| 发明名称 | 一种恶意代码控制端主动发现方法及装置 | ||
| 摘要 | 本发明公开了一种恶意代码控制端主动发现方法,包括:主机信息扫描步骤,用于在需要扫描的IP地址范围内,找出处于在线状态,操作系统为Windows,且具有开放端口的主机并确定其至少一个开放端口;控制端信息扫描步骤,与所述主机的开放端口建立网络连接,模拟已知的恶意代码控制端类型对应的被控端主机的网络行为,向所述主机发送数据,并对接收到的返回数据进行分析,若符合所述已知恶意代码控制端类型的特征,则认为所述主机中存在所述恶意代码控制端类型。采用本发明方法能够有效识别恶意代码控制端,适用于对因特网中的主机进行大规模扫描,对信息安全保障具有重大的现实意义。本发明还相应提供了一种恶意代码控制端主动发现装置。 | ||
| 申请公布号 | CN101924754A | 申请公布日期 | 2010.12.22 |
| 申请号 | CN201010227324.0 | 申请日期 | 2010.07.15 |
| 申请人 | 国家计算机网络与信息安全管理中心 | 发明人 | 孙波;许俊峰;杜跃进;黄彩洪;李柏松;张冰;袁春阳;朱春鸽;严寒冰;焦英楠 |
| 分类号 | H04L29/06(2006.01)I | 主分类号 | H04L29/06(2006.01)I |
| 代理机构 | 信息产业部电子专利中心 11010 | 代理人 | 梁军 |
| 主权项 | 一种恶意代码控制端主动发现方法,其特征在于包括如下步骤:主机信息扫描步骤,用于在需要扫描的IP地址范围内,找出处于在线状态,操作系统为Windows,且具有开放端口的主机并确定其至少一个开放端口;然后对所述各主机分别执行控制端信息扫描步骤;控制端信息扫描步骤,用于对预先确定的一些已知恶意代码控制端类型分别执行下述操作:与所述主机的开放端口建立网络连接,模拟所述已知恶意代码控制端类型对应的被控端主机的网络行为,向所述主机发送数据,并对接收到的返回数据进行分析,若符合所述已知恶意代码控制端类型的特征,则认为所述主机中存在所述恶意代码控制端类型。 | ||
| 地址 | 100029 北京市朝阳区裕民路甲3号 | ||