CN107733927B - 一种僵尸网络文件检测的方法、云服务器、装置及系统 - Google Patents
一种僵尸网络文件检测的方法、云服务器、装置及系统 Download PDFInfo
- Publication number
- CN107733927B CN107733927B CN201711214432.2A CN201711214432A CN107733927B CN 107733927 B CN107733927 B CN 107733927B CN 201711214432 A CN201711214432 A CN 201711214432A CN 107733927 B CN107733927 B CN 107733927B
- Authority
- CN
- China
- Prior art keywords
- local file
- file
- domain name
- cloud server
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请公开了一种僵尸网络文件检测的方法,包括判断接收到的域名是否为C&C域名;若是,则向该终端主机发送获取该本地文件的特征信息的请求;根据接收到的特征信息判断该本地文件是否为记载病毒文件;若该本地文件为记载病毒文件,则发送隔离该本地文件的信息至该终端主机。该方法通过判断域名是否为C&C域名,若是,则根据接收到的特征信息判断该本地文件是否为记载病毒文件,若该本地文件为该记载病毒文件,则发送隔离该本地文件的信息至该终端主机,以便于该终端主机隔离该本地文件,有效的解决了僵尸网络文件难发现、难隔离的问题。本申请同时还提供了一种僵尸网络文件检测的云服务器、装置及系统,具有上述有益效果。
Description
技术领域
本申请涉及网络安全领域,特别涉及一种僵尸网络文件检测的方法、云服务器、装置及系统。
背景技术
僵尸网络(Botnet)是指采用一种或多种传播手段,将大量主机感染bot程序(僵尸程序)病毒,病毒中通常具有命令及控制的域名(Command andControl,C&C),通过此域名可以达到通过服务器控制目标机器的目的,从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。僵尸网络往往被控制者用来发起大规模的网络攻击,如分布式拒绝服务攻击(DDoS)、海量垃圾邮件等,同时控制者能够控制这些计算机所保存的信息,譬如银行帐户的密码与社会安全号码等均可被控制者随意“取用”。因此,不论是对网络安全运行还是用户数据安全的保护来说,僵尸网络都是极具威胁的隐患。僵尸网络的威胁也因此成为目前一个国际上十分关注的问题。然而,发现一个僵尸网络是非常困难的,因为控制者通常远程、隐蔽地控制分散在网络上的“僵尸主机”,这些主机的用户往往并不知情。
在现有技术中,防火墙虽然能检测出C&C域名,但是没法知道发起者是谁,最多做到的只是拦截此域名,没法根本上找到发起者,病毒文件也没法被隔离;而杀毒软件对于特征不明显的蠕虫病毒,也无法判断此文件是否为病毒,从而可能会导致病毒文件长期驻扎在设备中。
因此,如何识别包含C&C域名的病毒文件是本领域技术人员目前需要解决的技术问题。
发明内容
本申请的目的是提供一种僵尸网络文件检测的方法、云服务器、装置及系统,该方法能够识别并隔离包含C&C域名的病毒文件。
为解决上述技术问题,本申请提供一种僵尸网络文件检测的方法,该方法包括:
接收到终端主机发送的本地文件的域名;
判断所述域名是否为C&C域名;
若是,则向所述终端主机发送获取所述本地文件的特征信息的请求;
当接收到所述本地文件的特征信息时,根据所述特征信息判断所述本地文件是否为记载病毒文件;
若所述本地文件为所述记载病毒文件,则发送隔离所述本地文件的信息至所述终端主机,以便于所述终端主机隔离所述本地文件。
可选的,当所述本地文件不为所述记载病毒文件时,还包括:
调用预设数量的杀毒软件扫描所述特征信息;
判断认为所述本地文件存在威胁的杀毒软件的数量是否大于或等于阈值;
若是,则发送所述隔离所述本地文件的信息至所述终端主机。
可选的,所述特征信息包括MD5值。
本申请还提供一种僵尸网络文件检测的云服务器,该云服务器包括:
第一接收单元,用于接收到终端主机发送的本地文件的域名;
第一判断单元,用于判断所述域名是否为C&C域名;
第一发送单元,用于当所述域名为所述C&C域名时,向所述终端主机发送获取所述本地文件的特征信息的请求;
