專(zhuān)利名稱(chēng):網(wǎng)絡(luò)木馬的綜合檢測(cè)方法及其功能模塊架構(gòu)裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明屬于網(wǎng)絡(luò)安全技術(shù)領(lǐng)域�,特別是一種針對(duì)網(wǎng)絡(luò)木馬病毒的綜合檢測(cè)方法及為 實(shí)現(xiàn)其方法所采用的功能模塊架構(gòu)裝置��。采用本發(fā)明方法及其裝置既可對(duì)已知的木馬病毒 進(jìn)行檢測(cè)����,還可對(duì)未知木馬病毒進(jìn)行檢測(cè)。
背景技術(shù):
木馬病毒的泛濫�����,對(duì)計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)造成的危害日益嚴(yán)重�。目前,針對(duì)木馬病毒的 檢測(cè)和防御主要采用三種方式一是針對(duì)網(wǎng)頁(yè)木馬進(jìn)行檢測(cè)��,如申請(qǐng)?zhí)枮?200610152533.7�����、發(fā)明名稱(chēng)為《基于鏈接分析的網(wǎng)頁(yè)木馬追蹤技術(shù)》及申請(qǐng)?zhí)枮?200610152530.3��、發(fā)明名稱(chēng)為《一種基于行為特征的網(wǎng)頁(yè)木馬檢測(cè)方法》的專(zhuān)利文獻(xiàn)所公 的即屬于此類(lèi)技術(shù)�����;二是單機(jī)防范�,如申請(qǐng)?zhí)枮?00410052134.4、發(fā)明名稱(chēng)為《防止木馬 或病毒竊取輸入信息的方法》及申請(qǐng)?zhí)枮?00610035569.7�、發(fā)明名稱(chēng)為《一種內(nèi)嵌木馬專(zhuān) 殺的網(wǎng)絡(luò)游戲系統(tǒng)及査殺毒方法》即屬于此類(lèi)技術(shù);三是各類(lèi)殺毒軟件��,如卡巴斯基��、360����、 瑞星等。上述技術(shù)均是針對(duì)特定的木馬病毒進(jìn)行單機(jī)檢測(cè)���,雖然具有針對(duì)性強(qiáng)�、對(duì)特定的 木馬病毒防御及査�、殺效果亦較好等特點(diǎn);但卻存在性能單一��、且在每臺(tái)需要防御的計(jì)算 機(jī)上均須安裝相應(yīng)的軟件才能做到針對(duì)性的有效檢測(cè)和防御����;此外,若在一臺(tái)計(jì)算機(jī)上安 裝多種針對(duì)性的防木馬病毒軟件���,又會(huì)出現(xiàn)相互干擾��,影響其防病毒的效果���。因而��,上述 技術(shù)存在需單機(jī)采用專(zhuān)用軟件進(jìn)行針對(duì)性檢測(cè)����,性能單一����,對(duì)木馬病毒只能進(jìn)行被動(dòng)防御, 綜合檢測(cè)效果差���、適應(yīng)范圍窄���,各種木馬檢測(cè)軟件之間相互干擾大等缺陷。
發(fā)明內(nèi)容
本發(fā)明的目的是針對(duì)背景技術(shù)存在的缺陷����,研究設(shè)計(jì)一種網(wǎng)絡(luò)木馬的綜合檢測(cè)方法及 其功能模塊架構(gòu)裝置。達(dá)到在對(duì)內(nèi)網(wǎng)不產(chǎn)生任何額外負(fù)擔(dān)的情況下����,有效提高對(duì)網(wǎng)絡(luò)木馬 病毒進(jìn)行綜合檢測(cè)����、防御的性能和效果�,對(duì)木馬病毒的適應(yīng)性強(qiáng)����、防御面寬,應(yīng)用范圍廣 及可對(duì)內(nèi)網(wǎng)進(jìn)行整體防御等目的�����。
