监测到的网络通信行为并非木马通信会话,则证明当前数据流量为无关流量;若所监测到的网络通信行为为木马通信会话,则得到所述网络通信行为的时序序列;将实际网络数据流量还原成若干的网络会话,再将网络会话与马尔科夫模型进行匹配;若二者不匹配,则证明当前网络会话并非木马通信数据;若二者匹配,则证明当前网络会话为木马通信数据。 |
地址 |
214081 江苏省无锡市滨湖区锦溪路100号恒华科技园20号楼4楼 |