專利名稱:一種識(shí)別遠(yuǎn)控木馬的方法及其裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信領(lǐng)域信息過濾領(lǐng)域��,具體涉及一種識(shí)別遠(yuǎn)控木馬的方法及其裝置�����。
背景技術(shù):
計(jì)算機(jī)木馬一般由兩部分組成�����,服務(wù)端和控制端�,也就是常用的C/S (CONTROL/ SERVE)模式��。服務(wù)端(S端Server):遠(yuǎn)程計(jì)算機(jī)機(jī)運(yùn)行��。一旦執(zhí)行成功就可以被控制或者造成其他的破壞��,這就要看種木馬的人怎么想和木馬本身的功能��,這些控制功能����,主要采用調(diào)用Windows的API實(shí)現(xiàn)?�?刂贫?C端Client)也叫客戶端���,客戶端程序主要是配套服務(wù)段端程序的功能�����,通過網(wǎng)絡(luò)向服務(wù)端發(fā)布控制指令,控制段運(yùn)行在本地計(jì)算機(jī)����。通常,木馬通過動(dòng)態(tài)域名尋找控制端的IP����。因此,基于動(dòng)態(tài)域名來識(shí)別遠(yuǎn)控木馬��,是亟待解決的問題���。發(fā)明內(nèi)容
本發(fā)明的目的在于克服現(xiàn)有技術(shù)中的缺點(diǎn)與不足�����,提供一種識(shí)別遠(yuǎn)控木馬的方法��。
本發(fā)明是采用以下的技術(shù)方案實(shí)現(xiàn)的一種識(shí)別遠(yuǎn)控木馬的方法,包括如下步驟
步驟Sll 當(dāng)應(yīng)用程序連網(wǎng)時(shí)���,檢測(cè)并判斷連網(wǎng)的是否為常用的通信協(xié)議,若是���, 則允許其連網(wǎng)��,若否����,則進(jìn)入步驟S12 ;
步驟S12 :根據(jù)應(yīng)用程序訪問的目標(biāo)IP����,獲得其對(duì)應(yīng)的域名��;
步驟S13 :將獲得的域名與一動(dòng)態(tài)域名列表進(jìn)行匹配�,若不匹配�,則允許其連網(wǎng), 若匹配��,則進(jìn)入步驟S14����。
步驟S14:將獲得的域名與一白動(dòng)態(tài)域名庫進(jìn)行匹配,若不匹配,則攔截其連網(wǎng)��, 若匹配�,則允許其連網(wǎng)。
進(jìn)一步��,本發(fā)明還提供了一種識(shí)別遠(yuǎn)控木馬的裝置���,其包括通信協(xié)議檢測(cè)模塊�、訪問域名獲得模塊����、域名判斷模塊和白動(dòng)態(tài)域名識(shí)別模塊�,以及一動(dòng)態(tài)域名列表和白動(dòng)態(tài)域名庫;當(dāng)應(yīng)用程序連網(wǎng)時(shí)���,該通信協(xié)議檢測(cè)模塊檢測(cè)并判斷連網(wǎng)的是否為常用的通信協(xié)議�����, 若是,則允許其連網(wǎng)�,若否��,則發(fā)送指令至訪問域名獲得模塊;該域名獲得模塊根據(jù)應(yīng)用程序訪問的目標(biāo)IP���,獲得其對(duì)應(yīng)的域名;該域名判斷模塊將訪問域名獲得模塊獲得的域名與動(dòng)態(tài)域名列表進(jìn)行匹配�����,若不匹配�����,則允許其連網(wǎng)�,若匹配�,則發(fā)送指令至白動(dòng)態(tài)域名識(shí)別模塊��;該白動(dòng)態(tài)域名識(shí)別模塊將獲得的域名與白動(dòng)態(tài)域名庫進(jìn)行匹配��,若不匹配,則攔截其連網(wǎng)����,若匹配,則允許其連網(wǎng)����。
