自动化放马站点探测方法、系统及存储介质技术方案

本发明专利技术提出一种自动化放马站点探测方法、系统及存储介质，所述方法包括：根据已知放马站点，提取协议标识；分析统计已知恶意IP，提取恶意IP较密集的IP网段列表；对提取的IP网段列表，自动化枚举探测IP的活跃性，并形成目标数据列表；利用协议标识，枚举探测识别目标数据列表中各活跃IP，判断是否存在协议标识，如果是，则对应IP为放马站点；对探测到的放马站点中的数据进行打包下载。通过本发明专利技术技术方案，能够自动化的探测放马站点，并进行恶意代码数据的下载，能够有效及时监控并感知放马站点的最新活跃情报。

Detection Method, System and Storage Medium of Automated Horse Playing Station

The invention provides an automatic horse-riding site detection method, system and storage medium. The method includes: extracting protocol identification according to known horse-riding sites; analyzing and counting known malicious IP, extracting IP segment list with dense malicious IP; automatically enumerating the activity of detecting IP segment list for extracted IP segment list, and forming target data list; enumerating and exploring by using protocol identification. Measure and identify the active IP in the target data list, determine whether there is a protocol identity, and if so, the corresponding IP is a horse-riding site; package and download the detected data from the horse-riding site. Through the technical scheme of the invention, the horse-riding site can be automatically detected and downloaded with malicious code data, and the latest active information of the horse-riding site can be effectively monitored and sensed in time.

【技术实现步骤摘要】
自动化放马站点探测方法、系统及存储介质
本专利技术涉及网络安全
，特别涉及一种自动化放马站点探测方法、系统及存储介质。
技术介绍
当前技术只是基于已经被暴露的放马站点（在线存放恶意代码的文件服务器站点）进行探测和识别。然而，这并没解决一些隐藏比较深的放马站点，即没有被暴露放马站点的IP/Domain的及时识别问题。从目前监控的部分黑客组织活动方式及手法得知，黑客一旦实现对某互联网设备的远程代码执行权限，会将命令备执行远程下载指定存放恶意代码的站点url，植入相关的恶意代码，该设备便成为了黑客掌控的僵尸网络中的一个"肉鸡"（僵尸网络中被控端设备，即被植入恶意代码的设备）。当下恶意代码捕获只能从入侵防御检测系统（IDS）、终端杀毒工具、蜜罐、流量监测系统等设备进行病毒检测捕获，但通过这些方法捕获到的量并不多，并且不能及时有效发现恶意代码。因此，在恶意代码的肆意扩散中总会存在一些迟滞性。
技术实现思路
基于上述问题，本专利技术提出一种自动化放马站点探测方法、系统及存储介质，本专利技术能有效探测隐藏或未被暴露ip/Domain的放马站点，并对其存储的恶意文件进行打包下载，用于进行分析。本专利技术通过如下方法实现：一种自动化放马站点探测方法，包括：根据已知放马站点，提取协议标识；分析统计已知恶意IP，提取恶意IP较密集的IP网段列表；对提取的IP网段列表，自动化枚举探测IP的活跃性，并形成目标数据列表；利用协议标识，枚举探测识别目标数据列表中各活跃IP，判断是否存在协议标识，如果是，则对应IP为放马站点；对探测到的放马站点中的数据进行打包下载。所述的方法中，所述协议标识为，根据放马站点的响应数据，提取相应的协议标识。所述的方法中，将探测到的放马站点IP加入到分析统计中。所述的方法中，在对数据进行打包下载后，还包括，对数据进行检测及分析。本专利技术还提出一种自动化放马站点探测系统，包括：协议提取模块，根据已知放马站点，提取协议标识；分析模块，分析统计已知恶意IP，提取恶意IP较密集的IP网段列表；第一探测模块，对提取的IP网段列表，自动化枚举探测IP的活跃性，并形成目标数据列表；第二探测模块，利用协议标识，枚举探测识别目标数据列表中各活跃IP，判断是否存在协议标识，如果是，则对应IP为放马站点；下载模块，对探测到的放马站点中的数据进行打包下载。所述的系统中，所述协议标识为，根据放马站点的响应数据，提取相应的协议标识。所述的系统中，将探测到的放马站点IP加入到分析统计中。所述的系统中，在对数据进行打包下载后，还包括，对数据进行检测及分析。一种非临时性计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时实现如上任一所述的自动化放马站点探测方法。本专利技术的优势在于，能够对放马站点及恶意代码自动化探测，快速捕获，进行分析，并根据探测结果，对放马站点的监控范围进行拓展。通过多技术方法获取更多最新的放马站点，为全面捕获最新恶意代码提供基本基础。再经过自动化放马打包下载技术，将获取的放马站点的所有恶意代码打包下载，可有效及时监控并感知操控该放马站点的黑客组织的最新活跃情报，可以有效预测该黑客组织后期发展和攻击方向。本专利技术方法将放马站点捕获方式从被动形态过度到主动形态，灵活主动捕获更多的新放马站点；自动化手段可以快速识别未知的放马站点，同时还可以快速将识别到的放马站点自动化捕获站点中的恶意代码进行快速识别分析及鉴定。附图说明为了更清楚地说明本专利技术或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本专利技术中记载的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。图1为本专利技术一种自动化放马站点探测方法实施例流程图；图2为本专利技术一种自动化放马站点探测系统结构示意图。具体实施方式为了使本
的人员更好地理解本专利技术实施例中的技术方案，并使本专利技术的上述目的、特征和优点能够更加明显易懂，下面结合附图对本专利技术中技术方案作进一步详细的说明。本专利技术提出一种自动化放马站点探测方法、系统及存储介质，本专利技术能有效探测隐藏或未被暴露ip/Domain的放马站点，并对其存储的恶意文件进行打包下载，用于进行分析。本专利技术通过如下方法实现：一种自动化放马站点探测方法，如图1所示，包括：S101：根据已知放马站点，提取协议标识；每种类型的放马站点访问都没有过多的权限设置，因此只要能正确连接放马站点都会有相应的数据响应，且在响应的数据中存在表较明显的数据标志，因此在放马协议扫描探测中可以将数据标志作为精确识别放马协议标志；S102：分析统计已知恶意IP，提取恶意IP较密集的IP网段列表；即使有了精准的协议校验扫描探测并准确识别活跃的放马站点，但是因为需要通过全球的IP网段进行自动化协议扫描探测效率也很低，因此需要通过各种手段获取放马相对集中的IP网段以提高扫描效率。通过积累的放马站点历史IP/Domain和各家族僵尸网络的历史控制节点IP/Domain，获取高频恶意IP网段作为协议扫描探测的IP网段定位依据；如通过前期捕获到已经失活的http://125.71.200.161:8080/、http://125.71.200.132:8080/放马站点，经过网段比较提取了C类网段125.71.200.0/256用于后续进行IP网段协议探测；S103：对提取的IP网段列表，自动化枚举探测IP的活跃性，并形成目标数据列表；因为放马站点协议探测需要网络全连接并进行数据交互，在此过程中相对耗时。因此，为了提高扫描探测效率，在对IP进行放马站点协议探测之前，首先需要进行一次IP过滤。通过提取的IP网段，设定扫描探测的IP范围，先通过网络探活方式筛选出活跃的IP数据，并作为端口枚举协议探测的基础数据。这里进行IP活跃性探测的方法，可通过已知的任一方法实现；S104：利用协议标识，枚举探测识别目标数据列表中各活跃IP；S105：判断是否存在协议标识，如果是，则对应IP的站点为放马站点；即判断各活跃IP站点是否存在协议标识，如果存在，则为放马站点，如上述举例中的网段中，捕获到新的放马站点为http://125.71.200.168:8080/；S106：对探测到的放马站点中的数据进行打包下载。所述的方法中，所述协议标识为，根据放马站点的响应数据，提取相应的协议标识。所述的方法中，将探测到的放马站点IP加入到分析统计中。为了深度体现人机结合的自动化提取高密度恶意IP网段以及降低人工成本投入的优势，需要实时将历史恶意IP集中进行自动化大数据智能分析以获取最新的高密度恶意IP网段并关联调用放马的IP网段协议扫面探测模块对新的目标IP网段进行探测。所述的方法中，在对数据进行打包下载后，还包括，对数据进行检测及分析。本专利技术还提出一种自动化放马站点探测系统，如图2所示，包括：协议提取模块201，根据已知放马站点，提取协议标识；分析模块202，分析统计已知恶意IP，提取恶意IP较密集的IP网段列表；第一探测模块203，对提取的IP网段列表，自动化枚举探测IP的活跃性，并形成目标数据列表；第二探测模块204，利用协议标识，枚举探测识别目标数据列表中各活跃IP，判断是否存在协议标本文档来自技高网...

