本申请提供一种木马服务端探测方法
【技术实现步骤摘要】
木马服务端探测方法、装置、电子设备和可读存储介质
[0001]本专利技术涉及网络安全
,具体而言,涉及一种木马服务端探测方法
、
装置
、
电子设备和可读存储介质
。
技术介绍
[0002]随着计算机和网络知识的普及与广泛应用,以高级持续性威胁
(Advanced Persistent Threat
,
APT)
为典型代表的新型威胁和攻击不断增长
。
在日常工作和家庭电脑上存储着大量的非公开或保密的重要资料和个人信息,这些电脑一旦感染木马程序,其重要资料和个人隐私信息将会被窃取,进而造成国家机密
、
企业核心数据
、
个人隐私信息等的泄露,并造成经济损失等问题
。
此外,木马程序还具有破坏性,在系统被植入木马程序后,容易导致系统瘫痪且造成重要数据丢失
。
[0003]现有技术中,木马探测主要有两种方式,一种是特征木马程序文件的特征码,然后扫描检测文件中是否包含特征码来识别木马文件,进而发现木马服务器
。
另一种是通过木马防火墙,采用动态监控的方式,对网络中的可疑连接进行监控,进而发现木马通信服务器
。
[0004]现有技术中的木马探测方式,都是基于已发生的攻击行为或者已失陷的主机,进行木马通信服务端发现,即攻击者发起攻击之后才进行的事后木马服务器识别,难以将持续性威胁攻击阻止在萌芽阶段,进而更好地避免攻击所造成的损失
。
技术实现思路
[0005]本专利技术的目的包括,例如,提供了一种木马服务端探测方法
、
装置
、
电子设备和可读存储介质,其能够主动探测发现网络中的木马服务端,以避免由于木马攻击造成的损失
。
[0006]本专利技术的实施例可以这样实现:
[0007]第一方面,本专利技术提供一种木马服务端探测方法,所述方法包括:
[0008]采集木马客户端和木马服务端交互时的通信行为特征;
[0009]基于所述通信行为特征构建探测脚本;
[0010]运行所述探测脚本以向网络中的目标设备发送探测数据包,根据所述目标设备返回的响应行为特征判断所述目标设备是否为木马服务端
。
[0011]在可选的实施方式中,所述基于所述通信行为特征构建探测脚本的步骤,包括:
[0012]将所述通信行为特征划分为分属于不同木马类型下的多组通信行为特征;
[0013]针对每组通信行为特征构建对应的探测脚本,以得到多组分别对应不同木马类型的探测脚本
。
[0014]在可选的实施方式中,所述目标设备包括多个;
[0015]所述运行所述探测脚本以向网络中的目标设备发送探测数据包,根据所述目标设备返回的响应行为特征判断所述目标设备是否为木马服务端的步骤,包括:
[0016]运行多组探测脚本中的任一探测脚本,以向网络中的多个目标设备发送与所述任
一探测脚本对应的探测数据包;
[0017]在基于各所述目标设备返回的响应行为特征判别出多个目标设备中的与所述任一探测脚本对应的木马类型对应的木马服务端后,运行多组探测脚本中除所述任一探测脚本之外的其他探测脚本,以依次探测出与各所述探测脚本对应的木马类型对应的木马服务端
。
[0018]在可选的实施方式中,所述方法还包括:
[0019]针对探测出的各种木马类型对应的木马服务端,输出所述木马服务端的木马类型名称以及木马程序版本信息
。
[0020]在可选的实施方式中,所述探测数据包包括第一探测数据包和第二探测数据包;
[0021]所述运行所述探测脚本以向网络中的目标设备发送探测数据包,根据所述目标设备返回的响应行为特征判断所述目标设备是否为木马服务端的步骤,包括:
[0022]运行所述探测脚本以向网络中的目标设备发送第一探测数据包,在基于所述目标设备反馈的响应信息判定所述目标设备为服务器类型时,向所述目标设备发送第二探测数据包;
[0023]根据所述目标设备基于所述第二探测数据包返回的响应行为特征,判断所述目标设备是否为木马服务端
。
[0024]在可选的实施方式中,所述第二探测数据包基于采集的所述通信行为特征所构造,所述第二探测数据包包括被植入木马程序的木马客户端的用户信息
、
主机信息和系统信息
。
[0025]在可选的实施方式中,所述根据所述目标设备基于所述第二探测数据包返回的响应行为特征,判断所述目标设备是否为木马服务端的步骤,包括:
