專利名稱:一種惡意代碼控制端主動(dòng)發(fā)現(xiàn)方法及裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明屬于信息安全技術(shù)領(lǐng)域����,尤其涉及一種在因特網(wǎng)中對(duì)惡意代碼控制端進(jìn)行 主動(dòng)發(fā)現(xiàn)及識(shí)別的方法及裝置�����。術(shù)語解釋ICMP 全稱 Internet Control Message Protocol����,中譯因特網(wǎng)控制報(bào)文協(xié)議����,是 網(wǎng)絡(luò)協(xié)議的一種����,用于在主機(jī)之間傳輸控制信息。ICMP幀有多種類型���,本文中提到的ICMP 回顯請(qǐng)求�����、ICMP回顯回應(yīng)��、ICMP時(shí)間戳��、ICMP子網(wǎng)掩碼均為不同類型的ICMP幀���。TCP 全稱Transmission Control Protocol,中譯傳輸控制協(xié)議��,是網(wǎng)絡(luò)協(xié)議的一 種�,用于在主機(jī)之間建立網(wǎng)絡(luò)連接。TCP連接的建立過程分為三步�,俗稱三步握手過程。每 個(gè)TCP幀中均有多種標(biāo)志位�����,本文中提到的SYN����、ACK、RST���、FIN、NULL均為不同的標(biāo)志位����,TCP SYN幀即為SYN標(biāo)志位被置位的TCP幀,其余類似�。IP地址因特網(wǎng)中用于標(biāo)識(shí)主機(jī)的一種編址方式。在本文范圍內(nèi)���,可以認(rèn)為一個(gè) IP地址即指一臺(tái)主機(jī)����。端口 主機(jī)使用網(wǎng)絡(luò)收發(fā)數(shù)據(jù)時(shí),為本地不同進(jìn)程分配的出入口標(biāo)識(shí)號(hào)���。端口號(hào)范 圍為0到65535��。端口的狀態(tài)可能為打開,也可能為關(guān)閉�。
背景技術(shù):
在信息安全領(lǐng)域����,對(duì)惡意代碼進(jìn)行監(jiān)控和查殺的技術(shù)主要是針對(duì)被感染的個(gè)人計(jì) 算機(jī)中惡意代碼的防范、檢測(cè)�����、監(jiān)控���、捕獲�����、分析�、清除����、還原等技術(shù)�。對(duì)以木馬為主的一部分 惡意代碼��,被感染計(jì)算機(jī)只是惡意代碼被控制端(以下簡(jiǎn)稱“被控制端”)主機(jī)�����;而攻擊者通 過惡意代碼控制端(以下簡(jiǎn)稱“控制端”)主機(jī)對(duì)被控制端發(fā)起惡意指令����。為了進(jìn)一步保障 互聯(lián)網(wǎng)和個(gè)人計(jì)算機(jī)的安全,國家必須即時(shí)掌握當(dāng)前因特網(wǎng)中控制端主機(jī)的信息�,并對(duì)控 制端的具體類型予以識(shí)別。當(dāng)前��,國內(nèi)外尚無對(duì)控制端主機(jī)進(jìn)行大規(guī)模主動(dòng)發(fā)現(xiàn)和識(shí)別的 可行技術(shù)�。我們?cè)趯?duì)控制端進(jìn)行主動(dòng)發(fā)現(xiàn)和識(shí)別時(shí)�����,首先需要對(duì)控制端主機(jī)進(jìn)行初步篩選���, 作為控制端主機(jī)����,首先要滿足以下條件已經(jīng)連接到因特網(wǎng)上,并保持長(zhǎng)在線����;開放了一個(gè) 或多個(gè)TCP端口,并處于監(jiān)聽狀態(tài)����;系統(tǒng)環(huán)境為Windows操作系統(tǒng)。因此���,我們首先通過主機(jī)狀態(tài)掃描�����、端口狀態(tài)掃描��、操作系統(tǒng)指紋檢測(cè)三項(xiàng)技術(shù)���, 將滿足上述三個(gè)條件的主機(jī)篩選出來。所謂主機(jī)狀態(tài)掃描��,是指通過向目標(biāo)主機(jī)的IP地址發(fā)送特定數(shù)據(jù)包����,通過是否返 回?cái)?shù)據(jù)���、返回?cái)?shù)據(jù)的特點(diǎn),來判斷目標(biāo)主機(jī)是否處于在線狀態(tài)���。目前常用的主機(jī)狀態(tài)掃描方 法有兩種1�、ICMP回顯法發(fā)送ICMP回顯請(qǐng)求(ICMP echo request)���,如果之后收到目標(biāo)發(fā) 來的ICMP回顯應(yīng)答(ICMP echo r印ly)��,則認(rèn)為目標(biāo)主機(jī)在線����,否則不在線�����。另外�����,發(fā)送ICMP時(shí)間戳��、ICMP子網(wǎng)掩碼等方法也為主機(jī)狀態(tài)掃描的現(xiàn)有技術(shù)方案���。
4
2����、端口推斷法針對(duì)目標(biāo)主機(jī)的常見開放端口��,通過端口狀態(tài)掃描�,判斷其是否開 放,如果開放��,則認(rèn)為主機(jī)在線�,否則不在線。所謂端口狀態(tài)掃描����,是指對(duì)目標(biāo)主機(jī)的目標(biāo)端口發(fā)送特定數(shù)據(jù)包,通過是否返回 數(shù)據(jù)���、返回?cái)?shù)據(jù)的特點(diǎn)�����,來判斷該端口是否開放端口����,即是否處于打開監(jiān)聽(listening)狀 態(tài)。目前常用的端口狀態(tài)掃描方法有UTCP連接掃描嘗試與該端口通過三步握手方式建立TCP會(huì)話連接���,如果建立成 功���,則認(rèn)為端口開放,否則端口未開放�。2、TCP SYN掃描向該端口發(fā)送TCP SYN幀���,如果返回TCP ACK+SYN幀�,則認(rèn)為端 口開放����,否則端口未開放。3��、TCP FIN掃描向該端口發(fā)送TCP FIN幀����,如果在一段時(shí)間內(nèi)沒有收到返回幀, 則認(rèn)為端口開放��,否則端口未開放�����。4�����、TCP NULL掃描向該端口發(fā)送TCP NULL幀�����,如果在一段時(shí)間內(nèi)沒有收到返回 幀����,則認(rèn)為端口開放,否則端口未開放����。所謂操作系統(tǒng)指紋掃描,是指根據(jù)接收到的數(shù)據(jù)包中某些字段的取值含義��,來判 斷目標(biāo)主機(jī)所運(yùn)行的操作系統(tǒng)類型的技術(shù)��。這一技術(shù)的準(zhǔn)確性的基礎(chǔ)是不同的操作系統(tǒng)對(duì) 網(wǎng)絡(luò)通信協(xié)議的實(shí)現(xiàn)存在細(xì)節(jié)上的差異���。這些細(xì)節(jié)包括ICMP�����、TCP協(xié)議中各種字段在不同 情景下的取值���。上述現(xiàn)有主機(jī)信息掃描方案的缺點(diǎn)如下1�、現(xiàn)有方案都是針對(duì)單一主機(jī)或小范圍主機(jī)掃描��,未考慮大范圍掃描的實(shí)際需 求��,因此沒有對(duì)掃描的效率進(jìn)行特別的考量和優(yōu)化��。如果使用現(xiàn)有技術(shù)來對(duì)數(shù)目龐大的因 特網(wǎng)主機(jī)及其所有端口進(jìn)行掃描��,其時(shí)間開銷將是巨大的���,因而其結(jié)果輸出已不再具有現(xiàn)