本發(fā)明的解決方案是將木馬檢測(cè)放在內(nèi)網(wǎng)的單機(jī)之外進(jìn)行�,采用已知的木馬病毒特征 參數(shù)及各類(lèi)木馬病毒的流量特征參數(shù)作為檢測(cè)標(biāo)準(zhǔn),通過(guò)旁路偵聽(tīng)內(nèi)網(wǎng)數(shù)據(jù)����,并將數(shù)據(jù)通 過(guò)檢測(cè)模塊處理,得到木馬活動(dòng)信息�����,最后將其送入網(wǎng)絡(luò)木馬病毒管理器作后繼處理����;而為實(shí)現(xiàn)該方法所采用的架構(gòu)裝置����,則是以常規(guī)工業(yè)控制機(jī)作為基礎(chǔ)來(lái)設(shè)置用于木馬檢測(cè)的 裝置��;該裝置運(yùn)行中分別與內(nèi)網(wǎng)網(wǎng)絡(luò)的偵聽(tīng)端口及外部網(wǎng)絡(luò)聯(lián)接�����,從而實(shí)現(xiàn)其發(fā)明目的���。 因此����,本發(fā)明的方法包括
A. 檢測(cè)參數(shù)的初始化處理將需要保護(hù)的內(nèi)網(wǎng)網(wǎng)段�����、檢測(cè)模塊網(wǎng)絡(luò)地址����、木馬病毒 管理器網(wǎng)絡(luò)地址以及各類(lèi)網(wǎng)絡(luò)木馬病毒檢測(cè)標(biāo)準(zhǔn)(參數(shù))進(jìn)行初始化設(shè)置;
B. 錄入待檢測(cè)數(shù)據(jù)從內(nèi)網(wǎng)偵聽(tīng)端口錄入數(shù)據(jù)�,然后抽取數(shù)據(jù)中記錄的內(nèi)網(wǎng)地址�����、 內(nèi)網(wǎng)端口號(hào)��、外網(wǎng)地址�����、外網(wǎng)端口號(hào)、數(shù)據(jù)流向���、數(shù)據(jù)量大小����、協(xié)議編號(hào)��、關(guān)鍵字?jǐn)?shù)據(jù)���、 出現(xiàn)時(shí)間���,作為待檢測(cè)的原始數(shù)據(jù)、以備檢測(cè)����;
C. 按已知木馬病毒標(biāo)準(zhǔn)檢測(cè)首先按照已知的木馬病毒特征標(biāo)準(zhǔn)(參數(shù))對(duì)待檢測(cè) 的原始數(shù)據(jù)進(jìn)行對(duì)比分析檢測(cè)����,若與任一已知的木馬病毒標(biāo)準(zhǔn)相符�����,則將原始數(shù)據(jù)以及觸 發(fā)的檢測(cè)標(biāo)準(zhǔn)和觸發(fā)時(shí)間作為木馬病毒信息���,送網(wǎng)絡(luò)木馬病毒管理器作后繼處理��;若不符 合已知的木馬病毒標(biāo)準(zhǔn)����,則轉(zhuǎn)下一步繼續(xù)檢測(cè)�;
D. 按木馬病毒流量標(biāo)準(zhǔn)檢測(cè)將經(jīng)步驟C檢測(cè)后輸入的數(shù)據(jù),與數(shù)據(jù)庫(kù)中的在先分 析數(shù)據(jù)逐一進(jìn)行比對(duì)檢測(cè)���,如果數(shù)據(jù)庫(kù)中已經(jīng)存在與輸入數(shù)據(jù)對(duì)應(yīng)的分析數(shù)據(jù)�,則按照設(shè) 定的木馬病毒的流量特征標(biāo)準(zhǔn)逐一進(jìn)行對(duì)比分析檢測(cè)�,若與任一流量病毒檢測(cè)標(biāo)準(zhǔn)相符, 則將輸入數(shù)據(jù)以及觸發(fā)的檢測(cè)標(biāo)準(zhǔn)和觸發(fā)時(shí)間����,作為帶木馬病毒信息�����,送網(wǎng)絡(luò)木馬病毒管 理器作后繼處理��、同時(shí)轉(zhuǎn)下一步驟對(duì)分析數(shù)據(jù)作丟棄處理��,若均不相符亦轉(zhuǎn)下一步驟作數(shù) 據(jù)丟棄處理�;如果數(shù)據(jù)庫(kù)中無(wú)在先分析數(shù)據(jù)或不存在對(duì)應(yīng)分析數(shù)據(jù)�,則將該輸入數(shù)據(jù)存入 數(shù)據(jù)庫(kù)中�,作為分析數(shù)據(jù);
