(19)中华 人民共和国 国家知识产权局 (12)发明 专利 (10)授权公告 号 (45)授权公告日 (21)申请 号 202111615453.1 (22)申请日 2021.12.28 (65)同一申请的已公布的文献号 申请公布号 CN 113992442 A (43)申请公布日 2022.01.28 (73)专利权人 北京微步在线科技有限公司 地址 100082 北京市海淀区苏州街 49-3号3 层301室 (72)发明人 艾占魁　刘斐然　赵林林　童兆丰　 薛锋　 (74)专利代理 机构 北京超凡宏宇专利代理事务 所(特殊普通 合伙) 11463 代理人 贾耀斌 (51)Int.Cl. H04L 9/40(2022.01) (56)对比文件 CN 1087690 34 A,2018.1 1.06CN 102594825 A,2012.07.18 CN 103944788 A,2014.07.23 CN 102202064 A,201 1.09.28 CN 112640392 A,2021.04.09 CN 110225062 A,2019.09.10 CN 108390864 A,2018.08.10 CN 107454109 A,2017.12.08 CN 10759 2312 A,2018.01.16 WO 2006090392 A2,2006.08.31 US 2011016528 A1,201 1.01.20 宋紫华.“基于主机和网络特 征关联的木马 检测方法研究 ”. 《万方学位 论文》 .2019, Hongyu Zhu等. “A Network Behavi or Analysis Method to Detect Reverse Remote Access Trojan ”. 《2018 IE EE 9th Internati onal Conference o n Software Engineering and Service Science (ICSESS)》 .2019, 审查员 董文雪 (54)发明名称 一种木马连通成功检测方法及装置 (57)摘要 本申请实施例提供一种木马连通成功检测 方法及装置， 涉及网络安全技术领域， 该木马连 通成功检测方法包括： 先获取目标组织的所有请 求数据； 识别所有请求数据中的非法请求， 其中， 非法请求为本地主机的木马发出的请求； 然后根 据非法请求的请求类型判断是否能够提取到满 足预设连通成功条件的通信特征； 如果是， 则确 定非法请求对应的本地主机的木马连通成功可 见， 该方法能够及时检测木马请求， 同时还能够 对检测到的木马请求进行连通成功的准确判定 。 权利要求书3页 说明书9页 附图2页 CN 113992442 B 2022.03.18 CN 113992442 B 1.一种木马连通成功检测方法， 其特 征在于， 包括： 获取目标组织的所有请求数据； 识别所述所有请求数据中的非法请求， 其中， 所述非法请求为本地主机的木马发出的 请求； 根据所述非法请求的请求类型判断是否能够提取到满足预设连通成功条件的通信特 征； 如果是， 则确定所述非法请求对应的本地主机的木马连通成功； 根据所述非法请求的请求类型判断是否能够提取到满足预设连通成功条件的通信特 征， 包括： 当所述非法请求为请求非法地址类型时， 根据非法请求获取传输层协议、 发送所述非 法请求的主机地址和所述非法请求所请求的非法地址； 根据所述传输层协议， 获取 所述主机地址和所述非法地址之间的通信数据； 判断所述 通信数据是否包括满足预设连通成功条件的目标 数据； 如果是， 则执 行所述的确定所述非法请求对应的本地主机的木马连通成功； 其中， 判断所述 通信数据是否包括满足预设连通成功条件的目标 数据， 包括： 当所述传输层协议为TCP协议时， 判断所述主机地址和所述非法地址之间的通信数据 是否包括满足预设连通成功条件的数据； 其中， 预设连通成功条件包括当所述传输层协议 为TCP协议时， 所述通信数据中存在所述主机地址和所述非法地址的TCP协议三次握手数 据； 如果包括， 则确定所述通信数据包括满足所述预设连通成功条件的目标数据， 所述目 标数据为所述 通信数据中存在所述主机地址和所述非法地址的TCP协议 三次握手数据； 如果不包括， 则确定所述 通信数据不包括满足所述预设连通成功条件的目标 数据； 其中， 所述判断所述 通信数据是否包括满足预设连通成功条件的目标 数据， 包括： 当所述传输层协议为UDP协议时， 判断所述主机地址和所述非法地址之间的通信数据 是否包括满足预设连通成功条件的数据； 其中， 所述预设连通成功条件还包括当所述传输 层协议为UDP协议时， 所述 通信数据包括所述主机地址和所述非法地址之间的交 互数据包； 如果包括， 则确定所述通信数据包括满足所述预设连通成功条件的目标数据， 所述目 标数据为所述交 互数据包； 如果不包括， 则确定所述 通信数据不包括满足所述预设连通成功条件的目标 数据。 