CN106657100A - 一种基于数据包过滤的远程控制恶意程序检测方法及系统 - Google Patents

一种基于数据包过滤的远程控制恶意程序检测方法及系统 Download PDF

Info

Publication number
CN106657100A
CN106657100A CN201611249289.6A CN201611249289A CN106657100A CN 106657100 A CN106657100 A CN 106657100A CN 201611249289 A CN201611249289 A CN 201611249289A CN 106657100 A CN106657100 A CN 106657100A
Authority
CN
China
Prior art keywords
packet
collection
packet collection
communication
scan tool
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201611249289.6A
Other languages
English (en)
Inventor
许梦磊
童志明
何公道
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Harbin Antiy Technology Co Ltd
Original Assignee
Harbin Antiy Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Harbin Antiy Technology Co Ltd filed Critical Harbin Antiy Technology Co Ltd
Priority to CN201611249289.6A priority Critical patent/CN106657100A/zh
Publication of CN106657100A publication Critical patent/CN106657100A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • H04L67/025Protocols based on web technology, e.g. hypertext transfer protocol [HTTP] for remote control or remote monitoring of applications

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提出基于数据包过滤的远程控制恶意程序检测方法及系统,该方法利用监测网络,获取预设时间段内的网络数据包,按照条件进行两次筛选出数据包大小在预设值范围内且通信IP固定的网络数据包,判断数据包的发包频率是否固定,若是则为可疑数据包,则可初步判定系统感染了远程控制恶意程序,然后对可疑数据包进行解析,获取其通信IP和内容,可对通信IP进行长期监测,并结合注册表查看工具,进程查看工具及系统日志判定系统是否被远程控制恶意程序感染。该方法可有效检测系统环境,检测是否有可疑数据包进而判断是否可能感染远程控制恶意软件,以便及时切断用户与服务器间的联系,有效的阻止重要信息的丢失。

