本技术涉及因特网安全领域。特别地,用于保护基础设施免受分布式拒绝服务攻击的系统和方法。
背景技术:
::物联网(iot)是与具有处理能力的物理装置(例如车辆、家用电器、无线路由器、打印机、安全摄像装置和其他装置)使用因特网协议进行通信的能力相关的概念。越来越多的装置具有通信能力,并且因此能够提供过去无法想象的服务。不幸的是,iot装置通常不具备良好的能力来抵御诸如来自恶意软件(用来指代各种类型的计算机病毒和蠕虫的术语)的威胁。保护不力的装置的示例是当所有者未修改装置的原始安全设置时家用的无线路由器或打印机。近来,物联网僵尸网络成为头条新闻。当iot装置被恶意软件感染时,iot装置可能被感染并且成为“僵尸装置”(源自“机器人”的术语)。这样的恶意软件点对点传播(即,从iot装置到另一iot装置),每个装置变成僵尸装置。一旦装置被感染,它就会扫描因特网,寻找新的易受攻击的装置进行感染。对于某些恶意软件,受感染装置会将恶意软件的副本发送到新装置,新装置又会受到感染。对于其他恶意软件,一旦僵尸装置找到新的易受攻击的装置,它就会将报告转发至负责感染新装置的“报告者”。在任何情况下,恶意软件都会迅速传播到大量受感染的装置。这些受感染的装置被布置成作为这样的僵尸装置的网络的“僵尸网络”。包括大量僵尸装置的僵尸网络可以用于在计算机系统(例如大型数据中心)上引起分布式拒绝服务(ddos)攻击。ddos攻击使数据中心充斥着过多的请求。在这样的攻击下,数据中心处理和通信能力可能会变得过载,以至于暂时无法向合法用户和客户机提供服务。在至少一个事件中,攻击对企业基础设施施加每秒一(1)太比特的负荷。因为攻击是通过大量源(即具有数千个不同的因特网协议(ip)地址的大量僵尸装置)来传递的,所以通过阻止单个源无法实现阻止攻击。鉴于ddos攻击可能涉及如此大量的ip地址,其中一些ip地址被分配给受感染之前合法的装置,因此简单地将可能有害的ip地址列入黑名单并不是有效的解决方案。ip地址经常被动态分配,因此黑名单可能最终导致阻止合法装置。近来发现的一些最强的恶意软件包括qbot(也称为bashlite或lizkebab)、mirai(在其他变体中也称为persira)、kaiten(也称为tsunami)和mr.black。一些恶意软件的发起者已经在线公开了他们的源代码,使得其他人能够开发不易被因特网安全软件工具发现的修改的副本。新的恶意软件会持续在线投放。如上所述,僵尸网络最初是通过恶意软件感染合法装置(例如iot装置)而创建的。这样创建的僵尸装置与被称为命令和控制(c&c)服务器的专用服务器进行通信。图1(现有技术)示出了其中c&c服务器使得许多合法装置被感染的网络的示例。在网络10中,c&c服务器12发现第一组易受攻击的装置,例如装置14。装置14可以在没有密码的情况下或者通过使用容易被发现的密码(例如装置供应商经常默认分配的密码)来访问。c&c服务器12还可以利用装置14的其他漏洞(例如“远程代码执行”安全漏洞)。登录到装置14后,c&c服务器12将恶意软件上传至装置14中,装置14被感染并且变成僵尸装置。恶意软件使装置14通过因特网16搜索其他易受攻击的装置18、20和22。这些装置18、20和22可以例如经由各种传输控制协议(tcp)端口(例如但不限于端口22、23和2323)来访问。一旦装置14识别出易受攻击的装置18、20和22,装置14就将它们各自的地址发送至c&c服务器12。c&c服务器12获得对装置18、20和22的访问并将恶意软件上传至其中;装置18、20和22变成僵尸装置,该僵尸装置也可被操作成搜索其他易受攻击的装置。这个过程呈指数级爆炸,并且数千个易受攻击的装置被感染并且迅速成为僵尸网络的一部分。在某些情况下,c&c服务器可以是受到黑客行为损害的合法服务器。在某些管辖区,托管服务提供商在法律上被禁止检查来自其数据中心托管的合法客户机的信息。这可能会阻止数据中心的操作员轻易发现其自身的服务器之一已被感染并且已成为c&c服务器。在某些情况下,矛盾的是当c&c服务器是数据中心基础设施的一部分时,数据中心可能成为攻击的受害者。虽然服务提供商经常被阻止审查在其数据中心托管的信息,该法律要求阻止调节其自身的服务器感染的可能方式,但服务提供商仍然有责任采取适当的行动来纠正对其服务的滥用并且从而继续服务其客户。为此,滥用补救解决方案可能依赖于由第三方发送的报告,这些解决方案在许多情况下太慢而不是高效的。由于客户要求持续访问其数据及其服务,因此在涉及滥用时,时间方面通常是关键的。传统的缓解方案反应缓慢。尽管已经证明某些解决方案会在30秒内作出反应,但这种延迟实际上可能会超过ddos攻击的持续时间,在这种情况下,缓解措施基本上没有成果。当攻击在基础设施上施加每秒一(1)太比特的负荷时,尽管持续时间短,但损害非常大。
背景技术:
:部分中讨论的主题不应仅因为在
背景技术:
:部分中提及而被认为是现有技术。类似地,在
背景技术:
:部分中提及到的或与
背景技术:
:部分的主题相关的问题不应被认为先前已在现有技术中被认识到。
背景技术:
:部分中的主题仅表示不同的方法。技术实现要素:本技术的实施方式基于开发人员对与现有技术相关联的缺点的理解来开发。特别地,这些缺点可能包括实际上可能超过ddos攻击的持续时间的当前缓解解决方案的延迟。在一个方面,本技术的各种实现方式提供了用于保护基础设施免受分布式拒绝服务(ddos)攻击的方法,该方法包括:在基础设施中安装软件诱饵;在软件诱饵处接收旨在感染软件诱饵的恶意软件;从恶意软件中提取命令和控制(c&c)服务器的地址或域名;使用c&c服务器的地址或域名将基础设施的客户机连接至c&c服务器;在客户机处接收c&c服务器旨在使客户机参与ddos攻击的命令;将ddos攻击的细节从客户机转发至清理部件;以及在清理部件中丢弃具有ddos攻击的细节中的至少一个细节的传入信号。在本技术的一些实现方式中,软件诱饵被配置成伪装为易受攻击的装置,该方法还包括,在软件诱饵处接收恶意软件之前:在软件诱饵处接收旨在检测基础设施的的保护功能的质询;并且转发来自软件诱饵的质询响应。在本技术的一些实现方式中,ddos攻击的细节包括ddos攻击的预期受害者的地址。