本發(fā)明涉及計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，尤其涉及一種驗(yàn)證惡意代碼在受害者主機(jī)中活躍度的方法及系統(tǒng)。

背景技術(shù)：

在網(wǎng)絡(luò)攻擊日益泛濫的今天，針對(duì)企業(yè)級(jí)別的反病毒產(chǎn)品層出不窮，傳統(tǒng)的以文件級(jí)掃描引擎為基礎(chǔ)的產(chǎn)品，他們永遠(yuǎn)無法回避一個(gè)關(guān)鍵的問題，就是掃描的速度。而另一個(gè)重要的問題是若用戶只允許設(shè)備安裝在網(wǎng)絡(luò)出口，當(dāng)設(shè)備檢出惡意代碼時(shí)，追溯惡意代碼樣本在受害者機(jī)器中的情況則變得十分困難。

技術(shù)實(shí)現(xiàn)要素：

針對(duì)上述技術(shù)問題，本發(fā)明通過記錄惡意代碼樣本相關(guān)的五元組信息，并將惡意代碼樣本投入沙箱模擬運(yùn)行進(jìn)而獲取C&C的IP地址，通過在所述五元組信息中搜索所述C&C的IP地址進(jìn)而驗(yàn)證惡意代碼在網(wǎng)絡(luò)攻擊受害者主機(jī)中是否活躍。

本發(fā)明采用如下方法來實(shí)現(xiàn)：一種驗(yàn)證惡意代碼在受害者主機(jī)中活躍度的方法，包括：

監(jiān)控網(wǎng)內(nèi)通信行為，若存在惡意代碼則記錄相關(guān)流量信息；

基于相關(guān)流量信息還原惡意代碼樣本，并記錄相關(guān)的五元組信息；

將所述惡意代碼樣本投入沙箱運(yùn)行，并獲取回連的C&C的IP地址；

判斷所述IP地址是否在所述五元組信息中，若是則判定惡意代碼在受害者主機(jī)中活躍，否則判定惡意代碼未在受害者主機(jī)中活躍。

進(jìn)一步地，還包括：基于五元組信息中的任意一項(xiàng)能夠搜索到惡意代碼樣本相關(guān)的全部信息。

更進(jìn)一步地，還包括：根據(jù)需要自定義需要記錄的信息。

其中，所述根據(jù)需要自定義需要記錄的信息，具體為：只記錄惡意代碼樣本相關(guān)的IP信息，包括：源IP地址和目的IP地址。

本發(fā)明可以采用如下系統(tǒng)來實(shí)現(xiàn)：一種驗(yàn)證惡意代碼在受害者主機(jī)中活躍度的系統(tǒng)，包括：

流量監(jiān)測模塊，用于監(jiān)控網(wǎng)內(nèi)通信行為，若存在惡意代碼則記錄相關(guān)流量信息；

流量還原模塊，用于基于相關(guān)流量信息還原惡意代碼樣本，并記錄相關(guān)的五元組信息；

沙箱運(yùn)行模塊，用于將所述惡意代碼樣本投入沙箱運(yùn)行，并獲取回連的C&C的IP地址；

匹配判定模塊，用于判斷所述IP地址是否在所述五元組信息中，若是則判定惡意代碼在受害者主機(jī)中活躍，否則判定惡意代碼未在受害者主機(jī)中活躍。

進(jìn)一步地，還包括：記錄搜索模塊，用于基于五元組信息中的任意一項(xiàng)能夠搜索到惡意代碼樣本相關(guān)的全部信息。

更進(jìn)一步地，還包括：自定義設(shè)置模塊，用于根據(jù)需要自定義需要記錄的信息。

其中，所述根據(jù)需要自定義需要記錄的信息，具體為：只記錄惡意代碼樣本相關(guān)的IP信息，包括：源IP地址和目的IP地址。

綜上，本發(fā)明給出一種驗(yàn)證惡意代碼在受害者主機(jī)中活躍度的方法及系統(tǒng)，通過監(jiān)控網(wǎng)內(nèi)通信行為，若發(fā)現(xiàn)被檢測網(wǎng)絡(luò)中存在安全威脅，則通過流量還原技術(shù)獲取惡意代碼樣本，并進(jìn)一步記錄包含惡意代碼樣本的通信行為的五元組信息，或者為了減小服務(wù)器處理壓力，僅記錄通信行為相關(guān)的IP地址；通過沙箱動(dòng)態(tài)分析惡意代碼樣本進(jìn)而得到該通信行為中惡意代碼樣本回連的C&C。最后將所述C&C的IP地址與上述記錄的五元組信息或者直接與IP地址匹配，若命中，則說明該惡意代碼樣本在受害者主機(jī)中仍處于活躍狀態(tài)。

