CN104901850B - 一种恶意代码终端感染机器网络定位方法 - Google Patents
一种恶意代码终端感染机器网络定位方法 Download PDFInfo
- Publication number
- CN104901850B CN104901850B CN201510322046.XA CN201510322046A CN104901850B CN 104901850 B CN104901850 B CN 104901850B CN 201510322046 A CN201510322046 A CN 201510322046A CN 104901850 B CN104901850 B CN 104901850B
- Authority
- CN
- China
- Prior art keywords
- network
- address
- malicious code
- positioning
- malicious
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种恶意代码终端感染机器网络定位方法。包括骨干网定位步骤、信息中心节点出口定位步骤和感染总段机器定位步骤。很好的克服了常见恶意代码感染数据从互联网侧到最终感染终端在网络定位方面遇到的困难,其在不依赖安全检测设备的情况下,非常方便的实现了不同网络层面下的恶意代码终端感染机器的网络定位。
Description
技术领域
本发明涉及计算机网络安全技术领域,特别涉及一种对互联网中感染恶意代码的终端机器进行定位的方法。
背景技术
目前,随着科技的发展,互联网已经成为人们日常工作和生活不可缺少的部分,互联网安全,也逐渐延伸到人们的日常工作生活中。为了能够保证网络安全,互联网行业监管部门、基础运营商以及安全厂商,需在骨干网、城域网各网络节点开展恶意代码实时监测,以及时掌握和发现恶意代码活动和感染情况,从而进行监测预警和有效处置。
为了能够及时有效处理恶意代码感染事件,需要能够准确的找到被恶意代码感染的终端设备,然而,目前对于如何快速准确定位恶意代码感染设备,存在一系列的困难。如何针对互联网监测平台监测的感染数据,快速有效定位到具体的感染终端(PC机或服务器),面临以下问题:
1.互联网数据是无边界的,难以确定感染数据的区域归属和运营商;
2.面对IP在分配时频繁更新的情况,如何确定感染数据的准确用户信息;
3.面对IP资源不足时使用NAT转换的情况,甚至是多层NAT的复杂网络情况,如何快速有效进行子网出口IP定位以及内网主机IP;
4.面对网络出口不具备各种辅助日志进行内网IP跟踪的情况下,如何有效进行内外主机定位。
面对上述问题,目前还没能找到一种行之有效的恶例代码终端感染机器的定位方法。
发明内容
本发明旨在给出一种能够快速有效的恶意代码终端感染机器网络定位方法,这是实现及时有效开展恶意代码清除工作的前提,从而为网络安全提供支撑和保障。
本发明所述的恶意代码终端感染机器网络定位方法,包括如下步骤:
A、骨干网定位
在骨干网设置网络监测平台,监测平台包括监测探头和信息处理中心;监控探头在网络上通过对目标对象进行扫描、爬虫或抓包,获取网络数据;信息处理中心对获取的网络数据进行分析和过滤处理,对与标定为恶意代码异常特征相匹配的网络数据的数据包进行元素提取,提取恶意代码感染数据的网络五元组信息;提取五元组信息中的恶意目的IP地址和感染恶意代码的互联网IP地址,将感染恶意代码的互联网IP地址与互联网公开的IP资源库进行匹配,确定IP所属基础运营商及所属省份,实现运营商及区域的初定位;
B、城域网定位
将步骤A提取的感染恶意代码的互联网IP地址,与运营商掌握互联网IP资源管理库进行匹配,实现感染恶意代码的IP用户信息初定位;若IP为动态IP,则直接定位到拨号用户账号;若IP为静态IP,则将定位到专线用户信息;
C、专线用户内网定位
当专线用户的IP直接配置在终端服务器时,则完成了恶意代码终端感染机器网络定位;
当专线用户的IP是NAT(Network Address Translation,网络地址转换)方式分配时:
首先,查阅网络安全审计系统;通过查阅网络安全审计系统的网络行为日志,结合感染数据恶意目的IP和目的端口,查询在对应时间点与恶意目的IP通信的本地内部源IP地址,实现专线用户的内网定位;
若无网络安全审计系统,或网络行为日志中未搜索到与恶意目的IP地址相关的通信日志,则通过防火墙日志进行内网IP定位;采用文件IP关键词搜索的方式,进行历史日志查找,搜索访问恶意目的IP地址的源IP地址,实现专线用户的内网定位;
若也无防火墙日志,或防火墙日志中仍未搜索到访问恶意目的IP地址的源IP地址,则采取网络出口抓包的方式进行定位;在互联网出口路由器前面(即做NAT之前),将局域网内所有出入互联网的数据包采用镜像或者分光的方式,复制一份实时网络通信数据,进行抓包分析;利用抓包工具包匹配功能,进行数据比对分析,搜索与恶意目的IP地址发生过通信行为的源IP地址,实现专线用户的内网定位;
D、感染终端定位
