一种基于网关远程控制攻击的反制系统技术方案

本发明专利技术涉及网络安全技术领域，尤其是涉及一种基于网关远程控制攻击的反制系统。包括：监控模块，实施监控网络中异常数据包，将异常数据包发送给静态分析模块；静态分析模块获取异常数据包，对异常数据包进行分析提取，获取攻击主机位置、被攻击主机位置及被攻击主机中恶意软件位置，对恶意软件进行分析，获取监控配置文件并发送给密钥获取模块，密钥获取模块对监控配置文件进行解密，获取密钥并发送给网关注入模块，网关注入模块向攻击主机注入反制攻击数据包，解决了现有技术中存在的无法及时获取恶意软件的信息、或采取诱饵方式，需要攻击者执行程序或者点击文档，无法及时确认攻击者位置的技术问题。

A counter control system based on gateway remote control attack

【技术实现步骤摘要】
一种基于网关远程控制攻击的反制系统
本专利技术涉及网络安全
，尤其是涉及一种基于网关远程控制攻击的反制系统。
技术介绍
今日几乎所有的电脑、伺服器，甚至个人通讯设备，如手机，都已经连接到网络上。网络已经是生活无法避免重要工具。远程控制攻击是指攻击者在异地通过计算机网络，连通需被控制的计算机，将被控计算机的桌面环境显示在自己的计算机上，通过本地计算机对远方计算机进行配置，安装程序、信息获取和内网渗透等操作。现有的针对远程控制攻击反制技术包括分析恶意软件特征，追踪远程连接域名和服务器，实用“诱饵”软件诱惑对方执行程序等方式。其中，分析恶意软件，可能获取软件开发版本，开发语言，软件开发者等个人信息等，但是如果恶意软件开发人员具有较强的反侦察意识，隐蔽这些信息，那么就无法获取这些信息，追踪远程连接域名，可以获取恶意软件连接服务器域名、IP地址，可以基于域名，获得注册者信息，如果服务器存在漏洞，有可能获取服务器最高权限，但是攻击者具有较强的反侦查意识，注册者信息是伪造的，服务器安全防护级别较高，无法获取攻击者信息；实用“诱饵”软件诱惑对方执行，通过诱饵方式，引诱攻击者执行程序，从而可能获得攻击者信息，甚至控制攻击者主机，但是这种方式为被动方式，需要攻击者执行程序或者点击文档。因此，针对上述问题本专利技术急需提供一种基于网关远程控制攻击的反制系统。
技术实现思路
本专利技术的目的在于提供一种基于网关远程控制攻击的反制系统，通过一种基于网关远程控制攻击的反制系统的设计以解决现有技术中存在的无法及时获取恶意软件的信息、或获取的注册信息为伪造，无法获取攻击者信息，或采取诱饵方式，需要攻击者执行程序或者点击文档，无法及时确认攻击者位置的技术问题。本专利技术提供了一种基于网关远程控制攻击的反制系统：包括：监控模块，用于实时监控网络数据包，发现网络数据包异常后，向静态分析模块发送报警信号及异常的网络数据包；静态分析模块，用于接收监控模块发送的报警信号，对异常的网络数据包进行静态分析，获取攻击主机位置、被攻击主机位置及被攻击主机中恶意软件位置；提取恶意软件并对恶意软件进行逆向分析，获取监控配置文件，将获取的配置文件发送给密钥获取模块；将攻击主机位置发送给网关注入模块；密钥获取模块，用于接收静态分析模块发送的监控配置文件，对监控配置文件加载，获取密钥，并发送至网关注入模块；网关注入模块，用于接收密钥获取模块发送的密钥及用于接收静态分析模块发送的攻击主机的位置，根据攻击主机的位置搜索攻击主机，通过密钥与攻击主机连接，向攻击主机注入反制攻击数据包。优选地，还包括隔离模块，用于接收监控模块发出的报警信号指定的异常网路数据包，对异常网路数据包进行隔离。优选地，还包括数据存储模块，用于接收监控模块发出的报警信号指定的异常网路数据包，对异常网路数据包进行存储。优选地，监控模块包括：采集单元，用于实时采集网络数据包，并将采集的网络数据包发送给数据比对单元；比对单元，用于接收采集单元采集的网络数据包，将获取的网络数据包与威胁情报数据库对比，提取网络数据包中域名、IP地址，与威胁情报数据库中已知恶意域名和IP地址比对，如果一致，判断为异常数据，向报警单元发送异常网路数据包信号，并将异常数据包发送给传输单元；若不一致，则编辑未发现异常数据包信号反馈给采集单元。传输单元，用于接收比对单元发送的异常网路数据包，并将异常网路数据包发送给静态分析模块；报警单元，用于接收比对单元发送的异常网路数据包信号，编辑报警信号发送给静态分析模块。优选地，静态分析模块包括：启动单元，用于接收监控模块发送的报警信号，控制解析单元的开启；解析单元，用于接收启动单元发送的启动信号，对监控模块发送异常的网络数据包进行逐层解析，提取数据包内容，对数据包内容进行关联分析和数据包重组，还原应用层数据包内容，获取攻击主机位置、被攻击主机位置及被攻击主机中恶意软件位置，将获取的被攻击主机的位置和被攻击主机中恶意软件位置发送给提取单元，将获取的攻击主机的位置发送给网关注入模块；提取单元，用于根据获取的被攻击主机的位置和被攻击主机中恶意软件位置，提取被攻击主机中的恶意软件，并对恶意软件进行逆向分析，获取监控配置文件，将获取的监控配置文件发送给密钥获取模块。优选地，获取攻击主机和被攻击主机的网络地址包括MAC地址和IP地址。优选地，提取单元包括逆向分析组件，逆向分析组件，用于对恶意软件的结构、流程、算法、代码进行逆向拆解和分析，导出恶意软件的源代码、设计原理、结构、算法、处理过程、运行方法及文档，获取程序构架、通信协议和命令格式，生成监控配置文件。优选地，网关注入模块中的反制攻击数据包包括攻击载荷或畸形数据包；优选地，攻击荷载包括反制的远程控制代码。优选地，密钥包括通信密钥和加密密钥。本专利技术提供的一种基于网关远程控制攻击的反制系统与现有技术相比具有以下进步：1、本专利技术提供了一种基于网关远程控制攻击的反制系统，可以感知系统内部安全，发现危险时，及时预警，通过静态分析法可准确的确定攻击主机和被攻击主机的位置，找到被攻击主机中的恶意软件，采用逆向分析法分析后，可获取监控配置文件，最终获取进入攻击主机的密钥，网关注入模块可以根据密钥进入攻击主机，将反制攻击数据包注入到攻击主机内，瘫痪攻击主机或者蓝屏，实现获取控制攻击主机的控制权，使得攻击主机无法再攻击被攻击主机。2、本专利技术提供了一种基于网关远程控制攻击的反制系统，可以快速及准确的获取恶意软件信息，确认攻击主机地址，无需采用诱饵的方式，直接找到攻击主机，获取控制攻击主机的控制权，使得攻击主机无法再攻击被攻击主机。3、本专利技术提供一种基于网关远程控制攻击的反制系统，通过隔离模块的设置，在发现异常的网络数据包时，对网络数据包进行有效的隔离，保证被攻击主机的安全，防止攻击主机进一步的入侵被攻击主机。4、本专利技术提供的提供一种基于网关远程控制攻击的反制系统，通过数据存储模块的设计，可以将异常网路数据包存储，并发送至威胁情报数据库保存，用于以后的调取和比较。附图说明为了更清楚地说明本专利技术具体实施方式或现有技术中的技术方案，下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本专利技术的一些实施方式，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。图1为本专利技术中所述新型燃油箱连接结构的结构示意图；图2为本专利技术中所述积液器结构示意图；具体实施方式下面将结合附图对本专利技术的技术方案进行清楚、完整地描述，显然，所描述的实施例是本专利技术一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本专利技术保护的范围。在本专利技术的描述中，需要说明的是，术语“中心”、“上”、“下”、“左”、“右本文档来自技高网...

