本申请公开了一种数据采集方法及装置、失陷者识别方法及装置,涉及网络安全技术领域,主要目的在于有针对性的采集用于失陷者识别的数据,以提高失陷者识别的效率和准确率;主要技术方案包括:分析恶意程序获得配置信息;其中,所述配置信息为所述恶意程序用于连接对应的攻击者服务器所需的信息;基于所述配置信息连接所述攻击者服务器;从所述攻击者服务器采集用于失陷者识别的目标数据。采集用于失陷者识别的目标数据。采集用于失陷者识别的目标数据。
【技术实现步骤摘要】
数据采集方法及装置、失陷者识别方法及装置
[0001]本申请涉及网络安全
,特别是涉及一种数据采集方法及装置、失陷者识别方法及装置。
技术介绍
[0002]失陷者是指已经被攻击者入侵并获得控制权的主体。攻击者在获得控制权后不仅会攻击失陷者,而且会以失陷者为跳板继续攻击与失陷者存在网络连接的其他主体,因此需要进行失陷者识别,以及时阻止攻击者对失陷者的攻击。
[0003]目前,主要通过分析主体的网络流量或系统日志数据等数据的方式来识别主体是否为失陷者。但是,此种方式存在如下两点缺陷:一是,由于在进行失陷者识别之前,无法明确知晓哪些主体是失陷者,因此需要采集大量主体的数据,通过分析所采集的数据来进行失陷者识别。所采集的数据中混杂有属于非失陷者的数据,而在失陷者识别时对这些非失陷者的数据也进行了分析,因此导致失陷者识别的效率不高。二是,一旦没有采集到切实包含了失陷者信息的数据,则无法准确识别出失陷者。
[0004]可见,目前失陷者识别的效率和准确率不高是由于不能有针对性的采集用于失陷者识别的数据导致的,因此如何有针对性的采集用于失陷者识别的数据成为目前亟需解决的问题。
技术实现思路
[0005]有鉴于此,本申请提出了一种数据采集方法及装置、失陷者识别方法及装置,主要目的在于有针对性的采集用于失陷者识别的数据,以提高失陷者识别的效率和准确率。
[0006]为了达到上述目的,本申请主要提供了如下技术方案:
[0007]第一方面,本申请提供了一种数据采集方法,该数据采集方法包括:
[0008]分析恶意程序获得配置信息;其中,所述配置信息为所述恶意程序用于连接对应的攻击者服务器所需的信息;
[0009]基于所述配置信息连接所述攻击者服务器;
[0010]从所述攻击者服务器采集用于失陷者识别的目标数据。
[0011]本申请实施例提供的数据采集方法及装置,在需要采集用于失陷者识别的目标数据的情况下,分析恶意程序获得恶意程序连接对应的攻击者服务器所需的配置信息,并基于配置信息连接攻击者服务器。然后从攻击者服务器采集目标数据。本申请实施例这种从攻击者服务器采集用于失陷者识别的目标数据的好处在于如下两点:一是,被恶意程序攻陷的失陷者相关的数据均会存在于对应的攻击者服务器内,从攻击者服务器采集的目标数据必然切实包含了失陷者信息,因此基于这样的目标数据进行失陷者识别能够提高失陷者识别的准确率。二是,被恶意程序攻陷的失陷者相关的数据均会存在于对应的攻击者服务器内,而未被恶意程序攻陷的非失陷者通常不被记录在恶意程序对应的攻击者服务器内,因此从攻击者服务器采集的目标数据通常不会混杂非失陷者的数据,这样能够减少失陷者
识别的数据识别量,提高失陷者识别的效率。可见,本申请实施例提供的方案能够有针对性的采集用于失陷者识别的数据,从而基于所采集的数据进行失陷者识别能够提高失陷者识别的效率和准确率。
[0012]在本申请一些实施例中,基于所述配置信息连接所述攻击者服务器,包括:基于所述配置信息生成用于从所述攻击者服务器采集数据的登录信息;基于所述登录信息登录所述攻击者服务器。
[0013]在本申请一些实施例中,基于所述配置信息生成用于从所述攻击者服务器采集数据的登录信息,包括:确定满足数据采集需求的传输协议;确定与所述传输协议匹配的端口号和域名;对所述传输协议、所述端口号、所述域名以及所述配置信息中包括的账号信息、密码信息、所述攻击者服务器的地址信息进行整合处理,生成所述登录信息。
[0014]在本申请一些实施例中,确定满足数据采集需求的传输协议,包括:判断所述配置信息中包括的传输协议是否满足数据采集需求;若满足,则将所述配置信息中包括的传输协议确定为满足数据采集需求的传输协议;若不满足,则从传输协议集合中选取满足数据采集需求的传输协议。
[0015]在本申请一些实施例中,该数据采集方法还包括:若未能从所述攻击者服务器采集到目标数据,且确定未能采集到目标数据是由当前使用的登录信息导致的,则重新确定与所述传输协议匹配的端口号和/或域名,并基于重新确定的端口号和/或域名更新当前使用的登录信息;基于更新后的登录信息登录所述攻击者服务器。
[0016]在本申请一些实施例中,基于所述登录信息登录所述攻击者服务器,包括:将所述登录信息发送至协议模拟器,以供所述协议模拟器通过模拟所述登录信息中包括的传输协议建立与所述攻击者服务器的连接;基于所述连接,通过所述登录信息登录所述攻击者服务器。
[0017]在本申请一些实施例中,分析恶意程序获得配置信息,包括:在可运行恶意程序的虚拟机或隔离沙箱中运行所述恶意程序,获得所述恶意程序运行过程中产生的网络通信文件;其中,所述网络通信文件中记录有所述恶意程序连接对应的攻击者服务器所使用的信息;从所述网络通信文件中提取所述配置信息。
