基于網(wǎng)絡(luò)通信行為特征的木馬識(shí)別方法

基本信息

申請(qǐng)?zhí)?/td> CN201310419949.0 申請(qǐng)日 -
公開(公告)號(hào) CN103475663B 公開(公告)日 2016-08-17
申請(qǐng)公布號(hào) CN103475663B 申請(qǐng)公布日 2016-08-17
分類號(hào) H04L29/06(2006.01)I 分類 電通信技術(shù);
發(fā)明人 耿振民 申請(qǐng)(專利權(quán))人 江蘇華御信息技術(shù)有限公司
代理機(jī)構(gòu) 上海光華專利事務(wù)所 代理人 無錫華御信息技術(shù)有限公司
地址 214081 江蘇省無錫市濱湖區(qū)錦溪路100號(hào)恒華科技園20號(hào)樓4樓
法律狀態(tài) -

摘要

摘要 本發(fā)明提供一種基于網(wǎng)絡(luò)通信行為特征的木馬識(shí)別方法,包括建立木馬數(shù)據(jù)流量的馬爾科夫模型;對(duì)網(wǎng)絡(luò)上的數(shù)據(jù)流量進(jìn)行監(jiān)測(cè);對(duì)所監(jiān)測(cè)到的網(wǎng)絡(luò)通信行為進(jìn)行篩選;若所監(jiān)測(cè)到的網(wǎng)絡(luò)通信行為并非木馬通信會(huì)話,則證明當(dāng)前數(shù)據(jù)流量為無關(guān)流量;否則,得到所述網(wǎng)絡(luò)通信行為的時(shí)序序列;將實(shí)際網(wǎng)絡(luò)數(shù)據(jù)流量還原成若干的網(wǎng)絡(luò)會(huì)話,再將網(wǎng)絡(luò)會(huì)話與馬爾科夫模型進(jìn)行匹配;若二者不匹配,則證明當(dāng)前網(wǎng)絡(luò)會(huì)話并非木馬通信數(shù)據(jù);否則證明當(dāng)前網(wǎng)絡(luò)會(huì)話為木馬通信數(shù)據(jù)。本發(fā)明使用木馬通信行為特征及其時(shí)序性來實(shí)現(xiàn)對(duì)木馬通信行為的監(jiān)測(cè),有效避免木馬變形加殼等規(guī)避技術(shù)對(duì)木馬檢測(cè)結(jié)果的影響,提高了網(wǎng)絡(luò)木馬檢測(cè)的效率和準(zhǔn)確率。