眉���、ο2、現(xiàn)有方案都是針對(duì)單一主機(jī)或小范圍主機(jī)掃描��,未考慮大規(guī)模批量掃描任務(wù)對(duì) 執(zhí)行掃描任務(wù)的本地環(huán)境的系統(tǒng)資源造成的壓力。事實(shí)上�����,建立連接需要占據(jù)本地主機(jī)一 定的內(nèi)存資源�����,發(fā)送數(shù)據(jù)包需要占據(jù)本地網(wǎng)絡(luò)一定的帶寬資源�,當(dāng)進(jìn)行大規(guī)模批量的掃描 時(shí)�,這些資源很容易耗盡,從而導(dǎo)致沒有足夠的資源接收數(shù)據(jù)并進(jìn)行判斷��,這就導(dǎo)致最終結(jié) 果與實(shí)際結(jié)果出現(xiàn)偏差����。任務(wù)量越大,這種偏差就越大��。3���、ICMP回顯法的缺點(diǎn)設(shè)置了防火墻�、安全防護(hù)軟件或進(jìn)行了專門配置的主機(jī)����, 對(duì)ICMP回顯請(qǐng)求將不產(chǎn)生ICMP回顯應(yīng)答�����,即此時(shí)ICMP回顯法得到的結(jié)果是錯(cuò)誤的��。4�����、端口推斷法的缺點(diǎn)對(duì)于進(jìn)行了專門配置的主機(jī)����,常見開放端口不一定處于打 開監(jiān)聽狀態(tài)�����,即以此來判斷主機(jī)是否在線�,將對(duì)這類在線主機(jī)產(chǎn)生漏判。5,TCP連接掃描的缺點(diǎn)建立TCP連接需要經(jīng)過三步握手通信�,這需要一定的時(shí)間 開銷。此外���,每個(gè)連接都需要占據(jù)一定的本地內(nèi)存�。6、TCP FIN掃描���、TCP NULL掃描的缺點(diǎn)發(fā)送TCP FIN幀或TCP NULL幀后��,是通 過在一段時(shí)間后依然無返回幀才能判斷端口打開����,因此時(shí)間開銷較大����。此外��,由于Windows 操作系統(tǒng)對(duì)網(wǎng)絡(luò)協(xié)議的實(shí)現(xiàn)細(xì)節(jié)與標(biāo)準(zhǔn)規(guī)范有所不同����,這兩種方法對(duì)Windows主機(jī)失效。7����、在現(xiàn)有方案中,三種掃描技術(shù)是三個(gè)獨(dú)立的功能�。當(dāng)進(jìn)行操作系統(tǒng)指紋掃描時(shí), 依然需要重新發(fā)送ICMP幀或TCP幀��,然后根據(jù)返回的幀進(jìn)行判斷,而無法使用其他掃描過 程中接收到的幀�。
發(fā)明內(nèi)容
本發(fā)明要解決的技術(shù)問題是針對(duì)現(xiàn)有技術(shù)中存在的缺陷,提供一種惡意代碼控制 端主動(dòng)發(fā)現(xiàn)方法及裝置����,以實(shí)現(xiàn)在因特網(wǎng)中對(duì)惡意代碼控制端進(jìn)行有效發(fā)現(xiàn)。為解決上述技術(shù)問題�����,本發(fā)明惡意代碼控制端主動(dòng)發(fā)現(xiàn)方法包括如下步驟主機(jī)信息掃描步驟�,用于在需要掃描的IP地址范圍內(nèi),找出處于在線狀態(tài)����,操作 系統(tǒng)為Windows,且具有開放端口的主機(jī)并確定其至少一個(gè)開放端口 �����;然后對(duì)所述各主機(jī) 分別執(zhí)行控制端信息掃描步驟�����;控制端信息掃描步驟���,用于對(duì)預(yù)先確定的一些已知惡意代碼控制端類型分別執(zhí)行 下述操作與所述主機(jī)的開放端口建立網(wǎng)絡(luò)連接���,模擬所述已知惡意代碼控制端類型對(duì)應(yīng)的 被控端主機(jī)的網(wǎng)絡(luò)行為��,向所述主機(jī)發(fā)送數(shù)據(jù)�����,并對(duì)接收到的返回?cái)?shù)據(jù)進(jìn)行分析�����,若符合所 述已知惡意代碼控制端類型的特征,則認(rèn)為所述主機(jī)中存在所述惡意代碼控制端類型��。進(jìn)一步地�����,所述主機(jī)信息掃描步驟包括主機(jī)狀態(tài)掃描步驟��,用于在所述需要掃描的IP地址范圍內(nèi)�����,確定處于在線狀態(tài)的 主機(jī);操作系統(tǒng)指紋檢測(cè)步驟����,用于在所述處于在線狀態(tài)的主機(jī)中,確定操作系統(tǒng)為 Windows的主機(jī)�;端口狀態(tài)掃描步驟,用于檢測(cè)所述處于在線狀態(tài)且操作系統(tǒng)為Windows的主機(jī)是 否具有開放端口����,并確定其至少一個(gè)開放端口。更進(jìn)一步地�����,主機(jī)狀態(tài)掃描步驟包括步驟1��、在所述需要掃描的IP地址范圍內(nèi)���,對(duì)每個(gè)IP地址���,執(zhí)行步驟2到步驟5 ;步驟2��、使用ICMP回顯掃描法判斷主機(jī)是否在線����,如果在線����,則認(rèn)為該主機(jī)處于在 線狀態(tài)����;否則執(zhí)行步驟3 ;步驟3����、使用ICMP時(shí)間戳掃描法判斷主機(jī)是否在線,如果在線�����,則認(rèn)為該主機(jī)處于 在線狀態(tài)���,否則執(zhí)行步驟4;步驟4、使用ICMP子網(wǎng)掩碼掃描法判斷主機(jī)是否在線���,如果在線��,則認(rèn)為該主機(jī)處 于在線狀態(tài)���,否則執(zhí)行步驟5;步驟5�、選擇一些常用開放端口進(jìn)行TCP SYN掃描��,如果其中至少有一個(gè)端口處于 打開狀態(tài)�����,則認(rèn)為該主機(jī)處于在線狀態(tài)��,否則認(rèn)為該主機(jī)不在線����。上述步驟3和4的順序可以相互倒換。更進(jìn)一步地�����,在所述操作系統(tǒng)指紋檢測(cè)步驟中���,是利用所述ICMP掃描或TCPSYN掃 描時(shí)收到的數(shù)據(jù)幀�,進(jìn)行操作系統(tǒng)指紋識(shí)別����,來判斷主機(jī)操作系統(tǒng)是否為Windows系統(tǒng)的�����。更進(jìn)一步地�����,所述端口狀態(tài)掃描步驟中��,是通過對(duì)所述處于在線狀態(tài)且操作系統(tǒng) 為Windows的主機(jī)的所有TCP端口進(jìn)行TCP SYN掃描�����,來檢測(cè)其是否具有開放端口�,并確定 至少一個(gè)開放端口的��。更進(jìn)一步地��,所述端口狀態(tài)掃描步驟中��,同時(shí)開啟了兩個(gè)進(jìn)程���,其中一個(gè)用于接收 數(shù)據(jù),另一個(gè)用于發(fā)送數(shù)據(jù)���,發(fā)送數(shù)據(jù)的速度可由用戶進(jìn)行配置����。為解決上述技術(shù)問題,本發(fā)明惡意代碼控制端主動(dòng)發(fā)現(xiàn)裝置包括