第二接收单元,用于接收所述终端主机发送的所述本地文件的特征信息;
第二判断单元,用于当接收到所述本地文件的特征信息时,根据所述特征信息判断所述本地文件是否为记载病毒文件;
第二发送单元,用于当所述本地文件为所述记载病毒文件时,发送隔离所述本地文件的信息至所述终端主机,以便于所述终端主机隔离所述本地文件。
可选的,该服务器还包括:
调用单元,用于当所述本地文件不为所述记载病毒文件时,调用预设数量的杀毒软件扫描所述特征信息;
所述第二判断单元还包括判断子单元,用于判断认为所述本地文件存在威胁的杀毒软件的数量是否大于或等于阈值;
所述第二发送单元还包括发送子单元,用于当认为所述本地文件存在威胁的杀毒软件的数量大于或等于所述阈值时,发发送所述隔离所述本地文件的信息至所述终端主机。
本申请还提供一种僵尸网络文件检测的方法,该方法包括:
获取本地文件的域名;
将所述域名发送至云服务器,以便于所述云服务器判断所述域名是否为C&C域名;
当接收到所述云服务器发送的获取所述本地文件的特征信息的请求时,获取所述本地文件的特征信息,并将所述本地文件的特征信息发送至所述云服务器,以便于所述云服务器根据所述特征信息判断所述本地文件是否为记载病毒文件,以及当所述本地文件为所述记载病毒文件时,返回隔离所述本地文件的信息;
当接收到所述隔离所述本地文件的信息时,停止所述本地文件的运行,并隔离所述本地文件。
可选的,所述获取本地文件的域名,包括:
利用探针程序实时监听所述本地文件;
当监听到所述本地文件发起域名访问时,获取本地文件的域名。
本申请还提供一种僵尸网络文件检测的装置,该装置包括:
第一获取单元,用于获取本地文件的域名;
第三发送单元,用于将所述域名发送至云服务器,以便于所述云服务器判断所述域名是否为C&C域名;
第三接收单元,用于接收所述云服务器发送的获取所述本地文件的特征信息的请求;
第二获取单元,用于当接收到所述云服务器发送的获取所述本地文件的特征信息的请求时,获取所述本地文件的特征信息;
第四发送单元,用于将所述本地文件的特征信息发送至所述云服务器,以便于所述云服务器根据所述特征信息判断所述本地文件是否为记载病毒文件,以及当所述本地文件为所述记载病毒文件时,返回隔离所述本地文件的信息;
第四接收单元,用于接收所述隔离所述本地文件的信息;
隔离单元,用于当接收到所述隔离所述本地文件的信息时,停止所述本地文件的运行,并隔离所述本地文件。
本申请还提供一种僵尸网络文件检测的系统,该系统包括:
终端主机,用于获取本地文件的域名;将所述域名发送至云服务器;当接收到所述云服务器发送的获取所述本地文件的特征信息的请求时,获取所述本地文件的特征信息,并将所述本地文件的特征信息发送至所述云服务器;当接收到所述云服务器发送的隔离所述本地文件的信息时,停止所述本地文件的运行,并隔离所述本地文件;
所述云服务器,用于接收到所述域名;判断所述域名是否为C&C域名;若是,则向所述终端主机发送获取所述本地文件的特征信息的请求;当接收到所述本地文件的特征信息时,根据所述特征信息判断所述本地文件是否为记载病毒文件;若所述本地文件为所述记载病毒文件,则发送隔离所述本地文件的信息至所述终端主机。
可选的,所述云服务器还用于当所述本地文件不为所述记载病毒文件时,调用预设数量的杀毒软件扫描所述特征信息;判断认为所述本地文件存在威胁的杀毒软件的数量是否大于或等于阈值;若是,则发送所述隔离所述本地文件的信息至所述终端主机。
本申请所提供的一种僵尸网络文件检测的方法,通过接收到终端主机发送的本地文件的域名;判断该域名是否为C&C域名;若是,则向该终端主机发送获取该本地文件的特征信息的请求;当接收到该本地文件的特征信息时,根据该特征信息判断该本地文件是否为记载病毒文件;若该本地文件为记载病毒文件,则发送隔离该本地文件的信息至该终端主机,以便于该终端主机隔离该本地文件。
显然,本申请所提供的技术方案能够通过判断域名是否为C&C域名,若是,则向该终端主机发送获取该本地文件的特征信息的请求,进而根据接收到的特征信息判断该本地文件是否为记载病毒文件,若该本地文件为该记载病毒文件,则发送隔离该本地文件的信息至该终端主机,以便于该终端主机隔离该本地文件,有效的解决了僵尸网络文件难发现、难隔离的问题。本申请同时还提供了一种僵尸网络文件检测的云服务器、装置及系统,具有上述有益效果,在此不再赘述。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本申请实施例所提供的一种僵尸网络文件检测的方法的流程图;