在本技术的一些实现方式中,将ddos攻击的细节转发至清理部件是以预期受害者是基础设施的一部分为条件,该方法还包括:当预期受害者是基础设施的一部分时,更新基础设施的路由表,以使得目的地是预期受害者的地址的传入消息路由到清理部件。在本技术的一些实现方式中,在清理部件中丢弃具有ddos攻击的细节中的至少一个细节的传入信号包括从选自以下的元素:丢弃携带欺骗源ip地址的传入信号;丢弃与先前建立的连接不相关的传入信号;当携带相同源ip地址的传入信号的数目超过预定阈值时丢弃传入信号;以及它们的组合。在本技术的一些实现方式中,从恶意软件中提取c&c服务器的地址或域名包括:验证恶意软件是否被加密;如果恶意软件未被加密,则直接读取c&c服务器的地址或域名;如果恶意软件被加密,则使用已知恶意软件的一个或更多个先前检测到的加密密钥来解密恶意软件;在使用所述一个或更多个先前检测到的加密密钥之后,验证恶意软件是否仍被加密;并且如果恶意软件仍被加密,则执行对恶意软件的二进制的自动静态分析。在本技术的一些实现方式中,执行对恶意软件的二进制的自动静态分析包括:在恶意软件中定位预定机器语言指令序列;在恶意软件中定位应用预定机器语言指令序列的加密密钥;从恶意软件中提取加密密钥;使用加密密钥解密恶意软件;并且在解密的恶意软件中定位c&c服务器的地址或域名。在本技术的一些实现方式中,该方法还包括:通过验证恶意软件的下载器或c&c服务器的地址或域名,确定恶意软件的下载器或c&c服务器是否托管在基础设施中;并且如果恶意软件或c&c服务器的下载器托管在基础设施的被攻破的部件中,则执行选自以下的动作:对具有托管在基础设施的被攻破的部件中的内容的客户进行警告,将基础设施的被攻破的部件置于隔离区中;以及它们的组合。在其他方面,本技术的各种实现方式提供了用于保护基础设施免受分布式拒绝服务(ddos)攻击的系统,该系统包括:第一计算机程序,其实现清理部件,适于丢弃具有ddos攻击的至少一个细节的传入信号;第二计算机程序,其被配置成伪装为软件诱饵并且适于接收旨在感染软件诱饵的恶意软件;第三计算机程序,其实现控制和命令(c&c)数据收集器,适于:从软件诱饵接收恶意软件;以及从恶意软件中提取c&c服务器的地址或域名;以及第四计算机程序,其被配置成伪装为客户机并且适于:从c&c数据收集器接收c&c服务器的地址或域名;使用c&c服务器的地址或域名连接至c&c服务器;接收由c&c服务器旨在使客户机参与ddos攻击的命令;以及将ddos攻击的细节转发至清理部件。在本技术的一些实现方式中,该系统还包括多个互连的计算机平台,其中:在所述多个互连的计算机平台上实现清理部件的功能、软件诱饵的功能、c&c数据收集器的功能和客户机的功能;每个计算机平台包括至少一个处理器和至少一个存储器,所述至少一个存储器被操作地连接至至少一个处理器;并且在每个计算机平台中,存储器包括其上存储有指令的非暂态存储介质,该指令被计算机平台的处理器读取并执行以实现安装在计算机平台上的一个或更多个功能。在本技术的一些实现方式中,c&c数据收集器还适于通过以下操作从恶意软件中提取c&c服务器的地址或域名:如果恶意软件未被加密,则直接读取c&c服务器的地址或域名;如果恶意软件被加密,则使用已知恶意软件的一个或更多个先前检测到的加密密钥来解密恶意软件服务器;并且如果在使用所述一个或更多个先前检测到的加密密钥之后恶意软件仍被加密,则执行对恶意软件的二进制的自动静态分析。在本技术的一些实现方式中,c&c数据收集器还适于通过以下操作来执行对恶意软件的二进制的自动静态分析:在恶意软件中定位预定机器语言指令序列;在恶意软件中定位应用预定机器语言指令序列的加密密钥;从恶意软件中提取加密密钥;使用加密密钥解密恶意软件;以及已解密的恶意软件中定位c&c服务器的地址或域名。在本技术的一些实现方式中,预定机器语言指令序列包括一个或更多个指令,所述一个或更多个指令包括至少一个很少使用的指令。在本技术的一些实现方式中,其中,软件诱饵不安装恶意软件。在本技术的一些实现方式中,该系统还适于:通过验证恶意软件的下载器或c&c服务器的地址或域名,确定恶意软件的下载器或c&c服务器是否托管在基础设施中;并且如果恶意软件的下载器或c&c服务器托管在基础设施的被攻破的部件中,则使基础设施执行选自以下的动作:对具有托管在基础设施的被攻破的部件中的内容的客户进行警告;将基础设施的被攻破的部件置于隔离区中;以及它们的组合。在本说明书的上下文中,除非另有明确说明,否则计算机系统可以是指但不限于“电子装置”、“操作系统”、“系统”、“基于计算机的系统”、“控制器单元”、“监视装置”、“控制装置”和/或适合于手头相关任务的它们的任何组合。在本说明书的上下文中,除非另有明确说明,否则表述“计算机可读介质”和“存储器”旨在包括任何性质和种类的介质,该介质的非限制性示例包括ram、rom、磁盘(cd-rom、dvd、软盘、硬盘驱动器等)、usb密钥、闪存卡、固态驱动器和磁带驱动器。但是在本说明书的上下文中,“一种”计算机可读介质和“该”计算机可读介质不应被解释为是同一计算机可读介质。相反,并且在适当的时候,“一种”计算机可读介质和“该”计算机可读介质也可以被解释为第一计算机可读介质和第二计算机可读介质。在本说明书的上下文中,除非另有明确说明,否则词语“第一”、“第二”、“第三”等被用作仅是为了允许对它们彼此修改的名词之间作区分而不是为了描述这些名词之间的任何特定关系的形容词。本技术的实现方式各自具有上述目的和/或方面中的至少一个,但不一定具有所有这些目的和/或方面。应当理解,由于试图达到上述目的而作出的本技术的一些方面可能不满足该目的和/或可能满足本文未具体叙述的其他目的。根据以下描述、附图和所附权利要求,本技术的实现方式的附加和/或替选特征、方面和优点将变得明显。