The invention discloses a malicious code verification and active system, the method of the victim host includes: communication behavior monitoring network, if the presence of malicious code record related traffic information; relevant traffic information to restore the malicious code based on the sample and record five yuan group related information; the malicious code sample into the sandbox run and get back to C& C; IP address; whether the IP address is in the five tuple information, if it is determined the malicious code is active in the victim host, or determine the malicious code not active in the victim host. The technical scheme of the invention can overcome the problem that the traditional method is difficult to trace whether the malicious code samples are active in the victim machine.
【技术实现步骤摘要】
一种验证恶意代码在受害者主机中活跃度的方法及系统
本专利技术涉及计算机网络安全
,尤其涉及一种验证恶意代码在受害者主机中活跃度的方法及系统。
技术介绍
在网络攻击日益泛滥的今天,针对企业级别的反病毒产品层出不穷,传统的以文件级扫描引擎为基础的产品,他们永远无法回避一个关键的问题,就是扫描的速度。而另一个重要的问题是若用户只允许设备安装在网络出口,当设备检出恶意代码时,追溯恶意代码样本在受害者机器中的情况则变得十分困难。
技术实现思路
针对上述技术问题,本专利技术通过记录恶意代码样本相关的五元组信息,并将恶意代码样本投入沙箱模拟运行进而获取C&C的IP地址,通过在所述五元组信息中搜索所述C&C的IP地址进而验证恶意代码在网络攻击受害者主机中是否活跃。本专利技术采用如下方法来实现:一种验证恶意代码在受害者主机中活跃度的方法,包括:监控网内通信行为,若存在恶意代码则记录相关流量信息;基于相关流量信息还原恶意代码样本,并记录相关的五元组信息;将所述恶意代码样本投入沙箱运行,并获取回连的C&C的IP地址;判断所述IP地址是否在所述五元组信息中,若是则判定恶意代码在受害者主机中活跃,否则判定恶意代码未在受害者主机中活跃。进一步地,还包括:基于五元组信息中的任意一项能够搜索到恶意代码样本相关的全部信息。更进一步地,还包括:根据需要自定义需要记录的信息。其中,所述根据需要自定义需要记录的信息,具体为:只记录恶意代码样本相关的IP信息,包括:源IP地址和目的IP地址。本专利技术可以采用如下系统来实现:一种验证恶意代码在受害者主机中活跃度的系统,包括 ...
【技术保护点】
一种验证恶意代码在受害者主机中活跃度的方法,其特征在于,包括:监控网内通信行为,若存在恶意代码则记录相关流量信息;基于相关流量信息还原恶意代码样本,并记录相关的五元组信息;将所述恶意代码样本投入沙箱运行,并获取回连的C&C的IP地址;判断所述IP地址是否在所述五元组信息中,若是则判定恶意代码在受害者主机中活跃,否则判定恶意代码未在受害者主机中活跃。
【技术特征摘要】
1.一种验证恶意代码在受害者主机中活跃度的方法,其特征在于,包括:监控网内通信行为,若存在恶意代码则记录相关流量信息;基于相关流量信息还原恶意代码样本,并记录相关的五元组信息;将所述恶意代码样本投入沙箱运行,并获取回连的C&C的IP地址;判断所述IP地址是否在所述五元组信息中,若是则判定恶意代码在受害者主机中活跃,否则判定恶意代码未在受害者主机中活跃。2.如权利要求1所述的方法,其特征在于,还包括:基于五元组信息中的任意一项能够搜索到恶意代码样本相关的全部信息。3.如权利要求2所述的方法,其特征在于,还包括:根据需要自定义需要记录的信息。4.如权利要求3所述的方法,其特征在于,所述根据需要自定义需要记录的信息,具体为:只记录恶意代码样本相关的IP信息,包括:源IP地址和目的IP地址。5.一种验证恶意代码在受害者主机中活跃度的系统,其特征...
【专利技术属性】
技术研发人员:贾琼,李柏松,
申请(专利权)人:北京安天网络安全技术有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。