本發(fā)明涉及信息安全技術(shù)領(lǐng)域，尤其涉及一種基于數(shù)據(jù)包過濾的遠(yuǎn)程控制惡意程序檢測方法及系統(tǒng)。

背景技術(shù)：

遠(yuǎn)程控制，是在網(wǎng)絡(luò)上由一臺電腦（主控端Remote/客戶端）遠(yuǎn)距離去控制另一臺電腦（被控端Host/服務(wù)器端）的技術(shù)，這里的遠(yuǎn)程不是字面意思的遠(yuǎn)距離，一般指通過網(wǎng)絡(luò)控制遠(yuǎn)端電腦。

遠(yuǎn)程控制的主控端為了確定被控端是否還存活，會通過向被控端發(fā)送數(shù)據(jù)包的方式，請求應(yīng)答。如果被控端應(yīng)答，則證明被控端依舊存活，如果無應(yīng)答響應(yīng)，則證明被控端以斷開連接。

技術(shù)實(shí)現(xiàn)要素：

針對上述現(xiàn)有技術(shù)中存在的問題，本發(fā)明提出一種基于數(shù)據(jù)包過濾的遠(yuǎn)程控制惡意程序檢測方法及系統(tǒng)，具體發(fā)明內(nèi)容包括：

一種基于數(shù)據(jù)包過濾的遠(yuǎn)程控制惡意程序檢測方法，包括：

監(jiān)測網(wǎng)絡(luò)，獲取預(yù)設(shè)時(shí)間段內(nèi)的網(wǎng)絡(luò)數(shù)據(jù)包，構(gòu)成數(shù)據(jù)包集A；

在所述數(shù)據(jù)包集A中，篩選出數(shù)據(jù)包大小在預(yù)設(shè)值范圍內(nèi)的數(shù)據(jù)包,構(gòu)成數(shù)據(jù)包集B1或在所述數(shù)據(jù)包集A中篩選出通信IP固定的數(shù)據(jù)包，構(gòu)成數(shù)據(jù)包集B2；

在所述數(shù)據(jù)包集B1中，繼續(xù)篩選出通信IP固定的數(shù)據(jù)包，構(gòu)成數(shù)據(jù)包集C1或在所述數(shù)據(jù)包集B2中，繼續(xù)篩選出數(shù)據(jù)包大小在預(yù)設(shè)值范圍內(nèi)的網(wǎng)絡(luò)數(shù)據(jù)包，構(gòu)成數(shù)據(jù)包集C2；

判斷所述數(shù)據(jù)包集C1或數(shù)據(jù)包集C2中的數(shù)據(jù)包的發(fā)包頻率是否固定，若是則為可疑數(shù)據(jù)包，則可初步判定系統(tǒng)感染了遠(yuǎn)程控制惡意程序。

進(jìn)一步地，所述深度判定具體包括：

解析可疑數(shù)據(jù)包，獲取其通信IP和內(nèi)容并長期監(jiān)測；結(jié)合查看工具及系統(tǒng)日志判定系統(tǒng)是否感染了遠(yuǎn)程控制惡意程序。

進(jìn)一步地，所述查看工具包括注冊表查看工具以及進(jìn)程查看工具。

一種基于數(shù)據(jù)包過濾的遠(yuǎn)程控制惡意程序檢測系統(tǒng)，其特征在于，

包括：

監(jiān)測模塊，用于監(jiān)測網(wǎng)絡(luò)，獲取預(yù)設(shè)時(shí)間段內(nèi)的網(wǎng)絡(luò)數(shù)據(jù)包，構(gòu)成數(shù)據(jù)包集A；

篩選模塊一，用于在所述數(shù)據(jù)包集A中，篩選出數(shù)據(jù)包大小在預(yù)設(shè)值范圍內(nèi)的數(shù)據(jù)包,構(gòu)成數(shù)據(jù)包集B1或在所述數(shù)據(jù)包集A中篩選出通信IP固定的數(shù)據(jù)包，構(gòu)成數(shù)據(jù)包集B2；

