CN102984177A - 一种识别远控木马的方法及其装置 - Google Patents

一种识别远控木马的方法及其装置 Download PDF

Info

Publication number
CN102984177A
CN102984177A CN2012105679170A CN201210567917A CN102984177A CN 102984177 A CN102984177 A CN 102984177A CN 2012105679170 A CN2012105679170 A CN 2012105679170A CN 201210567917 A CN201210567917 A CN 201210567917A CN 102984177 A CN102984177 A CN 102984177A
Authority
CN
China
Prior art keywords
domain name
ddns
module
networking
wooden horse
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN2012105679170A
Other languages
English (en)
Other versions
CN102984177B (zh
Inventor
潘建军
杨军
黄伟明
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Zhuhai Baoqu Technology Co Ltd
Original Assignee
Zhuhai Juntian Electronic Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Zhuhai Juntian Electronic Technology Co Ltd filed Critical Zhuhai Juntian Electronic Technology Co Ltd
Priority to CN201210567917.0A priority Critical patent/CN102984177B/zh
Publication of CN102984177A publication Critical patent/CN102984177A/zh
Application granted granted Critical
Publication of CN102984177B publication Critical patent/CN102984177B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Abstract

本发明涉及一种识别远控木马的方法,包括步骤S11:当应用程序连网时,检测并判断连网的是否为常用的通信协议,若是,则允许其连网,若否,则进入步骤S12;步骤S12:根据应用程序访问的目标IP,获得其对应的域名;步骤S13:将获得的域名与一动态域名列表进行匹配,若不匹配,则允许其连网,若匹配,则进入步骤S14。步骤S14:将获得的域名与一白动态域名库进行匹配,若不匹配,则拦截其连网,若匹配,则允许其连网。本发明的识别远控木马的方法通过对动态域名的监控来判断是否为远控木马操作,以阻止木马或病毒对用户的非法操作,避免其遭受不必要的损失。

