[发明专利]一种基于数据包过滤的远程控制恶意程序检测方法及系统

说明书

技术领域

本发明涉及信息安全技术领域，尤其涉及一种基于数据包过滤的远程控制恶意程序检测方法及系统。

背景技术

远程控制，是在网络上由一台电脑（主控端Remote/客户端）远距离去控制另一台电脑（被控端Host/服务器端）的技术，这里的远程不是字面意思的远距离，一般指通过网络控制远端电脑。

远程控制的主控端为了确定被控端是否还存活，会通过向被控端发送数据包的方式，请求应答。如果被控端应答，则证明被控端依旧存活，如果无应答响应，则证明被控端以断开连接。

发明内容

针对上述现有技术中存在的问题，本发明提出一种基于数据包过滤的远程控制恶意程序检测方法及系统，具体发明内容包括：

一种基于数据包过滤的远程控制恶意程序检测方法，包括：

监测网络，获取预设时间段内的网络数据包，构成数据包集A；

在所述数据包集A中，筛选出数据包大小在预设值范围内的数据包,构成数据包集B1或在所述数据包集A中筛选出通信IP固定的数据包，构成数据包集B2；

在所述数据包集B1中，继续筛选出通信IP固定的数据包，构成数据包集C1或在所述数据包集B2中，继续筛选出数据包大小在预设值范围内的网络数据包，构成数据包集C2；

判断所述数据包集C1或数据包集C2中的数据包的发包频率是否固定，若是则为可疑数据包，则可初步判定系统感染了远程控制恶意程序。

进一步地，所述深度判定具体包括：

解析可疑数据包，获取其通信IP和内容并长期监测；结合查看工具及系统日志判定系统是否感染了远程控制恶意程序。

进一步地，所述查看工具包括注册表查看工具以及进程查看工具。

一种基于数据包过滤的远程控制恶意程序检测系统，其特征在于，

包括：

监测模块，用于监测网络，获取预设时间段内的网络数据包，构成数据包集A；

筛选模块一，用于在所述数据包集A中，筛选出数据包大小在预设值范围内的数据包,构成数据包集B1或在所述数据包集A中筛选出通信IP固定的数据包，构成数据包集B2；

筛选模块二，用于在所述数据包集B1中，继续筛选出通信IP固定的数据包，构成数据包集C1或在所述数据包集B2中，继续筛选出数据包大小在预设值范围内的网络数据包，构成数据包集C2；

判定模块，判断所述数据包集C1或数据包集C2中的数据包的发包频率是否固定，若是则为可疑数据包，则可初步判定系统感染了远程控制恶意程序。

进一步地，所述深度判定具体包括：

解析可疑数据包，获取其通信IP和内容并长期监测；结合查看工具及系统日志判定系统是否感染了远程控制恶意程序。

进一步地，所述查看工具包括注册表查看工具以及进程查看工具。

本发明的有益效果是：

该方法可有效检测系统环境，检测是否有可疑数据包进而判断是否可能感染远程控制恶意软件，以便及时切断用户与服务器间的联系，有效的阻止重要信息的丢失。

附图说明

为了更清楚地说明本发明或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明中记载的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明一种基于数据包过滤的远程控制恶意程序检测方法流程图；

图2为本发明一种基于数据包过滤的远程控制恶意程序检测系统结构图。

具体实施方式

为了使本技术领域的人员更好地理解本发明实施例中的技术方案，并使本发明的上述目的、特征和优点能够更加明显易懂，下面结合附图对本发明中技术方案作进一步详细的说明。

本发明给出了一种基于数据包过滤的远程控制恶意程序检测方法的实施例，如图1所示，包括：

S101、监测网络，获取预设时间段内的网络数据包，构成数据包集A；

S102、在所述数据包集A中，筛选出数据包大小在预设值范围内的数据包,构成数据包集B1或在所述数据包集A中筛选出通信IP固定的数据包，构成数据包集B2；

S103、在所述数据包集B1中，继续筛选出通信IP固定的数据包，构成数据包集C1或在所述数据包集B2中，继续筛选出数据包大小在预设值范围内的网络数据包，构成数据包集C2；