有益效果為：本發(fā)明所述技術(shù)方案能夠利用沙箱的動(dòng)態(tài)檢測保證了惡意代碼樣本所回連C&C的真實(shí)準(zhǔn)確性，并在記錄的五元組信息中搜索該C&C的IP地址，進(jìn)而可以準(zhǔn)確判定惡意代碼是否在受害者機(jī)器中活躍。

附圖說明

為了更清楚地說明本發(fā)明的技術(shù)方案，下面將對(duì)實(shí)施例中所需要使用的附圖作簡單地介紹，顯而易見地，下面描述中的附圖僅僅是本發(fā)明中記載的一些實(shí)施例，對(duì)于本領(lǐng)域普通技術(shù)人員來講，在不付出創(chuàng)造性勞動(dòng)的前提下，還可以根據(jù)這些附圖獲得其他的附圖。

圖1為本發(fā)明提供的一種驗(yàn)證惡意代碼在受害者主機(jī)中活躍度的方法實(shí)施例流程圖；

圖2為本發(fā)明提供的一種驗(yàn)證惡意代碼在受害者主機(jī)中活躍度的系統(tǒng)實(shí)施例結(jié)構(gòu)圖。

具體實(shí)施方式

本發(fā)明給出了一種驗(yàn)證惡意代碼在受害者主機(jī)中活躍度的方法及系統(tǒng)實(shí)施例，為了使本技術(shù)領(lǐng)域的人員更好地理解本發(fā)明實(shí)施例中的技術(shù)方案，并使本發(fā)明的上述目的、特征和優(yōu)點(diǎn)能夠更加明顯易懂，下面結(jié)合附圖對(duì)本發(fā)明中技術(shù)方案作進(jìn)一步詳細(xì)的說明：

本發(fā)明首先提供了一種驗(yàn)證惡意代碼在受害者主機(jī)中活躍度的方法實(shí)施例，如圖1所示，包括：

S101：監(jiān)控網(wǎng)內(nèi)通信行為，若存在惡意代碼則記錄相關(guān)流量信息。其中，本發(fā)明主要檢測對(duì)象為企業(yè)內(nèi)網(wǎng)，但是其他類似網(wǎng)絡(luò)同樣適用。例如，在一次下載活動(dòng)中，用戶A下載了惡意代碼B，則需要準(zhǔn)確的記錄惡意代碼B的下載流量信息。

S102：基于相關(guān)流量信息還原惡意代碼樣本，并記錄相關(guān)的五元組信息。

其中，所述基于相關(guān)流量信息還原惡意代碼樣本，支持多種網(wǎng)絡(luò)協(xié)議的流量還原，包括但不限于：HTTP、FTP、POP3、SMTP、IMAP、TFTP、SMB、WebMail、飛鴿等，并且在流還原的基礎(chǔ)上進(jìn)一步進(jìn)行深度協(xié)議解碼，獲取協(xié)議傳輸原文件，目的在于后續(xù)將其投入沙箱進(jìn)行動(dòng)態(tài)檢測。并記錄與惡意代碼樣本相關(guān)的五元組信息，包括：源IP地址，源端口，目的IP地址，目的端口和傳輸層協(xié)議。

優(yōu)選地，還包括：基于五元組信息中的任意一項(xiàng)能夠搜索到惡意代碼樣本相關(guān)的全部信息。方便操作員對(duì)所需信息的搜索。

還包括：根據(jù)需要自定義需要記錄的信息。具體為：只記錄惡意代碼樣本相關(guān)的IP信息，包括：源IP地址和目的IP地址。

操作員可以根據(jù)需要選擇和放棄需要記錄的信息，不一定要記錄五元組的所有信息，因?yàn)樵谀承┐罅髁繄鼍跋拢绻涗浫髁?，?huì)使設(shè)備負(fù)載過高，無法穩(wěn)定運(yùn)行。因此，在該實(shí)施例中，可以選擇只記錄惡意代碼樣本相關(guān)的IP地址即可。

