本發明涉及網絡安全技術領域，尤其是涉及一種基于網關遠程控制攻擊的反制系統。包括：監控模塊，實施監控網絡中異常數據包，將異常數據包發送給靜態分析模塊；靜態分析模塊獲取異常數據包，對異常數據包進行分析提取，獲取攻擊主機位置、被攻擊主機位置及被攻擊主機中惡意軟件位置，對惡意軟件進行分析，獲取監控配置文件并發送給密鑰獲取模塊，密鑰獲取模塊對監控配置文件進行解密，獲取密鑰并發送給網關注入模塊，網關注入模塊向攻擊主機注入反制攻擊數據包，解決了現有技術中存在的無法及時獲取惡意軟件的信息、或采取誘餌方式，需要攻擊者執行程序或者點擊文檔，無法及時確認攻擊者位置的技術問題。

技術領域

本發明涉及網絡安全技術領域，尤其是涉及一種基于網關遠程控制攻擊的反制系統。

背景技術

今日幾乎所有的電腦、伺服器，甚至個人通訊設備，如手機，都已經連接到網絡上。網絡已經是生活無法避免重要工具。遠程控制攻擊是指攻擊者在異地通過計算機網絡，連通需被控制的計算機，將被控計算機的桌面環境顯示在自己的計算機上，通過本地計算機對遠方計算機進行配置，安裝程序、信息獲取和內網滲透等操作。

現有的針對遠程控制攻擊反制技術包括分析惡意軟件特征，追蹤遠程連接域名和服務器，實用“誘餌”軟件誘惑對方執行程序等方式。其中，分析惡意軟件，可能獲取軟件開發版本，開發語言，軟件開發者等個人信息等，但是如果惡意軟件開發人員具有較強的反偵察意識，隱蔽這些信息，那么就無法獲取這些信息，追蹤遠程連接域名，可以獲取惡意軟件連接服務器域名、IP地址，可以基于域名，獲得注冊者信息，如果服務器存在漏洞，有可能獲取服務器最高權限，但是攻擊者具有較強的反偵查意識，注冊者信息是偽造的，服務器安全防護級別較高，無法獲取攻擊者信息；實用“誘餌”軟件誘惑對方執行，通過誘餌方式，引誘攻擊者執行程序，從而可能獲得攻擊者信息，甚至控制攻擊者主機，但是這種方式為被動方式，需要攻擊者執行程序或者點擊文檔。

因此，針對上述問題本發明急需提供一種基于網關遠程控制攻擊的反制系統。

發明內容

本發明的目的在于提供一種基于網關遠程控制攻擊的反制系統，通過一種基于網關遠程控制攻擊的反制系統的設計以解決現有技術中存在的無法及時獲取惡意軟件的信息、或獲取的注冊信息為偽造，無法獲取攻擊者信息，或采取誘餌方式，需要攻擊者執行程序或者點擊文檔，無法及時確認攻擊者位置的技術問題。

本發明提供了一種基于網關遠程控制攻擊的反制系統：包括：監控模塊，用于實時監控網絡數據包，發現網絡數據包異常后，向靜態分析模塊發送報警信號及異常的網絡數據包；

靜態分析模塊，用于接收監控模塊發送的報警信號，對異常的網絡數據包進行靜態分析，獲取攻擊主機位置、被攻擊主機位置及被攻擊主機中惡意軟件位置；提取惡意軟件并對惡意軟件進行逆向分析，獲取監控配置文件，將獲取的配置文件發送給密鑰獲取模塊；將攻擊主機位置發送給網關注入模塊；

密鑰獲取模塊，用于接收靜態分析模塊發送的監控配置文件，對監控配置文件加載，獲取密鑰，并發送至網關注入模塊；

網關注入模塊，用于接收密鑰獲取模塊發送的密鑰及用于接收靜態分析模塊發送的攻擊主機的位置，根據攻擊主機的位置搜索攻擊主機，通過密鑰與攻擊主機連接，向攻擊主機注入反制攻擊數據包。

優選地，還包括隔離模塊，用于接收監控模塊發出的報警信號指定的異常網路數據包，對異常網路數據包進行隔離。

優選地，還包括數據存儲模塊，用于接收監控模塊發出的報警信號指定的異常網路數據包，對異常網路數據包進行存儲。

優選地，監控模塊包括：

采集單元，用于實時采集網絡數據包，并將采集的網絡數據包發送給數據比對單元；