CN106911662B - 一种恶意样本养殖高交互转化低交互的***及方法 - Google Patents

一种恶意样本养殖高交互转化低交互的***及方法 Download PDF

Info

Publication number
CN106911662B
CN106911662B CN201610889558.9A CN201610889558A CN106911662B CN 106911662 B CN106911662 B CN 106911662B CN 201610889558 A CN201610889558 A CN 201610889558A CN 106911662 B CN106911662 B CN 106911662B
Authority
CN
China
Prior art keywords
data
packet
malicious
network
interaction
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201610889558.9A
Other languages
English (en)
Other versions
CN106911662A (zh
Inventor
康学斌
李拾萱
肖新光
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shenzhen Antan Network Security Technology Co.,Ltd.
Original Assignee
SHENZHEN ANZHITIAN INFORMATION TECHNOLOGY CO LTD
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by SHENZHEN ANZHITIAN INFORMATION TECHNOLOGY CO LTD filed Critical SHENZHEN ANZHITIAN INFORMATION TECHNOLOGY CO LTD
Priority to CN201610889558.9A priority Critical patent/CN106911662B/zh
Publication of CN106911662A publication Critical patent/CN106911662A/zh
Application granted granted Critical
Publication of CN106911662B publication Critical patent/CN106911662B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种恶意样本养殖高交互转化低交互的***,包括:高交互模块,用于基于运行环境中不少于二次重运行恶意行为,获取恶意行为网络通信的首包数据,运行中保持不变的首包数据为模拟重放数据;低交互模块,用于基于所述模拟重放数据,对相同家族恶意行为发送所述首包数据,监听并获取恶意行为通信的网络信息。本发明解决了现有技术中高交互的方式获取样本的网络信息,达到监控命令与控制服务器或攻击行为效率低下,需要耗费大量网络和实体资源来实现运行环境,才能达到效果的技术问题。