图2为本申请实施例所提供的另一种僵尸网络文件检测的方法的流程图;
图3为本申请实施例所提供的再一种僵尸网络文件检测的方法的流程图;
图4为本申请实施例所提供的一种僵尸网络文件检测的云服务器的结构图;
图5为本申请实施例所提供的另一种僵尸网络文件检测的云服务器的结构图;
图6为本申请实施例所提供的一种僵尸网络文件检测的装置的结构图;
图7为本申请实施例所提供的一种僵尸网络文件检测的系统的结构图。
具体实施方式
本申请的核心是提供一种僵尸网络文件检测的方法、云服务器、装置及系统,该方法解决了僵尸网络文件难发现的问题。
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
请参考图1,图1为本申请实施例所提供的一种僵尸网络文件检测的方法的流程图。
其具体包括如下步骤:
S101:接收到终端主机发送的本地文件的域名;
云服务器接收到终端主机发送的本地文件的域名;
该域名为该本地文件发起域名请求时所访问的域名;
这里提到的特征信息可以为MD5值,MD5的全称是Message-Digest Algorithm 5,在90年代初由MIT的计算机科学实验室和RSA Data Security Inc发明,由MD2/MD3/MD4发展而来的,MD5的实际应用是对一段Message(字节串)产生fingerprint(数字指纹,MD5值就是指经MD5计算得到的这种数字指纹);也可以为其它可辨识的数字指纹,并不对特征信息的具体内容做限定,实际情况中可由软件开发人员或软件运营商根据具体情况来制定。
S102:判断该域名是否为C&C域名;
若是,则进入步骤S103;
云服务器判断该域名是否为C&C域名可以有多种表现形式,例如,可以基于该域名的特征来判断是否为C&C域名;也可以基于域名访问活跃特征来判断该域名是否为C&C域名,只要能够达到检测该域名是否为C&C域名的目的,其中具体的实现方式与途径并不做具体限定;
可选的,若该域名不为C&C域名,则可以向终端主机返回该本地文件值得信任的信息,以便该终端主机将该本地文件标记为可信任文件。
S103:向该终端主机发送获取本地文件的特征信息的请求;
当该域名为C&C域名时,云服务器向该终端主机发送获取本地文件的特征信息的请求,以便于该终端主机获取该本地文件的特征信息,并将该本地文件的特征信息发送至云服务器。
S104:当接收到该本地文件的特征信息时,判断该本地文件是否为记载病毒文件;
若是,则进入步骤S105;
可选的,云服务器可以将该特征信息与记载病毒文件的特征信息进行比对,如果相同或相似的特征超过阈值,则认为该本地文件为记载病毒文件;其中,该记载病毒文件的特征信息可以以记载病毒文件特征信息表等形式存储于云服务器中;当然,这仅为本申请提供的一种优选的判断方式,本申请对此不作具体限定。
S105:发送隔离该本地文件的信息至该终端主机。
发送隔离该本地文件的信息至该终端主机,以便于该终端主机隔离该本地文件。
基于上述技术方案,本申请实施例提供的僵尸网络文件检测的方法,能够通过判断域名是否为C&C域名,若是,则向该终端主机发送获取该本地文件的特征信息的请求,进而根据接收到的特征信息判断该本地文件是否为记载病毒文件,若该本地文件为该记载病毒文件,则发送隔离该本地文件的信息至该终端主机,以便于该终端主机隔离该本地文件,有效的解决了僵尸网络文件难发现、难隔离的问题。
本申请还提供了另一种僵尸网络文件检测的方法,该方法能够在该本地文件不为记载病毒文件时判断该本地文件是否存在威胁,进而决定是否隔离该本地文件;
判断该本地文件是否存在威胁的方式有多种,例如,可以判断认为该本地文件存在威胁的杀毒软件的数量是否大于或等于阈值,若大于或等于阈值,则认为该本地文件存在威胁;也可以预先设置各个杀毒软件的可靠性,根据各个杀毒软件的可靠性对其扫描结果进行加权运算,得到的结果如果大于阈值,则认为该本地文件存在威胁,如预设三个杀毒软件A、B、C,A其中的可靠性为4,B的可靠性为3,C的可靠性为3,预先设置0.5为阈值,扫描结果为0和1,其中0为无威胁,1为有威胁。当预设的三个杀毒软件A、B、C对某个本地文件的扫描结果分别为0、1、1时,则得到的结果为0*(4/10)+1*(3/10)+1*(3/10)=0.6>0.5,则认为该本地文件存在威胁;还可以在杀毒软件进行扫描的同时进行监测,当存在认为该本地文件存在威胁的杀毒软件时,直接认为该本地文件存在威胁;
