自动化放马站点探测方法、系统及存储介质与流程

本发明涉及网络安全技术领域，特别涉及一种自动化放马站点探测方法、系统及存储介质。

背景技术：

当前技术只是基于已经被暴露的放马站点（在线存放恶意代码的文件服务器站点）进行探测和识别。然而，这并没解决一些隐藏比较深的放马站点，即没有被暴露放马站点的ip/domain的及时识别问题。从目前监控的部分黑客组织活动方式及手法得知，黑客一旦实现对某互联网设备的远程代码执行权限，会将命令备执行远程下载指定存放恶意代码的站点url，植入相关的恶意代码，该设备便成为了黑客掌控的僵尸网络中的一个"肉鸡"（僵尸网络中被控端设备，即被植入恶意代码的设备）。当下恶意代码捕获只能从入侵防御检测系统（ids）、终端杀毒工具、蜜罐、流量监测系统等设备进行病毒检测捕获，但通过这些方法捕获到的量并不多，并且不能及时有效发现恶意代码。因此，在恶意代码的肆意扩散中总会存在一些迟滞性。

技术实现要素：

基于上述问题，本发明提出一种自动化放马站点探测方法、系统及存储介质，本发明能有效探测隐藏或未被暴露ip/domain的放马站点，并对其存储的恶意文件进行打包下载，用于进行分析。

本发明通过如下方法实现：

一种自动化放马站点探测方法，包括：

根据已知放马站点，提取协议标识；

分析统计已知恶意ip，提取恶意ip较密集的ip网段列表；

对提取的ip网段列表，自动化枚举探测ip的活跃性，并形成目标数据列表；

利用协议标识，枚举探测识别目标数据列表中各活跃ip，判断是否存在协议标识，如果是，则对应ip为放马站点；

对探测到的放马站点中的数据进行打包下载。

所述的方法中，所述协议标识为，根据放马站点的响应数据，提取相应的协议标识。

所述的方法中，将探测到的放马站点ip加入到分析统计中。

所述的方法中，在对数据进行打包下载后，还包括，对数据进行检测及分析。

本发明还提出一种自动化放马站点探测系统，包括：

协议提取模块，根据已知放马站点，提取协议标识；

分析模块，分析统计已知恶意ip，提取恶意ip较密集的ip网段列表；

第一探测模块，对提取的ip网段列表，自动化枚举探测ip的活跃性，并形成目标数据列表；

第二探测模块，利用协议标识，枚举探测识别目标数据列表中各活跃ip，判断是否存在协议标识，如果是，则对应ip为放马站点；

下载模块，对探测到的放马站点中的数据进行打包下载。

所述的系统中，所述协议标识为，根据放马站点的响应数据，提取相应的协议标识。

所述的系统中，将探测到的放马站点ip加入到分析统计中。

所述的系统中，在对数据进行打包下载后，还包括，对数据进行检测及分析。

一种非临时性计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时实现如上任一所述的自动化放马站点探测方法。

本发明的优势在于，能够对放马站点及恶意代码自动化探测，快速捕获，进行分析，并根据探测结果，对放马站点的监控范围进行拓展。通过多技术方法获取更多最新的放马站点，为全面捕获最新恶意代码提供基本基础。再经过自动化放马打包下载技术，将获取的放马站点的所有恶意代码打包下载，可有效及时监控并感知操控该放马站点的黑客组织的最新活跃情报，可以有效预测该黑客组织后期发展和攻击方向。本发明方法将放马站点捕获方式从被动形态过度到主动形态，灵活主动捕获更多的新放马站点；自动化手段可以快速识别未知的放马站点，同时还可以快速将识别到的放马站点自动化捕获站点中的恶意代码进行快速识别分析及鉴定。

附图说明

为了更清楚地说明本发明或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明中记载的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明一种自动化放马站点探测方法实施例流程图；

图2为本发明一种自动化放马站点探测系统结构示意图。

具体实施方式

为了使本技术领域的人员更好地理解本发明实施例中的技术方案，并使本发明的上述目的、特征和优点能够更加明显易懂，下面结合附图对本发明中技术方案作进一步详细的说明。

本发明提出一种自动化放马站点探测方法、系统及存储介质，本发明能有效探测隐藏或未被暴露ip/domain的放马站点，并对其存储的恶意文件进行打包下载，用于进行分析。

本发明通过如下方法实现：

一种自动化放马站点探测方法，如图1所示，包括：

s101：根据已知放马站点，提取协议标识；

每种类型的放马站点访问都没有过多的权限设置，因此只要能正确连接放马站点都会有相应的数据响应，且在响应的数据中存在表较明显的数据标志，因此在放马协议扫描探测中可以将数据标志作为精确识别放马协议标志；

s102：分析统计已知恶意ip，提取恶意ip较密集的ip网段列表；

即使有了精准的协议校验扫描探测并准确识别活跃的放马站点，但是因为需要通过全球的ip网段进行自动化协议扫描探测效率也很低，因此需要通过各种手段获取放马相对集中的ip网段以提高扫描效率。通过积累的放马站点历史ip/domain和各家族僵尸网络的历史控制节点ip/domain，获取高频恶意ip网段作为协议扫描探测的ip网段定位依据；如通过前期捕获到已经失活的http://125.71.200.161:8080/、http://125.71.200.132:8080/放马站点，经过网段比较提取了c类网段125.71.200.0/256用于后续进行ip网段协议探测；

s103：对提取的ip网段列表，自动化枚举探测ip的活跃性，并形成目标数据列表；

因为放马站点协议探测需要网络全连接并进行数据交互，在此过程中相对耗时。因此，为了提高扫描探测效率，在对ip进行放马站点协议探测之前，首先需要进行一次ip过滤。通过提取的ip网段，设定扫描探测的ip范围，先通过网络探活方式筛选出活跃的ip数据，并作为端口枚举协议探测的基础数据。这里进行ip活跃性探测的方法，可通过已知的任一方法实现；

s104：利用协议标识，枚举探测识别目标数据列表中各活跃ip；

s105：判断是否存在协议标识，如果是，则对应ip的站点为放马站点；即判断各活跃ip站点是否存在协议标识，如果存在，则为放马站点，如上述举例中的网段中，捕获到新的放马站点为http://125.71.200.168:8080/；

s106：对探测到的放马站点中的数据进行打包下载。

所述的方法中，所述协议标识为，根据放马站点的响应数据，提取相应的协议标识。

所述的方法中，将探测到的放马站点ip加入到分析统计中。为了深度体现人机结合的自动化提取高密度恶意ip网段以及降低人工成本投入的优势，需要实时将历史恶意ip集中进行自动化大数据智能分析以获取最新的高密度恶意ip网段并关联调用放马的ip网段协议扫面探测模块对新的目标ip网段进行探测。

所述的方法中，在对数据进行打包下载后，还包括，对数据进行检测及分析。

本发明还提出一种自动化放马站点探测系统，如图2所示，包括：

协议提取模块201，根据已知放马站点，提取协议标识；

分析模块202，分析统计已知恶意ip，提取恶意ip较密集的ip网段列表；

第一探测模块203，对提取的ip网段列表，自动化枚举探测ip的活跃性，并形成目标数据列表；

第二探测模块204，利用协议标识，枚举探测识别目标数据列表中各活跃ip，判断是否存在协议标识，如果是，则对应ip为放马站点；

下载模块205，对探测到的放马站点中的数据进行打包下载。

所述的系统中，所述协议标识为，根据放马站点的响应数据，提取相应的协议标识。

所述的系统中，将探测到的放马站点ip加入到分析统计中。

所述的系统中，在对数据进行打包下载后，还包括，对数据进行检测及分析。

一种非临时性计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时实现如上任一所述的自动化放马站点探测方法。

本发明的优势在于，能够对放马站点及恶意代码自动化探测，快速捕获，进行分析，并根据探测结果，对放马站点的监控范围进行拓展。通过多技术方法获取更多最新的放马站点，为全面捕获最新恶意代码提供基本基础。再经过自动化放马打包下载技术，将获取的放马站点的所有恶意代码打包下载，可有效及时监控并感知操控该放马站点的黑客组织的最新活跃情报，可以有效预测该黑客组织后期发展和攻击方向。本发明方法将放马站点捕获方式从被动形态过度到主动形态，灵活主动捕获更多的新放马站点；自动化手段可以快速识别未知的放马站点，同时还可以快速将识别到的放马站点自动化捕获站点中的恶意代码进行快速识别分析及鉴定。

本说明书中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于系统实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

虽然通过实施例描绘了本发明，本领域普通技术人员知道，本发明有许多变形和变化而不脱离本发明的精神，希望所附的权利要求包括这些变形和变化而不脱离本发明的精神。