[0026]将所述目标设备基于所述第二探测数据包返回的响应行为特征与采集的通信行为特征中包括的木马服务端的响应特征进行匹配;
[0027]在所述响应行为特征与所述响应特征匹配成功时,判定所述目标设备为木马服务端
。
[0028]第二方面,本专利技术提供一种木马服务端探测装置,所述装置包括:
[0029]采集模块,用于采集木马客户端和木马服务端交互时的通信行为特征;
[0030]构建模块,用于基于所述通信行为特征构建探测脚本;
[0031]探测模块,用于运行所述探测脚本以向网络中的目标设备发送探测数据包,根据所述目标设备返回的响应行为特征判断所述目标设备是否为木马服务端
。
[0032]第三方面,本专利技术提供一种电子设备,所述电子设备包括机器可读存储介质及处理器,所述机器可读存储介质存储有机器可执行指令,所述处理器在执行所述机器可执行指令时,该电子设备实现前述实施方式中任意一项所述的方法步骤
。
[0033]第四方面,本专利技术提供一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如前述实施方式中任意一项所述的方法步骤
。
[0034]本专利技术实施例的有益效果包括,例如:
[0035]本申请提供一种木马服务端探测方法
、
装置
、
电子设备和可读存储介质,通过采集木马客户端与木马服务端交互时的通信行为特征,基于通信行为特征构建探测脚本,运行探测脚本以向网络中的目标设备发送探测数据包,根据目标设备返回的响应行为特征判断
Address
,互联网协议
)、
域名动态监控的方式,通过对可疑的连接进行监控,研判该可疑的连接为木马服务器发起时,通过防火墙阻挡,从而保护主机免受外界攻击的危险
。
但是这种方式的前提时需要能够提前掌握木马程序的威胁情报,而威胁情报具有一定的实效性,因此,这种方式容易产生误报
。
[0052]此外,专利技术人通过研究发现,不同的木马程序在功能
、
不同的操作系统及采用的网络通信协议方面存在很大差异,但是通信行为上又具有一定的相似性
。
因此,结合上述研究发现,本申请提供一种木马服务本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.
一种木马服务端探测方法,其特征在于,所述方法包括:采集木马客户端和木马服务端交互时的通信行为特征;基于所述通信行为特征构建探测脚本;运行所述探测脚本以向网络中的目标设备发送探测数据包,根据所述目标设备返回的响应行为特征判断所述目标设备是否为木马服务端
。2.
根据权利要求1所述的木马服务端探测方法,其特征在于,所述基于所述通信行为特征构建探测脚本的步骤,包括:将所述通信行为特征划分为分属于不同木马类型下的多组通信行为特征;针对每组通信行为特征构建对应的探测脚本,以得到多组分别对应不同木马类型的探测脚本
。3.
根据权利要求2所述的木马服务端探测方法,其特征在于,所述目标设备包括多个;所述运行所述探测脚本以向网络中的目标设备发送探测数据包,根据所述目标设备返回的响应行为特征判断所述目标设备是否为木马服务端的步骤,包括:运行多组探测脚本中的任一探测脚本,以向网络中的多个目标设备发送与所述任一探测脚本对应的探测数据包;在基于各所述目标设备返回的响应行为特征判别出多个目标设备中的与所述任一探测脚本对应的木马类型对应的木马服务端后,运行多组探测脚本中除所述任一探测脚本之外的其他探测脚本,以依次探测出与各所述探测脚本对应的木马类型对应的木马服务端
。4.
根据权利要求3所述的木马服务端探测方法,其特征在于,所述方法还包括:针对探测出的各种木马类型对应的木马服务端,输出所述木马服务端的木马类型名称以及木马程序版本信息
。5.
根据权利要求1所述的木马服务端探测方法,其特征在于,所述探测数据包包括第一探测数据包和第二探测数据包;所述运行所述探测脚本以向网络中的目标设备发送探测数据包,根据所述目标设备返回的响应行为特征判断所述目标设备是否为木马服务端的步骤,包括:运行所述探测脚本以向网络...
【专利技术属性】
技术研发人员:代皓,王开心,莫博航,
申请(专利权)人:北京知道创宇信息技术股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。