下面结合图2,以判断认为该本地文件存在威胁的杀毒软件的数量是否大于或等于阈值的判断方式为例进行说明,请参考图2,图2为本申请实施例所提供的另一种僵尸网络文件检测的方法的流程图。
其具体包括如下步骤:
S201:调用预设数量的杀毒软件扫描特征信息;
当本地文件不为记载病毒文件时,调用预设数量的杀毒软件扫描该特征信息;
这里提到的调用预设数量的杀毒软件扫描该特征信息的动作的执行主体可以是云服务器,通常对于一个僵尸网络文件检测系统来说,一个云服务器对应多个终端主机,这样做的意义在于,云服务器可以对本地文件进行集中扫描,节省扫描时间;
该动作的执行主体也可以是终端主机,终端主机可以在预设时间内未接收到云服务器发送的隔离该本地文件的信息时,直接调用预设数量的杀毒软件扫描该特征信息,然后将扫描结果发送至云服务器,这样做的意义在于可以避免存在威胁的本地文件继续运行而造成的严重后果;当然,只要能够达到调用预设数量的杀毒软件扫描该特征信息的目的,对该动作的执行主体不作限定。
S202:判断认为该本地文件存在威胁的杀毒软件的数量是否大于或等于阈值;
本步骤建立在S201的前提下,当预设数量的杀毒软件扫描完该特征信息后,云服务器判断认为该本地文件存在威胁的杀毒软件的数量是否大于或等于阈值,若大于,则说明该本地文件存在威胁的可能性较大,则进入步骤S203;
可选的,当认为该本地文件存在威胁的杀毒软件的数量大于或等于阈值时,还可以将该特征信息加入到记载病毒文件特征信息表中,以便于当该特征信息再次出现时,云处理器通过对比特征信息直接认为该特征信息对应的本地文件为已知病毒文件;这里提到的杀毒软件的预设数量大于或等于该阈值。
S203:发送该隔离该本地文件的信息至该终端主机。
发送隔离该本地文件的信息至该终端主机,以便于该终端主机隔离该本地文件。
请参考图3,图3为本申请实施例所提供的再一种僵尸网络文件检测的方法的流程图。
其具体包括以下步骤:
S301:获取本地文件的域名,并将该域名发送至云服务器;
终端主机获取本地文件的域名,并将该域名发送至云服务器,以便于云服务器判断该域名是否为C&C域名;
可选的,可以在终端主机中安装探针程序,利用该探针程序来实时监听本地文件,当监听到本地文件发起域名访问时,获取本地文件的特征信息和访问的域名,并立即返回给本地文件,以使该本地文件继续操作,不影响其原有流程;当然,这仅为本申请实施例提供的一种优选的获取本地文件的特征信息和访问的域名的方式,对域名获取的具体方式及过程不作限定。
S302:判断是否接收到云服务器发送的获取本地文件的特征信息的请求;
若是,则进入步骤S303;
S303:获取本地文件的特征信息,并将该特征信息发送至云服务器;
本步骤建立在步骤S302的前提下,当接收到云服务器发送的获取本地文件的特征信息的请求时,说明云服务器判断该域名为C&C域名,需要利用该本地文件的特征信息判断该本地文件是否为记载病毒文件;
可选的,当终端主机为多个时,还可以设置一个或多个管理端,以便于各个终端主机将本地文件的域名发送至管理端,该管理端将接收到的各个特征信息和域名统一发送至云服务器。
S304:当接收到隔离本地文件的信息时,停止该本地文件的运行,并隔离该本地文件。
当接收到隔离本地文件的信息时,说明云服务器判断该本地文件为记载病毒文件,此时终端主机停止该本地文件的运行,并隔离该本地文件。
请参考图4,图4为本申请实施例所提供的一种僵尸网络文件检测的云服务器的结构图。
该云服务器可以包括:
第一接收单元100,用于接收到终端主机发送的本地文件的域名;
第一判断单元200,用于判断该域名是否为C&C域名;
第一发送单元300,用于当该域名为该C&C域名时,向终端主机发送获取该本地文件的特征信息的请求;
第二接收单元400,用于接收该终端主机发送的本地文件的特征信息;
第二判断单元500,用于当接收到该本地文件的特征信息时,根据该特征信息判断该本地文件是否为记载病毒文件;
第二发送单元600,用于当该本地文件为记载病毒文件时,发送隔离该本地文件的信息至终端主机,以便于终端主机隔离该本地文件。
请参考图5,图5为本申请实施例所提供的另一种僵尸网络文件检测的云服务器的结构图。
该云服务器还可以包括:
调用单元,用于当该本地文件不为记载病毒文件时,调用预设数量的杀毒软件扫描该特征信息;
第二判断单元500还可以包括判断子单元,用于判断认为该本地文件存在威胁的杀毒软件的数量是否大于或等于阈值;
