[发明专利]一种移动互联网中僵尸木马防护方法及其系统有效
| 申请号: | 201210009443.8 | 申请日: | 2012-01-13 |
| 公开(公告)号: | CN102571796A | 公开(公告)日: | 2012-07-11 |
| 发明(设计)人: | 曾金全 | 申请(专利权)人: | 电子科技大学 |
| 主分类号: | H04L29/06 | 分类号: | H04L29/06 |
| 代理公司: | 泰和泰律师事务所 51219 | 代理人: | 曾祥坤 |
| 地址: | 611731 四川省成*** | 国省代码: | 四川;51 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 一种 移动 互联网 僵尸 木马 防护 方法 及其 系统 | ||
1.一种移动互联网中僵尸木马防护方法,其特征在于,包括如下步骤:
步骤S1,捕获移动互联网用户上网网络数据包;
步骤S2,利用移动僵尸木马特征码和/或移动僵尸木马行为特征模型进行移动僵尸木马的检测;
步骤S3,利用移动僵尸木马活动特征码和/或移动僵尸木马行为活动特征模型进行移动僵尸木马活动的检测;
步骤S4,对发现的移动僵尸木马和移动僵尸木马活动进行告警和防护处理。
2.如权利要求1所述的一种移动互联网中僵尸木马防护方法,其特征在于,所述的进行移动僵尸木马检测的步骤包括:
步骤S21,接收网络数据包;
步骤S22,利用移动僵尸木马特征码库判断网络数据包是否与已知移动僵尸木马特征相匹配,如果网络数据包与已知移动僵尸木马特征相匹配,则结束步骤S2,如果网络数据包与已知移动僵尸木马特征不匹配,则转到步骤S23;
步骤S23,进行移动僵尸木马行为特征的检测,如果检测到移动僵尸木马行为,则转到步骤S24,如果没有检测到移动僵尸木马行为,则结束步骤S2;
步骤S24,将检测到的移动僵尸木马行为添加到移动僵尸木马行为特征库中;
步骤S25,判断移动僵尸木马行为特征库中的行为特征是否匹配移动僵尸木马行为模型,如果移动僵尸木马行为特征库中的行为特征匹配移动僵尸木马行为模型,则转到步骤S26,如果移动僵尸木马行为特征库中的行为特征不匹配移动僵尸木马行为模型,则结束步骤S2;移动僵尸木马行为模型为
,
其中,为命令与控制通道的权重;为是否检测到移动僵尸木马隐藏命令与控制通道的检测函数,如果成功检测到移动僵尸木马隐藏命令与控制通道其值为1,否则为0;为检测到的恶意事件,如果检测到恶意事件其值为1,否则为0;为权重;
步骤S26,将成功检测到的移动僵尸木马添加到移动僵尸木马库中;
步骤S27,将成功检测到的移动僵尸木马进行告警。
3.如权利要求2所述的一种移动互联网中僵尸木马防护方法,其特征在于,所述的移动僵尸木马行为特征的检测包括对移动僵尸木马隐藏命令与控制通道的检测和/或对移动僵尸木马活动特征的检测。
4.如权利要求3所述的一种移动互联网中僵尸木马防护方法,其特征在于,所述的移动僵尸木马隐藏命令与控制通道的检测采用特征码检测和/或行为检测的检测方法。
5.如权利要求3所述的一种移动互联网中僵尸木马防护方法,其特征在于,所述的移动僵尸木马活动特征的检测采用特征码检测和/或异常网络数据流检测的检测方法。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于电子科技大学,未经电子科技大学许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201210009443.8/1.html,转载请声明来源钻瓜专利网。