S103：將所述惡意代碼樣本投入沙箱運(yùn)行，并獲取回連的C&C的IP地址。

其中，使用沙箱對(duì)惡意代碼樣本進(jìn)行動(dòng)態(tài)檢測，可以自動(dòng)得出惡意代碼樣本的行為，包括其訪問的IP地址，文件的操作以及對(duì)磁盤文件的增刪等功能，這里可以只記錄惡意代碼樣本企圖回連的C&C的IP地址。

S104：判斷所述IP地址是否在所述五元組信息中，若是則判定惡意代碼在受害者主機(jī)中活躍，否則判定惡意代碼未在受害者主機(jī)中活躍。

其中，若所述C&C的IP地址在所述五元組信息中，說明沙箱動(dòng)態(tài)得出的行為實(shí)際發(fā)生，證明惡意代碼樣本在受害者機(jī)器中正在活躍地運(yùn)行。若所述C&C的IP地址未在所述五元組信息中，說明沙箱動(dòng)態(tài)得出的行為實(shí)際并未發(fā)生，證明惡意代碼樣本在受害者機(jī)器中并沒有活躍地運(yùn)行。

本發(fā)明其次提供了一種驗(yàn)證惡意代碼在受害者主機(jī)中活躍度的系統(tǒng)實(shí)施例，如圖2所示，包括：

流量監(jiān)測模塊201，用于監(jiān)控網(wǎng)內(nèi)通信行為，若存在惡意代碼則記錄相關(guān)流量信息；

流量還原模塊202，用于基于相關(guān)流量信息還原惡意代碼樣本，并記錄相關(guān)的五元組信息；

沙箱運(yùn)行模塊203，用于將所述惡意代碼樣本投入沙箱運(yùn)行，并獲取回連的C&C的IP地址；

匹配判定模塊204，用于判斷所述IP地址是否在所述五元組信息中，若是則判定惡意代碼在受害者主機(jī)中活躍，否則判定惡意代碼未在受害者主機(jī)中活躍。

優(yōu)選地，還包括：記錄搜索模塊，用于基于五元組信息中的任意一項(xiàng)能夠搜索到惡意代碼樣本相關(guān)的全部信息。

更優(yōu)選地，還包括：自定義設(shè)置模塊，用于根據(jù)需要自定義需要記錄的信息。

其中，所述根據(jù)需要自定義需要記錄的信息，具體為：只記錄惡意代碼樣本相關(guān)的IP信息，包括：源IP地址和目的IP地址。

本說明書中的各個(gè)實(shí)施例均采用遞進(jìn)的方式描述，各個(gè)實(shí)施例之間相同或相似的部分互相參見即可，每個(gè)實(shí)施例重點(diǎn)說明的都是與其他實(shí)施例的不同之處。尤其，對(duì)于系統(tǒng)實(shí)施例而言，由于其基本相似于方法實(shí)施例，所以描述的比較簡單，相關(guān)之處參見方法實(shí)施例的部分說明即可。

如上所述，上述實(shí)施例給出了一種驗(yàn)證惡意代碼在受害者主機(jī)中活躍度的方法及系統(tǒng)實(shí)施例，通過監(jiān)控網(wǎng)內(nèi)通信行為，并還原惡意代碼樣本并記錄五元組信息，通過沙箱對(duì)惡意代碼樣本進(jìn)行動(dòng)態(tài)檢測進(jìn)而得到C&C的IP地址，在記錄的五元組信息中搜索該IP地址，若命中，則判定惡意代碼樣本在受害者機(jī)器中活躍，否則判定惡意代碼樣本未在受害者機(jī)器中活躍。上述實(shí)施例能夠準(zhǔn)確判定惡意代碼在受害者機(jī)器中是否處于活躍狀態(tài)。

以上實(shí)施例用以說明而非限制本發(fā)明的技術(shù)方案。不脫離本發(fā)明精神和范圍的任何修改或局部替換，均應(yīng)涵蓋在本發(fā)明的權(quán)利要求范圍當(dāng)中。