一種遠控類木馬清除方法及裝置與流程

本發明涉及網絡空間安全技術領域，特別涉及一種遠控類木馬清除方法及裝置。

背景技術：

現今社會，隨著科技的高速發展，接入互聯網的設備也越來越多，設備上運行的服務也豐富多樣，龐大的互聯網市場帶來巨大的商機，同時也隱藏著巨大的危險，木馬病毒就是其中一種。

計算機中的木馬通常包括兩部分：主控端和被控端，主控端通過將木馬植入被控端，通過網絡通信，主控端向被控端發送控制命令，被控端接收并執行，從而達到控制被控端的目的，而往往被控端用戶無法發現自己已經被控制，其輸入的敏感信息和文檔資料等會被對方竊取，造成極大的損失。

目前針對遠控類木馬清除的現有技術中，側重于通過網絡IP封堵或惡意流量清洗的方法，達到阻止在網絡側的被控端和主控端之間的連接。但是即使將主控端與被控端之間的連接阻止，被控端上依然運行著木馬程序，這些木馬程序有機會通過不同的渠道，例如：上線IP更新，通信協議更新等實現自我更新，重新上線與主控端連接，繼續控制被控端。

技術實現要素：

為了解決上述問題，本發明提供了一種遠控類木馬清除方法及裝置，通過中間人攻擊方法模擬主控端向被控端的木馬發送銷毀指令，達到徹底清除木馬程序的目的。

所述技術方案如下：

第一方面，提供了一種遠控類木馬清除方法，其特征在于，所述方法包括：

獲取網絡流量中的至少一個數據包；

根據預設的通信特征規則庫對所述至少一個數據包進行匹配，得到命中的數據包；

將包括所述命中的數據包的流量牽引至遠控類木馬反制裝置；

所述遠控類木馬反制裝置通過流量回注與所述遠控類木馬的被控端建立連接并發送自銷毀指令；

所述遠控類木馬接收所述自銷毀指令后執行銷毀。

結合第一方面，在第一種可能的實施方式中，在所述根據預設的通信特征規則庫對所述至少一個數據包進行匹配，得到命中的數據包之前，所述方法還包括：

提取payload中至少一段字節碼作為主要特征；

提取網絡報文中的至少一個屬性特征；

將所述主要特征和所述屬性特征組合形成識別遠控類木馬的通信特征。

結合第一方面，在第二種可能的實施方式中，所述根據預設的通信特征規則庫對所述至少一個數據包進行匹配，得到命中的數據包包括：

對所述數據包進行重組、解壓和解密，并與所述預設的通信特征規則庫中的通信特征進行匹配；

若所述數據包中通信特征與所述預設的通信特征規則庫中的通信特征相同，則判定所述數據包為所述命中的數據包。

結合第一方面，在第三種可能的實施方式中，所述將包括所述命中的數據包的流量牽引至遠控類木馬反制裝置包括：

根據反制策略，得到所述流量的信息；

根據所述流量的信息將所述流量牽引至遠控類木馬反制裝置；其中，所述流量的信息包括根據反制策略得到的遠控類木馬種類、遠控類木馬版本和協議端口中的任意一種或多種的組合。

結合第一方面，在第四種可能的實施方式中，所述遠控類木馬反制裝置通過流量回注與所述遠控類木馬的被控端建立連接并發送自銷毀指令包括：

所述遠控類木馬反制裝置模擬所述遠控類木馬的主控端；

當接收包括所述命中的數據包的流量后，建立與所述遠控類木馬的被控端之間的連接；

向所述遠控類木馬的被控端發送所述自銷毀指令；其中，所述遠控類木馬反制裝置包括至少一種遠控類木馬的主控端的通信協議、至少一種遠控類木馬驗證上線的驗證方法和包括所述自銷毀指令的payload中的任意一種或多種的組合。