篩選模塊二，用于在所述數(shù)據(jù)包集B1中，繼續(xù)篩選出通信IP固定的數(shù)據(jù)包，構(gòu)成數(shù)據(jù)包集C1或在所述數(shù)據(jù)包集B2中，繼續(xù)篩選出數(shù)據(jù)包大小在預(yù)設(shè)值范圍內(nèi)的網(wǎng)絡(luò)數(shù)據(jù)包，構(gòu)成數(shù)據(jù)包集C2；

判定模塊，判斷所述數(shù)據(jù)包集C1或數(shù)據(jù)包集C2中的數(shù)據(jù)包的發(fā)包頻率是否固定，若是則為可疑數(shù)據(jù)包，則可初步判定系統(tǒng)感染了遠(yuǎn)程控制惡意程序。

進(jìn)一步地，所述深度判定具體包括：

解析可疑數(shù)據(jù)包，獲取其通信IP和內(nèi)容并長期監(jiān)測；結(jié)合查看工具及系統(tǒng)日志判定系統(tǒng)是否感染了遠(yuǎn)程控制惡意程序。

進(jìn)一步地，所述查看工具包括注冊表查看工具以及進(jìn)程查看工具。

本發(fā)明的有益效果是：

該方法可有效檢測系統(tǒng)環(huán)境，檢測是否有可疑數(shù)據(jù)包進(jìn)而判斷是否可能感染遠(yuǎn)程控制惡意軟件，以便及時(shí)切斷用戶與服務(wù)器間的聯(lián)系，有效的阻止重要信息的丟失。

附圖說明

為了更清楚地說明本發(fā)明或現(xiàn)有技術(shù)中的技術(shù)方案，下面將對實(shí)施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡單地介紹，顯而易見地，下面描述中的附圖僅僅是本發(fā)明中記載的一些實(shí)施例，對于本領(lǐng)域普通技術(shù)人員來講，在不付出創(chuàng)造性勞動(dòng)的前提下，還可以根據(jù)這些附圖獲得其他的附圖。

圖1為本發(fā)明一種基于數(shù)據(jù)包過濾的遠(yuǎn)程控制惡意程序檢測方法流程圖；

圖2為本發(fā)明一種基于數(shù)據(jù)包過濾的遠(yuǎn)程控制惡意程序檢測系統(tǒng)結(jié)構(gòu)圖。

具體實(shí)施方式

為了使本技術(shù)領(lǐng)域的人員更好地理解本發(fā)明實(shí)施例中的技術(shù)方案，并使本發(fā)明的上述目的、特征和優(yōu)點(diǎn)能夠更加明顯易懂，下面結(jié)合附圖對本發(fā)明中技術(shù)方案作進(jìn)一步詳細(xì)的說明。

本發(fā)明給出了一種基于數(shù)據(jù)包過濾的遠(yuǎn)程控制惡意程序檢測方法的實(shí)施例，如圖1所示，包括：

S101、監(jiān)測網(wǎng)絡(luò)，獲取預(yù)設(shè)時(shí)間段內(nèi)的網(wǎng)絡(luò)數(shù)據(jù)包，構(gòu)成數(shù)據(jù)包集A；

S102、在所述數(shù)據(jù)包集A中，篩選出數(shù)據(jù)包大小在預(yù)設(shè)值范圍內(nèi)的數(shù)據(jù)包,構(gòu)成數(shù)據(jù)包集B1或在所述數(shù)據(jù)包集A中篩選出通信IP固定的數(shù)據(jù)包，構(gòu)成數(shù)據(jù)包集B2；

S103、在所述數(shù)據(jù)包集B1中，繼續(xù)篩選出通信IP固定的數(shù)據(jù)包，構(gòu)成數(shù)據(jù)包集C1或在所述數(shù)據(jù)包集B2中，繼續(xù)篩選出數(shù)據(jù)包大小在預(yù)設(shè)值范圍內(nèi)的網(wǎng)絡(luò)數(shù)據(jù)包，構(gòu)成數(shù)據(jù)包集C2；

S104、判斷所述數(shù)據(jù)包集C1或數(shù)據(jù)包集C2中的數(shù)據(jù)包的發(fā)包頻率是否固定，若是則為可疑數(shù)據(jù)包，則可初步判定系統(tǒng)感染了遠(yuǎn)程控制惡意程序。