【技术保护点】
1.一种自动化放马站点探测方法，其特征在于，包括：根据已知放马站点，提取协议标识；分析统计已知恶意IP，提取恶意IP较密集的IP网段列表；对提取的IP网段列表，自动化枚举探测IP的活跃性，并形成目标数据列表；利用协议标识，枚举探测识别目标数据列表中各活跃IP，判断是否存在协议标识，如果是，则对应IP的站点为放马站点；对探测到的放马站点中的数据进行打包下载。

【技术特征摘要】
1.一种自动化放马站点探测方法，其特征在于，包括：根据已知放马站点，提取协议标识；分析统计已知恶意IP，提取恶意IP较密集的IP网段列表；对提取的IP网段列表，自动化枚举探测IP的活跃性，并形成目标数据列表；利用协议标识，枚举探测识别目标数据列表中各活跃IP，判断是否存在协议标识，如果是，则对应IP的站点为放马站点；对探测到的放马站点中的数据进行打包下载。2.如权利要求1所述的方法，其特征在于，所述协议标识为，根据放马站点的响应数据，提取相应的协议标识。3.如权利要求1或2所述的方法，其特征在于，将探测到的放马站点IP加入到分析统计中。4.如权利要求3所述的方法，其特征在于，在对数据进行打包下载后，还包括，对数据进行检测及分析。5.一种自动化放马站点探测系统，其特征在于，包括：协议提取模块，根据已知放马站点，提取协议标识；分析模块...

【专利技术属性】
技术研发人员：黄云宇，刘广柱，康学斌，王小丰，
申请(专利权)人：北京安天网络安全技术有限公司，
类型：发明
国别省市：北京,11