一種通過分析網(wǎng)絡(luò)行為檢測(cè)木馬程序的方法及裝置

基本信息

申請(qǐng)?zhí)?/td> CN201010182380.7 申請(qǐng)日 -
公開(公告)號(hào) CN101854275A 公開(公告)日 2010-10-06
申請(qǐng)公布號(hào) CN101854275A 申請(qǐng)公布日 2010-10-06
分類號(hào) H04L12/26(2006.01)I;H04L29/06(2006.01)I 分類 電通信技術(shù);
發(fā)明人 孫丹鳴;楊更;何濤 申請(qǐng)(專利權(quán))人 軍工思波信息科技產(chǎn)業(yè)有限公司
代理機(jī)構(gòu) 南昌新天下專利商標(biāo)代理有限公司 代理人 施秀瑾
地址 330000 江西省南昌市高新區(qū)金廬南路300號(hào)
法律狀態(tài) -

摘要

摘要 一種通過分析網(wǎng)絡(luò)行為檢測(cè)木馬程序的方法和裝置,本發(fā)明采用分析對(duì)比行為特征的方式檢測(cè)木馬,首先搜集局域網(wǎng)內(nèi)的網(wǎng)絡(luò)行為,分析其典型行為特征,通過木馬外連、信息竊取和信息外發(fā)網(wǎng)絡(luò)行為,實(shí)時(shí)檢測(cè)木馬;本裝置由采集器和分析機(jī)兩部分組成,采集器采集網(wǎng)絡(luò)數(shù)據(jù)包并發(fā)送給分析機(jī),分析機(jī)將數(shù)據(jù)重組,提取其典型行為特征并與木馬特征庫做關(guān)聯(lián)分析,最后生成安全事件報(bào)告呈現(xiàn)給前段系統(tǒng)。本發(fā)明使用行為特征分析技術(shù)檢測(cè)木馬,與現(xiàn)有的程序特征碼比對(duì)技術(shù)相比,其優(yōu)點(diǎn)在于不僅能夠檢測(cè)已知類型的木馬,而且能檢測(cè)未知類型的木馬,特別對(duì)加殼、加免殺等木馬變種和變異,具有很好的檢測(cè)效果。