優(yōu)選地，所述深度判定具體包括：

解析可疑數(shù)據(jù)包，獲取其通信IP和內(nèi)容并長期監(jiān)測；結(jié)合查看工具及系統(tǒng)日志判定系統(tǒng)是否感染了遠(yuǎn)程控制惡意程序。

優(yōu)選地，所述查看工具包括注冊表查看工具以及進(jìn)程查看工具。

本發(fā)明給出了一種基于數(shù)據(jù)包過濾的遠(yuǎn)程控制惡意程序檢測系統(tǒng)的實(shí)施例，如圖2所示，包括：

監(jiān)測模塊201，用于監(jiān)測網(wǎng)絡(luò)，獲取預(yù)設(shè)時(shí)間段內(nèi)的網(wǎng)絡(luò)數(shù)據(jù)包，構(gòu)成數(shù)據(jù)包集A；

篩選模塊一202，用于在所述數(shù)據(jù)包集A中，篩選出數(shù)據(jù)包大小在預(yù)設(shè)值范圍內(nèi)的數(shù)據(jù)包,構(gòu)成數(shù)據(jù)包集B1或在所述數(shù)據(jù)包集A中篩選出通信IP固定的數(shù)據(jù)包，構(gòu)成數(shù)據(jù)包集B2；

篩選模塊二203，用于在所述數(shù)據(jù)包集B1中，繼續(xù)篩選出通信IP固定的數(shù)據(jù)包，構(gòu)成數(shù)據(jù)包集C1或在所述數(shù)據(jù)包集B2中，繼續(xù)篩選出數(shù)據(jù)包大小在預(yù)設(shè)值范圍內(nèi)的網(wǎng)絡(luò)數(shù)據(jù)包，構(gòu)成數(shù)據(jù)包集C2；

判定模塊204，判斷所述數(shù)據(jù)包集C1或數(shù)據(jù)包集C2中的數(shù)據(jù)包的發(fā)包頻率是否固定，若是則為可疑數(shù)據(jù)包，則可初步判定系統(tǒng)感染了遠(yuǎn)程控制惡意程序，并進(jìn)行深度判定。

優(yōu)選地，所述深度判定具體包括：

解析可疑數(shù)據(jù)包，獲取其通信IP和內(nèi)容并長期監(jiān)測；結(jié)合查看工具及系統(tǒng)日志判定系統(tǒng)是否感染了遠(yuǎn)程控制惡意程序。

優(yōu)選地，所述查看工具包括注冊表查看工具以及進(jìn)程查看工具。

本發(fā)明提出一種基于數(shù)據(jù)包過濾的遠(yuǎn)程控制惡意程序檢測方法及系統(tǒng)，該方法利用監(jiān)測網(wǎng)絡(luò)，獲取預(yù)設(shè)時(shí)間段內(nèi)的網(wǎng)絡(luò)數(shù)據(jù)包，按照條件進(jìn)行兩次篩選出數(shù)據(jù)包大小在預(yù)設(shè)值范圍內(nèi)且通信IP固定的網(wǎng)絡(luò)數(shù)據(jù)包，判斷數(shù)據(jù)包的發(fā)包頻率是否固定，若是則為可疑數(shù)據(jù)包，則可初步判定系統(tǒng)感染了遠(yuǎn)程控制惡意程序，并進(jìn)行深度判定。然后對可疑數(shù)據(jù)包進(jìn)行解析，獲取其通信IP和內(nèi)容，可對通信IP進(jìn)行長期監(jiān)測，并結(jié)合注冊表查看工具，進(jìn)程查看工具及系統(tǒng)日志判定系統(tǒng)是否被遠(yuǎn)程控制惡意程序感染。該方法可有效檢測系統(tǒng)環(huán)境，檢測是否有可疑數(shù)據(jù)包進(jìn)而判斷是否可能感染遠(yuǎn)程控制惡意軟件，以便及時(shí)切斷用戶與服務(wù)器間的聯(lián)系，有效的阻止重要信息的丟失。

雖然通過實(shí)施例描繪了本發(fā)明，本領(lǐng)域普通技術(shù)人員知道，本發(fā)明有許多變形和變化而不脫離本發(fā)明的精神，希望所附的權(quán)利要求包括這些變形和變化而不脫離本發(fā)明的精神。