主機(jī)信息掃描模塊���,用于在需要掃描的IP地址范圍內(nèi)����,找出處于在線狀態(tài)�,操作 系統(tǒng)為Windows,且具有開放端口的主機(jī)并確定其至少一個(gè)開放端口 ��;然后將所述各主機(jī) 分別交由控制端信息掃描模塊執(zhí)行���;控制端信息掃描模塊����,用于對(duì)預(yù)先確定的一些已知惡意代碼控制端類型分別執(zhí)行 下述操作與所述主機(jī)的開放端口建立網(wǎng)絡(luò)連接�����,模擬所述已知惡意代碼控制端類型對(duì)應(yīng)的 被控端主機(jī)的網(wǎng)絡(luò)行為,向所述主機(jī)發(fā)送數(shù)據(jù)��,并對(duì)接收到的返回?cái)?shù)據(jù)進(jìn)行分析��,若符合所 述已知惡意代碼控制端類型的特征���,則認(rèn)為所述主機(jī)中存在所述惡意代碼控制端類型�����。進(jìn)一步地�,所述主機(jī)信息掃描模塊包括主機(jī)狀態(tài)掃描模塊�����,用于在所述需要掃描的IP地址范圍內(nèi)�,確定處于在線狀態(tài)的 主機(jī);操作系統(tǒng)指紋檢測(cè)模塊�����,用于在所述處于在線狀態(tài)的主機(jī)中��,確定操作系統(tǒng)為 Windows的主機(jī)��;端口狀態(tài)掃描模塊,用于檢測(cè)所述處于在線狀態(tài)且操作系統(tǒng)為Windows的主機(jī)是 否具有開放端口�����,并確定其至少一個(gè)開放端口�。更進(jìn)一步地�,所述端口狀態(tài)掃描模塊是通過對(duì)所述處于在線狀態(tài)且操作系統(tǒng)為 Windows的主機(jī)的所有TCP端口進(jìn)行TCP SYN掃描,來檢測(cè)其是否具有開放端口����,并確定至 少一個(gè)開放端口的。本發(fā)明的有益效果為本發(fā)明首先通過對(duì)主機(jī)信息進(jìn)行掃描����,在給定的IP地址范圍內(nèi)篩選出處于在線 狀態(tài)且操作系統(tǒng)為Windows的主機(jī),并確定其開放端口��,然后與這些在線且操作系統(tǒng)為 Windows的主機(jī)的開放端口建立TCP連接���,并模擬常見的惡意代碼控制端類型下被控制端 的行為方式���,向所述在線且操作系統(tǒng)為Windows的主機(jī)發(fā)送數(shù)據(jù),并對(duì)收到的返回?cái)?shù)據(jù)進(jìn) 行分析��,如果如何該種常見的惡意代碼控制端類型的特征,則認(rèn)為該主機(jī)中存在該種常見 的控制端類型���。采用本發(fā)明方案��,避免了大量的時(shí)間開銷�����,能夠有效地對(duì)因特網(wǎng)中的惡意代 碼控制端進(jìn)行主動(dòng)發(fā)現(xiàn)及識(shí)別���,適用于對(duì)因特網(wǎng)中的主機(jī)進(jìn)行大規(guī)模掃描,對(duì)信息安全保 障具有重大的現(xiàn)實(shí)意義�。
圖1為本發(fā)明惡意代碼控制端主動(dòng)發(fā)現(xiàn)方法流程示意圖;圖2為主機(jī)信息掃描步驟流程示意圖�����;圖3為控制端信息掃描步驟流程示意圖����;圖4為本發(fā)明惡意代碼控制端主動(dòng)發(fā)現(xiàn)裝置結(jié)構(gòu)示意圖。
具體實(shí)施例方式下面結(jié)合附圖和具體實(shí)施方式
對(duì)本發(fā)明作進(jìn)一步詳細(xì)說明��。本發(fā)明提出了惡意代碼控制端主動(dòng)發(fā)現(xiàn)的一種解決方案���,即主動(dòng)掃描因特網(wǎng)中 的主機(jī)��,獲取其在線狀態(tài)�����、開放端口和操作系統(tǒng)類型�����;對(duì)操作系統(tǒng)為Windows的在線主機(jī)�����, 向其開放的端口建立網(wǎng)絡(luò)連接�,模擬被控制端的網(wǎng)絡(luò)行為����;將該主機(jī)返回的通信數(shù)據(jù)與控
7制端網(wǎng)絡(luò)行為特征進(jìn)行對(duì)比,根據(jù)對(duì)比結(jié)果判斷主機(jī)中是否存在控制端���、是哪種控制端���,從 而最終實(shí)現(xiàn)主動(dòng)發(fā)現(xiàn)和識(shí)別控制端�。圖1為本發(fā)明惡意代碼控制端主動(dòng)發(fā)現(xiàn)方法流程示意圖�,如果所示,本發(fā)明惡意 代碼控制端發(fā)現(xiàn)方法具體包括主機(jī)信息掃描步驟和控制端信息掃描步驟����。其中,主機(jī)信息掃描步驟用于在需要進(jìn)行掃描的主機(jī)IP地址范圍中�,確定處于在 線狀態(tài)且操作系統(tǒng)為Windows系統(tǒng)的主機(jī)及其開放端口 ;控制端信息掃描步驟用于通過與 主機(jī)信息掃描步驟確定的在線主機(jī)的開放端口建立網(wǎng)絡(luò)連接���,模擬被控制端的網(wǎng)絡(luò)行為�����, 對(duì)接收到的來自該在線主機(jī)的數(shù)據(jù)進(jìn)行分析����,以確定該在線主機(jī)中是否存在惡意代碼控制 端���。主機(jī)信息掃描步驟依次包括主機(jī)狀態(tài)掃描步驟�����,用于在需要進(jìn)行掃描的主機(jī)IP 地址范圍中��,確定處于在線狀態(tài)的主機(jī)����;操作系統(tǒng)指紋檢測(cè)步驟,用于在主機(jī)狀態(tài)掃描步驟 確定的處于在線狀態(tài)的主機(jī)中���,確定操作系統(tǒng)為Windows系統(tǒng)的主機(jī)��;端口狀態(tài)掃描步驟����, 用于確定處于在線狀態(tài)且操作系統(tǒng)為Windows系統(tǒng)的主機(jī)的開放端口���。