技術領域

本發明涉及通信領域信息過濾領域，具體涉及一種識別遠控木馬的方法及其裝置。

背景技術

計算機木馬一般由兩部分組成，服務端和控制端，也就是常用的C/S（CONTROL/SERVE）模式。服務端（S端Server）：遠程計算機機運行。一旦執行成功就可以被控制或者造成其他的破壞，這就要看種木馬的人怎么想和木馬本身的功能，這些控制功能，主要采用調用Windows的API實現。控制端（C端Client）也叫客戶端，客戶端程序主要是配套服務段端程序的功能，通過網絡向服務端發布控制指令，控制段運行在本地計算機。通常，木馬通過動態域名尋找控制端的IP。因此，基于動態域名來識別遠控木馬，是亟待解決的問題。

發明內容

本發明的目的在于克服現有技術中的缺點與不足，提供一種識別遠控木馬的方法。

本發明是采用以下的技術方案實現的：一種識別遠控木馬的方法，包括如下步驟：

步驟S11：當應用程序連網時，檢測并判斷連網的是否為常用的通信協議，若是，則允許其連網，若否，則進入步驟S12；

步驟S12：根據應用程序訪問的目標IP，獲得其對應的域名；

步驟S13：將獲得的域名與一動態域名列表進行匹配，若不匹配，則允許其連網，若匹配，則進入步驟S14。

步驟S14：將獲得的域名與一白動態域名庫進行匹配，若不匹配，則攔截其連網，若匹配，則允許其連網。

進一步，本發明還提供了一種識別遠控木馬的裝置，其包括通信協議檢測模塊、訪問域名獲得模塊、域名判斷模塊和白動態域名識別模塊，以及一動態域名列表和白動態域名庫；當應用程序連網時，該通信協議檢測模塊檢測并判斷連網的是否為常用的通信協議，若是，則允許其連網，若否，則發送指令至訪問域名獲得模塊；該域名獲得模塊根據應用程序訪問的目標IP，獲得其對應的域名；該域名判斷模塊將訪問域名獲得模塊獲得的域名與動態域名列表進行匹配，若不匹配，則允許其連網，若匹配，則發送指令至白動態域名識別模塊；該白動態域名識別模塊將獲得的域名與白動態域名庫進行匹配，若不匹配，則攔截其連網，若匹配，則允許其連網。

相對于現有技術，本發明的識別遠控木馬的方法及其裝置通過對動態域名的監控來判斷是否為遠控木馬操作，以阻止木馬或病毒對用戶的非法操作，避免其遭受不必要的損失。

為了能更清晰的理解本發明，以下將結合附圖說明闡述本發明的具體實施方式。

附圖說明

圖1是本發明識別遠控木馬的方法的流程圖。

圖2是本發明識別遠控木馬的裝置的模塊示意圖。

具體實施方式

請參閱圖1，其是本發明識別遠控木馬的方法的流程圖。該識別遠控木馬的方法包括如下步驟：

步驟S11：當應用程序連網時，檢測并判斷連網的是否為常用的通信協議。若是，則允許其連網，若否，則進入步驟S12。

其中，常用的通信協議包括：http、https、ssl、stmp等。

步驟S12：根據應用程序訪問的目標IP，獲得其對應的域名。

具體的，包括如下子步驟：

S121：調用windows提供的API接口，反查IP域名的緩存；

S122：通過解析DNS協議，獲得對應的域名。DNS協議為域名解析協議，其包含有IP與域名的對應關系信息。

步驟S13：將獲得的域名與一動態域名列表進行匹配。若不匹配，則允許其連網，若匹配，則進入步驟S14。

其中，該動態域名列表為頂級域名列表，如OICP.NET。即若應用程序訪問的為非動態域名，則判斷其沒有受到遠控木馬的控制，允許其連網；若應用程序訪問的為動態域名，則需要對該動態域名進行進一步的判斷。

步驟S14：將獲得的域名與一白動態域名庫進行匹配，若不匹配，則攔截其連網，若匹配，則允許其連網。

其中，該白動態域名庫收集了所有合法正常的二級動態域名，如123.OICP.NET、456.OICP.NET等。通過與白動態域名庫的匹配，判斷獲得的動態域名是白還是黑。

通過以上的識別遠控木馬的方法，可以判斷識別遠控木馬的操作，從而攔截遠控木馬的操作，避免用戶遭受損失。

請參閱圖2，其是本發明的識別遠控木馬的裝置的模塊示意圖。包括通信協議檢測模塊21、訪問域名獲得模塊22、域名判斷模塊23和白動態域名識別模塊24，另外，還包括一動態域名列表25和白動態域名庫26。