附图说明为了更好地理解本技术以及本技术的其他方面和其他特征,参照以下结合附图使用的描述,在附图中:图1(现有技术)示出了网络的示例,其中c&c服务器使多个合法装置被感染;图2是根据本技术的实施方式的实现用于防御ddos攻击的方法和系统的基础设施的框图;图3是表示根据本技术的实施方式的用于保护基础设施免受ddos攻击的方法的操作的高级流程图;图4是表示根据本技术的实施方式的用于提取c&c服务器的地址或域名的自动逆向工程方法的操作的高级流程图;图5a和图5b是示出根据本技术的实施方式的用于保护基础设施免受ddos攻击的方法的详细操作的序列图;图6是在基础设施处检测到的命令日志的实际示例;图7是由恶意软件mirai用来加密字符链而使用的例程的图示;图8是示出根据本技术的实施方式的用于提取c&c服务器的地址或域名的逆向工程方法的详细操作的序列图;图9是根据本技术的实施方式的计算机平台的框图;图10是示出在实现本技术之前和之后基础设施中的滥用通知的数目的变化的曲线图;图11是示出在实现本技术之前和之后在基础设施中托管的c&c服务器的数目的变化的曲线图;以及图12是在与图11中相同时间尺度中示出感染的数目的世界范围变化的曲线图。还应注意,除非本文另有明确说明,否则附图未按比例进行绘制。具体实施方式本文中所述的示例和条件语言主要旨在帮助读者理解本技术的原理,而不是将其范围限制于这样的具体叙述的示例和条件。应当理解,本领域技术人员可以设计出的各种布置,所述各种布置尽管未在本文中明确描述或示出,但仍体现了本技术的原理并且包括在其精神和范围内。此外,为了帮助理解,以下描述可以描述本技术的相对简化的实现方式。如本领域技术人员将理解的,本技术的各种实现方式可以具有更大的复杂性。在某些情况下,还可以阐述被认为是对本技术进行修改的有用示例。这仅是为了帮助理解,并且同样不是为了定义范围或阐述本技术的范围。这些修改不是详尽的列表,并且本领域技术人员可以进行仍在本技术的范围内的其他修改。此外,在没有阐述修改的示例的情况下,不应该解释为不可能进行修改和/或所描述的是实现本技术的该要素的唯一方式。此外,本文叙述本技术的原理、方面和实现方式的所有陈述及其具体示例旨在包括其结构和功能等同物,无论它们当前是已知的还是将来开发的。因此,例如,本领域技术人员将理解,本文的任何框图表示体现本技术原理的说明性电路的概念视图。类似地,将理解,任何流程图表、流程图、状态转换图、伪代码等表示可以基本上在计算机可读介质中表示并且由计算机或处理器执行的各种过程,无论是否明确地示出了这样的计算机或处理器。可以通过使用专用硬件以及能够与适当软件相关联地执行软件的硬件来提供包括被标记为“处理器”的任何功能框的图中所示的各种元件的功能。当由处理器提供时,功能可以由单个专用处理器、单个共享处理器或多个单独的处理器提供,其中一些处理器可以是共享的。在本技术的一些实施方式中,处理器可以是诸如中央处理单元(cpu)的通用处理器,或专用于特定目的的诸如数字信号处理器(dsp)的处理器。此外,术语“处理器”的明确使用不应被解释为专指能够执行软件的硬件,并且可以隐含地包括但不限于专用集成电路(asic)、现场可编程门阵列(fpga)、用于存储软件的只读存储器(rom)、随机存取存储器(ram)和非易失性存储装置。也可以包括其他传统的和/或定制的硬件。软件模块或被暗示为软件的简单模块在本文中可以表示为流程图元素或指示执行过程步骤和/或文本描述的其他元素的任何组合。这样的模块可以由明确地或隐含地示出的硬件来执行。此外,应当理解,模块可以包括例如但不限于,提供所需能力的计算机程序逻辑、计算机程序指令、软件、堆栈、固件、硬件电路或其组合。使用这些基本原理,现在将考虑适于保护基础设施免受分布式拒绝服务(ddos)攻击的系统和方法的一些非限制性示例。基础设施现在参照附图,图2是根据本技术的实施方式的实现用于防御ddos攻击的方法和系统的基础设施的框图。基础设施100可以例如表示为一个或更多个客户提供托管服务的一个数据中心或多个数据中心。在图2的示例中,由基础设施运营商的客户拥有的游戏服务器110托管在基础设施100中。将理解,基础设施100可以包括用于大量客户的托管服务的大量服务器,并且为了冗余、可靠性和/或负荷分担目的,基础设施100可以分布在多个数据中心(未示出)上。形成基础设施100的数据中心在地理上可以分布在例如世界范围内。为了便于说明,图2的图示基础设施100被大大简化。出于防御目的,特定应用安装在基础设施100的计算机平台(在后面的图中示出)(例如计算机或服务器)上,以形成用于保护基础设施100免受ddos攻击的系统。一个这样的应用是有时被称为“蜜罐”的软件诱饵120,其被配置成伪装为可易被恶意软件感染的易受攻击的装置。软件诱饵120具有模仿通常默认赋予简单装置的那些凭证的简单登录凭证。例如,登录凭证可以包括诸如“root”的登录身份和简单地被设置为“password”的密码。软件诱饵120还可以尝试检测远程代码执行(rce)攻击。软件诱饵120旨在下载恶意软件但是不会安装恶意软件。该系统的另一应用是被配置成从在软件诱饵120处接收的恶意软件中提取信息的c&c数据收集器130。该系统的另一应用是被配置成伪装被感染装置的客户机140。该系统的又一应用是清理部件150。虽然示出了单个软件诱饵120、单个c&c数据收集器130、单个客户机140和单个清理部件150,但是这些部件中的任何一个可以被复制到基础设施100中的多个部件中。在实施方式中,基础设施100的所有部件可以共同位于同一安装设施中,例如是同一数据中心的一部分。在另一实施方式中,基础设施100的一些部件可以远离基础设施100的其他部件,基础设施的在地理上分离的部件经由因特网或经由专用网络进行通信。在说明性但非限制性的示例中,向基础设施的客户提供服务的服务器(例如游戏服务器110)可以大量地安装在许多位置,而同时在同一示例中,用于防御ddos攻击的系统的部件可以安装在有限数量的位置。通常但不一定在基础设施100外部的服务器是图1的命令和控制(c&c)服务器12。c&c服务器12可以是犯罪实体的服务器或已被恶意软件感染的合法服务器。c&c服务器12使通常合法但保护不力的装置被恶意软件感染,将装置变成诸如图1的僵尸装置18、20和22的僵尸装置。虽然仅示出了几个僵尸装置,但是基础设施100可能受到来自包括数千个僵尸装置的僵尸网络的攻击。通常是僵尸装置18、20和22中的一个发现软件诱饵120并且试图利用恶意软件感染它。高级别处理图3是表示根据本技术的实施方式的用于保护基础设施免受ddos攻击的方法的操作的高级流程图。流程图200开始于实际发生在c&c服务器12或由僵尸装置18、20和22形成的网络(即僵尸网络)中的扫描210。扫描210用于试图在因特网中找到易受攻击的装置。