控制端信息掃描步驟包括與主機(jī)信息掃描步驟確定的所述在線主機(jī)的開放端口 建立TCP連接�����;并確定一些已知的常見控制端類型���,然后對(duì)各已知的常見控制端類型分別 執(zhí)行以下步驟模擬在某常見的控制端類型下作為惡意代碼被控制端的行為方式�����,向該在 線主機(jī)發(fā)送數(shù)據(jù)�;對(duì)接收到的該在線主機(jī)的返回?cái)?shù)據(jù)進(jìn)行分析,判斷是否符合該常見的控 制端類型的特征���,符合則認(rèn)為該在線主機(jī)中存在該類型的控制端��。圖2為主機(jī)信息掃描步驟流程示意圖�,如圖所示���,主機(jī)信息掃描步驟具體包括1�����、任務(wù)開始��,獲取需要進(jìn)行掃描主機(jī)的IP地址范圍���,并由用戶輸入系統(tǒng)運(yùn)行過程 中需要使用的一些配置參數(shù)。2��、對(duì)每個(gè)IP地址��,執(zhí)行步驟3到步驟10�。3��、使用ICMP回顯掃描判斷主機(jī)是否在線����,如果在線�,執(zhí)行步驟7 ;否則執(zhí)行步驟4��。4�����、使用ICMP時(shí)間戳掃描(掃描原理與ICMP回顯類似)判斷主機(jī)是否在線��,如果 在線�,執(zhí)行步驟7 ��;否則執(zhí)行步驟5���。步驟3和4的順序可以相互倒換���。5、使用ICMP子網(wǎng)掩碼掃描(掃描原理與ICMP回顯類似)判斷主機(jī)是否在線���,如 果在線��,執(zhí)行步驟7 ����;否則執(zhí)行步驟6。6�、根據(jù)輸入的配置參數(shù),選擇若干個(gè)常用開放端口�,對(duì)這些端口進(jìn)行TCP SYN掃 描,如果有一個(gè)以上的端口打開則判定主機(jī)在線����,如果在線,執(zhí)行步驟7����,否則將這個(gè)IP地 址丟棄,執(zhí)行步驟10����。其中,常見開放端口可由用戶進(jìn)行配置�����。7、根據(jù)ICMP掃描或TCP SYN掃描時(shí)收到的數(shù)據(jù)幀��,進(jìn)行操作系統(tǒng)指紋識(shí)別�,若判 斷主機(jī)操作系統(tǒng)不是Windows,將這個(gè)IP地址丟棄����,執(zhí)行步驟10。8�����、對(duì)于操作系統(tǒng)為Windows的主機(jī)���,對(duì)其所有TCP端口一次進(jìn)行TCP SYN掃描�。該 步驟中開啟兩個(gè)進(jìn)程�����,其中一個(gè)用于收包�,另一個(gè)用于發(fā)包����;發(fā)包的速度受輸入的配置參數(shù) 控制���。9、對(duì)主機(jī)的任一端口�����,若掃描得知它是打開的����,將IP地址與端口號(hào)傳遞給控制端 信息掃描部分,即步驟11開始并發(fā)地執(zhí)行���。該主機(jī)所有端口掃描完成后�,轉(zhuǎn)入下一步����。
8
10、選擇下一個(gè)IP地址�,執(zhí)行步驟3到10,如果所有IP地址已經(jīng)執(zhí)行完畢�����,則主機(jī) 信息掃描部分完成。本發(fā)明方法在進(jìn)行主機(jī)信息掃描時(shí)��,采用了步驟3-6等四個(gè)步驟來判定主機(jī)是否 在線��,是為了盡量減少漏判發(fā)生����。實(shí)際操作中,可以減去其中部分步驟�,但這樣的代價(jià)是對(duì) 主機(jī)在線狀態(tài)進(jìn)行判定時(shí)漏判幾率增加。圖3為控制端信息掃描步驟流程示意圖���,如圖所示����,控制端信息掃描步驟具體包 括11�、開始控制端信息掃描,接收主機(jī)信息掃描步驟傳來的主機(jī)IP地址與端口號(hào)���, 并由用戶輸入系統(tǒng)運(yùn)行過程中需要使用的一些配置參數(shù)���。確定一些已知的常見控制端類 型,并對(duì)主機(jī)信息掃描步驟傳來的各主機(jī)(下面也成為目標(biāo)主機(jī))IP地址分別執(zhí)行下面的步驟����。12、與目標(biāo)主機(jī)的開放端口建立TCP連接����。13、通過配置參數(shù)�,開始對(duì)每種常見的控制端類型逐一執(zhí)行步驟14到18。14���、從存儲(chǔ)控制端信息的數(shù)據(jù)庫中獲取其該種控制端類型對(duì)應(yīng)的數(shù)據(jù)包荷載�,根 據(jù)目標(biāo)主機(jī)與端口號(hào)構(gòu)造出模擬被控制端行為的數(shù)據(jù)包����。15、將數(shù)據(jù)包發(fā)送給目標(biāo)主機(jī)����。16、等待直至接收到目標(biāo)主機(jī)回應(yīng)的數(shù)據(jù)包���。17���、從存儲(chǔ)控制端判斷規(guī)則的數(shù)據(jù)庫中調(diào)用該控制端對(duì)應(yīng)的判斷規(guī)則�����,根據(jù)判斷 規(guī)則對(duì)回應(yīng)數(shù)據(jù)包進(jìn)行判定��,以判斷是否存在此類型控制端���,也就是對(duì)回應(yīng)數(shù)據(jù)包進(jìn)行分 析,判斷其是否符合該種控制端類型的特征���,如果符合則認(rèn)為目標(biāo)主機(jī)中存在該控制端類 型�。如果存在����,將其記錄下來。對(duì)下一類型的常見控制端執(zhí)行步驟(14)至(18)���,直至所有控制端類型都執(zhí)行完 畢����。將記錄下來的結(jié)果輸出�,此部分掃描完成。采用本發(fā)明惡意代碼控制端發(fā)現(xiàn)方法����,具有如下優(yōu)點(diǎn)1��、通過三類ICMP掃描方法找出相當(dāng)大一部分在線主機(jī),這部分主機(jī)不再需要通 過端口掃描來判斷是否在線�,減少了掃描次數(shù),進(jìn)而減少了掃描所需時(shí)間���。2����、操作系統(tǒng)指紋掃描使用ICMP掃描����、常見端口掃描的結(jié)果,減少了掃描次數(shù)���,進(jìn) 而減少了掃描所需時(shí)間��。3,TCP全端口掃描的速度可通過輸入?yún)?shù)動(dòng)態(tài)配置����,可根據(jù)環(huán)境達(dá)到最優(yōu)��,因而較 固定而通用的掃描速度更快。4��、通過輸入動(dòng)態(tài)參數(shù)動(dòng)態(tài)配置掃描速度�,能有效控制發(fā)送數(shù)據(jù)包對(duì)系統(tǒng)資源特別 是網(wǎng)絡(luò)帶寬的占用,提高了整個(gè)掃描的準(zhǔn)確性��。5���、通過雙進(jìn)程并行工作����,一個(gè)專門負(fù)責(zé)收包��,一個(gè)專門負(fù)責(zé)發(fā)包���,一方面并行工作 提高了掃描速度���,另一方面控制了收發(fā)數(shù)據(jù)包對(duì)系統(tǒng)資源特別是主機(jī)內(nèi)存的占用,提高了 整個(gè)掃描的準(zhǔn)確性����。6、通過三種ICMP掃描、常見端口掃描的串行執(zhí)行����,提高了掃描結(jié)果的準(zhǔn)確性。7�、使用TCP SYN掃描檢查端口是否開放,避免了其他幾種方法的局限��。8JfTCP SYN掃描主機(jī)全端口集中成為系統(tǒng)中的一部分��,整個(gè)掃描過程相對(duì)集中����,
