一种验证恶意代码在受害者主机中活跃度的方法及系统技术方案

本发明专利技术公开了一种验证恶意代码在受害者主机中活跃度的方法及系统，包括：监控网内通信行为，若存在恶意代码则记录相关流量信息；基于相关流量信息还原恶意代码样本，并记录相关的五元组信息；将所述恶意代码样本投入沙箱运行，并获取回传的C&C的IP地址；判断所述IP地址是否在所述五元组信息中，若是则判定恶意代码在受害者主机中活跃，否则判定恶意代码未在受害者主机中活跃。本发明专利技术所述技术方案能够克服传统方法难以追溯恶意代码样本在受害者机器中是否活跃的问题。

Method and system for verifying liveness of malicious code in victim host

The invention discloses a malicious code verification and active system, the method of the victim host includes: communication behavior monitoring network, if the presence of malicious code record related traffic information; relevant traffic information to restore the malicious code based on the sample and record five yuan group related information; the malicious code sample into the sandbox run and get back to C& C; IP address; whether the IP address is in the five tuple information, if it is determined the malicious code is active in the victim host, or determine the malicious code not active in the victim host. The technical scheme of the invention can overcome the problem that the traditional method is difficult to trace whether the malicious code samples are active in the victim machine.

【技术实现步骤摘要】
一种验证恶意代码在受害者主机中活跃度的方法及系统
本专利技术涉及计算机网络安全
，尤其涉及一种验证恶意代码在受害者主机中活跃度的方法及系统。
技术介绍
在网络攻击日益泛滥的今天，针对企业级别的反病毒产品层出不穷，传统的以文件级扫描引擎为基础的产品，他们永远无法回避一个关键的问题，就是扫描的速度。而另一个重要的问题是若用户只允许设备安装在网络出口，当设备检出恶意代码时，追溯恶意代码样本在受害者机器中的情况则变得十分困难。
技术实现思路
针对上述技术问题，本专利技术通过记录恶意代码样本相关的五元组信息，并将恶意代码样本投入沙箱模拟运行进而获取C&C的IP地址，通过在所述五元组信息中搜索所述C&C的IP地址进而验证恶意代码在网络攻击受害者主机中是否活跃。本专利技术采用如下方法来实现：一种验证恶意代码在受害者主机中活跃度的方法，包括：监控网内通信行为，若存在恶意代码则记录相关流量信息；基于相关流量信息还原恶意代码样本，并记录相关的五元组信息；将所述恶意代码样本投入沙箱运行，并获取回连的C&C的IP地址；判断所述IP地址是否在所述五元组信息中，若是则判定恶意代码在受害者主机中活跃，否则判定恶意代码未在受害者主机中活跃。进一步地，还包括：基于五元组信息中的任意一项能够搜索到恶意代码样本相关的全部信息。更进一步地，还包括：根据需要自定义需要记录的信息。其中，所述根据需要自定义需要记录的信息，具体为：只记录恶意代码样本相关的IP信息，包括：源IP地址和目的IP地址。本专利技术可以采用如下系统来实现：一种验证恶意代码在受害者主机中活跃度的系统，包括：流量监测模块，用于监控网内通信行为，若存在恶意代码则记录相关流量信息；流量还原模块，用于基于相关流量信息还原恶意代码样本，并记录相关的五元组信息；沙箱运行模块，用于将所述恶意代码样本投入沙箱运行，并获取回连的C&C的IP地址；匹配判定模块，用于判断所述IP地址是否在所述五元组信息中，若是则判定恶意代码在受害者主机中活跃，否则判定恶意代码未在受害者主机中活跃。进一步地，还包括：记录搜索模块，用于基于五元组信息中的任意一项能够搜索到恶意代码样本相关的全部信息。更进一步地，还包括：自定义设置模块，用于根据需要自定义需要记录的信息。其中，所述根据需要自定义需要记录的信息，具体为：只记录恶意代码样本相关的IP信息，包括：源IP地址和目的IP地址。综上，本专利技术给出一种验证恶意代码在受害者主机中活跃度的方法及系统，通过监控网内通信行为，若发现被检测网络中存在安全威胁，则通过流量还原技术获取恶意代码样本，并进一步记录包含恶意代码样本的通信行为的五元组信息，或者为了减小服务器处理压力，仅记录通信行为相关的IP地址；通过沙箱动态分析恶意代码样本进而得到该通信行为中恶意代码样本回连的C&C。最后将所述C&C的IP地址与上述记录的五元组信息或者直接与IP地址匹配，若命中，则说明该恶意代码样本在受害者主机中仍处于活跃状态。有益效果为：本专利技术所述技术方案能够利用沙箱的动态检测保证了恶意代码样本所回连C&C的真实准确性，并在记录的五元组信息中搜索该C&C的IP地址，进而可以准确判定恶意代码是否在受害者机器中活跃。附图说明为了更清楚地说明本专利技术的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本专利技术中记载的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。图1为本专利技术提供的一种验证恶意代码在受害者主机中活跃度的方法实施例流程图；图2为本专利技术提供的一种验证恶意代码在受害者主机中活跃度的系统实施例结构图。具体实施方式本专利技术给出了一种验证恶意代码在受害者主机中活跃度的方法及系统实施例，为了使本
的人员更好地理解本专利技术实施例中的技术方案，并使本专利技术的上述目的、特征和优点能够更加明显易懂，下面结合附图对本专利技术中技术方案作进一步详细的说明：本专利技术首先提供了一种验证恶意代码在受害者主机中活跃度的方法实施例，如图1所示，包括：S101：监控网内通信行为，若存在恶意代码则记录相关流量信息。其中，本专利技术主要检测对象为企业内网，但是其他类似网络同样适用。例如，在一次下载活动中，用户A下载了恶意代码B，则需要准确的记录恶意代码B的下载流量信息。S102：基于相关流量信息还原恶意代码样本，并记录相关的五元组信息。其中，所述基于相关流量信息还原恶意代码样本，支持多种网络协议的流量还原，包括但不限于：HTTP、FTP、POP3、SMTP、IMAP、TFTP、SMB、WebMail、飞鸽等，并且在流还原的基础上进一步进行深度协议解码，获取协议传输原文件，目的在于后续将其投入沙箱进行动态检测。并记录与恶意代码样本相关的五元组信息，包括：源IP地址，源端口，目的IP地址，目的端口和传输层协议。优选地，还包括：基于五元组信息中的任意一项能够搜索到恶意代码样本相关的全部信息。方便操作员对所需信息的搜索。还包括：根据需要自定义需要记录的信息。具体为：只记录恶意代码样本相关的IP信息，包括：源IP地址和目的IP地址。操作员可以根据需要选择和放弃需要记录的信息，不一定要记录五元组的所有信息，因为在某些大流量场景下，如果记录全流量，会使设备负载过高，无法稳定运行。因此，在该实施例中，可以选择只记录恶意代码样本相关的IP地址即可。S103：将所述恶意代码样本投入沙箱运行，并获取回连的C&C的IP地址。其中，使用沙箱对恶意代码样本进行动态检测，可以自动得出恶意代码样本的行为，包括其访问的IP地址，文件的操作以及对磁盘文件的增删等功能，这里可以只记录恶意代码样本企图回连的C&C的IP地址。S104：判断所述IP地址是否在所述五元组信息中，若是则判定恶意代码在受害者主机中活跃，否则判定恶意代码未在受害者主机中活跃。其中，若所述C&C的IP地址在所述五元组信息中，说明沙箱动态得出的行为实际发生，证明恶意代码样本在受害者机器中正在活跃地运行。若所述C&C的IP地址未在所述五元组信息中，说明沙箱动态得出的行为实际并未发生，证明恶意代码样本在受害者机器中并没有活跃地运行。本专利技术其次提供了一种验证恶意代码在受害者主机中活跃度的系统实施例，如图2所示，包括：流量监测模块201，用于监控网内通信行为，若存在恶意代码则记录相关流量信息；流量还原模块202，用于基于相关流量信息还原恶意代码样本，并记录相关的五元组信息；沙箱运行模块203，用于将所述恶意代码样本投入沙箱运行，并获取回连的C&C的IP地址；匹配判定模块204，用于判断所述IP地址是否在所述五元组信息中，若是则判定恶意代码在受害者主机中活跃，否则判定恶意代码未在受害者主机中活跃。优选地，还包括：记录搜索模块，用于基于五元组信息中的任意一项能够搜索到恶意代码样本相关的全部信息。更优选地，还包括：自定义设置模块，用于根据需要自定义需要记录的信息。其中，所述根据需要自定义需要记录的信息，具体为：只记录恶意代码样本相关的IP信息，包括：源IP地址和目的IP地址。本说明书中的各个实施例均采用递进的方式描述，各个实施例之间相同或本文档来自技高网...