相對(duì)于現(xiàn)有技術(shù)���,本發(fā)明的識(shí)別遠(yuǎn)控木馬的方法及其裝置通過對(duì)動(dòng)態(tài)域名的監(jiān)控來判斷是否為遠(yuǎn)控木馬操作���,以阻止木馬或病毒對(duì)用戶的非法操作�,避免其遭受不必要的損失�。
為了能更清晰的理解本發(fā)明����,以下將結(jié)合
闡述本發(fā)明的具體實(shí)施方式
����。
圖I是本發(fā)明識(shí)別遠(yuǎn)控木馬的方法的流程圖。
圖2是本發(fā)明識(shí)別遠(yuǎn)控木馬的裝置的模塊示意圖��。
具體實(shí)施方式
請(qǐng)參閱圖1,其是本發(fā)明識(shí)別遠(yuǎn)控木馬的方法的流程圖�����。該識(shí)別遠(yuǎn)控木馬的方法包括如下步驟
步驟Sll :當(dāng)應(yīng)用程序連網(wǎng)時(shí)���,檢測(cè)并判斷連網(wǎng)的是否為常用的通信協(xié)議����。若是, 則允許其連網(wǎng)����,若否�,則進(jìn)入步驟S12����。
其中,常用的通信協(xié)議包括http��、https����、ssl���、stmp等����。
步驟S12 :根據(jù)應(yīng)用程序訪問的目標(biāo)IP�,獲得其對(duì)應(yīng)的域名��。
具體的���,包括如下子步驟
S121 :調(diào)用windows提供的API接口,反查IP域名的緩存�����;
S122 :通過解析DNS協(xié)議,獲得對(duì)應(yīng)的域名�����。DNS協(xié)議為域名解析協(xié)議�����,其包含有 IP與域名 的對(duì)應(yīng)關(guān)系信息。
步驟S13 :將獲得的域名與一動(dòng)態(tài)域名列表進(jìn)行匹配��。若不匹配��,則允許其連網(wǎng), 若匹配�,則進(jìn)入步驟S14����。
其中,該動(dòng)態(tài)域名列表為頂級(jí)域名列表�����,如OICP. NET。即若應(yīng)用程序訪問的為非動(dòng)態(tài)域名�,則判斷其沒有受到遠(yuǎn)控木馬的控制,允許其連網(wǎng)�;若應(yīng)用程序訪問的為動(dòng)態(tài)域名, 則需要對(duì)該動(dòng)態(tài)域名進(jìn)行進(jìn)一步的判斷����。
步驟S14:將獲得的域名與一白動(dòng)態(tài)域名庫進(jìn)行匹配���,若不匹配����,則攔截其連網(wǎng)�����, 若匹配���,則允許其連網(wǎng)�����。
其中,該白動(dòng)態(tài)域名庫收集了所有合法正常的二級(jí)動(dòng)態(tài)域名���,如123.0ICP.NET、 456. 0ICP.NET等����。通過與白動(dòng)態(tài)域名庫的匹配,判斷獲得的動(dòng)態(tài)域名是白還是黑�����。
通過以上的識(shí)別遠(yuǎn)控木馬的方法���,可以判斷識(shí)別遠(yuǎn)控木馬的操作,從而攔截遠(yuǎn)控木馬的操作����,避免用戶遭受損失�。
請(qǐng)參閱圖2,其是本發(fā)明的識(shí)別遠(yuǎn)控木馬的裝置的模塊示意圖。包括通信協(xié)議檢測(cè)模塊21����、訪問域名獲得模塊22、域名判斷模塊23和白動(dòng)態(tài)域名識(shí)別模塊24��,另外����,還包括一動(dòng)態(tài)域名列表25和白動(dòng)態(tài)域名庫26。
當(dāng)應(yīng)用程序連網(wǎng)時(shí)����,通信協(xié)議檢測(cè)模塊21檢測(cè)并判斷連網(wǎng)的是否為常用的通信協(xié)議。若是���,則允許其連網(wǎng)���,若否,則發(fā)送指令至訪問域名獲得模塊22��。其中����,常用的通信協(xié)議包括http��、https���、ssl、stmp 等��。