9根據(jù)程序執(zhí)行的原理�,將降低上下文切換的開銷,從而提高系統(tǒng)速度��。9�、通過模擬惡意代碼被控制端的網(wǎng)絡(luò)行為,實(shí)現(xiàn)了對(duì)控制端的自動(dòng)掃描��。10����、通過對(duì)惡意代碼控制端通信特征的對(duì)比,實(shí)現(xiàn)了對(duì)控制端的判斷和識(shí)別���。11�����、通過主機(jī)信息掃描與控制端信息掃描相結(jié)合�,實(shí)現(xiàn)了對(duì)大范圍網(wǎng)絡(luò)中控制端 的發(fā)現(xiàn)與識(shí)別。下面給出一個(gè)具體實(shí)施例��,對(duì)本發(fā)明方法做進(jìn)一步具體說明���,該實(shí)施例包括如下 步驟步驟10 用戶輸入需要掃描的IP地址范圍��、需要使用的常見端口的數(shù)目�����、發(fā)包速 度����、收包等待時(shí)間���。步驟11 對(duì)掃描范圍內(nèi)的每個(gè)IP地址�,將其在線狀態(tài)標(biāo)記為不在線,系統(tǒng)類型標(biāo) 記為 Windows����。步驟12 先開啟一個(gè)進(jìn)程,用于接收數(shù)據(jù)包��;再開啟一個(gè)進(jìn)程��,用于發(fā)送數(shù)據(jù)包����。 因此,步驟13�、14與步驟15�、16、17將在時(shí)間上并行地被執(zhí)行��。步驟13 針對(duì)掃描范圍內(nèi)的每一個(gè)IP地址���,發(fā)包進(jìn)程構(gòu)造以其為目的IP地址的 ICMP回顯請(qǐng)求幀數(shù)據(jù)包����,按用戶規(guī)定的時(shí)間間隔逐一發(fā)送�。步驟14 在發(fā)送完所有數(shù)據(jù)包后,發(fā)包進(jìn)程向收包進(jìn)程發(fā)送特定消息,然后立即 退出��。步驟15 在步驟13到步驟14的執(zhí)行過程中�,收包進(jìn)程持續(xù)接收數(shù)據(jù)包。對(duì)每個(gè) 數(shù)據(jù)包,判斷其類型是否為ICMP回顯應(yīng)答幀���。如果是,進(jìn)一步判斷其源IP地址是否在掃描 范圍內(nèi)�����。如果在�,則將這個(gè)IP地址的狀態(tài)改為在線,執(zhí)行步驟16���。以上兩步判斷如果有一 步結(jié)果為否�����,則不再分析這個(gè)數(shù)據(jù)包�����,轉(zhuǎn)為接收下一個(gè)數(shù)據(jù)包(步驟15)��。步驟16 根據(jù)接收到的ICMP回顯應(yīng)答幀進(jìn)行操作系統(tǒng)指紋識(shí)別����,如果判斷為非 Windows操作系統(tǒng),將IP地址的操作系統(tǒng)類型標(biāo)記為非Windows��。否則不做任何修改�。本 步驟結(jié)束后,跳到第15步�����,繼續(xù)接收下一個(gè)數(shù)據(jù)包���。步驟17 收包進(jìn)程在收到發(fā)包進(jìn)程的消息后��,開始計(jì)時(shí),當(dāng)時(shí)間超過收包等待時(shí) 間����,收包進(jìn)程退出。開始執(zhí)行步驟20����。步驟20:再次開啟一個(gè)進(jìn)程�����,用于接收數(shù)據(jù)包��;開啟一個(gè)進(jìn)程�����,用于發(fā)送數(shù)據(jù)包��。 因此����,步驟21�、22與步驟23、24�、25將在時(shí)間上并行地被執(zhí)行。步驟21 針對(duì)掃描范圍內(nèi)的每一個(gè)狀態(tài)為不在線的IP地址����,發(fā)包進(jìn)程構(gòu)造以其為 目的IP地址的ICMP時(shí)間戳請(qǐng)求幀數(shù)據(jù)包,按用戶規(guī)定的時(shí)間間隔逐一發(fā)送�。步驟22 在發(fā)送完所有數(shù)據(jù)包后,發(fā)包進(jìn)程向收包進(jìn)程發(fā)送特定消息��,然后立即 退出。步驟23 在步驟21到步驟22的執(zhí)行過程中�,收包進(jìn)程持續(xù)接收數(shù)據(jù)包。對(duì)每個(gè) 數(shù)據(jù)包���,判斷其類型是否為ICMP時(shí)間戳應(yīng)答幀����。如果是��,進(jìn)一步判斷其源IP地址是否在掃 描范圍內(nèi)��。如果在�����,則將這個(gè)IP地址標(biāo)注為在線��,執(zhí)行步驟24�����。以上兩步判斷如果有一步 結(jié)果為否���,則不再分析這個(gè)數(shù)據(jù)包���,轉(zhuǎn)為接收下一個(gè)數(shù)據(jù)包(步驟23)。步驟24 根據(jù)接收到的ICMP時(shí)間戳應(yīng)答幀進(jìn)行操作系統(tǒng)指紋識(shí)別��,如果判斷為非 Windows操作系統(tǒng)�,將IP地址的操作系統(tǒng)類型標(biāo)記為非Windows。否則不做任何修改��。本 步驟結(jié)束后�����,跳到第23步���,繼續(xù)接收下一個(gè)數(shù)據(jù)包����。
步驟25 收包進(jìn)程在收到發(fā)包進(jìn)程的消息后���,開始計(jì)時(shí)��,當(dāng)時(shí)間超過收包等待時(shí) 間�����,收包進(jìn)程退出����,開始執(zhí)行步驟30。步驟30:再次開啟一個(gè)進(jìn)程����,用于接收數(shù)據(jù)包;開啟一個(gè)進(jìn)程����,用于發(fā)送數(shù)據(jù)包。 因此��,步驟31�����、32與步驟33�����、34����、35將在時(shí)間上并行地被執(zhí)行。步驟31 針對(duì)掃描范圍內(nèi)的每一個(gè)狀態(tài)為不在線的IP地址��,發(fā)包進(jìn)程構(gòu)造以其為 目的IP地址的ICMP子網(wǎng)掩碼請(qǐng)求幀數(shù)據(jù)包�����,按用戶規(guī)定的時(shí)間間隔逐一發(fā)送���。步驟32 在發(fā)送完所有數(shù)據(jù)包后����,發(fā)包進(jìn)程向收包進(jìn)程發(fā)送特定消息�,然后立即 退出。