本發(fā)明涉及網(wǎng)絡(luò)空間安全技術(shù)領(lǐng)域，特別涉及一種遠(yuǎn)控類木馬清除方法及裝置。

背景技術(shù)：

現(xiàn)今社會(huì)，隨著科技的高速發(fā)展，接入互聯(lián)網(wǎng)的設(shè)備也越來越多，設(shè)備上運(yùn)行的服務(wù)也豐富多樣，龐大的互聯(lián)網(wǎng)市場(chǎng)帶來巨大的商機(jī)，同時(shí)也隱藏著巨大的危險(xiǎn)，木馬病毒就是其中一種。

計(jì)算機(jī)中的木馬通常包括兩部分：主控端和被控端，主控端通過將木馬植入被控端，通過網(wǎng)絡(luò)通信，主控端向被控端發(fā)送控制命令，被控端接收并執(zhí)行，從而達(dá)到控制被控端的目的，而往往被控端用戶無法發(fā)現(xiàn)自己已經(jīng)被控制，其輸入的敏感信息和文檔資料等會(huì)被對(duì)方竊取，造成極大的損失。

目前針對(duì)遠(yuǎn)控類木馬清除的現(xiàn)有技術(shù)中，側(cè)重于通過網(wǎng)絡(luò)IP封堵或惡意流量清洗的方法，達(dá)到阻止在網(wǎng)絡(luò)側(cè)的被控端和主控端之間的連接。但是即使將主控端與被控端之間的連接阻止，被控端上依然運(yùn)行著木馬程序，這些木馬程序有機(jī)會(huì)通過不同的渠道，例如：上線IP更新，通信協(xié)議更新等實(shí)現(xiàn)自我更新，重新上線與主控端連接，繼續(xù)控制被控端。

技術(shù)實(shí)現(xiàn)要素：

為了解決上述問題，本發(fā)明提供了一種遠(yuǎn)控類木馬清除方法及裝置，通過中間人攻擊方法模擬主控端向被控端的木馬發(fā)送銷毀指令，達(dá)到徹底清除木馬程序的目的。

所述技術(shù)方案如下：

第一方面，提供了一種遠(yuǎn)控類木馬清除方法，其特征在于，所述方法包括：

獲取網(wǎng)絡(luò)流量中的至少一個(gè)數(shù)據(jù)包；

根據(jù)預(yù)設(shè)的通信特征規(guī)則庫(kù)對(duì)所述至少一個(gè)數(shù)據(jù)包進(jìn)行匹配，得到命中的數(shù)據(jù)包；

將包括所述命中的數(shù)據(jù)包的流量牽引至遠(yuǎn)控類木馬反制裝置；

所述遠(yuǎn)控類木馬反制裝置通過流量回注與所述遠(yuǎn)控類木馬的被控端建立連接并發(fā)送自銷毀指令；

所述遠(yuǎn)控類木馬接收所述自銷毀指令后執(zhí)行銷毀。

結(jié)合第一方面，在第一種可能的實(shí)施方式中，在所述根據(jù)預(yù)設(shè)的通信特征規(guī)則庫(kù)對(duì)所述至少一個(gè)數(shù)據(jù)包進(jìn)行匹配，得到命中的數(shù)據(jù)包之前，所述方法還包括：

提取payload中至少一段字節(jié)碼作為主要特征；

提取網(wǎng)絡(luò)報(bào)文中的至少一個(gè)屬性特征；

將所述主要特征和所述屬性特征組合形成識(shí)別遠(yuǎn)控類木馬的通信特征。

結(jié)合第一方面，在第二種可能的實(shí)施方式中，所述根據(jù)預(yù)設(shè)的通信特征規(guī)則庫(kù)對(duì)所述至少一個(gè)數(shù)據(jù)包進(jìn)行匹配，得到命中的數(shù)據(jù)包包括：