第二发送单元600还可以包括发送子单元,用于当认为该本地文件存在威胁的杀毒软件的数量大于或等于该阈值时,发送该隔离该本地文件的信息至该终端主机。
请参考图6,图6为本申请实施例所提供的一种僵尸网络文件检测的装置的结构图。
该装置可以包括:
第一获取单元700,用于获取本地文件的域名;
第三发送单元800,用于将该域名发送至云服务器,以便于云服务器判断该域名是否为C&C域名;
第三接收单元900,用于接收云服务器发送的获取本地文件的特征信息的请求;
第二获取单元1000,用于当接收到云服务器发送的获取本地文件的特征信息的请求时,获取该本地文件的特征信息;
第四发送单元1100,用于将该本地文件的特征信息发送至云服务器,以便于云服务器根据该特征信息判断该本地文件是否为记载病毒文件,以及当该本地文件为记载病毒文件时,返回隔离该本地文件的信息;
第四接收单元1200,用于接收隔离本地文件的信息;
隔离单元1300,用于当接收到隔离该本地文件的信息时,停止该本地文件的运行,并隔离该本地文件。
由于装置部分的实施例与方法部分的实施例相互对应,因此装置部分的实施例请参见方法部分的实施例的描述,这里暂不赘述。
请参考图7,图7为本申请实施例所提供的一种僵尸网络文件检测的系统的结构图。
该系统可以包括:
终端主机1400,用于获取本地文件的域名;将该域名发送至云服务器1500;当接收到云服务器1500发送的获取该本地文件的特征信息的请求时,获取该本地文件的特征信息,并将该本地文件的特征信息发送至云服务器1500;当接收到云服务器1500发送的隔离该本地文件的信息时,停止该本地文件的运行,并隔离该本地文件;
云服务器1500,用于接收到域名;判断该域名是否为C&C域名;若是,则向该终端主机1400发送获取该本地文件的特征信息的请求;当接收到该本地文件的特征信息时,根据该特征信息判断该本地文件是否为记载病毒文件;若该本地文件为记载病毒文件,则发送隔离该本地文件的信息至该终端主机1400。
可选的,该云服务器1500还可以用于当该本地文件不为记载病毒文件时,调用预设数量的杀毒软件扫描该特征信息;判断认为该本地文件存在威胁的杀毒软件的数量是否大于或等于阈值;若是,则发送隔离该本地文件的信息至该终端主机1400。
以上系统中的各个组成部分可应用于以下的一个实际流程:
终端主机1400获取本地文件的域名后,将该域名发送至云服务器1500;云服务器1500接收到该域名后,判断该域名是否为C&C域名;若是,则向该终端主机1400发送获取该本地文件的特征信息的请求;当终端主机1400接收到云服务器1500发送的获取该本地文件的特征信息的请求时,获取该本地文件的特征信息,并将该本地文件的特征信息发送至云服务器1500;当云服务器1500接收到该本地文件的特征信息时,根据该特征信息判断该本地文件是否为记载病毒文件;若该本地文件为记载病毒文件,则发送隔离该本地文件的信息至该终端主机1400;
若该本地文件不为记载病毒文件,则调用预设数量的杀毒软件扫描该特征信息,然后判断认为该本地文件存在威胁的杀毒软件的数量是否大于或等于阈值;若是,则发送隔离该本地文件的信息至该终端主机1400;
当终端主机1400接收到隔离该本地文件的信息时,停止该本地文件的运行,并该所述本地文件。
说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
以上对本申请所提供的僵尸网络文件检测的进行了详细介绍。本文中应用了具体个例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的方法及其核心思想。应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请原理的前提下,还可以对本申请进行若干改进和修饰,这些改进和修饰也落入本申请权利要求的保护范围内。
还需要说明的是,在本说明书中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
Claims (9)
1.一种僵尸网络文件检测的方法,其特征在于,包括:
接收到终端主机发送的本地文件的域名;
判断所述域名是否为C&C域名;
若是,则向所述终端主机发送获取所述本地文件的特征信息的请求;
当接收到所述本地文件的特征信息时,根据所述特征信息判断所述本地文件是否为记载病毒文件,所述特征信息包括MD5值;
若所述本地文件为所述记载病毒文件,则发送隔离所述本地文件的信息至所述终端主机,以便于所述终端主机隔离所述本地文件。
