一种识别恶意代码弱口令入侵行为的方法及系统与流程

本发明涉及计算机网络安全技术领域，更具体地涉及一种识别恶意代码弱口令入侵行为的方法及系统。

背景技术：

纵观近年来网络安全事件，一类专门被用于弱密码爆破来实现入侵用户机器的入侵技术，越来越被黑客或攻击者利用。

Windows系统、Linux系统等PC端和服务器，ARM、MIPS等架构的各类设备，以及IoT设备等，这些设备遍布各处，组成一个巨大的网络环境。这些都已成为黑客或攻击者的入侵目标，同时这些设备中，很多都存在弱密码用户，所以仅需要进行弱密码爆破入侵，就能够入侵大批量的设备。

而当前，有关识别恶意代码弱口令入侵行为的方式主要参照现有的入侵检测技术，主要是基于特征（或标识）的检测技术和基于异常的检测技术。特征检测对于已知的入侵行为有很好的检测效果，但其需要一个知识库并持续维护，且对未知入侵行为却效果有限；异常检测的核心在于如何定义所谓的“正常”情况，无法检测以伪装“正常”情况的入侵方式，同时对未知情况的入侵方式检测效果有限。

上述的入侵检测方法用于识别恶意代码是否具备弱口令入侵功行为，也会存在这些技术缺陷，所以对于入侵检测，需要有一些新的检测方法或技术来完善当前的入侵检测技术。

技术实现要素：

为了解决上述技术问题，提供了根据本发明的一种识别恶意代码弱口令入侵行为的方法及系统。

根据本发明的第一方面，提供了一种识别恶意代码弱口令入侵行为的方法。该方法包括：获取网络通信行为中的网络通信数据，所述网络通信数据包括通信IP、通信端口、通信内容；对所述网络通信数据进行统计分类，产生统计分类数据；基于所述统计分类数据，依据识别规则对恶意代码中存在的弱口令入侵行为进行识别。

在一些实施例中，所述对网络所述网络通信数据进行统计分类，产生统计分类数据，包括：

访问同一个IP时，统计其对应的端口的数量；

访问同一个端口时，统计其对应的IP的数量；

发送的通信内容中，统计包含的用户名称信息；

发送的通信内容中，统计包含的登录密码类信息。

在一些实施例中，所述识别规则包括以下任意两项：

任一个IP连接不少于一种服务端口；

同一端口的IP不少于5；

发送的数据包含超级用户、管理员用户名称信息；

发送统计学常规密码。

在一些实施例中，方法包括：对所述弱口令入侵行为的通信数据进行统计分析，获取弱口令入侵行为的统计分析数据。

在一些实施例中，方法包括：基于所述弱口令入侵行为的统计分析数据获取所述弱口令入侵行为的情报数据；所述情报数据包括目标端口、破解密码、目标设备、目标用户的信息。

在一些实施例中，所述基于所述弱口令入侵行为的统计分析数据获取所述弱口令入侵行为的情报数据，包括：提取在所述弱口令入侵行为的服务端口中出现的新被利用的端口；提取和统计通信内容中包含的密码数据，获取新被利用于弱口令入侵的破解密码；提取和统计被入侵的设备种类，通过所述通信端口和通信内容中包含的设备信息，判别目标设备的类型；提取被入侵的目标用户的IP地址信息。

根据本发明的第二方面，提供一种识别恶意代码弱口令入侵行为的系统，包括：获取模块，用于获取网络通信行为的网络通信数据，所述网络通信数据包括通信IP、通信端口、通信内容；统计分类模块，用于对所述网络通信数据进行统计分类，产生统计分类数据；识别模块，用于基于所述统计分类数据，依据识别规则对恶意代码中存在的弱口令入侵行为进行识别。

在一些实施例中，所述统计分类模块：

用于访问同一个IP时，统计其对应的端口的数量；

用于访问同一个端口时，统计其对应的IP的数量；

用于发送的通信内容中，统计包含的用户名称信息；

用于发送的通信内容中，统计包含的登录密码类信息。

在一些实施例中，所述识别规则包括以下任意两项：

任一个IP连接不少于一种服务端口；

同一端口的IP不少于5；

发送的数据包含超级用户、管理员用户名称信息；

发送统计学常规密码。

在一些实施例中，系统包括：统计分析模块，用于对所述弱口令入侵行为的通信数据进行统计分析，获取弱口令入侵行为的统计分析数据。

在一些实施例中，系统包括：情报收集模块，用于基于所述弱口令入侵行为的统计分析数据获取所述弱口令入侵行为的情报数据；所述情报数据包括目标端口、破解密码、目标设备、目标用户的信息。

在一些实施例中，所述情报收集模块包括：

第一提取单元，用于提取在所述弱口令入侵行为的服务端口中出现的新被利用的端口；

第二提取单元，用于提取和统计通信内容中包含的密码数据，获取新被利用于弱口令入侵的破解密码；

第三提取单元，用于提取和统计被入侵的设备种类，通过所述通信端口和通信内容中包含的设备信息，判别目标设备的类型；

第四提取单元，用于提取被入侵的目标用户的IP地址信息。

本发明所提供的技术方案，通过搭建特定环境的沙箱系统，加载执行恶意代码并捕获网络通信数据，对获取的网络通信中的通信IP、通信端口、通信内容，依据识别规则进行弱口令入侵行为的识别，不过于依赖特征知识库，对新的弱密码入侵行为有很好的检测能力，并且具备很好的通用性和抗衰减能力。并对入侵行为进行分析，获取新的具有弱口令入侵行为中包含的相关威胁情报数据。

对威胁情况统计分析，可识别恶意代码的弱口令传播行为，发现新的弱口令入侵目标的服务端口，统计发现流行新的破解密码，也可一定程度统计当前受危害的设备种类，从一些活性样本中发现受危害的用户，从而达到对弱密码入侵行为的威胁感知和预警。

附图说明

为了更清楚地说明本发明的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明中记载的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为根据本发明实施例的一种识别恶意代码弱口令入侵行为的方法的流程图；

图2为根据本发明实施例的一种识别恶意代码弱口令入侵行为的系统的框图。

具体实施方式

下面参照附图对本发明的优选实施例进行详细说明，在描述过程中省略了对于本发明来说是不必要的细节和功能，以防止对本发明的理解造成混淆。虽然附图中显示了示例性实施例，然而应当理解，可以以各种形式实现本发明而不应被这里阐述的实施例所限制。相反，提供这些实施例是为了能够更透彻地理解本公开，并且能够将本发明的范围完整的传达给本领域的技术人员。

本发明所提弱口令入侵行为表述的是在一台设备被入侵后，同时会尝试入侵它能够访问的所有设备，从而是攻击者控制更多的设备，其中利用的最多的是弱密码爆破。在网络侧，其展示的行为是扫描大批量的IP及其端口，利用弱密码字典或统计学常规密码、以及用户名称（常用的root、统计学常规密码），来遍历尝试登录，成功登录入侵目标机器后，实施如下载木马、远程执行命令、窃取数据等恶意行为。通过弱密码爆破的网络入侵行为，在网络侧有着其特有的行为特征，通信内容中包含的一些特征码如系统用户名，较为固定，其中有root、admin、Administrator等，通过这些特征，可以很好的识别具备弱密码入侵行为的恶意代码。

本实施例以沙箱技术来搭建一个能够执行这类恶意代码并触发其网络通信行为的模拟环境，即搭建一个特定环境的沙箱分析系统。分析具备弱密码入侵行为的恶意代码所需要的系统环境及运行环境，比如：Windows终端、Linux-x86终端、ARM平台、IOT设备等。以实现能够投放恶意代码样本，触发并捕获其网络通信行为，能够进行单个或批量的恶意代码样本分析，识别具备弱口令入侵行为的样本。

图1示出了根据本发明实施例的一种识别恶意代码弱口令入侵行为的方法的流程图。如图1所示，方法包括如下步骤：

S110，获取网络通信行为中的网络通信数据。

本实施例中是在特定的沙箱分析环境中实现，能够触发恶意代码样本的网络通信行为，并捕获网络通信行为及其通信数据，网络通信数据包括通信IP、通信端口、通信内容。

S120，对网络通信数据进行统计分类，产生统计分类数据。

其中，对网络通信数据进行统计分类可以包括以下内容：

访问同一个IP时，统计其对应的端口的数量；

访问同一个端口时，统计其对应的IP的数量；

发送的通信内容中，统计包含的用户名称信息；

发送的通信内容中，统计包含的登录密码类信息。

具体步骤包括：

S121，获取通信IP、通信端口，并进行统计。

捕获通信数据中的五元组（源IP、源端口、通信协议、目的IP、目的端口）信息，其中，网络通信数据包括其访问的所有IP及其端口，对通信IP、端口进行统计，发现满足以下条件的通信数据：

1)某一个IP连接包含多种服务端口；

2)同一端口的IP大于5。

S122，获取网络通信行为的通信内容，并对通信内容进行检测。

进行检测的通信内容包括：

1)发送的首包数据包含超级用户、管理员等用户名称信息；

2)发送的统计学常规密码等。

S130，基于统计分类数据，依据识别规则判断恶意代码样本是否具备弱口令入侵行为，如果满足规则，则为弱口令入侵行为，如果不是，则不具备弱口令入侵行为。

基于统计分类数据，依据识别规则进行弱口令入侵行为的识别。其中，识别规则可以包括以下任意两项：

1)任一个IP连接不少于一种服务端口；

2)同一端口的IP不少于5；

3)发送的数据包含超级用户、管理员等用户名称信息；

4)发送统计学常规密码。

通过检测统计分类数据中是否包含满足识别规则中的任意两项条件来判别弱口令入侵行为。另外，对入侵技术的研究及分析恶意代码在网络侧的特征行为及数据，从而研究入侵行为的识别条件。