E. 對(duì)分析數(shù)據(jù)進(jìn)行丟棄處理將當(dāng)前時(shí)間與數(shù)據(jù)庫(kù)中的分析數(shù)據(jù)錄入時(shí)間之差���,逐 一與設(shè)定的分析數(shù)據(jù)留存時(shí)間進(jìn)行比對(duì)�����,并陸續(xù)將達(dá)到留存期限的分析數(shù)據(jù)丟棄�����。
以上所述設(shè)定的木馬病毒的流量特征標(biāo)準(zhǔn)包括復(fù)位(Reset��,簡(jiǎn)稱(chēng)RST)報(bào)文檢測(cè)標(biāo)準(zhǔn)�����,
郵件行為檢測(cè)標(biāo)準(zhǔn)�,通信連接行為檢測(cè)標(biāo)準(zhǔn),關(guān)鍵字檢測(cè)標(biāo)準(zhǔn)��,以及經(jīng)過(guò)加密處理的報(bào)文
在內(nèi)的全部或部分標(biāo)準(zhǔn)����。其中所述復(fù)位(RST)報(bào)文檢測(cè)標(biāo)準(zhǔn)為內(nèi)網(wǎng)傳出數(shù)據(jù)中的RST協(xié) 議報(bào)文,在規(guī)定時(shí)間范圍內(nèi)不允許重復(fù)傳出的次數(shù)�;而郵件行為檢測(cè)標(biāo)準(zhǔn)為從內(nèi)網(wǎng)中傳出 的收件人地址和主題均相同的郵件,在規(guī)定時(shí)間范圍內(nèi)不允許重復(fù)傳出的次數(shù)���;通信連接 行為檢測(cè)標(biāo)準(zhǔn)為��,在規(guī)定時(shí)間范圍內(nèi)從同一內(nèi)網(wǎng)地址流出到同一外網(wǎng)地址的數(shù)據(jù)流量�,與 從該外網(wǎng)地址返回該內(nèi)網(wǎng)地址的數(shù)據(jù)流量的差異程度不允許達(dá)到的值(設(shè)定的值)��;關(guān)鍵 字檢測(cè)標(biāo)準(zhǔn)為從內(nèi)網(wǎng)流出到外網(wǎng)的數(shù)據(jù)流量中不允許出現(xiàn)的字符��;經(jīng)過(guò)加密處理的報(bào)文檢 測(cè)標(biāo)準(zhǔn)為從內(nèi)網(wǎng)流出到外網(wǎng)的數(shù)據(jù)流量中不允許出現(xiàn)加密后的字符。
5上述網(wǎng)絡(luò)木馬病毒檢測(cè)方法所采用的功能模塊架構(gòu)裝置���,包括
A. —個(gè)參數(shù)初始化處理單元模塊���,用于存儲(chǔ)需要保護(hù)的內(nèi)網(wǎng)網(wǎng)段、檢測(cè)模塊網(wǎng)絡(luò)地 址�����、木馬病毒管理器網(wǎng)絡(luò)地址以及各類(lèi)網(wǎng)絡(luò)木馬病毒檢測(cè)標(biāo)準(zhǔn)的初始化參數(shù)的數(shù)據(jù)�����;
B. —個(gè)錄入待檢測(cè)數(shù)據(jù)單元模塊����,用于抽取從內(nèi)網(wǎng)偵聽(tīng)端口錄入的待檢測(cè)數(shù)據(jù)以備
檢測(cè)�;
C. 一個(gè)已知木馬病毒標(biāo)準(zhǔn)檢測(cè)單元模塊,用于調(diào)用己知木馬病毒檢測(cè)標(biāo)準(zhǔn)�,對(duì)待檢
測(cè)的原始數(shù)據(jù)進(jìn)行對(duì)比分析并判斷其是否符合已知木馬病毒檢測(cè)標(biāo)準(zhǔn);
D. —個(gè)木馬病毒流量標(biāo)準(zhǔn)檢測(cè)單元模塊�,用于調(diào)用包括復(fù)位(RST)報(bào)文檢測(cè)標(biāo)準(zhǔn)、