2.根据权利要求1所述的方法,其特征在于,当所述本地文件不为所述记载病毒文件时,还包括:
调用预设数量的杀毒软件扫描所述特征信息;
判断认为所述本地文件存在威胁的杀毒软件的数量是否大于或等于阈值;
若是,则发送所述隔离所述本地文件的信息至所述终端主机。
3.一种僵尸网络文件检测的云服务器,其特征在于,包括:
第一接收单元,用于接收到终端主机发送的本地文件的域名;
第一判断单元,用于判断所述域名是否为C&C域名;
第一发送单元,用于当所述域名为所述C&C域名时,向所述终端主机发送获取所述本地文件的特征信息的请求;
第二接收单元,用于接收所述终端主机发送的所述本地文件的特征信息,所述特征信息包括MD5值;
第二判断单元,用于当接收到所述本地文件的特征信息时,根据所述特征信息判断所述本地文件是否为记载病毒文件;
第二发送单元,用于当所述本地文件为所述记载病毒文件时,发送隔离所述本地文件的信息至所述终端主机,以便于所述终端主机隔离所述本地文件。
4.根据权利要求3所述的云服务器,其特征在于,还包括:
调用单元,用于当所述本地文件不为所述记载病毒文件时,调用预设数量的杀毒软件扫描所述特征信息;
所述第二判断单元还包括判断子单元,用于判断认为所述本地文件存在威胁的杀毒软件的数量是否大于或等于阈值;
所述第二发送单元还包括发送子单元,用于当认为所述本地文件存在威胁的杀毒软件的数量大于或等于所述阈值时,发发送所述隔离所述本地文件的信息至所述终端主机。
5.一种僵尸网络文件检测的方法,其特征在于,包括:
获取本地文件的域名;
将所述域名发送至云服务器,以便于所述云服务器判断所述域名是否为C&C域名;
当接收到所述云服务器发送的获取所述本地文件的特征信息的请求时,获取所述本地文件的特征信息,并将所述本地文件的特征信息发送至所述云服务器,所述特征信息包括MD5值,以便于所述云服务器根据所述特征信息判断所述本地文件是否为记载病毒文件,以及当所述本地文件为所述记载病毒文件时,返回隔离所述本地文件的信息;
当接收到所述隔离所述本地文件的信息时,停止所述本地文件的运行,并隔离所述本地文件。
6.根据权利要求5所述的方法,其特征在于,所述获取本地文件的域名,包括:
利用探针程序实时监听所述本地文件;
当监听到所述本地文件发起域名访问时,获取本地文件的域名。
7.一种僵尸网络文件检测的装置,其特征在于,包括:
第一获取单元,用于获取本地文件的域名;
第三发送单元,用于将所述域名发送至云服务器,以便于所述云服务器判断所述域名是否为C&C域名;
第三接收单元,用于接收所述云服务器发送的获取所述本地文件的特征信息的请求;
第二获取单元,用于当接收到所述云服务器发送的获取所述本地文件的特征信息的请求时,获取所述本地文件的特征信息,所述特征信息包括MD5值;
第四发送单元,用于将所述本地文件的特征信息发送至所述云服务器,以便于所述云服务器根据所述特征信息判断所述本地文件是否为记载病毒文件,以及当所述本地文件为所述记载病毒文件时,返回隔离所述本地文件的信息;
第四接收单元,用于接收所述隔离所述本地文件的信息;
隔离单元,用于当接收到所述隔离所述本地文件的信息时,停止所述本地文件的运行,并隔离所述本地文件。
8.一种僵尸网络文件检测的系统,其特征在于,包括:
终端主机,用于获取本地文件的域名;将所述域名发送至云服务器;当接收到所述云服务器发送的获取所述本地文件的特征信息的请求时,获取所述本地文件的特征信息,所述特征信息包括MD5值,并将所述本地文件的特征信息发送至所述云服务器;当接收到所述云服务器发送的隔离所述本地文件的信息时,停止所述本地文件的运行,并隔离所述本地文件;
所述云服务器,用于接收到所述域名;判断所述域名是否为C&C域名;若是,则向所述终端主机发送获取所述本地文件的特征信息的请求;当接收到所述本地文件的特征信息时,根据所述特征信息判断所述本地文件是否为记载病毒文件;若所述本地文件为所述记载病毒文件,则发送隔离所述本地文件的信息至所述终端主机。
