CN109472134B - 一种基于api调用序列提取控制端的方法及系统 - Google Patents

一种基于api调用序列提取控制端的方法及系统 Download PDF

Info

Publication number
CN109472134B
CN109472134B CN201711420845.6A CN201711420845A CN109472134B CN 109472134 B CN109472134 B CN 109472134B CN 201711420845 A CN201711420845 A CN 201711420845A CN 109472134 B CN109472134 B CN 109472134B
Authority
CN
China
Prior art keywords
api
extracting
trojan
family
sequence
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201711420845.6A
Other languages
English (en)
Other versions
CN109472134A (zh
Inventor
朱晴
徐艺航
康学斌
王小丰
肖新光
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Antiy Network Technology Co Ltd
Original Assignee
Beijing Antiy Network Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Antiy Network Technology Co Ltd filed Critical Beijing Antiy Network Technology Co Ltd
Priority to CN201711420845.6A priority Critical patent/CN109472134B/zh
Publication of CN109472134A publication Critical patent/CN109472134A/zh
Application granted granted Critical
Publication of CN109472134B publication Critical patent/CN109472134B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • G06F21/53Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Health & Medical Sciences (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Telephonic Communication Services (AREA)

Abstract

本发明提出了一种基于API调用序列提取控制端的方法及系统,包括:对已知木马家族样本分类,并提取各木马家族的API调用日志,提取各木马家族样本的API调用序列;定位API调用序列中连接木马控制端IP端口时调用的API详情;分别提取各家族中的木马样本在连接控制端API之前,预设数量的关键API序列及参数,并提取通用序列;将提取的通用序列与未知样本的API序列匹配,若匹配成功,则提取未知样本尝试连接控制端的IP端口即为控制端。本发明还提出相应系统。通过本发明的技术方案,能够提取同一类型家族的木马控制端,节省了人工提取时间,且该方法不受其他联网、扫描和爆破攻击等网络噪音影响,提取的信息更加准确。

