[發明專利]一種檢測僵尸網絡的方法及其裝置有效
| 申請號: | 200910142292.1 | 申請日: | 2009-06-29 |
| 公開(公告)號: | CN101588276A | 公開(公告)日: | 2009-11-25 |
| 發明(設計)人: | 蔣武 | 申請(專利權)人: | 成都市華為賽門鐵克科技有限公司 |
| 主分類號: | H04L12/26 | 分類號: | H04L12/26;H04L12/56;H04L29/06 |
| 代理公司: | 深圳市深佳知識產權代理事務所(普通合伙) | 代理人: | 彭愿潔;李文紅 |
| 地址: | 611731四川省*** | 國省代碼: | 四川;51 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 一種 檢測 僵尸 網絡 方法 及其 裝置 | ||
1.一種檢測僵尸網絡的方法,其特征在于,包括:
獲取網絡中的數據報文;
對所述數據報文中的可執行程序進行安全性分析,將有危害的可執行程 序確定為惡意資源;
確定所述惡意資源的訪問路徑,對所述訪問路徑進行監控,判斷是否有 主機發出訪問請求;所述惡意資源包括僵尸工具;
當有訪問請求,且發出所述訪問請求的次數超過預設的閾值時,確定發 出所述訪問請求的主機為僵尸主機,從而在遭受到僵尸網絡的攻擊前主動地 確定僵尸主機的位置,檢測到僵尸網絡的存在。
2.根據權利要求1所述的方法,其特征在于,還包括:
對獲取的網絡中的數據報文進行過濾;
所述對所述數據報文中的可執行程序進行安全性分析包括:對過濾后的 所述數據報文中的可執行程序進行安全性分析。
3.根據權利要求1所述的方法,其特征在于,所述對所述數據報文中的 可執行程序進行安全性分析,將有危害的可執行程序確定為惡意資源包括:
存儲所述數據報文;
對存儲的數據報文中的可執行程序進行安全性分析;
將有危害的可執行程序確定為惡意資源。
4.一種檢測僵尸網絡的裝置,其特征在于,包括:
獲取單元,用于獲取網絡中的數據報文;
分析單元,用于對獲取單元獲取的數據報文中的可執行程序進行安全性 分析,將有危害的可執行程序確定為惡意資源;
路徑確定子單元,用于確定所述惡意資源的訪問路徑;所述惡意資源包 括僵尸工具;
判斷子單元,用于對路徑確定子單元確定的所述訪問路徑進行監控,判 斷是否有主機發出訪問請求;
確定單元,用于當有訪問請求,且發出所述訪問請求的次數超過預設的 閾值時,確定發出所述訪問請求的主機為僵尸主機,從而在遭受到僵尸網絡 的攻擊前主動地確定僵尸主機的位置,檢測到僵尸網絡的存在。
5.根據權利要求4所述的裝置,其特征在于,所述獲取單元還用于對獲 取的數據報文進行過濾。
6.根據權利要求4所述的裝置,其特征在于,所述分析單元包括:存儲 子單元、安全分析子單元和確定子單元;
所述存儲子單元用于存儲獲取的數據報文;
所述安全分析子單元用于對存儲子單元存儲的數據報文中的可執行程序 進行安全性分析;
所述確定子單元用于將安全分析子單元分析得到的有危害的可執行程序 確定為惡意資源。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于成都市華為賽門鐵克科技有限公司,未經成都市華為賽門鐵克科技有限公司許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/200910142292.1/1.html,轉載請聲明來源鉆瓜專利網。
