專利名稱:網(wǎng)絡(luò)木馬的綜合檢測方法及其功能模塊架構(gòu)裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明屬于網(wǎng)絡(luò)安全技術(shù)領(lǐng)域��,特別是一種針對網(wǎng)絡(luò)木馬病毒的綜合檢測方法及為 實(shí)現(xiàn)其方法所采用的功能模塊架構(gòu)裝置��。采用本發(fā)明方法及其裝置既可對已知的木馬病毒 進(jìn)行檢測��,還可對未知木馬病毒進(jìn)行檢測���。
背景技術(shù):
木馬病毒的泛濫�,對計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)造成的危害日益嚴(yán)重���。目前�,針對木馬病毒的 檢測和防御主要采用三種方式一是針對網(wǎng)頁木馬進(jìn)行檢測�����,如申請?zhí)枮?200610152533.7、發(fā)明名稱為《基于鏈接分析的網(wǎng)頁木馬追蹤技術(shù)》及申請?zhí)枮?200610152530.3��、發(fā)明名稱為《一種基于行為特征的網(wǎng)頁木馬檢測方法》的專利文獻(xiàn)所公 的即屬于此類技術(shù)��;二是單機(jī)防范���,如申請?zhí)枮?00410052134.4、發(fā)明名稱為《防止木馬 或病毒竊取輸入信息的方法》及申請?zhí)枮?00610035569.7�����、發(fā)明名稱為《一種內(nèi)嵌木馬專 殺的網(wǎng)絡(luò)游戲系統(tǒng)及査殺毒方法》即屬于此類技術(shù)����;三是各類殺毒軟件,如卡巴斯基��、360��、 瑞星等�。上述技術(shù)均是針對特定的木馬病毒進(jìn)行單機(jī)檢測,雖然具有針對性強(qiáng)����、對特定的 木馬病毒防御及査�、殺效果亦較好等特點(diǎn)���;但卻存在性能單一�、且在每臺需要防御的計(jì)算 機(jī)上均須安裝相應(yīng)的軟件才能做到針對性的有效檢測和防御�����;此外�����,若在一臺計(jì)算機(jī)上安 裝多種針對性的防木馬病毒軟件�,又會出現(xiàn)相互干擾,影響其防病毒的效果�。因而,上述 技術(shù)存在需單機(jī)采用專用軟件進(jìn)行針對性檢測�����,性能單一�,對木馬病毒只能進(jìn)行被動防御, 綜合檢測效果差、適應(yīng)范圍窄���,各種木馬檢測軟件之間相互干擾大等缺陷�。
發(fā)明內(nèi)容
本發(fā)明的目的是針對背景技術(shù)存在的缺陷��,研究設(shè)計(jì)一種網(wǎng)絡(luò)木馬的綜合檢測方法及 其功能模塊架構(gòu)裝置���。達(dá)到在對內(nèi)網(wǎng)不產(chǎn)生任何額外負(fù)擔(dān)的情況下��,有效提高對網(wǎng)絡(luò)木馬 病毒進(jìn)行綜合檢測���、防御的性能和效果,對木馬病毒的適應(yīng)性強(qiáng)�、防御面寬�����,應(yīng)用范圍廣 及可對內(nèi)網(wǎng)進(jìn)行整體防御等目的���。
本發(fā)明的解決方案是將木馬檢測放在內(nèi)網(wǎng)的單機(jī)之外進(jìn)行��,采用已知的木馬病毒特征 參數(shù)及各類木馬病毒的流量特征參數(shù)作為檢測標(biāo)準(zhǔn)���,通過旁路偵聽內(nèi)網(wǎng)數(shù)據(jù)�,并將數(shù)據(jù)通 過檢測模塊處理�,得到木馬活動信息,最后將其送入網(wǎng)絡(luò)木馬病毒管理器作后繼處理��;而為實(shí)現(xiàn)該方法所采用的架構(gòu)裝置����,則是以常規(guī)工業(yè)控制機(jī)作為基礎(chǔ)來設(shè)置用于木馬檢測的 裝置;該裝置運(yùn)行中分別與內(nèi)網(wǎng)網(wǎng)絡(luò)的偵聽端口及外部網(wǎng)絡(luò)聯(lián)接�����,從而實(shí)現(xiàn)其發(fā)明目的�����。 因此����,本發(fā)明的方法包括
