发明名称 |
一种反弹式木马的检测方法和系统 |
摘要 |
本发明公开了一种反弹式木马的检测方法,包括:实时监控当前系统的网络包;实时获取当前系统网络连接和进程的关联表;对所述的网络包进行分析和匹配,分析和匹配的网络包类型包括DNS请求、FTP连接、IP连接,并从分析结果中获得可疑连接列表;对所述的进程进行分析,获得可疑进程列表;对可疑连接列表和可疑进程列表进行关联分析,并进行处置。本发明还公开了一种反弹式木马的检测系统。本发明首先通过关联系统进程状态和网络特征匹配来发现已知的和未知的控制类木马,并能够在第一时间切断控制端的连接和清除恶意代码,达到保护主机安全的目的。 |
申请公布号 |
CN102761458A |
申请公布日期 |
2012.10.31 |
申请号 |
CN201110429663.1 |
申请日期 |
2011.12.20 |
申请人 |
北京安天电子设备有限公司 |
发明人 |
刘佳男;李伟;李柏松 |
分类号 |
H04L12/26(2006.01)I;H04L29/06(2006.01)I;G06F21/00(2006.01)I |
主分类号 |
H04L12/26(2006.01)I |
代理机构 |
|
代理人 |
|
主权项 |
一种反弹式木马的检测方法,其特征在于,包括:步骤a、实时监控当前系统的网络包;步骤b、实时获取当前系统网络连接和进程的关联表;步骤c、对所述的网络包进行分析和匹配,分析和匹配的网络包类型包括DNS请求、FTP连接、IP连接,并从分析结果中获得可疑连接列表;步骤d、对所述的进程进行分析,获得可疑进程列表;步骤e、对可疑连接列表和可疑进程列表进行关联分析,并进行处置。 |
地址 |
100084 北京市海淀区农大南路1号硅谷亮城2B-521 |