[发明专利]一种基于网关远程控制攻击的反制系统

权利要求书

1.一种基于网关远程控制攻击的反制系统：其特征在于：包括：

监控模块，用于实时监控网络数据包，发现网络数据包异常后，向静态分析模块发送报警信号及异常的网络数据包；

静态分析模块，用于接收监控模块发送的报警信号，对异常的网络数据包进行静态分析，获取攻击主机位置、被攻击主机位置及被攻击主机中恶意软件位置；提取恶意软件并对恶意软件进行逆向分析，获取监控配置文件，将获取的配置文件发送给密钥获取模块；将攻击主机位置发送给网关注入模块；

密钥获取模块，用于接收静态分析模块发送的监控配置文件，对监控配置文件加载，获取密钥，并发送至网关注入模块；

网关注入模块，用于接收密钥获取模块发送的密钥及用于接收静态分析模块发送的攻击主机的位置，根据攻击主机的位置搜索攻击主机，通过密钥与攻击主机连接，向攻击主机注入反制攻击数据包。

2.根据权利要求1所述的基于网关远程控制攻击的反制系统：其特征在于：还包括隔离模块，用于接收监控模块发出的报警信号指定的异常网路数据包，对异常网路数据包进行隔离。

3.根据权利要求2所述的基于网关远程控制攻击的反制系统，其特征在于：还包括数据存储模块，用于接收监控模块发出的报警信号指定的异常网路数据包，对异常网路数据包进行存储。

4.根据权利要求3所述的基于网关远程控制攻击的反制系统，其特征在于：监控模块包括：

采集单元，用于实时采集网络数据包，并将采集的网络数据包发送给数据比对单元；

比对单元，用于接收采集单元采集的网络数据包，将获取的网络数据包与威胁情报数据库对比，提取网络数据包中域名、IP地址，与威胁情报数据库中已知恶意域名和IP地址比对，如果一致，判断为异常数据，向报警单元发送异常网路数据包信号，并将异常数据包发送给传输单元；若不一致，则编辑未发现异常数据包信号反馈给采集单元。

传输单元，用于接收比对单元发送的异常网路数据包，并将异常网路数据包发送给静态分析模块；

报警单元，用于接收比对单元发送的异常网路数据包信号，编辑报警信号发送给静态分析模块。

5.根据权利要求4所述的基于网关远程控制攻击的反制系统，其特征在于：静态分析模块包括：

启动单元，用于接收监控模块发送的报警信号，控制解析单元的开启；

解析单元，用于接收启动单元发送的启动信号，对监控模块发送异常的网络数据包进行逐层解析，提取数据包内容，对数据包内容进行关联分析和数据包重组，还原应用层数据包内容，获取攻击主机位置、被攻击主机位置及被攻击主机中恶意软件位置，将获取的被攻击主机的位置和被攻击主机中恶意软件位置发送给提取单元，将获取的攻击主机的位置发送给网关注入模块；

提取单元，用于根据获取的被攻击主机的位置和被攻击主机中恶意软件位置，提取被攻击主机中的恶意软件，并对恶意软件进行逆向分析，获取监控配置文件，将获取的监控配置文件发送给密钥获取模块。

6.根据权利要求5所述的基于网关远程控制攻击的反制系统，其特征在于：获取攻击主机和被攻击主机的网络地址包括MAC地址和IP地址。

7.根据权利要求6所述的基于网关远程控制攻击的反制系统，其特征在于：提取单元包括逆向分析组件，逆向分析组件，用于对恶意软件的结构、流程、算法、代码进行逆向拆解和分析，导出恶意软件的源代码、设计原理、结构、算法、处理过程、运行方法及文档，获取程序构架、通信协议和命令格式，生成监控配置文件。

8.根据权利要求7所述的基于网关远程控制攻击反制方法，其特征在于：网关注入模块中的反制攻击数据包包括攻击载荷或畸形数据包。

9.根据权利要求8所述的基于网关远程控制攻击反制方法，其特征在于：攻击荷载包括反制的远程控制代码。

10.根据权利要求1所述的基于网关远程控制攻击反制方法，其特征在于：密钥包括通信密钥和加密密钥。