(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111534781.9 (22)申请日 2021.12.15 (71)申请人 杭州默安科技有限公司 地址 311100 浙江省杭州市余杭区仓前街 道文一西路1378号1幢E座10层 (72)发明人 王嘉雄　钟宏强　周涛涛　 (74)专利代理 机构 杭州裕阳联合专利代理有限 公司 33289 代理人 高明翠 (51)Int.Cl. H04L 9/40(2022.01) G06F 21/56(2013.01) H04L 67/00(2022.01) H04L 67/30(2022.01) (54)发明名称 一种干扰恶意程序的方法 (57)摘要 本申请涉及网络安全技术领域中的一种干 扰恶意程序的方法， 包括以下步骤： 从交换机上 获取服务端与主机流量通信的流量交互信息， 并 发送给检测引擎； 检测出恶意程序交互信息， 并 产生警告信号； 获取流量通信两端的IP地址和端 口号， 同时阻断服务端与主机的流量通信； 构造 下载请求并发送至服务端， 获取第一密钥； 下载 加密配置文件， 通过第一密钥对加密配置文件进 行解密， 得到解密配置文件， 构造若干组干扰请 求包后， 重复发送至服务端； 判断服务端是否下 发攻击者任务， 若是， 则构造干扰结果发送至服 务端， 若否， 则继续重复发送干扰请求包至服务 端， 本申请突破了现有的安全产品仅有检测恶意 程序功能， 而无法与恶意 程序对抗的瓶颈 。 权利要求书2页 说明书7页 附图1页 CN 114244600 A 2022.03.25 CN 114244600 A 1.一种干扰恶意 程序的方法， 其特 征在于， 包括以下步骤： 从交换机上获取服 务端与主机流 量通信的流 量交互信息， 并发送给检测引擎； 通过所述检测引擎检测出恶意 程序交互信息， 并产生警告信号； 根据所述恶意程序交互信息， 获取流量通信两端的IP地址和端口号， 同时根据所述警 告信号， 阻断服 务端与主机的流 量通信； 构造下载请求， 并将所述下载请求发送至服务端， 通过逆向分析恶意程序源代码获取 第一密钥； 根据所述下载请求从服务端下载加密配置文件， 通过第 一密钥对加密配置文件进行解 密， 得到解密配置文件， 并根据所述解密配置文件构造若干组干扰请求包后， 将若干所述干 扰请求包重复发送至服 务端； 判断服务端是否下发攻击者任务， 若是， 则构造干扰结果发送至服务端， 若否， 则继续 重复发送干扰请求包至服 务端。 2.根据权利要求1所述的一种干扰恶意程序的方法， 其特征在于， 通过所述检测引擎检 测出恶意 程序交互信息， 包括以下步骤： 编写匹配规则， 并将所述匹配规则存 储至检测引擎； 当初始流量交互信 息发送给检测引擎后， 检测引擎判断初始流量交互信 息与匹配规则 是否相符； 若是， 则为恶意 程序交互信息。 3.根据权利要求1所述的一种干扰恶意程序的方法， 其特征在于， 构造下载请求后， 还 需将所述下 载请求进行字符序列校验， 将校验通过的下 载请求发送至服 务端。 4.根据权利要求3所述的一种干扰恶意程序的方法， 其特征在于， 将所述下载请求进行 字符序列校验， 包括以下步骤： 计算字符序列的ASCl l编码值， 得到计算 值； 设定固定值， 判断计算 值是否与固定值相等； 若相等， 则校验通过， 若不相等， 则校验不 通过。 5.根据权利要求1所述的一种干扰恶意程序的方法， 其特征在于， 根据 所述解密配置文 件构造若干组干扰请求包后， 将若干所述干扰请求包重复发送至服 务端， 包括以下步骤： 获取所述解密配置文件内的干扰基础数据， 并将所述干扰基础数据按照JSON格 式进行 罗列； 根据所述干扰基础数据， 获取服务端的IP地址、 服务端进行恶意程序交互的端口号、 服 务端的发包请求URL路径和主机的虚假基础信息； 获取所述解密配置文件内的RSA公钥， 并根据RSA公钥对所述虚假基础信息进行加密， 得到加密虚假基础信息； 将所述服务端的IP地址、 服务端进行恶意程序交互的端口号、 服务端的发包请求URL路 径和加密虚 假基础信息生成若干组主机干扰数据， 并根据AES算法， 对每组所述主机干扰数 据生成第二密钥； 将每一组所述主机干扰数据和对应的第二密钥进行打包， 并通过RSA加密方法， 得到若 干组干扰请求包； 将每组所述干扰请求包通过服 务端的发包请求URL路径重复发送至服 务端。权　利　要　求　书 1/2 页 2 CN 114244600 A 26.根据权利要求1所述的一种干扰恶意程序的方法， 其特征在于， 判断服务端是否下发 攻击者任务， 包括以下步骤： 将干扰请求包发送至服 务端后， 判断服 务端是否下发返回数据； 若是， 则服 务端下发过攻击者任务； 若否， 则服 务端未下发过攻击者任务。 7.根据权利要求6所述的一种干扰恶意程序的方法， 其特征在于， 所述攻击者任务为根 据AES算法进行加密过的任务数据。 8.根据权利要求7所述的一种干扰恶意程序的方法， 其特征在于， 所述构造干扰结果， 包括以下步骤： 获取服务端发送给主机的攻击者任务， 通过所述第二密钥对所述攻击者任务进行解 密， 得到明文数据； 根据所述明文数据， 构造虚假任务执行结果， 并通过AES加密方法对所述虚假任务执行 结果进行加密， 得到 干扰结果。 9.根据权利要求5所述的一种干扰恶意程序的方法， 其特征在于， 所述虚假基础信 息包 括主机IP地址、 主机用户名、 主机名称、 主机程序名、 主机进程控制符和主机架构。 10.一种计算机可读存储介质， 所述计算机可读存储介质存储有计算机程序， 所述计算 机程序被处 理器执行时， 实现权利要求1 ‑9任意一项所述的干扰恶意 程序的方法。权　利　要　求　书 2/2 页 3 CN 114244600 A 3