對(duì)所述數(shù)據(jù)包進(jìn)行重組、解壓和解密，并與所述預(yù)設(shè)的通信特征規(guī)則庫(kù)中的通信特征進(jìn)行匹配；

若所述數(shù)據(jù)包中通信特征與所述預(yù)設(shè)的通信特征規(guī)則庫(kù)中的通信特征相同，則判定所述數(shù)據(jù)包為所述命中的數(shù)據(jù)包。

結(jié)合第一方面，在第三種可能的實(shí)施方式中，所述將包括所述命中的數(shù)據(jù)包的流量牽引至遠(yuǎn)控類木馬反制裝置包括：

根據(jù)反制策略，得到所述流量的信息；

根據(jù)所述流量的信息將所述流量牽引至遠(yuǎn)控類木馬反制裝置；其中，所述流量的信息包括根據(jù)反制策略得到的遠(yuǎn)控類木馬種類、遠(yuǎn)控類木馬版本和協(xié)議端口中的任意一種或多種的組合。

結(jié)合第一方面，在第四種可能的實(shí)施方式中，所述遠(yuǎn)控類木馬反制裝置通過流量回注與所述遠(yuǎn)控類木馬的被控端建立連接并發(fā)送自銷毀指令包括：

所述遠(yuǎn)控類木馬反制裝置模擬所述遠(yuǎn)控類木馬的主控端；

當(dāng)接收包括所述命中的數(shù)據(jù)包的流量后，建立與所述遠(yuǎn)控類木馬的被控端之間的連接；

向所述遠(yuǎn)控類木馬的被控端發(fā)送所述自銷毀指令；其中，所述遠(yuǎn)控類木馬反制裝置包括至少一種遠(yuǎn)控類木馬的主控端的通信協(xié)議、至少一種遠(yuǎn)控類木馬驗(yàn)證上線的驗(yàn)證方法和包括所述自銷毀指令的payload中的任意一種或多種的組合。

第二方面，提供了一種遠(yuǎn)控類木馬清除裝置，其特征在于，所述裝置包括：

獲取模塊，用于獲取網(wǎng)絡(luò)流量中的至少一個(gè)數(shù)據(jù)包；

匹配模塊，用于根據(jù)預(yù)設(shè)的通信特征規(guī)則庫(kù)對(duì)所述至少一個(gè)數(shù)據(jù)包進(jìn)行匹配，得到命中的數(shù)據(jù)包；

牽引模塊，用于將包括所述命中的數(shù)據(jù)包的流量牽引至遠(yuǎn)控類木馬反制裝置；

中間人模塊，用于所述遠(yuǎn)控類木馬反制裝置通過流量回注與所述遠(yuǎn)控類木馬的被控端建立連接并發(fā)送自銷毀指令；

銷毀模塊，用于所述遠(yuǎn)控類木馬接收所述自銷毀指令后執(zhí)行銷毀。

結(jié)合第二方面，在第一種可能的實(shí)施方式中，所述裝置還包括通信特征構(gòu)建模塊，用于：

提取payload中至少一段字節(jié)碼作為主要特征；

提取網(wǎng)絡(luò)報(bào)文中的至少一個(gè)屬性特征；

將所述主要特征和所述屬性特征組合形成識(shí)別遠(yuǎn)控類木馬的通信特征。

結(jié)合第二方面，在第二種可能的實(shí)施方式中，所述匹配模塊具體用于：

對(duì)所述數(shù)據(jù)包進(jìn)行重組、解壓和解密，并與所述預(yù)設(shè)的通信特征規(guī)則庫(kù)中的通信特征進(jìn)行匹配；

若所述數(shù)據(jù)包中通信特征與所述預(yù)設(shè)的通信特征規(guī)則庫(kù)中的通信特征相同，則判定所述數(shù)據(jù)包為所述命中的數(shù)據(jù)包。

