CN106572072A - 一种对攻击者进行追踪定位的方法及系统 - Google Patents
一种对攻击者进行追踪定位的方法及系统 Download PDFInfo
- Publication number
- CN106572072A CN106572072A CN201511011953.9A CN201511011953A CN106572072A CN 106572072 A CN106572072 A CN 106572072A CN 201511011953 A CN201511011953 A CN 201511011953A CN 106572072 A CN106572072 A CN 106572072A
- Authority
- CN
- China
- Prior art keywords
- address
- malicious code
- whole network
- data flow
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种对攻击者进行追踪定位的方法,包括:分析恶意代码并获取放马地址或者C&C服务器地址;监控所述放马地址或者C&C服务器地址对应服务器的端口访问情况;若存在IP地址访问所述服务器的控制端口,则记录所述IP地址并定位所述IP地址的地理位置。本发明同时公开了一种对攻击者进行追踪定位的系统。本发明所述技术方案不仅能够有效追踪定位攻击者,同时可以配合公安打击网络犯罪。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种对攻击者进行追踪定位的方法及系统。
背景技术
随着网络安全威胁日益严重,网络追踪已成为网络安全研究领域的热点问题。然而网络追踪定位的实现受到了多方面因素的制约。主要体现在以下方面:首先,用于Internet的TCP/IP协议设计之初没有考虑到安全问题,没有对可疑用户活动进行阻止的有效机制,没有对用户活动进行追踪定位的设计;第二,网络流量和宽带的迅速发展以及隧道技术的使用增大了网络追踪的难度;第三,网络攻击手段的发展和代理、跳板技术的使用使得网络追踪难以奏效。
目前,针对不同形式特点的网络攻击,提出了许多采用不同网络追踪方法的网络追踪系统,但都无法有效追踪定位到攻击者。
发明内容
针对上述技术问题,本发明所述的技术方案通过监控全网数据流量,若发现存在恶意代码,则进一步定位恶意代码的放马地址或者C&C服务器地址,并对相关服务器进行监控,若存在IP地址访问服务器的控制端口,则记录访问该服务器的IP地址并进一步定位该IP地址对应的地理位置。本发明所述技术方案不仅能够有效定位攻击者,而且可以配合公安打击网络犯罪。
本发明采用如下方法来实现:一种对攻击者进行追踪定位的方法,包括:
分析恶意代码并获取放马地址或者C&C服务器地址;所述放马地址为追踪恶意代码来源所获取的IP地址、域名或者URL;
监控所述放马地址或者C&C服务器地址对应服务器的端口访问情况;
若存在IP地址访问所述服务器的控制端口,则记录所述IP地址并定位所述IP地址的地理位置。其中,所述控制端口为除恶意代码要访问的端口外其他的控制端口。
进一步地,所述分析恶意代码并获取放马地址或者C&C服务器地址之前还包括:
监控全网数据流量并记录五元组信息;
检测所述全网数据流量中是否存在恶意代码,若存在则记录相关信息,若不存在则继续监控。
更进一步地,所述检测所述全网数据流量中是否存在恶意代码为:
对全网数据流量进行文件还原;
对已还原的文件进行静态扫描或者将已还原的文件投入沙箱系统进行分析进而判断是否存在恶意代码。
上述方法中,所述控制端口包括:3389端口、23端口或者21端口。
本发明可以采用如下系统来实现:一种对攻击者进行追踪定位的系统,包括:
地址获取模块,用于分析恶意代码并获取放马地址或者C&C服务器地址;
端口监控模块,用于监控所述放马地址或者C&C服务器地址对应服务器的端口访问情况;
IP定位模块,用于若存在IP地址访问所述服务器的控制端口,则记录所述IP地址并定位所述IP地址的地理位置。
进一步地,还包括全网流量监控模块,用于:
监控全网数据流量并记录五元组信息;
检测所述全网数据流量中是否存在恶意代码,若存在则记录相关信息,若不存在则继续监控。
更进一步地,所述检测所述全网数据流量中是否存在恶意代码为:
对全网数据流量进行文件还原;
对已还原的文件进行静态扫描或者将已还原的文件投入沙箱系统进行分析进而判断是否存在恶意代码。
上述系统中,所述控制端口包括:3389端口、23端口或者21端口。
综上,本发明给出一种对攻击者进行追踪定位的方法及系统,首先,分析恶意代码并获取放马地址或者C&C服务器地址;监控所述放马地址或者C&C服务器地址对应服务器的端口访问情况;若存在IP地址访问所述服务器的控制端口,则记录所述IP地址并定位所述IP地址的地理位置,进而定位到攻击者。
有益效果为:本发明所公开的技术方案通过对全网数据流量的监控并记录基本信息以备后续追踪定位需要,针对检测出的恶意代码进行分析,获取放马地址或者C&C地址,对上述地址服务器进行监控,若存在IP地址访问所述服务器的控制端口,则判定为疑似攻击者,基于该IP地址获取攻击者位置。本发明所述技术方案能够有效定位幕后真正的攻击者。
