一种基于网关远程控制攻击反制方法与流程

本发明涉及网络安全技术领域，尤其是涉及一种基于网关远程控制攻击反制方法。

背景技术：

远程控制攻击是指攻击者在异地通过计算机网络，连通需被控制的计算机，将被控计算机的桌面环境显示在自己的计算机上，通过本地计算机对远方计算机进行配置，安装程序、信息获取和内网渗透等操作。

现有的针对远程控制攻击反制技术包括分析恶意软件特征，追踪远程连接域名和服务器，实用“诱饵”软件诱惑对方执行程序等方式。其中，分析恶意软件，可能获取软件开发版本，开发语言，软件开发者等个人信息等，但是如果恶意软件开发人员具有较强的反侦察意识，隐蔽这些信息，那么就无法获取这些信息，追踪远程连接域名，可以获取恶意软件连接服务器域名、ip地址，可以基于域名，获得注册者信息，如果服务器存在漏洞，有可能获取服务器最高权限，但是攻击者具有较强的反侦查意识，注册者信息是伪造的，服务器安全防护级别较高，无法获取攻击者信息；实用“诱饵”软件诱惑对方执行，通过诱饵方式，引诱攻击者执行程序，从而可能获得攻击者信息，甚至控制攻击者主机，但是这种方式为被动方式，需要攻击者执行程序或者点击文档。

因此，针对上述问题本发明急需提供一种基于网关远程控制攻击反制方法。

技术实现要素：

本发明的目的在于提供一种基于网关远程控制攻击反制方法，通过远程控制攻击反制方法以解决现有技术中存在的无法及时获取恶意软件的信息、或获取的注册信息为伪造，无法获取攻击者信息，或采取诱饵方式，需要攻击者执行程序或者点击文档，无法及时确认攻击者位置的技术问题。

本发明提供的一种基于网关远程控制攻击反制方法，包括以下步骤：

实时监控网络数据包，将获取的网络数据包与威胁情报数据库进行比对，发现网络数据包异常后，发送报警信号；

对发现异常的网络数据包进行静态分析，获取攻击主机位置、被攻击主机位置及被攻击主机中恶意软件位置，提取恶意软件并对恶意软件进行逆向分析，获取监控配置文件；

加载监控配置文件，获取密钥；

网关通过密钥与攻击主机连接，向攻击主机注入反制攻击数据包。

优选地，还包括对异常的网络数据包进行隔离。

优选地，还包括将确认异常的数据包进行存储。

优选地，将获取的网络数据包与威胁情报数据库对比，提取网络数据包中域名、ip地址，与威胁情报数据库中已知恶意域名和ip地址比对，如果一致，判断为异常数据包；若不一致，继续监控网络数据包。

优选地，对网络数据包的静态分析过程为：根据接收的异常的网络数据包中的网络协议的格式进行逐层解析，提取数据包内容；对数据包内容进行关联分析和数据包重组，还原应用层数据包内容，从而获取攻击主机和被攻击主机的网络地址。

优选地，获取攻击主机和被攻击主机的网络地址包括mac地址和ip地址。

优选地，对恶意软件的逆向分析过程为:对恶意软件的结构、流程、算法、代码进行逆向拆解和分析，导出恶意软件的源代码、设计原理、结构、算法、处理过程、运行方法及文档，获取程序构架、通信协议和命令格式，生成监控配置文件。

优选地，反制攻击数据包包括攻击载荷数据包或畸形数据包。

优选地，攻击荷载包括反制的远程控制代码。

优选地，密钥包括通信密钥和加密密钥。

本发明提供的一种基于网关远程控制攻击反制方法与现有技术相比具有以下进步：

1、本发明提供了一种基于网关远程控制攻击反制方法，可感知系统内部安全，发现危险时，及时预警，通过静态分析法可准确的确定攻击主机和被攻击主机的位置，找到被攻击主机中的恶意软件，采用逆向分析法分析后，可获取监控配置文件，最终获取进入攻击主机的密钥，网关可以根据密钥进入攻击主机，将反制攻击数据包注入到攻击主机内，瘫痪攻击主机或者蓝屏，实现获取控制攻击主机的控制权，使得攻击主机无法再攻击被攻击主机。

2、本发明可以快速及准确的获取恶意软件信息，确认攻击主机地址，无需采用诱饵的方式，直接找到攻击主机，获取控制攻击主机的控制权，使得攻击主机无法再攻击被攻击主机。

3、本发明对网络数据包的静态分析过程为：根据接收的异常的网络数据包中的网络协议的格式进行逐层解析，提取数据包内容；对数据包内容进行关联分析和数据包重组，还原应用层数据包内容，从而获取攻击主机和被攻击主机的网络地址；获取攻击主机和被攻击主机的网络地址包括mac地址和ip地址，获取的mac地址和ip地址精准，可快速找到攻击主机和被攻击主机。

