一種惡意軟件通訊活動(dòng)檢測(cè)方法、系統(tǒng)及存儲(chǔ)介質(zhì)

基本信息

申請(qǐng)?zhí)?/td> CN201910769608.3 申請(qǐng)日 -
公開(kāi)(公告)號(hào) CN110535844A 公開(kāi)(公告)日 2019-12-03
申請(qǐng)公布號(hào) CN110535844A 申請(qǐng)公布日 2019-12-03
分類(lèi)號(hào) H04L29/06 分類(lèi) 電通信技術(shù);
發(fā)明人 王廣耀;韓傳富;仇新偉 申請(qǐng)(專(zhuān)利權(quán))人 北京網(wǎng)思科平科技有限公司
代理機(jī)構(gòu) 北京知呱呱知識(shí)產(chǎn)權(quán)代理有限公司 代理人 管士濤
地址 100193 北京市海淀區(qū)馬連洼竹園住宅小區(qū)綜合樓5層525
法律狀態(tài) -

摘要

摘要 本發(fā)明實(shí)施例公開(kāi)了一種惡意軟件通訊活動(dòng)檢測(cè)方法、系統(tǒng)及存儲(chǔ)介質(zhì),該方法包括:獲取目標(biāo)環(huán)境內(nèi)的每一臺(tái)主機(jī)的網(wǎng)絡(luò)通訊數(shù)據(jù);對(duì)網(wǎng)絡(luò)通訊數(shù)據(jù)進(jìn)行處理,獲取每一臺(tái)主機(jī)分別對(duì)應(yīng)的標(biāo)準(zhǔn)字段;當(dāng)確定第i臺(tái)主機(jī)對(duì)應(yīng)的第j個(gè)IP對(duì)為第一類(lèi)型IP對(duì)時(shí),根據(jù)相鄰兩次通訊發(fā)起時(shí)間間隔確定其是否為惡意軟件beacon通訊活動(dòng);或者,當(dāng)確定第i臺(tái)主機(jī)對(duì)應(yīng)的第j個(gè)IP對(duì)為第二類(lèi)型IP對(duì)時(shí),統(tǒng)計(jì)第二預(yù)設(shè)時(shí)間段內(nèi)第i臺(tái)主機(jī)對(duì)應(yīng)的第j個(gè)IP對(duì)中本地IP和遠(yuǎn)程IP之間的第一平均通訊次數(shù),以及第一實(shí)際通訊次數(shù);根據(jù)第一平均通訊次數(shù)和第一實(shí)際通訊次數(shù),確定其是否為惡意軟件beacon通訊活動(dòng);當(dāng)確定為惡意軟件beacon通訊活動(dòng)時(shí),發(fā)出告警信息。