附图说明
为了更清楚地说明本发明的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明提供的一种对攻击者进行追踪定位的方法实施例流程图;
图2为本发明提供的一种对攻击者进行追踪定位的系统实施例结构图。
具体实施方式
本发明给出了一种对攻击者进行追踪定位的方法及系统实施例,为了使本技术领域的人员更好地理解本发明实施例中的技术方案,并使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明中技术方案作进一步详细的说明:
本发明首先提供了一种对攻击者进行追踪定位的方法实施例,如图1所示,包括:
S101分析恶意代码并获取放马地址或者C&C服务器地址;所述放马地址为追踪恶意代码来源所获取的IP地址、域名或者URL;
S102监控所述放马地址或者C&C服务器地址对应服务器的端口访问情况;
S103若存在IP地址访问所述服务器的控制端口,则记录所述IP地址并定位所述IP地址的地理位置。其中,所述控制端口为除恶意代码要访问的端口外其他的控制端口。
优选地,所述分析恶意代码并获取放马地址或者C&C服务器地址之前还包括:
监控全网数据流量并记录五元组信息;其中,所述五元组信息包括:源IP、源端口、目的IP、目的端口或者协议,也可同时记录URL等信息;
检测所述全网数据流量中是否存在恶意代码,若存在则记录相关信息,若不存在则继续监控。
更优选地,所述检测所述全网数据流量中是否存在恶意代码为:
对全网数据流量进行文件还原;
对已还原的文件进行静态扫描或者将已还原的文件投入沙箱系统进行分析进而判断是否存在恶意代码。其中,所述已还原的文件为网络传输过程中的一些实体文件,包括:PE文件、溢出文件或者漏洞文件等。
更优选地,可以选用多引擎对已还原的文件进行扫描。
上述方法实施例中,所述控制端口包括:3389端口、23端口或者21端口。其中,所述控制端口要排除恶意代码访问的端口。
例如:若111.111.111.111地址访问了服务器的远程桌面端口3389,则说明该服务器的实际控制者为该IP地址,该IP地址为疑似攻击者。
其中,所述C&C服务器为远程命令与控制服务器。
本发明还提供了一种对攻击者进行追踪定位的系统实施例,如图2所示,包括:
地址获取模块201,用于分析恶意代码并获取放马地址或者C&C服务器地址;
端口监控模块202,用于监控所述放马地址或者C&C服务器地址对应服务器的端口访问情况;
IP定位模块203,用于若存在IP地址访问所述服务器的控制端口,则记录所述IP地址并定位所述IP地址的地理位置。
优选地,还包括全网流量监控模块,用于:
监控全网数据流量并记录五元组信息;
检测所述全网数据流量中是否存在恶意代码,若存在则记录相关信息,若不存在则继续监控。
更优选地,所述检测所述全网数据流量中是否存在恶意代码为:
对全网数据流量进行文件还原;
对已还原的文件进行静态扫描或者将已还原的文件投入沙箱系统进行分析进而判断是否存在恶意代码。
上述系统实施例中,所述控制端口包括:3389端口、23端口或者21端口。
上述实施例均采用递进的方式描述,各个实施例之间相同或相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。系统实施例部分描述较简单,相关之处参见方法实施例的描述。
综上,上述实施例通过监控全网数据流量并获取五元组信息,以便后续追踪定位使用;并利用静态检测或者动态分析的方法对全网数据流量进行检测,判断是否存在恶意代码;若存在恶意代码,则获取该恶意代码的放马地址或者C&C地址;并监控所述放马地址或者C&C地址服务器,判断是否存在IP地址访问所述服务器的控制端口,若存在则记录该IP地址,并定位所述IP地址的地理位置。本发明提供的上述实施例能够有效定位攻击者,所监控的全网数据流量覆盖范围越大则效果越好。
以上实施例用以说明而非限制本发明的技术方案。不脱离本发明精神和范围的任何修改或局部替换,均应涵盖在本发明的权利要求范围当中。
Claims (8)
1.一种对攻击者进行追踪定位的方法,其特征在于,包括:
分析恶意代码并获取放马地址或者C&C服务器地址;
监控所述放马地址或者C&C服务器地址对应服务器的端口访问情况;
若存在IP地址访问所述服务器的控制端口,则记录所述IP地址并定位所述IP地址的地理位置。
2.如权利要求1所述的方法,其特征在于,所述分析恶意代码并获取放马地址或者C&C服务器地址之前还包括:
监控全网数据流量并记录五元组信息;
检测所述全网数据流量中是否存在恶意代码,若存在则记录相关信息,若不存在则继续监控。
3.如权利要求2所述的方法,其特征在于,所述检测所述全网数据流量中是否存在恶意代码为:
对全网数据流量进行文件还原;
对已还原的文件进行静态扫描或者将已还原的文件投入沙箱系统进行分析进而判断是否存在恶意代码。
4.如权利要求1~3任一所述的方法,其特征在于,所述控制端口包括:3389端口、23端口或者21端口。
5.一种对攻击者进行追踪定位的系统,其特征在于,包括:
地址获取模块,用于分析恶意代码并获取放马地址或者C&C服务器地址;
端口监控模块,用于监控所述放马地址或者C&C服务器地址对应服务器的端口访问情况;
IP定位模块,用于若存在IP地址访问所述服务器的控制端口,则记录所述IP地址并定位所述IP地址的地理位置。
