鬼佬大哥大
  • / 7
  • 下載費用:30 金幣  

一種基于網絡數據包檢測惡意代碼的方法和系統.pdf

關 鍵 詞:
一種 基于 網絡 數據包 檢測 惡意代碼 方法 系統
  專利查詢網所有資源均是用戶自行上傳分享,僅供網友學習交流,未經上傳用戶書面授權,請勿作他用。
摘要
申請專利號:

CN201110452032.1

申請日:

2011.12.30

公開號:

CN102769607B

公開日:

2015.01.07

當前法律狀態:

授權

有效性:

有權

法律詳情: 專利權人的姓名或者名稱、地址的變更IPC(主分類):H04L 29/06變更事項:專利權人變更前:北京安天電子設備有限公司變更后:北京安天網絡安全技術有限公司變更事項:地址變更前:100080 北京市海淀區中關村大街1號海龍大廈14層1415室變更后:100080 北京市海淀區閔莊路3號清華科技園玉泉慧谷一期1號樓|||授權|||著錄事項變更IPC(主分類):H04L 29/06變更事項:申請人變更前:北京安天電子設備有限公司變更后:北京安天電子設備有限公司變更事項:地址變更前:100084 北京市海淀區農大南路1號硅谷亮城2B-521變更后:100080 北京市海淀區中關村大街1號海龍大廈14層1415室|||實質審查的生效IPC(主分類):H04L 29/06申請日:20111230|||公開
IPC分類號: H04L29/06; H04L12/26 主分類號: H04L29/06
申請人: 北京安天電子設備有限公司
發明人: 肖新光; 李柏松; 孟雅靜; 崔成
地址: 100080 北京市海淀區中關村大街1號海龍大廈14層1415室
優先權:
專利代理機構: 代理人:
PDF完整版下載: PDF下載
法律狀態
申請(專利)號:

CN201110452032.1

授權公告號:

|||102769607B|||||||||

法律狀態公告日:

2017.05.10|||2015.01.07|||2013.08.14|||2012.12.26|||2012.11.07

法律狀態類型:

專利權人的姓名或者名稱、地址的變更|||授權|||著錄事項變更|||實質審查的生效|||公開

摘要

本發明公開了一種基于網絡數據包檢測惡意代碼的方法,包括:在實際要監控的網絡環境中,捕獲網絡連接中的數據包;利用已知的惡意代碼的計算規則,對所捕獲的當前數據包中部分或者全部的數據或者數據格式進行計算,生成動態檢測規則;繼續捕獲網絡連接中的數據包,將與所述當前數據包時序相鄰的數據包作為待檢測數據包,用所述動態檢測規則和與待檢測數據包中部分或者全部的數據或者數據格式進行匹配,如果匹配成功則判斷存在惡意代碼。本發明還公開了一種基于網絡數據包檢測惡意代碼的系統。本發明技術方案在原有的檢測規則匹配方法基礎上,增加動態生成木馬或后門的檢測規則,使得檢測木馬或后門的網絡行為的識別率提高。

