太阳城集团

  • / 7
  • 下载费用:30 金币  

一种基于网络数据包检测恶意代码的方法和系统.pdf

摘要
申请专利号:

CN201110452032.1

申请日:

2011.12.30

公开号:

CN102769607B

公开日:

2015.01.07

当前法律状态:

授权

有效性:

有权

法律详情: 专利权人的姓名或者名称、地址的变更IPC(主分类):H04L 29/06变更事项:专利权人变更前:北京安天电子设备有限公司变更后:北京安天网络安全技术有限公司变更事项:地址变更前:100080 北京市海淀区中关村大街1号海龙大厦14层1415室变更后:100080 北京市海淀区闵庄路3号清华科技园玉泉慧谷一期1号楼|||授权|||著录事项变更IPC(主分类):H04L 29/06变更事项:申请人变更前:北京安天电子设备有限公司变更后:北京安天电子设备有限公司变更事项:地址变更前:100084 北京市海淀区农大南路1号硅谷亮城2B-521变更后:100080 北京市海淀区中关村大街1号海龙大厦14层1415室|||实质审查的生效IPC(主分类):H04L 29/06申请日:20111230|||公开
IPC分类号: H04L29/06; H04L12/26 主分类号: H04L29/06
申请人: 北京安天电子设备有限公司
发明人: 肖新光; 李柏松; 孟雅静; 崔成
地址: 100080 北京市海淀区中关村大街1号海龙大厦14层1415室
优先权:
专利代理机构: 代理人:
PDF完整版下载: PDF下载
法律状态
申请(专利)号:

CN201110452032.1

授权太阳城集团号:

太阳城集团|||102769607B|||||||||

法律状态太阳城集团日:

2017.05.10|||2015.01.07|||2013.08.14|||2012.12.26|||2012.11.07

法律状态类型:

专利权人的姓名或者名称、地址的变更|||授权|||著录事项变更|||实质审查的生效|||公开

摘要

太阳城集团本发明公开了一种基于网络数据包检测恶意代码的方法,包括:在实际要监控的网络环境中,捕获网络连接中的数据包;利用已知的恶意代码的计算规则,对所捕获的当前数据包中部分或者全部的数据或者数据格式进行计算,生成动态检测规则;继续捕获网络连接中的数据包,将与所述当前数据包时序相邻的数据包作为待检测数据包,用所述动态检测规则和与待检测数据包中部分或者全部的数据或者数据格式进行匹配,如果匹配成功则判断存在恶意代码。本发明还公开了一种基于网络数据包检测恶意代码的系统。本发明技术方案在原有的检测规则匹配方法基础上,增加动态生成木马或后门的检测规则,使得检测木马或后门的网络行为的识别率提高。