6.如权利要求5所述的系统,其特征在于,还包括全网流量监控模块,用于:
监控全网数据流量并记录五元组信息;
检测所述全网数据流量中是否存在恶意代码,若存在则记录相关信息,若不存在则继续监控。
7.如权利要求6所述的系统,其特征在于,所述检测所述全网数据流量中是否存在恶意代码为:
对全网数据流量进行文件还原;
对已还原的文件进行静态扫描或者将已还原的文件投入沙箱系统进行分析进而判断是否存在恶意代码。
8.如权利要求5~7任一所述的系统,其特征在于,所述控制端口包括:3389端口、23端口或者21端口。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201511011953.9A CN106572072A (zh) | 2015-12-30 | 2015-12-30 | 一种对攻击者进行追踪定位的方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201511011953.9A CN106572072A (zh) | 2015-12-30 | 2015-12-30 | 一种对攻击者进行追踪定位的方法及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN106572072A true CN106572072A (zh) | 2017-04-19 |
Family
ID=58508851
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201511011953.9A Withdrawn CN106572072A (zh) | 2015-12-30 | 2015-12-30 | 一种对攻击者进行追踪定位的方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106572072A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2020083384A1 (zh) * | 2018-10-26 | 2020-04-30 | 南京中兴新软件有限责任公司 | 责任人定位方法、数据发送方法、装置、设备及存储介质 |
| CN111225079A (zh) * | 2019-12-31 | 2020-06-02 | 苏州三六零智能安全科技有限公司 | 恶意软件作者地理位置定位方法、设备、存储介质及装置 |
| CN112600797A (zh) * | 2020-11-30 | 2021-04-02 | 泰康保险集团股份有限公司 | 异常访问行为的检测方法、装置、电子设备及存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101753562A (zh) * | 2009-12-28 | 2010-06-23 | 成都市华为赛门铁克科技有限公司 | 僵尸网络的检测方法、装置及网络安全防护设备 |
| CN102841990A (zh) * | 2011-11-14 | 2012-12-26 | 哈尔滨安天科技股份有限公司 | 一种基于统一资源定位符的恶意代码检测方法和系统 |
| CN105187367A (zh) * | 2015-06-04 | 2015-12-23 | 何飚 | 基于大数据发现的僵尸木马病毒检测及管控方法 |
-
2015
- 2015-12-30 CN CN201511011953.9A patent/CN106572072A/zh not_active Withdrawn
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101753562A (zh) * | 2009-12-28 | 2010-06-23 | 成都市华为赛门铁克科技有限公司 | 僵尸网络的检测方法、装置及网络安全防护设备 |
| CN102841990A (zh) * | 2011-11-14 | 2012-12-26 | 哈尔滨安天科技股份有限公司 | 一种基于统一资源定位符的恶意代码检测方法和系统 |
| CN105187367A (zh) * | 2015-06-04 | 2015-12-23 | 何飚 | 基于大数据发现的僵尸木马病毒检测及管控方法 |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2020083384A1 (zh) * | 2018-10-26 | 2020-04-30 | 南京中兴新软件有限责任公司 | 责任人定位方法、数据发送方法、装置、设备及存储介质 |
| CN111225079A (zh) * | 2019-12-31 | 2020-06-02 | 苏州三六零智能安全科技有限公司 | 恶意软件作者地理位置定位方法、设备、存储介质及装置 |
| CN111225079B (zh) * | 2019-12-31 | 2024-03-05 | 苏州三六零智能安全科技有限公司 | 恶意软件作者地理位置定位方法、设备、存储介质及装置 |