Description

一种基于API调用序列提取控制端的方法及系统
技术领域
本发明涉及网络安全领域,特别涉及一种基于API调用序列提取控制端的方法及系统。
背景技术
当前木马普遍存在加密配置或隐藏配置的行为,多数的通信数据是加密后的数据。在无法判断样本的具体黑白家族或变种,并且缺乏定位同一类型木马的通用方法的情况下,准确定位解密木马的控制端难度很大。另外动态网络连接信息包含大量的合法连接、扫描、入侵等IP、域名信息混杂,导致动态提取的网络数据也无法作为控制端信息使用。
发明内容
基于上述问题,本发明提出了一种基于API调用序列提取控制端的方法及系统,解决某个家族难以解密且动态噪音下无法精确获得控制端IP端口、域名的问题。
首先,本发明提出一种基于API调用序列提取控制端的方法,包括:
对已知木马家族样本分类,并提取各木马家族的API调用日志;
分别提取各木马家族样本的API调用序列;
定位API调用序列中连接木马控制端IP端口时调用的API详情;
分别提取各家族中的样本在连接木马控制端调用的API之前,预设数量的关键API序列及参数;
对比同一木马家族中木马样本的API序列及参数,提取通用序列;
将提取的通用序列与未知样本的API序列匹配,若匹配成功,则提取未知样本尝试连接控制端的IP端口即为控制端。
所述的方法中,所述对已知木马家族样本分类,并提取各木马家族的API调用日志,具体为:
对已知木马家族样本分类,获取样本实体;
通过API调用监控程序,批量提取各木马家族样本的API调用日志。
所述的方法中,所述连接木马控制端IP端口时调用的API详情,具体为:connect函数及其参数。
本发明还提出了一种基于API调用序列提取控制端的系统,包括:
日志提取模块,对已知木马家族样本分类,并提取各木马家族的API调用日志;
API序列提取模块,分别提取各木马家族样本的API调用序列;
控制端定位模块,定位API调用序列中连接木马控制端IP端口时调用的API详情;
关键API序列提取模块,分别提取各家族中的样本在连接木马控制端调用的API之前,预设数量的关键API序列及参数;
通用序列提取模块,对比同一木马家族中木马样本的API序列及参数,提取通用序列;
未知样本匹配模块,将提取的通用序列与未知样本的API序列匹配,若匹配成功,则提取未知样本尝试连接控制端的IP端口即为控制端。
所述的系统中,所述对已知木马家族样本分类,并提取各木马家族的API调用日志,具体为:
对已知木马家族样本分类,获取样本实体;
通过API调用监控程序,批量提取各木马家族样本的API调用日志。
所述的系统中,所述连接木马控制端IP端口时调用的API详情,具体为:connect函数及其参数。
本发明还提出一种非临时性计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现上述的基于API调用序列提取控制端的方法。
本发明的优势在于:本发明通过分析已知样本来识别未知样本,依托沙箱来监控API调用详情,用该方法能够做到提取同一类型家族的木马控制端,节省了人工提取的时间。由于同一类型的木马的API调用顺序基本不变,该方法提取的控制端更加通用,同时不受其它联网、扫描、爆破攻击等网络噪音,使提取的控制端信息更加精确。
附图说明
为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明一种基于API调用序列提取控制端的方法流程图;
图2为本发明一种基于API调用序列提取控制端的方法另一实施例流程图;
图3为本发明一种基于API调用序列提取控制端的系统结构示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明实施例中的技术方案,并使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明中技术方案作进一步详细的说明。
本发明提出了一种基于API调用序列提取控制端的方法及系统,解决某个家族难以解密且动态噪音下无法精确获得控制端IP端口、域名的问题。
首先,本发明提出一种基于API调用序列提取控制端的方法,如图1所示,包括:
S101:对已知木马家族样本分类,并提取各木马家族的API调用日志;
S102:分别提取各木马家族样本的API调用序列;
S103:定位API调用序列中连接木马控制端IP端口时调用的API详情;
S104:分别提取各家族中的样本在连接木马控制端的API之前,预设数量的关键API序列及参数;
S105:对比同一木马家族中木马样本的API序列及参数,提取通用序列;
S106:将提取的通用序列与未知样本的API序列匹配,若匹配成功,则提取未知样本尝试连接控制端的IP端口即为控制端。
所述的方法中,所述对已知木马家族样本分类,并提取各木马家族的API调用日志,具体为:
对已知木马家族样本分类,获取样本实体;
通过API调用监控程序,批量提取各木马家族样本的API调用日志。
所述的方法中,所述连接木马控制端IP端口时调用的API详情,具体为:connect函数及其参数。
本发明方法提供另一实施例,如图2所示:
S201:对已知木马家族样本分类,并获取样本实体;
S202:通过沙箱API调用监控程序,批量提取各木马家族样本的API调用日志;
S203:定位API调用序列中连接木马控制端IP端口时调用的API详情,设置位置为p0;
S204:获取监控日志中运行样本的起始位置s0到p0间的n个API调用序列sequence0,针对多个样本,则存在多个API调用序列sequence0- sequencex;
S205:对比同一木马家族中木马样本的API序列及参数,提取通用序列sequenceZ;各家族分别提取通用序列;
S206:将提取的通用序列与未知样本的API序列匹配,若匹配成功,则提取未知样本尝试连接控制端的IP端口即为控制端。
本发明还提出了一种基于API调用序列提取控制端的系统,如图3所示,包括:
日志提取模块301,对已知木马家族样本分类,并提取各木马家族的API调用日志;
API序列提取模块302,分别提取各木马家族样本的API调用序列;
控制端定位模块303,定位API调用序列中连接木马控制端IP端口时调用的API详情;
关键API序列提取模块304,分别提取各家族中的木马样本在连接控制端API之前,预设数量的关键API序列及参数;
通用序列提取模块305,对比同一木马家族中木马样本的API序列及参数,提取通用序列;
未知样本匹配模块306,将提取的通用序列与未知样本的API序列匹配,若匹配成功,则提取未知样本尝试连接控制端的IP端口即为控制端。
所述的系统中,所述对已知木马家族样本分类,并提取各木马家族的API调用日志,具体为:
对已知木马家族样本分类,获取样本实体;
通过API调用监控程序,批量提取各木马家族样本的API调用日志。
所述的系统中,所述连接木马控制端IP端口时调用的API详情,具体为:connect函数及其参数。
本发明还提出一种非临时性计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现上述的基于API调用序列提取控制端的方法。
本发明的优势在于:本发明通过分析已知样本来识别未知样本,依托沙箱来监控API调用详情,用该方法能够做到提取同一类型家族的木马控制端,节省了人工提取的时间。由于同一类型的木马的API调用顺序基本不变,该方法提取的控制端更加通用,同时不受其它联网、扫描、爆破攻击等网络噪音,使提取的控制端信息更加精确。
通过以上的实施方式的描述可知,本领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例或者实施例的某些部分所述的方法。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于系统实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
虽然通过实施例描绘了本发明,本领域普通技术人员知道,本发明有许多变形和变化而不脱离本发明的精神,希望所附的权利要求包括这些变形和变化而不脱离本发明的精神。

