申请/专利权人：国家计算机网络与信息安全管理中心

申请日：2022-03-23

公开（公告）日：2024-03-29

公开（公告）号：CN114826670B

主分类号：H04L9/40

分类号：H04L9/40;H04L67/02;H04L67/06

优先权：

专利状态码：有效-授权

法律状态：2024.03.29#授权;2022.08.16#实质审查的生效;2022.07.29#公开

摘要：本发明是有关于一种分析网络流量检测大规模恶意代码传播的方法，通过分析网络流入流出流量捕获还原文件，记录分析文件传播日志；对大规模传播的文件或传播规模增长迅速的文件，综合利用威胁情报数据和动态沙箱养殖技术判断其恶意性，实现大规模恶意代码传播事件的第一时间发现；最后关联分析大规模传播恶意代码的文件、IP、域名、URL等信息，还原传播路径。通过分析网络文件传播日志，可全面掌握特定网络恶意代码传播态势，保证了恶意性判别的准确性，使覆盖范围更加全面、检测分析更加准确、更加及时高效。

主权项：1.一种分析网络流量检测大规模恶意代码传播的方法，其特征在于，其主要步骤包括：步骤1：根据检测覆盖范围需要获取网络流入流出全部流量；步骤2：通过深度包数据检测对网络流入流出流量进行深度分析，通过深入读取IP报文所载荷的内容来对应用层信息进行重组，从而得到整个应用程序的内容，包括识别主要文件传输协议还原传输文件，记录文件传播日志，传播日志包括下载时间、下载IP、下载端口、文件MD5、文件网址即URL、文件网址IP、文件网址域名、文件网址端口；步骤3：利用大规模异常传播检测算法分析文件传播日志，计算每个样本下载IP数、下载次数、下载IP数每天增长率、下载次数每天增长率、下载IP数每小时增长率、下载次数每小时增长率；步骤4：对于大规模传播或即将大规模传播的文件，首先利用威胁情报分析其恶意性，如果威胁情报无相关信息，则利用动态沙箱进行养殖分析其恶意性；其中，大规模传播是下载IP数、下载次数超过阈值Na；其中，即将大规模传播是下载IP数每天增长率、下载次数每天增长率、下载IP数每小时增长率、下载次数每小时增长率超过阈值Nb；步骤5：对于大规模传播或即将大规模传播的恶意代码，关联分析其URL、IP、域名，发现其所属攻击团伙全部恶意代码，还原攻击传播路径。

全文数据：

权利要求：

百度查询： 国家计算机网络与信息安全管理中心 一种分析网络流量检测大规模恶意代码传播的方法

免责声明
1、本报告根据公开、合法渠道获得相关数据和信息，力求客观、公正，但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解，仅供参考使用，不能作为本公司承担任何法律责任的依据或者凭证。

阅读全文 双屏查看 官方信息 专利公告 收藏专利 下载PDF 下载WORD