Description

一种基于数据包过滤的远程控制恶意程序检测方法及系统
技术领域
本发明涉及信息安全技术领域,尤其涉及一种基于数据包过滤的远程控制恶意程序检测方法及系统。
背景技术
远程控制,是在网络上由一台电脑(主控端Remote/客户端)远距离去控制另一台电脑(被控端Host/服务器端)的技术,这里的远程不是字面意思的远距离,一般指通过网络控制远端电脑。
远程控制的主控端为了确定被控端是否还存活,会通过向被控端发送数据包的方式,请求应答。如果被控端应答,则证明被控端依旧存活,如果无应答响应,则证明被控端以断开连接。
发明内容
针对上述现有技术中存在的问题,本发明提出一种基于数据包过滤的远程控制恶意程序检测方法及系统,具体发明内容包括:
一种基于数据包过滤的远程控制恶意程序检测方法,包括:
监测网络,获取预设时间段内的网络数据包,构成数据包集A;
在所述数据包集A中,筛选出数据包大小在预设值范围内的数据包,构成数据包集B1或在所述数据包集A中筛选出通信IP固定的数据包,构成数据包集B2;
在所述数据包集B1中,继续筛选出通信IP固定的数据包,构成数据包集C1或在所述数据包集B2中,继续筛选出数据包大小在预设值范围内的网络数据包,构成数据包集C2;
判断所述数据包集C1或数据包集C2中的数据包的发包频率是否固定,若是则为可疑数据包,则可初步判定系统感染了远程控制恶意程序。
进一步地,所述深度判定具体包括:
解析可疑数据包,获取其通信IP和内容并长期监测;结合查看工具及系统日志判定系统是否感染了远程控制恶意程序。
进一步地,所述查看工具包括注册表查看工具以及进程查看工具。
一种基于数据包过滤的远程控制恶意程序检测系统,其特征在于,
包括:
监测模块,用于监测网络,获取预设时间段内的网络数据包,构成数据包集A;
筛选模块一,用于在所述数据包集A中,筛选出数据包大小在预设值范围内的数据包,构成数据包集B1或在所述数据包集A中筛选出通信IP固定的数据包,构成数据包集B2;
筛选模块二,用于在所述数据包集B1中,继续筛选出通信IP固定的数据包,构成数据包集C1或在所述数据包集B2中,继续筛选出数据包大小在预设值范围内的网络数据包,构成数据包集C2;
判定模块,判断所述数据包集C1或数据包集C2中的数据包的发包频率是否固定,若是则为可疑数据包,则可初步判定系统感染了远程控制恶意程序。
进一步地,所述深度判定具体包括:
解析可疑数据包,获取其通信IP和内容并长期监测;结合查看工具及系统日志判定系统是否感染了远程控制恶意程序。
进一步地,所述查看工具包括注册表查看工具以及进程查看工具。
本发明的有益效果是:
该方法可有效检测系统环境,检测是否有可疑数据包进而判断是否可能感染远程控制恶意软件,以便及时切断用户与服务器间的联系,有效的阻止重要信息的丢失。
附图说明
为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明一种基于数据包过滤的远程控制恶意程序检测方法流程图;
图2为本发明一种基于数据包过滤的远程控制恶意程序检测系统结构图。
具体实施方式
为了使本技术领域的人员更好地理解本发明实施例中的技术方案,并使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明中技术方案作进一步详细的说明。
本发明给出了一种基于数据包过滤的远程控制恶意程序检测方法的实施例,如图1所示,包括:
S101、监测网络,获取预设时间段内的网络数据包,构成数据包集A;
S102、在所述数据包集A中,筛选出数据包大小在预设值范围内的数据包,构成数据包集B1或在所述数据包集A中筛选出通信IP固定的数据包,构成数据包集B2;
S103、在所述数据包集B1中,继续筛选出通信IP固定的数据包,构成数据包集C1或在所述数据包集B2中,继续筛选出数据包大小在预设值范围内的网络数据包,构成数据包集C2;
S104、判断所述数据包集C1或数据包集C2中的数据包的发包频率是否固定,若是则为可疑数据包,则可初步判定系统感染了远程控制恶意程序。
优选地,所述深度判定具体包括:
解析可疑数据包,获取其通信IP和内容并长期监测;结合查看工具及系统日志判定系统是否感染了远程控制恶意程序。
优选地,所述查看工具包括注册表查看工具以及进程查看工具。
本发明给出了一种基于数据包过滤的远程控制恶意程序检测系统的实施例,如图2所示,包括:
监测模块201,用于监测网络,获取预设时间段内的网络数据包,构成数据包集A;
筛选模块一202,用于在所述数据包集A中,筛选出数据包大小在预设值范围内的数据包,构成数据包集B1或在所述数据包集A中筛选出通信IP固定的数据包,构成数据包集B2;
筛选模块二203,用于在所述数据包集B1中,继续筛选出通信IP固定的数据包,构成数据包集C1或在所述数据包集B2中,继续筛选出数据包大小在预设值范围内的网络数据包,构成数据包集C2;
判定模块204,判断所述数据包集C1或数据包集C2中的数据包的发包频率是否固定,若是则为可疑数据包,则可初步判定系统感染了远程控制恶意程序,并进行深度判定。
优选地,所述深度判定具体包括:
解析可疑数据包,获取其通信IP和内容并长期监测;结合查看工具及系统日志判定系统是否感染了远程控制恶意程序。
优选地,所述查看工具包括注册表查看工具以及进程查看工具。
本发明提出一种基于数据包过滤的远程控制恶意程序检测方法及系统,该方法利用监测网络,获取预设时间段内的网络数据包,按照条件进行两次筛选出数据包大小在预设值范围内且通信IP固定的网络数据包,判断数据包的发包频率是否固定,若是则为可疑数据包,则可初步判定系统感染了远程控制恶意程序,并进行深度判定。然后对可疑数据包进行解析,获取其通信IP和内容,可对通信IP进行长期监测,并结合注册表查看工具,进程查看工具及系统日志判定系统是否被远程控制恶意程序感染。该方法可有效检测系统环境,检测是否有可疑数据包进而判断是否可能感染远程控制恶意软件,以便及时切断用户与服务器间的联系,有效的阻止重要信息的丢失。
虽然通过实施例描绘了本发明,本领域普通技术人员知道,本发明有许多变形和变化而不脱离本发明的精神,希望所附的权利要求包括这些变形和变化而不脱离本发明的精神。

Claims (6)

1.一种基于数据包过滤的远程控制恶意程序检测方法,其特征在于,包括:
监测网络,获取预设时间段内的网络数据包,构成数据包集A;
在所述数据包集A中,筛选出数据包大小在预设值范围内的数据包,构成数据包集B1或在所述数据包集A中筛选出通信IP固定的数据包,构成数据包集B2;
在所述数据包集B1中,继续筛选出通信IP固定的数据包,构成数据包集C1或在所述数据包集B2中,继续筛选出数据包大小在预设值范围内的网络数据包,构成数据包集C2;
判断所述数据包集C1或数据包集C2中的数据包的发包频率是否固定,若是则为可疑数据包,则初步判定系统感染了远程控制恶意程序,并进行深度判定。
2.如权利要求1所述的方法,其特征在于,所述深度判定具体包括:
解析可疑数据包,获取其通信IP和内容并长期监测;结合查看工具及系统日志判定系统是否感染了远程控制恶意程序。
3.如权利要求2所述的方法,其特征在于,所述查看工具包括注册表查看工具以及进程查看工具。
4.一种基于数据包过滤的远程控制恶意程序检测系统,其特征在于,
包括:
监测模块,用于监测网络,获取预设时间段内的网络数据包,构成数据包集A;
筛选模块一,用于在所述数据包集A中,筛选出数据包大小在预设值范围内的数据包,构成数据包集B1或在所述数据包集A中筛选出通信IP固定的数据包,构成数据包集B2;
筛选模块二,用于在所述数据包集B1中,继续筛选出通信IP固定的数据包,构成数据包集C1或在所述数据包集B2中,继续筛选出数据包大小在预设值范围内的网络数据包,构成数据包集C2;
判定模块,判断所述数据包集C1或数据包集C2中的数据包的发包频率是否固定,若是则为可疑数据包,则可初步判定系统感染了远程控制恶意程序,并进行深度判定。
5.如权利要求4所述的系统,其特征在于,所述深度判定具体包括:
解析可疑数据包,获取其通信IP和内容并长期监测;结合查看工具及系统日志判定系统是否感染了远程控制恶意程序。
6.如权利要求5所述的系统,其特征在于,所述查看工具包括注册表查看工具以及进程查看工具。
CN201611249289.6A 2016-12-29 2016-12-29 一种基于数据包过滤的远程控制恶意程序检测方法及系统 Pending CN106657100A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201611249289.6A CN106657100A (zh) 2016-12-29 2016-12-29 一种基于数据包过滤的远程控制恶意程序检测方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201611249289.6A CN106657100A (zh) 2016-12-29 2016-12-29 一种基于数据包过滤的远程控制恶意程序检测方法及系统

Publications (1)

Publication Number Publication Date
CN106657100A true CN106657100A (zh) 2017-05-10

Family

ID=58836114

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201611249289.6A Pending CN106657100A (zh) 2016-12-29 2016-12-29 一种基于数据包过滤的远程控制恶意程序检测方法及系统

Country Status (1)

Country Link
CN (1) CN106657100A (zh)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070214504A1 (en) * 2004-03-30 2007-09-13 Paolo Milani Comparetti Method And System For Network Intrusion Detection, Related Network And Computer Program Product
CN101572609A (zh) * 2008-04-29 2009-11-04 成都市华为赛门铁克科技有限公司 检测拒绝服务攻击的方法及其装置
CN102638442A (zh) * 2011-02-15 2012-08-15 西门子公司 检测gtp攻击的系统和方法
CN103905415A (zh) * 2013-10-25 2014-07-02 哈尔滨安天科技股份有限公司 一种防范远控类木马病毒的方法及系统
CN103916288A (zh) * 2013-12-27 2014-07-09 哈尔滨安天科技股份有限公司 一种基于网关与本地的Botnet检测方法及系统

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070214504A1 (en) * 2004-03-30 2007-09-13 Paolo Milani Comparetti Method And System For Network Intrusion Detection, Related Network And Computer Program Product
CN101572609A (zh) * 2008-04-29 2009-11-04 成都市华为赛门铁克科技有限公司 检测拒绝服务攻击的方法及其装置
CN102638442A (zh) * 2011-02-15 2012-08-15 西门子公司 检测gtp攻击的系统和方法
CN103905415A (zh) * 2013-10-25 2014-07-02 哈尔滨安天科技股份有限公司 一种防范远控类木马病毒的方法及系统
CN103916288A (zh) * 2013-12-27 2014-07-09 哈尔滨安天科技股份有限公司 一种基于网关与本地的Botnet检测方法及系统

Similar Documents

Publication Publication Date Title
CA2821126C (en) Detection of infected network devices via analysis of responseless outgoing network traffic
CN100514960C (zh) 用于检测tcp syn洪水式攻击的统计方法
EP2257024B1 (en) Method, network apparatus and network system for defending distributed denial of service ddos attack
CN109922085B (zh) 一种基于plc中cip协议的安全防护系统及方法
CN1330131C (zh) 一种交互式的网络蠕虫检测系统和方法
CN102624706B (zh) 一种dns隐蔽信道的检测方法
RU2641233C2 (ru) Способ, устройство и машиночитаемый носитель данных для зависящей от приложения фильтрации пакетов протокола передачи файлов
CN101309150B (zh) 分布式拒绝服务攻击的防御方法、装置和系统
CN102594623B (zh) 防火墙的数据检测方法及装置
CN103944865B (zh) 隔离保护系统及其执行双向数据包过滤检查的方法
CN101001242B (zh) 网络设备入侵检测的方法
CN103095676A (zh) 过滤系统以及过滤方法
CN105187435A (zh) 一种防火墙规则过滤优化方法
JP2013183458A (ja) ネットワーク攻撃を感知する移動通信端末機およびその感知方法
CN104135474A (zh) 基于主机出入度的网络异常行为检测方法
CN105791269A (zh) 一种基于数据白名单的信息安全网关
CN102780681A (zh) Url过滤系统及过滤url的方法
CN109474485A (zh) 基于网络流量信息检测僵尸网络的方法、系统及存储介质
WO2016008212A1 (zh) 一种终端及检测终端数据交互的安全性的方法、存储介质
CN102754488A (zh) 用户访问的控制方法、装置及系统
CN106878240A (zh) 僵尸主机识别方法及装置
CN106657100A (zh) 一种基于数据包过滤的远程控制恶意程序检测方法及系统
Yamada et al. Using abnormal TTL values to detect malicious IP packets
JP3760919B2 (ja) 不正アクセス防止方法、装置、プログラム
CN100433641C (zh) 一种实时检测网络蠕虫病毒的方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
CB02 Change of applicant information
CB02 Change of applicant information

Address after: 150028 Building 7, Innovation Plaza, Science and Technology Innovation City, Harbin Hi-tech Industrial Development Zone, Heilongjiang Province (838 Shikun Road)

Applicant after: Harbin antiy Technology Group Limited by Share Ltd

Address before: 150090 Room 506, No. 162 Hongqi Street, Nangang District, Harbin Development Zone, Heilongjiang Province

Applicant before: Harbin Antiy Technology Co., Ltd.

WD01 Invention patent application deemed withdrawn after publication
WD01 Invention patent application deemed withdrawn after publication

Application publication date: 20170510