[发明专利]基于检测驱动的网络蠕虫主动遏制方法及对抗工具自动生成系统

权利要求书

1.一种基于检测驱动的网络蠕虫主动遏制方法，其特征在于：所述方法的具体实现过程为：

步骤一、在网络出入口捕获流量进行匹配：捕获网络流量与蠕虫特征库进行匹配，检测到蠕虫的感染节点提交到控制管理中心，从而触发投放器对感染节点进行远程修复；

步骤二、在执行步骤一时，同时基于规则匹配通过高速扫描网络中存在的严重漏洞的易感主机，通过模拟攻击，对目标主机系统进行攻击性的安全漏洞扫描；

步骤三、系统控制管理中心根据漏洞、网络蠕虫和对抗工具的关系模式来找到其对应关系，完成系统指定的任务列表；

步骤四、漏洞的命名方式采用CVE漏洞库的方式，通过CVE找到其他与CVE兼容的数据库中的相应漏洞的信息，通过漏洞、蠕虫和远程网络蠕虫清除工具的关系模式，系统控制管理中心即可完成对漏洞和蠕虫的遏制工作。

2.一种网络蠕虫对抗工具自动生成系统，所述网络蠕虫对抗工具包含远程网络蠕虫清除工具、主动修补补丁、投放工具；远程网络蠕虫清除工具用于查找主机上是否感染特定蠕虫并修复对应漏洞；主动修补补丁是指非官方漏洞修补工具，用于在官方的正式补丁出现之前，对应的漏洞攻击程序已经出现且蠕虫也开始在网络上蔓延开时进行相应的漏洞和蠕虫防范；投放工具是传送远程网络蠕虫清除工具和主动修补补丁到目标主机的载体，用于漏洞攻击；

其特征在于：所述自动生成系统包括：

远程网络蠕虫清除工具分析与自动生成子系统，包括停止蠕虫进程子模块、停止和删除服务子模块、删除蠕虫体文件子模块、删除或者恢复蠕虫修改的操作系统配置信息子模块，

停止蠕虫进程子模块，用于找到病毒的进程句柄，针对运行后出现隐藏形式的蠕虫过修改生成的代码来实现停止蠕虫进程，针对运行后出现不隐藏形式的病毒利用Windows的任务管理器得到进程名，通过Windows的进程操作的API枚举所有进程查找到与该进程名相同和路径相同的进程后就能停止蠕虫进程，

停止和删除服务子模块用于停止蠕虫开启的服务并删除蠕虫的服务信息，对于保存在文件内或者注册表内动态生成的病毒服务名称通过该文件名或者注册表项所在的路径得到，从而调用Windows下的删除服务或注册表的API实现停止和删除服务，

删除蠕虫体文件子模块用于获取文件路径，根据蠕虫的文件名称以及相对路径删除相应文件，

删除或者恢复蠕虫修改的操作系统配置信息子模块用于获取蠕虫随操作系统自动运行方式，通过对蠕虫的运行跟踪获得所述方式；

投放工具分析与自动生成子系统，包括投放工具分析子模块、投放工具自动生成子模块，

投放工具分析子模块用于向目标主机发送报文使得能够引起有漏洞的服务调用，之后发送构造好的溢出报文，造成服务的溢出并执行Shellcode，攻击成功后在目标主机上执行传输命令从WACSD的服务器下载对应的远程网络蠕虫清除工具或者漏洞补丁工具，传输结束后则执行运行远程网络蠕虫清除工具或者漏洞补丁工具，

投放工具自动生成子模块，用于实现投放工具的自动生成，利用固定的代码框架指定溢出攻击报文发送代码，并指定对应的漏洞CVE标识，然后将系统编译生成的代码，并把投放工具信息写入数据库中；

主动修补补丁分析与自动生成子系统，包括主动修补补丁分析子模块和主动修补补丁自动生成子模块，

主动修补补丁分析子模块采用增加代码的方法来进行漏洞修补，通过在系统内存实时修改存在问题的代码，以实现实时修复，

主动修补补丁自动生成子模块，用于自动生成对DLL/EXE的补丁，为有漏洞的函数定义每一个参数及参数类型，然后需要定义确定哪一个参数有问题的条件判断和发现有问题时的返回值如何赋值，并指定有漏洞的DLL/EXE路径，再编译生成补丁，每一个生成的补丁都是一个DLL，补丁DLL的DllMain函数中，当发生DLL_PROCESS_ATTACH消息时，利用Detour API把补丁函数替换Target Function。