步驟33 在步驟31到步驟32的執(zhí)行過程中����,收包進(jìn)程持續(xù)接收數(shù)據(jù)包。對(duì)每個(gè) 數(shù)據(jù)包�����,判斷其類型是否為ICMP子網(wǎng)掩碼應(yīng)答幀����。如果是���,進(jìn)一步判斷其源IP地址是否在 掃描范圍內(nèi)。如果在���,則將這個(gè)IP地址標(biāo)注為在線��,執(zhí)行步驟34�。以上兩步判斷如果有一 步結(jié)果為否�����,則不再分析這個(gè)數(shù)據(jù)包�����,轉(zhuǎn)為接收下一個(gè)數(shù)據(jù)包(步驟33)���。步驟34 根據(jù)接收到的ICMP子網(wǎng)掩碼應(yīng)答幀進(jìn)行操作系統(tǒng)指紋識(shí)別��,如果判斷為 非Windows操作系統(tǒng)���,將IP地址的操作系統(tǒng)類型標(biāo)記為非Windows。否則不做任何修改。 本步驟結(jié)束后�,跳到第33步,繼續(xù)接收下一個(gè)數(shù)據(jù)包���。步驟35 收包進(jìn)程在收到發(fā)包進(jìn)程的消息后,開始計(jì)時(shí)���,當(dāng)時(shí)間超過收包等待時(shí) 間�,收包進(jìn)程退出�,開始執(zhí)行步驟40。步驟40:再次開啟一個(gè)進(jìn)程���,用于接收數(shù)據(jù)包����;開啟一個(gè)進(jìn)程���,用于發(fā)送數(shù)據(jù)包�。 因此���,步驟42�、43與步驟44、45�、46將在時(shí)間上并行地被執(zhí)行。步驟41 根據(jù)用戶輸入的使用常見端口的數(shù)目��,在配置文件中查找出最常見的這 么多個(gè)端口號(hào)����。步驟42 針對(duì)掃描范圍內(nèi)的每一個(gè)狀態(tài)為不在線的IP地址及第41步查找出來的 每一個(gè)端口號(hào),發(fā)包進(jìn)程構(gòu)造以該IP地址為目的地址�、該端口號(hào)為目的端口的TCP SYN數(shù) 據(jù)包,按用戶規(guī)定的時(shí)間間隔逐一發(fā)送�����。步驟43 在發(fā)送完所有數(shù)據(jù)包后����,發(fā)包進(jìn)程向收包進(jìn)程發(fā)送特定消息,然后立即 退出����。步驟44 在步驟42到步驟43的執(zhí)行過程中,收包進(jìn)程持續(xù)接收數(shù)據(jù)包��。對(duì)每個(gè) 數(shù)據(jù)包�����,判斷其類型是否為TCP,且SYN和ACK位被置上����。如果是,進(jìn)一步判斷其源IP地址 是否在掃描范圍內(nèi)�����,以及源端口號(hào)是否在第41步得到的端口號(hào)范圍內(nèi)�����。如果對(duì)某個(gè)(IP地 址�,端口號(hào))組合����,上述判斷是在,則將這個(gè)I P地址標(biāo)注為在線�����,執(zhí)行步驟45����。以上三步判 斷如果有一步結(jié)果為否�����,則不再分析這個(gè)數(shù)據(jù)包�,轉(zhuǎn)為接收下一個(gè)數(shù)據(jù)包(步驟44)�。步驟45:根據(jù)接收到的TCP數(shù)據(jù)包進(jìn)行操作系統(tǒng)指紋識(shí)別,如果判斷為非Windows 操作系統(tǒng)���,將IP地址的操作系統(tǒng)類型標(biāo)記為非Windows����。否則不做任何修改����。本步驟結(jié)束 后,跳到第44步�����,繼續(xù)接收下一個(gè)數(shù)據(jù)包���。步驟46 收包進(jìn)程在收到發(fā)包進(jìn)程的消息后�����,開始計(jì)時(shí)���,當(dāng)時(shí)間超過收包等待時(shí) 間����,收包進(jìn)程退出�����,開始執(zhí)行步驟50�����。步驟50 對(duì)掃描范圍的IP地址進(jìn)行篩選���,挑選出其中在線狀態(tài)為在線、操作系統(tǒng) 類型為Windows的IP地址���,記錄下來����,作為下一步掃描的目標(biāo)。步驟51 再次開啟一個(gè)進(jìn)程���,用于接收數(shù)據(jù)包����;開啟一個(gè)進(jìn)程���,用于發(fā)送數(shù)據(jù)包����。因此���,步驟52��、53與步驟54�����、55將在時(shí)間上并行地被執(zhí)行��。步驟52 針對(duì)第50步得到的每一個(gè)IP地址����,發(fā)包進(jìn)程分別構(gòu)造以該IP地址為目 的地址、從1到65535為目的端口的65535個(gè)TCP SYN數(shù)據(jù)包�����,按用戶規(guī)定的時(shí)間間隔逐一發(fā)送���。步驟53 在發(fā)送完所有數(shù)據(jù)包后�,發(fā)包進(jìn)程向收包進(jìn)程發(fā)送特定消息�����,然后立即 退出�����。步驟54 在步驟52到步驟53的執(zhí)行過程中���,收包進(jìn)程持續(xù)接收數(shù)據(jù)包。對(duì)每個(gè) 數(shù)據(jù)包���,判斷其類型是否為TCP�,且SYN和ACK位被置上�����。如果是,進(jìn)一步判斷其源IP地址 是否在第50步得到的I P地址范圍內(nèi)�����。如果對(duì)某個(gè)(IP地址�����,端口號(hào))組合���,上述判斷是 在����,則將這個(gè)(IP地址�����,端口號(hào))組合存儲(chǔ)到輸出文件中��。以上三步判斷如果有一步結(jié)果為 否��,則不再分析這個(gè)數(shù)據(jù)包,轉(zhuǎn)為接收下一個(gè)數(shù)據(jù)包(步驟54)����。步驟55 收包進(jìn)程在收到發(fā)包進(jìn)程的消息后,開始計(jì)時(shí)��,當(dāng)時(shí)間超過收包等待時(shí) 間��,收包進(jìn)程退出���,開始執(zhí)行步驟60��。步驟60:讀取步驟54產(chǎn)生的輸出文件�����,產(chǎn)生需要掃描的(IP地址���,端口號(hào))組合 的列表。針對(duì)列表中的所有組合��,分別執(zhí)行步驟61到步驟69�。全部執(zhí)行完后����,跳轉(zhuǎn)到步驟 70�。步驟61 對(duì)每種已知的控制端類型�����,分別執(zhí)行步驟62到步驟69。步驟62 開啟一個(gè)進(jìn)程�,用于接收數(shù)據(jù)包����;開啟一個(gè)進(jìn)程�,用于發(fā)送數(shù)據(jù)包�。步驟63 發(fā)包進(jìn)程與該IP地址及端口號(hào)通過TCP三步握手建立TCP連接。