1.一種基于數(shù)據(jù)包過(guò)濾的遠(yuǎn)程控制惡意程序檢測(cè)方法，其特征在于，包括：

監(jiān)測(cè)網(wǎng)絡(luò)，獲取預(yù)設(shè)時(shí)間段內(nèi)的網(wǎng)絡(luò)數(shù)據(jù)包，構(gòu)成數(shù)據(jù)包集A；

在所述數(shù)據(jù)包集A中，篩選出數(shù)據(jù)包大小在預(yù)設(shè)值范圍內(nèi)的數(shù)據(jù)包,構(gòu)成數(shù)據(jù)包集B1或在所述數(shù)據(jù)包集A中篩選出通信IP固定的數(shù)據(jù)包，構(gòu)成數(shù)據(jù)包集B2；

在所述數(shù)據(jù)包集B1中，繼續(xù)篩選出通信IP固定的數(shù)據(jù)包，構(gòu)成數(shù)據(jù)包集C1或在所述數(shù)據(jù)包集B2中，繼續(xù)篩選出數(shù)據(jù)包大小在預(yù)設(shè)值范圍內(nèi)的網(wǎng)絡(luò)數(shù)據(jù)包，構(gòu)成數(shù)據(jù)包集C2；

判斷所述數(shù)據(jù)包集C1或數(shù)據(jù)包集C2中的數(shù)據(jù)包的發(fā)包頻率是否固定，若是則為可疑數(shù)據(jù)包，則初步判定系統(tǒng)感染了遠(yuǎn)程控制惡意程序，并進(jìn)行深度判定。

2.如權(quán)利要求1所述的方法，其特征在于，所述深度判定具體包括：

解析可疑數(shù)據(jù)包，獲取其通信IP和內(nèi)容并長(zhǎng)期監(jiān)測(cè)；結(jié)合查看工具及系統(tǒng)日志判定系統(tǒng)是否感染了遠(yuǎn)程控制惡意程序。

3.如權(quán)利要求2所述的方法，其特征在于，所述查看工具包括注冊(cè)表查看工具以及進(jìn)程查看工具。

4.一種基于數(shù)據(jù)包過(guò)濾的遠(yuǎn)程控制惡意程序檢測(cè)系統(tǒng)，其特征在于，

包括：

監(jiān)測(cè)模塊，用于監(jiān)測(cè)網(wǎng)絡(luò)，獲取預(yù)設(shè)時(shí)間段內(nèi)的網(wǎng)絡(luò)數(shù)據(jù)包，構(gòu)成數(shù)據(jù)包集A；

篩選模塊一，用于在所述數(shù)據(jù)包集A中，篩選出數(shù)據(jù)包大小在預(yù)設(shè)值范圍內(nèi)的數(shù)據(jù)包,構(gòu)成數(shù)據(jù)包集B1或在所述數(shù)據(jù)包集A中篩選出通信IP固定的數(shù)據(jù)包，構(gòu)成數(shù)據(jù)包集B2；

篩選模塊二，用于在所述數(shù)據(jù)包集B1中，繼續(xù)篩選出通信IP固定的數(shù)據(jù)包，構(gòu)成數(shù)據(jù)包集C1或在所述數(shù)據(jù)包集B2中，繼續(xù)篩選出數(shù)據(jù)包大小在預(yù)設(shè)值范圍內(nèi)的網(wǎng)絡(luò)數(shù)據(jù)包，構(gòu)成數(shù)據(jù)包集C2；

判定模塊，判斷所述數(shù)據(jù)包集C1或數(shù)據(jù)包集C2中的數(shù)據(jù)包的發(fā)包頻率是否固定，若是則為可疑數(shù)據(jù)包，則可初步判定系統(tǒng)感染了遠(yuǎn)程控制惡意程序，并進(jìn)行深度判定。

5.如權(quán)利要求4所述的系統(tǒng)，其特征在于，所述深度判定具體包括：

解析可疑數(shù)據(jù)包，獲取其通信IP和內(nèi)容并長(zhǎng)期監(jiān)測(cè)；結(jié)合查看工具及系統(tǒng)日志判定系統(tǒng)是否感染了遠(yuǎn)程控制惡意程序。

6.如權(quán)利要求5所述的系統(tǒng)，其特征在于，所述查看工具包括注冊(cè)表查看工具以及進(jìn)程查看工具。