在扫描210期间发现软件诱饵120(“蜜罐”)。僵尸装置18、20或22中的一个成功登录软件诱饵120。然后,将质询220发送至软件诱饵120;鉴于恶意软件作者知道使用蜜罐的构思并且试图验证对扫描210作出响应的装置是否实际上是蜜罐,因此发送该质询。软件诱饵120被配置成向质询提供与易受攻击的装置会实际发送的预期响应相对应的响应230。例如,该质询可以包括用于显示文件内容或显示十六进制字符链的请求。软件诱饵120相应地回复。在一个变体中,基础设施100可以包括多个软件诱饵120(即,多个蜜罐),每个软件诱饵120被配备成提供不同的质询响应,使得软件诱饵120中的至少一个不被攻击者识别为蜜罐。流程图200的其余部分基于僵尸网络未检测到软件诱饵120的真实性质的假设。在操作240处,由软件诱饵120接收携带用于从其获取和下载恶意软件的恶意软件的下载器的因特网协议(ip)地址或统一资源定位符(url)的命令;这在图3中被示出为蜜罐回收实际上是恶意软件的样本软件。该地址通常是旨在将恶意软件传送给易受攻击的装置的web服务器的地址,尽管它也可以是c&c服务器12的地址。软件诱饵120下载恶意软件并且接收请求安装恶意软件的命令。软件诱饵120实际上并不安装恶意软件。流程图200的以下操作包括c&c数据收集器130对恶意软件的分析操作250,以在操作260处恢复c&c服务器12的地址和端口号或c&c服务器12的域名和端口号。客户机140使用该地址与c&c服务器12建立连接270。该连接操作270允许客户机140获得关于c&c服务器12的进一步信息,包括但不限于即将到来的ddos攻击的细节。客户机140向其他部件(例如清理部件150)通知即将到来的ddos攻击的细节。如果发现c&c服务器12的地址是基础设施100的一部分,则在操作280处转发“滥用”通知。在此上下文中使用术语“滥用”,因为发现作为基础设施100的一部分的服务器已被感染变成c&c服务器12。在操作290处启动滥用缓解程序。滥用缓解程序可以包括对变成c&c12的基础设施100的受感染装置进行隔离或清理。图4是表示根据本技术的实施方式的用于提取c&c服务器的地址或域名的自动逆向工程方法的操作的高级流程图。流程图300基本上对应于图3的操作250和操作260。在操作310处,如果恶意软件在被接收时被打包,则可以将恶意软件解包,并且在试图解密恶意软件时使用异或(xor)操作来向恶意软件应用先前检测到的恶意软件的一组已知加密密钥(也称为加密密钥)的第一加密密钥。在操作320处进行恶意软件的静态分析,以尝试恢复c&c服务器12的地址或域名;如果在操作310处应用的第一加密密钥不合适,则该尝试可能失败。如果上述尝试失败,则使用另一已知的加密密钥再次执行操作310。如果在重复操作310处应用的任何已知加密密钥都不能够使得在重复操作320处成功解密恶意软件,则在操作330处尝试动态分析。下面将关于图8描述该分析的细节。详细防御过程图5a和图5b是示出根据本技术的实施方式的用于保护基础设施免受ddos攻击的方法的详细操作的序列图。在图5a和图5b中,用于保护基础设施免受ddos攻击的序列400包括可以以可变顺序执行的多个操作,一些操作可能同时执行,一些操作是可选的。序列400示出了在基础设施100的各种部件中发生的操作。通过在基础设施中安装软件诱饵,在操作405处启动序列400。如上所述,软件诱饵120被配置成伪装易受攻击的装置。在操作410处,软件诱饵120可以接收旨在检测基础设施的保护功能的质询;除非另有说明,否则该质询旨在确定由僵尸网络定位的软件诱饵120是否充当蜜罐。可以从僵尸装置接收质询。如果软件诱饵120检测到质询源位于基础设施100中,例如当质询具有在基础设施100中托管的源ip地址时,软件诱饵120可以发出滥用通知(图3的操作280)。软件诱饵在操作415处转发质询响应。通常,该质询响应将足以向僵尸网络隐藏软件诱饵120的真实性质。如前所述,基础设施可以包括多个软件诱饵120,以希望至少一个质询响应欺骗僵尸网络从而隐藏软件诱饵120的蜜罐功能。在基础设施100中实现大量软件诱饵实例增加了僵尸网络快速发现软件诱饵之一的可能性。在操作420处,在软件诱饵120处接收旨在感染软件诱饵120的恶意软件。恶意软件的下载器可以例如是攻破的web服务器。在至少一个实施方式中,软件诱饵120实际上不安装恶意软件。如果软件诱饵120检测到恶意软件的下载器位于基础设施100中,例如当恶意软件具有在基础设施100中托管的源ip地址或统一资源定位符(url)时,软件诱饵120可以发布滥用通知。软件诱饵120将恶意软件转发至c&c数据收集器130,c&c数据收集器130在操作425处从恶意软件中提取c&c服务器12的地址或域名。如果c&c数据收集器130检测到c&c服务器12的域名的地址属于基础设施100,则c&c数据收集器130可以发布滥用通知。c&c服务器的地址可以是ip地址。c&c服务器的域名可以是url的一部分。在下文中,在图8的描述中提供了由c&c数据收集器130执行的操作425的非限制性示例性实施方式。在操作430处,客户机140使用c&c服务器12的地址或域名连接至c&c服务器12。如上所述,客户机140被配置成伪装被恶意软件感染。为此,客户机140可以实现恶意软件的已知协议。在操作435处,客户机140接收由c&c服务器12旨在使客户机140参与ddos攻击的命令。客户机140和c&c服务器12之间的连接可能丢失并自动恢复,在这种情况下,客户机140可以鉴于发布滥用通知(如果适用)再次验证c&c服务器12的地址或域名。ddos攻击的细节可以包括ddos攻击的预期受害者(例如游戏服务器110)的地址、ddos攻击的预期受害者的端口号、ddos攻击的预期持续时间和/或类似的参数。例如,图6是在基础设施100处检测到的命令日志的实际示例。在图6中,合法系统的实际ip地址(最低有效数字除外)通过利用“x值”隐藏实际值来掩蔽,以保护这些地址的实际所有者的匿名性。在6月26日16:47:40检测到的命令示出了由c&c服务器12向僵尸网络的僵尸装置命令的标准(std)ddos攻击(实际上是tcp泛洪)。