結(jié)合第二方面，在第三種可能的實(shí)施方式中，所述牽引模塊具體用于：

根據(jù)反制策略，得到所述流量的信息；

根據(jù)所述流量的信息將所述流量牽引至遠(yuǎn)控類木馬反制裝置；其中，所述流量的信息包括根據(jù)反制策略得到的遠(yuǎn)控類木馬種類、遠(yuǎn)控類木馬版本和協(xié)議端口中的任意一種或多種的組合。

結(jié)合第二方面，在第四種可能的實(shí)施方式中，所述牽引模塊具體用于：

根據(jù)反制策略，得到所述流量的信息；

根據(jù)所述流量的信息將所述流量牽引至遠(yuǎn)控類木馬反制裝置；其中，所述流量的信息包括根據(jù)反制策略得到的遠(yuǎn)控類木馬種類、遠(yuǎn)控類木馬版本和協(xié)議端口中的任意一種或多種的組合。

本發(fā)明實(shí)施例提供了一種遠(yuǎn)控類木馬清除方法及裝置，通過構(gòu)建遠(yuǎn)控類木馬的通信特征庫(kù)，可以在流量中識(shí)別木馬數(shù)據(jù)包，準(zhǔn)確度高，識(shí)別效率高；通過將命中的流量牽引至反制裝置，可以通過反制裝置的設(shè)置來改變網(wǎng)絡(luò)環(huán)境中的參數(shù)，達(dá)到真實(shí)模擬主控端到目的；通過采用流量回注技術(shù)，模擬主控端與被控端建立連接，從而向被控端的木馬發(fā)送銷毀指令，可以徹底銷毀木馬程序，提高網(wǎng)絡(luò)安全性。

附圖說明

為了更清楚地說明本發(fā)明實(shí)施例中的技術(shù)方案，下面將對(duì)實(shí)施例描述中所需要使用的附圖作簡(jiǎn)單地介紹，顯而易見地，下面描述中的附圖僅僅是本發(fā)明的一些實(shí)施例，對(duì)于本領(lǐng)域普通技術(shù)人員來講，在不付出創(chuàng)造性勞動(dòng)的前提下，還可以根據(jù)這些附圖獲得其他的附圖。

圖1是本發(fā)明一優(yōu)選實(shí)施例提供的遠(yuǎn)控類木馬清除方法流程示意圖；

圖2是本發(fā)明另一優(yōu)選實(shí)施例提供的遠(yuǎn)控類木馬清除裝置結(jié)構(gòu)示意圖。

具體實(shí)施方式

為使本發(fā)明的目的、技術(shù)方案和優(yōu)點(diǎn)更加清楚，下面將結(jié)合本發(fā)明實(shí)施例中的附圖，對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚、完整地描述，顯然，所描述的實(shí)施例僅僅是本發(fā)明一部分實(shí)施例，而不是全部的實(shí)施例?；诒景l(fā)明中的實(shí)施例，本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí)施例，都屬于本發(fā)明保護(hù)的范圍。

參見圖1，在一優(yōu)選的實(shí)施例中提供了一種遠(yuǎn)控類木馬清除方法，尤其是一種基于網(wǎng)絡(luò)側(cè)流量回注技術(shù)的遠(yuǎn)控類木馬清除方法，其中，流量回注技術(shù)可以是任意方式，包括但不限于以下：策略路由、MPLS VPN、二層透?jìng)骱碗p鏈路等。具體包括以下方法：

S101、獲取網(wǎng)絡(luò)流量中的至少一個(gè)數(shù)據(jù)包。

具體地，采用流量采集設(shè)備DPI對(duì)網(wǎng)絡(luò)流量中的數(shù)據(jù)包進(jìn)行采集。在一個(gè)完整的網(wǎng)絡(luò)通信中，主控端與被控端之間采用會(huì)話的形式進(jìn)行通信，包括收發(fā)的請(qǐng)求包和響應(yīng)包。DPI采集到的數(shù)據(jù)包可以是請(qǐng)求包也可以是響應(yīng)包，可以是一般數(shù)據(jù)包也可以是木馬通信的數(shù)據(jù)包。