郵件行為檢測(cè)標(biāo)準(zhǔn)��、通信連接行為檢測(cè)標(biāo)準(zhǔn),關(guān)鍵字檢測(cè)標(biāo)準(zhǔn)���,以及經(jīng)過(guò)加密處理的報(bào)文 在內(nèi)的全部或部分檢測(cè)標(biāo)準(zhǔn)��,對(duì)分析數(shù)據(jù)進(jìn)行逐一對(duì)比分析并判斷是否與任一木馬病毒流 量標(biāo)準(zhǔn)相符����,是否作為分析數(shù)據(jù)存儲(chǔ)入數(shù)據(jù)庫(kù)��;
E. —個(gè)木馬病毒發(fā)送單元模塊���,用于將己知木馬病毒標(biāo)準(zhǔn)檢測(cè)單元模塊和木馬病毒 流量標(biāo)準(zhǔn)檢測(cè)單元模塊送出的木馬病毒信息���,發(fā)送到木馬病毒管理器;
F. —個(gè)對(duì)分析數(shù)據(jù)進(jìn)行丟棄處理的單元模塊����,用于對(duì)分析數(shù)據(jù)的滯留時(shí)間進(jìn)行判斷, 并陸續(xù)將達(dá)到設(shè)定存儲(chǔ)期限的分析數(shù)據(jù)從數(shù)據(jù)庫(kù)中清除����。
本發(fā)明方法由于通過(guò)旁路偵聽(tīng)內(nèi)網(wǎng)數(shù)據(jù),并采用已知的木馬病毒特征參數(shù)及各類(lèi)木馬 病毒的流量特征參數(shù)作為檢測(cè)標(biāo)準(zhǔn)對(duì)其進(jìn)行綜合檢測(cè)��,然后將檢測(cè)到的木馬活動(dòng)信息送入 網(wǎng)絡(luò)木馬病毒管理器處理;而實(shí)現(xiàn)該方法的裝置則是以常規(guī)工業(yè)控制機(jī)作為基礎(chǔ)設(shè)置的功 能模塊架構(gòu)裝置���。采用本發(fā)明方法及其功能模塊架構(gòu)裝置具有在對(duì)內(nèi)網(wǎng)不產(chǎn)生任何額外的 負(fù)擔(dān)的情況下�,有效提高對(duì)網(wǎng)絡(luò)木馬病毒進(jìn)行綜合檢測(cè)����、防御的性能和效果,對(duì)木馬病毒 的適應(yīng)性強(qiáng)��、防御面寬��、應(yīng)用范圍廣����,可對(duì)內(nèi)網(wǎng)進(jìn)行整體防御而不需對(duì)每臺(tái)單機(jī)分別設(shè)防 等特點(diǎn)。
圖1為本發(fā)明綜合檢測(cè)方法流程示意圖(方框圖)��; 圖2本發(fā)明具體實(shí)施方式
用功能模塊架構(gòu)裝置結(jié)構(gòu)示意圖(方框圖)��; 圖3本發(fā)明實(shí)施方式綜合檢測(cè)方法流程示意圖(方框圖)��。
具體實(shí)施例方式
附圖2為本實(shí)施方式檢測(cè)用裝置的功能模塊架構(gòu)(結(jié)構(gòu))框圖�����。本實(shí)施方式采用 Arck-114R型工業(yè)控制機(jī)作為檢測(cè)裝置��;即在控制機(jī)內(nèi)的存儲(chǔ)器(可執(zhí)行存儲(chǔ)器和數(shù)據(jù)存儲(chǔ)器)中分別設(shè)置參數(shù)初始化單元模塊�����,錄入待檢測(cè)數(shù)據(jù)的單元模塊����,已知木馬病毒標(biāo)準(zhǔn) 檢測(cè)單元模塊,木馬病毒流量標(biāo)準(zhǔn)檢測(cè)單元模塊�����,木馬病毒告警單元模塊����,到期數(shù)據(jù)丟棄 模塊及相應(yīng)的數(shù)椐庫(kù);整個(gè)檢測(cè)裝置通過(guò)人機(jī)輸入接口設(shè)置各功能模塊及對(duì)應(yīng)的參數(shù)�,通 過(guò)網(wǎng)絡(luò)輸入接口與內(nèi)網(wǎng)網(wǎng)絡(luò)設(shè)備的偵聽(tīng)端口連接并錄入待檢測(cè)數(shù)據(jù),而通過(guò)網(wǎng)絡(luò)輸出接口 與外網(wǎng)連接并向網(wǎng)絡(luò)管理器發(fā)送木馬病毒信息�。
下面以下述參數(shù)為例進(jìn)行說(shuō)明
