CN108769034B - 一种实时在线监测远控木马控制端ip地址的方法及装置 - Google Patents
一种实时在线监测远控木马控制端ip地址的方法及装置 Download PDFInfo
- Publication number
- CN108769034B CN108769034B CN201810561442.1A CN201810561442A CN108769034B CN 108769034 B CN108769034 B CN 108769034B CN 201810561442 A CN201810561442 A CN 201810561442A CN 108769034 B CN108769034 B CN 108769034B
- Authority
- CN
- China
- Prior art keywords
- access request
- address
- dns access
- malicious
- domain name
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种实时在线监测远控木马控制端IP地址的方法及装置,该方法能够实时获取镜像流量,并实时对镜像流量进行分析,得到恶意DNS访问请求对应的响应信息,进而解析得到响应信息对应的目标IP地址,并将目标IP地址和其对应的域名保存至数据库。该方法能够进行实时在线分析,准确性好,能够对远控木马控制端IP进行追踪溯源,缓解了现有的远控木马控制端IP地址的获取方法获取得到的IP地址准确性差,实时性差,无法对控制端IP进行追踪溯源的技术问题。
Description
技术领域
本发明涉及网络安全的技术领域,尤其是涉及一种实时在线监测远控木马控制端IP地址的方法及装置。
背景技术
根据大量APT案例,远控木马是目前的僵尸网络木马的主要类型,该类木马为了逃避安全人员的监测,通常会结合域名生成算法,不断生成上千上万个C&C域名,这对入侵事件的追踪和溯源造成了极大的干扰。
感染远控木马之后,被入侵的主机就会成为僵尸网络的一部分。远控木马利用僵尸主机的网络和硬件资源,能够发起大流量DDOS攻击,对网络安全的影响和危害极大。安全人员短时间内无法及时分析出域名生成算法生成的C&C域名,而阻止并摧毁一个远控木马僵尸网络最有效的办法就是找到木马控制端的服务器IP地址。
现有的在进行远控木马控制端IP地址的获取时,一般有以下两种方案:一种是根据已掌握的远控木马服务器域名(也就是域名黑名单),口头传递给安全人员,以使安全人员手工对域名进行解析得到IP地址;另一种是在受害机器上运行wireshark或tcpdump类抓包工具,抓取流量信息,进而通过人工的方式对异常流量进行分析,记录远控木马生成的上万个C&C域名,手工去解析所有的C&C域名。
第一种方案对已有的情报数据依赖性较大,且已有的情报数据容易过时,从而导致解析得到的IP地址准确率低;第二种方案耗时又费力,且因为IP与域名的映射方式会经常发生变化,事后域名解析时很难得到真实的木马控制端IP地址,无法满足应急事件的安全需求,事后追踪和溯源工作也相当困难。
综上,在现有的远控木马控制端IP地址的获取方法中,获取到的IP地址准确性差,实时性差,无法对控制端IP进行追踪溯源。
发明内容
有鉴于此,本发明的目的在于提供一种实时在线监测远控木马控制端IP地址的方法及装置,以缓解现有的远控木马控制端IP地址的获取方法获取得到的IP地址准确性差,实时性差,无法对控制端IP进行追踪溯源的技术问题。
第一方面,本发明实施例提供了一种实时在线监测远控木马控制端IP地址的方法,所述方法包括:
实时获取镜像路由器发送的镜像流量,其中,所述镜像路由器与受侵害设备连接,所述受侵害设备是指被远控木马所入侵的设备;
判断所述镜像流量中的访问请求是否为DNS访问请求;
如果是所述DNS访问请求,则根据所述DNS访问请求的域名判断所述DNS访问请求是否为恶意DNS访问请求;
如果是所述恶意DNS访问请求,则在所述镜像流量中获取与所述恶意DNS访问请求对应的响应信息;
对所述响应信息进行解析,得到对应的目标IP地址,其中,所述目标IP地址为远控木马控制端的IP地址;
将所述目标IP地址与对应的域名实时保存至数据库,以记录所述远控木马控制端的IP地址的变化。
结合第一方面,本发明实施例提供了第一方面的第一种可能的实施方式,其中,所述方法还包括:
如果所述镜像流量中的访问请求不是所述DNS访问请求,则丢弃所述镜像流量。
结合第一方面,本发明实施例提供了第一方面的第二种可能的实施方式,其中,根据所述DNS访问请求的域名判断所述DNS访问请求是否为恶意DNS访问请求包括:
采用恶意域名检测算法检测所述DNS访问请求的域名是否为恶意域名;
如果是所述恶意域名,则所述DNS访问请求为所述恶意DNS访问请求;
如果不是所述恶意域名,则所述DNS访问请求不是所述恶意DNS访问请求。
结合第一方面,本发明实施例提供了第一方面的第三种可能的实施方式,其中,所述方法还包括:
如果所述DNS访问请求不是所述恶意DNS访问请求,则丢弃包含所述DNS访问请求的镜像流量。
结合第一方面,本发明实施例提供了第一方面的第四种可能的实施方式,其中,在对所述响应信息进行解析之后,所述方法还包括:
判断是否解析得到所述响应信息对应的IP地址;
如果解析得到所述IP地址,则将所述IP地址作为所述目标IP地址;
如果未解析得到所述IP地址,则丢弃包含所述响应信息的镜像流量。
第二方面,本发明实施例还提供了一种实时在线监测远控木马控制端IP地址的装置,所述装置包括:
第一获取模块,用于实时获取镜像路由器发送的镜像流量,其中,所述镜像路由器与受侵害设备连接,所述受侵害设备是指被远控木马所入侵的设备;
第一判断模块,用于判断所述镜像流量中的访问请求是否为DNS访问请求;
第二判断模块,如果是所述DNS访问请求,则根据所述DNS访问请求的域名判断所述DNS访问请求是否为恶意DNS访问请求;
第二获取模块,如果是所述恶意DNS访问请求,则在所述镜像流量中获取与所述恶意DNS访问请求对应的响应信息;
解析模块,用于对所述响应信息进行解析,得到对应的目标IP地址,其中,所述目标IP地址为远控木马控制端的IP地址;
保存模块,用于将所述目标IP地址与对应的域名实时保存至数据库,以记录所述远控木马控制端的IP地址的变化。
结合第二方面,本发明实施例提供了第二方面的第一种可能的实施方式,其中,所述装置还包括:
第一丢弃模块,如果所述镜像流量中的访问请求不是所述DNS访问请求,则丢弃所述镜像流量。
结合第二方面,本发明实施例提供了第二方面的第二种可能的实施方式,其中,所述第二判断模块包括:
检测单元,用于采用恶意域名检测算法检测所述DNS访问请求的域名是否为恶意域名;
第一设定单元,如果是所述恶意域名,则所述DNS访问请求为所述恶意DNS访问请求;
第二设定单元,如果不是所述恶意域名,则所述DNS访问请求不是所述恶意DNS访问请求。
结合第二方面,本发明实施例提供了第二方面的第三种可能的实施方式,其中,所述装置还包括:
第二丢弃模块,如果所述DNS访问请求不是所述恶意DNS访问请求,则丢弃包含所述DNS访问请求的镜像流量。
第三方面,本发明实施例还提供了一种电子设备,包括存储器、处理器,所述存储器上存储有可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述第一方面中所述的方法的步骤。
本发明实施例带来了以下有益效果:
现有的远控木马控制端IP地址的获取方法中,获取得到的IP地址准确性差,实时性差,无法对控制端IP进行追踪溯源。本发明的实时在线监测远控木马控制端IP地址的方法中,实时获取镜像路由器发送的镜像流量,进而判断镜像流量中的访问请求是否为DNS访问请求,如果是DNS访问请求,则根据DNS访问请求的域名判断DNS访问请求是否为恶意DNS访问请求,如果是恶意DNS访问请求,则在镜像流量中获取与恶意DNS访问请求对应的响应信息,进而对响应信息进行解析,得到对应的目标IP地址,最终将目标IP地址与对应的域名实时保存至数据库。该方法能够实时获取镜像流量,并实时对镜像流量进行分析,得到恶意DNS访问请求对应的响应信息,进而得到对应的目标IP地址,并将目标IP地址和其对应的域名保存至数据库,在线分析的方式准确性好,实时性好,能够对远控木马控制端IP进行追踪溯源,缓解了现有的远控木马控制端IP地址的获取方法获取得到的IP地址准确性差,实时性差,无法对控制端IP进行追踪溯源的技术问题。
本发明的其他特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。
为使本发明的上述目的、特征和优点能更明显易懂,下文特举较佳实施例,并配合所附附图,作详细说明如下。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种实时在线监测远控木马控制端IP地址的方法流程图;
图2为本发明实施例提供的另一种实时在线监测远控木马控制端IP地址的方法流程图;
图3为本发明实施例提供的根据DNS访问请求的域名判断DNS访问请求是否为恶意DNS访问请求的方法流程图;
图4为本发明实施例提供的一种实时在线监测远控木马控制端IP地址的装置的功能模块图;