A. 檢測參數(shù)的初始化處理將需要保護(hù)的內(nèi)網(wǎng)網(wǎng)段、檢測模塊網(wǎng)絡(luò)地址�����、木馬病毒 管理器網(wǎng)絡(luò)地址以及各類網(wǎng)絡(luò)木馬病毒檢測標(biāo)準(zhǔn)(參數(shù))進(jìn)行初始化設(shè)置;
B. 錄入待檢測數(shù)據(jù)從內(nèi)網(wǎng)偵聽端口錄入數(shù)據(jù)���,然后抽取數(shù)據(jù)中記錄的內(nèi)網(wǎng)地址���、 內(nèi)網(wǎng)端口號、外網(wǎng)地址����、外網(wǎng)端口號、數(shù)據(jù)流向���、數(shù)據(jù)量大小�����、協(xié)議編號�����、關(guān)鍵字?jǐn)?shù)據(jù)、 出現(xiàn)時間���,作為待檢測的原始數(shù)據(jù)���、以備檢測����;
C. 按已知木馬病毒標(biāo)準(zhǔn)檢測首先按照已知的木馬病毒特征標(biāo)準(zhǔn)(參數(shù))對待檢測 的原始數(shù)據(jù)進(jìn)行對比分析檢測���,若與任一已知的木馬病毒標(biāo)準(zhǔn)相符��,則將原始數(shù)據(jù)以及觸 發(fā)的檢測標(biāo)準(zhǔn)和觸發(fā)時間作為木馬病毒信息�,送網(wǎng)絡(luò)木馬病毒管理器作后繼處理�����;若不符 合已知的木馬病毒標(biāo)準(zhǔn)�,則轉(zhuǎn)下一步繼續(xù)檢測;
D. 按木馬病毒流量標(biāo)準(zhǔn)檢測將經(jīng)步驟C檢測后輸入的數(shù)據(jù)�,與數(shù)據(jù)庫中的在先分 析數(shù)據(jù)逐一進(jìn)行比對檢測,如果數(shù)據(jù)庫中已經(jīng)存在與輸入數(shù)據(jù)對應(yīng)的分析數(shù)據(jù)��,則按照設(shè) 定的木馬病毒的流量特征標(biāo)準(zhǔn)逐一進(jìn)行對比分析檢測���,若與任一流量病毒檢測標(biāo)準(zhǔn)相符��, 則將輸入數(shù)據(jù)以及觸發(fā)的檢測標(biāo)準(zhǔn)和觸發(fā)時間�,作為帶木馬病毒信息,送網(wǎng)絡(luò)木馬病毒管 理器作后繼處理�����、同時轉(zhuǎn)下一步驟對分析數(shù)據(jù)作丟棄處理��,若均不相符亦轉(zhuǎn)下一步驟作數(shù) 據(jù)丟棄處理��;如果數(shù)據(jù)庫中無在先分析數(shù)據(jù)或不存在對應(yīng)分析數(shù)據(jù)�����,則將該輸入數(shù)據(jù)存入 數(shù)據(jù)庫中��,作為分析數(shù)據(jù)���;
E. 對分析數(shù)據(jù)進(jìn)行丟棄處理將當(dāng)前時間與數(shù)據(jù)庫中的分析數(shù)據(jù)錄入時間之差�����,逐 一與設(shè)定的分析數(shù)據(jù)留存時間進(jìn)行比對��,并陸續(xù)將達(dá)到留存期限的分析數(shù)據(jù)丟棄��。
以上所述設(shè)定的木馬病毒的流量特征標(biāo)準(zhǔn)包括復(fù)位(Reset��,簡稱RST)報(bào)文檢測標(biāo)準(zhǔn)��,
郵件行為檢測標(biāo)準(zhǔn)�����,通信連接行為檢測標(biāo)準(zhǔn)��,關(guān)鍵字檢測標(biāo)準(zhǔn)���,以及經(jīng)過加密處理的報(bào)文
