CN110535844B - 一种恶意软件通讯活动检测方法、系统及存储介质 - Google Patents
一种恶意软件通讯活动检测方法、系统及存储介质 Download PDFInfo
- Publication number
- CN110535844B CN110535844B CN201910769608.3A CN201910769608A CN110535844B CN 110535844 B CN110535844 B CN 110535844B CN 201910769608 A CN201910769608 A CN 201910769608A CN 110535844 B CN110535844 B CN 110535844B
- Authority
- CN
- China
- Prior art keywords
- communication
- jth
- pair
- pair corresponding
- host
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明实施例公开了一种恶意软件通讯活动检测方法、系统及存储介质,该方法包括:获取目标环境内的每一台主机的网络通讯数据;对网络通讯数据进行处理,获取每一台主机分别对应的标准字段;当确定第i台主机对应的第j个IP对为第一类型IP对时,根据相邻两次通讯发起时间间隔确定其是否为恶意软件beacon通讯活动;或者,当确定第i台主机对应的第j个IP对为第二类型IP对时,统计第二预设时间段内第i台主机对应的第j个IP对中本地IP和远程IP之间的第一平均通讯次数,以及第一实际通讯次数;根据第一平均通讯次数和第一实际通讯次数,确定其是否为恶意软件beacon通讯活动;当确定为恶意软件beacon通讯活动时,发出告警信息。
Description
技术领域
本发明实施例涉及安全技术领域,具体涉及一种恶意软件通讯活动检测方法、系统及存储介质。
背景技术
当恶意软件感染入侵目标环境内的一台主机后,它会扫描主机环境,并建立起一个攻击者使用的通信通道,然后,此恶意软件会周期性的向外部控制与命令(Command andControl,简称C2)服务器发出网络通讯行为以实现报告存活状态以及检查新指令下达的情况,此种恶意软件的通讯行为叫做Beacon通讯活动。
攻击者可以通过C2服务器,管理和控制大量的受感染主机,Beacon是恶意软件活动的重要指标之一。
目前对于此类Beacon活动的检测,现有的技术手段之一为:从外部情报源收集各恶意软件的通讯C2服务器IP地址,建立起IP黑名单,然后检测内部环境主机对外通讯中是否有命中IP黑名单的,如果有,产生告警。此种方法弊端有三个:一是IP黑名单的方式面临时效性的问题;二是IP黑名单的方式极容易被攻击者通过更改IP地址进行避掉;三是IP黑名单只能检测一部分已发现的Beacon通讯活动,这种方式不能全面、长期的检测出攻击者发起的beacon通讯活动,也就无法有效的保证计算机通讯安全。
发明内容
为此,本发明实施例提供一种恶意软件通讯活动检测方法、系统及存储介质,以解决现有技术无法全面、长期的检测出攻击者发起的beacon通讯活动,进而无法有效的保证计算机通讯安全的技术问题。
为了实现上述目的,本发明实施例提供如下技术方案:
根据本发明实施例的第一方面,提供了一种恶意软件通讯活动检测方法,该方法包括:
获取目标环境内的每一台主机的网络通讯数据;
对网络通讯数据进行处理,获取每一台主机分别对应的标准字段,其中标准字段中包括有每一台主机分别对应的至少一个IP对以及每一个IP对之间的通讯发起时间,每个IP对由本地IP和与之建立通信连接的一个远程IP构成;