权利要求书

1: 一种基于网络数据包检测恶意代码的方法, 其特征在于, 包括 : 步骤 a、 在实际要监控的网络环境中, 捕获网络连接中的数据包 ; 步骤 b、 利用已知的恶意代码的计算规则, 对所捕获的当前数据包中部分或者全部的数 据或者数据格式进行计算, 生成动态检测规则 ; 步骤 c、 继续捕获网络连接中的数据包, 将与所述当前数据包时序相邻的数据包作为待 检测数据包, 用所述动态检测规则和与待检测数据包中部分或者全部的数据或者数据格式 进行匹配, 如果匹配成功则判断存在恶意代码, 否则返回步骤 b 继续监控。
2: 如权利要求 1 所述的基于网络数据包检测恶意代码的方法, 其特征在于, 步骤 b 还包 括: 使用过滤条件对当前数据包进行过滤, 利用已知的恶意代码的计算规则对符合过滤条 件的所述当前数据包中部分或者全部的数据或者数据格式进行计算, 生成动态检测规则。
3: 如权利要求 2 所述的基于网络数据包检测恶意代码的方法, 其特征在于, 所述过滤 条件包括 : IP 地址、 端口、 协议类型、 数据包的大小。
4: 如权利要求 2 所述的基于网络数据包检测恶意代码的方法, 其特征在于, 所述过滤 条件还包括 : 预先提取的恶意代码的通信数据包中相同的数据或者数据格式。
5: 如权利要求 1 所述的基于网络数据包检测恶意代码的方法, 其特征在于, 步骤 c 还包 括: 继续捕获网络连接中的数据包, 将与所述当前数据包通讯方向相反、 时序相邻的数据包 作为待检测数据包, 用所述动态检测规则和与待检测数据包中部分或者全部的数据或者数 据格式进行匹配, 如果匹配成功则判断存在恶意代码, 否则返回步骤 b 继续监控。
6: 如权利要求 1 或 5 所述的基于网络数据包检测恶意代码的方法, 其特征在于, 记录所 述当前数据包的获取太阳城集团并设置太阳城集团间隔, 继续捕获网络连接中的数据包时对于超过所述 太阳城集团间隔所捕获到的数据包不作为待检测数据包。
7: 一种基于网络数据包检测恶意代码的系统, 其特征在于, 包括 : 捕获模块, 用于在实际要监控的网络环境中, 捕获网络连接中的数据包 ; 动态规则模块, 用于利用已知的恶意代码的计算规则, 对所捕获的当前数据包中部分 或者全部的数据或者数据格式进行计算, 生成动态检测规则 ; 匹配模块, 用于将捕获到的与所述当前数据包时序相邻的数据包或者与所述当前数 据包通讯方向相反、 时序相邻的数据包作为待检测数据包, 用所述动态检测规则和与待检 测数据包中部分或者全部的数据或者数据格式进行匹配, 如果匹配成功则判断存在恶意代 码, 否则继续监控。
8: 如权利要求 7 所述的基于网络数据包检测恶意代码的系统, 其特征在于, 还包括过 滤模块, 用于设置过滤条件, 所述过滤条件包括 : IP 地址、 端口、 协议类型、 数据包的大小以 及预先提取的恶意代码的通信数据包中相同的数据或者数据格式。
9: 如权利要求 7 所述的基于网络数据包检测恶意代码的系统, 其特征在于, 匹配模块 具体还用于记录所述当前数据包的获取太阳城集团并设置太阳城集团间隔, 对于超过所述太阳城集团间隔所捕 获到的数据包不作为待检测数据包。

说明书


一种基于网络数据包检测恶意代码的方法和系统

    技术领域 本发明涉及计算机网络安全技术领域, 尤其涉及一种基于网络数据包检测恶意代 码的方法和系统。
     背景技术 随着近年来网络技术的飞速发展 , 与 Internet 有关的安全事件愈来愈多 , 安全 问题日益突出, 根据相关报告每年因木马病毒造成的损失就达到数十亿。并且每年有将近 2000 万新型木马生成, 而木马和后门程序也变得越来越多样化, 使得被感染的计算机成上 升趋势。并且每年的损失也成上升趋势。
     目前网络上监测木马和后门的方法有 : 代理检测方法 : 系统利用部署的代理汇总网络活动行为, 然后通过行为分析引擎识别 是否属于网络攻击, 这种检测方法属于动态监控法, 其检出率比较低和误报率高, 所以目前 不适合检测。
     特征匹配 : 通过对木马或后门初期建立连接时的网络传输数据包或样本文件进行 分析, 提取它们的网络行为特征, 然后用这些特征行为来匹配网络数据包。如果网络数据 包的内容可以匹配上特征码, 就判断为病毒行为, 否则认为正常数据包, 相对于代理检测方 法, 此方法准确率比较高。
     然而目前木马和后门病毒的编写者为了能让木马或后门活动有更好的隐蔽性, 在 病毒建立网络连接过程中规避使用特征匹配的网络检测。 在病毒建立网络连接时通过特定 的计算规则对前一个包的部分数据或全部数据进行运算并用运算出的结果来匹配后一个 包, 如果符合就建立病毒连接。 由于此类木马和后门没有固定的病毒行为, 也就不能用固定 的检测规则进行匹配, 所以传统的检测规则匹配就失去作用。
     发明内容 本发明是在原有的检测规则匹配方法基础上, 增加动态生成木马或后门的检测规 则, 使得检测木马或后门的网络行为的识别率提高。
     本发明是基于动态生成所需的检测规则。 动态生成检测规则是指对同一个数据流 中太阳城集团序列相邻的两个数据包, 通过特定的计算规则对太阳城集团序列在前的第一个数据包的全 部或者部分数据进行运算, 运算出的结果作为动态检测规则, 然后就用此检测规则来匹配 太阳城集团序列在后的第二个数据包, 如果匹配成功就判断有恶意代码行为, 没有匹配上就是认 为是正常数据包。
     为了解决上述技术问题, 本发明提出了基于网络数据包检测恶意代码的方法, 包 括: 步骤 a、 在实际要监控的网络环境中, 捕获网络连接中的数据包 ; 步骤 b、 利用已知的恶意代码的计算规则, 对所捕获的当前数据包中部分或者全部的数 据或者数据格式进行计算, 生成动态检测规则 ;
     步骤 c、 继续捕获网络连接中的数据包, 将与所述当前数据包时序相邻的数据包作为待 检测数据包, 用所述动态检测规则和与待检测数据包中部分或者全部的数据或者数据格式 进行匹配, 如果匹配成功则判断存在恶意代码, 否则返回步骤 b 继续监控。
     所述已知的恶意代码的计算规则是指一种特定的算法, 包括对已知的恶意代码所 产生的时序相邻的两个通讯数据包进行分析后提取的计算规则, 可以是运行恶意代码时对 所述恶意代码产生的通讯方向相反、 时序相邻的两个数据包的部分或全部的数据或数据格 式进行分析后所提取的计算规则 ; 进一步的, 步骤 b 还包括 : 使用过滤条件对当前数据包进行过滤, 利用已知的恶意代码 的计算规则对符合过滤条件的所述当前数据包中部分或者全部的数据或者数据格式进行 计算, 生成动态检测规则。
     所述过滤条件包括 : IP 地址、 端口、 协议类型、 数据包的大小。
     所述过滤条件还包括 : 预先提取的恶意代码的通信数据包中相同的数据或者数据 格式。
     进一步的, 步骤 c 还包括 : 继续捕获网络连接中的数据包, 将与所述当前数据包通 讯方向相反、 时序相邻的数据包作为待检测数据包, 用所述动态检测规则和与待检测数据 包中部分或者全部的数据或者数据格式进行匹配, 如果匹配成功则判断存在恶意代码, 否 则返回步骤 b 继续监控。
     进一步的, 记录所述当前数据包的获取太阳城集团并设置太阳城集团间隔, 继续捕获网络连接 中的数据包时对于超过所述太阳城集团间隔所捕获到的数据包不作为待检测数据包。
     根据本发明的另一方面, 还提供了一种基于网络数据包检测恶意代码的系统, 包 括: 捕获模块, 用于在实际要监控的网络环境中, 捕获网络连接中的数据包 ; 动态规则模块, 用于利用已知的恶意代码的计算规则, 对所捕获的当前数据包中部分 或者全部的数据或者数据格式进行计算, 生成动态检测规则 ; 匹配模块, 用于将捕获到的与所述当前数据包时序相邻的数据包或者与所述当前数 据包通讯方向相反、 时序相邻的数据包作为待检测数据包, 用所述动态检测规则和与待检 测数据包中部分或者全部的数据或者数据格式进行匹配, 如果匹配成功则判断存在恶意代 码, 否则继续监控。
     所述系统还包括过滤模块, 用于设置过滤条件, 所述过滤条件包括 : IP 地址、 端 口、 协议类型、 数据包的大小以及预先提取的恶意代码的通信数据包中相同的数据或者数 据格式。
     所述匹配模块具体还用于记录所述当前数据包的获取太阳城集团并设置太阳城集团间隔, 对于 超过所述太阳城集团间隔所捕获到的数据包不作为待检测数据包。