图5为本发明实施例提供的一种电子设备的示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合附图对本发明的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
为便于对本实施例进行理解,首先对本发明实施例所公开的一种实时在线监测远控木马控制端IP地址的方法进行详细介绍。
实施例一:
一种实时在线监测远控木马控制端IP地址的方法,参考图1,该方法包括:
S102、实时获取镜像路由器发送的镜像流量,其中,镜像路由器与受侵害设备连接,受侵害设备是指被远控木马所入侵的设备;
在本发明实施例中,该方法的执行主体为控制端IP地址的监测设备。工作时,被远控木马所入侵的设备与镜像路由器连接,被远控木马所入侵的设备在进行通信时,一路数据信息走正常的通道进行通信,另一路包含相同数据信息的镜像流量被控制端IP地址的监测设备获取。
远控木马是指结合了远程计算机控制技术的恶意木马程序,远控木马与控制端通信时,为了逃避监测通常使用域名生成算法等算法来生成C&C域名。其中,远控木马与木马控制端服务器IP进行通信时,所使用的域名称为C&C域名。
S104、判断镜像流量中的访问请求是否为DNS访问请求;
在获取得到镜像流量后,判断镜像流量中的访问请求是否为DNS访问请求。
具体的,解析镜像流量的协议,如果镜像流量的协议为DNS协议,那么镜像流量中的访问请求即为DNS访问请求;如果镜像流量的协议不是DNS协议,那么镜像流量中的访问请求也不是DNS访问请求。
S106、如果是DNS访问请求,则根据DNS访问请求的域名判断DNS访问请求是否为恶意DNS访问请求;
如果是DNS访问请求,则根据DNS访问请求的域名判断DNS访问请求是否为恶意DNS访问请求。下文中再对恶意DNS访问请求的判别过程进行详细介绍,在此不再赘述。
S108、如果是恶意DNS访问请求,则在镜像流量中获取与恶意DNS访问请求对应的响应信息;
如果DNS访问请求是恶意DNS访问请求,则在镜像流量中获取与恶意DNS访问请求对应的响应信息。
S110、对响应信息进行解析,得到对应的目标IP地址,其中,目标IP地址为远控木马控制端的IP地址;
S112、将目标IP地址与对应的域名实时保存至数据库,以记录远控木马控制端的IP地址的变化。
现有的远控木马控制端IP地址的获取方法中,获取得到的IP地址准确性差,实时性差,无法对控制端IP进行追踪溯源。本发明的实时在线监测远控木马控制端IP地址的方法中,实时获取镜像路由器发送的镜像流量,进而判断镜像流量中的访问请求是否为DNS访问请求,如果是DNS访问请求,则根据DNS访问请求的域名判断DNS访问请求是否为恶意DNS访问请求,如果是恶意DNS访问请求,则在镜像流量中获取与恶意DNS访问请求对应的响应信息,进而对响应信息进行解析,得到对应的目标IP地址,最终将目标IP地址与对应的域名实时保存至数据库。该方法能够实时获取镜像流量,并实时对镜像流量进行分析,得到恶意DNS访问请求对应的响应信息,进而得到对应的目标IP地址,并将目标IP地址和其对应的域名保存至数据库,在线分析的方式准确性好,实时性好,能够对远控木马控制端IP进行追踪溯源,缓解了现有的远控木马控制端IP地址的获取方法获取得到的IP地址准确性差,实时性差,无法对控制端IP进行追踪溯源的技术问题。
上述内容对实时在线监测远控木马控制端IP地址的方法的部分内容进行了介绍,下面对其中的其它内容进行介绍。
可选地,参考图2,该方法还包括:
S105、如果镜像流量中的访问请求不是DNS访问请求,则丢弃镜像流量。
可选地,参考图2,该方法还包括:
S107、如果DNS访问请求不是恶意DNS访问请求,则丢弃包含DNS访问请求的镜像流量。
可选地,在对响应信息进行解析之后,参考图2,该方法还包括:
S1110、判断是否解析得到响应信息对应的IP地址;
S1111、如果解析得到IP地址,则将IP地址作为目标IP地址;
S1112、如果未解析得到IP地址,则丢弃包含响应信息的镜像流量。
上述内容即为实时在线监测远控木马控制端IP地址的方法的过程,下面对其中涉及到的判别恶意DNS访问请求的过程进行详细介绍。
可选地,参考图3,根据DNS访问请求的域名判断DNS访问请求是否为恶意DNS访问请求包括:
S301、采用恶意域名检测算法检测DNS访问请求的域名是否为恶意域名;
具体的,现有技术中存在恶意域名检测算法,本发明中恶意域名的检测过程采用的即为现有技术中的恶意域名检测算法。
下面对几种恶意域名进行举例介绍:
超长型域名一般为恶意域名,随机字符串型域名一般为恶意域名,比如.zqa1234,外国免备案类域名一般为恶意域名,如.cc。
S302、如果是恶意域名,则DNS访问请求为恶意DNS访问请求;
S303、如果不是恶意域名,则DNS访问请求不是恶意DNS访问请求。
在本发明的方法中,当监测到远控木马活动时,借助与DNS服务器进行交互从而实现对远控木马控制端真实IP地址的实时解析并监控,进而可以实时记录远控木马控制端的IP变化;能够在线、实时、自动化监测并记录远控木马的控制端IP地址,准确度有保障,对追踪溯源有极大的帮助。
总之,该方法对镜像流量中远控木马产生的大量C&C域名(即恶意域名)进行实时在线解析,准确记录了远控木马服务器的IP地址,还原了案发现场,对抓获非法入侵者意义重大。
实施例二:
一种实时在线监测远控木马控制端IP地址的装置,参考图4,该装置包括:
第一获取模块20,用于实时获取镜像路由器发送的镜像流量,其中,镜像路由器与受侵害设备连接,受侵害设备是指被远控木马所入侵的设备;
第一判断模块21,用于判断镜像流量中的访问请求是否为DNS访问请求;
第二判断模块22,如果是DNS访问请求,则根据DNS访问请求的域名判断DNS访问请求是否为恶意DNS访问请求;
第二获取模块23,如果是恶意DNS访问请求,则在镜像流量中获取与恶意DNS访问请求对应的响应信息;
解析模块24,用于对响应信息进行解析,得到对应的目标IP地址,其中,目标IP地址为远控木马控制端的IP地址;
保存模块25,用于将目标IP地址与对应的域名实时保存至数据库,以记录远控木马控制端的IP地址的变化。
本发明的实时在线监测远控木马控制端IP地址的装置中,实时获取镜像路由器发送的镜像流量,进而判断镜像流量中的访问请求是否为DNS访问请求,如果是DNS访问请求,则根据DNS访问请求的域名判断DNS访问请求是否为恶意DNS访问请求,如果是恶意DNS访问请求,则在镜像流量中获取与恶意DNS访问请求对应的响应信息,进而对响应信息进行解析,得到对应的目标IP地址,最终将目标IP地址与对应的域名实时保存至数据库。该装置能够实时获取镜像流量,并实时对镜像流量进行分析,得到恶意DNS访问请求对应的响应信息,进而得到对应的目标IP地址,并将目标IP地址和其对应的域名保存至数据库,在线分析的方式准确性好,实时性好,能够对远控木马控制端IP进行追踪溯源,缓解了现有的远控木马控制端IP地址的获取方法获取得到的IP地址准确性差,实时性差,无法对控制端IP进行追踪溯源的技术问题。
可选地,该装置还包括:
第一丢弃模块,如果镜像流量中的访问请求不是DNS访问请求,则丢弃镜像流量。
可选地,第二判断模块包括:
检测单元,用于采用恶意域名检测算法检测DNS访问请求的域名是否为恶意域名;
第一设定单元,如果是恶意域名,则DNS访问请求为恶意DNS访问请求;
第二设定单元,如果不是恶意域名,则DNS访问请求不是恶意DNS访问请求。
可选地,该装置还包括:
第二丢弃模块,如果DNS访问请求不是恶意DNS访问请求,则丢弃包含DNS访问请求的镜像流量。
可选地,该装置还包括:
第三判断模块,用于判断是否解析得到响应信息对应的IP地址;
设定模块,如果解析得到IP地址,则将IP地址作为目标IP地址;
第三丢弃模块,如果未解析得到IP地址,则丢弃包含响应信息的镜像流量。
该实施例二中的具体描述可以参考上述实施例一中的具体内容,在此不再赘述。
实施例三:
本发明实施例提供了一种电子设备,参考图5,该电子设备包括:处理器30,存储器31,总线32和通信接口33,处理器30、通信接口33和存储器31通过总线32连接;处理器30用于执行存储器31中存储的可执行模块,例如计算机程序。处理器执行极端及程序时实现如方法实施例中描述的方法的步骤。
其中,存储器31可能包含高速随机存取存储器(RAM,Random Access Memory),也可能还包括非不稳定的存储器(non-volatile memory),例如至少一个磁盘存储器。通过至少一个通信接口33(可以是有线或者无线)实现该***网元与至少一个其他网元之间的通信连接,可以使用互联网,广域网,本地网,城域网等。
总线32可以是ISA总线、PCI总线或EISA总线等。总线可以分为地址总线、数据总线、控制总线等。为便于表示,图5中仅用一个双向箭头表示,但并不表示仅有一根总线或一种类型的总线。
其中,存储器31用于存储程序,处理器30在接收到执行指令后,执行程序,前述本发明实施例任一实施例揭示的流过程定义的装置所执行的方法可以应用于处理器30中,或者由处理器30实现。