【技术保护点】
1.一种基于网关远程控制攻击的反制系统：其特征在于：包括：/n监控模块，用于实时监控网络数据包，发现网络数据包异常后，向静态分析模块发送报警信号及异常的网络数据包；/n静态分析模块，用于接收监控模块发送的报警信号，对异常的网络数据包进行静态分析，获取攻击主机位置、被攻击主机位置及被攻击主机中恶意软件位置；提取恶意软件并对恶意软件进行逆向分析，获取监控配置文件，将获取的配置文件发送给密钥获取模块；将攻击主机位置发送给网关注入模块；/n密钥获取模块，用于接收静态分析模块发送的监控配置文件，对监控配置文件加载，获取密钥，并发送至网关注入模块；/n网关注入模块，用于接收密钥获取模块发送的密钥及用于接收静态分析模块发送的攻击主机的位置，根据攻击主机的位置搜索攻击主机，通过密钥与攻击主机连接，向攻击主机注入反制攻击数据包。/n

【技术特征摘要】
1.一种基于网关远程控制攻击的反制系统：其特征在于：包括：
监控模块，用于实时监控网络数据包，发现网络数据包异常后，向静态分析模块发送报警信号及异常的网络数据包；
静态分析模块，用于接收监控模块发送的报警信号，对异常的网络数据包进行静态分析，获取攻击主机位置、被攻击主机位置及被攻击主机中恶意软件位置；提取恶意软件并对恶意软件进行逆向分析，获取监控配置文件，将获取的配置文件发送给密钥获取模块；将攻击主机位置发送给网关注入模块；
密钥获取模块，用于接收静态分析模块发送的监控配置文件，对监控配置文件加载，获取密钥，并发送至网关注入模块；
网关注入模块，用于接收密钥获取模块发送的密钥及用于接收静态分析模块发送的攻击主机的位置，根据攻击主机的位置搜索攻击主机，通过密钥与攻击主机连接，向攻击主机注入反制攻击数据包。


2.根据权利要求1所述的基于网关远程控制攻击的反制系统：其特征在于：还包括隔离模块，用于接收监控模块发出的报警信号指定的异常网路数据包，对异常网路数据包进行隔离。


3.根据权利要求2所述的基于网关远程控制攻击的反制系统，其特征在于：还包括数据存储模块，用于接收监控模块发出的报警信号指定的异常网路数据包，对异常网路数据包进行存储。


4.根据权利要求3所述的基于网关远程控制攻击的反制系统，其特征在于：监控模块包括：
采集单元，用于实时采集网络数据包，并将采集的网络数据包发送给数据比对单元；
比对单元，用于接收采集单元采集的网络数据包，将获取的网络数据包与威胁情报数据库对比，提取网络数据包中域名、IP地址，与威胁情报数据库中已知恶意域名和IP地址比对，如果一致，判断为异常数据，向报警单元发送异常网路数据包信号，并将异常数据包发送给传输单元；若不一致，则编辑未发现异常数据包信号反馈给采集单元。
传输单元，用于接收比对单元发送的异常网路数据包，并将异常网...

【专利技术属性】
技术研发人员：孙勇，徐勤，
申请(专利权)人：北京安码科技有限公司，
类型：发明
国别省市：北京;11