本发明专利技术公开了一种网络控制节点探测方法及系统,包括:基于僵尸网络家族及其延伸版本样本,对僵尸网络家族、版本分类,通过静态配置解密方法获取网络控制节点及其常用端口信息;基于所述网络控制节点自动化获取对应IP、IP网段及端口信息;通过对所述IP、端口与所述常用端口进行自动化批量枚举通讯,并逐一进行通讯协议特征匹配,探测出新的网络控制节点。解决现有技术中不能获取更多同家族的未知僵尸网络控制节点的问题。
【技术实现步骤摘要】
本专利技术涉及计算机安全
,更具体地涉及一种网络控制节点探测方法及系统。
技术介绍
实现自动化僵尸网络监控过程,需要是实现三步:家族识别和家族通讯协议逆向分析;自动化监控、协议分析脚本;僵尸网络控制节点批量输入进行批量自动化监控。当实现前两步后,需要输入更多的活跃僵尸网络控制节点,才能实现单家族僵尸网络密集监控,产出更多的监控数据。然而僵尸网络控制节点的获取可以通过VirusTotal获取被探测到的样本进行样本提取。样本提取僵尸网络控制节点是比较快的方式,但是也存在一定的缺陷,因为VirusTotal不可能确保完全捕获最新出现的同家族样本,也就无法完全获取最新的僵尸网络控制节点。因此我们需要研发其他的僵尸网络控制节点的探测方法,获取更多的同家族的未知僵尸网络控制节点。
技术实现思路
为了解决上述技术问题,提供了根据本专利技术的一种网络控制节点探测方法及系统。根据本专利技术的第一方面,提供了一种网络控制节点探测方法,包括:基于僵尸网络家族及其延伸版本样本,对僵尸网络家族、版本分类,通过静态配置解密方法获取网络控制节点及其常用端口信息;基于所述网络控制节点自动化获取对应IP、IP网段及端口信息;通过对所述IP、端口与所述常用端口进行自动化批量枚举通讯,并逐一进行通讯协议特征匹配,探测出新的网络控制节点。在一些实施例中,所述基于所述网络控制节点自动化获取对应IP、IP网段及端口信息,还包括:基于域名类型所述网络控制节点,通过脚本批量自动化DNS查询获取对应的IP。在一些实施例中,所述基于所述网络控制节点自动化获取对应IP、IP网段及端口信息,还包括:基于所述网络控制节点自动化获取指定IP网段列表的所有IP。在一些实施例中,所述基于所述网络控制节点自动化获取对应IP、IP网段及端口信息,还包括:基于所述网络控制节点,使用扫描器自动化探测IP网段列表中所有存活的IP及开放指定的端口。在一些实施例中,所述基于所述网络控制节点自动化获取对应IP、IP网段及端口信息,还包括:基于所述网络控制节点自动化获取对应IP。根据本专利技术的第二方面,提供一种网络控制节点探测系统,包括:获取模块,用于基于僵尸网络家族及其延伸版本样本,对僵尸网络家族、版本分类,通过静态配置解密方法获取网络控制节点及其常用端口信息;自动化模块,用于基于所述网络控制节点自动化获取对应IP、IP网段及端口信息;探测模块,用于通过对所述IP、端口与所述常用端口进行自动化批量枚举通讯,并逐一进行通讯协议特征匹配,探测出新的网络控制节点。在一些实施例中,所述自动化模块包括:用于基于域名类型所述网络控制节点,通过脚本批量自动化DNS查询获取对应的IP。在一些实施例中,所述自动化模块包括:用于基于所述网络控制节点自动化获取指定IP网段列表的所有IP。在一些实施例中,所述自动化模块包括:用于基于所述网络控制节点,使用扫描器自动化探测IP网段列表中所有存活的IP及开放指定的端口。在一些实施例中,所述自动化模块包括:用于基于所述网络控制节点自动化获取对应IP。本专利技术所使用的技术方案,集中针对僵尸网络控制节点C&C(CommandandControl)进行自动化分析探测,围绕通信协议特征匹配过滤技术为中心点,多种探测手段结合并用的技术创新方法实现探测更多未知的僵尸网络控制节点,提高僵尸网络控制节点探测速度。在安全检测领域中,有很大的进步,主要体现在获取同病毒家族C&C来源途径多,速度快,效率高,时效早,还能改进僵尸网络监控的方式方法。附图说明为了更清楚地说明本专利技术的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1为根据本专利技术实施例的一种网络控制节点探测方法的流程图;图2为根据本专利技术实施例的一种网络控制节点探测系统的框图。具体实施方式下面参照附图对本专利技术的优选实施例进行详细说明,在描述过程中省略了对于本专利技术来说是不必要的细节和功能,以防止对本专利技术的理解造成混淆。虽然附图中显示了示例性实施例,然而应当理解,可以以各种形式实现本专利技术而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本专利技术的范围完整的传达给本领域的技术人员。