S102、構(gòu)建預(yù)設(shè)的通信特征規(guī)則庫(kù)。

具體地，提取有效載荷數(shù)據(jù)payload中至少一段字節(jié)碼作為主要特征；

提取網(wǎng)絡(luò)報(bào)文中的至少一個(gè)屬性特征；

將主要特征和屬性特征組合形成識(shí)別遠(yuǎn)控類木馬的通信特征。

其中，網(wǎng)絡(luò)報(bào)文的屬性特征包括：數(shù)據(jù)包的大小、協(xié)議、五元組限定、請(qǐng)求包/應(yīng)答包限定和時(shí)間間隔等中的任意一個(gè)或多個(gè)的組合。

其中，有效載荷數(shù)據(jù)payload通過分析、解密遠(yuǎn)控類木馬的通信協(xié)議得到。

通過將主要特征與屬性特征的組合構(gòu)建特定遠(yuǎn)控類木馬的通信特征，融合了遠(yuǎn)控類木馬的數(shù)據(jù)特征和網(wǎng)絡(luò)報(bào)文的數(shù)據(jù)特征，可以唯一標(biāo)識(shí)遠(yuǎn)控類木馬和識(shí)別木馬所在的網(wǎng)絡(luò)環(huán)境。通信特征中的數(shù)據(jù)排列與存放方式可以參照一般的數(shù)據(jù)包中的數(shù)據(jù)排列與存放方式，在此不做具體限定。在構(gòu)建的通信特征規(guī)則庫(kù)中，通信特征的組合方式可以任何組合，針對(duì)復(fù)雜的木馬通信特征，可以通過多個(gè)通信特征來共同表征和識(shí)別。

可選的，S102可以在S101之后，也可以在S101之前，執(zhí)行順序不做具體限定。

S103、根據(jù)預(yù)設(shè)的通信特征規(guī)則庫(kù)對(duì)至少一個(gè)數(shù)據(jù)包進(jìn)行匹配，得到命中的數(shù)據(jù)包。

具體地，對(duì)數(shù)據(jù)包進(jìn)行重組、解壓和解密，并與預(yù)設(shè)的通信特征規(guī)則庫(kù)中的通信特征進(jìn)行匹配；

對(duì)數(shù)據(jù)包進(jìn)行重組、解壓和解密后，將得到的數(shù)據(jù)信息與通信特征規(guī)則庫(kù)中的通信特征依次進(jìn)行匹配?？蛇x的，為了提高匹配的效率，可以先匹配網(wǎng)絡(luò)報(bào)文的屬性特征，待確定后，在逐項(xiàng)匹配主要特征。

若數(shù)據(jù)包中通信特征與預(yù)設(shè)的通信特征規(guī)則庫(kù)中的通信特征相同，則判定數(shù)據(jù)包為命中的數(shù)據(jù)包。否則，結(jié)束本方法的執(zhí)行。

其中，命中的數(shù)據(jù)包為包含通信特征的木馬數(shù)據(jù)包。

S104、將包括命中的數(shù)據(jù)包的流量牽引至遠(yuǎn)控類木馬反制裝置。

具體地，根據(jù)反制策略，得到流量的信息；

根據(jù)流量的信息將流量牽引至遠(yuǎn)控類木馬反制裝置；其中，流量的信息包括根據(jù)反制策略得到的遠(yuǎn)控類木馬種類、遠(yuǎn)控類木馬版本和協(xié)議端口中的任意一種或多種的組合。

其中，在S103中命中的流量可以在重組、解壓和解密后識(shí)別遠(yuǎn)控類木馬種類、遠(yuǎn)控類木馬版本和協(xié)議端口，根據(jù)得到的上述信息制定反制策略，從而將上述命中的流量牽引至木馬反制裝置的對(duì)應(yīng)端口。