權利要求書

1: 一種基于網絡數據包檢測惡意代碼的方法, 其特征在于, 包括 : 步驟 a、 在實際要監控的網絡環境中, 捕獲網絡連接中的數據包 ; 步驟 b、 利用已知的惡意代碼的計算規則, 對所捕獲的當前數據包中部分或者全部的數 據或者數據格式進行計算, 生成動態檢測規則 ; 步驟 c、 繼續捕獲網絡連接中的數據包, 將與所述當前數據包時序相鄰的數據包作為待 檢測數據包, 用所述動態檢測規則和與待檢測數據包中部分或者全部的數據或者數據格式 進行匹配, 如果匹配成功則判斷存在惡意代碼, 否則返回步驟 b 繼續監控。
2: 如權利要求 1 所述的基于網絡數據包檢測惡意代碼的方法, 其特征在于, 步驟 b 還包 括: 使用過濾條件對當前數據包進行過濾, 利用已知的惡意代碼的計算規則對符合過濾條 件的所述當前數據包中部分或者全部的數據或者數據格式進行計算, 生成動態檢測規則。
3: 如權利要求 2 所述的基于網絡數據包檢測惡意代碼的方法, 其特征在于, 所述過濾 條件包括 : IP 地址、 端口、 協議類型、 數據包的大小。
4: 如權利要求 2 所述的基于網絡數據包檢測惡意代碼的方法, 其特征在于, 所述過濾 條件還包括 : 預先提取的惡意代碼的通信數據包中相同的數據或者數據格式。
5: 如權利要求 1 所述的基于網絡數據包檢測惡意代碼的方法, 其特征在于, 步驟 c 還包 括: 繼續捕獲網絡連接中的數據包, 將與所述當前數據包通訊方向相反、 時序相鄰的數據包 作為待檢測數據包, 用所述動態檢測規則和與待檢測數據包中部分或者全部的數據或者數 據格式進行匹配, 如果匹配成功則判斷存在惡意代碼, 否則返回步驟 b 繼續監控。
6: 如權利要求 1 或 5 所述的基于網絡數據包檢測惡意代碼的方法, 其特征在于, 記錄所 述當前數據包的獲取時間并設置時間間隔, 繼續捕獲網絡連接中的數據包時對于超過所述 時間間隔所捕獲到的數據包不作為待檢測數據包。
7: 一種基于網絡數據包檢測惡意代碼的系統, 其特征在于, 包括 : 捕獲模塊, 用于在實際要監控的網絡環境中, 捕獲網絡連接中的數據包 ; 動態規則模塊, 用于利用已知的惡意代碼的計算規則, 對所捕獲的當前數據包中部分 或者全部的數據或者數據格式進行計算, 生成動態檢測規則 ; 匹配模塊, 用于將捕獲到的與所述當前數據包時序相鄰的數據包或者與所述當前數 據包通訊方向相反、 時序相鄰的數據包作為待檢測數據包, 用所述動態檢測規則和與待檢 測數據包中部分或者全部的數據或者數據格式進行匹配, 如果匹配成功則判斷存在惡意代 碼, 否則繼續監控。
8: 如權利要求 7 所述的基于網絡數據包檢測惡意代碼的系統, 其特征在于, 還包括過 濾模塊, 用于設置過濾條件, 所述過濾條件包括 : IP 地址、 端口、 協議類型、 數據包的大小以 及預先提取的惡意代碼的通信數據包中相同的數據或者數據格式。
9: 如權利要求 7 所述的基于網絡數據包檢測惡意代碼的系統, 其特征在于, 匹配模塊 具體還用于記錄所述當前數據包的獲取時間并設置時間間隔, 對于超過所述時間間隔所捕 獲到的數據包不作為待檢測數據包。