如步骤C定位到的源IP地址对应的设备是终端机,则可以根据内网IP或者MAC地址完成感染终端机器定位;
如步骤C定位到的源IP地址对应的设备非终端机,有下一级子网,则按照步骤C中的方法继续对其下一级子网定位,依此重复,直至找到终端机,从而完成恶意代码感染终端机器的定位。
本发明所述的恶意代码终端感染机器网络定位方法,很好的克服了现有技术中恶意代码终端感染机器的网络定位的困难。该定位方法的实现不完全依赖于安全监测设备,即使在无额外部署的安全监测设备的情况下,仍然可以通过搜索防火墙日志及网络出口抓包等方式,实现对恶意代码感染终端机器的定位。同时,其还不受网络级数的限制,非常方便的实现了多级网络下的内网IP定位。
本发明所述的恶意代码终端感染机器网络定位方法,其步骤C中,采取网络出口抓包的方式进行定位时,在外网保持持续抓包一段时间仍未能捕获到目标数据包,可以在保持抓包的过程中将网络中断一小段时间后重连网络。
其采用连续抓包和网络重连相结合的方式,很好的解决了恶意代码不处在活跃期难以捕获定位的问题,缩短恶意代码潜伏期,通过促发其主动外连的方式,实现快速有效地对恶意代码终端感染机器的IP网络定位。
附图说明
图1 为恶意代码终端感染机器网络定位图。
具体实施方式
一种恶意代码终端感染机器网络定位方法,首先进行骨干网定位,在骨干网设置网络监测平台,监测平台包括监测探头和信息处理中心;监控探头在网络上通过对目标对象进行扫描、爬虫或抓包,获取网络数据;信息处理中心对获取的网络数据进行分析和过滤处理,对与标定为恶意代码异常特征相匹配的网络数据的数据包进行元素提取,提取网络五元组信息;获取五元组信息中的恶意目的IP地址和感染恶意代码的互联网IP地址,将感染恶意代码的互联网IP地址与互联网公开的IP资源库进行匹配,确定IP所属基础运营商及所属省份,实现运营商及区域的初定位。然后进行城域网定位,将步骤A提取的感染恶意代码的互联网IP地址,与运营商掌握互联网IP资源管理库进行匹配,实现感染恶意代码的IP用户信息初定位;若IP为动态IP,则直接定位到拨号用户账号;若IP为静态IP,则将定位到专线用户信息。再进行专线用户内网定位,当专线用户的IP直接配置在终端服务器时,则完成了恶意代码终端感染机器网络定位;当专线用户的IP是NAT(Network AddressTranslation,网络地址转换)方式分配时:首先,查阅网络安全审计系统;通过查阅网络安全审计系统的网络行为日志,结合感染数据恶意目的IP和目的端口,查询在对应时间点与恶意目的IP通信的本地内部源IP地址,实现专线用户的内网定位。若无网络安全审计系统,或网络行为日志中未搜索到与恶意目的IP地址相关的通信日志,则通过防火墙日志进行内网IP定位;采用文件IP关键词搜索的方式,进行历史日志查找,搜索访问恶意目的IP地址的源IP地址,实现专线用户的内网定位。若也无防火墙日志,或防火墙日志中仍未搜索到访问恶意目的IP地址的源IP地址,则采取网络出口抓包的方式进行定位;在互联网出口路由器前面(即做NAT之前),将局域网内所有出入互联网的数据包采用镜像或者分光的方式,复制一份实时网络通信数据,进行抓包分析;利用抓包工具包匹配功能,进行数据比对分析,搜索与恶意目的IP地址发生过通信行为的源IP地址,实现专线用户的内网定位。最后进行感染终端定位,如步骤C定位到的源IP地址对应的设备是终端机,则可以根据内网IP或者MAC地址完成感染终端机器定位;如步骤C定位到的源IP地址对应的设备非终端机,有下一级子网,则按照步骤C中的方法继续对其下一级子网定位,依此重复,直至找到终端机,从而完成恶意代码感染终端机器的定位。
所述方法,根据不同情况进行展开分析定位,针对多级子网嵌套的情况采用迭代的方式进行逐级定位,直到最后以找到目标感染终端为止。方便的实现了多级网络下的内网IP定位。
上述方法中,信息中心节点出口定位步骤中,可将针对恶意目的IP地址对信息中心节点出口进行抓包得到的五元组与异常数据进行匹配,以能验证源IP地址是否确实在和恶意目的IP进行异常数据通信,从而对定位的源IP地址是否真正感染恶意代码进行验证。
Claims (3)
1.一种恶意代码终端感染机器网络定位方法,其特征在于:包括如下步骤:
A、骨干网定位
在骨干网设置网络监测平台,监测平台包括监测探头和信息处理中心;监控探头在网络上通过对目标对象进行扫描、爬虫或抓包,获取网络数据;信息处理中心对获取的网络数据进行分析和过滤处理,对与标定为恶意代码异常特征相匹配的网络数据的数据包进行元素提取,提取恶意代码感染数据的网络五元组信息;提取五元组信息中的恶意目的IP地址和感染恶意代码的互联网IP地址,将感染恶意代码的互联网IP地址与互联网公开的IP资源库进行匹配,确定IP所属基础运营商及所属省份,实现运营商及区域的初定位;
B、城域网定位
将步骤A提取的感染恶意代码的互联网IP地址,与运营商掌握互联网IP资源管理库进行匹配,实现感染恶意代码的IP用户信息初定位;若IP为动态IP,则直接定位到拨号用户账号;若IP为静态IP,则将定位到专线用户信息;
C、专线用户内网定位
当专线用户的IP直接配置在终端服务器时,则完成了恶意代码终端感染机器网络定位;
