[发明专利]一种验证恶意代码在受害者主机中活跃度的方法及系统

说明书

技术领域

本发明涉及计算机网络安全技术领域，尤其涉及一种验证恶意代码在受害者主机中活跃度的方法及系统。

背景技术

在网络攻击日益泛滥的今天，针对企业级别的反病毒产品层出不穷，传统的以文件级扫描引擎为基础的产品，他们永远无法回避一个关键的问题，就是扫描的速度。而另一个重要的问题是若用户只允许设备安装在网络出口，当设备检出恶意代码时，追溯恶意代码样本在受害者机器中的情况则变得十分困难。

发明内容

针对上述技术问题，本发明通过记录恶意代码样本相关的五元组信息，并将恶意代码样本投入沙箱模拟运行进而获取C&C的IP地址，通过在所述五元组信息中搜索所述C&C的IP地址进而验证恶意代码在网络攻击受害者主机中是否活跃。

本发明采用如下方法来实现：一种验证恶意代码在受害者主机中活跃度的方法，包括：

监控网内通信行为，若存在恶意代码则记录相关流量信息；

基于相关流量信息还原恶意代码样本，并记录相关的五元组信息；

将所述恶意代码样本投入沙箱运行，并获取回连的C&C的IP地址；

判断所述IP地址是否在所述五元组信息中，若是则判定恶意代码在受害者主机中活跃，否则判定恶意代码未在受害者主机中活跃。

进一步地，还包括：基于五元组信息中的任意一项能够搜索到恶意代码样本相关的全部信息。

更进一步地，还包括：根据需要自定义需要记录的信息。

其中，所述根据需要自定义需要记录的信息，具体为：只记录恶意代码样本相关的IP信息，包括：源IP地址和目的IP地址。

本发明可以采用如下系统来实现：一种验证恶意代码在受害者主机中活跃度的系统，包括：

流量监测模块，用于监控网内通信行为，若存在恶意代码则记录相关流量信息；

流量还原模块，用于基于相关流量信息还原恶意代码样本，并记录相关的五元组信息；

沙箱运行模块，用于将所述恶意代码样本投入沙箱运行，并获取回连的C&C的IP地址；

匹配判定模块，用于判断所述IP地址是否在所述五元组信息中，若是则判定恶意代码在受害者主机中活跃，否则判定恶意代码未在受害者主机中活跃。

进一步地，还包括：记录搜索模块，用于基于五元组信息中的任意一项能够搜索到恶意代码样本相关的全部信息。

更进一步地，还包括：自定义设置模块，用于根据需要自定义需要记录的信息。

其中，所述根据需要自定义需要记录的信息，具体为：只记录恶意代码样本相关的IP信息，包括：源IP地址和目的IP地址。

综上，本发明给出一种验证恶意代码在受害者主机中活跃度的方法及系统，通过监控网内通信行为，若发现被检测网络中存在安全威胁，则通过流量还原技术获取恶意代码样本，并进一步记录包含恶意代码样本的通信行为的五元组信息，或者为了减小服务器处理压力，仅记录通信行为相关的IP地址；通过沙箱动态分析恶意代码样本进而得到该通信行为中恶意代码样本回连的C&C。最后将所述C&C的IP地址与上述记录的五元组信息或者直接与IP地址匹配，若命中，则说明该恶意代码样本在受害者主机中仍处于活跃状态。

有益效果为：本发明所述技术方案能够利用沙箱的动态检测保证了恶意代码样本所回连C&C的真实准确性，并在记录的五元组信息中搜索该C&C的IP地址，进而可以准确判定恶意代码是否在受害者机器中活跃。

附图说明

为了更清楚地说明本发明的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明中记载的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明提供的一种验证恶意代码在受害者主机中活跃度的方法实施例流程图；

图2为本发明提供的一种验证恶意代码在受害者主机中活跃度的系统实施例结构图。

具体实施方式

本发明给出了一种验证恶意代码在受害者主机中活跃度的方法及系统实施例，为了使本技术领域的人员更好地理解本发明实施例中的技术方案，并使本发明的上述目的、特征和优点能够更加明显易懂，下面结合附图对本发明中技术方案作进一步详细的说明：

本发明首先提供了一种验证恶意代码在受害者主机中活跃度的方法实施例，如图1所示，包括：