Claims (5)

1.一种基于API调用序列提取控制端的方法,其特征在于,包括:
对已知木马家族样本分类,并提取各木马家族的API调用日志;
分别提取各木马家族样本的API调用序列;
定位API调用序列中连接木马控制端IP端口时调用的API详情;
分别提取各家族中的样本在连接木马控制端调用的API之前,预设数量的关键API序列及参数;
对比同一木马家族中木马样本的API序列及参数,提取通用序列;
将提取的通用序列与未知样本的API序列匹配,若匹配成功,则提取未知样本尝试连接控制端的IP端口即为控制端;
所述对已知木马家族样本分类,并提取各木马家族的API调用日志,具体为:
对已知木马家族样本分类,获取样本实体;
通过API调用监控程序,批量提取各木马家族样本的API调用日志。
2.如权利要求1所述的方法,其特征在于,所述连接木马控制端IP端口时调用的API详情,具体为:connect函数及其参数。
3.一种基于API调用序列提取控制端的系统,其特征在于,包括:
日志提取模块,对已知木马家族样本分类,并提取各木马家族的API调用日志;
API序列提取模块,分别提取各木马家族样本的API调用序列;
控制端定位模块,定位API调用序列中连接木马控制端IP端口时调用的API详情;
关键API序列提取模块,分别提取各家族中的样本在连接木马控制端调用的API之前,预设数量的关键API序列及参数;
通用序列提取模块,对比同一木马家族中木马样本的API序列及参数,提取通用序列;
未知样本匹配模块,将提取的通用序列与未知样本的API序列匹配,若匹配成功,则提取未知样本尝试连接控制端的IP端口即为控制端;
所述对已知木马家族样本分类,并提取各木马家族的API调用日志,具体为:
对已知木马家族样本分类,获取样本实体;
通过API调用监控程序,批量提取各木马家族样本的API调用日志。
4.如权利要求3所述的系统,其特征在于,所述连接木马控制端IP端口时调用的API详情,具体为:connect函数及其参数。
5.一种非临时性计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如权利要求1-2中任一所述的基于API调用序列提取控制端的方法。
CN201711420845.6A 2017-12-25 2017-12-25 一种基于api调用序列提取控制端的方法及系统 Active CN109472134B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201711420845.6A CN109472134B (zh) 2017-12-25 2017-12-25 一种基于api调用序列提取控制端的方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201711420845.6A CN109472134B (zh) 2017-12-25 2017-12-25 一种基于api调用序列提取控制端的方法及系统

Publications (2)

Publication Number Publication Date
CN109472134A CN109472134A (zh) 2019-03-15
CN109472134B true CN109472134B (zh) 2022-04-19

Family

ID=65658228

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201711420845.6A Active CN109472134B (zh) 2017-12-25 2017-12-25 一种基于api调用序列提取控制端的方法及系统

Country Status (1)

Country Link
CN (1) CN109472134B (zh)

Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101226570A (zh) * 2007-09-05 2008-07-23 江启煜 一种监控与清除广义未知病毒的方法
JP2012234401A (ja) * 2011-05-02 2012-11-29 Kddi Corp アプリケーション解析装置およびプログラム
CN103473507A (zh) * 2013-09-25 2013-12-25 西安交通大学 一种基于方法调用图的Android恶意软件检测方法
CN105187394A (zh) * 2015-08-10 2015-12-23 济南大学 具有移动终端恶意软件行为检测能力的代理服务器及方法
CN105630636A (zh) * 2016-01-26 2016-06-01 陈谦 一种智能电子设备操作系统的动态恢复方法及其装置
CN105989283A (zh) * 2015-02-06 2016-10-05 阿里巴巴集团控股有限公司 一种识别病毒变种的方法及装置
CN106133642A (zh) * 2014-04-08 2016-11-16 高通股份有限公司 在移动设备中通过执行行为分析操作推断应用状态的方法和系统
CN106682515A (zh) * 2016-12-15 2017-05-17 中国人民解放军国防科学技术大学 恶意代码分析中行为能力的度量方法
CN106778268A (zh) * 2016-11-28 2017-05-31 广东省信息安全测评中心 恶意代码检测方法与系统

