技術領域

本發明涉及信息安全技術領域，尤其涉及一種基于數據包過濾的遠程控制惡意程序檢測方法及系統。

背景技術

遠程控制，是在網絡上由一臺電腦（主控端Remote/客戶端）遠距離去控制另一臺電腦（被控端Host/服務器端）的技術，這里的遠程不是字面意思的遠距離，一般指通過網絡控制遠端電腦。

遠程控制的主控端為了確定被控端是否還存活，會通過向被控端發送數據包的方式，請求應答。如果被控端應答，則證明被控端依舊存活，如果無應答響應，則證明被控端以斷開連接。

發明內容

針對上述現有技術中存在的問題，本發明提出一種基于數據包過濾的遠程控制惡意程序檢測方法及系統，具體發明內容包括：

一種基于數據包過濾的遠程控制惡意程序檢測方法，包括：

監測網絡，獲取預設時間段內的網絡數據包，構成數據包集A；

在所述數據包集A中，篩選出數據包大小在預設值范圍內的數據包,構成數據包集B1或在所述數據包集A中篩選出通信IP固定的數據包，構成數據包集B2；

在所述數據包集B1中，繼續篩選出通信IP固定的數據包，構成數據包集C1或在所述數據包集B2中，繼續篩選出數據包大小在預設值范圍內的網絡數據包，構成數據包集C2；

判斷所述數據包集C1或數據包集C2中的數據包的發包頻率是否固定，若是則為可疑數據包，則可初步判定系統感染了遠程控制惡意程序。

進一步地，所述深度判定具體包括：

解析可疑數據包，獲取其通信IP和內容并長期監測；結合查看工具及系統日志判定系統是否感染了遠程控制惡意程序。

進一步地，所述查看工具包括注冊表查看工具以及進程查看工具。

一種基于數據包過濾的遠程控制惡意程序檢測系統，其特征在于，

包括：

監測模塊，用于監測網絡，獲取預設時間段內的網絡數據包，構成數據包集A；

篩選模塊一，用于在所述數據包集A中，篩選出數據包大小在預設值范圍內的數據包,構成數據包集B1或在所述數據包集A中篩選出通信IP固定的數據包，構成數據包集B2；

篩選模塊二，用于在所述數據包集B1中，繼續篩選出通信IP固定的數據包，構成數據包集C1或在所述數據包集B2中，繼續篩選出數據包大小在預設值范圍內的網絡數據包，構成數據包集C2；

判定模塊，判斷所述數據包集C1或數據包集C2中的數據包的發包頻率是否固定，若是則為可疑數據包，則可初步判定系統感染了遠程控制惡意程序。

進一步地，所述深度判定具體包括：

解析可疑數據包，獲取其通信IP和內容并長期監測；結合查看工具及系統日志判定系統是否感染了遠程控制惡意程序。

進一步地，所述查看工具包括注冊表查看工具以及進程查看工具。

本發明的有益效果是：

該方法可有效檢測系統環境，檢測是否有可疑數據包進而判斷是否可能感染遠程控制惡意軟件，以便及時切斷用戶與服務器間的聯系，有效的阻止重要信息的丟失。

附圖說明

為了更清楚地說明本發明或現有技術中的技術方案，下面將對實施例或現有技術描述中所需要使用的附圖作簡單地介紹，顯而易見地，下面描述中的附圖僅僅是本發明中記載的一些實施例，對于本領域普通技術人員來講，在不付出創造性勞動的前提下，還可以根據這些附圖獲得其他的附圖。

圖1為本發明一種基于數據包過濾的遠程控制惡意程序檢測方法流程圖；

圖2為本發明一種基于數據包過濾的遠程控制惡意程序檢測系統結構圖。

具體實施方式

為了使本技術領域的人員更好地理解本發明實施例中的技術方案，并使本發明的上述目的、特征和優點能夠更加明顯易懂，下面結合附圖對本發明中技術方案作進一步詳細的說明。

本發明給出了一種基于數據包過濾的遠程控制惡意程序檢測方法的實施例，如圖1所示，包括：

S101、監測網絡，獲取預設時間段內的網絡數據包，構成數據包集A；

S102、在所述數據包集A中，篩選出數據包大小在預設值范圍內的數據包,構成數據包集B1或在所述數據包集A中篩選出通信IP固定的數據包，構成數據包集B2；

S103、在所述數據包集B1中，繼續篩選出通信IP固定的數據包，構成數據包集C1或在所述數據包集B2中，繼續篩選出數據包大小在預設值范圍內的網絡數據包，構成數據包集C2；