ddos攻击指向ip地址“xx.xxx.xxx.42”,端口号为443,并且预期持续时间为200秒。返回图5b,在操作440处客户机140将ddos攻击的细节转发至清理部件150。在一个变型中,将ddos攻击的细节转发至清理部件150可以以预期的受害者是基础设施100的一部分(如在游戏服务器110的情况下并且如基于与ddos攻击的细节相同的地址确定的)为条件。然而,也可以设想另一种变型,其中ddos攻击的细节被转发至另一系统或设备(例如另一基础设施);例如,当基础设施100的运营商和/或所有者与其他系统或设备的运营商达成协议以协作防止ddos攻击时,就是这样的情况。基础设施100可以包括用于将传入信号、消息和分组引导到基础设施100的适当部件的路由表。在实施方式中,操作445包括:当预期受害者是基础设施的一部分时(如在游戏服务器110的情况下那样),更新基础设施100的路由表以使得目的地是预期受害者的地址的传入消息朝向清理部件150路由。可以使用边界网关协议(bgp)或开放最短路径优先(ospf)协议来更新路由表。当基础设施100检测到ddos攻击已经结束时,路由表可以恢复其先前状态。基础设施100的任何部件可以启动操作445。在操作450处,清理部件150丢弃具有ddos攻击的至少一个细节的传入信号。在非限制性示例中,ddos攻击的细节包括预期受害者的ip地址和/或端口号,并且清理部件150可以过滤在ip报头中具有该ip地址和/或在其传输控制协议(tcp)报头中具有该端口号的的传入信号、消息和/或分组。操作450可以包括子操作451、452和/或453中的一个或更多个。在子操作451处,丢弃携带欺骗源ip地址的传入信号。在子操作452处,丢弃与先前建立的连接无关的传入信号。在子操作453处,当来自相同源ip地址的这样的信号的数目超过预定阈值时,丢弃传入信号。子操作451、452和453表示操作450的非限制性示例性实施方式,并且清理部件150可以应用其他标准来丢弃具有ddos攻击的至少一个细节的传入信号。如果发现僵尸装置、恶意软件的下载器或c&c服务器12被托管在基础设施100中,则发现了对基础设施100的资源的滥用。基础设施100的客户可能将内容托管在在由于将僵尸装置、恶意软件的下载器或c&c服务器12安装在攻破的部件中而被攻破的基础设施100的服务器或其他部件中。在操作455处,可以警告客户。替选地或另外地,可以将基础设施100的攻破的部件置于隔离区中。基础设施100的任何部件可以启动操作455。逆向工程本技术引入了用于提取控制僵尸网络的c&c服务器12的地址或域名的若干变体。有时,例如在qbot恶意软件的情况下,地址或域名可能包含在未加密的恶意软件的字符串中。在这样的情况下,域名或c&c服务器12的提取通常由c&c数据收集器130完成。更常见的是,地址或域名和端口号在恶意软件中被加密隐藏。在这些情况下,可以使用逆向工程来揭示c&c服务器12的地址或域名。大多数恶意软件可以通过在其二进制中定位签名来识别,该签名包括例如特定的代码序列。例如,恶意软件mirai以与专用于操纵地址的机器语言指令相关联的无符号32位整数值来隐藏c&c12的ip地址。在intelx86指令集的特定非限制性示例中,对mov和push操作代码的检查可以揭示c&c服务器12的ip地址和端口号。当使用其他架构(例如使用arm、mips或者sparc处理器的架构)时,可以针对相同的目的检查其他操作代码。在变型中,逆向工程使用对恶意软件的二进制的静态分析,并且通过尝试识别恶意软件的签名来自动搜索c&c服务器12的地址或域名。例如,上述mov和push操作代码也可以用于恢复隐藏在恶意软件中的加密密钥。恶意软件中的字符串可能被编码成不被容易从恶意软件的二进制代码中识别或提取。可以在隐藏字符串与加密密钥之间进行异或(xor)操作以揭示一些恶意软件内容。加密密钥通常以二进制硬编码,但可能会在恶意软件间变化。在实施方式中,通过搜索指示恶意软件中使用的加密例程的预定操作代码序列来自动恢复加密密钥。除了push和mov之外,该操作代码序列还可以包含其他操作代码。作为非限制性示例,图7是由恶意软件mirai用来加密字符链的的例程的图示。在图7中,例程500定义被标记为“table_key”的值510。使用移位操作代码将table_key510放置在变量k1、k2、k3和k4中。shift24操作代码520实际上将table_key510移位24位到变量k4。虽然移位8位或16位的移位操作并不罕见,但是shift24操作代码520是不常使用的(或很少使用的)操作代码,并且为逆向工程过程提供了定位加密密钥的线索。除非另有说明,shift24操作代码520是恶意软件mirai的签名的一部分。从应用于其他恶意软件的逆向工程获取的先前经验可以用于识别特定操作代码作为相应恶意软件的潜在标记。变量k1、k2、k3和k4(包括作为shift24操作代码520的对象的k4)被用于xor运算530。将xor操作530应用在作为shift24操作代码520的对象的变量k4上,提供了以下强有力的线索,即table_key510实际上是可以用于解密恶意软件并且然后提取c&c服务器12的地址或域名的加密密钥。从eax寄存器读取值并且使用“moveax,dword<addr>”指令对值进行移位。读取地址<addr>。检查地址<addr>处的无符号32位整数(uint32)值以揭示加密密钥。图8是示出根据本技术的实施方式的用于提取c&c服务器的地址或域名的逆向工程方法的详细操作的序列图。在图8中,实现逆向工程方法的序列600包括可以以可变顺序执行的多个操作,一些操作可能同时执行,一些操作是可选的。序列600示出了在c&c数据收集器130中发生的操作。在实施方式中,c&c数据收集器130可以是基础设施100的一部分,如图2的示例所示。还构想了另一实施方式,其中c&c数据收集器130可以是从任何实体接收从恶意软件中提取c&c服务器12的地址或域名的请求的独立部件。以下段落提供了其中c&c数据收集器130直接从软件诱饵120接收恶意软件的非限制性示例。已经在基础设施100处接收到恶意软件(图5a的操作420),c&c数据收集器130在操作610处验证恶意软件是否被加密。