一种验证恶意代码在受害者主机中活跃度的方法及系统与流程

本发明涉及计算机网络安全技术领域，尤其涉及一种验证恶意代码在受害者主机中活跃度的方法及系统。

背景技术：

在网络攻击日益泛滥的今天，针对企业级别的反病毒产品层出不穷，传统的以文件级扫描引擎为基础的产品，他们永远无法回避一个关键的问题，就是扫描的速度。而另一个重要的问题是若用户只允许设备安装在网络出口，当设备检出恶意代码时，追溯恶意代码样本在受害者机器中的情况则变得十分困难。

技术实现要素：

针对上述技术问题，本发明通过记录恶意代码样本相关的五元组信息，并将恶意代码样本投入沙箱模拟运行进而获取C&C的IP地址，通过在所述五元组信息中搜索所述C&C的IP地址进而验证恶意代码在网络攻击受害者主机中是否活跃。

本发明采用如下方法来实现：一种验证恶意代码在受害者主机中活跃度的方法，包括：

监控网内通信行为，若存在恶意代码则记录相关流量信息；

基于相关流量信息还原恶意代码样本，并记录相关的五元组信息；

将所述恶意代码样本投入沙箱运行，并获取回连的C&C的IP地址；

判断所述IP地址是否在所述五元组信息中，若是则判定恶意代码在受害者主机中活跃，否则判定恶意代码未在受害者主机中活跃。

进一步地，还包括：基于五元组信息中的任意一项能够搜索到恶意代码样本相关的全部信息。

更进一步地，还包括：根据需要自定义需要记录的信息。

其中，所述根据需要自定义需要记录的信息，具体为：只记录恶意代码样本相关的IP信息，包括：源IP地址和目的IP地址。

本发明可以采用如下系统来实现：一种验证恶意代码在受害者主机中活跃度的系统，包括：

流量监测模块，用于监控网内通信行为，若存在恶意代码则记录相关流量信息；

流量还原模块，用于基于相关流量信息还原恶意代码样本，并记录相关的五元组信息；

沙箱运行模块，用于将所述恶意代码样本投入沙箱运行，并获取回连的C&C的IP地址；

匹配判定模块，用于判断所述IP地址是否在所述五元组信息中，若是则判定恶意代码在受害者主机中活跃，否则判定恶意代码未在受害者主机中活跃。

进一步地，还包括：记录搜索模块，用于基于五元组信息中的任意一项能够搜索到恶意代码样本相关的全部信息。

更进一步地，还包括：自定义设置模块，用于根据需要自定义需要记录的信息。

其中，所述根据需要自定义需要记录的信息，具体为：只记录恶意代码样本相关的IP信息，包括：源IP地址和目的IP地址。

综上，本发明给出一种验证恶意代码在受害者主机中活跃度的方法及系统，通过监控网内通信行为，若发现被检测网络中存在安全威胁，则通过流量还原技术获取恶意代码样本，并进一步记录包含恶意代码样本的通信行为的五元组信息，或者为了减小服务器处理压力，仅记录通信行为相关的IP地址；通过沙箱动态分析恶意代码样本进而得到该通信行为中恶意代码样本回连的C&C。最后将所述C&C的IP地址与上述记录的五元组信息或者直接与IP地址匹配，若命中，则说明该恶意代码样本在受害者主机中仍处于活跃状态。

有益效果为：本发明所述技术方案能够利用沙箱的动态检测保证了恶意代码样本所回连C&C的真实准确性，并在记录的五元组信息中搜索该C&C的IP地址，进而可以准确判定恶意代码是否在受害者机器中活跃。

附图说明

为了更清楚地说明本发明的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明中记载的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明提供的一种验证恶意代码在受害者主机中活跃度的方法实施例流程图；

图2为本发明提供的一种验证恶意代码在受害者主机中活跃度的系统实施例结构图。

具体实施方式

本发明给出了一种验证恶意代码在受害者主机中活跃度的方法及系统实施例，为了使本技术领域的人员更好地理解本发明实施例中的技术方案，并使本发明的上述目的、特征和优点能够更加明显易懂，下面结合附图对本发明中技术方案作进一步详细的说明：

本发明首先提供了一种验证恶意代码在受害者主机中活跃度的方法实施例，如图1所示，包括：

S101：监控网内通信行为，若存在恶意代码则记录相关流量信息。其中，本发明主要检测对象为企业内网，但是其他类似网络同样适用。例如，在一次下载活动中，用户A下载了恶意代码B，则需要准确的记录恶意代码B的下载流量信息。

S102：基于相关流量信息还原恶意代码样本，并记录相关的五元组信息。

其中，所述基于相关流量信息还原恶意代码样本，支持多种网络协议的流量还原，包括但不限于：HTTP、FTP、POP3、SMTP、IMAP、TFTP、SMB、WebMail、飞鸽等，并且在流还原的基础上进一步进行深度协议解码，获取协议传输原文件，目的在于后续将其投入沙箱进行动态检测。并记录与恶意代码样本相关的五元组信息，包括：源IP地址，源端口，目的IP地址，目的端口和传输层协议。

优选地，还包括：基于五元组信息中的任意一项能够搜索到恶意代码样本相关的全部信息。方便操作员对所需信息的搜索。

还包括：根据需要自定义需要记录的信息。具体为：只记录恶意代码样本相关的IP信息，包括：源IP地址和目的IP地址。

操作员可以根据需要选择和放弃需要记录的信息，不一定要记录五元组的所有信息，因为在某些大流量场景下，如果记录全流量，会使设备负载过高，无法稳定运行。因此，在该实施例中，可以选择只记录恶意代码样本相关的IP地址即可。

S103：将所述恶意代码样本投入沙箱运行，并获取回连的C&C的IP地址。

其中，使用沙箱对恶意代码样本进行动态检测，可以自动得出恶意代码样本的行为，包括其访问的IP地址，文件的操作以及对磁盘文件的增删等功能，这里可以只记录恶意代码样本企图回连的C&C的IP地址。

S104：判断所述IP地址是否在所述五元组信息中，若是则判定恶意代码在受害者主机中活跃，否则判定恶意代码未在受害者主机中活跃。

其中，若所述C&C的IP地址在所述五元组信息中，说明沙箱动态得出的行为实际发生，证明恶意代码样本在受害者机器中正在活跃地运行。若所述C&C的IP地址未在所述五元组信息中，说明沙箱动态得出的行为实际并未发生，证明恶意代码样本在受害者机器中并没有活跃地运行。

本发明其次提供了一种验证恶意代码在受害者主机中活跃度的系统实施例，如图2所示，包括：

流量监测模块201，用于监控网内通信行为，若存在恶意代码则记录相关流量信息；

流量还原模块202，用于基于相关流量信息还原恶意代码样本，并记录相关的五元组信息；

沙箱运行模块203，用于将所述恶意代码样本投入沙箱运行，并获取回连的C&C的IP地址；

匹配判定模块204，用于判断所述IP地址是否在所述五元组信息中，若是则判定恶意代码在受害者主机中活跃，否则判定恶意代码未在受害者主机中活跃。

优选地，还包括：记录搜索模块，用于基于五元组信息中的任意一项能够搜索到恶意代码样本相关的全部信息。

更优选地，还包括：自定义设置模块，用于根据需要自定义需要记录的信息。

其中，所述根据需要自定义需要记录的信息，具体为：只记录恶意代码样本相关的IP信息，包括：源IP地址和目的IP地址。

本说明书中的各个实施例均采用递进的方式描述，各个实施例之间相同或相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于系统实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

如上所述，上述实施例给出了一种验证恶意代码在受害者主机中活跃度的方法及系统实施例，通过监控网内通信行为，并还原恶意代码样本并记录五元组信息，通过沙箱对恶意代码样本进行动态检测进而得到C&C的IP地址，在记录的五元组信息中搜索该IP地址，若命中，则判定恶意代码样本在受害者机器中活跃，否则判定恶意代码样本未在受害者机器中活跃。上述实施例能够准确判定恶意代码在受害者机器中是否处于活跃状态。

以上实施例用以说明而非限制本发明的技术方案。不脱离本发明精神和范围的任何修改或局部替换，均应涵盖在本发明的权利要求范围当中。