统计第一预设时间段内,第i台主机对应的第j个IP对中本地IP和远程IP之间的第一总通讯次数;
当根据第一总通讯次数,确定第i台主机对应的第j个IP对为第一类型IP对时,根据第i台主机对应的第j个IP对的相邻两次通讯发起时间间隔确定第i台主机对应的第j个IP对之间的通讯活动是否为恶意软件beacon通讯活动;
当根据第一总通讯次数,确定第i台主机对应的第j个IP对为第二类型IP对时,统计第二预设时间段内第i台主机对应的第j个IP对中本地IP和远程IP之间的第一预设单位时间的第一平均通讯次数,以及每一个第一预设单位时间内第i台主机对应的第j个IP对中本地IP和远程IP之间的第一实际通讯次数;
根据第一平均通讯次数,以及第一实际通讯次数,确定第i台主机对应的第j个IP对之间的通讯活动是否为恶意软件beacon通讯活动;
当确定第i台主机对应的第j个IP对之间的通讯活动为恶意软件beacon通讯活动时,发出告警信息,其中,第二预设时间段大于第一预设时间段,i为大于或者等于1,且小于或者等于主机总数量的正整数,i初始取值为1,依次递进取值,但周期性更新;j为大于或者等于1,且小于或者等于第i台主机中所有IP对总数量的正整数,j初始取值为1,j依次递进取值。
进一步地,根据第一总通讯次数,确定第i台主机对应的第j个IP对为第一类型IP对或者为第二类型IP对,具体包括:
当第一总通讯次数大于或者等于第一次数阈值时,确定第i台主机对应的第j个IP对为第一类型IP对;
或者,当第一总通讯次数小于第一次数阈值时,确定第i台主机对应的第j个IP对为第二类型IP对。
进一步地,根据第i台主机对应的第j个IP对的相邻两次通讯发起时间间隔确定第i台主机对应的第j个IP对之间的通讯活动是否为恶意软件beacon通讯活动,具体包括:
当确定第i台主机对应的第j个IP对的相邻两次通讯发起时间间隔的方差小于或者等于第一时间阈值时,确定第i台主机对应的第j个IP对之间的通讯活动是否为恶意软件beacon通讯活动。
进一步地,当确定第i台主机对应的第j个IP对的相邻两次通讯发起时间间隔的方差大于第一时间阈值时,定义第i台主机对应的第j个IP对为第三类型IP对,方法还包括:
统计第三预设时间段内第i台主机对应的第j个IP对中本地IP和远程IP之间的预设单位时间的第二平均通讯次数,以及每一个预设单位时间内第i台主机对应的第j个IP对中本地IP和远程IP之间的第二实际通讯次数;
根据第二平均通讯次数和第二实际通讯次数,确定第i台主机对应的第j个IP对之间的通讯活动是否为恶意软件beacon通讯活动。
进一步地,根据第二平均通讯次数和第二实际通讯次数,确定第i台主机对应的第j个IP对之间的通讯活动是否为恶意软件beacon通讯活动,具体包括:
当第二平均通讯次数和第二实际通讯次数之间的方差小于或者等于第二次数阈值时,确定第i台主机对应的第j个IP对之间的通讯活动为恶意软件beacon通讯活动。
进一步地,当第二平均通讯次数和第二实际通讯次数之间的方差大于第二次数阈值时,方法还包括:
统计第四预设时间段内第i台主机对应的第j个IP对中本地IP和远程IP之间的预设单位时间的第三平均通讯次数,以及每一个预设单位时间内第i台主机对应的第j个IP对中本地IP和远程IP之间的第三实际通讯次数;
当第三平均通讯次数和第三实际通讯次数之间的方差小于或者等于第三次数阈值时,确定第i台主机对应的第j个IP对之间的通讯活动为恶意软件beacon通讯活动,其中,第四预设时间段大于第三预设时间段。
进一步地,根据第一平均通讯次数,以及第一实际通讯次数,确定第i台主机对应的第j个IP对之间的通讯活动是否为恶意软件beacon通讯活动,具体包括:
当第一平均通讯次数与第一实际通讯次数之间的方差小于或者等于第三次数阈值时,确定第i台主机对应的第j个IP对之间的通讯活动为恶意软件beacon通讯活动。
进一步地,标准字段还包括:通讯端口和通讯协议;
统计第一预设时间段内,第i台主机对应的第j个IP对中本地IP和远程IP之间的第一总通讯次数之前,方法还包括:
根据预设白名单中的所记载的远程IP,和/或通讯端口,和/或通讯协议,对经过处理后的网络通讯数据进行筛选。
根据本发明实施例的第二方面,提供了一种恶意软件通讯活动检测系统,该系统包括:处理器和存储器;
存储器用于存储一个或多个程序指令;
处理器,用于运行一个或多个程序指令,用以执行如上一种恶意软件通讯活动检测方法中的任一方法步骤。
根据本发明实施例的第三方面,提供了一种计算机存储介质,该计算机存储介质中包含一个或多个程序指令,一个或多个程序指令用于被一种恶意软件通讯活动检测系统执行如上一种恶意软件通讯活动检测方法中的任一方法步骤。
本发明实施例具有如下优点:获取目标环境中的每一台主机的网络通讯数据,然后对网络通讯数据进行处理,获取主机对应的本地IP分别和外部远程IP之间建立通讯的IP对。针对每一个IP对,均执行如下操作:统计第一预设时间段内本地IP分别和远程IP之间的第一总通讯次数,当根据第一总通讯次数确定该IP对为第一类型IP对时,根据该IP对中本地IP和远程IP之间相邻两次通讯发起的时间间隔,确定该IP对之间的通讯活动是否为恶意软件beacon通讯活动。或者,当根据第一总通讯次数确定该IP对为第二类型IP对时,统计第二预设时间段内本地IP和远程IP在第一预设单位时间内的第一平均通讯次数,和每一个第一预设单位时间内的第一实际通讯次数,根据第一平均通讯次数和第一实际通讯次数,确定该IP对之间的通讯活动是否为恶意软件beacon通讯活动。不论通过哪种方式,一旦确定IP对之间的通讯活动为恶意软件beacon通讯活动,则发出告警信息。通过该种方式,无需考虑IP黑名单的时效性,实时检测IP对之间的通讯活动是否属于恶意软件beacon通讯活动,即使攻击者频繁更改IP地址,也可以被检测出,检测将会更加全面,有效保证计算机通讯安全。
附图说明
为了更清楚地说明本发明的实施方式或现有技术中的技术方案,下面将对实施方式或现有技术描述中所需要使用的附图作简单地介绍。显而易见地,下面描述中的附图仅仅是示例性的,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图引申获得其它的实施附图。
本说明书所绘示的结构、比例、大小等,均仅用以配合说明书所揭示的内容,以供熟悉此技术的人士了解与阅读,并非用以限定本发明可实施的限定条件,故不具技术上的实质意义,任何结构的修饰、比例关系的改变或大小的调整,在不影响本发明所能产生的功效及所能达成的目的下,均应仍落在本发明所揭示的技术内容得能涵盖的范围内。
图1为本发明实施例1提供的一种恶意软件通讯活动检测方法流程示意图;
图2为本发明实施例2提供的一种恶意软件通讯活动检测装置结构示意图;
图3为本发明实施例3提供的一种恶意软件通讯活动检测系统结构示意图。
具体实施方式
以下由特定的具体实施例说明本发明的实施方式,熟悉此技术的人士可由本说明书所揭露的内容轻易地了解本发明的其他优点及功效,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例1提供了一种恶意软件通讯活动检测方法,具体如图1所示,该方法步骤如下:
步骤110,获取目标环境内的每一台主机的网络通讯数据。
具体的,目标环境即为待检测的网络环境。网络通讯数据可以包括物理主机对外网络通讯的所有数据,包括了HTTP、DNS、FTP等各种应用协议数据。其中,数据的时间范围越大,后续检测恶意软件beacon通讯活动的精确度则越高。