在內(nèi)的全部或部分標(biāo)準(zhǔn)。其中所述復(fù)位(RST)報(bào)文檢測標(biāo)準(zhǔn)為內(nèi)網(wǎng)傳出數(shù)據(jù)中的RST協(xié) 議報(bào)文��,在規(guī)定時間范圍內(nèi)不允許重復(fù)傳出的次數(shù)����;而郵件行為檢測標(biāo)準(zhǔn)為從內(nèi)網(wǎng)中傳出 的收件人地址和主題均相同的郵件,在規(guī)定時間范圍內(nèi)不允許重復(fù)傳出的次數(shù)�;通信連接 行為檢測標(biāo)準(zhǔn)為,在規(guī)定時間范圍內(nèi)從同一內(nèi)網(wǎng)地址流出到同一外網(wǎng)地址的數(shù)據(jù)流量����,與 從該外網(wǎng)地址返回該內(nèi)網(wǎng)地址的數(shù)據(jù)流量的差異程度不允許達(dá)到的值(設(shè)定的值);關(guān)鍵 字檢測標(biāo)準(zhǔn)為從內(nèi)網(wǎng)流出到外網(wǎng)的數(shù)據(jù)流量中不允許出現(xiàn)的字符���;經(jīng)過加密處理的報(bào)文檢 測標(biāo)準(zhǔn)為從內(nèi)網(wǎng)流出到外網(wǎng)的數(shù)據(jù)流量中不允許出現(xiàn)加密后的字符����。
5上述網(wǎng)絡(luò)木馬病毒檢測方法所采用的功能模塊架構(gòu)裝置,包括
A. —個參數(shù)初始化處理單元模塊�����,用于存儲需要保護(hù)的內(nèi)網(wǎng)網(wǎng)段���、檢測模塊網(wǎng)絡(luò)地 址��、木馬病毒管理器網(wǎng)絡(luò)地址以及各類網(wǎng)絡(luò)木馬病毒檢測標(biāo)準(zhǔn)的初始化參數(shù)的數(shù)據(jù)�;
B. —個錄入待檢測數(shù)據(jù)單元模塊����,用于抽取從內(nèi)網(wǎng)偵聽端口錄入的待檢測數(shù)據(jù)以備
檢測;
C. 一個已知木馬病毒標(biāo)準(zhǔn)檢測單元模塊����,用于調(diào)用己知木馬病毒檢測標(biāo)準(zhǔn),對待檢
測的原始數(shù)據(jù)進(jìn)行對比分析并判斷其是否符合已知木馬病毒檢測標(biāo)準(zhǔn)�����;
D. —個木馬病毒流量標(biāo)準(zhǔn)檢測單元模塊,用于調(diào)用包括復(fù)位(RST)報(bào)文檢測標(biāo)準(zhǔn)�、
郵件行為檢測標(biāo)準(zhǔn)�����、通信連接行為檢測標(biāo)準(zhǔn)���,關(guān)鍵字檢測標(biāo)準(zhǔn)���,以及經(jīng)過加密處理的報(bào)文 在內(nèi)的全部或部分檢測標(biāo)準(zhǔn),對分析數(shù)據(jù)進(jìn)行逐一對比分析并判斷是否與任一木馬病毒流 量標(biāo)準(zhǔn)相符�����,是否作為分析數(shù)據(jù)存儲入數(shù)據(jù)庫�;
E. —個木馬病毒發(fā)送單元模塊,用于將己知木馬病毒標(biāo)準(zhǔn)檢測單元模塊和木馬病毒 流量標(biāo)準(zhǔn)檢測單元模塊送出的木馬病毒信息���,發(fā)送到木馬病毒管理器��;
F. —個對分析數(shù)據(jù)進(jìn)行丟棄處理的單元模塊���,用于對分析數(shù)據(jù)的滯留時間進(jìn)行判斷���, 并陸續(xù)將達(dá)到設(shè)定存儲期限的分析數(shù)據(jù)從數(shù)據(jù)庫中清除。
本發(fā)明方法由于通過旁路偵聽內(nèi)網(wǎng)數(shù)據(jù)�����,并采用已知的木馬病毒特征參數(shù)及各類木馬 病毒的流量特征參數(shù)作為檢測標(biāo)準(zhǔn)對其進(jìn)行綜合檢測�����,然后將檢測到的木馬活動信息送入 網(wǎng)絡(luò)木馬病毒管理器處理�����;而實(shí)現(xiàn)該方法的裝置則是以常規(guī)工業(yè)控制機(jī)作為基礎(chǔ)設(shè)置的功 能模塊架構(gòu)裝置��。采用本發(fā)明方法及其功能模塊架構(gòu)裝置具有在對內(nèi)網(wǎng)不產(chǎn)生任何額外的 負(fù)擔(dān)的情況下��,有效提高對網(wǎng)絡(luò)木馬病毒進(jìn)行綜合檢測����、防御的性能和效果,對木馬病毒 的適應(yīng)性強(qiáng)�����、防御面寬、應(yīng)用范圍廣���,可對內(nèi)網(wǎng)進(jìn)行整體防御而不需對每臺單機(jī)分別設(shè)防 等特點(diǎn)���。
