The invention provides an automatic horse-riding site detection method, system and storage medium. The method includes: extracting protocol identification according to known horse-riding sites; analyzing and counting known malicious IP, extracting IP segment list with dense malicious IP; automatically enumerating the activity of detecting IP segment list for extracted IP segment list, and forming target data list; enumerating and exploring by using protocol identification. Measure and identify the active IP in the target data list, determine whether there is a protocol identity, and if so, the corresponding IP is a horse-riding site; package and download the detected data from the horse-riding site. Through the technical scheme of the invention, the horse-riding site can be automatically detected and downloaded with malicious code data, and the latest active information of the horse-riding site can be effectively monitored and sensed in time.
【技术实现步骤摘要】
自动化放马站点探测方法、系统及存储介质
本专利技术涉及网络安全
,特别涉及一种自动化放马站点探测方法、系统及存储介质。
技术介绍
当前技术只是基于已经被暴露的放马站点(在线存放恶意代码的文件服务器站点)进行探测和识别。然而,这并没解决一些隐藏比较深的放马站点,即没有被暴露放马站点的IP/Domain的及时识别问题。从目前监控的部分黑客组织活动方式及手法得知,黑客一旦实现对某互联网设备的远程代码执行权限,会将命令备执行远程下载指定存放恶意代码的站点url,植入相关的恶意代码,该设备便成为了黑客掌控的僵尸网络中的一个"肉鸡"(僵尸网络中被控端设备,即被植入恶意代码的设备)。当下恶意代码捕获只能从入侵防御检测系统(IDS)、终端杀毒工具、蜜罐、流量监测系统等设备进行病毒检测捕获,但通过这些方法捕获到的量并不多,并且不能及时有效发现恶意代码。因此,在恶意代码的肆意扩散中总会存在一些迟滞性。
技术实现思路
基于上述问题,本专利技术提出一种自动化放马站点探测方法、系统及存储介质,本专利技术能有效探测隐藏或未被暴露ip/Domain的放马站点,并对其存储的恶意文件进行打包下载,用于进行分析。本专利技术通过如下方法实现:一种自动化放马站点探测方法,包括:根据已知放马站点,提取协议标识;分析统计已知恶意IP,提取恶意IP较密集的IP网段列表;对提取的IP网段列表,自动化枚举探测IP的活跃性,并形成目标数据列表;利用协议标识,枚举探测识别目标数据列表中各活跃IP,判断是否存在协议标识,如果是,则对应IP为放马站点;对探测到的放马站点中的数据进行打包下载。所述的方法中,所述协 ...
【技术保护点】
1.一种自动化放马站点探测方法,其特征在于,包括:根据已知放马站点,提取协议标识;分析统计已知恶意IP,提取恶意IP较密集的IP网段列表;对提取的IP网段列表,自动化枚举探测IP的活跃性,并形成目标数据列表;利用协议标识,枚举探测识别目标数据列表中各活跃IP,判断是否存在协议标识,如果是,则对应IP的站点为放马站点;对探测到的放马站点中的数据进行打包下载。
【技术特征摘要】
1.一种自动化放马站点探测方法,其特征在于,包括:根据已知放马站点,提取协议标识;分析统计已知恶意IP,提取恶意IP较密集的IP网段列表;对提取的IP网段列表,自动化枚举探测IP的活跃性,并形成目标数据列表;利用协议标识,枚举探测识别目标数据列表中各活跃IP,判断是否存在协议标识,如果是,则对应IP的站点为放马站点;对探测到的放马站点中的数据进行打包下载。2.如权利要求1所述的方法,其特征在于,所述协议标识为,根据放马站点的响应数据,提取相应的协议标识。3.如权利要求1或2所述的方法,其特征在于,将探测到的放马站点IP加入到分析统计中。4.如权利要求3所述的方法,其特征在于,在对数据进行打包下载后,还包括,对数据进行检测及分析。5.一种自动化放马站点探测系统,其特征在于,包括:协议提取模块,根据已知放马站点,提取协议标识;分析模块...
【专利技术属性】
技术研发人员:黄云宇,刘广柱,康学斌,王小丰,
申请(专利权)人:北京安天网络安全技术有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。