如果恶意软件未被加密,则例如通过在恶意软件中搜索与专用于操纵地址的机器语言指令相关联的无符号32位整数(uint32)值或纯null终止字符串,在操作620处c&c数据收集器130直接读取c&c服务器12的地址或域名。如果恶意软件被加密,则c&c数据收集器130在操作630处使用先前检测到的已知恶意软件的加密密钥来尝试解密恶意软件。在操作640处,c&c数据收集器130确定在操作630处使用先前检测到的加密密钥中的一个是否已成功解密恶意软件。如果在操作640处发现解密成功,则在操作620处c&c数据收集器130直接读取c&c服务器12的地址或域名。如果操作640显示恶意软件仍被加密,则c&c数据收集器130在操作650处对恶意软件的二进制执行自动静态分析。在非限制性实施方式中,操作650可以包括子操作652、子操作654、子操作656、子操作658和子操作660中的一个或更多个。在子操作652处,c&c数据收集器130在恶意软件中定位预定机器语言指令序列。预定机器语言指令序列可以包括一个或更多个指令,这些指令中的至少一个是很少使用的指令。在子操作654处,c&c数据收集器130在恶意软件中定位应用预定机器语言指令序列的加密密钥。在子操作656处,c&c数据收集器130提取加密密钥。在子操作658处,c&c数据收集器130使用加密密钥对恶意软件进行解密。然后,在子操作660处,c&c数据收集器130在已解密的恶意软件中例如通过在恶意软件的二进制与加密密钥之间应用xor操作来定位c&c服务器的地址或域名。图9是根据本技术的实施方式的计算机平台的框图。作为基础设施100的一部分的计算机平台700包括处理器710、存储器装置720、输入装置730和输出装置740。存储器装置720、输入装置730和输出装置740都操作地连接至处理器710并且由处理器710控制。存储器装置720可以存储与在计算机平台700中实现的功能有关的数据。存储器装置720还可以包含其上存储有指令的非暂态存储介质,处理器710可以读取并执行该指令以实现计算机平台700的功能。在实现方式中,输入装置730和输出装置740实际上可以包括组合的输入/输出装置。输入装置730和输出装置740,或视情况而定的输入/输出装置,允许计算机平台700与基础设施100的其他计算机平台700互连和/或与外部实体进行通信,外部实体包括但不限于僵尸装置18、20、22和c&c服务器12。计算机平台700可以是通用计算机、服务器或具有处理能力的任何系统。计算机平台700实际上可以由多个装置例如两个或更多个协作计算机形成。计算机平台700可以包括一个或更多个处理器710、一个或更多个存储器装置720、一个或更多个输入装置730、一个或更多个输出装置740,和/或一个或更多个输入/输出装置。游戏服务器110、软件诱饵120、c&c数据收集器130、客户机140和清理部件150中的每一个可以在计算机平台700上实现。在一个变型中,游戏服务器110、软件诱饵120、c&c数据收集器130、客户机140和清理部件150中的每一个在不同的和相应的计算机平台700上实现。在另一变型中,游戏服务器110、软件诱饵120、c&c数据收集器130、客户机140和清理部件150中的两(2)个或更多个可以在一个计算机平台700上实现,而基础设施100的其他部件在一个或更多个其他计算机平台700上实现。如上所述,基础设施100可以包括游戏服务器110、软件诱饵120、c&c数据收集器130、客户机140和清理部件150中的每一个中的多个。在非限制性示例中,客户机140的两个(2)实例可以在两个(2)不同的计算机平台700上实现。在同一或另一非限制性示例中,软件诱饵120的两(2)个实例可以共享公共计算机平台700。为了实现用于保护基础设施免受分布式拒绝服务(ddos)攻击的系统,在计算机平台700上实现第一计算机程序,该第一计算机程序实现适于丢弃具有ddos攻击的至少一个细节的传入信号的清理部件150。在同一或另一计算机平台700上实现第二计算机程序,该第二计算机程序被配置成伪装软件诱饵120并且适于接收旨在感染软件诱饵120的恶意软件。在上述计算机平台中的一个上或另一计算机平台上实现第三计算机程序,该第三计算机程序适于通过从软件诱饵接收恶意软件并且从恶意软件中提取c&c服务器12的地址或域名来实现c&c数据收集器130的功能。在上述计算机平台中的一个上或又一计算机平台上实现第四计算机程序,该第四计算机程序被配置成伪装客户机140并且适于从c&c数据收集器130接收c&c服务器12的地址或域名,使用c&c服务器12的地址或域名来连接至c&c服务器12,接收由c&c服务器12旨在使客户机140参与ddos攻击的命令,并且将ddos攻击的细节转发至清理部件150。一般而言而非限制地,实现清理部件150的第一计算机程序可以实现图5b的操作450,并且还可以实现图5b的子操作451、452和453中的一个或更多个。同样,实现软件诱饵120的第二计算机程序可以实现图5a的操作405至操作420。以相同的方式,实现c&c数据收集器130的第三计算机程序可以实现图5a的操作425和图8的序列600的所有操作。最后,实现客户机140的第四计算机程序可以实现图5a和图5b的操作430、435和440。图10是示出在实现本技术之前和之后基础设施中的滥用通知的数目的变化的曲线图。更详细地,曲线图800示出了“滥用报告”的数目随时间的变化810,当发现基础设施100的部件(例如服务器)正在托管c&c服务器时报告滥用。线820示出了在基础设施100中引入用于保护基础设施100免受ddos攻击的工作流之前的变化810的随时间的平均值。在时间830处引入该工作流之后,由工作流引起的检测中存在显示先前引入的感染的初始激增。此后,滥用报告数目的变化810随时间的平均值840显示感染数目的非常显着的减少。图11是示出在实现本技术之前和之后在基础设施中托管的c&c服务器的数目的变化的曲线图。曲线850示出了基础设施100中的受感染服务器的数目。在时间830处引入工作流之前,高达20%至25%的服务器变为c&c服务器。在引入工作流之后,曲线850示出了受感染服务器的数目已降至0%至5%的范围。图12是在与图11中相同时间尺度中示出感染数目的世界范围变化的曲线图。