圖1為本發(fā)明綜合檢測方法流程示意圖(方框圖)����; 圖2本發(fā)明具體實(shí)施方式
用功能模塊架構(gòu)裝置結(jié)構(gòu)示意圖(方框圖); 圖3本發(fā)明實(shí)施方式綜合檢測方法流程示意圖(方框圖)�。
具體實(shí)施例方式
附圖2為本實(shí)施方式檢測用裝置的功能模塊架構(gòu)(結(jié)構(gòu))框圖。本實(shí)施方式采用 Arck-114R型工業(yè)控制機(jī)作為檢測裝置�����;即在控制機(jī)內(nèi)的存儲器(可執(zhí)行存儲器和數(shù)據(jù)存儲器)中分別設(shè)置參數(shù)初始化單元模塊�,錄入待檢測數(shù)據(jù)的單元模塊,已知木馬病毒標(biāo)準(zhǔn) 檢測單元模塊�����,木馬病毒流量標(biāo)準(zhǔn)檢測單元模塊����,木馬病毒告警單元模塊�,到期數(shù)據(jù)丟棄 模塊及相應(yīng)的數(shù)椐庫����;整個檢測裝置通過人機(jī)輸入接口設(shè)置各功能模塊及對應(yīng)的參數(shù),通 過網(wǎng)絡(luò)輸入接口與內(nèi)網(wǎng)網(wǎng)絡(luò)設(shè)備的偵聽端口連接并錄入待檢測數(shù)據(jù)�����,而通過網(wǎng)絡(luò)輸出接口 與外網(wǎng)連接并向網(wǎng)絡(luò)管理器發(fā)送木馬病毒信息����。
下面以下述參數(shù)為例進(jìn)行說明
需要保護(hù)的內(nèi)網(wǎng)網(wǎng)段是(2.3.4.10-2.3.4.200);
網(wǎng)絡(luò)設(shè)備管理器地址為(5.6.10.150)
木馬流量檢測標(biāo)準(zhǔn)(參數(shù))
已知木馬病毒標(biāo)準(zhǔn)檢測參數(shù),簡記為l(已知檢測標(biāo)準(zhǔn)集)�����;
RST報(bào)文檢測標(biāo)準(zhǔn)為l分鐘內(nèi)不允許重復(fù)出現(xiàn)5次����,簡記為2.1(1, 5);
郵件行為檢測標(biāo)準(zhǔn)為在2天內(nèi)不允許重復(fù)出現(xiàn)3次從同一內(nèi)網(wǎng)地址中傳出的收件人地 址和主題均相同的郵件���,簡記為2.2(2����, 3);
通信連接行為檢測標(biāo)準(zhǔn)為在10分鐘內(nèi)不允許重復(fù)出現(xiàn)3次從同一內(nèi)網(wǎng)地址流出到同 一外網(wǎng)地址的數(shù)據(jù)流量,與從該外網(wǎng)地址流入(返回)該內(nèi)網(wǎng)地址的數(shù)據(jù)流量的差異程度 達(dá)到2倍及兩倍以上的情況����,簡記為2.3(10, 3����, 2);
關(guān)鍵字為"機(jī)密設(shè)計(jì)文件",簡記為2.4("機(jī)密設(shè)計(jì)文件")��;
經(jīng)過加密處理的報(bào)文檢測標(biāo)準(zhǔn)為從網(wǎng)流出到外網(wǎng)的數(shù)據(jù)流量中出現(xiàn)加密字符��,簡記為 2.5(加密字符)��。
分析數(shù)據(jù)存儲期限為2天�����,簡記為2.6(2)�����。為簡化敘述�,將上述木馬流量檢測標(biāo)準(zhǔn)簡 記為2(木馬流量檢測標(biāo)準(zhǔn)集) 其綜合檢測方法包括
A. 檢測參數(shù)的初始化處理將上述參數(shù)通過人機(jī)接口植入到檢測裝置中;
