发明名称 |
一种恶意代码控制端主动发现方法及装置 |
摘要 |
本发明公开了一种恶意代码控制端主动发现方法,包括:主机信息扫描步骤,用于在需要扫描的IP地址范围内,找出处于在线状态,操作系统为Windows,且具有开放端口的主机并确定其至少一个开放端口;控制端信息扫描步骤,与所述主机的开放端口建立网络连接,模拟已知的恶意代码控制端类型对应的被控端主机的网络行为,向所述主机发送数据,并对接收到的返回数据进行分析,若符合所述已知恶意代码控制端类型的特征,则认为所述主机中存在所述恶意代码控制端类型。采用本发明方法能够有效识别恶意代码控制端,适用于对因特网中的主机进行大规模扫描,对信息安全保障具有重大的现实意义。本发明还相应提供了一种恶意代码控制端主动发现装置。 |
申请公布号 |
CN101924754A |
申请公布日期 |
2010.12.22 |
申请号 |
CN201010227324.0 |
申请日期 |
2010.07.15 |
申请人 |
国家计算机网络与信息安全管理中心 |
发明人 |
孙波;许俊峰;杜跃进;黄彩洪;李柏松;张冰;袁春阳;朱春鸽;严寒冰;焦英楠 |
分类号 |
H04L29/06(2006.01)I |
主分类号 |
H04L29/06(2006.01)I |
代理机构 |
信息产业部电子专利中心 11010 |
代理人 |
梁军 |
主权项 |
一种恶意代码控制端主动发现方法,其特征在于包括如下步骤:主机信息扫描步骤,用于在需要扫描的IP地址范围内,找出处于在线状态,操作系统为Windows,且具有开放端口的主机并确定其至少一个开放端口;然后对所述各主机分别执行控制端信息扫描步骤;控制端信息扫描步骤,用于对预先确定的一些已知恶意代码控制端类型分别执行下述操作:与所述主机的开放端口建立网络连接,模拟所述已知恶意代码控制端类型对应的被控端主机的网络行为,向所述主机发送数据,并对接收到的返回数据进行分析,若符合所述已知恶意代码控制端类型的特征,则认为所述主机中存在所述恶意代码控制端类型。 |
地址 |
100029 北京市朝阳区裕民路甲3号 |