[发明专利]基于自学习方式获取木马控制端IP地址的方法、系统和存储设备

说明书

本发明涉及网络安全，旨在提供基于自学习方式获取木马控制端IP地址的方法及系统。该基于自学习方式获取木马控制端IP地址的方法及系统，通过下述步骤实现：提取网络流量中传输的文件并分析，进行恶意木马控制端IP地址提取和可疑IP标记；持续监控被保护主机的网络流量和传输的文件，进行恶意目标IP地址标记；恶意目标IP地址和恶意木马控制端IP地址，即为木马控制端IP地址。本发明借助网络流量分析和持续监控，使用沙箱技术对木马行为进行分析，利用自学习方式持续完善木马控制端IP的检测能力，实现了对木马控制端服务器IP地址的自动地识别和提取。

技术领域

本发明是关于网络安全领域，特别涉及基于自学习方式获取木马控制端IP地址的方法及系统。

背景技术

在网络攻防事件中，快速确认木马控制端服务器的IP地址，是快速确认攻击源头，抓获非法黑客的重要方法。

一个完整的木马系统由木马控制端和木马宿主端两部分组成：

1)木马控制端。由服务器硬件和控制端软件构成。控制端负责对所有已经潜入宿主机的木马下发指令和搜集数据。

2)木马宿主端。木马程序会潜入宿主主机内部，获取其操作权限。并主动或者被动的与控制端取得通信，进而上传宿主端的信息或者接受宿主端下发的指令，对宿主机进行破坏。

木马破坏活动的影响，比如数据泄露、宿主机文件被删除或者篡改、宿主机充当ddos 肉鸡等，往往表象在宿主端，然而实际指挥木马进行破坏活动的是木马控制端。因此，破坏木马破坏活动，抓获非法黑客的关键在在于找到木马控制端的实施者，而找到木马控制端的实施者的第一步则是寻找实施者的服务器的IP地址。

现有的方案有两种思路：方案1：根据已经掌握的非法木马控制端服务器，口头传递给木马分析人员；方案2：手工分析宿主机日志，或者搭建抓包系统，对所有的网络行为进行分析，识别出木马程序，进一步确认木马控制端的IP。

但是，方案1对已有数据依赖性大，而已有数据存在过时、不完整等特点，进而导致方案1的准确性无法保证；由于对人工的依赖，进而自动化上也比较差。而方案2需要手工分析日志、工作量大且容易出错，不同的场景也需要搭建不同的抓包系统，工作无法复用，进而导致无法快速、准确地找到木马控制端IP。

故，目前如何自动、快速、准确获取木马控制端服务器IP地址的问题，仍待解决。

发明内容

本发明的主要目的在于克服现有技术中的不足，提供一种能够自动、快速、准确地完成木马控制端服务器IP地址获取的方法及系统。为解决上述技术问题，本发明的解决方案是：

提供一种基于自学习方式获取木马控制端IP地址的方法，具体包括下述步骤：

步骤(1)：对网络流量的网络流量协议进行识别，提取网络流量中传输的文件，丢弃未包含文件的网络流量(利用网络流量分析系统实现，网络流量分析系统是指专门用于对网络镜像流量进行分析的安全检测系统)；

步骤(2)：对步骤(1)提取出的文件样本进行恶意特征检测：

如果文件样本与恶意特征库中的恶意特征匹配，则标记该文件样本为恶意样本，放入虚拟沙箱环境运行分析：若该恶意样本在虚拟沙箱运行过程中不包含网络行为，则丢弃该恶意样本；若该恶意样本在虚拟沙箱运行过程中包含网络行为，则提取网络行为的目标IP地址，作为恶意木马控制端IP地址；

如果文件样本在恶意特征检测中，与恶意特征库中的恶意特征不匹配，则进入步骤 (3)执行；

所述系统内置虚拟沙箱环境是内置在网络流量分析系统中，用于检测恶意文件的虚拟执行环境；所述恶意特征库是内置网络流量分析系统中，存储有恶意特征的恶意特征库；

步骤(3)：将步骤(2)恶意特征检测不匹配的文件样本，放入虚拟沙箱环境运行分析：