9.根据权利要求8所述的系统,其特征在于,所述云服务器还用于当所述本地文件不为所述记载病毒文件时,调用预设数量的杀毒软件扫描所述特征信息;判断认为所述本地文件存在威胁的杀毒软件的数量是否大于或等于阈值;若是,则发送所述隔离所述本地文件的信息至所述终端主机。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201711214432.2A CN107733927B (zh) | 2017-11-28 | 2017-11-28 | 一种僵尸网络文件检测的方法、云服务器、装置及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201711214432.2A CN107733927B (zh) | 2017-11-28 | 2017-11-28 | 一种僵尸网络文件检测的方法、云服务器、装置及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN107733927A CN107733927A (zh) | 2018-02-23 |
CN107733927B true CN107733927B (zh) | 2021-10-19 |
Family
ID=61219842
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201711214432.2A Active CN107733927B (zh) | 2017-11-28 | 2017-11-28 | 一种僵尸网络文件检测的方法、云服务器、装置及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN107733927B (zh) |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104537304A (zh) * | 2014-12-31 | 2015-04-22 | 北京奇虎科技有限公司 | 文件查杀方法、装置及系统 |
CN104766011A (zh) * | 2015-03-26 | 2015-07-08 | 国家电网公司 | 基于主机特征的沙箱检测告警方法和系统 |
Family Cites Families (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102045214B (zh) * | 2009-10-20 | 2013-06-26 | 成都市华为赛门铁克科技有限公司 | 僵尸网络检测方法、装置和系统 |
CN101924757B (zh) * | 2010-07-30 | 2013-12-18 | 中国电信股份有限公司 | 追溯僵尸网络的方法和系统 |
US10574630B2 (en) * | 2011-02-15 | 2020-02-25 | Webroot Inc. | Methods and apparatus for malware threat research |
US20130031625A1 (en) * | 2011-07-29 | 2013-01-31 | Electronics And Telecommunications Research Institute | Cyber threat prior prediction apparatus and method |
CN104954342B (zh) * | 2014-03-31 | 2019-04-02 | 腾讯科技(深圳)有限公司 | 一种安全评估方法,及装置 |
CN106878240B (zh) * | 2015-12-14 | 2020-06-02 | 阿里巴巴集团控股有限公司 | 僵尸主机识别方法及装置 |
CN105718800A (zh) * | 2016-01-18 | 2016-06-29 | 北京金山安全管理系统技术有限公司 | 一种快速病毒扫描查杀方法和装置 |
-
2017
- 2017-11-28 CN CN201711214432.2A patent/CN107733927B/zh active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104537304A (zh) * | 2014-12-31 | 2015-04-22 | 北京奇虎科技有限公司 | 文件查杀方法、装置及系统 |
CN104766011A (zh) * | 2015-03-26 | 2015-07-08 | 国家电网公司 | 基于主机特征的沙箱检测告警方法和系统 |
Non-Patent Citations (1)
Title |
---|
《主机内僵尸检测研究》;嵇跃德;《中国硕士论文全文库》;20150815;1-6,8-15 * |
Also Published As