2.根据权利要求1所述的木马连通成功检测方法， 其特征在于， 所述识别所述所有请求 数据中的非法请求， 包括： 依据预先配置的组织内部地址识别所述所有请求数据中非内部地址发出的目标请求 集合； 根据预设的本地情报库检测所述目标请求集合中是否存在本地主机的木马发出的请 求； 如果是， 从所述目标请求 集合中确定 本地主机的木马发出的请求， 得到非法请求。 3.根据权利要求1所述的木马连通成功检测方法， 其特征在于， 所述根据 所述非法请求 的请求类型判断是否能够提取到满足预设连通成功条件的通信特 征， 还包括： 当所述非法请求 为请求域名类型时， 获取 所述非法请求所请求的域名信息；权　利　要　求　书 1/3 页 2 CN 113992442 B 2根据所述非法请求所请求的域名信 息， 获取域名服务端针对所述非法请求反馈的非法 地址， 并对发出 所述非法请求的重点 监控主机进行通信活动追踪， 得到通信追踪数据； 根据所述通信追踪数据检测所述重点监控主机发出的请求非法地址类型的非法请求， 并执行所述的当所述非法请求为请求非法地址类型时， 根据非法请求获取传输层协议、 发 送所述非法请求的主机地址和所述非法请求所请求的非法地址 。 4.根据权利要求1所述的木马连通成功检测方法， 其特征在于， 在识别所述所有请求数 据中的非法请求之后， 所述方法还 包括： 获取所述非法请求所发送的目的地址； 向所述目的地址发送阻断数据包进行通信阻断处 理； 或者， 将所述目的地址添加至所述本地主机的防火墙配置中， 以使所述本地主机对发 送给所述目的地址的请求进行拦截。 5.一种木马连通成功检测装置， 其特 征在于， 所述木马连通成功检测装置包括： 获取单元， 用于获取目标组织的所有请求数据； 识别单元， 用于识别所述所有请求数据中的非法请求， 其中， 所述非法请求为本地主机 的木马发出的请求； 连通成功判断单元， 用于根据 所述非法请求的请求类型判断是否能够提取到满足预设 连通成功条件的通信特 征； 确定单元， 用于当判断出能够提取到满足所述预设连通成功条件的通信特征时， 则确 定所述非法请求对应的本地主机的木马连通成功； 连通成功判断单 元包括： 第一获取子单元， 用于当非法请求为请求非法地址类型时， 根据非法请求获取传输层 协议、 发送非法请求的主机地址和非法请求所请求的非法地址； 以及根据传输层协 议， 获取 主机地址和非法地址之间的通信数据； 判断子单 元， 用于判断通信数据是否包括满足预设连通成功条件的目标 数据； 确定子单元， 用于当判断出包括目标数据时， 则确定非法请求对应的本地主机的木马 连通成功； 其中， 判断子单 元包括： 第一模块， 用于当传输层协议为TCP协议时， 判断主机地址和非法地址之间的通信数据 是否包括满足预设连通成功条件的数据； 其中， 预设连通成功条件包括当传输层协 议为TCP 协议时， 通信数据中存在主机地址和非法地址的TCP协议 三次握手数据； 第二模块， 用于在判断出包括满足预设连通成功条件的数据时， 则确定通信数据包括 满足预设连通成功条件的目标数据， 目标数据为通信数据中存在主机地址和非法地址的 TCP协议三次握手数据； 以及在判断出不包括满足预设连通 成功条件的数据时， 则确定通信 数据不包括满足预设连通成功条件的目标 数据； 其中， 判断子单 元还包括： 第三模块， 用于当传输层协议为UDP协议时， 判断主机地址和非法地址之间的通信数据 是否包括满足预设连通成功条件的数据； 其中， 预设连通成功条件还包括当传输层协议为 UDP协议时， 通信数据包括主机地址和非法地址之间的交 互数据包； 第四模块， 用于在判断出包括满足预设连通成功条件的数据时， 则确定通信数据包括权　利　要　求　书 2/3 页 3 CN 113992442 B 3