專(zhuān)利名稱(chēng):一種通過(guò)分析網(wǎng)絡(luò)行為檢測(cè)木馬程序的裝置的制作方法
技術(shù)領(lǐng)域:
本實(shí)用新型屬于網(wǎng)絡(luò)安全領(lǐng)域,特別涉及檢測(cè)木馬程序的裝置。
背景技術(shù):
現(xiàn)在,INTERNET上木馬傳播的范圍越來(lái)越廣,造成的危害越來(lái)越大。傳統(tǒng)殺毒軟件都是以特征碼對(duì)比技術(shù)殺毒,特征碼即把病毒樣本原程序拿到,提 出程序中類(lèi)似指紋的一段獨(dú)一無(wú)二的代碼,加到殺毒軟件中,然后掃描所有文件,如果有這 段特征碼,就是病毒,即可被殺掉。這種檢測(cè)木馬的技術(shù)只能檢測(cè)出已獲取樣本的木馬,對(duì)于未知、加殼、變異的木 馬,因?yàn)樵闯绦蛑械奶卣鞔a和已有的特征碼不一致,所以就無(wú)法檢測(cè)出來(lái)。
發(fā)明內(nèi)容本實(shí)用新型的目的是研發(fā)出一種通過(guò)分析對(duì)比網(wǎng)絡(luò)行為特征的方式檢測(cè)木馬程 序的裝置,具有檢測(cè)已知木馬、未知木馬以及木馬變種的能力。本實(shí)用新型所述的方法可以通過(guò)以下裝置實(shí)現(xiàn)。本實(shí)用新型所述的裝置可由網(wǎng)絡(luò)數(shù)據(jù)采集器(簡(jiǎn)稱(chēng)采集器)、網(wǎng)絡(luò)數(shù)據(jù)分析機(jī)(簡(jiǎn) 稱(chēng)分析機(jī))組成。所述的采集器,包括數(shù)據(jù)采集模塊、數(shù)據(jù)轉(zhuǎn)發(fā)模塊,數(shù)據(jù)采集模塊采集網(wǎng)絡(luò)數(shù)據(jù) 包,并經(jīng)數(shù)據(jù)轉(zhuǎn)發(fā)模塊發(fā)送到分析機(jī)做處理。所述的分析機(jī),包括數(shù)據(jù)接收器、協(xié)議解析器、數(shù)據(jù)持久化模塊、規(guī)則挖掘模塊、策 略制定模塊、關(guān)聯(lián)分析器、安全事件報(bào)告模塊,數(shù)據(jù)接收器接收采集器發(fā)送的數(shù)據(jù),并將數(shù) 據(jù)交協(xié)議解析器進(jìn)行會(huì)話重組,會(huì)話重組后保存于數(shù)據(jù)持久化模塊中;規(guī)則挖掘模塊訪問(wèn) 持久化模塊中的數(shù)據(jù),進(jìn)行網(wǎng)絡(luò)行為規(guī)則挖掘,生產(chǎn)網(wǎng)絡(luò)行為的黑、白名單,關(guān)聯(lián)分析器利 用規(guī)則挖掘模塊生產(chǎn)的網(wǎng)絡(luò)行為規(guī)則和策略制定模塊的策略選擇,進(jìn)行關(guān)聯(lián)分析,生成安 全事件報(bào)告,最后將安全事件報(bào)告呈現(xiàn)給前端系統(tǒng)。下表為各模塊的功能描述。
權(quán)利要求1.一種通過(guò)分析網(wǎng)絡(luò)行為檢測(cè)木馬程序的裝置,其特征在于它是由網(wǎng)絡(luò)數(shù)據(jù)采集 器、網(wǎng)絡(luò)數(shù)據(jù)分析機(jī)組成;所述的采集器,包括數(shù)據(jù)采集模塊、數(shù)據(jù)轉(zhuǎn)發(fā)模塊,數(shù)據(jù)采集模塊采集網(wǎng)絡(luò)數(shù)據(jù)包,并 經(jīng)數(shù)據(jù)轉(zhuǎn)發(fā)模塊發(fā)送到分析機(jī)做處理;所述的分析機(jī),包括數(shù)據(jù)接收器、協(xié)議解析器、數(shù)據(jù)持久化模塊、規(guī)則挖掘模塊、策略制 定模塊、關(guān)聯(lián)分析器、安全事件報(bào)告模塊,數(shù)據(jù)接收器接收采集器發(fā)送的數(shù)據(jù),并將數(shù)據(jù)交 協(xié)議解析器進(jìn)行會(huì)話重組,會(huì)話重組后保存于數(shù)據(jù)持久化模塊中;規(guī)則挖掘模塊訪問(wèn)持久 化模塊中的數(shù)據(jù),進(jìn)行網(wǎng)絡(luò)行為規(guī)則挖掘,生產(chǎn)網(wǎng)絡(luò)行為的黑、白名單,關(guān)聯(lián)分析器利用規(guī) 則挖掘模塊生產(chǎn)的網(wǎng)絡(luò)行為規(guī)則和策略制定模塊的策略選擇,進(jìn)行關(guān)聯(lián)分析,生成安全事 件報(bào)告,最后將安全事件報(bào)告呈現(xiàn)給前端系統(tǒng)。
2.權(quán)利要求1所述的一種通過(guò)分析網(wǎng)絡(luò)行為檢測(cè)木馬程序的裝置,其特征是將所述的 裝置以旁路并聯(lián)的方式接入局域網(wǎng)絡(luò)上。
專(zhuān)利摘要一種通過(guò)分析網(wǎng)絡(luò)行為檢測(cè)木馬程序的裝置,本實(shí)用新型采用分析對(duì)比行為特征的方式檢測(cè)木馬,首先搜集局域網(wǎng)內(nèi)的網(wǎng)絡(luò)行為,分析其典型行為特征,通過(guò)木馬外連、信息竊取和信息外發(fā)網(wǎng)絡(luò)行為,實(shí)時(shí)檢測(cè)木馬;本裝置由采集器和分析機(jī)兩部分組成,采集器采集網(wǎng)絡(luò)數(shù)據(jù)包并發(fā)送給分析機(jī),分析機(jī)將數(shù)據(jù)重組,提取其典型行為特征并與木馬特征庫(kù)做關(guān)聯(lián)分析,最后生成安全事件報(bào)告呈現(xiàn)給前段系統(tǒng)。本實(shí)用新型使用行為特征分析技術(shù)檢測(cè)木馬,與現(xiàn)有的程序特征碼比對(duì)技術(shù)相比,其優(yōu)點(diǎn)在于不僅能夠檢測(cè)已知類(lèi)型的木馬,而且能檢測(cè)未知類(lèi)型的木馬,特別對(duì)加殼、加免殺等木馬變種和變異,具有很好的檢測(cè)效果。
文檔編號(hào)H04L29/06GK201789524SQ201020202850
公開(kāi)日2011年4月6日 申請(qǐng)日期2010年5月25日 優(yōu)先權(quán)日2010年5月25日
發(fā)明者何濤, 孫丹鳴, 楊更 申請(qǐng)人:軍工思波信息科技產(chǎn)業(yè)有限公司