曲线860和曲线860的趋势870示出,在全球范围内,每月检测到受感染的iot装置的感染持续增加。图11和图12的结果的比较示出了本技术的高效性。虽然已经参考以特定顺序执行的特定步骤描述和示出了上述实现方式,将理解,可以在不脱离本技术的教示的情况下对这些步骤进行组合、细分或重新排序。至少一些步骤可以并行或串行执行。因此,步骤的顺序和分组不是对本技术的限制。应该清楚地理解,并非本文提及的所有技术效果都需要在本技术的每个实施方式中实现。根据本技术的一些非限制性实施方式实现的用于保护基础设施免受分布式拒绝服务ddos攻击的系统和方法可以以编号条款呈现的方式表示如下。条款[条款1]一种用于保护基础设施抵抗分布式拒绝服务(ddos)攻击的方法,包括:在所述基础设施中安装软件诱饵;在所述软件诱饵处接收旨在感染所述软件诱饵的恶意软件;从所述恶意软件中提取命令和控制(c&c)服务器的地址或域名;使用所述c&c服务器的地址或所名将所述基础设施的客户机连接至所述c&c服务器;在所述客户机处接收所述c&c服务器旨在使所述客户机参与所述ddos攻击的命令;将所述ddos攻击的细节从所述客户机转发至清理部件;以及在所述清理部件中丢弃具有所述ddos攻击的细节中的至少一个细节的传入信号。[条款2]根据条款1所述的方法,其中,所述软件诱饵被配置成伪装为易受攻击的装置。[条款3]根据条款2所述的方法,还包括在所述软件诱饵处接收所述恶意软件之前:在所述软件诱饵处接收旨在检测所述基础设施的保护功能的质询;以及转发来自所述软件诱饵的质询响应。[条款4]根据条款1至3中任一项所述的方法,其中,所述客户机被配置成伪装为被所述恶意软件所感染。[条款5]根据条款4所述的方法,其中,所述客户机实现所述恶意软件的协议。[条款6]根据条款1至5中任一项所述的方法,其中,所述ddos攻击的细节包括所述ddos攻击的预期受害者的地址。[条款7]根据条款6所述的方法,其中,所述ddos攻击的所述细节还包括所述ddos攻击的所述预期受害者的端口号和所述ddos攻击的预期持续时间。[条款8]根据条款6或7所述的方法,其中,将所述ddos攻击的所述细节转发至所述清理部件是以所述预期受害者是所述基础设施的一部分为条件。[条款9]根据条款8所述的方法,还包括:当所述预期受害者是所述基础设施的一部分时,更新所述基础设施的路由表,以使得目的地是所述预期受害者的地址的传入消息路由到所述清理部件。[条款10]根据条款1至9中任一项所述的方法,其中,在所述清理部件中丢弃具有所述ddos攻击的细节中的至少一个细节的传入信号包括选自以下的元素:丢弃携带欺骗源ip地址的传入信号、丢弃与先前建立的连接不相关的传入信号、当携带相同源ip地址的传入信号的数目超过预定阈值时丢弃传入信号、及其组合。[条款11]根据条款1至10中任一项所述的方法,其中,所述c&c服务器的所述地址是ip地址。[条款12]根据条款1至11中任一项所述的方法,其中,从所述恶意软件中提所述取c&c服务器的所述地址或所述域名包括:验证所述恶意软件是否被加密;如果所述恶意软件未被加密,则直接读取所述c&c服务器的所述地址或所述域名。[条款13]根据条款12所述的方法,还包括在所述恶意软件中搜索与专用于操纵地址的机器语言指令相关联的无符号32位整数值。[条款14]根据条款1至11中任一项所述的方法,其中,从所述恶意软件中提取所述c&c服务器的所述地址或所述域名包括:验证所述恶意软件是否被加密;以及如果所述恶意软件被加密,使用已知恶意软件的一个或更多个先前检测到的加密密钥来解密所述恶意软件。[条款15]根据条款1至11中任一项所述的方法,其中,从所述恶意软件中提取所述c&c服务器的所述地址或所述域名包括:验证所述恶意软件是否被加密;以及如果所述恶意软件被加密,则对所述恶意软件的二进制执行自动静态分析。[条款16]根据条款15所述的方法,还包括:在所述恶意软件中定位预定机器语言指令序列;在所述恶意软件中定位应用所述预定机器语言指令序列的加密密钥;从所述恶意软件中提取所述加密密钥;使用所述加密密钥解密所述恶意软件;以及在解密的恶意软件中定位所述c&c服务器的所述地址或所述域名。[条款17]根据条款16所述的方法,其中,解密所述恶意软件包括在所述恶意软件的所述二进制与所述加密密钥之间应用异或(xor)操作。[条款18]根据条款16或17所述的方法,其中,所述预定机器语言指令序列包括一个或更多个指令,所述一个或更多个指令包括至少一个很少使用的指令。[条款19]根据条款1至18中任一项所述的方法,其中,所述软件诱饵不安装所述恶意软件。[条款20]根据条款1至19中任一项所述的方法,还包括:通过验证所述恶意软件的下载器或所述c&c服务器的所述地址或所述域名,确定所述恶意软件的所述下载器或所述c&c服务器是否托管在所述基础设施中;以及如果所述恶意软件的所述下载器或所述c&c服务器托管在所述基础设施的被攻破的部件中,则执行选自以下的动作:对具有托管在所述基础设施的所述被攻破的部件中的内容的客户进行警告;将所述基础设施的所述被攻破的部件置于隔离区中;以及它们的组合。[条款21]一种用于定位命令和控制(c&c)服务器的地址或域名的逆向工程方法,包括:接收恶意软件,但不安装所述恶意软件:在所述恶意软件的二进制中定位预定机器语言指令序列;在所述恶意软件的二进制中定位应用所述预定机器语言指令序列的加密密钥;从所述恶意软件中提取所述加密密钥;使用所述加密密钥解密所述恶意软件;以及在解密的恶意软件中定位所述c&c服务器的所述地址或所述域名。[条款22]根据条款21所述的方法,其中,解密所述恶意软件包括在所述恶意软件的二进制与所述加密密钥之间应用异或(xor)操作。[条款23]根据条款21或22所述的方法,其中,所述预定机器语言指令序列包括一个或更多个指令,所述一个或更多个指令包括至少一个很少使用的指令。[条款24]一种用于保护基础设施免受分布式拒绝服务(ddos)攻击的系统,包括:第一计算机程序,其实现清理部件,适于丢弃具有ddos攻击的至少一个细节的传入信号;第二计算机程序,其被配置成伪装为软件诱饵并且适于接收旨在感染所述软件诱饵的恶意软件;第三计算机程序,其实现控制和命令(c&c)数据收集器,适于:从所述软件诱饵接收所述恶意软件;以及从所述恶意软件中提取c&c服务器的地址或域名;以及第四计算机程序,其被配置成伪装为客户机并且适于:从所述c&c数据收集器接收所述c&c服务器的所述地址或所述域名;使用所述c&c服务器的所述地址或所述域名连接至所述c&c服务器;接收所述c&c服务器旨在使所述客户机参与所述ddos攻击的命令;以及将所述ddos攻击的细节转发至所述清理部件。