[发明专利]一种基于骨干网的攻击者追踪方法及系统在审
| 申请号: | 201510421096.3 | 申请日: | 2015-07-17 |
| 公开(公告)号: | CN105656872A | 公开(公告)日: | 2016-06-08 |
| 发明(设计)人: | 康学斌;董建武;何公道 | 申请(专利权)人: | 哈尔滨安天科技股份有限公司 |
| 主分类号: | H04L29/06 | 分类号: | H04L29/06 |
| 代理公司: | 暂无信息 | 代理人: | 暂无信息 |
| 地址: | 150090 黑龙江省哈尔滨*** | 国省代码: | 黑龙江;23 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 一种 基于 骨干 攻击者 追踪 方法 系统 | ||
1.一种基于骨干网的攻击者追踪方法,其特征在于,包括:
通过骨干网监控设备,监控恶意网络通信行为,并获取恶意代码样本;
分析恶意代码样本,提取命令与控制服务器信息;
在骨干网监控命令与控制服务器及对应端口的IP通信,获取当前控制与命令服务器的控制者IP及对应信息;
判断控制者IP是否为最终控制者,如果是,则定位最终控制者IP;否则返回上一步骤继续监控。
2.如权利要求1所述的方法,其特征在于,所述命令与控制服务器信息包括:网络通信五元组信息、服务器域名信息,及所需数据信息。
3.如权利要求1所述的方法,其特征在于,所述在骨干网监控命令与控制服务器及对应端口的IP通信,获取当前控制与命令服务器的控制者IP及对应信息具体为:
检测命令与控制服务器操作系统环境,若命令与控制服务器操作系统环境为windows,则监控3389端口;若命令与控制服务器操作系统环境为linux,则监控22端口;若命令与控制服务器操作系统环境为web站点,则监控FTP和webshell。
4.如权利要求1所述的方法,其特征在于,所述判断控制者IP是否为最终控制者具体为:
对控制者IP对应设备进行抓包,若所发送的数据包中包含指令包,接收的数据包中包含被控制端发送的首包,且不对外发送特定网络数据包,则控制者IP对应设备为最终控制者,否则为另一个控制与命令服务器。
5.一种基于骨干网的攻击者追踪系统,其特征在于,包括:
骨干网监控模块,用于通过骨干网监控设备,监控恶意网络通信行为,并获取恶意代码样本;
样本分析模块,用于分析恶意代码样本,提取命令与控制服务器信息;
控制端信息获取模块,用于在骨干网监控命令与控制服务器及对应端口的IP通信,获取当前控制与命令服务器的控制者IP及对应信息;
终端判断模块,用于判断控制者IP是否为最终控制者,如果是,则定位最终控制者IP;否则返回上一步骤继续监控。
6.如权利要求5所述的系统,其特征在于,所述命令与控制服务器信息包括:网络通信五元组信息、服务器域名信息,及所需数据信息。
7.如权利要求5所述的系统,其特征在于,所述在骨干网监控命令与控制服务器及对应端口的IP通信,获取当前控制与命令服务器的控制者IP及对应信息具体为:
检测命令与控制服务器操作系统环境,若命令与控制服务器操作系统环境为windows,则监控3389端口;若命令与控制服务器操作系统环境为linux,则监控22端口;若命令与控制服务器操作系统环境为web站点,则监控FTP和webshell。
8.如权利要求5所述的系统,其特征在于,所述判断控制者IP是否为最终控制者具体为:
对控制者IP对应设备进行抓包,若所发送的数据包中包含指令包,接收的数据包中包含被控制端发送的首包,且不对外发送特定网络数据包,则控制者IP对应设备为最终控制者,否则为另一个控制与命令服务器。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于哈尔滨安天科技股份有限公司,未经哈尔滨安天科技股份有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201510421096.3/1.html,转载请声明来源钻瓜专利网。
