[发明专利]一种恶意代码控制端主动发现方法及装置

权利要求书

1.一种恶意代码控制端主动发现方法，其特征在于包括如下步骤：

主机信息扫描步骤，用于在需要扫描的IP地址范围内，找出处于在线状态，操作系统为Windows，且具有开放端口的主机并确定其至少一个开放端口；然后对所述各主机分别执行控制端信息扫描步骤；

控制端信息扫描步骤，用于对预先确定的一些已知恶意代码控制端类型分别执行下述操作：

与所述主机的开放端口建立网络连接，模拟所述已知恶意代码控制端类型对应的被控端主机的网络行为，向所述主机发送数据，并对接收到的返回数据进行分析，若符合所述已知恶意代码控制端类型的特征，则认为所述主机中存在所述恶意代码控制端类型。

2.根据权利要求1所述的恶意代码控制端主动发现方法，其特征在于，所述主机信息扫描步骤包括：

主机状态扫描步骤，用于在所述需要扫描的IP地址范围内，确定处于在线状态的主机；

操作系统指纹检测步骤，用于在所述处于在线状态的主机中，确定操作系统为Windows的主机；

端口状态扫描步骤，用于检测所述处于在线状态且操作系统为Windows的主机是否具有开放端口，并确定其至少一个开放端口。

3.根据权利要求2所述的恶意代码控制端主动发现方法，其特征在于，所述主机状态扫描步骤包括：

步骤1、在所述需要扫描的IP地址范围内，对每个IP地址，执行步骤2到步骤5；

步骤2、使用ICMP回显扫描法判断主机是否在线，如果在线，则认为该主机处于在线状态；否则执行步骤3；

步骤3、使用ICMP时间戳扫描法判断主机是否在线，如果在线，则认为该主机处于在线状态，否则执行步骤4；

步骤4、使用ICMP子网掩码扫描法判断主机是否在线，如果在线，则认为该主机处于在线状态，否则执行步骤5；

步骤5、选择一些常用开放端口进行TCP SYN扫描，如果其中至少有一个端口处于打开状态，则认为该主机处于在线状态，否则认为该主机不在线。

4.根据权利要求2所述的恶意代码控制端主动发现方法，其特征在于，所述主机状态扫描步骤包括：

步骤1、在所述需要扫描的IP地址范围内，对每个IP地址，执行步骤2到步骤5；

步骤2、使用ICMP回显扫描法判断主机是否在线，如果在线，则认为该主机处于在线状态；否则执行步骤3；

步骤3、使用ICMP子网掩码扫描法判断主机是否在线，如果在线，则认为该主机处于在线状态，否则执行步骤4；

步骤4、使用ICMP时间戳扫描法判断主机是否在线，如果在线，则认为该主机处于在线状态，否则执行步骤5；

步骤5、选择一些常用开放端口进行TCP SYN扫描，如果其中至少有一个端口处于打开状态，则认为该主机处于在线状态，否则认为该主机不在线。

5.根据权利要求3或4所述的恶意代码控制端主动发现方法，其特征在于：

所述操作系统指纹检测步骤中，是利用所述ICMP扫描或TCP SYN扫描时收到的数据帧，进行操作系统指纹识别，来判断操作系统是否为Windows的。

6.根据权利要求2所述的恶意代码控制端主动发现方法，其特征在于：

所述端口状态扫描步骤中，是通过对所述处于在线状态且操作系统为Windows的主机的所有TCP端口进行TCP SYN扫描，来检测其是否具有开放端口，并确定至少一个开放端口的。

7.根据权利要求2至6中任一项所述的恶意代码控制端主动发现方法，其特征在于：

所述端口状态扫描步骤中，同时开启了两个进程，其中一个用于接收数据，另一个用于发送数据。

8.一种恶意代码控制端主动发现装置，其特征在于包括：

主机信息扫描模块，用于在需要扫描的IP地址范围内，找出处于在线状态，操作系统为Windows，且具有开放端口的主机并确定其至少一个开放端口；然后将所述各主机分别交由控制端信息扫描模块执行；

控制端信息扫描模块，用于对预先确定的一些已知恶意代码控制端类型分别执行下述操作：

与所述主机的开放端口建立网络连接，模拟所述已知恶意代码控制端类型对应的被控端主机的网络行为，向所述主机发送数据，并对接收到的返回数据进行分析，若符合所述已知恶意代码控制端类型的特征，则认为所述主机中存在所述恶意代码控制端类型。