需要保護(hù)的內(nèi)網(wǎng)網(wǎng)段是(2.3.4.10-2.3.4.200);
網(wǎng)絡(luò)設(shè)備管理器地址為(5.6.10.150)
木馬流量檢測(cè)標(biāo)準(zhǔn)(參數(shù))
已知木馬病毒標(biāo)準(zhǔn)檢測(cè)參數(shù),簡(jiǎn)記為l(已知檢測(cè)標(biāo)準(zhǔn)集)�;
RST報(bào)文檢測(cè)標(biāo)準(zhǔn)為l分鐘內(nèi)不允許重復(fù)出現(xiàn)5次,簡(jiǎn)記為2.1(1�����, 5);
郵件行為檢測(cè)標(biāo)準(zhǔn)為在2天內(nèi)不允許重復(fù)出現(xiàn)3次從同一內(nèi)網(wǎng)地址中傳出的收件人地 址和主題均相同的郵件,簡(jiǎn)記為2.2(2����, 3);
通信連接行為檢測(cè)標(biāo)準(zhǔn)為在10分鐘內(nèi)不允許重復(fù)出現(xiàn)3次從同一內(nèi)網(wǎng)地址流出到同 一外網(wǎng)地址的數(shù)據(jù)流量,與從該外網(wǎng)地址流入(返回)該內(nèi)網(wǎng)地址的數(shù)據(jù)流量的差異程度 達(dá)到2倍及兩倍以上的情況���,簡(jiǎn)記為2.3(10��, 3�����, 2);
關(guān)鍵字為"機(jī)密設(shè)計(jì)文件"�����,簡(jiǎn)記為2.4("機(jī)密設(shè)計(jì)文件")����;
經(jīng)過(guò)加密處理的報(bào)文檢測(cè)標(biāo)準(zhǔn)為從網(wǎng)流出到外網(wǎng)的數(shù)據(jù)流量中出現(xiàn)加密字符�,簡(jiǎn)記為 2.5(加密字符)。
分析數(shù)據(jù)存儲(chǔ)期限為2天�����,簡(jiǎn)記為2.6(2)�����。為簡(jiǎn)化敘述�����,將上述木馬流量檢測(cè)標(biāo)準(zhǔn)簡(jiǎn) 記為2(木馬流量檢測(cè)標(biāo)準(zhǔn)集) 其綜合檢測(cè)方法包括
A. 檢測(cè)參數(shù)的初始化處理將上述參數(shù)通過(guò)人機(jī)接口植入到檢測(cè)裝置中��;
B. 錄入待檢測(cè)的數(shù)據(jù)當(dāng)從內(nèi)網(wǎng)網(wǎng)絡(luò)設(shè)備偵聽(tīng)端口有數(shù)據(jù)錄入時(shí)��,抽取其中記錄的 內(nèi)網(wǎng)地址��、內(nèi)網(wǎng)端口號(hào)�����、外網(wǎng)地址�����、外網(wǎng)端口號(hào)�����、數(shù)據(jù)流向、數(shù)據(jù)量大小�、出現(xiàn)時(shí)間、協(xié) 議編號(hào)����、關(guān)鍵字?jǐn)?shù)據(jù)、報(bào)文內(nèi)容���,作為待檢測(cè)的原始數(shù)據(jù)以備檢測(cè)�;
C.按已知木馬病毒標(biāo)準(zhǔn)檢測(cè)首先按照已知的木馬病毒特征標(biāo)準(zhǔn)l(已知檢測(cè)標(biāo)準(zhǔn)集)對(duì)待 檢測(cè)的原始數(shù)據(jù)進(jìn)行對(duì)比分析���,若與其中任一已知的木馬病毒標(biāo)準(zhǔn)相符���,則將該數(shù)據(jù)以及 觸發(fā)的檢測(cè)標(biāo)準(zhǔn)和觸發(fā)時(shí)間, 一并送網(wǎng)絡(luò)木馬病毒管理器����,再轉(zhuǎn)到第5步作后繼處理;若 不符合已知的木馬病毒標(biāo)準(zhǔn)����,則轉(zhuǎn)下一步繼續(xù)檢測(cè)�;
D.按木馬病毒流量標(biāo)準(zhǔn)檢測(cè)將經(jīng)步驟C檢測(cè)后輸入的待檢測(cè)數(shù)據(jù)��,按照設(shè)定的木