B. 錄入待檢測的數(shù)據(jù)當(dāng)從內(nèi)網(wǎng)網(wǎng)絡(luò)設(shè)備偵聽端口有數(shù)據(jù)錄入時��,抽取其中記錄的 內(nèi)網(wǎng)地址�、內(nèi)網(wǎng)端口號、外網(wǎng)地址���、外網(wǎng)端口號�、數(shù)據(jù)流向����、數(shù)據(jù)量大小、出現(xiàn)時間�����、協(xié) 議編號���、關(guān)鍵字?jǐn)?shù)據(jù)�、報(bào)文內(nèi)容���,作為待檢測的原始數(shù)據(jù)以備檢測����;
C.按已知木馬病毒標(biāo)準(zhǔn)檢測首先按照已知的木馬病毒特征標(biāo)準(zhǔn)l(已知檢測標(biāo)準(zhǔn)集)對待 檢測的原始數(shù)據(jù)進(jìn)行對比分析,若與其中任一已知的木馬病毒標(biāo)準(zhǔn)相符����,則將該數(shù)據(jù)以及 觸發(fā)的檢測標(biāo)準(zhǔn)和觸發(fā)時間, 一并送網(wǎng)絡(luò)木馬病毒管理器���,再轉(zhuǎn)到第5步作后繼處理����;若 不符合已知的木馬病毒標(biāo)準(zhǔn)��,則轉(zhuǎn)下一步繼續(xù)檢測�����;
D.按木馬病毒流量標(biāo)準(zhǔn)檢測將經(jīng)步驟C檢測后輸入的待檢測數(shù)據(jù)���,按照設(shè)定的木
7馬病毒的流量特征標(biāo)準(zhǔn)2(木馬流量檢測標(biāo)準(zhǔn)集)逐一進(jìn)行對比分析檢測,若與其中任一木 馬病毒的流量標(biāo)準(zhǔn)相符���,則將該數(shù)據(jù)以及觸發(fā)的檢測標(biāo)準(zhǔn)和觸發(fā)時間�, 一并送網(wǎng)絡(luò)木馬病 毒管理器作后續(xù)處理��,并轉(zhuǎn)下一步作數(shù)據(jù)丟棄處理;若均不相符��,則將該數(shù)據(jù)存入數(shù)據(jù)庫 中�����、作為分析數(shù)據(jù)�����,并轉(zhuǎn)下一步����;
E.按數(shù)據(jù)留存時間進(jìn)行數(shù)據(jù)丟棄處理將當(dāng)前時間與分析數(shù)據(jù)的錄入時間之差,逐 一與規(guī)定的留存時間進(jìn)行比對�����,并陸續(xù)將達(dá)到留存期限的分析數(shù)據(jù)丟棄�����。
在本實(shí)施例中���, 一旦出現(xiàn)已知的木馬病毒���,例如出現(xiàn)符合l(已知檢測標(biāo)準(zhǔn)集)中的任 一標(biāo)準(zhǔn)的數(shù)據(jù)���;或者出現(xiàn)木馬病毒的流量,例如出現(xiàn)符合2(木馬流量檢測標(biāo)準(zhǔn)集)中的任 一標(biāo)準(zhǔn)的數(shù)據(jù)�,木馬綜合檢測器就會通過木馬病毒信息發(fā)送模塊經(jīng)網(wǎng)絡(luò)輸出接口,向木馬 病毒管理器發(fā)送在步驟C�����,或者步驟D檢測出的木馬病毒信息�。
權(quán)利要求
1、一種網(wǎng)絡(luò)木馬的綜合檢測方法�����,包括A.檢測參數(shù)的初始化處理將需要保護(hù)的內(nèi)網(wǎng)網(wǎng)段�、檢測模塊網(wǎng)絡(luò)地址、木馬病毒管理器網(wǎng)絡(luò)地址以及各類網(wǎng)絡(luò)木馬病毒檢測標(biāo)準(zhǔn)(參數(shù))進(jìn)行初始化設(shè)置���;B.錄入待檢測數(shù)據(jù)從內(nèi)網(wǎng)偵聽端口錄入數(shù)據(jù),然后抽取數(shù)據(jù)中記錄的內(nèi)網(wǎng)地址���、內(nèi)網(wǎng)端口號���、外網(wǎng)地址���、外網(wǎng)端口號、數(shù)據(jù)流向����、數(shù)據(jù)量大小、協(xié)議編號�、關(guān)鍵字?jǐn)?shù)據(jù)、出現(xiàn)時間�����,作為待檢測的原始數(shù)據(jù)����、以備檢測;C.