一种内网木马的检测方法和装置制造方法及图纸

本发明专利技术提供了一种内网木马的检测方法和装置，该方法包括以下步骤：S1、采集网络数据包；S2、利用D1-D3进行恶意域名的识别，其中，D1为对出现异常心跳的DNS请求数据的域名进行识别；D2为判断指向特殊IP的域名是否跳转为指向正常IP的DNS请求；D3为判断DNS访问域名是否出现在浏览器访问域名中；S3、利用D4-D5进行木马的识别，D4为判断是否出现逆向流量，如果出现，则识别为木马；D5为判断流量中的请求包或应答包是否符合RFC规定，如果不符合，则识别为木马。本发明专利技术基于木马通信行为特征进行全面检测，能够及时地发现未知木马，更加精准对未知木马进行报警，减少漏报。

【技术实现步骤摘要】

【技术保护点】

【技术特征摘要】

【专利技术属性】
技术研发人员：赵林林，
申请(专利权)人：北京百度网讯科技有限公司，
类型：发明
国别省市：