Description

一种恶意样本养殖高交互转化低交互的***及方法
技术领域
本发明涉及计算机安全技术领域,更具体地涉及一种恶意样本养殖蜜网高交互转化低交互的***及方法。
背景技术
在现有技术中,根据养殖蜜网数据的交互程度可以将养殖蜜网技术分为两类:低交互养殖蜜网和高交互养殖蜜网。低交互养殖蜜网采用模拟技术,没有真实的操作***和服务,交互程度低,只能根据已知漏洞模拟操作***和应用程序的应答行为;高交互养殖蜜网运行在真实的操作***上,部署真实的应用程序,可以构造真实的服务环境,捕获更丰富的攻击数据。
目前,需要研究人员在沙箱内养殖大量恶意样本来通过获取样本的网络信息,达到监控命令与控制服务器或攻击行为,这种方式称为高交互的养殖方法。高交互的方式实现的效率较为低下,风险较高,需要耗费大量网络和实体资源来实现运行环境,才能达到效果,长期高并发的实现代价较大。
发明内容
为了解决上述技术问题,提供了根据本发明的一种恶意样本养殖高交互转化低交互的***及方法。
根据本发明的第一方面,提供了一种恶意样本养殖高交互转化低交互的***。该***包括:高交互模块,用于基于运行环境中不少于二次重运行恶意行为,获取恶意行为网络通信的首包数据,运行中保持不变的首包数据为模拟重放数据;低交互模块,用于基于所述模拟重放数据,对相同家族恶意行为发送所述首包数据,监听并获取恶意行为通信的网络信息;所述首包数据包括重运行时第一次与服务器三次握手后的有通信内容的数据包,由内置在所述恶意行为中的指令进行自动发送。
在一些实施例中,所述高交互模块包括:获取子模块,用于获取运行环境中不少于二次重运行的恶意行为在网络通信中首次与服务器建立通信的所述首包数据;比对子模块,用于比对不少于二次的首包数据,所述首包数据保持不变的记录为模拟重放数据。
在一些实施例中,还包括:运行模块,用于模拟网络运行环境运行恶意行为,并在每次获取所述首包数据之后,重运行恶意行为前对所述模拟网络运行环境进行数据清洗。
在一些实施例中,所述获取子模块,用于部署在网络接口,监控连接网络发送数据,获取所述首包数据。
根据本发明的第二方面,提供一种恶意样本养殖高交互转化低交互的方法,包括:基于运行环境中不少于二次重运行恶意行为,获取恶意行为网络通信的首包数据,运行中保持不变的首包数据为模拟重放数据;基于模拟重放数据,对相同家族恶意行为发送首包数据,监听并获取恶意行为通信的网络信息;所述首包数据包括重运行时第一次与服务器三次握手后的有通信内容的数据包,由内置在所述恶意行为中的指令进行自动发送。
在一些实施例中,所述基于运行环境中不少于二次重运行恶意行为,获取恶意行为通信的首包数据,运行中保持不变的首包数据为模拟重放数据,包括:获取运行环境中不少于二次重运行的恶意行为在网络通信中首次与服务器建立通信的首包数据;比对不少于二次的首包数据,首包数据保持不变的记录为模拟重放数据。
在一些实施例中,还包括:模拟网络运行环境运行恶意行为,并在每次获取首包数据之后,重运行恶意行为前对所述模拟网络运行环境进行数据清洗。
在一些实施例中,所述获取不少于二次重运行的恶意行为在网络通信中首次与服务器建立通信的所述首包数据,用于部署在网络接口,监控连接网络发送数据,获取所述首包数据。
通过使用本发明的方法和***,利用沙箱的网络监控,获取真实的恶意行为首包,利用有限的网络和实体资源,仅发送高仿真的恶意行为首包,发挥最大限度的并发能力,依据持续运转的自动化模块,实现持续、自动化的监控恶意行为活动。可以满足自动化、高效的恶意样本的监控,利用有限的网络资源和其他实体资源实现高效的恶意样本监控,获取最新的恶意样本的情报资源。
附图说明
为了更清楚地说明本发明的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为根据本发明实施例的通信***100的应用场景的示意图;
图2为根据本发明实施例的一种恶意样本养殖高交互转化低交互的***的框图;
图3为根据本发明实施例的一种恶意样本养殖高交互转化低交互的***高交互模块的框图;
图4为根据本发明实施例的一种恶意样本养殖高交互转化低交互的方法的流程图。
具体实施方式
下面参照附图对本发明的优选实施例进行详细说明,在描述过程中省略了对于本发明来说是不必要的细节和功能,以防止对本发明的理解造成混淆。虽然附图中显示了示例性实施例,然而应当理解,可以以各种形式实现本发明而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本发明的范围完整的传达给本领域的技术人员。
图1是示出了根据本发明的通信***100的应用场景的示意图。如图1所示,通信***100可以包括生产网络服务器110和命令与控制服务器120。生产网络服务器110可以通过通信网络130与命令与控制服务器120相连并与之进行通信。通信网络130可以是有线的或无线的。具体地,通信网络130的示例可以包括(但不限于):有线电缆或光纤型网络、或WLAN(“无线局域网”,可能是WiFi或者WiMAX型的)、或者还可能是蓝牙型的无线短距离通信网络。
生产网络服务器110在网络环境下向命令与控制服务器120发送数据包,并接收命令与控制服务器120传过来的数据包,进行网络通信。生产网络服务器110中包括高交互沙箱111和低交互服务器112,低交互服务器112可以由用户A操作。根据本发明,高交互沙箱111能多次养殖并运行恶意代码样本,并向命令与控制服务器120发送并获取真实的数据包,通过部署在沙箱中的网络接口,可获取多次的首包数据,找到不变化的首包数据发送给低交互服务器112,通过低交互服务器112向命令与控制服务器120模拟重发这一首包数据,同时进行监听,以获取相同家族样本的网络信息。