說明書


一種基于網絡數據包檢測惡意代碼的方法和系統

    技術領域 本發明涉及計算機網絡安全技術領域, 尤其涉及一種基于網絡數據包檢測惡意代 碼的方法和系統。
     背景技術 隨著近年來網絡技術的飛速發展 , 與 Internet 有關的安全事件愈來愈多 , 安全 問題日益突出, 根據相關報告每年因木馬病毒造成的損失就達到數十億。并且每年有將近 2000 萬新型木馬生成, 而木馬和后門程序也變得越來越多樣化, 使得被感染的計算機成上 升趨勢。并且每年的損失也成上升趨勢。
     目前網絡上監測木馬和后門的方法有 : 代理檢測方法 : 系統利用部署的代理匯總網絡活動行為, 然后通過行為分析引擎識別 是否屬于網絡攻擊, 這種檢測方法屬于動態監控法, 其檢出率比較低和誤報率高, 所以目前 不適合檢測。
     特征匹配 : 通過對木馬或后門初期建立連接時的網絡傳輸數據包或樣本文件進行 分析, 提取它們的網絡行為特征, 然后用這些特征行為來匹配網絡數據包。如果網絡數據 包的內容可以匹配上特征碼, 就判斷為病毒行為, 否則認為正常數據包, 相對于代理檢測方 法, 此方法準確率比較高。
     然而目前木馬和后門病毒的編寫者為了能讓木馬或后門活動有更好的隱蔽性, 在 病毒建立網絡連接過程中規避使用特征匹配的網絡檢測。 在病毒建立網絡連接時通過特定 的計算規則對前一個包的部分數據或全部數據進行運算并用運算出的結果來匹配后一個 包, 如果符合就建立病毒連接。 由于此類木馬和后門沒有固定的病毒行為, 也就不能用固定 的檢測規則進行匹配, 所以傳統的檢測規則匹配就失去作用。
     發明內容 本發明是在原有的檢測規則匹配方法基礎上, 增加動態生成木馬或后門的檢測規 則, 使得檢測木馬或后門的網絡行為的識別率提高。
     本發明是基于動態生成所需的檢測規則。 動態生成檢測規則是指對同一個數據流 中時間序列相鄰的兩個數據包, 通過特定的計算規則對時間序列在前的第一個數據包的全 部或者部分數據進行運算, 運算出的結果作為動態檢測規則, 然后就用此檢測規則來匹配 時間序列在后的第二個數據包, 如果匹配成功就判斷有惡意代碼行為, 沒有匹配上就是認 為是正常數據包。
     為了解決上述技術問題, 本發明提出了基于網絡數據包檢測惡意代碼的方法, 包 括: 步驟 a、 在實際要監控的網絡環境中, 捕獲網絡連接中的數據包 ; 步驟 b、 利用已知的惡意代碼的計算規則, 對所捕獲的當前數據包中部分或者全部的數 據或者數據格式進行計算, 生成動態檢測規則 ;
     步驟 c、 繼續捕獲網絡連接中的數據包, 將與所述當前數據包時序相鄰的數據包作為待 檢測數據包, 用所述動態檢測規則和與待檢測數據包中部分或者全部的數據或者數據格式 進行匹配, 如果匹配成功則判斷存在惡意代碼, 否則返回步驟 b 繼續監控。
     所述已知的惡意代碼的計算規則是指一種特定的算法, 包括對已知的惡意代碼所 產生的時序相鄰的兩個通訊數據包進行分析后提取的計算規則, 可以是運行惡意代碼時對 所述惡意代碼產生的通訊方向相反、 時序相鄰的兩個數據包的部分或全部的數據或數據格 式進行分析后所提取的計算規則 ; 進一步的, 步驟 b 還包括 : 使用過濾條件對當前數據包進行過濾, 利用已知的惡意代碼 的計算規則對符合過濾條件的所述當前數據包中部分或者全部的數據或者數據格式進行 計算, 生成動態檢測規則。
     所述過濾條件包括 : IP 地址、 端口、 協議類型、 數據包的大小。
     所述過濾條件還包括 : 預先提取的惡意代碼的通信數據包中相同的數據或者數據 格式。
     進一步的, 步驟 c 還包括 : 繼續捕獲網絡連接中的數據包, 將與所述當前數據包通 訊方向相反、 時序相鄰的數據包作為待檢測數據包, 用所述動態檢測規則和與待檢測數據 包中部分或者全部的數據或者數據格式進行匹配, 如果匹配成功則判斷存在惡意代碼, 否 則返回步驟 b 繼續監控。
     進一步的, 記錄所述當前數據包的獲取時間并設置時間間隔, 繼續捕獲網絡連接 中的數據包時對于超過所述時間間隔所捕獲到的數據包不作為待檢測數據包。
     根據本發明的另一方面, 還提供了一種基于網絡數據包檢測惡意代碼的系統, 包 括: 捕獲模塊, 用于在實際要監控的網絡環境中, 捕獲網絡連接中的數據包 ; 動態規則模塊, 用于利用已知的惡意代碼的計算規則, 對所捕獲的當前數據包中部分 或者全部的數據或者數據格式進行計算, 生成動態檢測規則 ; 匹配模塊, 用于將捕獲到的與所述當前數據包時序相鄰的數據包或者與所述當前數 據包通訊方向相反、 時序相鄰的數據包作為待檢測數據包, 用所述動態檢測規則和與待檢 測數據包中部分或者全部的數據或者數據格式進行匹配, 如果匹配成功則判斷存在惡意代 碼, 否則繼續監控。
     所述系統還包括過濾模塊, 用于設置過濾條件, 所述過濾條件包括 : IP 地址、 端 口、 協議類型、 數據包的大小以及預先提取的惡意代碼的通信數據包中相同的數據或者數 據格式。
