[发明专利]监测僵尸网络攻击行为的方法、装置、设备和存储介质

权利要求书

1.一种监测僵尸网络攻击行为的方法，其特征在于，包括：

根据恶意样本获取所述恶意样本所属的僵尸网络的通信端口、控制指令信息、以及远控服务器的地址，其中所述控制指令信息至少包括控制指令的编码方式信息、以及用于与所述远控服务器建立连接的连接请求指令；

控制设定终端的所述通信端口打开，并控制所述设定终端向所述远控服务器的地址发送所述连接请求指令，以使所述设定终端加入所述僵尸网络以模拟所述僵尸网络的受控肉鸡；

通过所述设定终端的所述通信端口实时接收所述远控服务器发送的控制指令，根据所述编码方式信息对所述控制指令进行解析，根据解析结果确定所述僵尸网络的攻击意图信息。

2.根据权利要求1所述的方法，其特征在于，根据恶意样本获取所述恶意样本所属的僵尸网络的通信端口、控制指令信息、以及远控服务器的地址包括：

获取通过蜜罐节点捕获的恶意样本；

对所述恶意样本进行逆向分析，根据逆向分析结果获取所述恶意样本所属的僵尸网络的通信端口、控制指令信息、以及远控服务器的地址。

3.根据权利要求2所述的方法，其特征在于，根据逆向分析结果获取所述恶意样本所属的僵尸网络的控制指令信息包括：

根据逆向分析结果确定所述恶意样本所属的样本家族，从预存信息中获取所述样本家族的通信协议，根据所述样本家族的通信协议获取所述恶意样本所属的僵尸网络的控制指令信息。

4.根据权利要求2或3所述的方法，其特征在于，根据逆向分析结果获取所述恶意样本所属的僵尸网络的通信端口、控制指令信息、以及远控服务器的地址包括：

根据逆向分析结果获取所述恶意样本所属的僵尸网络的控制指令信息和攻击方的互联网协议地址IP；

根据所述控制指令信息和所述攻击方的IP与所述攻击方进行通信，获取所述僵尸网络的情报信息，根据所述情报信息确定所述僵尸网络通信端口和所述僵尸网络的远控服务器的地址。

5.根据权利要求4所述的方法，其特征在于，根据所述控制指令信息和所述攻击方的IP与所述攻击方进行通信，获取所述僵尸网络的情报信息包括：

根据所述控制指令信息和所述攻击方的IP，控制第二设定终端与所述攻击方进行通信，根据通信接收到的数据包获取所述僵尸网络的情报信息。

6.根据权利要求2所述的方法，其特征在于，在获取通过蜜罐节点捕获的恶意样本之后，以及对所述恶意样本进行逆向分析之前还包括：将所述恶意样本在沙箱环境中运行，根据运行结果过滤已经分析的恶意样本以确定待分析的恶意样本，对所述待分析的恶意样本进行逆向分析。

7.根据权利要求1所述的方法，其特征在于，若所述意图信息为所述远控服务器更换域名绑定IP的通知，则控制所述设定终端根据所述通知加入所述僵尸网络的新网络。

8.根据权利要求1所述的方法，其特征在于，在根据解析结果确定所述僵尸网络的攻击意图信息之后还包括，根据所述攻击意图信息进行预警。

9.根据权利要求8所述的方法，其特征在于，所述意图信息包括攻击目标、攻击方式信息、和攻击时间。

10.一种监测僵尸网络攻击行为的装置，其特征在于，包括：

信息获取单元，用于根据恶意样本获取所述恶意样本所属的僵尸网络的通信端口、控制指令信息、以及远控服务器的地址，其中所述控制指令信息至少包括控制指令的编码方式信息、以及用于与所述远控服务器建立连接的连接请求指令；

模拟控制单元，用于控制设定终端的所述通信端口打开，并控制所述设定终端向所述远控服务器的地址发送所述连接请求指令，以使所述设定终端加入所述僵尸网络以模拟所述僵尸网络的受控肉鸡；

指令接收与分析单元，用于通过所述设定终端的所述通信端口实时接收所述远控服务器发送的控制指令，根据所述编码方式信息对所述控制指令进行解析，根据解析结果确定所述僵尸网络的攻击意图信息。