一种木马程序的检测方法、装置、设备及存储介质制造方法及图纸

本申请公开了一种木马程序的检测方法，应用于服务器，包括：当检测到计算机进程时，获取计算机进程的上行流量和下行流量；然后判断上行流量是否大于下行流量；若是，则判定计算机进程中存在木马进程，从而确定出服务器中存在木马程序。由于当服务器中存在木马程序时，不管木马程序如何伪装、隐藏，只要其完成的功能和目的不变，那么服务器与客户机之间传输的流量特征便难以改变，因此，相较于现有技术，本方法能够更准确地检测出服务器中是否存在木马程序，以便能够对木马程序进行查杀，从而保障服务器的安全性。本申请还公开了一种木马程序的检测装置、设备及计算机可读存储介质，均具有上述有益效果。

A Trojan Horse Program Detection Method, Device, Equipment and Storage Media

This application discloses a Trojan Horse program detection method, which is applied to servers, including: when a computer process is detected, obtaining the upstream and downstream traffic of the computer process; then determining whether the upstream traffic is greater than the downstream traffic; and if so, determining the existence of the Trojan Horse process in the computer process, thereby determining the existence of the Trojan Horse program in the server. Because when the Trojan Horse program exists in the server, no matter how the Trojan Horse program camouflages and hides, as long as the function and purpose of the Trojan Horse program remain unchanged, the traffic characteristics between the server and the client will be difficult to change. Therefore, compared with the existing technology, this method can more accurately detect whether there is Trojan Horse program in the server, so as to be able to detect and kill the Trojan Horse program. In order to ensure the security of the server. The application also discloses a Trojan horse program detection device, equipment and computer readable storage medium, all of which have the above beneficial effects.

【技术实现步骤摘要】
一种木马程序的检测方法、装置、设备及存储介质
本专利技术涉及网络安全领域，特别涉及一种木马程序的检测方法、装置、设备及计算机可读存储介质。
技术介绍
随着计算机技术的快速发展，网络安全问题也日益严峻，其中，由木马程序造成的网络安全问题越来越受到人们的重视。木马程序是黑客用于通过客户机(控制端)控制服务器(被控制端)的一段特定的程序，被控制端中的木马程序的服务一旦运行并与控制端连接，控制端将享有被控制端的大部分操作权限，窃取被控制端中的文件、图片、网页等信息，从而对被控制端的安全性造成严重的威胁。在现有技术中，为了提高被控制端的服务器的安全性，通常是在服务器中通过特征码扫描或虚拟机技术等方式识别检测木马程序。但是，由于木马程序的伪装、隐藏特性，使得通过特征码扫描或虚拟机技术等方式难以检测出木马程序；另外，由于木马程序的伪装和隐藏技术也在快速发展，现有技术的方式由于需要预先获取木马程序的先验知识才能对木马程序进行检测识别，因此当出现新的伪装和隐藏手段时，现有技术的方法将无法实现对木马程序的检测，从而使得被控制端的服务器的安全性仍存在威胁。因此，如何更准确地检测木马程序，保障服务器的安全性是本领域技术人员目前需要解决的技术问题。
技术实现思路
有鉴于此，本专利技术的目的在于提供一种木马程序的检测方法，能够更准确地检测木马程序，保障服务器的安全性；本专利技术的另一目的是提供一种木马程序的检测装置、设备及计算机可读存储介质，均具有上述有益效果。为解决上述技术问题，本专利技术提供一种木马程序的检测方法，应用于服务器，包括：当检测到计算机进程时，获取所述计算机进程的上行流量和下行流量；判断所述上行流量是否大于所述下行流量；若是，则判定所述计算机进程中存在木马进程。优选地，在判断出所述上行流量大于所述下行流量之后，进一步包括：累计第一预设时间内所述上行流量的第一总流量值和所述下行流量的第二总流量值；计算所述第一总流量值和所述第二总流量值的比值，得到总流量比值；判断所述总流量比值是否在第一阈值范围内；若是，则进入所述判定所述计算机进程中存在木马进程的步骤。优选地，在判断出所述总流量比值在所述第一阈值范围内之后，进一步包括：分别计算所述上行流量的第一流量均值和所述下行流量的第二流量均值；根据所述第一流量均值和所述第二流量均值计算出上下行平均流量比值；判断所述上下行平均流量比值是否在第二阈值范围内；若是，则进入所述判定所述计算机进程中存在木马进程的步骤。优选地，在判断出所述总流量比值在所述第一阈值范围内之后，进一步包括：计算在第二预设时间内，所述上行流量大于所述下行流量的时间占上下行流量有差异的时间的比值，得到时间比值；判断所述时间比值是否在第三阈值范围内；若是，则进入所述判定所述计算机进程中存在木马进程的步骤。优选地，所述第二阈值范围为0.5至5之间。优选地，所述第三阈值范围为0.5至0.6之间。优选地，所述获取所述计算机进程的所述上行流量和所述下行流量的步骤具体包括：利用WinPcap获取所述计算机进程的上行数据包和下行数据包；过滤所述上行数据包和所述下行数据包中的协议包；分别统计过滤后的所述上行数据包和所述下行数据包的流量，得到所述上行流量和所述下行流量。为解决上述技术问题，本专利技术还提供一种木马程序的检测装置，应用于服务器，包括：获取模块，用于当检测到计算机进程时，获取所述计算机进程的上行流量和下行流量；判断模块，用于判断所述上行流量是否大于所述下行流量；判定模块，用于若是，则判定所述计算机进程中存在木马进程。为解决上述技术问题，本专利技术还提供一种木马程序的检测设备，包括：存储器，用于存储计算机程序；处理器，用于执行所述计算机程序时实现上述任一种木马程序的检测方法的步骤。为解决上述技术问题，本专利技术还提供一种计算机可读存储介质，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现上述任一种木马程序的检测方法的步骤。本专利技术提供的一种木马程序的检测方法，应用于服务器，包括：当检测到计算机进程时，获取计算机进程的上行流量和下行流量；然后判断上行流量是否大于下行流量；若是，则判定计算机进程中存在木马进程，从而确定出服务器中存在木马程序。由于当服务器中存在木马程序时，不管木马程序如何伪装、隐藏，只要其完成的功能和目的不变，那么服务器与客户机之间传输的流量特征便难以改变，本方法利用这一特征，对计算机进程的上下行流量进行比较，从而判断计算机进程中是否存在木马进程。相较于现有技术中利用特征码扫描或虚拟机技术进行检测，存在无法检测出木马程序的情况，本方法能够更准确地检测出服务器中是否存在木马程序，以便能够对木马程序进行查杀，从而保障服务器的安全性。为解决上述技术问题，本专利技术还提供了一种木马程序的检测装置、设备及计算机可读存储介质，均具有上述有益效果。附图说明为了更清楚地说明本专利技术实施例或现有技术的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单的介绍，显而易见地，下面描述中的附图仅仅是本专利技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图。图1为本专利技术实施例提供的一种木马程序的检测方法的流程图；图2为本专利技术实施例提供的一种木马程序的检测装置的结构图；图3为本专利技术实施例提供的一种木马程序的检测设备的结构图。具体实施方式下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本专利技术一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本专利技术保护的范围。本专利技术实施例的核心是提供一种木马程序的检测方法，能够更准确地检测木马程序，保障服务器的安全性；本专利技术的另一核心是提供一种木马程序的检测装置、设备及计算机可读存储介质，均具有上述有益效果。为了使本领域技术人员更好地理解本专利技术方案，下面结合附图和具体实施方式对本专利技术作进一步的详细说明。图1为本专利技术实施例提供的一种木马程序的检测方法的流程图。需要说明的是，本专利技术实施例提供的木马程序的检测方法，应用于服务器，如图1所示，本方法包括：S10：当检测到计算机进程时，获取计算机进程的上行流量和下行流量。在本实施例中，首先是在检测到计算机进程时，获取计算机进程的上行流量和下行流量。具体的，可以是通过设置检测程序的方式获取计算机进程的上行流量和下行流量，也可以是利用服务器本身的任务管理器获取计算机进程的上行流量和下行流量，本实施例对此不做限定。需要说明的是，上行流量指的是服务器发送至网络的字节数，下行流量指的是服务器从网络中下载的字节数。在本步骤中，可以是同时分别获取多个计算机进程的上行流量和下行流量，以同时判断多个计算机进程是否存在木马进程。S20：判断上行流量是否大于下行流量；若是，则执行S30；S30：判定计算机进程中存在木马进程。需要说明的是，一般的计算机进程是客户机(控制端)向服务器(被控制端)发出请求，服务器将请求的结果返回给客户端，在这过程中，控制端发出的指令请求数据比较小，但返回的结果可能是一个文件、图片或者网页，因此会出现下行流量远大于上行流量的情况。而木马进程与一般的计算机进程恰好相反本文档来自技高网...