处理器30可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法的各步骤可以通过处理器30中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器30可以是通用处理器,包括中央处理器(Central Processing Unit,简称CPU)、网络处理器(Network Processor,简称NP)等;还可以是数字信号处理器(Digital SignalProcessing,简称DSP)、专用集成电路(Application Specific Integrated Circuit,简称ASIC)、现成可编程门阵列(Field-Programmable Gate Array,简称FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本发明实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器31,处理器30读取存储器31中的信息,结合其硬件完成上述方法的步骤。
本发明实施例所提供的实时在线监测远控木马控制端IP地址的方法及装置的计算机程序产品,包括存储了程序代码的计算机可读存储介质,所述程序代码包括的指令可用于执行前面方法实施例中所述的方法,具体实现可参见方法实施例,在此不再赘述。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的***和装置的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
另外,在本发明实施例的描述中,除非另有明确的规定和限定,术语“安装”、“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本发明中的具体含义。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
在本发明的描述中,需要说明的是,术语“中心”、“上”、“下”、“左”、“右”、“竖直”、“水平”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。此外,术语“第一”、“第二”、“第三”仅用于描述目的,而不能理解为指示或暗示相对重要性。
最后应说明的是:以上所述实施例,仅为本发明的具体实施方式,用以说明本发明的技术方案,而非对其限制,本发明的保护范围并不局限于此,尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,其依然可以对前述实施例所记载的技术方案进行修改或可轻易想到变化,或者对其中部分技术特征进行等同替换;而这些修改、变化或者替换,并不使相应技术方案的本质脱离本发明实施例技术方案的精神和范围,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应所述以权利要求的保护范围为准。
Claims (10)
1.一种实时在线监测远控木马控制端IP地址的方法,其特征在于,所述方法包括:
实时获取镜像路由器发送的镜像流量,其中,所述镜像路由器与受侵害设备连接,所述受侵害设备是指被远控木马所入侵的设备;
判断所述镜像流量中的访问请求是否为DNS访问请求;
如果是所述DNS访问请求,则根据所述DNS访问请求的域名判断所述DNS访问请求是否为恶意DNS访问请求;
如果是所述恶意DNS访问请求,则在所述镜像流量中获取与所述恶意DNS访问请求对应的响应信息;
对所述响应信息进行解析;
判断是否解析得到所述响应信息对应的IP地址;
如果解析得到所述IP地址,则将所述IP地址作为对应的目标IP地址,其中,所述目标IP地址为远控木马控制端的IP地址;
将所述目标IP地址与对应的域名实时保存至数据库,以记录所述远控木马控制端的IP地址的变化。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
如果所述镜像流量中的访问请求不是所述DNS访问请求,则丢弃所述镜像流量。
3.根据权利要求1所述的方法,其特征在于,根据所述DNS访问请求的域名判断所述DNS访问请求是否为恶意DNS访问请求包括:
采用恶意域名检测算法检测所述DNS访问请求的域名是否为恶意域名;
如果是所述恶意域名,则所述DNS访问请求为所述恶意DNS访问请求;
如果不是所述恶意域名,则所述DNS访问请求不是所述恶意DNS访问请求。
4.根据权利要求1所述的方法,其特征在于,所述方法还包括:
如果所述DNS访问请求不是所述恶意DNS访问请求,则丢弃包含所述DNS访问请求的镜像流量。