当专线用户的IP是NAT(Network Address Translation,网络地址转换)方式分配时:
首先,查阅网络安全审计系统;通过查阅网络安全审计系统的网络行为日志,结合感染数据恶意目的IP和目的端口,查询在对应时间点与恶意目的IP通信的本地内部源IP地址,实现专线用户的内网定位;
若无网络安全审计系统,或网络行为日志中未搜索到与恶意目的IP地址相关的通信日志,则通过防火墙日志进行内网IP定位;采用文件IP关键词搜索的方式,进行历史日志查找,搜索访问恶意目的IP地址的源IP地址,实现专线用户的内网定位;
若也无防火墙日志,或防火墙日志中仍未搜索到访问恶意目的IP地址的源IP地址,则采取网络出口抓包的方式进行定位;在互联网出口路由器前面,将局域网内所有出入互联网的数据包采用镜像或者分光的方式,复制一份实时网络通信数据,进行抓包分析;利用抓包工具包匹配功能,进行数据比对分析,搜索与恶意目的IP地址发生过通信行为的源IP地址,实现专线用户的内网定位;
D、感染终端定位
如步骤C定位到的源IP地址对应的设备是终端机,则可以根据内网IP或者MAC地址完成感染终端机器定位;
如步骤C定位到的源IP地址对应的设备非终端机,有下一级子网,则按照步骤C中的方法继续对其下一级子网定位,依此重复,直至找到终端机,从而完成恶意代码感染终端机器的定位。
2.根据权利要求1所述的恶意代码终端感染机器网络定位方法,其特征在于:步骤C中,采取网络出口抓包的方式进行定位时,在外网保持持续抓包一段时间仍未能捕获到目标数据包,可以在保持抓包的过程中将网络中断一小段时间后重连网络。
3.根据权利要求1所述的恶意代码终端感染机器网络定位方法,其特征在于:步骤C中,采用网络出口抓包的方式进行定位过程中,将针对恶意目的IP地址抓包得到的五元组信息与异常数据进行匹配,以验证源IP地址是否确实在和恶意目的IP进行异常数据通信,从而能对定位的源IP地址是否真正感染恶意代码进行验证。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510322046.XA CN104901850B (zh) | 2015-06-12 | 2015-06-12 | 一种恶意代码终端感染机器网络定位方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510322046.XA CN104901850B (zh) | 2015-06-12 | 2015-06-12 | 一种恶意代码终端感染机器网络定位方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104901850A CN104901850A (zh) | 2015-09-09 |
| CN104901850B true CN104901850B (zh) | 2018-08-31 |
Family
ID=54034253
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510322046.XA Active CN104901850B (zh) | 2015-06-12 | 2015-06-12 | 一种恶意代码终端感染机器网络定位方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104901850B (zh) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106992958B (zh) * | 2016-01-21 | 2020-11-06 | 阿里巴巴集团控股有限公司 | 一种通过丢失账号定位恶意账号的方法和系统 |
| CN107395635B (zh) * | 2017-08-25 | 2020-04-21 | 中国联合网络通信集团有限公司 | 一种定位有线端用户位置的方法及装置 |
| CN107566420B (zh) * | 2017-10-27 | 2020-04-14 | 深信服科技股份有限公司 | 一种被恶意代码感染的主机的定位方法及设备 |
| CN110764969A (zh) * | 2019-10-25 | 2020-02-07 | 新华三信息安全技术有限公司 | 网络攻击溯源方法及装置 |
| CN111818075B (zh) * | 2020-07-20 | 2021-11-30 | 北京华赛在线科技有限公司 | 违规外联检测方法、装置、设备及存储介质 |
| CN112769971B (zh) * | 2020-12-22 | 2022-10-18 | 赛尔网络有限公司 | IPv6地址的安全性检测方法、装置、电子设备和存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101605074A (zh) * | 2009-07-06 | 2009-12-16 | 中国人民解放军信息技术安全研究中心 | 基于网络通讯行为特征监测木马的方法与系统 |
