1.一種惡意代碼控制端主動(dòng)發(fā)現(xiàn)方法，其特征在于包括如下步驟：

主機(jī)信息掃描步驟，用于在需要掃描的IP地址范圍內(nèi)，找出處于在線狀態(tài)，操作系統(tǒng)為Windows，且具有開放端口的主機(jī)并確定其至少一個(gè)開放端口；然后對所述各主機(jī)分別執(zhí)行控制端信息掃描步驟；

控制端信息掃描步驟，用于對預(yù)先確定的一些已知惡意代碼控制端類型分別執(zhí)行下述操作：

與所述主機(jī)的開放端口建立網(wǎng)絡(luò)連接，模擬所述已知惡意代碼控制端類型對應(yīng)的被控端主機(jī)的網(wǎng)絡(luò)行為，向所述主機(jī)發(fā)送數(shù)據(jù)，并對接收到的返回?cái)?shù)據(jù)進(jìn)行分析，若符合所述已知惡意代碼控制端類型的特征，則認(rèn)為所述主機(jī)中存在所述惡意代碼控制端類型。

2.根據(jù)權(quán)利要求1所述的惡意代碼控制端主動(dòng)發(fā)現(xiàn)方法，其特征在于，所述主機(jī)信息掃描步驟包括：

主機(jī)狀態(tài)掃描步驟，用于在所述需要掃描的IP地址范圍內(nèi)，確定處于在線狀態(tài)的主機(jī)；

操作系統(tǒng)指紋檢測步驟，用于在所述處于在線狀態(tài)的主機(jī)中，確定操作系統(tǒng)為Windows的主機(jī)；

端口狀態(tài)掃描步驟，用于檢測所述處于在線狀態(tài)且操作系統(tǒng)為Windows的主機(jī)是否具有開放端口，并確定其至少一個(gè)開放端口。

3.根據(jù)權(quán)利要求2所述的惡意代碼控制端主動(dòng)發(fā)現(xiàn)方法，其特征在于，所述主機(jī)狀態(tài)掃描步驟包括：

步驟1、在所述需要掃描的IP地址范圍內(nèi)，對每個(gè)IP地址，執(zhí)行步驟2到步驟5；

步驟2、使用ICMP回顯掃描法判斷主機(jī)是否在線，如果在線，則認(rèn)為該主機(jī)處于在線狀態(tài)；否則執(zhí)行步驟3；

步驟3、使用ICMP時(shí)間戳掃描法判斷主機(jī)是否在線，如果在線，則認(rèn)為該主機(jī)處于在線狀態(tài)，否則執(zhí)行步驟4；

步驟4、使用ICMP子網(wǎng)掩碼掃描法判斷主機(jī)是否在線，如果在線，則認(rèn)為該主機(jī)處于在線狀態(tài)，否則執(zhí)行步驟5；

步驟5、選擇一些常用開放端口進(jìn)行TCP?SYN掃描，如果其中至少有一個(gè)端口處于打開狀態(tài)，則認(rèn)為該主機(jī)處于在線狀態(tài)，否則認(rèn)為該主機(jī)不在線。

4.根據(jù)權(quán)利要求2所述的惡意代碼控制端主動(dòng)發(fā)現(xiàn)方法，其特征在于，所述主機(jī)狀態(tài)掃描步驟包括：

步驟1、在所述需要掃描的IP地址范圍內(nèi)，對每個(gè)IP地址，執(zhí)行步驟2到步驟5；

步驟2、使用ICMP回顯掃描法判斷主機(jī)是否在線，如果在線，則認(rèn)為該主機(jī)處于在線狀態(tài)；否則執(zhí)行步驟3；

步驟3、使用ICMP子網(wǎng)掩碼掃描法判斷主機(jī)是否在線，如果在線，則認(rèn)為該主機(jī)處于在線狀態(tài)，否則執(zhí)行步驟4；

步驟4、使用ICMP時(shí)間戳掃描法判斷主機(jī)是否在線，如果在線，則認(rèn)為該主機(jī)處于在線狀態(tài)，否則執(zhí)行步驟5；

步驟5、選擇一些常用開放端口進(jìn)行TCP?SYN掃描，如果其中至少有一個(gè)端口處于打開狀態(tài)，則認(rèn)為該主機(jī)處于在線狀態(tài)，否則認(rèn)為該主機(jī)不在線。

5.根據(jù)權(quán)利要求3或4所述的惡意代碼控制端主動(dòng)發(fā)現(xiàn)方法，其特征在于：

所述操作系統(tǒng)指紋檢測步驟中，是利用所述ICMP掃描或TCP?SYN掃描時(shí)收到的數(shù)據(jù)幀，進(jìn)行操作系統(tǒng)指紋識別，來判斷操作系統(tǒng)是否為Windows的。

6.根據(jù)權(quán)利要求2所述的惡意代碼控制端主動(dòng)發(fā)現(xiàn)方法，其特征在于：

所述端口狀態(tài)掃描步驟中，是通過對所述處于在線狀態(tài)且操作系統(tǒng)為Windows的主機(jī)的所有TCP端口進(jìn)行TCP?SYN掃描，來檢測其是否具有開放端口，并確定至少一個(gè)開放端口的。

7.根據(jù)權(quán)利要求2至6中任一項(xiàng)所述的惡意代碼控制端主動(dòng)發(fā)現(xiàn)方法，其特征在于：

所述端口狀態(tài)掃描步驟中，同時(shí)開啟了兩個(gè)進(jìn)程，其中一個(gè)用于接收數(shù)據(jù)，另一個(gè)用于發(fā)送數(shù)據(jù)。

8.一種惡意代碼控制端主動(dòng)發(fā)現(xiàn)裝置，其特征在于包括：

主機(jī)信息掃描模塊，用于在需要掃描的IP地址范圍內(nèi)，找出處于在線狀態(tài)，操作系統(tǒng)為Windows，且具有開放端口的主機(jī)并確定其至少一個(gè)開放端口；然后將所述各主機(jī)分別交由控制端信息掃描模塊執(zhí)行；

控制端信息掃描模塊，用于對預(yù)先確定的一些已知惡意代碼控制端類型分別執(zhí)行下述操作：

與所述主機(jī)的開放端口建立網(wǎng)絡(luò)連接，模擬所述已知惡意代碼控制端類型對應(yīng)的被控端主機(jī)的網(wǎng)絡(luò)行為，向所述主機(jī)發(fā)送數(shù)據(jù)，并對接收到的返回?cái)?shù)據(jù)進(jìn)行分析，若符合所述已知惡意代碼控制端類型的特征，則認(rèn)為所述主機(jī)中存在所述惡意代碼控制端類型。