7馬病毒的流量特征標(biāo)準(zhǔn)2(木馬流量檢測(cè)標(biāo)準(zhǔn)集)逐一進(jìn)行對(duì)比分析檢測(cè)�����,若與其中任一木 馬病毒的流量標(biāo)準(zhǔn)相符�,則將該數(shù)據(jù)以及觸發(fā)的檢測(cè)標(biāo)準(zhǔn)和觸發(fā)時(shí)間�����, 一并送網(wǎng)絡(luò)木馬病 毒管理器作后續(xù)處理�����,并轉(zhuǎn)下一步作數(shù)據(jù)丟棄處理��;若均不相符����,則將該數(shù)據(jù)存入數(shù)據(jù)庫(kù) 中、作為分析數(shù)據(jù)�,并轉(zhuǎn)下一步;
E.按數(shù)據(jù)留存時(shí)間進(jìn)行數(shù)據(jù)丟棄處理將當(dāng)前時(shí)間與分析數(shù)據(jù)的錄入時(shí)間之差���,逐 一與規(guī)定的留存時(shí)間進(jìn)行比對(duì)���,并陸續(xù)將達(dá)到留存期限的分析數(shù)據(jù)丟棄���。
在本實(shí)施例中, 一旦出現(xiàn)已知的木馬病毒�����,例如出現(xiàn)符合l(已知檢測(cè)標(biāo)準(zhǔn)集)中的任 一標(biāo)準(zhǔn)的數(shù)據(jù)���;或者出現(xiàn)木馬病毒的流量�,例如出現(xiàn)符合2(木馬流量檢測(cè)標(biāo)準(zhǔn)集)中的任 一標(biāo)準(zhǔn)的數(shù)據(jù)��,木馬綜合檢測(cè)器就會(huì)通過(guò)木馬病毒信息發(fā)送模塊經(jīng)網(wǎng)絡(luò)輸出接口���,向木馬 病毒管理器發(fā)送在步驟C���,或者步驟D檢測(cè)出的木馬病毒信息。
權(quán)利要求
1�����、一種網(wǎng)絡(luò)木馬的綜合檢測(cè)方法,包括A.檢測(cè)參數(shù)的初始化處理將需要保護(hù)的內(nèi)網(wǎng)網(wǎng)段�����、檢測(cè)模塊網(wǎng)絡(luò)地址����、木馬病毒管理器網(wǎng)絡(luò)地址以及各類(lèi)網(wǎng)絡(luò)木馬病毒檢測(cè)標(biāo)準(zhǔn)(參數(shù))進(jìn)行初始化設(shè)置����;B.錄入待檢測(cè)數(shù)據(jù)從內(nèi)網(wǎng)偵聽(tīng)端口錄入數(shù)據(jù),然后抽取數(shù)據(jù)中記錄的內(nèi)網(wǎng)地址�、內(nèi)網(wǎng)端口號(hào)、外網(wǎng)地址�、外網(wǎng)端口號(hào)、數(shù)據(jù)流向�����、數(shù)據(jù)量大小�����、協(xié)議編號(hào)、關(guān)鍵字?jǐn)?shù)據(jù)�����、出現(xiàn)時(shí)間��,作為待檢測(cè)的原始數(shù)據(jù)�����、以備檢測(cè)�����;C.按已知木馬病毒標(biāo)準(zhǔn)檢測(cè)首先按照已知的木馬病毒特征標(biāo)準(zhǔn)(參數(shù))對(duì)待檢測(cè)的原始數(shù)據(jù)進(jìn)行對(duì)比分析檢測(cè)��,若與任一已知的木馬病毒標(biāo)準(zhǔn)相符��,則將原始數(shù)據(jù)以及觸發(fā)的檢測(cè)標(biāo)準(zhǔn)和觸發(fā)時(shí)間作為木馬病毒信息�����,送網(wǎng)絡(luò)木馬病毒管理器作后繼處理��;若不符合已知的木馬病毒標(biāo)準(zhǔn)�����,則轉(zhuǎn)下一步繼續(xù)檢測(cè);D.