本發明提供了一種全網木馬控制端的探測方法與系統，涉及信息安全技術領域，該全網木馬控制端的探測方法包括：接收用戶輸入的待測目標網段；對待測目標網段的所有待檢測目標進行端口掃描，以根據掃描結果確定疑似檢測目標；利用預配置的遠控木馬探測策略對疑似檢測目標進行探測，以確定疑似檢測目標是否為遠控木馬控制端。本發明能夠發現網絡環境下遠控木馬控制端并了解其分布情況，有利于改善用戶體驗度，緩解了現有技術中無法對網絡環境下遠控木馬控制端分布情況的發現需求，導致用戶體驗度不高的技術問題。

技術領域

本發明涉及信息安全技術領域，尤其是涉及一種全網木馬控制端的探測方法與系統。

背景技術

遠控木馬是黑客常用的攻擊程序，對遠控木馬控制端的分布感知發現是信息安全領域一項比較重要的工作內容，具有非常高得威脅情報價值。

在現有的遠控木馬威脅情報獲取的方法中，大多是通過流量監測的方式感知到木馬的上線過程，例如，通過對企業內網、專網內網或運營商級別的流量鏡像與監控，提前配置好已知的遠控木馬上線域名、IP等信息，當網絡流量中出現與這些敏感主機進行通信時，告知用戶已被感染。由于該方法僅能監測到有限區域范圍內的木馬活動，并不能解決如何發現網絡環境下遠控木馬控制端的分布問題。

另一種方法中，主要是通過對惡意樣本的分析獲知遠控木馬的控制端網絡地址。例如，通過樣本、蜜罐等手段對捕獲樣本進行分析，從而確定遠控木馬控制端的網絡地址。顯然該方法僅憑對惡意樣本的分析的該傳統分析手段，也無法滿足對網絡環境下遠控木馬控制端分布情況的發現需求。

針對以上問題，目前尚未提出有效的解決方案。

發明內容

有鑒于此，本發明的目的在于提供一種全網木馬控制端的探測方法與系統，以緩解了現有技術中存在的無法滿足對網絡環境下遠控木馬控制端分布情況的發現需求，導致用戶體驗度不高的技術問題。

第一方面，本發明實施例提供了一種全網木馬控制端的探測方法，包括：

接收用戶輸入的待測目標網段；

對所述待測目標網段的所有待檢測目標進行端口掃描，以根據掃描結果確定疑似檢測目標；

利用預配置的遠控木馬探測策略對所述疑似檢測目標進行探測，以確定所述疑似檢測目標是否為遠控木馬控制端。

結合第一方面，本發明實施例提供了第一方面的第一種可能的實施方式，其中，所述對所述待測目標網段的所有待檢測目標進行端口掃描，獲取疑似檢測目標，包括：

對所述待檢測目標進行端口掃描；

提取所述待檢測目標進行端口掃描之后獲取到的開放的端口的響應數據；

根據所述響應數據判斷所述開放的端口是否存在遠控木馬控制端指紋；

若是，則將存在遠控木馬控制端指紋的端口所屬的待檢測目標標記為所述疑似檢測目標。

結合第一方面的第一種可能的實施方式，本發明實施例提供了第一方面的第二種可能的實施方式，其中，所述預配置的遠控木馬探測策略為多個；

所述利用預配置的遠控木馬探測策略對所述疑似檢測目標進行探測，以確定所述疑似檢測目標是否為遠控木馬控制端，包括：

利用每個所述預配置的遠控木馬探測策略對所述疑似檢測目標進行探測，以確定所述疑似檢測目標是否為遠控木馬控制端。

結合第一方面的第二種可能的實施方式，本發明實施例提供了第一方面的第三種可能的實施方式，其中，所述利用每個所述預配置的遠控木馬探測策略對所述疑似檢測目標進行探測，以確定所述疑似檢測目標是否為遠控木馬控制端，包括：