图2是示出了根据本发明的一种恶意样本养殖高交互转化低交互的***的框图,如图2所示,***包括:高交互模块210、低交互模块220和运行模块230,其中,运行模块230是可选的。
高交互模块210,用于基于运行环境中不少于二次重运行恶意行为,获取恶意行为网络通信的首包数据,运行中保持不变的首包数据为模拟重放数据;
基于恶意代码行为样本,在沙箱运行环境中对样本进行养殖,通过部署在沙箱的网络接口中的高交互模块210获取命令与控制首包数据相关网络信息并储存。然后进行清洗数据环节,在沙箱中进行第二次养殖并再次获取命令与控制首包数据,也可多次养殖并获取首包数据,若两次首包数据不变则作为低交互的模拟重放数据。
这里主要关注的信息是命令与控制首包数据,即沙箱的网络通信中高交互模块210第一次与命令与控制服务器三次握手后的首包,这个首包是由本地的高交互模块210向命令与控制服务器发出的第一个有通信内容的数据包。因为命令与控制服务器首包通常是内置在样本中的指令进行自动发送的,理论上来说,只要模拟样本中的指令自动发包的情况,就可以真实的收到命令与控制服务器发回的网络信息。进一步的,还可进行命令与控制行为,这时,可以对高交互产生的有害通信数据(比如DDoS数据)进行无害化处理,能有效阻止攻击行为。
第一次运行恶意行为样本的目的是对已有的样本进行第一次筛选,筛选出能进行命令与控制通信的样本,并记录首包数据。
高交互模块210二次重运行恶意行为,通过高交互养殖样本,向命令与控制服务器发送并获取真实的命令与控制首包数据。对两次获取到的命令与控制首包数据进行对比,如果首包数据信息不变的,则认为是有效的命令与控制首包数据,并储存相关网络信息。
因为需要保证发送的首包数据是相对命令与控制首包真实的,才能保证命令与控制服务器能正确的接收,因此要找到多次发送的首包中的变和不变的部分。因为样本中的指令所发出的首包数据可能会依赖于一些变量,比如时间、***配置信息等等。找到了变和不变的部分,才能发送更真实的命令与控制首包,以获得真实的通信数据,以免发送的数据因命令与控制服务器的设置而无法进行命令与控制通信。二次养殖运行恶意行为样本,并对首包数据进行比对的目的是找到首包中可变和不变的地方,以获取可重放的真实的命令与控制首包数据为模拟重放数据。
低交互模块220,用于基于模拟重放数据,对相同家族恶意行为发送首包数据,监听并获取恶意行为通信的网络信息。
基于高交互模块210获取的模拟重放数据,低交互模块220向命令与控制服务器中的相同家族样本模拟重放命令与控制首包数据,同时接收并监听网络通信数据,以获取相同家族样本的网络信息。
这里主要关注的信息是低交互模块220把命令与控制首包发送给命令与控制服务器,与命令与控制服务器通信,因此可以获得命令与控制通信数据的网络信息,对网络信息进行处理和储存。
在一些实施例中,***还包括:
运行模块230,用于模拟网络运行环境运行恶意行为,并在每次获取所述首包数据之后,重运行恶意行为前对模拟网络运行环境进行数据清洗。
图3是示出了根据本发明的一种恶意样本养殖高交互转化低交互的***高交互模块的框图,如图3所示,高交互模块包括:获取子模块212、比对子模块214。
获取子模块212,用于获取运行环境中不少于二次重运行的恶意行为在网络通信中首次与服务器建立通信的首包数据。这里的服务器是命令与控制服务器,获取子模块212可以用于部署在高交互沙箱111网络接口,监控连接网络发送数据,获取首包数据。
比对子模块214,用于比对不少于二次的首包数据,首包数据保持不变的记录为模拟重放数据。对首包数据进行比对的目的是找到首包中可变和不变的地方,以获取可重放的真实的命令与控制首包数据为模拟重放数据。
图4是示出了根据本发明的一种恶意样本养殖高交互转化低交互的方法的流程图,如图4所示,方法包括:
S410,运行环境中第一次运行恶意行为,获取网络通信中首次与服务器建立网络通信的首包数据1,这里的服务器是命令与控制服务器。
基于恶意代码行为样本,在沙箱运行环境中对样本进行养殖,通过部署在沙箱的网络接口中的高交互模块210获取命令与控制首包数据相关网络信息并储存。
S420,在每次获取首包数据之后,重运行恶意行为前对模拟网络运行环境进行数据清洗。
S430,运行环境中二次重运行恶意行为,获取恶意行为网络通信的首包数据2。
S440,比对二次的首包数据,首包数据保持不变的记录为模拟重放数据。
恶意行为样本中的指令所发出的首包数据可能会依赖于一些变量,比如时间、***配置信息等等。找到了变和不变的部分,才能发送更真实的命令与控制首包,以获得真实的通信数据,以免发送的数据因命令与控制服务器的设置而无法进行命令与控制通信。
首包数据包括重运行时第一次与所述服务器三次握手后的有通信内容的数据包,由内置在所述恶意行为中的指令进行自动发送。
S450,基于模拟重放数据,对相同家族恶意行为发送首包数据,监听并获取恶意行为通信的网络信息。
本发明通过利用沙箱的网络监控,获取真实的命令与控制首包,利用有限的网络和实体资源,仅发送高仿真的命令与控制首包,发挥最大限度的并发能力,依据持续运转的自动化模块,实现持续、自动化的监控命令与控制活动。可以满足自动化、高效的恶意样本的监控,利用有限的网络资源和其他实体资源实现高效的恶意样本监控,获取最新的恶意样本的情报资源。
至此已经结合优选实施例对本发明进行了描述。应该理解,本领域技术人员在不脱离本发明的精神和范围的情况下,可以进行各种其它的改变、替换和添加。因此,本发明的范围不局限于上述特定实施例,而应由所附权利要求所限定。

