【技术实现步骤摘要】
一种远程控制程序的检测方法和装置
[0001]本专利技术涉及远程控制网络攻击领域,尤其涉及一种远程控制程序的检测方法和装置。
技术介绍
[0002]随着计算机的应用,越来越多的计算机安全问题被暴露出来,其中可以对计算机进行远程控制的远程控制程序常被攻击者用来远程操作计算机,远程控制程序是通过首先在受害主机上植入被控制程序,然后在攻击者主机上运行控制程序,控制程序与被控制程序建立网络通信,攻击者通过控制程序使受害主机可以执行网络通信传输文件、下发指令和命令执行功能。
[0003]目前,针对远程控制程序的检测已成为安全检测中重要技术手段,现在主流手段主要是通过安全软件对计算机上的待检测程序的文件读取、网络传输和程序进程行为进行检测,将待检测程序的行为与已知远程控制程序的行为进行比对,如果检测发现待检测程序与已知远程控制程序存在相同的行为,则判断待检测程序为远程控制程序。攻击者为了避免远程控制程序被安全软件检测出来,不断研究出新的规避方法,由于安全软件是对待检测软件的特征与已知的远程控制程序特征进行比对实现对远程控制程序的检测,攻击者通过修改远程控制程序的文件读取、网络传输和程序进程行为特征改变远程程序的已知特征,从而实现远程控制程序规避安全软件的检测。现有的远程控制软件的检测方法依赖于对远程程序的特征,存在无法对新的远程程序的检测。现有技术无法对没有已知特征的远程控制程序进行识别,导致攻击者能通过修改已知特征绕过安全检测。传统安全软件依赖正则匹配,需要人为调整规则,增加因人引入的错误。
[0004]在实现 ...
【技术保护点】
【技术特征摘要】
1.一种远程控制程序的检测方法,其特征在于,包括:监测待检测程序,获取所述待检测程序的文本格式的行为数据;根据所述行为数据中的词语内容和频率将所述行为数据转换为行为向量;将所述行为向量输入训练后的RNN模型对所述待检测程序进行分类识别,得到所述待检测程序的程序类别;所述程序类别包括:远程和正常,程序类别为远程表征所述待检测程序为远程控制程序,程序类别为正常表征所述待检测程序为正常程序。2.如权利要求1所述的远程控制程序的检测方法,其特征在于,所述监测待检测程序,获取所述待检测程序的文本格式的行为数据,包括:对所述待检测程序执行如下至少之一:反编译、数据包抓取、监控程序行为,获得所述待检测程序的文本格式的行为数据;其中,所述程序行为包括如下至少之一:发起网络请求、对系统文件的读取、将服务注册到系统自启项中、释放文件、创建进程、注入系统进程。3.如权利要求1所述的远程控制程序的检测方法,其特征在于,所述方法还包括:按预设时间间隔,周期性地收集多个远程控制程序和多个正常程序对应的文本格式的行为数据,构成原始行为数据集;将所述原始行为数据集处理为原始行为向量数据集;使用所述原始行为向量数据集对未经训练的RNN模型进行迭代训练,得到所述训练后的RNN模型。4.如权利要求3所述的远程控制程序的检测方法,其特征在于,所述收集多个远程控制程序和多个正常程序对应的文本格式的行为数据,构成原始行为数据集,包括:对多个远程控制程序和多个正常程序进行反编译、数据包抓取、和/或监控程序行为,得到多个远程控制程序和多个正常程序对应的文本格式的行为数据,将多个文本格式的行为数据构成所述原始行为数据集;其中,所述程序行为包括如下至少之一:发起网络请求、对系统文件的读取、将服务注册到系统自启项中、释放文件、创建进程、注入系统进程。5.如权利要求3所述的远程控制程序的检测方法,其特征在于,所述收集多个远程控制程序和多个正常程序对应的文本格式的行为数据,构成原始行为数据集,包括:获取多个远程控制程序和多个正常程序的开源的文本格式的行为数据,将得到的多个文本格式的行为数据构成所述原始行为数据集。6.如权利要求3所述的远程控制程序的检测方法,其特征在于,所述将所述原始行为数据集处理为原始行为向量数据集,包括:在所述原始行为数据集中,将所述多个远程控制程序对应的文本格式的行为数据的程序类别标签标记为远程,将所述多个正常程序对应的文本格式的行为数据的程序类别标签标记为正常;将所述原始行为数据集中的所述多个远程控制程序和所述多个正常程序对应的文本格式的行为数据向量化,得到对应的原始行为向量数据集;其中,所述原始行为向量数据集中包括样本程序的原始行为向量以及对应的程序类别标签,所述样本程序包括远程控制程序和正常程序;
所述使用原始行为向量数据集对未经训练的RNN模型...
【专利技术属性】
技术研发人员:张天顺,邱春武,康宇,
申请(专利权)人:新浪技术中国有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。