第二方面，提供了一種遠控類木馬清除裝置，其特征在于，所述裝置包括：

獲取模塊，用于獲取網絡流量中的至少一個數據包；

匹配模塊，用于根據預設的通信特征規則庫對所述至少一個數據包進行匹配，得到命中的數據包；

牽引模塊，用于將包括所述命中的數據包的流量牽引至遠控類木馬反制裝置；

中間人模塊，用于所述遠控類木馬反制裝置通過流量回注與所述遠控類木馬的被控端建立連接并發送自銷毀指令；

銷毀模塊，用于所述遠控類木馬接收所述自銷毀指令后執行銷毀。

結合第二方面，在第一種可能的實施方式中，所述裝置還包括通信特征構建模塊，用于：

提取payload中至少一段字節碼作為主要特征；

提取網絡報文中的至少一個屬性特征；

將所述主要特征和所述屬性特征組合形成識別遠控類木馬的通信特征。

結合第二方面，在第二種可能的實施方式中，所述匹配模塊具體用于：

對所述數據包進行重組、解壓和解密，并與所述預設的通信特征規則庫中的通信特征進行匹配；

若所述數據包中通信特征與所述預設的通信特征規則庫中的通信特征相同，則判定所述數據包為所述命中的數據包。

結合第二方面，在第三種可能的實施方式中，所述牽引模塊具體用于：

根據反制策略，得到所述流量的信息；

根據所述流量的信息將所述流量牽引至遠控類木馬反制裝置；其中，所述流量的信息包括根據反制策略得到的遠控類木馬種類、遠控類木馬版本和協議端口中的任意一種或多種的組合。

結合第二方面，在第四種可能的實施方式中，所述牽引模塊具體用于：

根據反制策略，得到所述流量的信息；

根據所述流量的信息將所述流量牽引至遠控類木馬反制裝置；其中，所述流量的信息包括根據反制策略得到的遠控類木馬種類、遠控類木馬版本和協議端口中的任意一種或多種的組合。

本發明實施例提供了一種遠控類木馬清除方法及裝置，通過構建遠控類木馬的通信特征庫，可以在流量中識別木馬數據包，準確度高，識別效率高；通過將命中的流量牽引至反制裝置，可以通過反制裝置的設置來改變網絡環境中的參數，達到真實模擬主控端到目的；通過采用流量回注技術，模擬主控端與被控端建立連接，從而向被控端的木馬發送銷毀指令，可以徹底銷毀木馬程序，提高網絡安全性。

附圖說明

為了更清楚地說明本發明實施例中的技術方案，下面將對實施例描述中所需要使用的附圖作簡單地介紹，顯而易見地，下面描述中的附圖僅僅是本發明的一些實施例，對于本領域普通技術人員來講，在不付出創造性勞動的前提下，還可以根據這些附圖獲得其他的附圖。

圖1是本發明一優選實施例提供的遠控類木馬清除方法流程示意圖；

圖2是本發明另一優選實施例提供的遠控類木馬清除裝置結構示意圖。

具體實施方式

為使本發明的目的、技術方案和優點更加清楚，下面將結合本發明實施例中的附圖，對本發明實施例中的技術方案進行清楚、完整地描述，顯然，所描述的實施例僅僅是本發明一部分實施例，而不是全部的實施例。基于本發明中的實施例，本領域普通技術人員在沒有做出創造性勞動前提下所獲得的所有其他實施例，都屬于本發明保護的范圍。

參見圖1，在一優選的實施例中提供了一種遠控類木馬清除方法，尤其是一種基于網絡側流量回注技術的遠控類木馬清除方法，其中，流量回注技術可以是任意方式，包括但不限于以下：策略路由、MPLS VPN、二層透傳和雙鏈路等。具體包括以下方法：

S101、獲取網絡流量中的至少一個數據包。

具體地，采用流量采集設備DPI對網絡流量中的數據包進行采集。在一個完整的網絡通信中，主控端與被控端之間采用會話的形式進行通信，包括收發的請求包和響應包。DPI采集到的數據包可以是請求包也可以是響應包，可以是一般數據包也可以是木馬通信的數據包。

