【技术实现步骤摘要】
一种基于网关远程控制攻击的反制系统
本专利技术涉及网络安全
,尤其是涉及一种基于网关远程控制攻击的反制系统。
技术介绍
今日几乎所有的电脑、伺服器,甚至个人通讯设备,如手机,都已经连接到网络上。网络已经是生活无法避免重要工具。远程控制攻击是指攻击者在异地通过计算机网络,连通需被控制的计算机,将被控计算机的桌面环境显示在自己的计算机上,通过本地计算机对远方计算机进行配置,安装程序、信息获取和内网渗透等操作。现有的针对远程控制攻击反制技术包括分析恶意软件特征,追踪远程连接域名和服务器,实用“诱饵”软件诱惑对方执行程序等方式。其中,分析恶意软件,可能获取软件开发版本,开发语言,软件开发者等个人信息等,但是如果恶意软件开发人员具有较强的反侦察意识,隐蔽这些信息,那么就无法获取这些信息,追踪远程连接域名,可以获取恶意软件连接服务器域名、IP地址,可以基于域名,获得注册者信息,如果服务器存在漏洞,有可能获取服务器最高权限,但是攻击者具有较强的反侦查意识,注册者信息是伪造的,服务器安全防护级别较高,无法获取攻击者信息;实用“...
【技术保护点】
1.一种基于网关远程控制攻击的反制系统:其特征在于:包括:/n监控模块,用于实时监控网络数据包,发现网络数据包异常后,向静态分析模块发送报警信号及异常的网络数据包;/n静态分析模块,用于接收监控模块发送的报警信号,对异常的网络数据包进行静态分析,获取攻击主机位置、被攻击主机位置及被攻击主机中恶意软件位置;提取恶意软件并对恶意软件进行逆向分析,获取监控配置文件,将获取的配置文件发送给密钥获取模块;将攻击主机位置发送给网关注入模块;/n密钥获取模块,用于接收静态分析模块发送的监控配置文件,对监控配置文件加载,获取密钥,并发送至网关注入模块;/n网关注入模块,用于接收密钥获取模块...
【技术特征摘要】
1.一种基于网关远程控制攻击的反制系统:其特征在于:包括:
监控模块,用于实时监控网络数据包,发现网络数据包异常后,向静态分析模块发送报警信号及异常的网络数据包;
静态分析模块,用于接收监控模块发送的报警信号,对异常的网络数据包进行静态分析,获取攻击主机位置、被攻击主机位置及被攻击主机中恶意软件位置;提取恶意软件并对恶意软件进行逆向分析,获取监控配置文件,将获取的配置文件发送给密钥获取模块;将攻击主机位置发送给网关注入模块;
密钥获取模块,用于接收静态分析模块发送的监控配置文件,对监控配置文件加载,获取密钥,并发送至网关注入模块;
网关注入模块,用于接收密钥获取模块发送的密钥及用于接收静态分析模块发送的攻击主机的位置,根据攻击主机的位置搜索攻击主机,通过密钥与攻击主机连接,向攻击主机注入反制攻击数据包。
2.根据权利要求1所述的基于网关远程控制攻击的反制系统:其特征在于:还包括隔离模块,用于接收监控模块发出的报警信号指定的异常网路数据包,对异常网路数据包进行隔离。
3.根据权利要求2所述的基于网关远程控制攻击的反制系统,其特征在于:还包括数据存储模块,用于接收监控模块发出的报警信号指定的异常网路数据包,对异常网路数据包进行存储。
4.根据权利要求3所述的基于网关远程控制攻击的反制系统,其特征在于:监控模块包括:
采集单元,用于实时采集网络数据包,并将采集的网络数据包发送给数据比对单元;
比对单元,用于接收采集单元采集的网络数据包,将获取的网络数据包与威胁情报数据库对比,提取网络数据包中域名、IP地址,与威胁情报数据库中已知恶意域名和IP地址比对,如果一致,判断为异常数据,向报警单元发送异常网路数据包信号,并将异常数据包发送给传输单元;若不一致,则编辑未发现异常数据包信号反馈给采集单元。
传输单元,用于接收比对单元发送的异常网路数据包,并将异常网...
【专利技术属性】
技术研发人员:孙勇,徐勤,
申请(专利权)人:北京安码科技有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。