[发明专利]基于集群僵尸网络监控捕获放马站点的方法及系统

说明书

本发明提出了一种基于集群僵尸网络监控捕获放马站点的方法及系统，本发明方法获取已知各恶意代码家族的僵尸网络的恶意代码，并解析出控制节点，及获取各恶意代码家族的协议，建立协议解析模块；通过模拟被控端，与控制节点进行信息交互及监控，获取交叉感染指令，并根据交叉感染指令解析出恶意代码存放地址，即新发现的放马站点，对该地址中的文件进行打包下载。本发明的技术方案，能够对集群僵尸网络进行监控，及时发现恶意代码交叉感染情况，发现新的放马站点。同时对新放马站点的监控，以及结合以往控制端的监控，能够实现僵尸网络间的交互监控。

技术领域

本发明涉及网络安全技术领域，特别涉及一种基于集群僵尸网络监控捕获放马站点的方法及系统。

背景技术

当前技术只是基于已经被暴露的放马站点（在线存放恶意代码的文件服务器站点）进行探测和识别。然而，这并没解决一些隐藏比较深的放马站点，即没有被暴露放马站点的IP/Domain的及时识别问题。从目前监控的部分黑客组织活动方式及手法得知，黑客一旦实现对某互联网设备的远程代码执行权限，会将命令备执行远程下载指定存放恶意代码的站点url，植入相关的恶意代码，该设备便成为了黑客掌控的僵尸网络中的一个肉鸡（僵尸网络中被控端设备，即被植入恶意代码的设备）。当下恶意代码捕获只能从入侵防御检测系统（IDS）、终端杀毒工具、蜜罐、流量监测系统等设备进行病毒检测捕获，但通过这些方法捕获到的量并不多，并且不能及时有效发现恶意代码。因此，在恶意代码的肆意扩散中总会存在一些迟滞性。

发明内容

本发明提出一种基于集群僵尸网络监控捕获放马站点的方法及系统，能够主动发现各大活跃的僵尸网络最新关联使用的放马站点。可有效提高放马站点捕获的时效和效率，同时还可以降低最新放马站点的捕获成本。

一种基于集群僵尸网络监控捕获放马站点的方法，包括：

获取已知各恶意代码家族的僵尸网络的恶意代码；

对获取的恶意代码进行静态解析，获取对应僵尸网络的控制节点；

分析各恶意代码家族，分别获取各恶意代码家族的通信交互协议，对应建立协议解析模块；

模拟僵尸网络被控端，与各控制节点进行信息交互；

根据获取的僵尸网络的控制节点，及控制节点对应的协议解析模块，对被控端与各控制节点的交互信息进行监控；

判断是否存在交叉感染指令，若存在，则将监控到的交叉感染指令进行解析，提取恶意代码存放地址URL；该地址对应的服务器站点即为新的放马站点。

将提取的URL所对应的控制节点，加入僵尸网络的控制节点中。

所述的方法中，所述判断是否存在交叉感染指令，具体为，判断控制端所下发的样本下载指令所下载的文件，是否为其他僵尸网络的恶意代码文件，如果是，则存在交叉感染指令，否则不存在。

所述的方法中，根据提取的URL所对应的控制节点，自动化下载所述控制节点中存储的文件。

所述的方法中，根据提取的URL所对应的控制节点，自动化下载所述控制节点中存储的文件，具体为：

根据提取的URL，获取放马站点根目录，对放马站点根目录下的文件进行打包下载。

所述的方法中，根据提取的URL所对应的控制节点，自动化下载所述控制节点中存储的文件，具体为：

根据提取的URL，获取对应指定恶意代码。

本发明还提出一种基于集群僵尸网络监控捕获放马站点的系统，包括：

第一获取模块，获取已知各恶意代码家族的僵尸网络的恶意代码；

第二获取模块，对获取的恶意代码进行静态解析，获取对应僵尸网络的控制节点；