S102、構建預設的通信特征規則庫。

具體地，提取有效載荷數據payload中至少一段字節碼作為主要特征；

提取網絡報文中的至少一個屬性特征；

將主要特征和屬性特征組合形成識別遠控類木馬的通信特征。

其中，網絡報文的屬性特征包括：數據包的大小、協議、五元組限定、請求包/應答包限定和時間間隔等中的任意一個或多個的組合。

其中，有效載荷數據payload通過分析、解密遠控類木馬的通信協議得到。

通過將主要特征與屬性特征的組合構建特定遠控類木馬的通信特征，融合了遠控類木馬的數據特征和網絡報文的數據特征，可以唯一標識遠控類木馬和識別木馬所在的網絡環境。通信特征中的數據排列與存放方式可以參照一般的數據包中的數據排列與存放方式，在此不做具體限定。在構建的通信特征規則庫中，通信特征的組合方式可以任何組合，針對復雜的木馬通信特征，可以通過多個通信特征來共同表征和識別。

可選的，S102可以在S101之后，也可以在S101之前，執行順序不做具體限定。

S103、根據預設的通信特征規則庫對至少一個數據包進行匹配，得到命中的數據包。

具體地，對數據包進行重組、解壓和解密，并與預設的通信特征規則庫中的通信特征進行匹配；

對數據包進行重組、解壓和解密后，將得到的數據信息與通信特征規則庫中的通信特征依次進行匹配。可選的，為了提高匹配的效率，可以先匹配網絡報文的屬性特征，待確定后，在逐項匹配主要特征。

若數據包中通信特征與預設的通信特征規則庫中的通信特征相同，則判定數據包為命中的數據包。否則，結束本方法的執行。

其中，命中的數據包為包含通信特征的木馬數據包。

S104、將包括命中的數據包的流量牽引至遠控類木馬反制裝置。

具體地，根據反制策略，得到流量的信息；

根據流量的信息將流量牽引至遠控類木馬反制裝置；其中，流量的信息包括根據反制策略得到的遠控類木馬種類、遠控類木馬版本和協議端口中的任意一種或多種的組合。

其中，在S103中命中的流量可以在重組、解壓和解密后識別遠控類木馬種類、遠控類木馬版本和協議端口，根據得到的上述信息制定反制策略，從而將上述命中的流量牽引至木馬反制裝置的對應端口。

S105、遠控類木馬反制裝置通過流量回注與遠控類木馬的被控端建立連接并發送自銷毀指令。

具體地，遠控類木馬反制裝置模擬遠控類木馬的主控端；

當接收包括命中的數據包的流量后，建立與遠控類木馬的被控端之間的連接；

向遠控類木馬的被控端發送所述自銷毀指令；其中，遠控類木馬反制裝置包括至少一種遠控類木馬的主控端的通信協議、至少一種遠控類木馬驗證上線的驗證方法和包括所述自銷毀指令的payload中的任意一種或多種的組合。

遠控類木馬反制裝置包括硬件設備和軟件環境，在軟件環境方面可以通過軟件模擬多種已知的遠控類木馬主控端部分通信協議，并且預先設置了多種登錄上線的驗證方法和自銷毀指令的payload，當接收通過流量牽引而來的命中的流量后，可以模擬遠控類木馬主控端，對網絡參數實時修改，主動建立與被控端的連接。在模擬主控端與被控端建立連接的過程實質是發起中間人攻擊的過程，區別于封堵技術和蜜蠟技術對遠控類木馬主控端的接管，中間人攻擊采用的是直接與被控端建立連接。在模擬主控端與被控端建立連接后，遠控類木馬反制裝置可以將預設的自銷毀指令發送至被控端。

S106、遠控類木馬接收自銷毀指令后執行銷毀。

運行在被控端的遠控類木馬接收到發送的自銷毀指令后，執行自銷毀任務，徹底銷毀運行的木馬程序。在銷毀過程中運行于后臺，不影響被控端設備的正常顯示和運行。

本發明實施例提供的一種遠控類木馬清除方法，通過構建遠控類木馬的通信特征庫，可以在流量中識別木馬數據包，準確度高，識別效率高；通過將命中的流量牽引至反制裝置，可以通過反制裝置的設置來改變網絡環境中的參數，達到真實模擬主控端到目的；通過采用流量回注技術，模擬主控端與被控端建立連接，從而向被控端的木馬發送銷毀指令，可以徹底銷毀木馬程序，提高網絡安全性。

參照圖2所示，在本發明另一優選的實施例中，提供了一種遠控類木馬清除裝置，該裝置包括：

獲取模塊201，用于獲取網絡流量中的至少一個數據包；具體地，采用流量采集設備DPI獲取網絡流量中的至少一個數據包。

匹配模塊202，用于根據預設的通信特征規則庫對至少一個數據包進行匹配，得到命中的數據包。

牽引模塊203，用于將包括命中的數據包的流量牽引至遠控類木馬反制裝置。

中間人模塊204，用于遠控類木馬反制裝置通過流量回注與遠控類木馬的被控端建立連接并發送自銷毀指令。

銷毀模塊205，用于遠控類木馬接收自銷毀指令后執行銷毀。

其中，該裝置還包括通信特征構建模塊206，用于：

提取payload中至少一段字節碼作為主要特征；

提取網絡報文中的至少一個屬性特征；

將主要特征和屬性特征組合形成識別遠控類木馬的通信特征。

具體地，匹配模塊202具體用于：

對數據包進行重組、解壓和解密，并與預設的通信特征規則庫中的通信特征進行匹配；

若數據包中通信特征與預設的通信特征規則庫中的通信特征相同，則判定數據包為命中的數據包。

具體地，牽引模塊203具體用于：

根據反制策略，得到流量的信息；

根據流量的信息將流量牽引至遠控類木馬反制裝置；其中，流量的信息包括根據反制策略得到的遠控類木馬種類、遠控類木馬版本和協議端口中的任意一種或多種的組合。

中間人模塊204具體用于：

遠控類木馬反制裝置模擬所控類木馬的主控端；

當接收包括命中的數據包的流量后，建立與遠控類木馬的被控端之間的連接；

向遠控類木馬的被控端發送自銷毀指令。

其中，遠控類木馬反制裝置包括至少一種遠控類木馬的主控端的通信協議、至少一種遠控類木馬驗證上線的驗證方法和包括所述自銷毀指令的payload中的任意一種或多種的組合。

本發明實施例提供了一種遠控類木馬清除裝置，通信特征構建模塊206通過構建遠控類木馬的通信特征庫，可以在流量中識別木馬數據包，準確度高，識別效率高；牽引模塊203通過將命中的流量牽引至反制裝置，可以通過反制裝置的設置來改變網絡環境中的參數，達到真實模擬主控端到目的；中間人攻擊模塊204通過采用流量回注技術，模擬主控端與被控端建立連接，從而向被控端的木馬發送銷毀指令，銷毀模塊205接送上述銷毀指令后可以徹底銷毀木馬程序，提高網絡安全性。

需要說明的是：所述實施例僅以所述各功能模塊的劃分進行舉例說明，實際應用中，可以根據需要而將所述功能分配由不同的功能模塊完成，即將裝置的內部結構劃分成不同的功能模塊，以完成以上描述的全部或者部分功能。另外，所述實施例提供的遠控類木馬清除方法和裝置屬于同一構思，其具體實現過程詳見實施例，這里不再贅述。

以上所述僅為本發明的較佳實施例，并不用以限制本發明，凡在本發明的精神和原則之內，所作的任何修改、等同替換、改進等，均應包含在本發明的保護范圍之內。