【技术实现步骤摘要】
本专利技术涉及一种基于网络通讯行为特征实时监测木马的方法与系统,属于计算机网络安 全领域。
技术介绍
随着计算机和网络的普及与应用,人们对计算机和网络的依赖程度也越来越高。在每个 工作用和家庭用的电脑上保存着大量的非公开或保密的重要文档和个人信息,这些电脑一旦 被植入木马程序,其信息会被窃取,从而造成重要信息泄漏、秘密文件泄密、个人隐私信息 暴露和经济的损失;此外,木马还可以破坏信息系统,致使系统瘫痪和重要数据丢失。目前,木马的检测和防护方法归纳起来可以分为两大种类。 一类是传统的基于文件特征 码的检测方式,该方法首先提取木马程序文件的特征码,然后通过扫描检测文件中是否包含 特征码来识别木马文件。但是木马制造者通常会给木马程序文件加上各种形式的外壳,使 得木马以多种类、多特征码的方式进行传播,从而给采集、监控、査杀和预防木马带来了越 来越大的挑战。另一类是木马防火墙,它是安装在用户主机端的软件工具,它采用动态监控的方式,对 网络中的可疑连接进行监控,过滤掉不安全的网络连接,从而保护主机免受外界攻击的危险。 但是,由于需要运行在用户主机系统中,在工作过程中需要占用...
【技术保护点】
一种基于网络通讯行为特征监测木马的方法,其特征在于:在网络数据流中,基于木马活动时的网络通讯行为特征米实时监测木马,其处理方法是: (1)运行木马程序,通过网络数据采集工具采集该木马的通讯会话数据并保存; (2)在多个不同的实验 环境下,重复上述(1),从而得到了该木马在不同环境下的通讯会话数据文件; (3)提取这些通讯会话数据文件中均相同的数据或数据格式,作为该木马及其变形方式的木马在网络数据流中的网络通讯行为特征码; (4)导入该特征码到木马网络通讯 行为特征库中; (5)在实际要监控的环境中,采集其网络数据流进行会话重组,然...
【技术特征摘要】
1.一种基于网络通讯行为特征监测木马的方法,其特征在于在网络数据流中,基于木马活动时的网络通讯行为特征米实时监测木马,其处理方法是(1)运行木马程序,通过网络数据采集工具采集该木马的通讯会话数据并保存;(2)在多个不同的实验环境下,重复上述(1),从而得到了该木马在不同环境下的通讯会话数据文件;(3)提取这些通讯会话数据文件中均相同的数据或数据格式,作为该木马及其变形方式的木马在网络数据流中的网络通讯行为特征码;(4)导入该特征码到木马网络通讯行为特征库中;(5)在实际要监控的环境中,采集其网络数据流进行会话重组,然后基于木马网络通讯行为特征库,匹配检测会话中是否存在木马网络通讯行为特征;如果存在,则判断存在木马,同时调用报警与日志记录模块记录和展示木马报警信息,作为监测的结果和依据;否则继续监控。2. 根据权利要求1所述的方法,其特征在于其中在实际监控环境中采集的网络数据流没有 经过网络地址转换,以便监测到木马事件后,能定位到感染木马程序的内网机器。3. 根据权利要求1所述的方法,其特征在于其中的特征匹配检测,是通过关键字匹配、模 式匹配或两者组合来实现的。4. 一种实现如权利要求1所述方法的基于网络通讯行为...
【专利技术属性】
技术研发人员:李京春,徐亚飞,袁建军,梁利,周建亮,宋利华,李建兴,熊益,周德键,徐茜,
申请(专利权)人:中国人民解放军信息技术安全研究中心,国都兴业信息审计系统技术北京有限公司,
类型:发明
国别省市:11[中国|北京]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。