步骤120,对网络通讯数据进行处理,获取每一台主机分别对应的标准字段。
具体的,标准字段中包括有每一台主机分别对应的至少一个IP对以及每一个IP对之间的通讯发起时间,每个IP对由本地IP和与之建立通信连接的一个远程IP构成。
在具体执行时,可以将本地IP和与之建立通讯的远程IP之间通讯数据加入到同一个文件中。并按照每一个IP对的通讯发起时间的先后顺序,对IP对进行排序。
针对每一个IP对,执行如下操作:
步骤130,统计第一预设时间段内,第i台主机对应的第j个IP对中本地IP和远程IP之间的第一总通讯次数。
在一个具体的例子中,假设包含10台主机,其中第一台主机的本地IP和外部网络中的三个不同的远程IP分别建立了通讯连接。那么,则依据该主机的本地IP,会形成3个IP对。
那么,这里的i初始取值则为1,j的取值从1开始,到3位置重复执行下文操作。当执行完下文的操作后,则更新i的取值为2,继续重复。直至i的取值为10,重复下面的操作完成后,停止。也即是,i为大于或者等于1,且小于或者等于主机总数量的正整数,i初始取值为1,依次递进取值,但周期性更新;j为大于或者等于1,且小于或者等于第i台主机中所有IP对总数量的正整数,j初始取值为1,j依次递进取值。
下面,仅以i等于1,且j等于1为例进行说明,执行的操作包括:
统计第一预设时间段内,第i(本例子中,i=1)台主机对应的第j(本例子中,j=1)个IP对中本地IP和远程IP之间的第一总通讯次数。
当根据第一总通讯次数,确定第i台主机对应的第j个IP对为第一类型IP对时,执行步骤140。
步骤140,根据第i台主机对应的第j个IP对的相邻两次通讯发起时间间隔确定第i台主机对应的第j个IP对之间的通讯活动是否为恶意软件beacon通讯活动。
或者,当根据第一总通讯次数,确定第i台主机对应的第j个IP对为第二类型IP对时,执行步骤150~步骤160。
步骤150,统计第二预设时间段内第i台主机对应的第j个IP对中本地IP和远程IP之间的第一预设单位时间的第一平均通讯次数,以及每一个第一预设单位时间内第i台主机对应的第j个IP对中本地IP和远程IP之间的第一实际通讯次数。
步骤160,根据第一平均通讯次数,以及第一实际通讯次数,确定第i台主机对应的第j个IP对之间的通讯活动是否为恶意软件beacon通讯活动。
步骤170,当确定第i台主机对应的第j个IP对之间的通讯活动为恶意软件beacon通讯活动时,发出告警信息。
其中,第二预设时间段大于第一预设时间段,例如第一预设时间段为1天,第二预设时间段为10天。
具体的,在根据第一总通讯次数,确定第i台主机对应的第j个IP对为第一类型IP对或者为第二类型IP对,具体包括:
当第一总通讯次数大于或者等于第一次数阈值(例如1000次)时,确定第i台主机对应的第j个IP对为第一类型IP对;
或者,当第一总通讯次数小于第一次数阈值时,确定第i台主机对应的第j个IP对为第二类型IP对。
在一种情况中,如果确定第i台主机的第j个IP对为第一类型IP对时,根据第i台主机对应的第j个IP对的相邻两次通讯发起时间间隔确定第i台主机对应的第j个IP对之间的通讯活动是否为恶意软件beacon通讯活动,可以通过时间间隔检测方式来确定。具体包括:
当确定第i台主机对应的第j个IP对的相邻两次通讯发起时间间隔的方差小于或者等于第一时间阈值时,确定第i台主机对应的第j个IP对之间的通讯活动是否为恶意软件beacon通讯活动。
否则,当确定第i台主机对应的第j个IP对的相邻两次通讯发起时间间隔的方差大于第一时间阈值时,定义第i台主机对应的第j个IP对为第三类型IP对。也即是,第三类型IP对为第一类型IP对的一个子集。