     所述匹配模塊具體還用于記錄所述當前數據包的獲取時間并設置時間間隔, 對于 超過所述時間間隔所捕獲到的數據包不作為待檢測數據包。
     本發明的技術效果是 : 通過本發明的技術方案可以檢測動態特征的木馬和后門程序, 從而使檢測木馬或后門 的網絡行為的識別率提高。
     由于不是海量檢測, 所以檢測時占用資源少, 并且檢測速度快。
     本技術方案用于檢測網絡數據包, 所以適用面很廣, 既適合 PC 又適合手機方向。
     由于是動態生成檢測規則, 所以生成檢測規則的算法也是動態的, 適應能力強, 可以根據木馬后門的變化而變化, 使得檢測木馬或后門的網絡行為的識別率提高。 附圖說明 為了更清楚地說明本發明或現有技術中的技術方案, 下面將對實施例或現有技術 描述中所需要使用的附圖作簡單地介紹, 顯而易見地, 下面描述中的附圖僅僅是本發明中 記載的一些實施例, 對于本領域普通技術人員來講, 在不付出創造性勞動的前提下, 還可以 根據這些附圖獲得其他的附圖。
     圖 1 為本發明基于網絡數據包檢測惡意代碼的方法流程圖 ; 圖 2 為本發明基于網絡數據包檢測惡意代碼的系統示意圖。
     具體實施方式
     為了使本技術領域的人員更好地理解本發明實施例中的技術方案, 并使本發明的 上述目的、 特征和優點能夠更加明顯易懂, 下面結合附圖對本發明中技術方案作進一步詳 細的說明。
     如圖 1 所示, 為本發明基于網絡數據包檢測惡意代碼的方法流程圖, 包括 : S101、 在實際要監控的網絡環境中, 捕獲網絡連接中的數據包 ; S102、 利用已知的惡意代碼的計算規則, 對所捕獲的當前數據包中部分或者全部的數 據或者數據格式進行計算, 生成動態檢測規則 ; 在利用已知的惡意代碼的計算規則, 為了提高檢測效率, 對所捕獲的當前數據包中部 分或者全部的數據或者數據格式進行計算之前, 可以先使用過濾條件對當前數據包進行過 濾, 只對符合過濾條件的所述當前數據包中部分或者全部的數據或者數據格式進行計算, 然后生成動態檢測規則。
     所述的過濾條件可以包括 IP 地址、 端口、 協議類型、 數據包的大小。
     還可以使用預先提取的惡意代碼的通信數據包中相同的數據或者數據格式, 即使 用已知惡意代碼的特征先進行過濾, 得到疑似通訊數據的前提下, 后續步驟中再使用動態 檢測規則進行匹配, 大大提高了檢測的效率和精度。
     S103、 繼續捕獲網絡連接中的數據包, 將與所述當前數據包時序相鄰的數據包作 為待檢測數據包, 用所述動態檢測規則和與待檢測數據包中部分或者全部的數據或者數據 格式進行匹配, 如果匹配成功則判斷存在惡意代碼, 否則返回步驟 S102 繼續監控。
     優選的, 可以將與所述當前數據包通訊方向相反、 時序相鄰的數據包作為待檢測 數據包, 用所述動態檢測規則和與待檢測數據包中部分或者全部的數據或者數據格式進行 匹配, 如果匹配成功則判斷存在惡意代碼, 否則返回步驟 S102 繼續監控。
     另外, 為了避免數據包過多, 生成過多模式和等待, 可以設定時限。記錄所述當前 數據包的獲取時間并設置時間間隔, 繼續捕獲網絡連接中的數據包時對于超過所述時間間 隔所捕獲到的數據包不作為待檢測數據包。
     如圖 2 所示, 為本發明基于網絡數據包檢測惡意代碼的系統示意圖, 包括 : 捕獲模塊 201, 用于在實際要監控的網絡環境中, 捕獲網絡連接中的數據包 ; 動態規則模塊 202, 用于利用已知的惡意代碼的計算規則, 對所捕獲的當前數據包中部 分或者全部的數據或者數據格式進行計算, 生成動態檢測規則 ;匹配模塊 203, 用于將捕獲到的與所述當前數據包時序相鄰的數據包或者與所述當前 數據包通訊方向相反、 時序相鄰的數據包作為待檢測數據包, 用所述動態檢測規則和與待 檢測數據包中部分或者全部的數據或者數據格式進行匹配, 如果匹配成功則判斷存在惡意 代碼, 否則繼續監控。
     所述系統還包括過濾模塊 204, 用于設置過濾條件, 所述過濾條件包括 : IP 地址、 端口、 協議類型、 數據包的大小以及預先提取的惡意代碼的通信數據包中相同的數據或者 數據格式。
     所述匹配模塊 203 具體還用于記錄所述當前數據包的獲取時間并設置時間間隔, 對于超過所述時間間隔所捕獲到的數據包不作為待檢測數據包。
     雖然通過實施例描繪了本發明, 本領域普通技術人員知道, 本發明有許多變形和 變化而不脫離本發明的精神, 希望所附的權利要求包括這些變形和變化而不脫離本發明的 精神。

關于本文
本文標題:一種基于網絡數據包檢測惡意代碼的方法和系統.pdf
鏈接地址:http://www.wwszu.club/p-6420995.html
關于我們 - 網站聲明 - 網站地圖 - 資源地圖 - 友情鏈接 - 網站客服 - 聯系我們

[email protected] 2017-2018 zhuanlichaxun.net網站版權所有
經營許可證編號:粵ICP備17046363號-1 
 


收起
展開
鬼佬大哥大