[发明专利]一种恶意代码控制端主动发现方法及装置

说明书

技术领域

本发明属于信息安全技术领域，尤其涉及一种在因特网中对恶意代码控制端进行主动发现及识别的方法及装置。

术语解释

ICMP：全称Internet Control Message Protocol，中译因特网控制报文协议，是网络协议的一种，用于在主机之间传输控制信息。ICMP帧有多种类型，本文中提到的ICMP回显请求、ICMP回显回应、ICMP时间戳、ICMP子网掩码均为不同类型的ICMP帧。

TCP：全称Transmission Control Protocol，中译传输控制协议，是网络协议的一种，用于在主机之间建立网络连接。TCP连接的建立过程分为三步，俗称三步握手过程。每个TCP帧中均有多种标志位，本文中提到的SYN、ACK、RST、FIN、NULL均为不同的标志位，TCP SYN帧即为SYN标志位被置位的TCP帧，其余类似。

IP地址：因特网中用于标识主机的一种编址方式。在本文范围内，可以认为一个IP地址即指一台主机。

端口：主机使用网络收发数据时，为本地不同进程分配的出入口标识号。端口号范围为0到65535。端口的状态可能为打开，也可能为关闭。

背景技术

在信息安全领域，对恶意代码进行监控和查杀的技术主要是针对被感染的个人计算机中恶意代码的防范、检测、监控、捕获、分析、清除、还原等技术。对以木马为主的一部分恶意代码，被感染计算机只是恶意代码被控制端(以下简称“被控制端”)主机；而攻击者通过恶意代码控制端(以下简称“控制端”)主机对被控制端发起恶意指令。为了进一步保障互联网和个人计算机的安全，国家必须即时掌握当前因特网中控制端主机的信息，并对控制端的具体类型予以识别。当前，国内外尚无对控制端主机进行大规模主动发现和识别的可行技术。

我们在对控制端进行主动发现和识别时，首先需要对控制端主机进行初步筛选，作为控制端主机，首先要满足以下条件：已经连接到因特网上，并保持长在线；开放了一个或多个TCP端口，并处于监听状态；系统环境为Windows操作系统。

因此，我们首先通过主机状态扫描、端口状态扫描、操作系统指纹检测三项技术，将满足上述三个条件的主机筛选出来。

所谓主机状态扫描，是指通过向目标主机的IP地址发送特定数据包，通过是否返回数据、返回数据的特点，来判断目标主机是否处于在线状态。目前常用的主机状态扫描方法有两种：

1、ICMP回显法：发送ICMP回显请求(ICMP echo request)，如果之后收到目标发来的ICMP回显应答(ICMP echo reply)，则认为目标主机在线，否则不在线。

另外，发送ICMP时间戳、ICMP子网掩码等方法也为主机状态扫描的现有技术方案。

2、端口推断法：针对目标主机的常见开放端口，通过端口状态扫描，判断其是否开放，如果开放，则认为主机在线，否则不在线。

所谓端口状态扫描，是指对目标主机的目标端口发送特定数据包，通过是否返回数据、返回数据的特点，来判断该端口是否开放端口，即是否处于打开监听(listening)状态。目前常用的端口状态扫描方法有：

1、TCP连接扫描：尝试与该端口通过三步握手方式建立TCP会话连接，如果建立成功，则认为端口开放，否则端口未开放。

2、TCP SYN扫描：向该端口发送TCP SYN帧，如果返回TCP ACK+SYN帧，则认为端口开放，否则端口未开放。

3、TCP FIN扫描：向该端口发送TCP FIN帧，如果在一段时间内没有收到返回帧，则认为端口开放，否则端口未开放。

4、TCP NULL扫描：向该端口发送TCP NULL帧，如果在一段时间内没有收到返回帧，则认为端口开放，否则端口未开放。

所谓操作系统指纹扫描，是指根据接收到的数据包中某些字段的取值含义，来判断目标主机所运行的操作系统类型的技术。这一技术的准确性的基础是不同的操作系统对网络通信协议的实现存在细节上的差异。这些细节包括ICMP、TCP协议中各种字段在不同情景下的取值。

上述现有主机信息扫描方案的缺点如下：

1、现有方案都是针对单一主机或小范围主机扫描，未考虑大范围扫描的实际需求，因此没有对扫描的效率进行特别的考量和优化。如果使用现有技术来对数目庞大的因特网主机及其所有端口进行扫描，其时间开销将是巨大的，因而其结果输出已不再具有现实意义。