The present invention provides a method and system for tracking, which is based on the backbone of the attacker by monitoring equipment backbone network, communication network malicious behavior monitoring, and access to malicious code samples; analysis of malicious code, command and control information from the server; in the IP communication backbone network monitoring command and control server and the corresponding port, access the current control and command control server IP and the corresponding control information; judging whether IP is the ultimate control, if it is, is the positioning of ultimate control IP; otherwise it returns to monitoring, tracking control until IP. The invention solves the problem that the position of the attacker is difficult to track in the network communication, and can be used to track the hacker or the control end IP through the backbone network, and to combat the malicious behavior of the network.
【技术实现步骤摘要】
本专利技术涉及计算机网络安全
,尤其涉及一种基于骨干网的攻击者追踪方法及系统。
技术介绍
随着网络和计算技术的快速发展,恶意代码的种类、传播速度、感染数量和影响范围都在逐渐增强,同时互联网的开发性也加快了恶意代码的传播,各种恶意代码层出不穷,黑客攻击者的攻击手法更是不断变换。同时,攻击者的相关信息更加隐蔽。恶意代码的传播和其恶意行为均是依赖于网络,伴随着网络通信行为,极大的威胁着网络安全。那么,如何从大量的网络通信流量信息中获取到黑客、攻击者的信息,从而来追踪到黑客或黑客组织,打击恶意网络行为,保障网络安全。黑客释放恶意代码是为了进行恶意网络行为,感染恶意代码的机器最终会接受控制端的命名和控制,或向控制端发送信息,故均会存在一个相应的控制与命令服务器(C&C服务器)来处理此类命令和信息。C&C服务器模式有两种,集中模式和分散模式,集中模式中控制者从一个中心C&C服务器向感染机发布命令,而分散模式中不只有一个C&C服务器。
技术实现思路
基于现有问题,本专利技术提出了一种基于骨干网的攻击者追踪方法及系统,解决了现有技术很难对最终控制者进行定位的问题。一种基于骨干网的攻击者追踪方法,包括:通过骨干网监控设备,监控恶意网络通信行为,并获取恶意代码样本;分析恶意代码样本,提取命令与控制服务器信息;在骨干网监控命令与控制服务器及对应端口的IP通信,获取当前控制与命令服务器的控制者IP及对应信息;判断控制者IP是否为最终控制者,如果是,则 ...
【技术保护点】
一种基于骨干网的攻击者追踪方法,其特征在于,包括:通过骨干网监控设备,监控恶意网络通信行为,并获取恶意代码样本;分析恶意代码样本,提取命令与控制服务器信息;在骨干网监控命令与控制服务器及对应端口的IP通信,获取当前控制与命令服务器的控制者IP及对应信息;判断控制者IP是否为最终控制者,如果是,则定位最终控制者IP;否则返回上一步骤继续监控。
【技术特征摘要】
1.一种基于骨干网的攻击者追踪方法,其特征在于,包括:
通过骨干网监控设备,监控恶意网络通信行为,并获取恶意代码样本;
分析恶意代码样本,提取命令与控制服务器信息;
在骨干网监控命令与控制服务器及对应端口的IP通信,获取当前控制与命令服务器的控制者IP及对应信息;
判断控制者IP是否为最终控制者,如果是,则定位最终控制者IP;否则返回上一步骤继续监控。
2.如权利要求1所述的方法,其特征在于,所述命令与控制服务器信息包括:网络通信五元组信息、服务器域名信息,及所需数据信息。
3.如权利要求1所述的方法,其特征在于,所述在骨干网监控命令与控制服务器及对应端口的IP通信,获取当前控制与命令服务器的控制者IP及对应信息具体为:
检测命令与控制服务器操作系统环境,若命令与控制服务器操作系统环境为windows,则监控3389端口;若命令与控制服务器操作系统环境为linux,则监控22端口;若命令与控制服务器操作系统环境为web站点,则监控FTP和webshell。
4.如权利要求1所述的方法,其特征在于,所述判断控制者IP是否为最终控制者具体为:
对控制者IP对应设备进行抓包,若所发送的数据包中包含指令包,接收的数据包中包含被控制端发送的首包,且不对外发送特定网络数据包,则控制者IP对应设备为最终控制者,否则为另一个控制与命令服务器。
5.一种基于骨干网的攻击者追踪系统,其特征在...
【专利技术属性】
技术研发人员:康学斌,董建武,何公道,
申请(专利权)人:哈尔滨安天科技股份有限公司,
类型:发明
国别省市:黑龙江;23
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。