【技术保护点】
一种验证恶意代码在受害者主机中活跃度的方法，其特征在于，包括：监控网内通信行为，若存在恶意代码则记录相关流量信息；基于相关流量信息还原恶意代码样本，并记录相关的五元组信息；将所述恶意代码样本投入沙箱运行，并获取回连的C&C的IP地址；判断所述IP地址是否在所述五元组信息中，若是则判定恶意代码在受害者主机中活跃，否则判定恶意代码未在受害者主机中活跃。

【技术特征摘要】
1.一种验证恶意代码在受害者主机中活跃度的方法，其特征在于，包括：监控网内通信行为，若存在恶意代码则记录相关流量信息；基于相关流量信息还原恶意代码样本，并记录相关的五元组信息；将所述恶意代码样本投入沙箱运行，并获取回连的C&C的IP地址；判断所述IP地址是否在所述五元组信息中，若是则判定恶意代码在受害者主机中活跃，否则判定恶意代码未在受害者主机中活跃。2.如权利要求1所述的方法，其特征在于，还包括：基于五元组信息中的任意一项能够搜索到恶意代码样本相关的全部信息。3.如权利要求2所述的方法，其特征在于，还包括：根据需要自定义需要记录的信息。4.如权利要求3所述的方法，其特征在于，所述根据需要自定义需要记录的信息，具体为：只记录恶意代码样本相关的IP信息，包括：源IP地址和目的IP地址。5.一种验证恶意代码在受害者主机中活跃度的系统，其特征...

【专利技术属性】
技术研发人员：贾琼，李柏松，
申请(专利权)人：北京安天网络安全技术有限公司，
类型：发明
国别省市：北京,11