4、本发明对恶意软件的逆向分析过程为:对恶意软件的结构、流程、算法、代码进行逆向拆解和分析，导出恶意软件的源代码、设计原理、结构、算法、处理过程、运行方法及文档，获取程序构架、通信协议和命令格式，生成监控配置文件；生产的监控配置文件准确，保证获得的密钥准确，从而实现将反制数据包注入到攻击主机内，实现对攻击主机的控制。

附图说明

为了更清楚地说明本发明具体实施方式或现有技术中的技术方案，下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施方式，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明中所述基于网关远程控制攻击反制方法的步骤框图。

具体实施方式

下面将结合附图对本发明的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

在本发明的描述中，需要说明的是，术语“中心”、“上”、“下”、“左”、“右”、“竖直”、“水平”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系，仅是为了便于描述本发明和简化描述，而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此不能理解为对本发明的限制。此外，术语“第一”、“第二”、“第三”仅用于描述目的，而不能理解为指示或暗示相对重要性。

在本发明的描述中，需要说明的是，除非另有明确的规定和限定，术语“安装”、“相连”、“连接”应做广义理解，例如，可以是固定连接，也可以是可拆卸连接，或一体地连接；可以是机械连接，也可以是电连接；可以是直接相连，也可以通过中间媒介间接相连，可以是两个元件内部的连通。对于本领域的普通技术人员而言，可以具体情况理解上述术语在本发明中的具体含义。

如图1所示，本实施例中的一种基于网关远程控制攻击反制方法，包括以下步骤：

s1)实时监控网络数据包，将获取的网络数据包与威胁情报数据库进行比对，发现网络数据包异常后，发送报警信号；

s2)对发现异常的网络数据包进行静态分析，获取攻击主机位置、被攻击主机位置及被攻击主机中恶意软件位置，提取恶意软件并对恶意软件进行逆向分析，获取监控配置文件；

s3)加载监控配置文件，获取密钥，密钥包括通信密钥和加密密钥；

s4)网关通过密钥与攻击主机连接，向攻击主机注入反制攻击数据包；其中，反制攻击数据包包括攻击载荷数据包或畸形数据包；攻击荷载包括反制的远程控制代码。

感知系统内部安全，发现危险时，及时预警，通过静态分析法可准确的确定攻击主机和被攻击主机的位置，找到被攻击主机中的恶意软件，采用逆向分析法分析后，可获取监控配置文件，最终获取进入攻击主机的密钥，网关可以根据密钥进入攻击主机，将反制攻击数据包注入到攻击主机内，瘫痪攻击主机或者蓝屏，实现获取控制攻击主机的控制权，使得攻击主机无法再攻击被攻击主机。

本发明可以快速及准确的获取恶意软件信息，确认攻击主机地址，无需采用诱饵的方式，直接找到攻击主机，获取控制攻击主机的控制权，使得攻击主机无法再攻击被攻击主机。

具体地，将获取的网络数据包与威胁情报数据库对比，提取网络数据包中域名、ip地址，与威胁情报数据库中已知恶意域名和ip地址比对，如果一致，判断为异常数据包；若不一致，继续监控网络数据包。

具体地，对网络数据包的静态分析过程为：根据接收的异常的网络数据包中的网络协议的格式进行逐层解析，提取数据包内容；对数据包内容进行关联分析和数据包重组，还原应用层数据包内容，从而获取攻击主机和被攻击主机的网络地址；获取攻击主机和被攻击主机的网络地址包括mac地址和ip地址，获取的mac地址和ip地址精准，可快速找到攻击主机和被攻击主机。

具体地，对恶意软件的逆向分析过程为:对恶意软件的结构、流程、算法、代码进行逆向拆解和分析，导出恶意软件的源代码、设计原理、结构、算法、处理过程、运行方法及文档，获取程序构架、通信协议和命令格式，生成监控配置文件；生产的监控配置文件准确，保证获得的密钥准确，从而实现将反制数据包注入到攻击主机内，实现对攻击主机的控制。

进一步地，还包括对异常的网络数据包进行隔离；在发现异常的网络数据包时，对网络数据包进行有效的隔离，保证被攻击主机的安全，防止攻击主机进一步的入侵被攻击主机。

进一步地，还包括将确认异常的数据包进行存储；在确认为异常数据包后，将异常数据包存储，用于以后的调取和比较。

最后应说明的是：以上各实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述各实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分或者全部技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。