一种基于骨干网的攻击者追踪方法及系统技术方案

本发明专利技术提供了一种基于骨干网的攻击者追踪方法及系统，包括：通过骨干网监控设备，监控恶意网络通信行为，并获取恶意代码样本；分析恶意代码样本，提取命令与控制服务器信息；在骨干网监控命令与控制服务器及对应端口的IP通信，获取当前控制与命令服务器的控制者IP及对应信息；判断控制者IP是否为最终控制者，如果是，则定位最终控制者IP；否则返回继续监控，直到追踪到控制者IP。本发明专利技术解决了对网络通信中追踪攻击者黑客位置困难的问题，能够通过骨干网对黑客或控制端IP进行追踪定位，打击网络恶意行为。

An attacker tracing method and system based on backbone network

The present invention provides a method and system for tracking, which is based on the backbone of the attacker by monitoring equipment backbone network, communication network malicious behavior monitoring, and access to malicious code samples; analysis of malicious code, command and control information from the server; in the IP communication backbone network monitoring command and control server and the corresponding port, access the current control and command control server IP and the corresponding control information; judging whether IP is the ultimate control, if it is, is the positioning of ultimate control IP; otherwise it returns to monitoring, tracking control until IP. The invention solves the problem that the position of the attacker is difficult to track in the network communication, and can be used to track the hacker or the control end IP through the backbone network, and to combat the malicious behavior of the network.

【技术实现步骤摘要】

本专利技术涉及计算机网络安全
，尤其涉及一种基于骨干网的攻击者追踪方法及系统。
技术介绍
随着网络和计算技术的快速发展，恶意代码的种类、传播速度、感染数量和影响范围都在逐渐增强，同时互联网的开发性也加快了恶意代码的传播，各种恶意代码层出不穷，黑客攻击者的攻击手法更是不断变换。同时，攻击者的相关信息更加隐蔽。恶意代码的传播和其恶意行为均是依赖于网络，伴随着网络通信行为，极大的威胁着网络安全。那么，如何从大量的网络通信流量信息中获取到黑客、攻击者的信息，从而来追踪到黑客或黑客组织，打击恶意网络行为，保障网络安全。黑客释放恶意代码是为了进行恶意网络行为，感染恶意代码的机器最终会接受控制端的命名和控制，或向控制端发送信息，故均会存在一个相应的控制与命令服务器（C&C服务器）来处理此类命令和信息。C&C服务器模式有两种，集中模式和分散模式，集中模式中控制者从一个中心C&C服务器向感染机发布命令，而分散模式中不只有一个C&C服务器。
技术实现思路
基于现有问题，本专利技术提出了一种基于骨干网的攻击者追踪方法及系统，解决了现有技术很难对最终控制者进行定位的问题。一种基于骨干网的攻击者追踪方法，包括：通过骨干网监控设备，监控恶意网络通信行为，并获取恶意代码样本；分析恶意代码样本，提取命令与控制服务器信息；在骨干网监控命令与控制服务器及对应端口的IP通信，获取当前控制与命令服务器的控制者IP及对应信息；判断控制者IP是否为最终控制者，如果是，则定位最终控制者IP；否则返回上一步骤继续监控。所述的方法中，所述命令与控制服务器信息包括：网络通信五元组信息、服务器域名信息，及所需数据信息。所述的方法中，所述在骨干网监控命令与控制服务器及对应端口的IP通信，获取当前控制与命令服务器的控制者IP及对应信息具体为：检测命令与控制服务器操作系统环境，若命令与控制服务器操作系统环境为windows，则监控3389端口；若命令与控制服务器操作系统环境为linux，则监控22端口；若命令与控制服务器操作系统环境为web站点，则监控FTP和webshell。所述的方法中，所述判断控制者IP是否为最终控制者具体为：对控制者IP对应设备进行抓包，若所发送的数据包中包含指令包，接收的数据包中包含被控制端发送的首包，且不对外发送特定网络数据包，则控制者IP对应设备为最终控制者，否则为另一个控制与命令服务器。一种基于骨干网的攻击者追踪系统，包括：骨干网监控模块，用于通过骨干网监控设备，监控恶意网络通信行为，并获取恶意代码样本；样本分析模块，用于分析恶意代码样本，提取命令与控制服务器信息；控制端信息获取模块，用于在骨干网监控命令与控制服务器及对应端口的IP通信，获取当前控制与命令服务器的控制者IP及对应信息；终端判断模块，用于判断控制者IP是否为最终控制者，如果是，则定位最终控制者IP；否则返回上一步骤继续监控。所述的系统中，所述命令与控制服务器信息包括：网络通信五元组信息、服务器域名信息，及所需数据信息。所述的系统中，所述在骨干网监控命令与控制服务器及对应端口的IP通信，获取当前控制与命令服务器的控制者IP及对应信息具体为：检测命令与控制服务器操作系统环境，若命令与控制服务器操作系统环境为windows，则监控3389端口；若命令与控制服务器操作系统环境为linux，则监控22端口；若命令与控制服务器操作系统环境为web站点，则监控FTP和webshell。所述的系统中，所述判断控制者IP是否为最终控制者具体为：对控制者IP对应设备进行抓包，若所发送的数据包中包含指令包，接收的数据包中包含被控制端发送的首包，且不对外发送特定网络数据包，则控制者IP对应设备为最终控制者，否则为另一个控制与命令服务器。本专利技术的优势在于，能够根据对恶意样本的分析，对网络中的恶意行为进行追踪，通过对骨干网监控，发现IP通信信息，并进一步判断其控制者IP是否是一个新的C&C站点，如果是则继续追踪，最终定位到攻击者控制端IP。本专利技术提供了一种基于骨干网的攻击者追踪方法及系统，包括：通过骨干网监控设备，监控恶意网络通信行为，并获取恶意代码样本；分析恶意代码样本，提取命令与控制服务器信息；在骨干网监控命令与控制服务器及对应端口的IP通信，获取当前控制与命令服务器的控制者IP及对应信息；判断控制者IP是否为最终控制者，如果是，则定位最终控制者IP；否则返回继续监控，直到追踪到控制者IP。本专利技术解决了对网络通信中追踪黑客位置困难的问题，能够通过骨干网对黑客或控制端IP进行追踪定位，打击网络恶意行为。附图说明为了更清楚地说明本专利技术或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本专利技术中记载的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。图1为本专利技术一种基于骨干网的攻击者追踪方法流程图；图2为本专利技术一种基于骨干网的攻击者追踪系统结构示意图。具体实施方式为了使本
的人员更好地理解本专利技术实施例中的技术方案，并使本专利技术的上述目的、特征和优点能够更加明显易懂，下面结合附图对本专利技术中技术方案作进一步详细的说明。本专利技术提出了一种基于骨干网的攻击者追踪方法及系统，解决了现有技术很难对最终控制者进行定位的问题。一种基于骨干网的攻击者追踪方法，如图1所示，包括：S101：通过骨干网监控设备，监控恶意网络通信行为，并获取恶意代码样本；S102：分析恶意代码样本，提取命令与控制服务器信息；S103：在骨干网监控命令与控制服务器及对应端口的IP通信，获取当前控制与命令服务器的控制者IP及对应信息；S104：判断控制者IP是否为最终控制者，如果是，则定位最终控制者IP；否则返回上一步骤继续监控。所述的方法中，所述命令与控制服务器信息包括：网络通信五元组信息、服务器域名信息，及所需数据信息。数据信息可以包括数据的首包、心跳包和指令包等。所述的方法中，所述在骨干网监控命令与控制服务器及对应端口的IP通信，获取当前控制与命令服务器的控制者IP及对应信息具体为：检测命令与控制服务器操作系统环境，若命令与控制服务器操作系统环境为windows，则监控3389端口；若命令与控制服务器操作系统环境为linux，则监控22端口；若命令与控制服务器操作系统环境为web站点，则监控FTP和webshell。所述的方法中，所述判断控制者IP是否为最终控制者具体为：对控制者IP对应设备进行抓包，若所发送的数据包中包含指令包，接收的数据包中包含被控制端发送的首包，且不对外发送特定网络数据包，则控制者IP对应设备为最终控制者，否则为另一个控制与命令服务器。因此其并不是最终的控制者，而是一个指令的中转，因本文档来自技高网...

【技术保护点】
一种基于骨干网的攻击者追踪方法，其特征在于，包括：通过骨干网监控设备，监控恶意网络通信行为，并获取恶意代码样本；分析恶意代码样本，提取命令与控制服务器信息；在骨干网监控命令与控制服务器及对应端口的IP通信，获取当前控制与命令服务器的控制者IP及对应信息；判断控制者IP是否为最终控制者，如果是，则定位最终控制者IP；否则返回上一步骤继续监控。

【技术特征摘要】
1.一种基于骨干网的攻击者追踪方法，其特征在于，包括：
通过骨干网监控设备，监控恶意网络通信行为，并获取恶意代码样本；
分析恶意代码样本，提取命令与控制服务器信息；
在骨干网监控命令与控制服务器及对应端口的IP通信，获取当前控制与命令服务器的控制者IP及对应信息；
判断控制者IP是否为最终控制者，如果是，则定位最终控制者IP；否则返回上一步骤继续监控。
2.如权利要求1所述的方法，其特征在于，所述命令与控制服务器信息包括：网络通信五元组信息、服务器域名信息，及所需数据信息。
3.如权利要求1所述的方法，其特征在于，所述在骨干网监控命令与控制服务器及对应端口的IP通信，获取当前控制与命令服务器的控制者IP及对应信息具体为：
检测命令与控制服务器操作系统环境，若命令与控制服务器操作系统环境为windows，则监控3389端口；若命令与控制服务器操作系统环境为linux，则监控22端口；若命令与控制服务器操作系统环境为web站点，则监控FTP和webshell。
4.如权利要求1所述的方法，其特征在于，所述判断控制者IP是否为最终控制者具体为：
对控制者IP对应设备进行抓包，若所发送的数据包中包含指令包，接收的数据包中包含被控制端发送的首包，且不对外发送特定网络数据包，则控制者IP对应设备为最终控制者，否则为另一个控制与命令服务器。
5.一种基于骨干网的攻击者追踪系统，其特征在...

【专利技术属性】
技术研发人员：康学斌，董建武，何公道，
申请(专利权)人：哈尔滨安天科技股份有限公司，
类型：发明
国别省市：黑龙江;23