訪問域名獲得模塊22根據(jù)應(yīng)用程序訪問的目標(biāo)IP�����,獲得其對(duì)應(yīng)的域名���。具體地, 該訪問域名模塊22首先調(diào)用windows提供的API接口����,反查IP域名的緩存;然后通過解析 DNS協(xié)議�����,獲得對(duì)應(yīng)的域名�。其中,DNS協(xié)議為域名解析協(xié)議��,其包含有IP與域名的對(duì)應(yīng)關(guān)系信息。
該域名判斷模塊23將訪問域名獲得模塊22獲得的域名與動(dòng)態(tài)域名列表25進(jìn)行匹配�,若不匹配,則允許其連網(wǎng)���,若匹配����,則發(fā)送指令至白動(dòng)態(tài)域名識(shí)別模塊24�。
其中,該動(dòng)態(tài)域名列表25為頂級(jí)域名列表�����,如OICP. NET�����。即若應(yīng)用程序訪問的為非動(dòng)態(tài)域名��,則判斷其沒有受到遠(yuǎn)控木馬的控制���,允許其連網(wǎng)��;若應(yīng)用程序訪問的為動(dòng)態(tài)域名��,則需要對(duì)該動(dòng)態(tài)域名進(jìn)行進(jìn)一步的判斷��。
該白動(dòng)態(tài)域名識(shí)別模塊24將獲得的域名與白動(dòng)態(tài)域名庫26進(jìn)行匹配,若不匹配��, 則攔截其連網(wǎng)���,若匹配���,則允許其連網(wǎng)�����。
其中�����,該白動(dòng)態(tài)域名庫26收集了所有合法正常的二級(jí)動(dòng)態(tài)域名��,如123.0ICP. NET、456. 0ICP.NET等��。通過與白動(dòng)態(tài)域名庫的匹配���,判斷獲得的動(dòng)態(tài)域名是白還是黑����。
相對(duì)于現(xiàn)有技術(shù),本發(fā)明的識(shí)別遠(yuǎn)控木馬的方法及其裝置通過對(duì)動(dòng)態(tài)域名的監(jiān)控來判斷是否為遠(yuǎn)控木馬操作�����,以阻止木馬或病毒對(duì)用戶的非法操作,避免其遭受不必要的損失����。
本發(fā)明并不局限于上述實(shí)施方式,如果對(duì)本發(fā)明的各種改動(dòng)或變形不脫離本發(fā)明的精神和范圍��,倘若這些改動(dòng)和變形屬于本發(fā)明的權(quán)利要求和等同技術(shù)范圍之內(nèi)���,則本發(fā)明也意圖包含這些改動(dòng)和變形�����。
權(quán)利要求
1.一種識(shí)別遠(yuǎn)控木馬的方法,包括如下步驟 步驟Sll :當(dāng)應(yīng)用程序連網(wǎng)時(shí)���,檢測(cè)并判斷連網(wǎng)的是否為常用的通信協(xié)議,若是��,則允許其連網(wǎng)����,若否�,則進(jìn)入步驟S12 ; 步驟S12 :根據(jù)應(yīng)用程序訪問的目標(biāo)IP���,獲得其對(duì)應(yīng)的域名�; 步驟S13:將獲得的域名與一動(dòng)態(tài)域名列表進(jìn)行匹配��,若不匹配���,則允許其連網(wǎng),若匹配�,則進(jìn)入步驟S14�。
步驟S14:將獲得的域名與一白動(dòng)態(tài)域名庫進(jìn)行匹配����,若不匹配�,則攔截其連網(wǎng),若匹配�����,則允許其連網(wǎng)�����。
2.根據(jù)權(quán)利要求I所述的識(shí)別遠(yuǎn)控木馬的方法,其特征在于該步驟12具體包括如下子步驟 5121:調(diào)用windows提供的API接口�,反查IP域名的緩存; 5122:通過解析DNS協(xié)議���,獲得對(duì)應(yīng)的域名。