5.根据权利要求1所述的方法,其特征在于,所述方法还包括:
如果未解析得到所述IP地址,则丢弃包含所述响应信息的镜像流量。
6.一种实时在线监测远控木马控制端IP地址的装置,其特征在于,所述装置包括:
第一获取模块,用于实时获取镜像路由器发送的镜像流量,其中,所述镜像路由器与受侵害设备连接,所述受侵害设备是指被远控木马所入侵的设备;
第一判断模块,用于判断所述镜像流量中的访问请求是否为DNS访问请求;
第二判断模块,如果是所述DNS访问请求,则根据所述DNS访问请求的域名判断所述DNS访问请求是否为恶意DNS访问请求;
第二获取模块,如果是所述恶意DNS访问请求,则在所述镜像流量中获取与所述恶意DNS访问请求对应的响应信息;
解析模块,用于对所述响应信息进行解析;判断是否解析得到所述响应信息对应的IP地址;如果解析得到所述IP地址,则将所述IP地址作为对应的目标IP地址,其中,所述目标IP地址为远控木马控制端的IP地址;
保存模块,用于将所述目标IP地址与对应的域名实时保存至数据库,以记录所述远控木马控制端的IP地址的变化。
7.根据权利要求6所述的装置,其特征在于,所述装置还包括:
第一丢弃模块,如果所述镜像流量中的访问请求不是所述DNS访问请求,则丢弃所述镜像流量。
8.根据权利要求6所述的装置,其特征在于,所述第二判断模块包括:
检测单元,用于采用恶意域名检测算法检测所述DNS访问请求的域名是否为恶意域名;
第一设定单元,如果是所述恶意域名,则所述DNS访问请求为所述恶意DNS访问请求;
第二设定单元,如果不是所述恶意域名,则所述DNS访问请求不是所述恶意DNS访问请求。
9.根据权利要求6所述的装置,其特征在于,所述装置还包括:
第二丢弃模块,如果所述DNS访问请求不是所述恶意DNS访问请求,则丢弃包含所述DNS访问请求的镜像流量。
10.一种电子设备,包括存储器、处理器,所述存储器上存储有可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现上述权利要求1至5中任一项所述的方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810561442.1A CN108769034B (zh) | 2018-06-01 | 2018-06-01 | 一种实时在线监测远控木马控制端ip地址的方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810561442.1A CN108769034B (zh) | 2018-06-01 | 2018-06-01 | 一种实时在线监测远控木马控制端ip地址的方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108769034A CN108769034A (zh) | 2018-11-06 |
| CN108769034B true CN108769034B (zh) | 2021-02-26 |
Family
ID=64002314
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810561442.1A Active CN108769034B (zh) | 2018-06-01 | 2018-06-01 | 一种实时在线监测远控木马控制端ip地址的方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108769034B (zh) |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109274676B (zh) * | 2018-10-07 | 2020-12-11 | 杭州安恒信息技术股份有限公司 | 基于自学习方式获取木马控制端ip地址的方法、***和存储设备 |
| CN110233831A (zh) * | 2019-05-21 | 2019-09-13 | 深圳壹账通智能科技有限公司 | 恶意注册的检测方法及装置 |
| CN111030979A (zh) * | 2019-06-20 | 2020-04-17 | 哈尔滨安天科技集团股份有限公司 | 一种恶意域名检测方法、装置及存储设备 |
| CN110300193B (zh) * | 2019-07-01 | 2021-07-06 | 北京微步在线科技有限公司 | 一种获取实体域名的方法和装置 |
| CN111212039A (zh) * | 2019-12-23 | 2020-05-29 | 杭州安恒信息技术股份有限公司 | 基于dns流量的主机挖矿行为检测方法 |