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102567659B (zh) * 2010-12-28 2014-12-24 河南省躬行信息科技有限公司 基于双驱动联动的文件安全主动防护方法
CN104794399A (zh) * 2015-04-23 2015-07-22 北京北信源软件股份有限公司 一种基于海量程序行为数据的终端防护系统及方法

Patent Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101226570A (zh) * 2007-09-05 2008-07-23 江启煜 一种监控与清除广义未知病毒的方法
JP2012234401A (ja) * 2011-05-02 2012-11-29 Kddi Corp アプリケーション解析装置およびプログラム
CN103473507A (zh) * 2013-09-25 2013-12-25 西安交通大学 一种基于方法调用图的Android恶意软件检测方法
CN106133642A (zh) * 2014-04-08 2016-11-16 高通股份有限公司 在移动设备中通过执行行为分析操作推断应用状态的方法和系统
CN105989283A (zh) * 2015-02-06 2016-10-05 阿里巴巴集团控股有限公司 一种识别病毒变种的方法及装置
CN105187394A (zh) * 2015-08-10 2015-12-23 济南大学 具有移动终端恶意软件行为检测能力的代理服务器及方法
CN105630636A (zh) * 2016-01-26 2016-06-01 陈谦 一种智能电子设备操作系统的动态恢复方法及其装置
CN106778268A (zh) * 2016-11-28 2017-05-31 广东省信息安全测评中心 恶意代码检测方法与系统
CN106682515A (zh) * 2016-12-15 2017-05-17 中国人民解放军国防科学技术大学 恶意代码分析中行为能力的度量方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
主流木马技术分析及攻防研究;胡燕京 等;《现代电子技术》;20071231(第252期);第96-100页 *

Also Published As

Publication number Publication date
CN109472134A (zh) 2019-03-15

Similar Documents

Publication Publication Date Title
US11288398B2 (en) Systems, methods, and devices for obfuscation of browser fingerprint data on the world wide web
US10235519B2 (en) Methods and systems for identifying potential enterprise software threats based on visual and non-visual data
US10873594B2 (en) Test system and method for identifying security vulnerabilities of a device under test
CN110336835B (zh) 恶意行为的检测方法、用户设备、存储介质及装置
CN111770082A (zh) 漏洞扫描方法、装置、设备及计算机可读存储介质
CN112165455A (zh) 数据访问控制方法、装置、计算机设备和存储介质
CN108182364B (zh) 一种基于调用依赖关系识别攻击同源的方法及系统
CN109547426B (zh) 业务响应方法及服务器
CN113595967A (zh) 数据识别方法、设备、存储介质及装置
CN107819768B (zh) 服务端主动断开非法长连接的方法、终端设备及存储介质
CN109688096B (zh) Ip地址的识别方法、装置、设备及计算机可读存储介质
Jain et al. Towards mining latent client identifiers from network traffic
CN108229168B (zh) 一种嵌套类文件的启发式检测方法、系统及存储介质
CN108234484B (zh) 用于追溯木马源的计算机可读存储介质和应用该介质的木马源追溯系统
CN108170537B (zh) 游戏api实现方法、装置、接口服务器及可读存储介质
CN110691090B (zh) 网站检测方法、装置、设备及存储介质
CN109472134B (zh) 一种基于api调用序列提取控制端的方法及系统
CN112953896A (zh) 日志报文的回放方法及装置
CN110808997B (zh) 对服务器远程取证的方法、装置、电子设备、及存储介质
CN111079140B (zh) 用于防作弊的方法、设备和系统
KR20190073481A (ko) 네트워크 맵핑을 위한 지문 결정
CN114218561A (zh) 一种弱口令检测方法、终端设备及存储介质
CN106934290B (zh) 漏洞检测方法及装置
CN106919836B (zh) 应用的端口检测方法及装置
CN110875895A (zh) 实现智能终端软件登录的方法、系统、设备、及车辆

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant