一種防范遠控類木馬病毒的方法及系統(tǒng)的制作方法
【專利摘要】本發(fā)明提供了一種防范遠控類木馬病毒的方法及系統(tǒng),方法包括:捕獲網(wǎng)絡中的數(shù)據(jù)包流量����;用預先設定的特征規(guī)則庫中的特征,遍歷捕獲到的數(shù)據(jù)包流量�����,判斷是否存在匹配的特征�,如果匹配,則將所述數(shù)據(jù)包流量交給后續(xù)惡意代碼探頭處理��,否則繼續(xù)判斷所述數(shù)據(jù)包流量��;排除捕獲的數(shù)據(jù)包流量中的已知URL�,并判斷所述數(shù)據(jù)包流量是否為惡意流量,如果所述數(shù)據(jù)包流量是惡意流量���,則進行阻斷并報警提示�;否則放行所述數(shù)據(jù)包流量�。發(fā)明還提供了相應的系統(tǒng),通過本發(fā)明的方法及系統(tǒng)�����,能夠有效防范遠控類木馬的運行����,阻斷惡意流量的進出,保護用戶計算機不被傷害���。
【專利說明】一種防范遠控類木馬病毒的方法及系統(tǒng)
【技術領域】
[0001]本發(fā)明涉及網(wǎng)絡安全【技術領域】�����,特別涉及一種防范遠控類木馬病毒的方法及系統(tǒng)��。
【背景技術】
[0002]在網(wǎng)絡安全領域���,計算機病毒主要目的在于破壞系統(tǒng)設備,而木馬則更傾向于機密信息竊取��。遠控程序?qū)儆谀抉R的一種��,一旦被不法分子使用�����,則會用于竊取機密文件,造成信息泄漏�,造成不可估量的損失。
[0003]遠程控制是一種操作計算機的手段����,通過遠控程序從控制端對被控端的各種資源進行相應的控制,本質(zhì)上和本地操作并無實質(zhì)區(qū)別�,遠控者通常對系統(tǒng)擁有較高的執(zhí)行權限。遠控程序由兩部分構成:一部分是用來發(fā)送命令的客戶端程序(Client)�,另一部分是用來提供服務的服務端程序(Server)?����?蛻舳顺绦蜻\行在控制端�����,而服務端程序運行在被控端��,遠控程序通過特定技術手段在對應的計算機之間建立通信信道�,用來進行發(fā)送命令或者數(shù)據(jù)傳輸,建立連接后�����,控制端向被控端發(fā)送相應的指令,操作被控端完成特定的任務�。在連接的過程中,被控端一旦接受到控制端發(fā)送過來的指令���,就會根據(jù)指令內(nèi)容完成相應的任務指示,并發(fā)送返回結(jié)果指令�。
[0004]遠控木馬的關鍵技術大致分為3大類:Web技術、ActiveX技術以及Sockets技術����。Web技術可以分為前端和后端兩部分,遠控木馬利用Web技術的便利性����,通過瀏覽器遠程控制目標主機已經(jīng)成為當下較流行的方法,例如Webshell程序����。ActiveX技術是由微軟提出的一種建立在C0M/DC0M (組件/分布式組件對象模型)基礎之上的技術。Activex技術包括OLE (對象的鏈接與嵌入)和其它應用于Internet上的多種技術��。ActiveX程序執(zhí)行過程如下:首先利用目標瀏覽器訪問包含Activex控件的Web頁面���,瀏覽器則會自動下載Activex控件���,并將該控件在系統(tǒng)中注冊執(zhí)行�����,遠控木馬可以利用這一特性��,來實現(xiàn)對目標主機的各種操作�����。Sockets技術是網(wǎng)絡編程的核心���,是進行網(wǎng)絡通信的基本單元,一切基于TCP/IP協(xié)議的網(wǎng)絡應用程序都是建立在socket基礎之上的�。
[0005]目前對于遠控木馬的檢測技術大致分為三類:一類是從木馬植入階段開始分析,該方法功能單一����,容易存在漏報、誤報的可能��;第二類是從木馬激活運行入手進行檢測�����,該方法識別率較低,當木馬更改初始狀態(tài)時無法被檢測�����;第三類是從木馬通信過程進行檢測�,該檢測方法存在一定的滯后性,遠控類木馬在植入到目標系統(tǒng)到運行�����、控制等階段都可以更改通信端口���,從而避免被該方法識別。
【發(fā)明內(nèi)容】
[0006]本發(fā)明提供了一種防范遠控類木馬病毒的方法及系統(tǒng)�,能夠有效防范遠控類木馬的運行,阻斷惡意流量的進出�,保護用戶計算機不被傷害。
[0007]一種防范遠控類木馬病毒的方法��,包括:
捕獲網(wǎng)絡中的數(shù)據(jù)包流量����; 用預先設定的特征規(guī)則庫中的特征,遍歷捕獲到的數(shù)據(jù)包流量�,判斷是否存在匹配的特征�����,如果匹配����,則將所述數(shù)據(jù)包流量交給后續(xù)惡意代碼探頭處理�����,否則繼續(xù)判斷所述數(shù)據(jù)包流量���;
排除捕獲的數(shù)據(jù)包流量中的已知URL���,并判斷所述數(shù)據(jù)包流量是否為惡意流量,如果所述數(shù)據(jù)包流量是惡意流量���,則進行阻斷并報警提示����;否則放行所述數(shù)據(jù)包流量����。
[0008]所述的方法中��,所述在用預先設定的特征規(guī)則庫中的特征����,遍歷捕獲到的數(shù)據(jù)包流量之前�����,包括建立特征規(guī)則庫��,所述規(guī)則特征庫中的特征為已知惡意程序的特征集合�����。
[0009]所述的方法中�����,所述排除捕獲的數(shù)據(jù)包流量中的已知URL具體為:建立URL黑名單及白名單�����,判斷捕獲的數(shù)據(jù)包流量中的URL是否與URL黑名單及白名單匹配��,如果是�,則將所述數(shù)據(jù)包流量交給后續(xù)惡意代碼探頭處理。
[0010]由于遠控類木馬一般會采取端口復用的方式來實現(xiàn)其通信端口的隱藏���,因此所述的方法中�,判斷所述數(shù)據(jù)包流量是否為惡意流量具體為:
捕獲數(shù)據(jù)包流量中的所有原始數(shù)據(jù)包���;
提取數(shù)據(jù)包信息�����,所述數(shù)據(jù)包信息包括時間�、數(shù)據(jù)包大小���、IP地址���、端口 ;
根據(jù)IP地址及端口信息����,確定數(shù)據(jù)包相關進程;
在預設時間間隔內(nèi)��,統(tǒng)計每個進程的數(shù)據(jù)包流量,并繪制預設時間間隔內(nèi)的進程流量圖�����,根據(jù)預設條件判斷所述進程產(chǎn)生的數(shù)據(jù)包流量是否是惡意流量����。
[0011]所述的方法中,根據(jù)預設條件判斷所述進程產(chǎn)生的數(shù)據(jù)包流量是否是惡意流量為:
比較預設時間間隔內(nèi)進程產(chǎn)生的上行數(shù)據(jù)包流量及下行數(shù)據(jù)包流量��,如果上行數(shù)據(jù)包流量大于下行數(shù)據(jù)包流量�����,則所述進程產(chǎn)生的數(shù)據(jù)包流量為惡意流量�,否則,所述進程產(chǎn)生的數(shù)據(jù)包流量為非惡意流量�����。
[0012]本發(fā)明方法中所述的后續(xù)惡意代碼探頭為已知的任何惡意代碼檢測方法設備或系統(tǒng)����,其具有與本發(fā)明方法中特征規(guī)則庫中相同的特征及URL黑名單及白名單�,因此可以將已知的惡意代碼或木馬病毒交由其進行處理,而進一步對未識別的數(shù)據(jù)包流量進行識別。
[0013]—種防范遠控類木馬病毒的系統(tǒng),包括:
數(shù)據(jù)捕獲模塊�,用于捕獲網(wǎng)絡中的數(shù)據(jù)包流量;
第一判斷模塊��,用于用預先設定的特征規(guī)則庫中的特征���,遍歷捕獲到的數(shù)據(jù)包流量�,判斷是否存在匹配的特征����,如果匹配,則將所述數(shù)據(jù)包流量交給后續(xù)惡意代碼探頭處理�����,否則將所述數(shù)據(jù)包流量發(fā)送到第二判斷模塊繼續(xù)判斷���;
第二判斷模塊����,用于排除捕獲的數(shù)據(jù)包流量中的已知URL�����,并判斷所述數(shù)據(jù)包流量是否為惡意流量,如果所述數(shù)據(jù)包流量是惡意流量�,則進行阻斷并報警提示;否則放行所述數(shù)據(jù)包流量�。
[0014]所述的系統(tǒng)中,所述第一判斷模塊在用預先設定的特征規(guī)則庫中的特征��,遍歷捕獲到的數(shù)據(jù)包流量之前����,還包括建立特征規(guī)則庫,所述規(guī)則特征庫中的特征為已知惡意程序的特征集合�。
[0015]所述的系統(tǒng)中,所述排除捕獲的數(shù)據(jù)包流量中的已知URL具體為:建立URL黑名單及白名單�,判斷捕獲的數(shù)據(jù)包流量中的URL是否與URL黑名單及白名單匹配,如果是�,則將所述數(shù)據(jù)包流量交給后續(xù)惡意代碼探頭處理。
[0016]所述的系統(tǒng)中��,所述第二判斷模塊中判斷所述數(shù)據(jù)包流量是否為惡意流量具體為:
捕獲數(shù)據(jù)包流量中的所有原始數(shù)據(jù)包�����;
提取數(shù)據(jù)包信息��,所述數(shù)據(jù)包信息包括時間�、數(shù)據(jù)包大小、IP地址���、端口 ��;
根據(jù)IP地址及端口信息��,確定數(shù)據(jù)包相關進程����;
在預設時間間隔內(nèi)�����,統(tǒng)計每個進程的數(shù)據(jù)包流量�����,并繪制預設時間間隔內(nèi)的進程流量圖���,根據(jù)預設條件判斷所述進程產(chǎn)生的數(shù)據(jù)包流量是否是惡意流量����。
[0017]所述的系統(tǒng)中����,根據(jù)預設條件判斷所述進程產(chǎn)生的數(shù)據(jù)包流量是否是惡意流量為:
比較預設時間間隔內(nèi)進程產(chǎn)生的上行數(shù)據(jù)包流量及下行數(shù)據(jù)包流量��,如果上行數(shù)據(jù)包流量大于下行數(shù)據(jù)包流量��,則所述進程產(chǎn)生的數(shù)據(jù)包流量為惡意流量���,否則,所述進程產(chǎn)生的數(shù)據(jù)包流量為非惡意流量�。
[0018]本發(fā)明的方法和系統(tǒng),能夠通過對捕獲的數(shù)據(jù)包流量進行多次判斷��,通過對數(shù)據(jù)包中端口和IP的關系�,結(jié)合木馬的運行原理,比較正常程序與遠控類木馬程序運行時產(chǎn)生的上行流量和下行流量�,從而檢測數(shù)據(jù)包流量是否為惡意程序所致,通過多級篩選判斷�,進行放行、阻斷或報警等處理�。本發(fā)明方法與傳統(tǒng)的流量檢測相比,具有一定的精確性����,降低誤報和漏報發(fā)生的概率,整個發(fā)明都可以通過自動化分析����,有效防范遠控類木馬的運行。
[0019]本發(fā)明提供了一種防范遠控類木馬的方法及系統(tǒng)����,所述方法包括,捕獲網(wǎng)絡中的數(shù)據(jù)包流量�����;用預先設定的特征規(guī)則庫中的特征��,遍歷捕獲到的數(shù)據(jù)包流量���,判斷是否存在匹配的特征�;排除捕獲的數(shù)據(jù)包流量中的已知URL�,并判斷所述數(shù)據(jù)包流量是否為惡意流量,如果所述數(shù)據(jù)包流量是惡意流量�����,則進行阻斷并報警提示�����;否則放行所述數(shù)據(jù)包流量。通過本發(fā)明的方法�����,能夠?qū)Σ东@的數(shù)據(jù)包流量進行多次判斷�,提高了判斷的準確性,并根據(jù)木馬運行原理��,有效阻止遠控類木馬的運行����。
[0020]
【專利附圖】
【附圖說明】
[0021]為了更清楚地說明本發(fā)明或現(xiàn)有技術中的技術方案,下面將對實施例或現(xiàn)有技術描述中所需要使用的附圖作簡單地介紹�����,顯而易見地�,下面描述中的附圖僅僅是本發(fā)明中記載的一些實施例,對于本領域普通技術人員來講���,在不付出創(chuàng)造性勞動的前提下����,還可以根據(jù)這些附圖獲得其他的附圖。
[0022]圖1為一種防范遠控類木馬病毒的方法流程圖����;
圖2為一種防范遠控類木馬病毒的系統(tǒng)結(jié)構示意圖。
【具體實施方式】
[0023]為了使本【技術領域】的人員更好地理解本發(fā)明實施例中的技術方案�����,并使本發(fā)明的上述目的��、特征和優(yōu)點能夠更加明顯易懂��,下面結(jié)合附圖對本發(fā)明中技術方案作進一步詳細的說明��。
[0024]本發(fā)明提供了一種防范遠控類木馬病毒的方法及系統(tǒng)�,能夠有效防范遠控類木馬的運行�,阻斷惡意流量的進出,保護用戶計算機不被傷害��。
[0025]一種防范遠控類木馬病毒的方法���,如圖1所示���,包括:
SlOl:捕獲網(wǎng)絡中的數(shù)據(jù)包流量;對于捕獲的數(shù)據(jù)包流量,可以將其存儲到專門的服務器設備中進行匯總�����,便于后續(xù)的判斷�,可以選擇多臺服務器協(xié)同,以緩解存儲的壓力���。
[0026]S102:用預先設定的特征規(guī)則庫中的特征�����,遍歷捕獲到的數(shù)據(jù)包流量���,判斷是否存在匹配的特征,如果匹配�,則執(zhí)行S103,否則執(zhí)行S104�����。
[0027]遍歷捕獲到的數(shù)據(jù)包流量可以通過腳本自動化遍歷����。
[0028]S103:將所述數(shù)據(jù)包流量交給后續(xù)惡意代碼探頭處理。
[0029]所述的惡意代碼探頭為其他已知的惡意代碼檢測方法設備或系統(tǒng),由于其具有與本發(fā)明相同的特征規(guī)則庫���,因此對于已知的惡意代碼具有檢測及處理能力�����,因此交由其進行處理���。
[0030]S104:排除捕獲的數(shù)據(jù)包流量中的已知URL。
[0031]對URL進行檢測排除�,是一種較為快捷的檢測方式��,遠控類木馬在連接請求的時候有可能會訪問某個URL鏈接���,下載所需組件��,此時通過URL的判斷���,可以迅速識別惡意或非惡意的流量。以webshell遠控為例來說明����,當我們訪問該頁面時,瀏覽器向http服務器發(fā)出一個請求,服務器端負責在數(shù)據(jù)庫中獲取請求頁面�,通過網(wǎng)絡傳回給客戶主機,如果在通信過程中截獲該URL�,則不僅可以有效阻止木馬的傳播,同時可以提高檢測防范效率���。
[0032]S105:判斷所述數(shù)據(jù)包流量是否為惡意流量�����,如果所述數(shù)據(jù)包流量是惡意流量�����,則進行阻斷并報警提示���;否則放行所述數(shù)據(jù)包流量。
[0033]所述的方法中���,所述在用預先設定的特征規(guī)則庫中的特征��,遍歷捕獲到的數(shù)據(jù)包流量之前�����,包括建立特征規(guī)則庫���,所述規(guī)則特征庫中的特征為已知惡意程序的特征集合��,所述的特征規(guī)則庫可隨時進行更新�����。
[0034]所述的方法中�,所述排除捕獲的數(shù)據(jù)包流量中的已知URL具體為:建立URL黑名單及白名單�,判斷捕獲的數(shù)據(jù)包流量中的URL是否與URL黑名單及白名單匹配,如果是�,則將所述數(shù)據(jù)包流量交給后續(xù)惡意代碼探頭處理。由于后續(xù)惡意代碼探頭具有相同的黑名單及白名單����,因此其具有對相同URL的處理能力����,因此在這里不做處理,而是進一步對未確定的數(shù)據(jù)包流量進行判斷��。
[0035]由于遠控類木馬一般會采取端口復用的方式來實現(xiàn)其通信端口的隱藏���,將自身通信連接的端口隱藏在合法的通信端口中���,因此所述的方法中�����,判斷所述數(shù)據(jù)包流量是否為惡意流量具體為:
捕獲數(shù)據(jù)包流量中的所有原始數(shù)據(jù)包��;
提取數(shù)據(jù)包信息�,所述數(shù)據(jù)包信息包括時間�、數(shù)據(jù)包大小、IP地址�����、端口 ����;
根據(jù)IP地址及端口信息,確定數(shù)據(jù)包相關進程��;
在預設時間間隔內(nèi)��,統(tǒng)計每個進程的數(shù)據(jù)包流量�,并繪制預設時間間隔內(nèi)的進程流量圖���,根據(jù)預設條件判斷所述進程產(chǎn)生的數(shù)據(jù)包流量是否是惡意流量。
[0036]所述的方法中����,根據(jù)預設條件判斷所述進程產(chǎn)生的數(shù)據(jù)包流量是否是惡意流量為:
比較預設時間間隔內(nèi)進程產(chǎn)生的上行數(shù)據(jù)包流量及下行數(shù)據(jù)包流量,如果上行數(shù)據(jù)包流量大于下行數(shù)據(jù)包流量����,則所述進程產(chǎn)生的數(shù)據(jù)包流量為惡意流量,否則�����,所述進程產(chǎn)生的數(shù)據(jù)包流量為非惡意流量����。
[0037]由于遠控類木馬程序大多上行流量遠遠大于下行流量,而正常程序的下行流量會超過上行流量����,因此采用上述方法進行判斷���。雖然有時木馬程序也會出現(xiàn)相反的特征����,即當控制端希望回傳給被控端文件或程序時,但這一情況很少出現(xiàn)����,由于避免產(chǎn)生異常流量,一般遠控木馬傳遞的文件大都較小�,所以總體上依然上行流量大于下行流量。
[0038]本發(fā)明方法中所述的后續(xù)惡意代碼探頭為已知的任何惡意代碼檢測方法設備或系統(tǒng)���,其具有與本發(fā)明方法中特征規(guī)則庫中相同的特征及URL黑名單及白名單�����,因此可以將已知的惡意代碼或木馬病毒交由其進行處理�����,而進一步對未識別的數(shù)據(jù)包流量進行識別�����。
[0039]一種防范遠控類木馬病毒的系統(tǒng)��,可以部署在任何流量出入的端口�����,如圖2所示����,所述系統(tǒng)包括:
數(shù)據(jù)捕獲模塊201,用于捕獲網(wǎng)絡中的數(shù)據(jù)包流量���;
第一判斷模塊202���,用于用預先設定的特征規(guī)則庫中的特征,遍歷捕獲到的數(shù)據(jù)包流量����,判斷是否存在匹配的特征,如果匹配��,則將所述數(shù)據(jù)包流量交給后續(xù)惡意代碼探頭處理��,否則將所述數(shù)據(jù)包流量發(fā)送到第二判斷模塊繼續(xù)判斷�����;
第二判斷模塊203��,用于排除捕獲的數(shù)據(jù)包流量中的已知URL����,并判斷所述數(shù)據(jù)包流量是否為惡意流量,如果所述數(shù)據(jù)包流量是惡意流量����,則進行阻斷并報警提示;否則放行所述數(shù)據(jù)包流量�。
[0040]所述的系統(tǒng)中,所述第一判斷模塊在用預先設定的特征規(guī)則庫中的特征��,遍歷捕獲到的數(shù)據(jù)包流量之前�����,還包括建立特征規(guī)則庫�,所述規(guī)則特征庫中的特征為已知惡意程序的特征集合。
[0041]所述的系統(tǒng)中���,所述排除捕獲的數(shù)據(jù)包流量中的已知URL具體為:建立URL黑名單及白名單��,判斷捕獲的數(shù)據(jù)包流量中的URL是否與URL黑名單及白名單匹配���,如果是���,則將所述數(shù)據(jù)包流量交給后續(xù)惡意代碼探頭處理。
[0042]所述的系統(tǒng)中���,所述第二判斷模塊中判斷所述數(shù)據(jù)包流量是否為惡意流量具體為:
捕獲數(shù)據(jù)包流量中的所有原始數(shù)據(jù)包��;
提取數(shù)據(jù)包信息���,所述數(shù)據(jù)包信息包括時間、數(shù)據(jù)包大小����、IP地址、端口 �;
根據(jù)IP地址及端口信息,確定數(shù)據(jù)包相關進程�;
在預設時間間隔內(nèi),統(tǒng)計每個進程的數(shù)據(jù)包流量�����,并繪制預設時間間隔內(nèi)的進程流量圖�����,根據(jù)預設條件判斷所述進程產(chǎn)生的數(shù)據(jù)包流量是否是惡意流量。
[0043]所述的系統(tǒng)中�,根據(jù)預設條件判斷所述進程產(chǎn)生的數(shù)據(jù)包流量是否是惡意流量為:
比較預設時間間隔內(nèi)進程產(chǎn)生的上行數(shù)據(jù)包流量及下行數(shù)據(jù)包流量��,如果上行數(shù)據(jù)包流量大于下行數(shù)據(jù)包流量����,則所述進程產(chǎn)生的數(shù)據(jù)包流量為惡意流量,否則�����,所述進程產(chǎn)生的數(shù)據(jù)包流量為非惡意流量����。
[0044]本發(fā)明的方法和系統(tǒng),能夠通過對捕獲的數(shù)據(jù)包流量進行多次判斷�����,通過對數(shù)據(jù)包中端口和IP的關系��,結(jié)合木馬的運行原理�,比較正常程序與遠控類木馬程序運行時產(chǎn)生的上行流量和下行流量,從而檢測數(shù)據(jù)包流量是否為惡意程序所致,通過多級篩選判斷��,進行放行����、阻斷或報警等處理。本發(fā)明方法與傳統(tǒng)的流量檢測相比�,具有一定的精確性,降低誤報和漏報發(fā)生的概率�,整個發(fā)明都可以通過自動化分析,有效防范遠控類木馬的運行�����。
[0045]本發(fā)明提供了一種防范遠控類木馬的方法及系統(tǒng)�,所述方法包括,捕獲網(wǎng)絡中的數(shù)據(jù)包流量���;用預先設定的特征規(guī)則庫中的特征����,遍歷捕獲到的數(shù)據(jù)包流量�����,判斷是否存在匹配的特征;排除捕獲的數(shù)據(jù)包流量中的已知URL�����,并判斷所述數(shù)據(jù)包流量是否為惡意流量�,如果所述數(shù)據(jù)包流量是惡意流量,則進行阻斷并報警提示��;否則放行所述數(shù)據(jù)包流量���。通過本發(fā)明的方法,能夠?qū)Σ东@的數(shù)據(jù)包流量進行多次判斷��,提高了判斷的準確性����,并根據(jù)木馬運行原理,有效阻止遠控類木馬的運行���。
[0046]雖然通過實施例描繪了本發(fā)明��,本領域普通技術人員知道���,本發(fā)明有許多變形和變化而不脫離本發(fā)明的精神���,希望所附的權利要求包括這些變形和變化而不脫離本發(fā)明的精神。
【權利要求】
1.一種防范遠控類木馬病毒的方法���,其特征在于����,包括: 捕獲網(wǎng)絡中的數(shù)據(jù)包流量���; 用預先設定的特征規(guī)則庫中的特征��,遍歷捕獲到的數(shù)據(jù)包流量�����,判斷是否存在匹配的特征����,如果匹配��,則將所述數(shù)據(jù)包流量交給后續(xù)惡意代碼探頭處理�,否則繼續(xù)判斷所述數(shù)據(jù)包流量; 排除捕獲的數(shù)據(jù)包流量中的已知URL���,并判斷所述數(shù)據(jù)包流量是否為惡意流量���,如果所述數(shù)據(jù)包流量是惡意流量�,則進行 阻斷并報警提示��;否則放行所述數(shù)據(jù)包流量���。
2.如權利要求1所述的方法����,其特征在于�,所述在用預先設定的特征規(guī)則庫中的特征����,遍歷捕獲到的數(shù)據(jù)包流量之前,包括建立特征規(guī)則庫��,所述規(guī)則特征庫中的特征為已知惡意程序的特征集合����。
3.如權利要求1所述的方法,其特征在于���,所述排除捕獲的數(shù)據(jù)包流量中的已知URL具體為:建立URL黑名單及白名單�����,判斷捕獲的數(shù)據(jù)包流量中的URL是否與URL黑名單及白名單匹配��,如果是�����,則將所述數(shù)據(jù)包流量交給后續(xù)惡意代碼探頭處理�。
4.如權利要求1所述的方法,其特征在于�����,所述判斷所述數(shù)據(jù)包流量是否為惡意流量具體為: 捕獲數(shù)據(jù)包流量中的所有原始數(shù)據(jù)包��; 提取數(shù)據(jù)包信息����,所述數(shù)據(jù)包信息包括時間、數(shù)據(jù)包大小��、IP地址�、端口 ����; 根據(jù)IP地址及端口信息�,確定數(shù)據(jù)包相關進程; 在預設時間間隔內(nèi)�,統(tǒng)計每個進程的數(shù)據(jù)包流量,并繪制預設時間間隔內(nèi)的進程流量圖��,根據(jù)預設條件判斷所述進程產(chǎn)生的數(shù)據(jù)包流量是否是惡意流量���。
5.如權利要求4所述的方法�,其特征在于��,根據(jù)預設條件判斷所述進程產(chǎn)生的數(shù)據(jù)包流量是否是惡意流量為: 比較預設時間間隔內(nèi)進程產(chǎn)生的上行數(shù)據(jù)包流量及下行數(shù)據(jù)包流量�,如果上行數(shù)據(jù)包流量大于下行數(shù)據(jù)包流量�,則所述進程產(chǎn)生的數(shù)據(jù)包流量為惡意流量,否則�����,所述進程產(chǎn)生的數(shù)據(jù)包流量為非惡意流量�。
6.一種防范遠控類木馬病毒的系統(tǒng),其特征在于����,包括: 數(shù)據(jù)捕獲模塊�����,用于捕獲網(wǎng)絡中的數(shù)據(jù)包流量����; 第一判斷模塊����,用于用預先設定的特征規(guī)則庫中的特征,遍歷捕獲到的數(shù)據(jù)包流量�����,判斷是否存在匹配的特征��,如果匹配�,則將所述數(shù)據(jù)包流量交給后續(xù)惡意代碼探頭處理,否則將所述數(shù)據(jù)包流量發(fā)送到第二判斷模塊繼續(xù)判斷���; 第二判斷模塊��,用于排除捕獲的數(shù)據(jù)包流量中的已知URL�����,并判斷所述數(shù)據(jù)包流量是否為惡意流量�����,如果所述數(shù)據(jù)包流量是惡意流量��,則進行阻斷并報警提示���;否則放行所述數(shù)據(jù)包流量�����。
7.如權利要求6所述的系統(tǒng)�,其特征在于���,所述第一判斷模塊在用預先設定的特征規(guī)則庫中的特征����,遍歷捕獲到的數(shù)據(jù)包流量之前�����,還包括建立特征規(guī)則庫��,所述規(guī)則特征庫中的特征為已知惡意程序的特征集合���。
8.如權利要求1所述的方法�����,其特征在于��,所述排除捕獲的數(shù)據(jù)包流量中的已知URL具體為:建立URL黑名單及白名單��,判斷捕獲的數(shù)據(jù)包流量中的URL是否與URL黑名單及白名單匹配�����,如果是�,則將所述數(shù)據(jù)包流量交給后續(xù)惡意代碼探頭處理�。
9.如權利要求6所述的系統(tǒng),其特征在于�,所述第二判斷模塊中判斷所述數(shù)據(jù)包流量是否為惡意流量具體為: 捕獲數(shù)據(jù)包流量中的所有原始數(shù)據(jù)包; 提取數(shù)據(jù)包信息�,所述數(shù)據(jù)包信息包括時間�����、數(shù)據(jù)包大小�����、IP地址��、端口 �; 根據(jù)IP地址及端口信息���,確定數(shù)據(jù)包相關進程����; 在預設時間間隔內(nèi)�����,統(tǒng)計每個進程的數(shù)據(jù)包流量��,并繪制預設時間間隔內(nèi)的進程流量圖����,根據(jù)預設條件判斷所述進程產(chǎn)生的數(shù)據(jù)包流量是否是惡意流量。
10.如權利要求9所述的系統(tǒng)�,其特征在于,根據(jù)預設條件判斷所述進程產(chǎn)生的數(shù)據(jù)包流量是否是惡意流量為: 比較預設時間間隔內(nèi)進程產(chǎn)生的上行數(shù)據(jù)包流量及下行數(shù)據(jù)包流量��,如果上行數(shù)據(jù)包流量大于下行數(shù)據(jù)包流量 ���,則所述進程產(chǎn)生的數(shù)據(jù)包流量為惡意流量���,否則,所述進程產(chǎn)生的數(shù)據(jù)包流量為非惡意流量��。
【文檔編號】H04L29/06GK103905415SQ201310507662
【公開日】2014年7月2日 申請日期:2013年10月25日 優(yōu)先權日:2013年10月25日
【發(fā)明者】奚振弟, 李勇, 李柏松 申請人:哈爾濱安天科技股份有限公司