[发明专利]一种识别基于TeamViewer软件远程控制网络通道的方法

说明书

本申请属于信息网络安全领域，具体涉及一种识别基于TeamViewer软件远程控制网络通道的方法，该方法包括当TeamViewer_service.exe会向TeamViewer服务器A发送请求数据包时，判断该数据包的应用层有效载荷长度是否为37，应用层数据是否为固定相应示例，识别快速简便。

技术领域

本申请属于信息网络安全领域，具体涉及一种识别基于TeamViewer软件远程控制网络通道的方法。

背景技术

TeamViewer是一款提供桌面共享、协同办公或文件传输等功能的软件，其远程控制功能可将被控制端计算机的桌面环境显示到本地计算机的屏幕上，以此来完全实现对被控制端计算机的控制。人们经常使用TeamViewer软件来控制其单位的计算机，访问其中的文件资料。

新能源厂站普遍地处偏僻，人烟稀少的郊区或山区，为了能够对厂站设备故障作出及时响应，也为了省去到现场维护的经济开支，厂站设备生产厂家的运维人员往往也会使用TeamViewer软件来对新能源厂站的二次设备或系统进行软件维护升级操作。经电力相关相关管理部门的现场核查发现，集中监控系统、功率预测外网服务器、天气预报服务器能够访问互联网，部分风电场场站功率预测系统天气预报工作站或功率预测服务器中通常部署远程协助的应用软件，且多处于后台运行状态，厂家技术人员通过互联网即可对其进行远程控制。利用TeamViewer软件所所建立的网络通道，严重违反了电力系统网络安全管理中的“安全分区、网络专用、横向隔离、纵向认证”中的横向隔离准则，会给物理隔离的厂站网络打开一个攻击入口。

目前，电力相关管理部门缺乏技术手段来实施检测，并全天候监测此类远程运维行为，只能依靠人工巡检方式来检查发现并督促厂站及发电集团进行安全整改。因此，本发明提出了一种识别TeamViewer软件远程控制操作的方法。

发明内容

本申请提供了一种识别基于TeamViewer软件远程控制网络通道的方法，该方法包括以下步骤：

1)当TeamViewer_service.exe会向TeamViewer服务器A发送请求数据包时，判断该数据包的应用层有效载荷长度是否为37，应用层数据是否固定为17 24 0A 20 00 XX XXXX XX XX 13 80 00 57 80 80 00 01 00 00 00 14 80 00 00 4F B3 80 80 6E FD F3 9BCF FF A9 80，其中五个字节的XX是可变字段，表示TeamViewer客户端软件的版本号；

2)判断TeamViewer服务器A返回给TeamViewer_service.exe的确认数据包的有效载荷长度是否为32，应用层数据是否为11 30 36 00 08 00 00 00 01 00 00 00 00 00 0000 1B 00 00 00 18；

3)若满足以上1)、2)，则表示已建立通信通道。

进一步地，在优选实施方案中，所述的TeamViewer软件版本为13版本，该版本的客户端程序TeamViewer_service.exe与TeamViewer服务器A之间的应用层有效载荷长度为37的数据包示例为：17 24 0A 20 00 3F 3C E8 1A 88 13 80 00 57 80 80 00 01 00 00 0014 80 00 00 4F B3 80 80 6E FD F3 9B CF FF A9 80。

进一步地，在优选实施方案中，所述的TeamViewer软件版本为14版本，该版本的客户端程序TeamViewer_service.exe与TeamViewer服务器A之间的应用层有效载荷长度为37的数据包示例为：17 24 0A 20 00 00 00 00 00 08 13 80 00 57 80 80 00 01 00 00 0014 80 00 00 4F B3 80 80 6E FD F3 9B CF FF A9 80。