Description

一种识别远控木马的方法及其装置
技术领域
本发明涉及通信领域信息过滤领域,具体涉及一种识别远控木马的方法及其装置。
背景技术
计算机木马一般由两部分组成,服务端和控制端,也就是常用的C/S(CONTROL/SERVE)模式。服务端(S端Server):远程计算机机运行。一旦执行成功就可以被控制或者造成其他的破坏,这就要看种木马的人怎么想和木马本身的功能,这些控制功能,主要采用调用Windows的API实现。控制端(C端Client)也叫客户端,客户端程序主要是配套服务段端程序的功能,通过网络向服务端发布控制指令,控制段运行在本地计算机。通常,木马通过动态域名寻找控制端的IP。因此,基于动态域名来识别远控木马,是亟待解决的问题。
发明内容
本发明的目的在于克服现有技术中的缺点与不足,提供一种识别远控木马的方法。
本发明是采用以下的技术方案实现的:一种识别远控木马的方法,包括如下步骤:
步骤S11:当应用程序连网时,检测并判断连网的是否为常用的通信协议,若是,则允许其连网,若否,则进入步骤S12;
步骤S12:根据应用程序访问的目标IP,获得其对应的域名;
步骤S13:将获得的域名与一动态域名列表进行匹配,若不匹配,则允许其连网,若匹配,则进入步骤S14。
步骤S14:将获得的域名与一白动态域名库进行匹配,若不匹配,则拦截其连网,若匹配,则允许其连网。
进一步,本发明还提供了一种识别远控木马的装置,其包括通信协议检测模块、访问域名获得模块、域名判断模块和白动态域名识别模块,以及一动态域名列表和白动态域名库;当应用程序连网时,该通信协议检测模块检测并判断连网的是否为常用的通信协议,若是,则允许其连网,若否,则发送指令至访问域名获得模块;该域名获得模块根据应用程序访问的目标IP,获得其对应的域名;该域名判断模块将访问域名获得模块获得的域名与动态域名列表进行匹配,若不匹配,则允许其连网,若匹配,则发送指令至白动态域名识别模块;该白动态域名识别模块将获得的域名与白动态域名库进行匹配,若不匹配,则拦截其连网,若匹配,则允许其连网。
相对于现有技术,本发明的识别远控木马的方法及其装置通过对动态域名的监控来判断是否为远控木马操作,以阻止木马或病毒对用户的非法操作,避免其遭受不必要的损失。
为了能更清晰的理解本发明,以下将结合附图说明阐述本发明的具体实施方式。
附图说明
图1是本发明识别远控木马的方法的流程图。
图2是本发明识别远控木马的装置的模块示意图。
具体实施方式
请参阅图1,其是本发明识别远控木马的方法的流程图。该识别远控木马的方法包括如下步骤:
步骤S11:当应用程序连网时,检测并判断连网的是否为常用的通信协议。若是,则允许其连网,若否,则进入步骤S12。
其中,常用的通信协议包括:http、https、ssl、stmp等。
步骤S12:根据应用程序访问的目标IP,获得其对应的域名。
具体的,包括如下子步骤:
S121:调用windows提供的API接口,反查IP域名的缓存;
S122:通过解析DNS协议,获得对应的域名。DNS协议为域名解析协议,其包含有IP与域名的对应关系信息。
步骤S13:将获得的域名与一动态域名列表进行匹配。若不匹配,则允许其连网,若匹配,则进入步骤S14。
其中,该动态域名列表为顶级域名列表,如OICP.NET。即若应用程序访问的为非动态域名,则判断其没有受到远控木马的控制,允许其连网;若应用程序访问的为动态域名,则需要对该动态域名进行进一步的判断。
步骤S14:将获得的域名与一白动态域名库进行匹配,若不匹配,则拦截其连网,若匹配,则允许其连网。
其中,该白动态域名库收集了所有合法正常的二级动态域名,如123.OICP.NET、456.OICP.NET等。通过与白动态域名库的匹配,判断获得的动态域名是白还是黑。
通过以上的识别远控木马的方法,可以判断识别远控木马的操作,从而拦截远控木马的操作,避免用户遭受损失。
请参阅图2,其是本发明的识别远控木马的装置的模块示意图。包括通信协议检测模块21、访问域名获得模块22、域名判断模块23和白动态域名识别模块24,另外,还包括一动态域名列表25和白动态域名库26。
当应用程序连网时,通信协议检测模块21检测并判断连网的是否为常用的通信协议。若是,则允许其连网,若否,则发送指令至访问域名获得模块22。其中,常用的通信协议包括:http、https、ssl、stmp等。
访问域名获得模块22根据应用程序访问的目标IP,获得其对应的域名。具体地,该访问域名模块22首先调用windows提供的API接口,反查IP域名的缓存;然后通过解析DNS协议,获得对应的域名。其中,DNS协议为域名解析协议,其包含有IP与域名的对应关系信息。
该域名判断模块23将访问域名获得模块22获得的域名与动态域名列表25进行匹配,若不匹配,则允许其连网,若匹配,则发送指令至白动态域名识别模块24。
其中,该动态域名列表25为顶级域名列表,如OICP.NET。即若应用程序访问的为非动态域名,则判断其没有受到远控木马的控制,允许其连网;若应用程序访问的为动态域名,则需要对该动态域名进行进一步的判断。
该白动态域名识别模块24将获得的域名与白动态域名库26进行匹配,若不匹配,则拦截其连网,若匹配,则允许其连网。
其中,该白动态域名库26收集了所有合法正常的二级动态域名,如123.OICP.NET、456.OICP.NET等。通过与白动态域名库的匹配,判断获得的动态域名是白还是黑。
相对于现有技术,本发明的识别远控木马的方法及其装置通过对动态域名的监控来判断是否为远控木马操作,以阻止木马或病毒对用户的非法操作,避免其遭受不必要的损失。
本发明并不局限于上述实施方式,如果对本发明的各种改动或变形不脱离本发明的精神和范围,倘若这些改动和变形属于本发明的权利要求和等同技术范围之内,则本发明也意图包含这些改动和变形。

