[发明专利]一种干扰恶意程序的方法

说明书

本申请涉及网络安全技术领域中的一种干扰恶意程序的方法，包括以下步骤：从交换机上获取服务端与主机流量通信的流量交互信息，并发送给检测引擎；检测出恶意程序交互信息，并产生警告信号；获取流量通信两端的IP地址和端口号，同时阻断服务端与主机的流量通信；构造下载请求并发送至服务端，获取第一密钥；下载加密配置文件，通过第一密钥对加密配置文件进行解密，得到解密配置文件，构造若干组干扰请求包后，重复发送至服务端；判断服务端是否下发攻击者任务，若是，则构造干扰结果发送至服务端，若否，则继续重复发送干扰请求包至服务端，本申请突破了现有的安全产品仅有检测恶意程序功能，而无法与恶意程序对抗的瓶颈。

技术领域

本申请涉及网络安全技术领域，具体涉及一种干扰恶意程序的方法。

背景技术

CobaltStrike(简称CS)作为一款渗透测试神器，采用C/S架构，可进行分布式团队协作。CS集成了端口转发、服务扫描、自动化溢出、多模式端口监听、Windows exe与dll木马生成、Java木马生成、Office宏病毒生成、木马捆绑等强大功能，深受广大红队同学的喜爱。

但是目前市面上的安全产品只能检测到原生版本的CobaltStrike的攻击，但是在攻防演练中，防守方要想实现对进阶攻击者的对抗、干扰，普通的安全产品无法实现这一点。

发明内容

本申请针对现有技术中的缺点，提供了一种干扰恶意程序的方法，突破了现有的安全产品仅有检测恶意程序功能，而无法与恶意程序对抗的瓶颈。

为了解决上述技术问题，本申请通过下述技术方案得以解决：

一种干扰恶意程序的方法，包括以下步骤：

从交换机上获取服务端与主机流量通信的流量交互信息，并发送给检测引擎；

通过所述检测引擎检测出恶意程序交互信息，并产生警告信号；

根据所述恶意程序交互信息，获取流量通信两端的IP地址和端口号，同时根据所述警告信号，阻断服务端与主机的流量通信；

构造下载请求，并将所述下载请求发送至服务端，通过逆向分析恶意程序源代码获取第一密钥；

根据所述下载请求从服务端下载加密配置文件，通过第一密钥对加密配置文件进行解密，得到解密配置文件，并根据所述解密配置文件构造若干组干扰请求包后，将若干所述干扰请求包重复发送至服务端；

判断服务端是否下发攻击者任务，若是，则构造干扰结果发送至服务端，若否，则继续重复发送干扰请求包至服务端。

可选的，通过所述检测引擎检测出恶意程序交互信息，包括以下步骤：

编写匹配规则，并将所述匹配规则存储至检测引擎；

当初始流量交互信息发送给检测引擎后，检测引擎判断初始流量交互信息与匹配规则是否相符；

若是，则为恶意程序交互信息。

可选的，构造下载请求后，还需将所述下载请求进行字符序列校验，将校验通过的下载请求发送至服务端。

可选的，将所述下载请求进行字符序列校验，包括以下步骤：

计算字符序列的ASCll编码值，得到计算值；

设定固定值，判断计算值是否与固定值相等；

若相等，则校验通过，若不相等，则校验不通过。

可选的，根据所述解密配置文件构造若干组干扰请求包后，将若干所述干扰请求包重复发送至服务端，包括以下步骤：

获取所述解密配置文件内的干扰基础数据，并将所述干扰基础数据按照JSON格式进行罗列；