[发明专利]僵尸网络命令和控制协议的获取方法及装置

说明书

技术领域

本发明涉及信息技术领域，特别涉及一种僵尸网络命令和控制协议的获取方法及装置。

背景技术

随着互联网的快速发展，网络使用的普及率也越来越高，这就使得用于窃取计算机用户财产、获取用户隐私、控制系统资源的各类僵尸网络程序逐渐增多，造成用户使用互联网的安全性越来越低。僵尸网络命令和控制协议，是僵尸网络程序能够正常运行的保障。获取僵尸网络命令和控制协议，是防御僵尸网络程序的关键，

现有僵尸网络命令和控制协议的获取方式主要包括动态分析获取方式和静态分析获取方式。动态分析获取方式是通过统计分析僵尸网络程序的数据包特征，来阻断僵尸网络的通信，然而由于动态分析获取方式无法对僵尸网络程序的全部数据包特征进行分析，造成该动态分析获取方式无法获取到所有僵尸网络命令和控制协议；静态分析获取方式则是通过人工从僵尸网络的恶意代码样本中获取僵尸网络命令与控制协议，由于静态分析获取方式是通过人工操作完成的，因此静态分析获取方式获取僵尸网络命令与控制协议的效率较低，成本较高。

发明内容

本发明提供一种僵尸网络命令和控制协议的获取方法及装置，可以获取到僵尸网络程序中的所有僵尸网络命令和控制协议，并且提升了僵尸网络命令和控制协议的获取效率，降低了获取僵尸网络命令和控制协议过程的成本。

本发明实施例采用的技术方案为：

一种僵尸网络命令和控制协议的获取方法，包括：

获取僵尸网络程序执行过程中的执行轨迹信息；

从所述执行轨迹信息中确定目标循环体，所述目标循环体为僵尸网络命令和控制协议所在的循环体；

根据所述目标循环体获取僵尸网络命令和控制协议。

一种僵尸网络命令和控制协议的获取装置，包括：

获取单元，用于获取僵尸网络程序执行过程中的执行轨迹信息；

确定单元，用于从所述获取单元获取的执行轨迹信息中确定目标循环体，所述目标循环体为僵尸网络命令和控制协议所在的循环体；

所述获取单元，还用于根据所述确定单元确定的所述目标循环体获取僵尸网络命令和控制协议。

本发明实施例提供的僵尸网络命令和控制协议的获取方法及装置，与现有技术中通过统计分析僵尸网络程序的数据包特征，来阻断僵尸网络的通信的动态分析获取方式，以及与通过人工从僵尸网络的恶意代码样本中获取僵尸网络命令与控制协议的静态分析获取方式相比，根据僵尸网络程序执行过程中执行轨迹信息内的循环特征，可以获取到僵尸网络程序中的所有僵尸网络命令和控制协议，并且提升了僵尸网络命令和控制协议的获取效率，降低了获取僵尸网络命令和控制协议过程的成本。

附图说明

为了更清楚地说明本发明实施例中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其它的附图。

图1为本发明实施例提供的一种僵尸网络命令和控制协议的获取方法流程图；

图2为本发明实施例提供的另一种僵尸网络命令和控制协议的获取方法流程图；

图3为本发明实施例提供的一种僵尸网络命令和控制协议的获取装置结构示意图；

图4为本发明实施例提供的另一种僵尸网络命令和控制协议的获取装置结构示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。

为使本发明技术方案的优点更加清楚，下面结合附图和实施例对本发明作详细说明。

本发明实施例提供一种僵尸网络命令和控制协议的获取方法，如图1所示，所述方法包括：

101、获取僵尸网络程序执行过程中的执行轨迹信息。

其中，执行轨迹信息具体可以为僵尸网络程序执行过的每一条CPU(Central Processing Unit,中央处理器)指令、CPU的执行状态等信息。

102、从所述执行轨迹信息中确定目标循环体。

其中，所述目标循环体为僵尸网络命令和控制协议所在的循环体。

103、根据所述目标循环体获取僵尸网络命令和控制协议。