Claims (8)

1.一种识别远控木马的方法,包括如下步骤:
步骤S11:当应用程序连网时,检测并判断连网的是否为常用的通信协议,若是,则允许其连网,若否,则进入步骤S12;
步骤S12:根据应用程序访问的目标IP,获得其对应的域名;
步骤S13:将获得的域名与一动态域名列表进行匹配,若不匹配,则允许其连网,若匹配,则进入步骤S14。
步骤S14:将获得的域名与一白动态域名库进行匹配,若不匹配,则拦截其连网,若匹配,则允许其连网。
2.根据权利要求1所述的识别远控木马的方法,其特征在于:该步骤12具体包括如下子步骤:
S121:调用windows提供的API接口,反查IP域名的缓存;
S122:通过解析DNS协议,获得对应的域名。
3.根据权利要求1所述的识别远控木马的方法,其特征在于:该动态域名列表为顶级域名列表。
4.根据权利要求1所述的识别远控木马的方法,其特征在于:该白动态域名库收集了所有合法正常的二级动态域名。
5.一种识别远控木马的装置,其特征在于:包括通信协议检测模块、访问域名获得模块、域名判断模块和白动态域名识别模块,以及一动态域名列表和白动态域名库;当应用程序连网时,该通信协议检测模块检测并判断连网的是否为常用的通信协议,若是,则允许其连网,若否,则发送指令至访问域名获得模块;该域名获得模块根据应用程序访问的目标IP,获得其对应的域名;该域名判断模块将访问域名获得模块获得的域名与动态域名列表进行匹配,若不匹配,则允许其连网,若匹配,则发送指令至白动态域名识别模块;该白动态域名识别模块将获得的域名与白动态域名库进行匹配,若不匹配,则拦截其连网,若匹配,则允许其连网。
6.根据权利要求5所述的识别远控木马的装置,其特征在于:该访问域名获得模块首先调用windows提供的API接口,反查IP域名的缓存;再通过解析DNS协议,获得对应的域名。
7.根据权利要求5所述的识别远控木马的装置,其特征在于:该动态域名列表为顶级域名列表。
8.根据权利要求5所述的识别远控木马的装置,其特征在于:该白动态域名库收集了所有合法正常的二级动态域名。
CN201210567917.0A 2012-12-24 2012-12-24 一种识别远控木马的方法及其装置 Active CN102984177B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201210567917.0A CN102984177B (zh) 2012-12-24 2012-12-24 一种识别远控木马的方法及其装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201210567917.0A CN102984177B (zh) 2012-12-24 2012-12-24 一种识别远控木马的方法及其装置

Publications (2)

Publication Number Publication Date
CN102984177A true CN102984177A (zh) 2013-03-20
CN102984177B CN102984177B (zh) 2016-01-27

Family

ID=47857920

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201210567917.0A Active CN102984177B (zh) 2012-12-24 2012-12-24 一种识别远控木马的方法及其装置

Country Status (1)

Country Link
CN (1) CN102984177B (zh)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103873466A (zh) * 2014-03-04 2014-06-18 深信服网络科技(深圳)有限公司 Https网站过滤及阻断告警的方法和装置
CN106992992A (zh) * 2017-05-24 2017-07-28 南京中孚信息技术有限公司 一种基于通信行为的木马检测方法
CN107454037A (zh) * 2016-05-30 2017-12-08 深圳市深信服电子科技有限公司 网络攻击的识别方法和系统
CN110311930A (zh) * 2019-08-01 2019-10-08 杭州安恒信息技术股份有限公司 远控回连行为的识别方法、装置及电子设备