| CN112640392B (zh) * | 2020-11-20 | 2022-05-13 | 华为技术有限公司 | 一种木马检测方法、装置和设备 |
| CN113992442B (zh) * | 2021-12-28 | 2022-03-18 | 北京微步在线科技有限公司 | 一种木马连通成功检测方法及装置 |
| CN116016479A (zh) * | 2022-12-05 | 2023-04-25 | 北京天融信网络安全技术有限公司 | 服务器控制方法、装置、电子设备及计算机可读存储介质 |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102202064B (zh) * | 2011-06-13 | 2013-09-25 | 刘胜利 | 基于网络数据流分析的木马通信行为特征提取方法 |
| US9088606B2 (en) * | 2012-07-05 | 2015-07-21 | Tenable Network Security, Inc. | System and method for strategic anti-malware monitoring |
| CN105024969B (zh) * | 2014-04-17 | 2018-04-03 | 北京启明星辰信息安全技术有限公司 | 一种实现恶意域名识别的方法及装置 |
| US9363269B2 (en) * | 2014-07-30 | 2016-06-07 | Zscaler, Inc. | Zero day threat detection based on fast flux detection and aggregation |
| CN105187393B (zh) * | 2015-08-10 | 2018-05-22 | 济南大学 | 一种移动终端恶意软件网络行为重构方法及其*** |
| CN106101088B (zh) * | 2016-06-04 | 2019-05-24 | 北京兰云科技有限公司 | 清洗设备、检测设备、路由设备和防范dns攻击的方法 |
| CN107592312B (zh) * | 2017-09-18 | 2021-04-30 | 济南互信软件有限公司 | 一种基于网络流量的恶意软件检测方法 |
-
2018
- 2018-06-01 CN CN201810561442.1A patent/CN108769034B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN108769034A (zh) | 2018-11-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108769034B (zh) | 一种实时在线监测远控木马控制端ip地址的方法及装置 | |
| US9860278B2 (en) | Log analyzing device, information processing method, and program | |
| CN111010409B (zh) | 加密攻击网络流量检测方法 | |
| US8578493B1 (en) | Botnet beacon detection | |
| US8516573B1 (en) | Method and apparatus for port scan detection in a network | |
| US7752665B1 (en) | Detecting probes and scans over high-bandwidth, long-term, incomplete network traffic information using limited memory | |
| CN109474575B (zh) | 一种dns隧道的检测方法及装置 | |
| CN103795709B (zh) | 一种网络安全检测方法和*** | |
| JP5264470B2 (ja) | 攻撃判定装置及びプログラム | |
| TW201703465A (zh) | 網路異常偵測技術 | |
| US7805762B2 (en) | Method and system for reducing the false alarm rate of network intrusion detection systems | |
