本申请的实施例提供了一种C2服务器识别方法、装置、电子设备及可读存储介质,涉及通信技术领域。该方法包括:针对各待选设备,通过资产探测获得各待选设备的第一设备信息,其中,待选设备为在资产探测时可搜索到的各资产对应的设备;根据预设规则及第一设备信息,从待选设备中确定出C2服务器,其中,预设规则为根据已知的C2服务器的特征设置的规则。如此,能够主动从互联网暴露出的海量目标中,识别出已使用过的C2服务器以及新上线还未被使用过的C2服务器,便于针对新上线还未被使用过的C2服务器做到提前阻断和防护。务器做到提前阻断和防护。务器做到提前阻断和防护。
【技术实现步骤摘要】
C2服务器识别方法、装置、电子设备及可读存储介质
[0001]本申请涉及通信
,具体而言,涉及一种C2服务器识别方法、装置、电子设备及可读存储介质。
技术介绍
[0002]C2服务器(Command&Control Server)又称C&C服务器,常见于病毒木马控制主机后,攻击者通过C2服务器转发命令。现有的C2服务器的发现主要通过安全技术人员在受害者网络的流量或者终端中检测到回连的行为,从而发现C2服务器。这种方法效率非常低,而且只能够在发现被植入病毒、木马后才能够发现,无法提前发现C2服务器的IP或者域名,因此无法提前做到防护阻断。
技术实现思路
[0003]本申请实施例提供了一种C2服务器识别方法、装置、电子设备及可读存储介质,其能够主动从互联网暴露出的海量目标中,识别出C2服务器,如此可发现新上线还未被使用过的C2资产,便于做到提前阻断和防护。
[0004]本申请的实施例可以这样实现:
[0005]第一方面,本申请实施例提供一种C2服务器识别方法,所述方法包括:
[0006]针对各待选设备,通过资产探测获得各所述待选设备的第一设备信息,其中,所述待选设备为在资产探测时可搜索到的各资产对应的设备;
[0007]根据预设规则及所述第一设备信息,从所述待选设备中确定出C2服务器,其中,所述预设规则为根据已知的C2服务器的特征设置的规则。
[0008]第二方面,本申请实施例提供一种C2服务器识别装置,所述装置包括:
[0009]探测模块,用于针对各待选设备,通过资产探测获得各所述待选设备的第一设备信息,其中,所述待选设备为在资产探测时可搜索到的各资产对应的设备;
[0010]识别模块,用于根据预设规则及所述第一设备信息,从所述待选设备中确定出C2服务器,其中,所述预设规则为根据已知的C2服务器的特征设置的规则。
[0011]第三方面,本申请实施例提供一种电子设备,包括处理器和存储器,所述存储器存储有能够被所述处理器执行的机器可执行指令,所述处理器可执行所述机器可执行指令以实现前述实施方式所述的C2服务器识别方法。
[0012]第四方面,本申请实施例提供一种可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现如前述实施方式所述的C2服务器识别方法。
[0013]本申请实施例提供的C2服务器识别方法、装置、电子设备及可读存储介质,针对各待选设备,通过资产探测获得各待选设备的第一设备信息,该待选设备为在资产探测时可搜索到的各资产对应的设备;然后根据预设规则及第一设备信息,从待选设备中确定出C2服务器,该预设规则为根据已知的C2服务器的特征设置的规则。如此,能够主动从互联网暴露出的海量目标中,识别出已使用过的C2服务器以及新上线还未被使用过的C2服务器,便
于针对新上线还未被使用过的C2服务器做到提前阻断和防护。
附图说明
[0014]为了更清楚地说明本专利技术实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本专利技术的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
[0015]图1为本申请实施例提供的电子设备的方框示意图;
[0016]图2为本申请实施例提供的C2服务器识别方法的流程示意图;
[0017]图3为图2中步骤S120包括的子步骤的流程示意图;
[0018]图4为图3中子步骤S121包括的子步骤的流程示意图;
[0019]图5为图3中子步骤S123包括的子步骤的流程示意图;
[0020]图6为本申请实施例提供的第二设备信息示意图;
[0021]图7为本申请实施例提供的C2服务器识别装置的方框示意图。
[0022]图标:100
‑
电子设备;110
‑
存储器;120
‑
处理器;130
‑
通信单元;200
‑