步驟64 發(fā)包進(jìn)程從存儲(chǔ)了控制端信息的數(shù)據(jù)庫中讀取控制端通信方法,以及專 門為這種控制端構(gòu)造的(一個(gè)或多個(gè))數(shù)據(jù)包�,將數(shù)據(jù)包的目的地址填充為該IP地址、目 的端口填充為該端口號(hào)�����,發(fā)送數(shù)據(jù)包����。步驟65 收包進(jìn)程接收數(shù)據(jù)包。步驟67:根據(jù)第64步中從數(shù)據(jù)庫讀取的控制端通信方法���,重復(fù)步驟64�����、65���,直至通 信完成。發(fā)包進(jìn)程與該(IP地址��,端口號(hào))之間斷開TCP連接���,然后發(fā)包進(jìn)程退出�。步驟68 收包進(jìn)程從規(guī)則庫中讀取這種控制端的判斷規(guī)則,解析規(guī)則得到一系列 判斷方法��,根據(jù)這些方法對(duì)接收到的數(shù)據(jù)包進(jìn)行解析���、模式匹配和判斷,得到判斷結(jié)果�。步驟69 如果第66步判斷為是,將結(jié)果記錄到最終輸出文件并輸出至用戶界面。 如果判斷為否����,不進(jìn)行任何操作�。之后�,收包進(jìn)程退出。跳轉(zhuǎn)到步驟61,開始對(duì)下一種控制 端類型的判斷���。步驟70 讀取第69步得到的最終輸出文件����,將結(jié)果進(jìn)行統(tǒng)計(jì)并呈現(xiàn)到程序的用戶 界面。圖4為本發(fā)明惡意代碼控制端主動(dòng)發(fā)現(xiàn)裝置結(jié)構(gòu)示意圖���,如圖所示�,本發(fā)明惡意 代碼控制端發(fā)現(xiàn)裝置包括主機(jī)信息掃描模塊和控制端信息掃描模塊��。其中�����,主機(jī)信息掃描模塊用于在需要掃描的IP地址范圍內(nèi)����,找出處于在線狀態(tài), 操作系統(tǒng)為Windows����,且具有開放端口的主機(jī)并確定其至少一個(gè)開放端口 ;然后將這些主 機(jī)分別交由控制端信息掃描模塊執(zhí)行�����?��?刂贫诵畔呙枘K用于對(duì)預(yù)先確定的一些已知惡意代碼控制端類型分別執(zhí)行 下述操作
與上述主機(jī)的開放端口建立網(wǎng)絡(luò)連接��,模擬已知惡意代碼控制端類型對(duì)應(yīng)的被控 端主機(jī)的網(wǎng)絡(luò)行為��,向該主機(jī)發(fā)送數(shù)據(jù),并對(duì)接收到的返回?cái)?shù)據(jù)進(jìn)行分析,若符合已知惡意 代碼控制端類型的特征,則認(rèn)為該主機(jī)中存在該惡意代碼控制端類型�����。主機(jī)信息掃描模塊包括主機(jī)狀態(tài)掃描模塊�,用于在需要進(jìn)行掃描的IP地址范圍 中,確定處于在線狀態(tài)的主機(jī)�;操作系統(tǒng)指紋檢測(cè)模塊�,用于在主機(jī)狀態(tài)掃描模塊確定的處 于在線狀態(tài)的主機(jī)中��,確定操作系統(tǒng)為Windows系統(tǒng)的主機(jī)�;端口狀態(tài)掃描模塊,用于檢測(cè) 處于在線狀態(tài)且操作系統(tǒng)為Windows的主機(jī)是否具有開放端口�,并確定其至少一個(gè)開放端 口。端口狀態(tài)掃描模塊是通過對(duì)處于在線狀態(tài)且操作系統(tǒng)為Windows系統(tǒng)的主機(jī)的所有 TCP端口進(jìn)行TCP SYN掃描����,來檢測(cè)其是否具有開放端口,并確定至少一個(gè)開放端口的���。以上所述的具體實(shí)施例���,對(duì)本發(fā)明的目的、技術(shù)方案和有益效果進(jìn)行了進(jìn)一步詳 細(xì)說明,所應(yīng)注意的是�����,以上所述僅為本發(fā)明的具體實(shí)施例而已���,本領(lǐng)域的技術(shù)人員可以對(duì) 本發(fā)明進(jìn)行各種改動(dòng)和變型而不脫離本發(fā)明的精神和范圍��。這樣����,倘若本發(fā)明的這些修改 和變型屬于本發(fā)明權(quán)利要求記載的技術(shù)方案及其等同技術(shù)的范圍之內(nèi)��,則本發(fā)明也意圖包 含這些改動(dòng)和變型在內(nèi)��。
權(quán)利要求
一種惡意代碼控制端主動(dòng)發(fā)現(xiàn)方法��,其特征在于包括如下步驟主機(jī)信息掃描步驟�,用于在需要掃描的IP地址范圍內(nèi)�����,找出處于在線狀態(tài)��,操作系統(tǒng)為Windows,且具有開放端口的主機(jī)并確定其至少一個(gè)開放端口�;然后對(duì)所述各主機(jī)分別執(zhí)行控制端信息掃描步驟;控制端信息掃描步驟�,用于對(duì)預(yù)先確定的一些已知惡意代碼控制端類型分別執(zhí)行下述操作與所述主機(jī)的開放端口建立網(wǎng)絡(luò)連接,模擬所述已知惡意代碼控制端類型對(duì)應(yīng)的被控端主機(jī)的網(wǎng)絡(luò)行為��,向所述主機(jī)發(fā)送數(shù)據(jù)����,并對(duì)接收到的返回?cái)?shù)據(jù)進(jìn)行分析,若符合所述已知惡意代碼控制端類型的特征����,則認(rèn)為所述主機(jī)中存在所述惡意代碼控制端類型。
2.根據(jù)權(quán)利要求1所述的惡意代碼控制端主動(dòng)發(fā)現(xiàn)方法��,其特征在于��,所述主機(jī)信息 掃描步驟包括主機(jī)狀態(tài)掃描步驟����,用于在所述需要掃描的IP地址范圍內(nèi),確定處于在線狀態(tài)的主機(jī)����;操作系統(tǒng)指紋檢測(cè)步驟�,用于在所述處于在線狀態(tài)的主機(jī)中�����,確定操作系統(tǒng)為Windows 的主機(jī)���;端口狀態(tài)掃描步驟�,用于檢測(cè)所述處于在線狀態(tài)且操作系統(tǒng)為Windows的主機(jī)是否具 有開放端口����,并確定其至少一個(gè)開放端口。
3.根據(jù)權(quán)利要求2所述的惡意代碼控制端主動(dòng)發(fā)現(xiàn)方法���,其特征在于���,所述主機(jī)狀態(tài) 掃描步驟包括步驟1、在所述需要掃描的IP地址范圍內(nèi)�����,對(duì)每個(gè)IP地址����,執(zhí)行步驟2到步驟5 ;步驟2�、使用ICMP回顯掃描法判斷主機(jī)是否在線,如果在線����,則認(rèn)為該主機(jī)處于在線狀 態(tài);否則執(zhí)行步驟3 �����;步驟3���、使用ICMP時(shí)間戳掃描法判斷主機(jī)是否在線����,如果在線���,則認(rèn)為該主機(jī)處于在線 狀態(tài)����,否則執(zhí)行步驟4;步驟4�、使用ICMP子網(wǎng)掩碼掃描法判斷主機(jī)是否在線,如果在線��,則認(rèn)為該主機(jī)處于在 線狀態(tài),否則執(zhí)行步驟5;步驟5��、選擇一些常用開放端口進(jìn)行TCP SYN掃描�����,如果其中至少有一個(gè)端口處于打開 狀態(tài)���,則認(rèn)為該主機(jī)處于在線狀態(tài)�����,否則認(rèn)為該主機(jī)不在線�。
