[發明專利]一種基于數據包過濾的遠程控制惡意程序檢測方法及系統在審
| 申請號: | 201611249289.6 | 申請日: | 2016-12-29 |
| 公開(公告)號: | CN106657100A | 公開(公告)日: | 2017-05-10 |
| 發明(設計)人: | 許夢磊;童志明;何公道 | 申請(專利權)人: | 哈爾濱安天科技股份有限公司 |
| 主分類號: | H04L29/06 | 分類號: | H04L29/06;H04L29/08 |
| 代理公司: | 暫無信息 | 代理人: | 暫無信息 |
| 地址: | 150090 黑龍江省哈爾濱市*** | 國省代碼: | 黑龍江;23 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 一種 基于 數據包 過濾 遠程 控制 惡意程序 檢測 方法 系統 | ||
1.一種基于數據包過濾的遠程控制惡意程序檢測方法,其特征在于,包括:
監測網絡,獲取預設時間段內的網絡數據包,構成數據包集A;
在所述數據包集A中,篩選出數據包大小在預設值范圍內的數據包,構成數據包集B1或在所述數據包集A中篩選出通信IP固定的數據包,構成數據包集B2;
在所述數據包集B1中,繼續篩選出通信IP固定的數據包,構成數據包集C1或在所述數據包集B2中,繼續篩選出數據包大小在預設值范圍內的網絡數據包,構成數據包集C2;
判斷所述數據包集C1或數據包集C2中的數據包的發包頻率是否固定,若是則為可疑數據包,則初步判定系統感染了遠程控制惡意程序,并進行深度判定。
2.如權利要求1所述的方法,其特征在于,所述深度判定具體包括:
解析可疑數據包,獲取其通信IP和內容并長期監測;結合查看工具及系統日志判定系統是否感染了遠程控制惡意程序。
3.如權利要求2所述的方法,其特征在于,所述查看工具包括注冊表查看工具以及進程查看工具。
4.一種基于數據包過濾的遠程控制惡意程序檢測系統,其特征在于,
包括:
監測模塊,用于監測網絡,獲取預設時間段內的網絡數據包,構成數據包集A;
篩選模塊一,用于在所述數據包集A中,篩選出數據包大小在預設值范圍內的數據包,構成數據包集B1或在所述數據包集A中篩選出通信IP固定的數據包,構成數據包集B2;
篩選模塊二,用于在所述數據包集B1中,繼續篩選出通信IP固定的數據包,構成數據包集C1或在所述數據包集B2中,繼續篩選出數據包大小在預設值范圍內的網絡數據包,構成數據包集C2;
判定模塊,判斷所述數據包集C1或數據包集C2中的數據包的發包頻率是否固定,若是則為可疑數據包,則可初步判定系統感染了遠程控制惡意程序,并進行深度判定。
5.如權利要求4所述的系統,其特征在于,所述深度判定具體包括:
解析可疑數據包,獲取其通信IP和內容并長期監測;結合查看工具及系統日志判定系統是否感染了遠程控制惡意程序。
6.如權利要求5所述的系統,其特征在于,所述查看工具包括注冊表查看工具以及進程查看工具。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于哈爾濱安天科技股份有限公司,未經哈爾濱安天科技股份有限公司許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201611249289.6/1.html,轉載請聲明來源鉆瓜專利網。