| CN112600797A (zh) * | 2020-11-30 | 2021-04-02 | 泰康保险集团股份有限公司 | 异常访问行为的检测方法、装置、电子设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10721243B2 (en) | Apparatus, system and method for identifying and mitigating malicious network threats | |
| US10193929B2 (en) | Methods and systems for improving analytics in distributed networks | |
| Raiyn | A survey of cyber attack detection strategies | |
| CN110505235B (zh) | 一种绕过云waf的恶意请求的检测系统及方法 | |
| CN109962891A (zh) | 监测云安全的方法、装置、设备和计算机存储介质 | |
| CN107046543A (zh) | 一种面向攻击溯源的威胁情报分析系统 | |
| US20060190993A1 (en) | Intrusion detection in networks | |
| Khan et al. | A comprehensive review on adaptability of network forensics frameworks for mobile cloud computing | |
| CN113691566B (zh) | 基于空间测绘和网络流量统计的邮件服务器窃密检测方法 | |
| US10044736B1 (en) | Methods and apparatus for identifying and characterizing computer network infrastructure involved in malicious activity | |
| CN112822147B (zh) | 一种用于分析攻击链的方法、系统及设备 | |
| CN104980423A (zh) | 一种高级可持续威胁诱捕系统及方法 | |
| US10574674B2 (en) | Host level detect mechanism for malicious DNS activities | |
| Gugelmann et al. | Hviz: HTTP (S) traffic aggregation and visualization for network forensics | |
| US20140344931A1 (en) | Systems and methods for extracting cryptographic keys from malware | |
| US10951645B2 (en) | System and method for prevention of threat | |
| CN106572072A (zh) | 一种对攻击者进行追踪定位的方法及系统 | |
| Sasikumar | Network intrusion detection and deduce system | |
| Alsaleh et al. | Visualizing PHPIDS log files for better understanding of web server attacks | |
| US10296744B1 (en) | Escalated inspection of traffic via SDN | |
| KR20140078329A (ko) | 내부망 타겟 공격 대응 장치 및 방법 | |
| Kanstrén et al. | A study on the state of practice in security situational awareness | |
| CN107959596A (zh) | 一种基于网络系统的监测网络的方法以及网络系统 | |
| Lin et al. | Research on cyber crime threats and countermeasures about tor anonymous network based on meek confusion plug-in | |
| Gu et al. | Fingerprinting network entities based on traffic analysis in high-speed network environment |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WW01 | Invention patent application withdrawn after publication |
Application publication date: 20170419 |
|
| WW01 | Invention patent application withdrawn after publication |