C2服务器识别方法、装置、电子设备及可读存储介质与流程

本申请涉及通信，具体而言，涉及一种c2服务器识别方法、装置、电子设备及可读存储介质。

背景技术：

1、c2服务器(command&control server)又称c&c服务器，常见于病毒木马控制主机后，攻击者通过c2服务器转发命令。现有的c2服务器的发现主要通过安全技术人员在受害者网络的流量或者终端中检测到回连的行为，从而发现c2服务器。这种方法效率非常低，而且只能够在发现被植入病毒、木马后才能够发现，无法提前发现c2服务器的ip或者域名，因此无法提前做到防护阻断。

技术实现思路

1、本申请实施例提供了一种c2服务器识别方法、装置、电子设备及可读存储介质，其能够主动从互联网暴露出的海量目标中，识别出c2服务器，如此可发现新上线还未被使用过的c2资产，便于做到提前阻断和防护。

2、本申请的实施例可以这样实现：

3、第一方面，本申请实施例提供一种c2服务器识别方法，所述方法包括：

4、针对各待选设备，通过资产探测获得各所述待选设备的第一设备信息，其中，所述待选设备为在资产探测时可搜索到的各资产对应的设备；

5、根据预设规则及所述第一设备信息，从所述待选设备中确定出c2服务器，其中，所述预设规则为根据已知的c2服务器的特征设置的规则。

6、第二方面，本申请实施例提供一种c2服务器识别装置，所述装置包括：

7、探测模块，用于针对各待选设备，通过资产探测获得各所述待选设备的第一设备信息，其中，所述待选设备为在资产探测时可搜索到的各资产对应的设备；

8、识别模块，用于根据预设规则及所述第一设备信息，从所述待选设备中确定出c2服务器，其中，所述预设规则为根据已知的c2服务器的特征设置的规则。

9、第三方面，本申请实施例提供一种电子设备，包括处理器和存储器，所述存储器存储有能够被所述处理器执行的机器可执行指令，所述处理器可执行所述机器可执行指令以实现前述实施方式所述的c2服务器识别方法。

10、第四方面，本申请实施例提供一种可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现如前述实施方式所述的c2服务器识别方法。

11、本申请实施例提供的c2服务器识别方法、装置、电子设备及可读存储介质，针对各待选设备，通过资产探测获得各待选设备的第一设备信息，该待选设备为在资产探测时可搜索到的各资产对应的设备；然后根据预设规则及第一设备信息，从待选设备中确定出c2服务器，该预设规则为根据已知的c2服务器的特征设置的规则。如此，能够主动从互联网暴露出的海量目标中，识别出已使用过的c2服务器以及新上线还未被使用过的c2服务器，便于针对新上线还未被使用过的c2服务器做到提前阻断和防护。

技术特征：

1.一种c2服务器识别方法，其特征在于，所述方法包括：

2.根据权利要求1所述的方法，其特征在于，所述预设规则包括第一预设规则，所述根据预设规则及所述第一设备信息，从所述待选设备中确定出c2服务器，包括：

3.根据权利要求2所述的方法，其特征在于，所述预设规则还包括第二预设规则，所述第一预设规则与所述第二预设规则不同，所述从确定的所述可疑设备中确定出c2服务器，包括：

4.根据权利要求3所述的方法，其特征在于，所述获得根据c2服务器的类型构造的探测报文，包括：

5.根据权利要求3所述的方法，其特征在于，所述第二设备信息包括主机报头、信标类型、代理类型及api连接地址中的至少一项。

6.根据权利要求2-5中任意一项所述的方法，其特征在于，所述第一预设规则中的预设参数包括预设头部信息、预设http服务状态码、预设传输文本类型及预设文本长度中的至少一项，所述针对各所述待选设备，将该待选设备的第一设备信息与所述第一预设规则进行匹配，包括：

7.一种c2服务器识别装置，其特征在于，所述装置包括：

8.根据权利要求7所述的装置，其特征在于，所述预设规则包括第一预设规则，所述识别模块具体用于：

9.一种电子设备，其特征在于，包括处理器和存储器，所述存储器存储有能够被所述处理器执行的机器可执行指令，所述处理器可执行所述机器可执行指令以实现权利要求1-6中任意一项所述的c2服务器识别方法。

10.一种可读存储介质，其上存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现如权利要求1-6中任意一项所述的c2服务器识别方法。

技术总结
本申请的实施例提供了一种C2服务器识别方法、装置、电子设备及可读存储介质，涉及通信技术领域。该方法包括：针对各待选设备，通过资产探测获得各待选设备的第一设备信息，其中，待选设备为在资产探测时可搜索到的各资产对应的设备；根据预设规则及第一设备信息，从待选设备中确定出C2服务器，其中，预设规则为根据已知的C2服务器的特征设置的规则。如此，能够主动从互联网暴露出的海量目标中，识别出已使用过的C2服务器以及新上线还未被使用过的C2服务器，便于针对新上线还未被使用过的C2服务器做到提前阻断和防护。

技术研发人员：王奕雄,李艳军
受保护的技术使用者：北京知道创宇信息技术股份有限公司
技术研发日：
技术公布日：2024/1/13