This application discloses a Trojan Horse program detection method, which is applied to servers, including: when a computer process is detected, obtaining the upstream and downstream traffic of the computer process; then determining whether the upstream traffic is greater than the downstream traffic; and if so, determining the existence of the Trojan Horse process in the computer process, thereby determining the existence of the Trojan Horse program in the server. Because when the Trojan Horse program exists in the server, no matter how the Trojan Horse program camouflages and hides, as long as the function and purpose of the Trojan Horse program remain unchanged, the traffic characteristics between the server and the client will be difficult to change. Therefore, compared with the existing technology, this method can more accurately detect whether there is Trojan Horse program in the server, so as to be able to detect and kill the Trojan Horse program. In order to ensure the security of the server. The application also discloses a Trojan horse program detection device, equipment and computer readable storage medium, all of which have the above beneficial effects.
【技术实现步骤摘要】
一种木马程序的检测方法、装置、设备及存储介质
本专利技术涉及网络安全领域,特别涉及一种木马程序的检测方法、装置、设备及计算机可读存储介质。
技术介绍
随着计算机技术的快速发展,网络安全问题也日益严峻,其中,由木马程序造成的网络安全问题越来越受到人们的重视。木马程序是黑客用于通过客户机(控制端)控制服务器(被控制端)的一段特定的程序,被控制端中的木马程序的服务一旦运行并与控制端连接,控制端将享有被控制端的大部分操作权限,窃取被控制端中的文件、图片、网页等信息,从而对被控制端的安全性造成严重的威胁。在现有技术中,为了提高被控制端的服务器的安全性,通常是在服务器中通过特征码扫描或虚拟机技术等方式识别检测木马程序。但是,由于木马程序的伪装、隐藏特性,使得通过特征码扫描或虚拟机技术等方式难以检测出木马程序;另外,由于木马程序的伪装和隐藏技术也在快速发展,现有技术的方式由于需要预先获取木马程序的先验知识才能对木马程序进行检测识别,因此当出现新的伪装和隐藏手段时,现有技术的方法将无法实现对木马程序的检测,从而使得被控制端的服务器的安全性仍存在威胁。因此,如何更准确地检测木马程序,保障服务器的安全性是本领域技术人员目前需要解决的技术问题。
技术实现思路
有鉴于此,本专利技术的目的在于提供一种木马程序的检测方法,能够更准确地检测木马程序,保障服务器的安全性;本专利技术的另一目的是提供一种木马程序的检测装置、设备及计算机可读存储介质,均具有上述有益效果。为解决上述技术问题,本专利技术提供一种木马程序的检测方法,应用于服务器,包括:当检测到计算机进程时,获取所述计算机进程的上行流量 ...
【技术保护点】
1.一种木马程序的检测方法,其特征在于,应用于服务器,包括:当检测到计算机进程时,获取所述计算机进程的上行流量和下行流量;判断所述上行流量是否大于所述下行流量;若是,则判定所述计算机进程中存在木马进程。
【技术特征摘要】
1.一种木马程序的检测方法,其特征在于,应用于服务器,包括:当检测到计算机进程时,获取所述计算机进程的上行流量和下行流量;判断所述上行流量是否大于所述下行流量;若是,则判定所述计算机进程中存在木马进程。2.根据权利要求1所述的方法,其特征在于,在判断出所述上行流量大于所述下行流量之后,进一步包括:累计第一预设时间内所述上行流量的第一总流量值和所述下行流量的第二总流量值;计算所述第一总流量值和所述第二总流量值的比值,得到总流量比值;判断所述总流量比值是否在第一阈值范围内;若是,则进入所述判定所述计算机进程中存在木马进程的步骤。3.根据权利要求2所述的方法,其特征在于,在判断出所述总流量比值在所述第一阈值范围内之后,进一步包括:分别计算所述上行流量的第一流量均值和所述下行流量的第二流量均值;根据所述第一流量均值和所述第二流量均值计算出上下行平均流量比值;判断所述上下行平均流量比值是否在第二阈值范围内;若是,则进入所述判定所述计算机进程中存在木马进程的步骤。4.根据权利要求3所述的方法,其特征在于,在判断出所述总流量比值在所述第一阈值范围内之后,进一步包括:计算在第二预设时间内,所述上行流量大于所述下行流量的时间占上下行流量有差异的时间的比值,得到时间比值;判断所述时间比值是否在第三阈值范围内...
【专利技术属性】
技术研发人员:林素红,王蒙,
申请(专利权)人:郑州云海信息技术有限公司,
类型:发明
国别省市:河南,41
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。