Claims (8)

1.一种恶意样本养殖高交互转化低交互的***,其特征在于,包括:
高交互模块,用于基于运行环境中不少于二次重运行恶意行为,获取恶意行为网络通信的首包数据,运行中保持不变的首包数据为模拟重放数据;
低交互模块,用于基于所述模拟重放数据,对相同家族恶意行为发送所述首包数据,监听并获取恶意行为通信的网络信息;
所述首包数据包括重运行时第一次与服务器三次握手后的有通信内容的数据包,由内置在所述恶意行为中的指令进行自动发送。
2.根据权利要求1所述的***,其特征在于,所述高交互模块包括:
获取子模块,用于获取运行环境中不少于二次重运行的恶意行为在网络通信中首次与服务器建立通信的所述首包数据;
比对子模块,用于比对不少于二次的首包数据,所述首包数据保持不变的记录为模拟重放数据。
3.根据权利要求1所述的***,其特征在于,还包括:
运行模块,用于模拟网络运行环境运行恶意行为,并在每次获取所述首包数据之后,重运行恶意行为前对所述模拟网络运行环境进行数据清洗。
4.根据权利要求2所述的***,其特征在于,所述获取子模块,用于部署在网络接口,监控连接网络发送数据,获取所述首包数据。
5.一种恶意样本养殖高交互转化低交互的方法,其特征在于,包括:
基于运行环境中不少于二次重运行恶意行为,获取恶意行为网络通信的首包数据,运行中保持不变的首包数据为模拟重放数据;
基于模拟重放数据,对相同家族恶意行为发送首包数据,监听并获取恶意行为通信的网络信息;
所述首包数据包括重运行时第一次与服务器三次握手后的有通信内容的数据包,由内置在所述恶意行为中的指令进行自动发送。
6.根据权利要求5所述的方法,其特征在于,所述基于运行环境中不少于二次重运行恶意行为,获取恶意行为通信的首包数据,运行中保持不变的首包数据为模拟重放数据,包括:
获取运行环境中不少于二次重运行的恶意行为在网络通信中首次与服务器建立通信的首包数据;
比对不少于二次的首包数据,首包数据保持不变的记录为模拟重放数据。
7.根据权利要求5所述的方法,其特征在于,还包括:
模拟网络运行环境运行恶意行为,并在每次获取首包数据之后,重运行恶意行为前对所述模拟网络运行环境进行数据清洗。
8.根据权利要求6所述的方法,其特征在于,所述获取不少于二次重运行的恶意行为在网络通信中首次与服务器建立通信的所述首包数据,用于部署在网络接口,监控连接网络发送数据,获取所述首包数据。
CN201610889558.9A 2016-10-12 2016-10-12 一种恶意样本养殖高交互转化低交互的***及方法 Active CN106911662B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610889558.9A CN106911662B (zh) 2016-10-12 2016-10-12 一种恶意样本养殖高交互转化低交互的***及方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610889558.9A CN106911662B (zh) 2016-10-12 2016-10-12 一种恶意样本养殖高交互转化低交互的***及方法

Publications (2)

Publication Number Publication Date
CN106911662A CN106911662A (zh) 2017-06-30
CN106911662B true CN106911662B (zh) 2020-11-03

Family

ID=59207454

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610889558.9A Active CN106911662B (zh) 2016-10-12 2016-10-12 一种恶意样本养殖高交互转化低交互的***及方法