| CN110636085A (zh) | 基于流量的攻击检测方法、装置及计算机可读存储介质 | |
| CN104135474B (zh) | 基于主机出入度的网络异常行为检测方法 | |
| CN110855717B (zh) | 一种物联网设备防护方法、装置和*** | |
| EP3242240B1 (en) | Malicious communication pattern extraction device, malicious communication pattern extraction system, malicious communication pattern extraction method and malicious communication pattern extraction program | |
| CN108737385A (zh) | 一种基于dns映射ip的恶意域名匹配方法 | |
| CN106921671B (zh) | 一种网络攻击的检测方法及装置 | |
| CN104486320B (zh) | 基于蜜网技术的内网敏感信息泄露取证***及方法 | |
| KR102244036B1 (ko) | 네트워크 플로우 데이터를 이용한 네트워크 자산 분류 방법 및 상기 방법에 의해 분류된 네트워크 자산에 대한 위협 탐지 방법 | |
| CN107666464B (zh) | 一种信息处理方法及服务器 | |
| CN105959294B (zh) | 一种恶意域名鉴别方法及装置 | |
| CN113472772A (zh) | 网络攻击的检测方法、装置、电子设备及存储介质 | |
| CN106790073B (zh) | 一种Web服务器恶意攻击的阻断方法、装置及防火墙 | |
| CN110830487A (zh) | 物联网终端的异常状态识别方法、装置及电子设备 | |
| CN113783880A (zh) | 网络安全检测***及其网络安全检测方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information | ||
| CB02 | Change of applicant information |
Address after: No. 188, Lianhui street, Xixing street, Binjiang District, Hangzhou City, Zhejiang Province Applicant after: Hangzhou Anheng Information Technology Co.,Ltd. Address before: 310000 15-storey Zhejiang Zhongcai Building, No. 68 Tonghe Road, Binjiang District, Hangzhou City, Zhejiang Province Applicant before: Hangzhou Anheng Information Technology Co.,Ltd. |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| EE01 | Entry into force of recordation of patent licensing contract | ||
| EE01 | Entry into force of recordation of patent licensing contract |
Application publication date: 20181106 Assignee: Hangzhou Anheng Information Security Technology Co., Ltd Assignor: Hangzhou Anheng Information Technology Co.,Ltd. Contract record no.: X2021330000118 Denomination of invention: A method and device for real-time online monitoring IP address of remote control Trojan horse control end Granted publication date: 20210226 License type: Common License Record date: 20210823 |