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20090320131A1 (en) * 2008-06-18 2009-12-24 Chiung-Ying Huang Method and System for Preventing Malicious Communication
CN102025713A (zh) * 2010-02-09 2011-04-20 中国移动通信集团北京有限公司 一种访问控制方法、系统及dns服务器
US20120042381A1 (en) * 2010-08-10 2012-02-16 Manos Antonakakis Method and system for determining whether domain names are legitimate or malicious
CN102647425A (zh) * 2012-04-20 2012-08-22 汉柏科技有限公司 防火墙防木马功能的实现方法及系统
CN102761458A (zh) * 2011-12-20 2012-10-31 北京安天电子设备有限公司 一种反弹式木马的检测方法和系统
CN102833258A (zh) * 2012-08-31 2012-12-19 北京奇虎科技有限公司 网址访问方法及系统

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20090320131A1 (en) * 2008-06-18 2009-12-24 Chiung-Ying Huang Method and System for Preventing Malicious Communication
CN102025713A (zh) * 2010-02-09 2011-04-20 中国移动通信集团北京有限公司 一种访问控制方法、系统及dns服务器
US20120042381A1 (en) * 2010-08-10 2012-02-16 Manos Antonakakis Method and system for determining whether domain names are legitimate or malicious
CN102761458A (zh) * 2011-12-20 2012-10-31 北京安天电子设备有限公司 一种反弹式木马的检测方法和系统
CN102647425A (zh) * 2012-04-20 2012-08-22 汉柏科技有限公司 防火墙防木马功能的实现方法及系统
CN102833258A (zh) * 2012-08-31 2012-12-19 北京奇虎科技有限公司 网址访问方法及系统

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
左洪艳: "僵尸网络检测系统的研究与设计", 《中国优秀硕士学位论文全文数据库》 *

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103873466A (zh) * 2014-03-04 2014-06-18 深信服网络科技(深圳)有限公司 Https网站过滤及阻断告警的方法和装置
CN103873466B (zh) * 2014-03-04 2018-01-19 深信服网络科技(深圳)有限公司 Https网站过滤及阻断告警的方法和装置
CN107454037A (zh) * 2016-05-30 2017-12-08 深圳市深信服电子科技有限公司 网络攻击的识别方法和系统
CN107454037B (zh) * 2016-05-30 2020-12-01 深信服科技股份有限公司 网络攻击的识别方法和系统
CN106992992A (zh) * 2017-05-24 2017-07-28 南京中孚信息技术有限公司 一种基于通信行为的木马检测方法
CN106992992B (zh) * 2017-05-24 2020-02-11 南京中孚信息技术有限公司 一种基于通信行为的木马检测方法
CN110311930A (zh) * 2019-08-01 2019-10-08 杭州安恒信息技术股份有限公司 远控回连行为的识别方法、装置及电子设备

Also Published As

Publication number Publication date
CN102984177B (zh) 2016-01-27

Similar Documents

Publication Publication Date Title
RU2635273C2 (ru) Система и метод управления домашним шлюзом с помощью интеллектуального терминала
KR102095334B1 (ko) 로그 정보 생성장치 및 기록매체와 로그 정보 추출장치 및 기록매체
CN103051617A (zh) 识别程序的网络行为的方法、装置及系统
CN111132120B (zh) 识别房间局域网中的摄像装置的方法、系统及设备
US10187400B1 (en) Packet filters in security appliances with modes and intervals
EP2439647B1 (en) Implement method, operation method, and system without installing data card driver
TWI571837B (zh) 用於安全系統存取檢測的方法及系統
US11843621B2 (en) Behavior based profiling
CN102984177A (zh) 一种识别远控木马的方法及其装置
KR102178305B1 (ko) IoT 네트워크 접근을 제어하는 보안 시스템
CN103368978A (zh) 实现智能移动终端应用漏洞和通信安全检测的系统及方法
KR101964148B1 (ko) 기계 학습 기반으로 이상 행위를 분석하는 유무선 공유기 및 그 방법
US10523763B2 (en) Communication device, communication method, controlled device, and non-transitory computer readable medium
WO2018188470A1 (zh) 一种上传接口识别方法、识别服务器及系统及存储介质
US8332510B2 (en) Proxy detection by service processor
CN110505116A (zh) 用电信息采集系统及渗透测试方法、装置、可读存储介质
CN110969740A (zh) 门禁管理系统对不同类型门禁设备的接入方法及门禁系统
KR102048141B1 (ko) 신규 정보보안 취약점 선제 대응 시스템 및 방법
CN103067360B (zh) 程序网络行为识别方法及系统
KR101366622B1 (ko) 비인가 접근 제어를 위한 노드 식별을 위한 플랫폼 인식장치
KR101491322B1 (ko) 자기 구성 근거리 네트워크 보안
CN109218275B (zh) 应用交互方法及装置
US20170251021A1 (en) System and Method for Communicating with Security Devices within Secure Networks
US11374977B2 (en) Endpoint risk-based network protection
KR101872072B1 (ko) 공유기 보안 침해 점검 방법 및 이를 수행하는 시스템