Country Status (1)

Country Link
CN (1) CN106911662B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112261029B (zh) * 2020-10-16 2023-05-02 北京锐驰信安技术有限公司 一种基于养殖的DDoS恶意代码检测及溯源方法
CN113190835A (zh) * 2021-02-04 2021-07-30 恒安嘉新(北京)科技股份公司 一种应用程序违法检测方法、装置、设备及存储介质

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101087196A (zh) * 2006-12-27 2007-12-12 北京大学 多层次蜜网数据传输方法及***

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060075099A1 (en) * 2004-09-16 2006-04-06 Pearson Malcolm E Automatic elimination of viruses and spam
CN101582907B (zh) * 2009-06-24 2012-07-04 成都市华为赛门铁克科技有限公司 一种增强蜜网诱骗力度的方法和蜜网***
CN102035793B (zh) * 2009-09-28 2014-05-07 成都市华为赛门铁克科技有限公司 僵尸网络检测方法、装置以及网络安全防护设备
US20150047032A1 (en) * 2013-08-07 2015-02-12 Front Porch Communications, Inc. System and method for computer security
CN103561004B (zh) * 2013-10-22 2016-10-12 西安交通大学 基于蜜网的协同式主动防御***
CN105787370B (zh) * 2016-03-07 2018-08-10 四川驭奔科技有限公司 一种基于蜜罐的恶意软件收集和分析方法

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101087196A (zh) * 2006-12-27 2007-12-12 北京大学 多层次蜜网数据传输方法及***

Also Published As

Publication number Publication date
CN106911662A (zh) 2017-06-30

Similar Documents

Publication Publication Date Title
CN102523103B (zh) 一种工业监控网络数据采集结点
CN104424095A (zh) 一种移动终端的自动化测试方法和***
KR101173558B1 (ko) 홈 네트워크 환경에서의 서비스 재구성 방법 및 장치
WO2016165242A1 (zh) ***内节点数的调整方法和装置
CN103532795A (zh) 一种检测web业务***可用性的监控***及方法
CN105490876A (zh) 发包联动并发监控自动化测试服务器性能的方法
CN108298397A (zh) 一种基于电梯物联网的电梯维保监测方法及监管平台
CN114077742B (zh) 软件漏洞智能挖掘方法和装置
CN106911662B (zh) 一种恶意样本养殖高交互转化低交互的***及方法
CN106649342A (zh) 数据采集平台中数据处理的方法及装置
CN110011875A (zh) 拨测方法、装置、设备及计算机可读存储介质
CN108052385A (zh) 一种容器管理方法、***、设备及计算机存储介质
CN103425486A (zh) 使用同步服务器端脚本的远程卡内容管理的方法和***
CN109800081A (zh) 一种大数据任务的管理方法及相关设备
CN103580951B (zh) 多个信息***的输出比较方法、测试迁移辅助方法及***
CN105827682A (zh) 一种数据的上传、下载方法及其装置
CN113364820A (zh) 物联网业务***的设备管控方法与装置
Santi et al. Automated and reproducible application traces generation for IoT applications
US9189370B2 (en) Smart terminal fuzzing apparatus and method using multi-node structure
CN102571412B (zh) 嵌入式分布式***目标机服务器
CN111581107B (zh) Ftp程序疲劳测试方法及***
KR100929235B1 (ko) 무선 센서 네트워크의 동적 재구성방법 및 그 시스템
CN109218064A (zh) 网络管理***及管理方法
CN107465569A (zh) 一种SAS Switch整机柜抓取节点phy error count的方法及***
CN106850806A (zh) 基于物联网的智能建筑及能效监控***的数据交换方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
CP01 Change in the name or title of a patent holder

Address after: 518000 Shenzhen, Baoan District, Guangdong Xixiang Baoan District street, the source of excellent industrial products display procurement center, block B, 7 floor, No.

Patentee after: Shenzhen Antan Network Security Technology Co.,Ltd.

Address before: 518000 Shenzhen, Baoan District, Guangdong Xixiang Baoan District street, the source of excellent industrial products display procurement center, block B, 7 floor, No.

Patentee before: SHENZHEN ANZHITIAN INFORMATION TECHNOLOGY Co.,Ltd.

CP01 Change in the name or title of a patent holder