【技术保护点】
1.一种木马程序的检测方法，其特征在于，应用于服务器，包括：当检测到计算机进程时，获取所述计算机进程的上行流量和下行流量；判断所述上行流量是否大于所述下行流量；若是，则判定所述计算机进程中存在木马进程。

【技术特征摘要】
1.一种木马程序的检测方法，其特征在于，应用于服务器，包括：当检测到计算机进程时，获取所述计算机进程的上行流量和下行流量；判断所述上行流量是否大于所述下行流量；若是，则判定所述计算机进程中存在木马进程。2.根据权利要求1所述的方法，其特征在于，在判断出所述上行流量大于所述下行流量之后，进一步包括：累计第一预设时间内所述上行流量的第一总流量值和所述下行流量的第二总流量值；计算所述第一总流量值和所述第二总流量值的比值，得到总流量比值；判断所述总流量比值是否在第一阈值范围内；若是，则进入所述判定所述计算机进程中存在木马进程的步骤。3.根据权利要求2所述的方法，其特征在于，在判断出所述总流量比值在所述第一阈值范围内之后，进一步包括：分别计算所述上行流量的第一流量均值和所述下行流量的第二流量均值；根据所述第一流量均值和所述第二流量均值计算出上下行平均流量比值；判断所述上下行平均流量比值是否在第二阈值范围内；若是，则进入所述判定所述计算机进程中存在木马进程的步骤。4.根据权利要求3所述的方法，其特征在于，在判断出所述总流量比值在所述第一阈值范围内之后，进一步包括：计算在第二预设时间内，所述上行流量大于所述下行流量的时间占上下行流量有差异的时间的比值，得到时间比值；判断所述时间比值是否在第三阈值范围内...

【专利技术属性】
技术研发人员：林素红，王蒙，
申请(专利权)人：郑州云海信息技术有限公司，
类型：发明
国别省市：河南,41