[条款25]根据条款24所述的系统,还包括多个互连的计算机平台,其中:在所述多个互连的计算机平台上实现所述清理部件的功能、所述软件诱饵的功能、所述c&c数据收集器的功能和所述客户机的功能;每个计算机平台包括至少一个处理器和至少一个存储器,所述至少一个存储器被操作用于连接至所述至少一个处理器;以及在每个计算机平台中,所述存储器包括其上存储有指令的非暂态存储介质,所述计算机平台的所述处理器读取并执行该指令,以实现安装在所述计算机平台上的一个或更多个功能。[条款26]根据条款24或25所述的系统,其中,所述软件诱饵被配置成伪装为易受攻击的装置。[条款27]根据条款26所述的系统,其中,所述软件诱饵还适于:接收旨在检测所述基础设施的保护功能的质询;以及转发来自所述软件诱饵的质询响应。[条款28]根据条款24至27中任一项所述的系统,其中,所述客户机被配置成伪装成被所述恶意软件所感染。[条款29]根据条款28所述的系统,其中,所述客户机实现所述恶意软件的协议。[条款30]根据条款24至29中任一项所述的系统,其中,所述ddos攻击的所述细节包括所述ddos攻击的预期受害者的地址。[条款31]根据条款30所述的系统,其中,所述ddos攻击的细节还包括所述ddos攻击的所述预期受害者的端口号和所述ddos攻击的预期持续时间。[条款32]根据条款30或31所述的系统,其中,所述客户机还适于:仅当所述预期受害者是所述基础设施的一部分时,将所述ddos攻击的所述细节转发至所述清理部件。[条款33]根据条款32所述的系统,还包括:当所述预期受害者是所述基础设施的一部分时,更新所述基础设施的路由表,以使得目的地是所述预期受害者的所述地址的传入消息路由到所述清理部件。[条款34]根据条款24至33中任一项所述的系统,其中,所述清理部件还适于丢弃携带欺骗源ip地址的传入信号。[条款35]根据条款24至33中任一项所述的系统,其中,所述清理部件还适于丢弃与先前建立的连接无关的传入信号。[条款36]根据条款24至33中任一项所述的系统,其中,所述清理部件还适于当携带相同源ip地址的传入信号的数目超过预定阈值时丢弃传入信号。[条款37]根据条款24至36中任一项所述的系统,其中,所述c&c服务器的所述地址是ip地址。[条款38]根据条款24至37中任一项所述的系统,其中,所述c&c数据收集器还适于:如果所述恶意软件未被加密,则通过直接读取所述c&c服务器的所述地址或所述域名来从所述恶意软件中提取所述c&c服务器的所述地址或所述域名。[条款39]根据条款38所述的系统,其中,所述c&c数据收集器还适于在所述恶意软件中搜索与专用于操纵地址的机器语言指令相关联的无符号32位整数值。[条款40]根据条款24至37中任一项所述的系统,其中,所述c&c数据收集器还适于:通过使用一个或更多个先前检测到的已知恶意软件的加密密钥来解密所述恶意软件,从所述恶意软件中提取所述c&c服务器的所述地址或所述域名。[条款41]根据条款24至37中任一项所述的系统,其中,所述c&c数据收集器还适于:通过执行对所述恶意软件的二进制的自动静态分析来从所述恶意软件中提取所述c&c服务器的所述地址或所述域名。[条款42]根据条款41所述的系统,其中,所述c&c数据收集器还适于:在所述恶意软件中定位预定机器语言指令序列;在所述恶意软件中定位应用所述预定机器语言指令序列的加密密钥;从所述恶意软件中提取所述加密密钥;使用所述加密密钥解密所述恶意软件;以及在解密的恶意软件中定位所述c&c服务器的所述地址或所述域名。[条款43]根据条款42所述的系统,其中,所述c&c数据收集器还适于通过在所述恶意软件的二进制与所述加密密钥之间应用异或(xor)操作来解密所述恶意软件。[条款44]根据条款42或43所述的系统,其中,所述预定机器语言指令序列包括一个或更多个指令,所述一个或更多个指令包括至少一个很少使用的指令。[条款45]根据条款24至44中任一项所述的系统,其中,所述软件诱饵不安装所述恶意软件。[条款46]根据条款24至45中任一项所述的系统,其中,所述系统还适于:通过验证所述恶意软件的下载器或所述c&c服务器的所述地址或所述域名,确定所述恶意软件的下载器或所述c&c服务器是否托管在所述基础设施中;以及如果所述恶意软件的下载器或所述c&c服务器托管在所述基础设施的被攻破的部件中,则使所述基础设施执行选自以下的动作:对具有托管在所述基础设施的所述被攻破的部件中的内容的客户进行警告,将所述基础设施的所述被攻破的部件置于隔离区中;以及它们的组合。[条款47]一种用于定位命令和控制(c&c)服务器的地址或域名的系统,所述系统包括:一个或更多个计算机程序,所述一个或更多个计算机程序适于接收恶意软件而不会安装所述恶意软件:在所述恶意软件的二进制中定位预定机器语言指令序列;所述恶意软件的二进制中定位应用所述预定机器语言指令序列的加密密钥;从所述恶意软件中提取所述加密密钥;使用所述加密密钥解密所述恶意软件;以及在解密的恶意软件中定位所述c&c服务器的地址或域名。[条款48]根据条款47所述的系统,还包括计算机平台,所述计算机平台包括至少一个处理器和至少一个存储器,所述至少一个存储器被操作用于连接至所述至少一个处理器,其中,所述一个或更多个计算机程序在所述计算机平台上实现。[条款49]根据条款47或48所述的系统,其中,所述一个或更多个计算机程序还适于在所述恶意软件的二进制与所述加密密钥之间应用异或(xor)操作。[条款50]根据条款47至49中任一项所述的系统,其中,所述预定机器语言指令序列包括一个或更多个指令,所述一个或更多个指令包括至少一个很少使用的指令。对本领域技术人员来说,本技术的上述实现方式的修改和改进会变得明显。前面的描述旨在是示例性的而不是限制性的。因此,本技术的范围旨在仅受所附权利要求的范围限制。当前第1页1 2 3 当前第1页1 2 3