本专利技术中将根据已知的僵尸网络家族及其延伸版本server端样本大小,僵尸网络病毒家族控制节点的常用端口等信息,自动化快速进行僵尸网络家族、版本分类,同时也获取同版本的静态配置解密方法,然后通过分类好的整个僵尸网络控制节点(CommandandControl,以下简称C&C)来探测新的网络控制节点。图1示出了根据本专利技术实施例的一种网络控制节点探测方法的流程图。如图1所示,方法包括如下步骤:S110,基于僵尸网络家族及其延伸版本样本,对僵尸网络家族、版本分类,通过静态配置解密方法获取网络控制节点及其常用端口信息。首先,通过自动化搜索各个病毒家族的server端样本,依据已知家族Server端样本大小等信息进行自动化初步分类家族及版本的样本,通过分类好的家族样本,提取通信数据协议样本,为后期家族C&C识别提供与C&C数据交互的通信数据样本。然后,使用静态解密、动态解析方法提取相同家族样本的C&C(IP+Port、Domain),通过C&C的IP网段及常用端口(Port)进行自动化分类整理,为后期的C&C地域所属进行初步分类。通过样本逆向分析获取样本的静态配置解密方法,快速准确得知样本C&C的硬编码位置,样本的C&C通过硬编码方式配置存放在样本内的某个位置,然后通过脚本进行批量自动化获取样本的C&C。S120,基于所述网络控制节点自动化获取对应IP、IP网段及端口信息。根据C&C可以通过域名类型DNSIP查询、IP网段探测、IP网段探活、IP探测方式自动化获取对应IP、IP网段及端口信息,具体如下:S121,基于域名类型所述网络控制节点,通过脚本批量自动化DNS查询获取对应的IP。通过集中的同家族样本中提取的域名类型C&C进行脚本批量自动化DNS查询,获取对应的IP。S122,基于网络控制节点自动化获取指定IP网段列表的所有IP。分析历史C&C比较集中的IP网段,通过自动化获取指定的IP网段列表的所有IP。在自动化模拟通讯过程中,并行通信数据协议匹配过滤,实现自动化批量IP网段扫描探测,自动化批量查询C&C所属地域及C&C集中的IP网段,为自动化IP网段扫描探测提供探测IP网段目标,进一步提高IP网段扫描探测的速度与效率。S123,基于网络控制节点,使用扫描器自动化探测IP网段列表中所有存活的IP及开放指定的端口。通过masscan进行自动化批量IP网段存活及端口开放探测,获取IP网段列表中所有存活的IP及开放指定的端口。S124,基于网络控制节点自动化获取对应IP。经过长期的僵尸网络的监控发现,每一个僵尸网络家族的控制节点中,会存在一些同IP但不同端口的C&C,也就是说同一台服务器上部署多个版本的C&C,因此可以通过已知本文档来自技高网...
【技术保护点】
一种网络控制节点探测方法,其特征在于,包括:基于僵尸网络家族及其延伸版本样本,对僵尸网络家族、版本分类,通过静态配置解密方法获取网络控制节点及其常用端口信息;基于所述网络控制节点自动化获取对应IP、IP网段及端口信息;通过对所述IP、端口与所述常用端口进行自动化批量枚举通讯,并逐一进行通讯协议特征匹配,探测出新的网络控制节点。
【技术特征摘要】
1.一种网络控制节点探测方法,其特征在于,包括:基于僵尸网络家族及其延伸版本样本,对僵尸网络家族、版本分类,通过静态配置解密方法获取网络控制节点及其常用端口信息;基于所述网络控制节点自动化获取对应IP、IP网段及端口信息;通过对所述IP、端口与所述常用端口进行自动化批量枚举通讯,并逐一进行通讯协议特征匹配,探测出新的网络控制节点。2.根据权利要求1所述的方法,其特征在于,所述基于所述网络控制节点自动化获取对应IP、IP网段及端口信息,还包括:基于域名类型所述网络控制节点,通过脚本批量自动化DNS查询获取对应的IP。3.根据权利要求1所述的方法,其特征在于,所述基于所述网络控制节点自动化获取对应IP、IP网段及端口信息,还包括:基于所述网络控制节点自动化获取指定IP网段列表的所有IP。4.根据权利要求1所述的方法,其特征在于,所述基于所述网络控制节点自动化获取对应IP、IP网段及端口信息,还包括:基于所述网络控制节点,使用扫描器自动化探测IP网段列表中所有存活的IP及开放指定的端口。5.根据权利要求1所述的方法,其特征在于,所述基于所述网络控制节点自动化获取对应...
【专利技术属性】
技术研发人员:康学斌,黄云宇,肖新光,
申请(专利权)人:北京安天电子设备有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。