S105、遠(yuǎn)控類木馬反制裝置通過流量回注與遠(yuǎn)控類木馬的被控端建立連接并發(fā)送自銷毀指令。

具體地，遠(yuǎn)控類木馬反制裝置模擬遠(yuǎn)控類木馬的主控端；

當(dāng)接收包括命中的數(shù)據(jù)包的流量后，建立與遠(yuǎn)控類木馬的被控端之間的連接；

向遠(yuǎn)控類木馬的被控端發(fā)送所述自銷毀指令；其中，遠(yuǎn)控類木馬反制裝置包括至少一種遠(yuǎn)控類木馬的主控端的通信協(xié)議、至少一種遠(yuǎn)控類木馬驗(yàn)證上線的驗(yàn)證方法和包括所述自銷毀指令的payload中的任意一種或多種的組合。

遠(yuǎn)控類木馬反制裝置包括硬件設(shè)備和軟件環(huán)境，在軟件環(huán)境方面可以通過軟件模擬多種已知的遠(yuǎn)控類木馬主控端部分通信協(xié)議，并且預(yù)先設(shè)置了多種登錄上線的驗(yàn)證方法和自銷毀指令的payload，當(dāng)接收通過流量牽引而來的命中的流量后，可以模擬遠(yuǎn)控類木馬主控端，對(duì)網(wǎng)絡(luò)參數(shù)實(shí)時(shí)修改，主動(dòng)建立與被控端的連接。在模擬主控端與被控端建立連接的過程實(shí)質(zhì)是發(fā)起中間人攻擊的過程，區(qū)別于封堵技術(shù)和蜜蠟技術(shù)對(duì)遠(yuǎn)控類木馬主控端的接管，中間人攻擊采用的是直接與被控端建立連接。在模擬主控端與被控端建立連接后，遠(yuǎn)控類木馬反制裝置可以將預(yù)設(shè)的自銷毀指令發(fā)送至被控端。

S106、遠(yuǎn)控類木馬接收自銷毀指令后執(zhí)行銷毀。

運(yùn)行在被控端的遠(yuǎn)控類木馬接收到發(fā)送的自銷毀指令后，執(zhí)行自銷毀任務(wù)，徹底銷毀運(yùn)行的木馬程序。在銷毀過程中運(yùn)行于后臺(tái)，不影響被控端設(shè)備的正常顯示和運(yùn)行。

本發(fā)明實(shí)施例提供的一種遠(yuǎn)控類木馬清除方法，通過構(gòu)建遠(yuǎn)控類木馬的通信特征庫(kù)，可以在流量中識(shí)別木馬數(shù)據(jù)包，準(zhǔn)確度高，識(shí)別效率高；通過將命中的流量牽引至反制裝置，可以通過反制裝置的設(shè)置來改變網(wǎng)絡(luò)環(huán)境中的參數(shù)，達(dá)到真實(shí)模擬主控端到目的；通過采用流量回注技術(shù)，模擬主控端與被控端建立連接，從而向被控端的木馬發(fā)送銷毀指令，可以徹底銷毀木馬程序，提高網(wǎng)絡(luò)安全性。

參照?qǐng)D2所示，在本發(fā)明另一優(yōu)選的實(shí)施例中，提供了一種遠(yuǎn)控類木馬清除裝置，該裝置包括：

獲取模塊201，用于獲取網(wǎng)絡(luò)流量中的至少一個(gè)數(shù)據(jù)包；具體地，采用流量采集設(shè)備DPI獲取網(wǎng)絡(luò)流量中的至少一個(gè)數(shù)據(jù)包。

匹配模塊202，用于根據(jù)預(yù)設(shè)的通信特征規(guī)則庫(kù)對(duì)至少一個(gè)數(shù)據(jù)包進(jìn)行匹配，得到命中的數(shù)據(jù)包。

