基于自学习方式获取木马控制端IP地址的方法及系统与流程

本发明是关于网络安全领域，特别涉及基于自学习方式获取木马控制端ip地址的方法及系统。

背景技术：

在网络攻防事件中，快速确认木马控制端服务器的ip地址，是快速确认攻击源头，抓获非法黑客的重要方法。

一个完整的木马系统由木马控制端和木马宿主端两部分组成：

1)木马控制端。由服务器硬件和控制端软件构成。控制端负责对所有已经潜入宿主机的木马下发指令和搜集数据。

2)木马宿主端。木马程序会潜入宿主主机内部，获取其操作权限。并主动或者被动的与控制端取得通信，进而上传宿主端的信息或者接受宿主端下发的指令，对宿主机进行破坏。

木马破坏活动的影响，比如数据泄露、宿主机文件被删除或者篡改、宿主机充当ddos肉鸡等，往往表象在宿主端，然而实际指挥木马进行破坏活动的是木马控制端。因此，破坏木马破坏活动，抓获非法黑客的关键在在于找到木马控制端的实施者，而找到木马控制端的实施者的第一步则是寻找实施者的服务器的ip地址。

现有的方案有两种思路：方案1：根据已经掌握的非法木马控制端服务器，口头传递给木马分析人员；方案2：手工分析宿主机日志，或者搭建抓包系统，对所有的网络行为进行分析，识别出木马程序，进一步确认木马控制端的ip。

但是，方案1对已有数据依赖性大，而已有数据存在过时、不完整等特点，进而导致方案1的准确性无法保证；由于对人工的依赖，进而自动化上也比较差。而方案2需要手工分析日志、工作量大且容易出错，不同的场景也需要搭建不同的抓包系统，工作无法复用，进而导致无法快速、准确地找到木马控制端ip。

故，目前如何自动、快速、准确获取木马控制端服务器ip地址的问题，仍待解决。

技术实现要素：

本发明的主要目的在于克服现有技术中的不足，提供一种能够自动、快速、准确地完成木马控制端服务器ip地址获取的方法及系统。为解决上述技术问题，本发明的解决方案是：

提供一种基于自学习方式获取木马控制端ip地址的方法，具体包括下述步骤：

步骤(1)：对网络流量的网络流量协议进行识别，提取网络流量中传输的文件，丢弃未包含文件的网络流量(利用网络流量分析系统实现，网络流量分析系统是指专门用于对网络镜像流量进行分析的安全检测系统)；

步骤(2)：对步骤(1)提取出的文件样本进行恶意特征检测：

如果文件样本与恶意特征库中的恶意特征匹配，则标记该文件样本为恶意样本，放入虚拟沙箱环境运行分析：若该恶意样本在虚拟沙箱运行过程中不包含网络行为，则丢弃该恶意样本；若该恶意样本在虚拟沙箱运行过程中包含网络行为，则提取网络行为的目标ip地址，作为恶意木马控制端ip地址；

如果文件样本在恶意特征检测中，与恶意特征库中的恶意特征不匹配，则进入步骤(3)执行；

所述系统内置虚拟沙箱环境是内置在网络流量分析系统中，用于检测恶意文件的虚拟执行环境；所述恶意特征库是内置网络流量分析系统中，存储有恶意特征的恶意特征库；

步骤(3)：将步骤(2)恶意特征检测不匹配的文件样本，放入虚拟沙箱环境运行分析：

若该文件样本在虚拟沙箱运行过程中不包含网络行为，则丢弃该文件样本；

若该文件样本在虚拟沙箱运行过程中包含网络行为，则对网络行为进行监控：若网络行为中包含敏感操作行为，则将该文件样本加入可疑样本列表，并提取网络行为的目标ip地址，并将该ip地址标记为可疑ip；

所述敏感操作行为是指能对被保护主机产生恶意影响的行为(比如，修改注册表、创建系统进程、生成恶意文件等能对系统产生恶意影响的行为)；

所述可疑样本列表是指可疑恶意文件md5列表；

步骤(4)：持续监控被保护主机的网络流量和传输的文件，并通过虚拟沙箱对传输的文件进行分析，如果发现该文件的网络行为中包含敏感操作行为，且该文件的网络通信目标ip与步骤(3)中的可疑ip地址一致，则将该文件的网络通信目标ip标记为恶意目标ip地址；