一些实施例中，方法还包括：

S140，对弱口令入侵的通信数据进行统计分析，以获取弱口令入侵行为的统计分析数据。

统计分析的方法和对网络通信数据进行统计分类的方法相同。

一些实施例中，方法还包括：

S150，获取弱口令入侵行为的情报数据。

情报数据包括目标端口、破解密码、目标设备、目标用户等信息。

弱口令入侵行为的情报数据获取方法包括：

S151，提取在弱口令入侵行为的服务端口中出现的新被利用的端口。

通过分析发现弱口令入侵这类攻击方式中，被攻击的目标中的端口信息，并将端口信息进行提取。

S152，提取和统计通信内容中包含的密码数据，获取新被利用于弱口令入侵的破解密码。

S153，提取和统计被入侵的设备种类，通过通信端口和通信内容中包含的设备信息，判别目标设备的类型。

统计当前受危害的设备种类，判别入侵目标的设备类型，如Linux常用的22端口、Windows的3389端口等，以及通信内容中包括的一些系统型号、设备型号信息。

S154，提取被入侵的目标用户的IP地址信息。

一些实施例中，方法还包括：

S160，收集存储在弱口令入侵行为中的情报数据。

通过对入侵行为的分析，获取新的具有弱口令入侵行为的行为特征，包括新端口信息、新的破解密码、新端口的设备类型、目标用户的IP地址信息，可统计危害影响范围，收集威胁情报，为后续分析提供数据，来实现弱口令入侵行为的威胁感知和预警。

进一步的，通过本方法中目标用户的IP地址信息，还能实现目标用户的定位。

图2为根据本发明实施例的一种识别恶意代码弱口令入侵行为的系统的框图。如图2所述，系统可以包括：获取模块210、统计分类模块220、识别模块230、统计分析模块240、情报收集模块250。

获取模块210，用于获取网络通信行为的网络通信数据，网络通信数据包括通信IP、通信端口、通信内容。

统计分类模块220，用于对所述网络通信数据进行统计分类，产生统计分类数据。

具体包括：

用于访问同一个IP时，统计其对应的端口的数量；

用于访问同一个端口时，统计其对应的IP的数量；

用于发送的通信内容中，统计包含的用户名称信息；

用于发送的通信内容中，统计包含的登录密码类信息。

识别模块230，用于基于统计分类数据，依据识别规则对恶意代码中存在的弱口令入侵行为进行识别。

识别规则包括以下任意两项：

任一个IP连接不少于一种服务端口；

同一端口的IP不少于5；

发送的数据包含超级用户、管理员等用户名称信息；

发送统计学常规密码。

一些实施例中，系统还包括：

统计分析模块240，用于对弱口令入侵行为的通信数据进行统计分析，获取弱口令入侵行为的统计分析数据。

一些实施例中，系统还包括：

情报收集模块250，用于基于弱口令入侵行为的统计分析数据获取弱口令入侵行为的情报数据。

进一步的，情报收集模块240还包括：

第一提取单元251，用于提取在弱口令入侵行为的服务端口中出现的新被利用的端口。

第二提取单元252，用于提取和统计通信内容中包含的密码数据，获取新被利用于弱密码入侵的破解密码。

第三提取单元253，用于提取和统计被入侵的设备种类，通过通信端口和通信内容中包含的设备信息，判别目标设备的类型。

第四提取单元254，用于提取被入侵的目标用户的IP地址信息。

具体的，情报收集模块250对统计分析模块240产出的数据入库存储，以提供后续的数据分析，以进行对弱口令入侵行为的威胁感知和预警。

通过本发明获取网络通信行为的通信IP、通信端口、通信内容，并进行统计，进而依据识别规则进行弱口令入侵行为的识别，并对入侵行为及其数据进行分析，获取新的具有弱口令入侵行为的行为及数据特征。针对遍历IP、端口、通信包中有root等用户名和统计学常规密码等弱密码入侵行为，进行对恶意代码的弱密码入侵行为的识别。另外，针对受害终端IP、被入侵端口、入侵使用的用户名、破解登录的密码、受害的设备类型等数据进行统计，收集在弱密码入侵这类网络入侵行为中的相关威胁情报数据，以为后续的威胁感知和预警提供数据。

至此已经结合优选实施例对本发明进行了描述。应该理解，本领域技术人员在不脱离本发明的精神和范围的情况下，可以进行各种其它的改变、替换和添加。因此，本发明的范围不局限于上述特定实施例，而应由所附权利要求所限定。