技術領域

本發明涉及信息技術領域，特別涉及一種僵尸網絡命令和控制協議的獲取方法及裝置。

背景技術

隨著互聯網的快速發展，網絡使用的普及率也越來越高，這就使得用于竊取計算機用戶財產、獲取用戶隱私、控制系統資源的各類僵尸網絡程序逐漸增多，造成用戶使用互聯網的安全性越來越低。僵尸網絡命令和控制協議，是僵尸網絡程序能夠正常運行的保障。獲取僵尸網絡命令和控制協議，是防御僵尸網絡程序的關鍵，

現有僵尸網絡命令和控制協議的獲取方式主要包括動態分析獲取方式和靜態分析獲取方式。動態分析獲取方式是通過統計分析僵尸網絡程序的數據包特征，來阻斷僵尸網絡的通信，然而由于動態分析獲取方式無法對僵尸網絡程序的全部數據包特征進行分析，造成該動態分析獲取方式無法獲取到所有僵尸網絡命令和控制協議；靜態分析獲取方式則是通過人工從僵尸網絡的惡意代碼樣本中獲取僵尸網絡命令與控制協議，由于靜態分析獲取方式是通過人工操作完成的，因此靜態分析獲取方式獲取僵尸網絡命令與控制協議的效率較低，成本較高。

發明內容

本發明提供一種僵尸網絡命令和控制協議的獲取方法及裝置，可以獲取到僵尸網絡程序中的所有僵尸網絡命令和控制協議，并且提升了僵尸網絡命令和控制協議的獲取效率，降低了獲取僵尸網絡命令和控制協議過程的成本。

本發明實施例采用的技術方案為：

一種僵尸網絡命令和控制協議的獲取方法，包括：

獲取僵尸網絡程序執行過程中的執行軌跡信息；

從所述執行軌跡信息中確定目標循環體，所述目標循環體為僵尸網絡命令和控制協議所在的循環體；

根據所述目標循環體獲取僵尸網絡命令和控制協議。

一種僵尸網絡命令和控制協議的獲取裝置，包括：

獲取單元，用于獲取僵尸網絡程序執行過程中的執行軌跡信息；

確定單元，用于從所述獲取單元獲取的執行軌跡信息中確定目標循環體，所述目標循環體為僵尸網絡命令和控制協議所在的循環體；

所述獲取單元，還用于根據所述確定單元確定的所述目標循環體獲取僵尸網絡命令和控制協議。

本發明實施例提供的僵尸網絡命令和控制協議的獲取方法及裝置，與現有技術中通過統計分析僵尸網絡程序的數據包特征，來阻斷僵尸網絡的通信的動態分析獲取方式，以及與通過人工從僵尸網絡的惡意代碼樣本中獲取僵尸網絡命令與控制協議的靜態分析獲取方式相比，根據僵尸網絡程序執行過程中執行軌跡信息內的循環特征，可以獲取到僵尸網絡程序中的所有僵尸網絡命令和控制協議，并且提升了僵尸網絡命令和控制協議的獲取效率，降低了獲取僵尸網絡命令和控制協議過程的成本。

附圖說明

為了更清楚地說明本發明實施例中的技術方案，下面將對實施例或現有技術描述中所需要使用的附圖作簡單地介紹，顯而易見地，下面描述中的附圖僅僅是本發明的一些實施例，對于本領域普通技術人員來講，在不付出創造性勞動的前提下，還可以根據這些附圖獲得其它的附圖。

圖1為本發明實施例提供的一種僵尸網絡命令和控制協議的獲取方法流程圖；

圖2為本發明實施例提供的另一種僵尸網絡命令和控制協議的獲取方法流程圖；

圖3為本發明實施例提供的一種僵尸網絡命令和控制協議的獲取裝置結構示意圖；

圖4為本發明實施例提供的另一種僵尸網絡命令和控制協議的獲取裝置結構示意圖。

具體實施方式

下面將結合本發明實施例中的附圖，對本發明實施例中的技術方案進行清楚、完整地描述，顯然，所描述的實施例僅僅是本發明一部分實施例，而不是全部的實施例。基于本發明中的實施例，本領域普通技術人員在沒有做出創造性勞動前提下所獲得的所有其它實施例，都屬于本發明保護的范圍。

為使本發明技術方案的優點更加清楚，下面結合附圖和實施例對本發明作詳細說明。

本發明實施例提供一種僵尸網絡命令和控制協議的獲取方法，如圖1所示，所述方法包括：

101、獲取僵尸網絡程序執行過程中的執行軌跡信息。

其中，執行軌跡信息具體可以為僵尸網絡程序執行過的每一條CPU(Central Processing Unit,中央處理器)指令、CPU的執行狀態等信息。

102、從所述執行軌跡信息中確定目標循環體。

其中，所述目標循環體為僵尸網絡命令和控制協議所在的循環體。

103、根據所述目標循環體獲取僵尸網絡命令和控制協議。