按已知木馬病毒標(biāo)準(zhǔn)檢測首先按照已知的木馬病毒特征標(biāo)準(zhǔn)(參數(shù))對待檢測的原始數(shù)據(jù)進(jìn)行對比分析檢測�,若與任一已知的木馬病毒標(biāo)準(zhǔn)相符,則將原始數(shù)據(jù)以及觸發(fā)的檢測標(biāo)準(zhǔn)和觸發(fā)時間作為木馬病毒信息��,送網(wǎng)絡(luò)木馬病毒管理器作后繼處理���;若不符合已知的木馬病毒標(biāo)準(zhǔn)�����,則轉(zhuǎn)下一步繼續(xù)檢測�;D.按木馬病毒流量標(biāo)準(zhǔn)檢測將經(jīng)步驟C檢測后輸入的數(shù)據(jù),與數(shù)據(jù)庫中的在先分析數(shù)據(jù)逐一進(jìn)行比對檢測���,如果數(shù)據(jù)庫中已經(jīng)存在與輸入數(shù)據(jù)對應(yīng)的分析數(shù)據(jù)�����,則按照設(shè)定的木馬病毒的流量特征標(biāo)準(zhǔn)逐一進(jìn)行對比分析檢測����,若與任一流量病毒檢測標(biāo)準(zhǔn)相符�����,則將輸入數(shù)據(jù)以及觸發(fā)的檢測標(biāo)準(zhǔn)和觸發(fā)時間�����,作為帶木馬病毒信息�,送網(wǎng)絡(luò)木馬病毒管理器作后繼處理、同時轉(zhuǎn)下一步驟對分析數(shù)據(jù)作丟棄處理���,若均不相符亦轉(zhuǎn)下一步驟作數(shù)據(jù)丟棄處理�����;如果數(shù)據(jù)庫中無在先分析數(shù)據(jù)或不存在對應(yīng)分析數(shù)據(jù)����,則將該輸入數(shù)據(jù)存入數(shù)據(jù)庫中���,作為分析數(shù)據(jù)�;E.對分析數(shù)據(jù)進(jìn)行丟棄處理將當(dāng)前時間與數(shù)據(jù)庫中的分析數(shù)據(jù)錄入時間之差����,逐一與設(shè)定的分析數(shù)據(jù)留存時間進(jìn)行比對,并陸續(xù)將達(dá)到留存期限的分析數(shù)據(jù)丟棄��。
2����、 按權(quán)利要求1所述網(wǎng)絡(luò)木馬的綜合檢測方法,其特征在于所述設(shè)定的木馬病毒的 流量特征標(biāo)準(zhǔn)包括復(fù)位報(bào)文檢測標(biāo)準(zhǔn)��,郵件行為檢測標(biāo)準(zhǔn),通信連接行為檢測標(biāo)準(zhǔn)��,關(guān) 鍵字檢測標(biāo)準(zhǔn)�,以及經(jīng)過加密處理的報(bào)文在內(nèi)的全部或部分標(biāo)準(zhǔn)。
3���、 按權(quán)利要求2所述網(wǎng)絡(luò)木馬的綜合檢測方法�����,其特征在于所述復(fù)位報(bào)文檢測標(biāo)準(zhǔn) 為內(nèi)網(wǎng)傳出數(shù)據(jù)中的RST協(xié)議報(bào)文�,在規(guī)定時間范圍內(nèi)不允許重復(fù)傳出的次數(shù)���;而郵件 行為檢測標(biāo)準(zhǔn)為從內(nèi)網(wǎng)中傳出的收件人地址和主題均相同的郵件�����,在規(guī)定時間范圍內(nèi)不允 許重復(fù)傳出的次數(shù)�;通信連接行為檢測標(biāo)準(zhǔn)為�,在規(guī)定時間范圍內(nèi)從同一內(nèi)網(wǎng)地址流出到 同一外網(wǎng)地址的數(shù)據(jù)流量,與從該外網(wǎng)地址返回該內(nèi)網(wǎng)地址的數(shù)據(jù)流量的差異程度不允許 達(dá)到的值��;關(guān)鍵字檢測標(biāo)準(zhǔn)為從內(nèi)網(wǎng)流出到外網(wǎng)的數(shù)據(jù)流量中不允許出現(xiàn)的字符����;經(jīng)過加密處理的報(bào)文檢測標(biāo)準(zhǔn)為從內(nèi)網(wǎng)流出到外網(wǎng)的數(shù)據(jù)流量中不允許出現(xiàn)加密后的字符�����。