[0018]在本申请一些实施例中,该数据采集方法还包括:监测所述恶意程序运行过程中产生的行为特征,以基于所述行为特征的动态分析对所述目标数据进行失陷者识别处理。
[0019]在本申请一些实施例中,分析恶意程序获得配置信息,包括:对所述恶意程序进行静态代码分析,获取所述恶意程序中内嵌的配置信息。
[0020]在本申请一些实施例中,对所述恶意程序进行代码分析,获取所述恶意程序中内嵌的配置信息,包括:对所述恶意程序的代码进行反汇编处理;从反汇编处理后的代码中提取所述配置信息。
[0021]在本申请一些实施例中,该数据采集方法还包括:以设定的数据采集周期,周期性的从所述攻击者服务器采集用于失陷者识别的目标数据。
[0022]第二方面,本申请提供了一种失陷者识别方法,该失陷者识别方法包括:
[0023]从恶意程序对应的攻击者服务器获取用于失陷者识别的目标数据;其中,所述目标数据采用如第一方面的数据采集方法采集得到;
[0024]对所述目标数据进行失陷者识别处理,以识别出被所述恶意程序攻陷的失陷者。
[0025]本申请实施例提供的失陷者识别方法及装置,在需要进行失陷者识别的情况下,从恶意程序对应的攻击者服务器获取用于失陷者识别的目标数据,并对目标数据进行失陷者识别处理,以识别出被恶意程序攻陷的失陷者。可见,本申请实施例这种从攻击者服务器采集用于失陷者识别的目标数据,对目标数据进行失陷者识别处理的好处在于如下两点:一是,被恶意程序攻陷的失陷者相关的数据均会存在于对应的攻击者服务器内,从攻击者服务器采集的目标数据必然切实包含了失陷者信息,因此基于这样的目标数据进行失陷者识别能够提高失陷者识别的准确率。二是,被恶意程序攻陷的失陷者相关的数据均会存在于对应的攻击者服务器内,而未被恶意程序攻陷的非失陷者通常不被记录在恶意程序对应的攻击者服务器内,因此从攻击者服务器采集的目标数据通常不会混杂非失陷者的数据,这样能够减少失陷者识别的数据识别量,提高失陷者识别的效率。可见,本申请实施例提供的方案能够有针对性的采集用于失陷者识别的数据,从而基于所采集的数据进行失陷者识别能本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种数据采集方法,其特征在于,所述方法包括:分析恶意程序获得配置信息;其中,所述配置信息为所述恶意程序用于连接对应的攻击者服务器所需的信息;基于所述配置信息连接所述攻击者服务器;从所述攻击者服务器采集用于失陷者识别的目标数据。2.根据权利要求1所述的方法,其特征在于,基于所述配置信息连接所述攻击者服务器,包括:基于所述配置信息生成用于从所述攻击者服务器采集数据的登录信息;基于所述登录信息登录所述攻击者服务器。3.根据权利要求2所述的方法,其特征在于,基于所述配置信息生成用于从所述攻击者服务器采集数据的登录信息,包括:确定满足数据采集需求的传输协议;确定与所述传输协议匹配的端口号和域名;对所述传输协议、所述端口号、所述域名以及所述配置信息中包括的账号信息、密码信息、所述攻击者服务器的地址信息进行整合处理,生成所述登录信息。4.根据权利要求3所述的方法,其特征在于,确定满足数据采集需求的传输协议,包括:判断所述配置信息中包括的传输协议是否满足数据采集需求;若满足,则将所述配置信息中包括的传输协议确定为满足数据采集需求的传输协议;若不满足,则从传输协议集合中选取满足数据采集需求的传输协议。5.根据权利要求3所述的方法,其特征在于,所述方法还包括:若未能从所述攻击者服务器采集到目标数据,且确定未能采集到目标数据是由当前使用的登录信息导致的,则重新确定与所述传输协议匹配的端口号和/或域名,并基于重新确定的端口号和/或域名更新当前使用的登录信息;基于更新后的登录信息登录所述攻击者服务器。6.根据权利要求2所述的方法,其特征在于,基于所述登录信息登录所述攻击者服务器,包括:将所述登录信息发送至协议模拟器,以供所述协议模拟器通过模拟所述登录信息中包括的传输协议建立与所述攻击者服务器的连接;基于所述连接,通过所述登录信息登录所述攻击者服务器。7.根据权利要求1所述的方法,其特征在于,分析恶意程序获得配置信息,包括:在可运行恶意程序的虚拟机或隔离沙箱中运行所述恶意程序,获得所述恶意程序运行过程中产生的网络通信文件;其中,所述网络通信文件中记录有所述恶意程序连接对应的攻击者服务器所使用的信息;从所述网络通信文件中提取所述配置信息。8.根据权利要求7所述的方法,其特征在于,所述方法还包括:监测所述恶意程序运行过程中产生的行为特征,以基于所述行为特征的动态分析对所述目标数据进行失陷者识别处理。9.根据权利要求1或7所述的方法,其特征在于,分析恶意程序获得配置信息,包括:对所述恶意程序进行静态代码分析,获取所述恶意程序中内嵌的配置信息。
10.根据权利要求9所述的方法,其特征在于,对所述恶意程序进行静态代码分析,获取所述恶意程序中内嵌的配置信息,包括:对所述恶意程序的代码进行反汇编处理;从反汇编处理后的代码中提取所述配置信息。11.根据权利要求1
‑
【专利技术属性】
技术研发人员:胡科全,黄朝文,白敏,汪列军,
申请(专利权)人:奇安信科技集团股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。