一种内网木马的检测方法和装置专利登记公告

专利名称：一种内网木马的检测方法和装置

摘要：本发明提供了一种内网木马的检测方法和装置，该方法包括以下步骤：S1、采集网络数据包；S2、利用D1-D3进行恶意域名的识别，其中，D1为对出现异常心跳的DNS请求数据的域名进行识别；D2为判断指向特殊IP的域名是否跳转为指向正常IP的DNS请求；D3为判断DNS访问域名是否出现在浏览器访问域名中；S3、利用D4-D5进行木马的识别，D4为判断是否出现逆向流量，如果出现，则识别为木马；D5为判断流量中的请求包或应答包是否符合RFC规定，如果不符合，则识别为木马。本发明基于木马通信行为特征进行全面检测，能够及

专利类型：发明专利

专利号：CN201210043017.6

专利申请（专利权）人：北京百度网讯科技有限公司

专利发明（设计）人：赵林林

主权项：一种内网木马的检测方法，其特征在于，包括以下步骤：S1、采集网络数据包，执行步骤S2或S3；S2、获取所述网络数据包中的DNS请求数据，利用D1?D3中至少一种进行恶意域名的识别，形成恶意域名集合，将向所述恶意域名发出请求的IP地址识别为存在木马，其中所述D1为：记录出现异常心跳的DNS请求数据的域名，查询所记录的域名对应的所有DNS请求的源IP数和域名创建时间，将查询到的源IP数和域名创建时间不符合预设要求的域名识别为恶意域名；所述D2为：将指向特殊IP且出现跳转为指向正常IP的DNS请求的域名识别为恶

专利地区：北京