[发明专利]自动化放马站点探测方法、系统及存储介质在审
申请号: | 201711489510.X | 申请日: | 2017-12-29 |
公开(公告)号: | CN109510808A | 公开(公告)日: | 2019-03-22 |
发明(设计)人: | 黄云宇;刘广柱;康学斌;王小丰 | 申请(专利权)人: | 北京安天网络安全技术有限公司 |
主分类号: | H04L29/06 | 分类号: | H04L29/06 |
代理公司: | 暂无信息 | 代理人: | 暂无信息 |
地址: | 100195 北京市海淀区*** | 国省代码: | 北京;11 |
权利要求书: | 查看更多 | 说明书: | 查看更多 |
摘要: | |||
搜索关键词: | 站点 协议标识 探测 自动化 存储介质 目标数据 站点探测 枚举 下载 恶意代码 分析统计 活跃IP 活跃性 打包 感知 情报 监控 | ||
本发明提出一种自动化放马站点探测方法、系统及存储介质,所述方法包括:根据已知放马站点,提取协议标识;分析统计已知恶意IP,提取恶意IP较密集的IP网段列表;对提取的IP网段列表,自动化枚举探测IP的活跃性,并形成目标数据列表;利用协议标识,枚举探测识别目标数据列表中各活跃IP,判断是否存在协议标识,如果是,则对应IP为放马站点;对探测到的放马站点中的数据进行打包下载。通过本发明技术方案,能够自动化的探测放马站点,并进行恶意代码数据的下载,能够有效及时监控并感知放马站点的最新活跃情报。
技术领域
本发明涉及网络安全技术领域,特别涉及一种自动化放马站点探测方法、系统及存储介质。
背景技术
当前技术只是基于已经被暴露的放马站点(在线存放恶意代码的文件服务器站点)进行探测和识别。然而,这并没解决一些隐藏比较深的放马站点,即没有被暴露放马站点的IP/Domain的及时识别问题。从目前监控的部分黑客组织活动方式及手法得知,黑客一旦实现对某互联网设备的远程代码执行权限,会将命令备执行远程下载指定存放恶意代码的站点url,植入相关的恶意代码,该设备便成为了黑客掌控的僵尸网络中的一个肉鸡(僵尸网络中被控端设备,即被植入恶意代码的设备)。当下恶意代码捕获只能从入侵防御检测系统(IDS)、终端杀毒工具、蜜罐、流量监测系统等设备进行病毒检测捕获,但通过这些方法捕获到的量并不多,并且不能及时有效发现恶意代码。因此,在恶意代码的肆意扩散中总会存在一些迟滞性。
发明内容
基于上述问题,本发明提出一种自动化放马站点探测方法、系统及存储介质,本发明能有效探测隐藏或未被暴露ip/Domain的放马站点,并对其存储的恶意文件进行打包下载,用于进行分析。
本发明通过如下方法实现:
一种自动化放马站点探测方法,包括:
根据已知放马站点,提取协议标识;
分析统计已知恶意IP,提取恶意IP较密集的IP网段列表;
对提取的IP网段列表,自动化枚举探测IP的活跃性,并形成目标数据列表;
利用协议标识,枚举探测识别目标数据列表中各活跃IP,判断是否存在协议标识,如果是,则对应IP为放马站点;
对探测到的放马站点中的数据进行打包下载。
所述的方法中,所述协议标识为,根据放马站点的响应数据,提取相应的协议标识。
所述的方法中,将探测到的放马站点IP加入到分析统计中。
所述的方法中,在对数据进行打包下载后,还包括,对数据进行检测及分析。
本发明还提出一种自动化放马站点探测系统,包括:
协议提取模块,根据已知放马站点,提取协议标识;
分析模块,分析统计已知恶意IP,提取恶意IP较密集的IP网段列表;
第一探测模块,对提取的IP网段列表,自动化枚举探测IP的活跃性,并形成目标数据列表;
第二探测模块,利用协议标识,枚举探测识别目标数据列表中各活跃IP,判断是否存在协议标识,如果是,则对应IP为放马站点;
下载模块,对探测到的放马站点中的数据进行打包下载。
所述的系统中,所述协议标识为,根据放马站点的响应数据,提取相应的协议标识。
所述的系统中,将探测到的放马站点IP加入到分析统计中。
所述的系统中,在对数据进行打包下载后,还包括,对数据进行检测及分析。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于北京安天网络安全技术有限公司,未经北京安天网络安全技术有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201711489510.X/2.html,转载请声明来源钻瓜专利网。
- 上一篇:一种优化snort规则集的方法、装置和存储介质
- 下一篇:域名访问方法和装置