C2服务器识别装置;210
‑
探测模块;220
‑
识别模块。
具体实施方式
[0023]为使本专利技术实施例的目的、技术方案和优点更加清楚,下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本专利技术一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本专利技术实施例的组件可以以各种不同的配置来布置和设计。
[0024]因此,以下对在附图中提供的本申请的实施例的详细描述并非旨在限制要求保护的本申请的范围,而是仅仅表示本申请的选定实施例。基于本申请的实施例,本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本申请保护的范围。
[0025]需要说明的是,术语“第一”和“第二”等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个
……”
限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
[0026]目前一般通过如下两种方式发现C2服务器。
[0027]方式一:通过对安全事件的分析,提取出检测到的病毒木马回连的地址,再经过人工经验判断从而被动发现C2服务器。
[0028]方式二:通过采集开源威胁情报中的C2IP和域名信息,经过人工经验判断,被动地识别C2服务器。
[0029]开源情报的信息量非常大,并且无法对采集到的C2IP和域名信息准确性进行自动化批量验证。上述两种方式中都结合人工经验进行判断,而人工经验判断对人员的技术能
力与经验要求很高,无形中提高了人员的门槛,并且需要人工介入导致效率低。同时,上述两种方式的信息源有局限性,只能够对已经公开的C2服务器进行发现,即只能够在发现被植入病毒、木马后才能够发现C2服务器,随着技术的发展病毒木马越来越难以被检测和发现,很多信息系统已经被C2控制而不自知,无法做到提前发现C2服务器的IP或者域名,进而导致无法提前做到防护阻断。
[0030]为缓解上述情况,本申请实施例提供了一种C2服务器识别方法、装置、电子设备及可读存储介质,能够主动从互联网暴露出的海量目标中,识别出已使用过的C2服务器以及新上线还未被使用过的C2服务器,便于做到提前阻断和防护,同时可以降低对开源情报及人工的依赖性;并且,通过自动化方式完成C2服务器的识别,可提升发现效率,降低人工成本。
[0031]值得说明本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种C2服务器识别方法,其特征在于,所述方法包括:针对各待选设备,通过资产探测获得各所述待选设备的第一设备信息,其中,所述待选设备为在资产探测时可搜索到的各资产对应的设备;根据预设规则及所述第一设备信息,从所述待选设备中确定出C2服务器,其中,所述预设规则为根据已知的C2服务器的特征设置的规则。2.根据权利要求1所述的方法,其特征在于,所述预设规则包括第一预设规则,所述根据预设规则及所述第一设备信息,从所述待选设备中确定出C2服务器,包括:针对各所述待选设备,将该待选设备的第一设备信息与所述第一预设规则进行匹配;将所述第一设备信息与所述第一预设规则匹配上的待选设备作为可疑设备;从确定的所述可疑设备中确定出C2服务器。3.根据权利要求2所述的方法,其特征在于,所述预设规则还包括第二预设规则,所述第一预设规则与所述第二预设规则不同,所述从确定的所述可疑设备中确定出C2服务器,包括:获得根据C2服务器的类型构造的探测报文;针对各所述可疑设备,根据各类型的探测报文与该可疑设备进行深度交互,获得该可疑设备的第二设备信息,其中,所述第二设备信息包括该可疑设备的HTTP服务配置参数;针对各所述可疑设备,将该可疑设备的第二设备信息与所述第二预设规则进行匹配,以确定该可疑设备是否为C2服务器。4.根据权利要求3所述的方法,其特征在于,所述获得根据C2服务器的类型构造的探测报文,包括:根据不同类型的C2服务器对应的协议特性,构建与该协议特性对应的探测报文。5.根据权利要求3所述的方法,其特征在于,所述第二设备信息包括主机报头、信标类型、代理类型及API连接地址中的至少一项。6.根据权利要...
【专利技术属性】
技术研发人员:王奕雄,李艳军,
申请(专利权)人:北京知道创宇信息技术股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。