按木馬病毒流量標(biāo)準(zhǔn)檢測(cè)將經(jīng)步驟C檢測(cè)后輸入的數(shù)據(jù)����,與數(shù)據(jù)庫(kù)中的在先分析數(shù)據(jù)逐一進(jìn)行比對(duì)檢測(cè),如果數(shù)據(jù)庫(kù)中已經(jīng)存在與輸入數(shù)據(jù)對(duì)應(yīng)的分析數(shù)據(jù)��,則按照設(shè)定的木馬病毒的流量特征標(biāo)準(zhǔn)逐一進(jìn)行對(duì)比分析檢測(cè)�����,若與任一流量病毒檢測(cè)標(biāo)準(zhǔn)相符��,則將輸入數(shù)據(jù)以及觸發(fā)的檢測(cè)標(biāo)準(zhǔn)和觸發(fā)時(shí)間����,作為帶木馬病毒信息��,送網(wǎng)絡(luò)木馬病毒管理器作后繼處理��、同時(shí)轉(zhuǎn)下一步驟對(duì)分析數(shù)據(jù)作丟棄處理����,若均不相符亦轉(zhuǎn)下一步驟作數(shù)據(jù)丟棄處理�;如果數(shù)據(jù)庫(kù)中無(wú)在先分析數(shù)據(jù)或不存在對(duì)應(yīng)分析數(shù)據(jù)���,則將該輸入數(shù)據(jù)存入數(shù)據(jù)庫(kù)中�,作為分析數(shù)據(jù)���;E.對(duì)分析數(shù)據(jù)進(jìn)行丟棄處理將當(dāng)前時(shí)間與數(shù)據(jù)庫(kù)中的分析數(shù)據(jù)錄入時(shí)間之差����,逐一與設(shè)定的分析數(shù)據(jù)留存時(shí)間進(jìn)行比對(duì)��,并陸續(xù)將達(dá)到留存期限的分析數(shù)據(jù)丟棄�����。
2���、 按權(quán)利要求1所述網(wǎng)絡(luò)木馬的綜合檢測(cè)方法�,其特征在于所述設(shè)定的木馬病毒的 流量特征標(biāo)準(zhǔn)包括復(fù)位報(bào)文檢測(cè)標(biāo)準(zhǔn)�����,郵件行為檢測(cè)標(biāo)準(zhǔn)��,通信連接行為檢測(cè)標(biāo)準(zhǔn),關(guān) 鍵字檢測(cè)標(biāo)準(zhǔn)��,以及經(jīng)過(guò)加密處理的報(bào)文在內(nèi)的全部或部分標(biāo)準(zhǔn)��。
3��、 按權(quán)利要求2所述網(wǎng)絡(luò)木馬的綜合檢測(cè)方法����,其特征在于所述復(fù)位報(bào)文檢測(cè)標(biāo)準(zhǔn) 為內(nèi)網(wǎng)傳出數(shù)據(jù)中的RST協(xié)議報(bào)文,在規(guī)定時(shí)間范圍內(nèi)不允許重復(fù)傳出的次數(shù)��;而郵件 行為檢測(cè)標(biāo)準(zhǔn)為從內(nèi)網(wǎng)中傳出的收件人地址和主題均相同的郵件����,在規(guī)定時(shí)間范圍內(nèi)不允 許重復(fù)傳出的次數(shù);通信連接行為檢測(cè)標(biāo)準(zhǔn)為���,在規(guī)定時(shí)間范圍內(nèi)從同一內(nèi)網(wǎng)地址流出到 同一外網(wǎng)地址的數(shù)據(jù)流量,與從該外網(wǎng)地址返回該內(nèi)網(wǎng)地址的數(shù)據(jù)流量的差異程度不允許 達(dá)到的值�����;關(guān)鍵字檢測(cè)標(biāo)準(zhǔn)為從內(nèi)網(wǎng)流出到外網(wǎng)的數(shù)據(jù)流量中不允許出現(xiàn)的字符�;經(jīng)過(guò)加密處理的報(bào)文檢測(cè)標(biāo)準(zhǔn)為從內(nèi)網(wǎng)流出到外網(wǎng)的數(shù)據(jù)流量中不允許出現(xiàn)加密后的字符���。