     本发明的技术效果是 : 通过本发明的技术方案可以检测动态特征的木马和后门程序, 从而使检测木马或后门 的网络行为的识别率提高。
     由于不是海量检测, 所以检测时占用资源少, 并且检测速度快。
     本技术方案用于检测网络数据包, 所以适用面很广, 既适合 PC 又适合手机方向。
     由于是动态生成检测规则, 所以生成检测规则的算法也是动态的, 适应能力强, 可以根据木马后门的变化而变化, 使得检测木马或后门的网络行为的识别率提高。 附图说明 为了更清楚地说明本发明或现有技术中的技术方案, 下面将对实施例或现有技术 描述中所需要使用的附图作简单地介绍, 显而易见地, 下面描述中的附图仅仅是本发明中 记载的一些实施例, 对于本领域普通技术人员来讲, 在不付出创造性劳动的前提下, 还可以 根据这些附图获得其他的附图。
     图 1 为本发明基于网络数据包检测恶意代码的方法流程图 ; 图 2 为本发明基于网络数据包检测恶意代码的系统示意图。
     具体实施方式
     为了使本技术领域的人员更好地理解本发明实施例中的技术方案, 并使本发明的 上述目的、 特征和优点能够更加明显易懂, 下面结合附图对本发明中技术方案作进一步详 细的说明。
     如图 1 所示, 为本发明基于网络数据包检测恶意代码的方法流程图, 包括 : S101、 在实际要监控的网络环境中, 捕获网络连接中的数据包 ; S102、 利用已知的恶意代码的计算规则, 对所捕获的当前数据包中部分或者全部的数 据或者数据格式进行计算, 生成动态检测规则 ; 在利用已知的恶意代码的计算规则, 为了提高检测效率, 对所捕获的当前数据包中部 分或者全部的数据或者数据格式进行计算之前, 可以先使用过滤条件对当前数据包进行过 滤, 只对符合过滤条件的所述当前数据包中部分或者全部的数据或者数据格式进行计算, 然后生成动态检测规则。
     所述的过滤条件可以包括 IP 地址、 端口、 协议类型、 数据包的大小。
     还可以使用预先提取的恶意代码的通信数据包中相同的数据或者数据格式, 即使 用已知恶意代码的特征先进行过滤, 得到疑似通讯数据的前提下, 后续步骤中再使用动态 检测规则进行匹配, 大大提高了检测的效率和精度。
     S103、 继续捕获网络连接中的数据包, 将与所述当前数据包时序相邻的数据包作 为待检测数据包, 用所述动态检测规则和与待检测数据包中部分或者全部的数据或者数据 格式进行匹配, 如果匹配成功则判断存在恶意代码, 否则返回步骤 S102 继续监控。
     优选的, 可以将与所述当前数据包通讯方向相反、 时序相邻的数据包作为待检测 数据包, 用所述动态检测规则和与待检测数据包中部分或者全部的数据或者数据格式进行 匹配, 如果匹配成功则判断存在恶意代码, 否则返回步骤 S102 继续监控。
     另外, 为了避免数据包过多, 生成过多模式和等待, 可以设定时限。记录所述当前 数据包的获取太阳城集团并设置太阳城集团间隔, 继续捕获网络连接中的数据包时对于超过所述太阳城集团间 隔所捕获到的数据包不作为待检测数据包。
     如图 2 所示, 为本发明基于网络数据包检测恶意代码的系统示意图, 包括 : 捕获模块 201, 用于在实际要监控的网络环境中, 捕获网络连接中的数据包 ; 动态规则模块 202, 用于利用已知的恶意代码的计算规则, 对所捕获的当前数据包中部 分或者全部的数据或者数据格式进行计算, 生成动态检测规则 ;匹配模块 203, 用于将捕获到的与所述当前数据包时序相邻的数据包或者与所述当前 数据包通讯方向相反、 时序相邻的数据包作为待检测数据包, 用所述动态检测规则和与待 检测数据包中部分或者全部的数据或者数据格式进行匹配, 如果匹配成功则判断存在恶意 代码, 否则继续监控。
     所述系统还包括过滤模块 204, 用于设置过滤条件, 所述过滤条件包括 : IP 地址、 端口、 协议类型、 数据包的大小以及预先提取的恶意代码的通信数据包中相同的数据或者 数据格式。
     所述匹配模块 203 具体还用于记录所述当前数据包的获取太阳城集团并设置太阳城集团间隔, 对于超过所述太阳城集团间隔所捕获到的数据包不作为待检测数据包。
太阳城集团     虽然通过实施例描绘了本发明, 本领域普通技术人员知道, 本发明有许多变形和 变化而不脱离本发明的精神, 希望所附的权利要求包括这些变形和变化而不脱离本发明的 精神。

关 键 词:
一种 基于 网络 数据包 检测 恶意代码 方法 系统
  专利查询网所有资源均是用户自行上传分享,仅供网友学习交流,未经上传用户书面授权,请勿作他用。
太阳城集团本文
本文标题:一种基于网络数据包检测恶意代码的方法和系统.pdf
链接地址:http://zh228.com/p-6420995.html
太阳城集团我们 - 网站声明 - 网站地图 - 资源地图 - 友情链接 - 网站客服客服 - 联系我们

copyright@ 2017-2018 zhuanlichaxun.net网站版权所有
经营许可证编号:粤ICP备17046363号-1 
 


收起
展开
葡京赌场|welcome document.write ('');