牽引模塊203，用于將包括命中的數(shù)據(jù)包的流量牽引至遠(yuǎn)控類木馬反制裝置。

中間人模塊204，用于遠(yuǎn)控類木馬反制裝置通過流量回注與遠(yuǎn)控類木馬的被控端建立連接并發(fā)送自銷毀指令。

銷毀模塊205，用于遠(yuǎn)控類木馬接收自銷毀指令后執(zhí)行銷毀。

其中，該裝置還包括通信特征構(gòu)建模塊206，用于：

提取payload中至少一段字節(jié)碼作為主要特征；

提取網(wǎng)絡(luò)報(bào)文中的至少一個(gè)屬性特征；

將主要特征和屬性特征組合形成識(shí)別遠(yuǎn)控類木馬的通信特征。

具體地，匹配模塊202具體用于：

對(duì)數(shù)據(jù)包進(jìn)行重組、解壓和解密，并與預(yù)設(shè)的通信特征規(guī)則庫(kù)中的通信特征進(jìn)行匹配；

若數(shù)據(jù)包中通信特征與預(yù)設(shè)的通信特征規(guī)則庫(kù)中的通信特征相同，則判定數(shù)據(jù)包為命中的數(shù)據(jù)包。

具體地，牽引模塊203具體用于：

根據(jù)反制策略，得到流量的信息；

根據(jù)流量的信息將流量牽引至遠(yuǎn)控類木馬反制裝置；其中，流量的信息包括根據(jù)反制策略得到的遠(yuǎn)控類木馬種類、遠(yuǎn)控類木馬版本和協(xié)議端口中的任意一種或多種的組合。

中間人模塊204具體用于：

遠(yuǎn)控類木馬反制裝置模擬所控類木馬的主控端；

當(dāng)接收包括命中的數(shù)據(jù)包的流量后，建立與遠(yuǎn)控類木馬的被控端之間的連接；

向遠(yuǎn)控類木馬的被控端發(fā)送自銷毀指令。

其中，遠(yuǎn)控類木馬反制裝置包括至少一種遠(yuǎn)控類木馬的主控端的通信協(xié)議、至少一種遠(yuǎn)控類木馬驗(yàn)證上線的驗(yàn)證方法和包括所述自銷毀指令的payload中的任意一種或多種的組合。

本發(fā)明實(shí)施例提供了一種遠(yuǎn)控類木馬清除裝置，通信特征構(gòu)建模塊206通過構(gòu)建遠(yuǎn)控類木馬的通信特征庫(kù)，可以在流量中識(shí)別木馬數(shù)據(jù)包，準(zhǔn)確度高，識(shí)別效率高；牽引模塊203通過將命中的流量牽引至反制裝置，可以通過反制裝置的設(shè)置來改變網(wǎng)絡(luò)環(huán)境中的參數(shù)，達(dá)到真實(shí)模擬主控端到目的；中間人攻擊模塊204通過采用流量回注技術(shù)，模擬主控端與被控端建立連接，從而向被控端的木馬發(fā)送銷毀指令，銷毀模塊205接送上述銷毀指令后可以徹底銷毀木馬程序，提高網(wǎng)絡(luò)安全性。

需要說明的是：所述實(shí)施例僅以所述各功能模塊的劃分進(jìn)行舉例說明，實(shí)際應(yīng)用中，可以根據(jù)需要而將所述功能分配由不同的功能模塊完成，即將裝置的內(nèi)部結(jié)構(gòu)劃分成不同的功能模塊，以完成以上描述的全部或者部分功能。另外，所述實(shí)施例提供的遠(yuǎn)控類木馬清除方法和裝置屬于同一構(gòu)思，其具體實(shí)現(xiàn)過程詳見實(shí)施例，這里不再贅述。

以上所述僅為本發(fā)明的較佳實(shí)施例，并不用以限制本發(fā)明，凡在本發(fā)明的精神和原則之內(nèi)，所作的任何修改、等同替換、改進(jìn)等，均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)。