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
ASS Succession or assignment of patent right

Owner name: KINGSOFT CORPORATION LIMITED BEIKE INTERNET (BEIJI

Effective date: 20130503

C41 Transfer of patent application or patent right or utility model
TA01 Transfer of patent application right

Effective date of registration: 20130503

Address after: Jingshan Hill Road, Lane 519015 Lianshan Jida Guangdong province Zhuhai City No. 8

Applicant after: ZHUHAI JUNTIAN ELECTRONIC TECHNOLOGY Co.,Ltd.

Applicant after: BEIJING KINGSOFT INTERNET SECURITY SOFTWARE Co.,Ltd.

Applicant after: SHELL INTERNET (BEIJING) SECURITY TECHNOLOGY Co.,Ltd.

Applicant after: BEIJING KINGSOFT NETWORK TECHNOLOGY Co.,Ltd.

Address before: Jingshan Hill Road, Lane 519015 Lianshan Jida Guangdong province Zhuhai City No. 8

Applicant before: Zhuhai Juntian Electronic Technology Co.,Ltd.

C14 Grant of patent or utility model
GR01 Patent grant
CP03 Change of name, title or address
CP03 Change of name, title or address

Address after: 519070 Guangdong city of Zhuhai Province town Harbour Road Technology Road No. 10 building six layer 601F

Co-patentee after: BEIJING KINGSOFT INTERNET SECURITY SOFTWARE Co.,Ltd.

Patentee after: ZHUHAI JUNTIAN ELECTRONIC TECHNOLOGY Co.,Ltd.

Co-patentee after: Beijing Cheetah Mobile Technology Co.,Ltd.

Co-patentee after: Beijing Cheetah Network Technology Co.,Ltd.

Address before: Jingshan Hill Road, Lane 519015 Lianshan Jida Guangdong province Zhuhai City No. 8

Co-patentee before: BEIJING KINGSOFT INTERNET SECURITY SOFTWARE Co.,Ltd.

Patentee before: Zhuhai Juntian Electronic Technology Co.,Ltd.

Co-patentee before: SHELL INTERNET (BEIJING) SECURITY TECHNOLOGY Co.,Ltd.

Co-patentee before: BEIJING KINGSOFT NETWORK TECHNOLOGY Co.,Ltd.

TR01 Transfer of patent right
TR01 Transfer of patent right

Effective date of registration: 20191125

Address after: Room 105-53811, No. 6 Baohua Road, Hengqin New District, Zhuhai City, Guangdong Province

Patentee after: Zhuhai Leopard Technology Co.,Ltd.

Address before: 519070, No. 10, main building, No. six, science Road, Harbour Road, Tang Wan Town, Guangdong, Zhuhai, 601F

Co-patentee before: BEIJING KINGSOFT INTERNET SECURITY SOFTWARE Co.,Ltd.

Patentee before: Zhuhai Juntian Electronic Technology Co.,Ltd.

Co-patentee before: Beijing Cheetah Mobile Technology Co.,Ltd.

Co-patentee before: Beijing Cheetah Network Technology Co.,Ltd.