Publication number | Publication date |
---|---|
CN107733927A (zh) | 2018-02-23 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10652273B2 (en) | Mitigation of anti-sandbox malware techniques | |
US10200384B1 (en) | Distributed systems and methods for automatically detecting unknown bots and botnets | |
US10334083B2 (en) | Systems and methods for malicious code detection | |
US10148693B2 (en) | Exploit detection system | |
US8990944B1 (en) | Systems and methods for automatically detecting backdoors | |
US8677493B2 (en) | Dynamic cleaning for malware using cloud technology | |
CN107211016B (zh) | 会话安全划分和应用程序剖析器 | |
JP5009244B2 (ja) | マルウェア検知システム、マルウェア検知方法及びマルウェア検知プログラム | |
US8839442B2 (en) | System and method for enabling remote registry service security audits | |
EP3128459A1 (en) | System and method of utilizing a dedicated computer security service | |
RU2634173C1 (ru) | Система и способ обнаружения приложения удалённого администрирования | |
CN109922062B (zh) | 源代码泄露监控方法及相关设备 | |
US11863586B1 (en) | Inline package name based supply chain attack detection and prevention | |
CN107733927B (zh) | 一种僵尸网络文件检测的方法、云服务器、装置及系统 | |
GB2543602A (en) | Mitigation of anti-sandbox malware techniques | |
TWI711939B (zh) | 用於惡意程式碼檢測之系統及方法 | |
US10250625B2 (en) | Information processing device, communication history analysis method, and medium | |
US11451584B2 (en) | Detecting a remote exploitation attack | |
Gheorghe et al. | Attack evaluation and mitigation framework | |
JP6900328B2 (ja) | 攻撃種別判定装置、攻撃種別判定方法、及びプログラム | |
KR20100068757A (ko) | 온라인 접속도구 내 악성코드 탐지 장치 및 그 방법 | |
CN115514559A (zh) | 一种iot僵尸网络检测处理方法、装置、设备及存储介质 | |
GB2624757A (en) | Method and system for outbound spam mitigation | |
WO2024049702A1 (en) | Inline package name based supply chain attack detection and prevention | |
CN118214591A (zh) | 零信任代理方法、装置、电子设备和存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |