[发明专利]一种恶意代码终端感染机器网络定位方法

摘要

本发明公开了一种恶意代码终端感染机器网络定位方法。包括骨干网定位步骤、信息中心节点出口定位步骤和感染总段机器定位步骤。很好的克服了常见恶意代码感染数据从互联网侧到最终感染终端在网络定位方面遇到的困难，其在不依赖安全检测设备的情况下，非常方便的实现了不同网络层面下的恶意代码终端感染机器的网络定位。

主权项

1.一种恶意代码终端感染机器网络定位方法，其特征在于：包括如下步骤：A、骨干网定位在骨干网设置网络监测平台，监测平台包括监测探头和信息处理中心;监控探头在网络上通过对目标对象进行扫描、爬虫或抓包，获取网络数据；信息处理中心对获取的网络数据进行分析和过滤处理，对与标定为恶意代码异常特征相匹配的网络数据的数据包进行元素提取，提取恶意代码感染数据的网络五元组信息;提取五元组信息中的恶意目的IP地址和感染恶意代码的互联网IP地址，将感染恶意代码的互联网IP地址与互联网公开的IP资源库进行匹配，确定IP所属基础运营商及所属省份，实现运营商及区域的初定位；B、城域网定位将步骤A提取的感染恶意代码的互联网IP地址，与运营商掌握互联网IP资源管理库进行匹配，实现感染恶意代码的IP用户信息初定位；若IP为动态IP,则直接定位到拨号用户账号；若IP为静态IP,则将定位到专线用户信息；C、专线用户内网定位当专线用户的IP直接配置在终端服务器时，则完成了恶意代码终端感染机器网络定位；当专线用户的IP是NAT（Network Address Translation，网络地址转换）方式分配时：首先，查阅网络安全审计系统；通过查阅网络安全审计系统的网络行为日志，结合感染数据恶意目的IP和目的端口，查询在对应时间点与恶意目的IP通信的本地内部源IP地址，实现专线用户的内网定位；若无网络安全审计系统，或网络行为日志中未搜索到与恶意目的IP地址相关的通信日志，则通过防火墙日志进行内网IP定位；采用文件IP关键词搜索的方式，进行历史日志查找，搜索访问恶意目的IP地址的源IP地址，实现专线用户的内网定位；若也无防火墙日志，或防火墙日志中仍未搜索到访问恶意目的IP地址的源IP地址，则采取网络出口抓包的方式进行定位；在互联网出口路由器前面，将局域网内所有出入互联网的数据包采用镜像或者分光的方式，复制一份实时网络通信数据，进行抓包分析；利用抓包工具包匹配功能，进行数据比对分析，搜索与恶意目的IP地址发生过通信行为的源IP地址，实现专线用户的内网定位；D、感染终端定位如步骤C定位到的源IP地址对应的设备是终端机，则可以根据内网IP或者MAC地址完成感染终端机器定位；如步骤C定位到的源IP地址对应的设备非终端机，有下一级子网，则按照步骤C中的方法继续对其下一级子网定位，依此重复，直至找到终端机，从而完成恶意代码感染终端机器的定位。