3.根據(jù)權(quán)利要求I所述的識(shí)別遠(yuǎn)控木馬的方法�����,其特征在于該動(dòng)態(tài)域名列表為頂級(jí)域名列表��。
4.根據(jù)權(quán)利要求I所述的識(shí)別遠(yuǎn)控木馬的方法,其特征在于該白動(dòng)態(tài)域名庫收集了所有合法正常的二級(jí)動(dòng)態(tài)域名�。
5.一種識(shí)別遠(yuǎn)控木馬的裝置,其特征在于包括通信協(xié)議檢測(cè)模塊����、訪問域名獲得模塊�����、域名判斷模塊和白動(dòng)態(tài)域名識(shí)別模塊�,以及一動(dòng)態(tài)域名列表和白動(dòng)態(tài)域名庫�����;當(dāng)應(yīng)用程序連網(wǎng)時(shí),該通信協(xié)議檢測(cè)模塊檢測(cè)并判斷連網(wǎng)的是否為常用的通信協(xié)議����,若是,則允許其連網(wǎng)���,若否,則發(fā)送指令至訪問域名獲得模塊����;該域名獲得模塊根據(jù)應(yīng)用程序訪問的目標(biāo)IP���,獲得其對(duì)應(yīng)的域名�;該域名判斷模塊將訪問域名獲得模塊獲得的域名與動(dòng)態(tài)域名列表進(jìn)行匹配�����,若不匹配,則允許其連網(wǎng)����,若匹配�����,則發(fā)送指令至白動(dòng)態(tài)域名識(shí)別模塊�����;該白動(dòng)態(tài)域名識(shí)別模塊將獲得的域名與白動(dòng)態(tài)域名庫進(jìn)行匹配,若不匹配���,則攔截其連網(wǎng)�,若匹配��,則允許其連網(wǎng)��。
6.根據(jù)權(quán)利要求5所述的識(shí)別遠(yuǎn)控木馬的裝置�����,其特征在于該訪問域名獲得模塊首先調(diào)用windows提供的API接口�����,反查IP域名的緩存����;再通過解析DNS協(xié)議,獲得對(duì)應(yīng)的域名��。
7.根據(jù)權(quán)利要求5所述的識(shí)別遠(yuǎn)控木馬的裝置����,其特征在于該動(dòng)態(tài)域名列表為頂級(jí)域名列表。
8.根據(jù)權(quán)利要求5所述的識(shí)別遠(yuǎn)控木馬的裝置��,其特征在于該白動(dòng)態(tài)域名庫收集了所有合法正常的二級(jí)動(dòng)態(tài)域名����。
全文摘要
本發(fā)明涉及一種識(shí)別遠(yuǎn)控木馬的方法,包括步驟S11當(dāng)應(yīng)用程序連網(wǎng)時(shí)��,檢測(cè)并判斷連網(wǎng)的是否為常用的通信協(xié)議��,若是���,則允許其連網(wǎng)��,若否���,則進(jìn)入步驟S12�����;步驟S12根據(jù)應(yīng)用程序訪問的目標(biāo)IP�����,獲得其對(duì)應(yīng)的域名;步驟S13將獲得的域名與一動(dòng)態(tài)域名列表進(jìn)行匹配����,若不匹配,則允許其連網(wǎng)��,若匹配���,則進(jìn)入步驟S14��。步驟S14將獲得的域名與一白動(dòng)態(tài)域名庫進(jìn)行匹配����,若不匹配���,則攔截其連網(wǎng)��,若匹配�,則允許其連網(wǎng)。本發(fā)明的識(shí)別遠(yuǎn)控木馬的方法通過對(duì)動(dòng)態(tài)域名的監(jiān)控來判斷是否為遠(yuǎn)控木馬操作�����,以阻止木馬或病毒對(duì)用戶的非法操作��,避免其遭受不必要的損失�����。
文檔編號(hào)H04L29/06GK102984177SQ20121056791
公開日2013年3月20日 申請(qǐng)日期2012年12月24日 優(yōu)先權(quán)日2012年12月24日
發(fā)明者潘建軍, 楊軍, 黃偉明 申請(qǐng)人:珠海市君天電子科技有限公司