网络窃密木马检测方法技术

本发明专利技术公开了一种网络窃密木马检测方法，首先进行网络数据流获取，再通过对通信地址进行分析、对通信协议进行分析、对通信行为进行分析、对通信关系进行分析，将高度疑似木马通信数据包，按照高度疑似木马通信所采用的网络通信协议，与相应的目的ＩＰ地址建立连接，并按照相应的通信协议构造探测数据包发送对方，如果对方返回的应答包中含有非协议规定的内容，即确定该节点是木马控制端。由于采用网络数据流分析，对网络窃密木马进行检测，能够依据窃密木马的网络通信和行为特征，从海量的网络数据中检测和发现基于木马的窃密行为，有效遏制网络窃密与泄密行为。

【技术实现步骤摘要】

【技术保护点】
一种网络窃密木马检测方法，其特征在于包括下述步骤：　（ａ）从互联网入口处捕获网络数据包，将所捕获的网络数据包存入数据库中；　（ｂ）设置要检测的目的ＩＰ地址段和源ＩＰ地址段，按照所设置的目的ＩＰ地址段和源ＩＰ地址段，通过比对网络数 据集中每个数据包的目的ＩＰ地址和源ＩＰ地址，筛选出待检数据集，如果检测到网络数据集中含有目的ＩＰ地址和源ＩＰ地址属于重点监测的网络地址范围的数据包，则将这些数据包标定为高度疑似木马通信，转入步骤（ｆ）处理；　（ｃ）对通信协议进行分析， 凡是具有如下通信协议特征：①使用ＨＴＴＰ协议、ＤＮＳ协议等特定的通信协议和公知的端口号；②反向连接模式...

【技术特征摘要】

【专利技术属性】
技术研发人员：蔡皖东，
申请(专利权)人：西北工业大学，
类型：发明
国别省市：87[中国|西安]