4、按權(quán)利要求l所述網(wǎng)絡(luò)木馬的綜合檢測方法所用功能模塊架構(gòu)裝置�����,包括A. —個參數(shù)初始化處理單元模塊�,用于存儲需要保護(hù)的內(nèi)網(wǎng)網(wǎng)段、檢測模塊網(wǎng)絡(luò)地 址�、木馬病毒管理器網(wǎng)絡(luò)地址以及各類網(wǎng)絡(luò)木馬病毒檢測標(biāo)準(zhǔn)的初始化參數(shù)的數(shù)據(jù);B. —個錄入待檢測數(shù)據(jù)單元模塊�����,用于抽取從內(nèi)網(wǎng)偵聽端口錄入的待檢測數(shù)據(jù)以備檢測���;C. 一個已知木馬病毒標(biāo)準(zhǔn)檢測單元模塊���,用于調(diào)用已知木馬病毒檢測標(biāo)準(zhǔn),對待檢 測的原始數(shù)據(jù)進(jìn)行對比分析并判斷其是否符合已知木馬病毒檢測標(biāo)準(zhǔn)�����;D. —個木馬病毒流量標(biāo)準(zhǔn)檢測單元模塊,用于調(diào)用包括復(fù)位報(bào)文檢測標(biāo)準(zhǔn)���、郵件行 為檢測標(biāo)準(zhǔn)����、通信連接行為檢測標(biāo)準(zhǔn)��,關(guān)鍵字檢測標(biāo)準(zhǔn)��,以及經(jīng)過加密處理的報(bào)文在內(nèi)的 全部或部分檢測標(biāo)準(zhǔn)��,對分析數(shù)據(jù)進(jìn)行逐一對比分析并判斷是否與任一木馬病毒流量標(biāo)準(zhǔn) 相符�����,是否作為分析數(shù)據(jù)存儲入數(shù)據(jù)庫����;E. —個木馬病毒發(fā)送單元模塊,用于將已知木馬病毒標(biāo)準(zhǔn)檢測單元模塊和木馬病毒 流量標(biāo)準(zhǔn)檢測單元模塊送出的木馬病毒信息�����,發(fā)送到木馬病毒管理器;F. —個對分析數(shù)據(jù)進(jìn)行丟棄處理的單元模塊��,用于對分析數(shù)據(jù)的滯留時間進(jìn)行判斷�, 并陸續(xù)將達(dá)到設(shè)定存儲期限的分析數(shù)據(jù)從數(shù)據(jù)庫中清除。
全文摘要
該發(fā)明屬于網(wǎng)絡(luò)安全技術(shù)領(lǐng)域中的網(wǎng)絡(luò)木馬病毒的綜合檢測方法及所采用的功能模塊架構(gòu)裝置��。檢測方法包括檢測參數(shù)的初始化處理�,錄入待檢測數(shù)據(jù)��,按已知木馬病毒標(biāo)準(zhǔn)檢測�,按木馬病毒流量標(biāo)準(zhǔn)檢測,對分析數(shù)據(jù)進(jìn)行丟棄處理�����;而所采用的功能模塊架構(gòu)裝置包括參數(shù)初始化處理單元模塊���,錄入待檢測數(shù)據(jù)單元模塊��,已知木馬病毒標(biāo)準(zhǔn)檢測單元模塊�����,木馬病毒流量標(biāo)準(zhǔn)檢測單元模塊�����,木馬病毒發(fā)送單元模塊�����,分析數(shù)據(jù)丟棄處理單元模塊�。該發(fā)明具有對內(nèi)網(wǎng)不產(chǎn)生任何額外負(fù)擔(dān),有效提高了對網(wǎng)絡(luò)木馬病毒進(jìn)行綜合檢測���、防御的性能和效果��,對木馬病毒及其變種的適應(yīng)性強(qiáng)�����、防御面寬����、應(yīng)用范圍廣��,對內(nèi)網(wǎng)進(jìn)行整體防御而不需對每臺單機(jī)分別設(shè)防等特點(diǎn)�。
文檔編號H04L12/24GK101552779SQ20091005919
公開日2009年10月7日 申請日期2009年5月4日 優(yōu)先權(quán)日2009年5月4日
發(fā)明者王光衛(wèi), 范明鈺 申請人:電子科技大學(xué)