[发明专利]基于沙箱检测文件识别木马回连方法及装置

权利要求书

1.一种基于沙箱检测文件识别木马回连方法，其特征在于，包括：

捕获流经网卡的IP协议流量数据包；

解析所述流量数据包，并分离所述流量数据包所携带的文件；

基于沙箱检测所述文件，捕获网络行为；

判断所述网络行为是否是恶意行为；

若是，将所述网络行为所对应的域名和互联网协议地址存入预设回连名单库；

若否，判断所述网络行为所对应的域名是否属于预设白名单库；

若否，判断所述域名和所述域名所对应的所述互联网协议地址中至少一个是否属于所述回连名单库；

若是，将不属于所述回连名单库的一个存入所述回连名单库；

若否，将所述互联网协议地址和所述域名存入预设可疑名单库；

获取所述互联网协议地址所对应的可疑域名数量、访问所述互联网协议地址的频率和/或访问所述互联网协议地址的客户端数量；

基于预设权重比例值获取所述可疑域名数量、访问所述互联网协议地址的频率和/或客户端数量的总值，所述总值为按照所述预设权重比例计算的所述可疑域名数量、访问所述互联网协议地址的频率和/或客户端数量的计算分值；

基于所述总值的高低进行排序以显示访问所述互联网协议地址的会话信息。

2.根据权利要求1所述的方法，其特征在于，所述的解析所述流量数据包，并分离所述流量数据包所携带的文件，包括：

判断所述流量数据包所对应的应用层协议；

根据所述应用层协议所对应的协议格式进行解析所述流量数据包，并还原成原始会话信息，且分离出所述原始会话信息中的文件。

3.根据权利要求1所述的方法，其特征在于，所述的基于沙箱检测所述文件，捕获网络行为，包括：

将所述文件上传到沙箱中进行检测；

捕获所述文件在所述沙箱中运行时产生的联网行为。

4.根据权利要求2所述的方法，其特征在于，所述的根据所述应用层协议所对应的协议格式进行解析所述流量数据包，并还原成原始会话信息，且分离出所述原始会话信息中的文件，之后还包括：

获取所述原始会话信息所对应的域名和互联网协议地址；

判断所述域名和所述互联网协议地址是否属于所述回连名单库；

若是，将所述原始会话信息保存为告警信息；

若否，判断所述域名和所述互联网协议地址是否属于所述可疑名单库；

若是，将所述原始会话信息保存为可疑行为信息。

5.根据权利要求1所述的方法，其特征在于，所述的判断所述网络行为是否是恶意行为，包括：

判断所述网络行为是否为下载行为；

若是，判断下载的内容中是否存在恶意代码；

若是，则认为所述网络行为是恶意行为；

判断所述网络行为是否为上传行为；

若是，判断上传的内容中是否存在敏感信息；

若是，则认为所述网络行为是恶意行为。

6.根据权利要求4所述的方法，其特征在于，所述的将所述原始会话信息保存为告警信息，之后还包括：

显示所述原始会话的客户端IP，以使用户根据所述客户端IP找到所对应的设备，并对所述设备进行排查清除感染的木马。

7.根据权利要求1所述的方法，其特征在于，所述的捕获流经网卡的IP协议流量数据包，之前还包括：

获取已知CC域名，生成回连名单库。

8.根据权利要求1所述的方法，其特征在于，所述的捕获流经网卡的IP协议流量数据包，之前还包括：

获取正常的常用域名，生成白名单库。

9.一种基于沙箱检测文件识别木马回连装置，其特征在于，包括：

数据获取单元，用于捕获流经网卡的IP协议流量数据包；

数据解析单元，用于解析所述流量数据包，并分离所述流量数据包所携带的文件；

数据处理单元，用于基于沙箱检测所述文件，捕获网络行为；

数据判断单元，用于判断所述网络行为是否为恶意行为；

第一执行单元，用于若是，将所述网络行为所对应的域名和互联网协议地址存入预设回连名单库；

第二执行单元，用于若否，判断所述网络行为所对应的域名是否属于预设白名单库；

第三执行单元，用于若否，判断所述域名和所述域名所对应的所述互联网协议地址中至少一个是否属于所述回连名单库；

第四执行单元，用于若是，将不属于所述回连名单库的一个存入所述回连名单库；

第五执行单元，用于若否，将所述互联网协议地址和所述域名存入预设可疑名单库；所述第五执行单元还用于获取所述互联网协议地址所对应的可疑域名数量、访问所述互联网协议地址的频率和/或访问所述互联网协议地址的客户端数量；基于预设权重比例值获取所述可疑域名数量、访问所述互联网协议地址的频率和/或客户端数量的总值，所述总值为按照所述预设权重比例计算的所述可疑域名数量、访问所述互联网协议地址的频率和/或客户端数量的计算分值；基于所述总值的高低进行排序以显示访问所述互联网协议地址的会话信息。