步骤(5)：将步骤(4)提取的恶意目标ip地址和步骤(2)提取的恶意木马控制端ip地址，加入恶意ip库；该恶意ip库即为获取的木马控制端ip地址。

在本发明中，所述步骤(1)中，进行解析的网络流量是指镜像网络流量，镜像网络流量是从交换机对被保护主机传输的网络流量进行复制得到的。

提供一种存储设备，其中存储有多条指令，所述指令适用于由处理器加载并执行：上述基于自学习方式获取木马控制端ip地址的方法。

提供一种基于自学习方式获取木马控制端ip地址的系统，包括处理器，适于实现各指令；以及存储设备，适于存储多条指令，所述指令适用于由处理器加载并执行：上述基于自学习方式获取木马控制端ip地址的方法。

本发明的工作原理：借助网络流量分析和持续监控，利用系统内置虚拟沙箱环境的行为分析能力，持续学习和完善对木马行为的检测和提取，进而可以自动地识别和提取木马控制端服务器ip地址。

与现有技术相比，本发明的有益效果是：

本发明借助网络流量分析和持续监控，使用沙箱技术对木马行为进行分析，利用自学习方式持续完善木马控制端ip的检测能力，实现了对木马控制端服务器ip地址的自动地识别和提取。

本发明能有效避免变种木马逃逸检测，提升了木马识别和控制端发现的能力。

附图说明

图1为本发明的工作流程图。

具体实施方式

下面结合附图与具体实施方式对本发明作进一步详细描述：

如图1所示的一种基于自学习方式获取木马控制端ip地址的方法，通过对网络流量中恶意木马行为的持续监控，以自学习的方式持续完善恶意木马检测能力，准确识别出恶意木马控制端ip地址。

该种基于自学习方式获取木马控制端ip地址的方法具体包括下述步骤：

步骤(1)：网络流量分析系统通过对镜像网络流量进行解析：

对网络流量的网络流量协议进行识别，提取网络流量中传输的文件，丢弃未包含文件的网络流量。

所述网络流量分析系统是指专门用于对网络镜像流量进行分析的安全检测系统。

所述镜像网络流量是指从交换机对被保护主机传输的网络流量进行复制。

步骤(2)：对提取出的文件样本进行恶意特征检测：

如果恶意特征检测匹配，则标记该文件样本为恶意样本，放入系统内置虚拟沙箱环境分析：若该恶意样本在虚拟沙箱运行过程中包含网络行为，则提取网络行为的目标ip地址，作为恶意木马控制端ip地址；若该恶意样本在虚拟沙箱运行过程中不包含网络行为，则丢弃该恶意样本。

如果恶意特征检测不匹配，则进入步骤(3)执行。

所述系统内置虚拟沙箱环境是指网络流量分析系统内置的用于检测恶意文件的虚拟执行环境。

步骤(3)：将步骤(2)恶意特征检测不匹配的文件样本，放入虚拟沙箱环境分析：

若该文件样本在虚拟沙箱运行过程中不包含网络行为，则丢弃该文件样本；

若该文件样本在虚拟沙箱运行过程中包含网络行为，则对网络行为进行监控：若网络行为中包含敏感操作行为，则将该文件样本加入可疑样本列表，并提取网络行为的目标ip地址，并将该ip地址标记为可疑ip。

所述敏感操作行为是指修改注册表、创建系统进程、生成恶意文件等对系统产生恶意影响的行为。

所述可疑样本列表是指可疑恶意文件md5列表。

步骤(4)：持续监控被保护主机的网络流量和传输的文件。

如果网络流量与步骤(2)提取的恶意木马控制端ip地址通信，则将该网络流量的行为标记为恶意木马通信。

将传输的文件通过内置虚拟沙箱分析，如果发现该文件有与步骤(2)中提取的恶意木马控制端ip地址通信的网络行为，则将该文件标记为恶意木马文件。

步骤(5)：通过沙箱对传输的文件分析，如果发现该文件的网络行为中包含敏感操作行为，且该文件的网络通信目标ip与步骤(3)中的可疑ip地址一致，则将该文件的网络通信目标ip标记为恶意目标ip地址。

所述敏感操作行为是指修改注册表、创建系统进程、生成恶意文件等对系统产生恶意影响的行为。

步骤(6)：将提取的恶意目标ip地址：步骤(5)提取的恶意目标ip地址和步骤(2)提取的恶意木马控制端ip地址，加入恶意ip库；该恶意ip库即为获取的木马控制端ip地址。

最后，需要注意的是，以上列举的仅是本发明的具体实施例。显然，本发明不限于以上实施例，还可以有很多变形。本领域的普通技术人员能从本发明公开的内容中直接导出或联想到的所有变形，均应认为是本发明的保护范围。