| CN101699787A (zh) * | 2009-11-09 | 2010-04-28 | 南京邮电大学 | 一种用于对等网络的蠕虫检测方法 |
| US8059551B2 (en) * | 2005-02-15 | 2011-11-15 | Raytheon Bbn Technologies Corp. | Method for source-spoofed IP packet traceback |
-
2015
- 2015-06-12 CN CN201510322046.XA patent/CN104901850B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8059551B2 (en) * | 2005-02-15 | 2011-11-15 | Raytheon Bbn Technologies Corp. | Method for source-spoofed IP packet traceback |
| CN101605074A (zh) * | 2009-07-06 | 2009-12-16 | 中国人民解放军信息技术安全研究中心 | 基于网络通讯行为特征监测木马的方法与系统 |
| CN101699787A (zh) * | 2009-11-09 | 2010-04-28 | 南京邮电大学 | 一种用于对等网络的蠕虫检测方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104901850A (zh) | 2015-09-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104901850B (zh) | 一种恶意代码终端感染机器网络定位方法 | |
| US8307441B2 (en) | Log-based traceback system and method using centroid decomposition technique | |
| KR100800370B1 (ko) | 어택 서명 생성 방법, 서명 생성 애플리케이션 적용 방법, 컴퓨터 판독 가능 기록 매체 및 어택 서명 생성 장치 | |
| EP3253018B1 (en) | Network intrusion detection based on geographical information | |
| CN109962903B (zh) | 一种家庭网关安全监控方法、装置、系统和介质 | |
| CN106657001B (zh) | 一种基于Netflow及DNS日志的僵尸网络检测方法 | |
| CN104509034B (zh) | 模式合并以识别恶意行为 | |
| CN101924757B (zh) | 追溯僵尸网络的方法和系统 | |
| US7200866B2 (en) | System and method for defending against distributed denial-of-service attack on active network | |
| CN107819633B (zh) | 一种快速发现并处理网络故障的方法 | |
| KR101236822B1 (ko) | Arp록킹 기능을 이용한 arp스푸핑 공격 탐지 방법과 그 방법을 실행하기 위한 프로그램이 기록된 기록매체 | |
| KR100996288B1 (ko) | 가상 mac 주소를 이용하여 arp 스푸핑 공격에 대응하는 방법 | |
| CN107222462A (zh) | 一种局域网内部攻击源的自动定位、隔离方法 | |
| CN111083117A (zh) | 一种基于蜜罐的僵尸网络的追踪溯源系统 | |
| JP2002009823A (ja) | インターネットアドレス決定方法及び装置 | |
| CN112948821A (zh) | 一种apt检测预警方法 | |
| CN102130920A (zh) | 一种僵尸网络的发现方法及其系统 | |
| CN113572730A (zh) | 一种基于web的主动自动诱捕蜜罐的实现方法 | |
| Ubaid et al. | Mitigating address spoofing attacks in hybrid SDN | |
| CN117061249A (zh) | 基于网络流量的入侵监控方法及系统 | |
| CN111953527A (zh) | 一种网络攻击还原系统 | |
| CN118432852A (zh) | 基于深度学习的网络安全保护方法及系统 | |
| CN109088756A (zh) | 一种基于网络设备识别的网络拓扑补全方法 | |
| JP6538618B2 (ja) | 管理装置及び管理方法 | |
| CN117375942A (zh) | 基于节点清洗防范DDoS攻击的方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |