[發(fā)明專利]一種防范遠控類木馬病毒的方法及系統(tǒng)在審
| 申請?zhí)枺?/td> | 201310507662.3 | 申請日: | 2013-10-25 |
| 公開(公告)號: | CN103905415A | 公開(公告)日: | 2014-07-02 |
| 發(fā)明(設(shè)計)人: | 奚振弟;李勇;李柏松 | 申請(專利權(quán))人: | 哈爾濱安天科技股份有限公司 |
| 主分類號: | H04L29/06 | 分類號: | H04L29/06 |
| 代理公司: | 暫無信息 | 代理人: | 暫無信息 |
| 地址: | 150090 黑龍江省哈爾濱*** | 國省代碼: | 黑龍江;23 |
| 權(quán)利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關(guān)鍵詞: | 一種 防范 遠控類 木馬病毒 方法 系統(tǒng) | ||
1.一種防范遠控類木馬病毒的方法,其特征在于,包括:
捕獲網(wǎng)絡(luò)中的數(shù)據(jù)包流量;
用預先設(shè)定的特征規(guī)則庫中的特征,遍歷捕獲到的數(shù)據(jù)包流量,判斷是否存在匹配的特征,如果匹配,則將所述數(shù)據(jù)包流量交給后續(xù)惡意代碼探頭處理,否則繼續(xù)判斷所述數(shù)據(jù)包流量;
排除捕獲的數(shù)據(jù)包流量中的已知URL,并判斷所述數(shù)據(jù)包流量是否為惡意流量,如果所述數(shù)據(jù)包流量是惡意流量,則進行阻斷并報警提示;否則放行所述數(shù)據(jù)包流量。
2.如權(quán)利要求1所述的方法,其特征在于,所述在用預先設(shè)定的特征規(guī)則庫中的特征,遍歷捕獲到的數(shù)據(jù)包流量之前,包括建立特征規(guī)則庫,所述規(guī)則特征庫中的特征為已知惡意程序的特征集合。
3.如權(quán)利要求1所述的方法,其特征在于,所述排除捕獲的數(shù)據(jù)包流量中的已知URL具體為:建立URL黑名單及白名單,判斷捕獲的數(shù)據(jù)包流量中的URL是否與URL黑名單及白名單匹配,如果是,則將所述數(shù)據(jù)包流量交給后續(xù)惡意代碼探頭處理。
4.如權(quán)利要求1所述的方法,其特征在于,所述判斷所述數(shù)據(jù)包流量是否為惡意流量具體為:
捕獲數(shù)據(jù)包流量中的所有原始數(shù)據(jù)包;
提取數(shù)據(jù)包信息,所述數(shù)據(jù)包信息包括時間、數(shù)據(jù)包大小、IP地址、端口;
根據(jù)IP地址及端口信息,確定數(shù)據(jù)包相關(guān)進程;
在預設(shè)時間間隔內(nèi),統(tǒng)計每個進程的數(shù)據(jù)包流量,并繪制預設(shè)時間間隔內(nèi)的進程流量圖,根據(jù)預設(shè)條件判斷所述進程產(chǎn)生的數(shù)據(jù)包流量是否是惡意流量。
5.如權(quán)利要求4所述的方法,其特征在于,根據(jù)預設(shè)條件判斷所述進程產(chǎn)生的數(shù)據(jù)包流量是否是惡意流量為:
比較預設(shè)時間間隔內(nèi)進程產(chǎn)生的上行數(shù)據(jù)包流量及下行數(shù)據(jù)包流量,如果上行數(shù)據(jù)包流量大于下行數(shù)據(jù)包流量,則所述進程產(chǎn)生的數(shù)據(jù)包流量為惡意流量,否則,所述進程產(chǎn)生的數(shù)據(jù)包流量為非惡意流量。
6.一種防范遠控類木馬病毒的系統(tǒng),其特征在于,包括:
數(shù)據(jù)捕獲模塊,用于捕獲網(wǎng)絡(luò)中的數(shù)據(jù)包流量;
第一判斷模塊,用于用預先設(shè)定的特征規(guī)則庫中的特征,遍歷捕獲到的數(shù)據(jù)包流量,判斷是否存在匹配的特征,如果匹配,則將所述數(shù)據(jù)包流量交給后續(xù)惡意代碼探頭處理,否則將所述數(shù)據(jù)包流量發(fā)送到第二判斷模塊繼續(xù)判斷;
第二判斷模塊,用于排除捕獲的數(shù)據(jù)包流量中的已知URL,并判斷所述數(shù)據(jù)包流量是否為惡意流量,如果所述數(shù)據(jù)包流量是惡意流量,則進行阻斷并報警提示;否則放行所述數(shù)據(jù)包流量。
7.如權(quán)利要求6所述的系統(tǒng),其特征在于,所述第一判斷模塊在用預先設(shè)定的特征規(guī)則庫中的特征,遍歷捕獲到的數(shù)據(jù)包流量之前,還包括建立特征規(guī)則庫,所述規(guī)則特征庫中的特征為已知惡意程序的特征集合。
8.如權(quán)利要求1所述的方法,其特征在于,所述排除捕獲的數(shù)據(jù)包流量中的已知URL具體為:建立URL黑名單及白名單,判斷捕獲的數(shù)據(jù)包流量中的URL是否與URL黑名單及白名單匹配,如果是,則將所述數(shù)據(jù)包流量交給后續(xù)惡意代碼探頭處理。
9.如權(quán)利要求6所述的系統(tǒng),其特征在于,所述第二判斷模塊中判斷所述數(shù)據(jù)包流量是否為惡意流量具體為:
捕獲數(shù)據(jù)包流量中的所有原始數(shù)據(jù)包;
提取數(shù)據(jù)包信息,所述數(shù)據(jù)包信息包括時間、數(shù)據(jù)包大小、IP地址、端口;
根據(jù)IP地址及端口信息,確定數(shù)據(jù)包相關(guān)進程;
在預設(shè)時間間隔內(nèi),統(tǒng)計每個進程的數(shù)據(jù)包流量,并繪制預設(shè)時間間隔內(nèi)的進程流量圖,根據(jù)預設(shè)條件判斷所述進程產(chǎn)生的數(shù)據(jù)包流量是否是惡意流量。
10.如權(quán)利要求9所述的系統(tǒng),其特征在于,根據(jù)預設(shè)條件判斷所述進程產(chǎn)生的數(shù)據(jù)包流量是否是惡意流量為:
比較預設(shè)時間間隔內(nèi)進程產(chǎn)生的上行數(shù)據(jù)包流量及下行數(shù)據(jù)包流量,如果上行數(shù)據(jù)包流量大于下行數(shù)據(jù)包流量,則所述進程產(chǎn)生的數(shù)據(jù)包流量為惡意流量,否則,所述進程產(chǎn)生的數(shù)據(jù)包流量為非惡意流量。
該專利技術(shù)資料僅供研究查看技術(shù)是否侵權(quán)等信息,商用須獲得專利權(quán)人授權(quán)。該專利全部權(quán)利屬于哈爾濱安天科技股份有限公司,未經(jīng)哈爾濱安天科技股份有限公司許可,擅自商用是侵權(quán)行為。如果您想購買此專利、獲得商業(yè)授權(quán)和技術(shù)合作,請聯(lián)系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201310507662.3/1.html,轉(zhuǎn)載請聲明來源鉆瓜專利網(wǎng)。