4、按權(quán)利要求l所述網(wǎng)絡(luò)木馬的綜合檢測(cè)方法所用功能模塊架構(gòu)裝置�,包括A. —個(gè)參數(shù)初始化處理單元模塊,用于存儲(chǔ)需要保護(hù)的內(nèi)網(wǎng)網(wǎng)段���、檢測(cè)模塊網(wǎng)絡(luò)地 址��、木馬病毒管理器網(wǎng)絡(luò)地址以及各類(lèi)網(wǎng)絡(luò)木馬病毒檢測(cè)標(biāo)準(zhǔn)的初始化參數(shù)的數(shù)據(jù)�����;B. —個(gè)錄入待檢測(cè)數(shù)據(jù)單元模塊�����,用于抽取從內(nèi)網(wǎng)偵聽(tīng)端口錄入的待檢測(cè)數(shù)據(jù)以備檢測(cè)���;C. 一個(gè)已知木馬病毒標(biāo)準(zhǔn)檢測(cè)單元模塊,用于調(diào)用已知木馬病毒檢測(cè)標(biāo)準(zhǔn)�����,對(duì)待檢 測(cè)的原始數(shù)據(jù)進(jìn)行對(duì)比分析并判斷其是否符合已知木馬病毒檢測(cè)標(biāo)準(zhǔn)���;D. —個(gè)木馬病毒流量標(biāo)準(zhǔn)檢測(cè)單元模塊���,用于調(diào)用包括復(fù)位報(bào)文檢測(cè)標(biāo)準(zhǔn)���、郵件行 為檢測(cè)標(biāo)準(zhǔn)、通信連接行為檢測(cè)標(biāo)準(zhǔn)���,關(guān)鍵字檢測(cè)標(biāo)準(zhǔn)���,以及經(jīng)過(guò)加密處理的報(bào)文在內(nèi)的 全部或部分檢測(cè)標(biāo)準(zhǔn),對(duì)分析數(shù)據(jù)進(jìn)行逐一對(duì)比分析并判斷是否與任一木馬病毒流量標(biāo)準(zhǔn) 相符�����,是否作為分析數(shù)據(jù)存儲(chǔ)入數(shù)據(jù)庫(kù)�;E. —個(gè)木馬病毒發(fā)送單元模塊,用于將已知木馬病毒標(biāo)準(zhǔn)檢測(cè)單元模塊和木馬病毒 流量標(biāo)準(zhǔn)檢測(cè)單元模塊送出的木馬病毒信息����,發(fā)送到木馬病毒管理器�;F. —個(gè)對(duì)分析數(shù)據(jù)進(jìn)行丟棄處理的單元模塊,用于對(duì)分析數(shù)據(jù)的滯留時(shí)間進(jìn)行判斷��, 并陸續(xù)將達(dá)到設(shè)定存儲(chǔ)期限的分析數(shù)據(jù)從數(shù)據(jù)庫(kù)中清除。
全文摘要
該發(fā)明屬于網(wǎng)絡(luò)安全技術(shù)領(lǐng)域中的網(wǎng)絡(luò)木馬病毒的綜合檢測(cè)方法及所采用的功能模塊架構(gòu)裝置�。檢測(cè)方法包括檢測(cè)參數(shù)的初始化處理,錄入待檢測(cè)數(shù)據(jù)�����,按已知木馬病毒標(biāo)準(zhǔn)檢測(cè)�����,按木馬病毒流量標(biāo)準(zhǔn)檢測(cè)���,對(duì)分析數(shù)據(jù)進(jìn)行丟棄處理���;而所采用的功能模塊架構(gòu)裝置包括參數(shù)初始化處理單元模塊,錄入待檢測(cè)數(shù)據(jù)單元模塊����,已知木馬病毒標(biāo)準(zhǔn)檢測(cè)單元模塊,木馬病毒流量標(biāo)準(zhǔn)檢測(cè)單元模塊�,木馬病毒發(fā)送單元模塊,分析數(shù)據(jù)丟棄處理單元模塊��。該發(fā)明具有對(duì)內(nèi)網(wǎng)不產(chǎn)生任何額外負(fù)擔(dān),有效提高了對(duì)網(wǎng)絡(luò)木馬病毒進(jìn)行綜合檢測(cè)�、防御的性能和效果,對(duì)木馬病毒及其變種的適應(yīng)性強(qiáng)��、防御面寬����、應(yīng)用范圍廣,對(duì)內(nèi)網(wǎng)進(jìn)行整體防御而不需對(duì)每臺(tái)單機(jī)分別設(shè)防等特點(diǎn)���。
文檔編號(hào)H04L12/24GK101552779SQ20091005919
公開(kāi)日2009年10月7日 申請(qǐng)日期2009年5月4日 優(yōu)先權(quán)日2009年5月4日
發(fā)明者王光衛(wèi), 范明鈺 申請(qǐng)人:電子科技大學(xué)