4.根據(jù)權(quán)利要求2所述的惡意代碼控制端主動(dòng)發(fā)現(xiàn)方法�,其特征在于,所述主機(jī)狀態(tài) 掃描步驟包括步驟1���、在所述需要掃描的IP地址范圍內(nèi)�����,對(duì)每個(gè)IP地址���,執(zhí)行步驟2到步驟5 ;步驟2�����、使用ICMP回顯掃描法判斷主機(jī)是否在線��,如果在線��,則認(rèn)為該主機(jī)處于在線狀 態(tài)��;否則執(zhí)行步驟3;步驟3��、使用ICMP子網(wǎng)掩碼掃描法判斷主機(jī)是否在線��,如果在線�����,則認(rèn)為該主機(jī)處于在 線狀態(tài)����,否則執(zhí)行步驟4;步驟4、使用ICMP時(shí)間戳掃描法判斷主機(jī)是否在線����,如果在線���,則認(rèn)為該主機(jī)處于在線 狀態(tài),否則執(zhí)行步驟5;步驟5�、選擇一些常用開放端口進(jìn)行TCP SYN掃描,如果其中至少有一個(gè)端口處于打開 狀態(tài)�����,則認(rèn)為該主機(jī)處于在線狀態(tài)����,否則認(rèn)為該主機(jī)不在線。2
5.根據(jù)權(quán)利要求3或4所述的惡意代碼控制端主動(dòng)發(fā)現(xiàn)方法�����,其特征在于所述操作系統(tǒng)指紋檢測(cè)步驟中�,是利用所述ICMP掃描或TCP SYN掃描時(shí)收到的數(shù)據(jù) 幀,進(jìn)行操作系統(tǒng)指紋識(shí)別�,來判斷操作系統(tǒng)是否為Windows的。
6.根據(jù)權(quán)利要求2所述的惡意代碼控制端主動(dòng)發(fā)現(xiàn)方法�,其特征在于所述端口狀態(tài)掃描步驟中,是通過對(duì)所述處于在線狀態(tài)且操作系統(tǒng)為Windows的主機(jī) 的所有TCP端口進(jìn)行TCP SYN掃描����,來檢測(cè)其是否具有開放端口��,并確定至少一個(gè)開放端口 的�。
7.根據(jù)權(quán)利要求2至6中任一項(xiàng)所述的惡意代碼控制端主動(dòng)發(fā)現(xiàn)方法�����,其特征在于 所述端口狀態(tài)掃描步驟中���,同時(shí)開啟了兩個(gè)進(jìn)程,其中一個(gè)用于接收數(shù)據(jù)���,另一個(gè)用于發(fā)送數(shù)據(jù)��。
8.—種惡意代碼控制端主動(dòng)發(fā)現(xiàn)裝置��,其特征在于包括主機(jī)信息掃描模塊����,用于在需要掃描的IP地址范圍內(nèi)�,找出處于在線狀態(tài),操作系統(tǒng) 為Windows����,且具有開放端口的主機(jī)并確定其至少一個(gè)開放端口 ;然后將所述各主機(jī)分別 交由控制端信息掃描模塊執(zhí)行�;控制端信息掃描模塊,用于對(duì)預(yù)先確定的一些已知惡意代碼控制端類型分別執(zhí)行下述 操作與所述主機(jī)的開放端口建立網(wǎng)絡(luò)連接���,模擬所述已知惡意代碼控制端類型對(duì)應(yīng)的被控 端主機(jī)的網(wǎng)絡(luò)行為���,向所述主機(jī)發(fā)送數(shù)據(jù),并對(duì)接收到的返回?cái)?shù)據(jù)進(jìn)行分析���,若符合所述已 知惡意代碼控制端類型的特征����,則認(rèn)為所述主機(jī)中存在所述惡意代碼控制端類型�����。
9.根據(jù)權(quán)利要求8所述的惡意代碼控制端主動(dòng)發(fā)現(xiàn)裝置�����,其特征在于�,所述主機(jī)信息 掃描模塊包括主機(jī)狀態(tài)掃描模塊,用于在所述需要掃描的IP地址范圍內(nèi),確定處于在線狀態(tài)的主機(jī)���;操作系統(tǒng)指紋檢測(cè)模塊����,用于在所述處于在線狀態(tài)的主機(jī)中���,確定操作系統(tǒng)為Windows 的主機(jī);端口狀態(tài)掃描模塊�,用于檢測(cè)所述處于在線狀態(tài)且操作系統(tǒng)為Windows的主機(jī)是否具 有開放端口,并確定其至少一個(gè)開放端口�����。
10.根據(jù)權(quán)利要求9所述的惡意代碼控制端主動(dòng)發(fā)現(xiàn)裝置�,其特征在于所述端口狀態(tài)掃描模塊是通過對(duì)所述處于在線狀態(tài)且操作系統(tǒng)為Windows的主機(jī)的 所有TCP端口進(jìn)行TCP SYN掃描,來檢測(cè)其是否具有開放端口����,并確定至少一個(gè)開放端口 的。
全文摘要
本發(fā)明公開了一種惡意代碼控制端主動(dòng)發(fā)現(xiàn)方法�����,包括主機(jī)信息掃描步驟,用于在需要掃描的IP地址范圍內(nèi)���,找出處于在線狀態(tài)����,操作系統(tǒng)為Windows�,且具有開放端口的主機(jī)并確定其至少一個(gè)開放端口;控制端信息掃描步驟��,與所述主機(jī)的開放端口建立網(wǎng)絡(luò)連接���,模擬已知的惡意代碼控制端類型對(duì)應(yīng)的被控端主機(jī)的網(wǎng)絡(luò)行為�,向所述主機(jī)發(fā)送數(shù)據(jù)��,并對(duì)接收到的返回?cái)?shù)據(jù)進(jìn)行分析����,若符合所述已知惡意代碼控制端類型的特征,則認(rèn)為所述主機(jī)中存在所述惡意代碼控制端類型���。采用本發(fā)明方法能夠有效識(shí)別惡意代碼控制端�,適用于對(duì)因特網(wǎng)中的主機(jī)進(jìn)行大規(guī)模掃描���,對(duì)信息安全保障具有重大的現(xiàn)實(shí)意義��。本發(fā)明還相應(yīng)提供了一種惡意代碼控制端主動(dòng)發(fā)現(xiàn)裝置����。
文檔編號(hào)H04L29/06GK101924754SQ20101022732
公開日2010年12月22日 申請(qǐng)日期2010年7月15日 優(yōu)先權(quán)日2010年7月15日
發(fā)明者嚴(yán)寒冰, 孫波, 張冰, 朱春鴿, 李柏松, 杜躍進(jìn), 焦英楠, 袁春陽, 許俊峰, 黃彩洪 申請(qǐng)人:國家計(jì)算機(jī)網(wǎng)絡(luò)與信息安全管理中心