需要说明的是,并非是确定第i台主机对应的第j个IP对为第三类型IP对之后,就能够确定第i台主机对应的第j个IP对之间的通讯活动为正常通讯活动。这里需要考虑到攻击者为了避免维护网络安全的用户通过通讯时间间隔的检测方式检测非法IP,会在恶意软件向外发起的周期性通讯中加入时间抖动。例如,恶意软件如果说规履行的通讯的话,每间隔10s通讯一次,那么加入时间抖动后,就有可能是7s通讯一次,下一次则间隔13s通讯一次,或者更多。那么,相邻两次通讯之间的时间间隔的方差则会大于第一时间阈值,也即是第三类型的IP对之间的通讯活动中同样可能是恶意软件beacon通讯活动。
因此,即使确定了第i台主机对应的第j个IP对为第三类型IP对,也还需要采用判断第三类型IP对之间的通讯活动是否为恶意软件beacon通讯活动的方式判断第i台主机对应的第j个IP对之间的通讯活动是否为恶意软件beacon通讯活动。
具体包括:统计第三预设时间段内第i台主机对应的第j个IP对中本地IP和远程IP之间的预设单位时间的第二平均通讯次数,以及每一个预设单位时间内第i台主机对应的第j个IP对中本地IP和远程IP之间的第二实际通讯次数;
根据第二平均通讯次数和第二实际通讯次数,确定第i台主机对应的第j个IP对之间的通讯活动是否为恶意软件beacon通讯活动。
这里的第三预设时间段为小于第二预设时间段的时间段。之所以考虑到第三时间段为小于或者等于第二预设时间段,是因为第三类型的IP对是第一类型IP对的子集,那么可想而知,在第一预设时间段内的IP对之间的通讯次数必然是大于第一次数阈值的,因此数据量将会很大。所以,第三预设时间段为小于或者等于第二预设时间段的。从另一个角度而言,第三类型的IP对是第一类型IP对的子集,而第一类型IP对的统计时间为第一预设时间段,所以第三预设时间段是小于第一预设时间段的,第一预设时间段小于第二预设时间段,自然第三预设时间段小于第二预设时间段。在一个具体的例子中,当第一预设时间段设置为1天时,可以将第三预设时间段设置为4小时。并且,将这4小时分为4个单位时间段,每个单位时间段为1小时。
那么,统计4小时内第i台主机的第j个IP对之间的通讯总次数,并根据这4小时内的通讯总次数求取1小时的第二平均通讯次数。同时,还要求取每一个小时内第i台主机第j个IP对之间的第二实际通讯次数。然后根据第二平均通讯次数和第二实际通讯次数,确定第i台主机对应的第j个IP对之间的通讯活动是否为恶意软件beacon通讯活动。
其中,当第二平均通讯次数和第二实际通讯次数之间的方差小于或者等于第二次数阈值时,确定第i台主机对应的第j个IP对之间的通讯活动为恶意软件beacon通讯活动。
可选的,当第二平均通讯次数和第二实际通讯次数之间的方差大于第二次数阈值时,并非就能够确定第i台主机的第j个IP对之间的通讯活动就为正常的通讯活动,而是还需要进行进一步的判断,即该方法还包括:
统计第四预设时间段内第i台主机对应的第j个IP对中本地IP和远程IP之间的预设单位时间的第三平均通讯次数,以及每一个预设单位时间内第i台主机对应的第j个IP对中本地IP和远程IP之间的第三实际通讯次数;
当第三平均通讯次数和第三实际通讯次数之间的方差小于或者等于第三次数阈值时,确定第i台主机对应的第j个IP对之间的通讯活动为恶意软件beacon通讯活动。
这里的第四预设时间段为大于第三预设时间段小于第一预设时间段的一个时间段,例如设置为8小时。然后统计8小时内第i台主机对应的第j个IP对中本地IP和远程IP之间的预设单位时间的第三平均通讯次数,以及每一个预设单位时间内第i台主机对应的第j个IP对中本地IP和远程IP之间的第三平均通讯次数;单位时间同样可以设置为1小时,或者是设置为2小时,具体的可以根据实际情况设定。
在另一种情况中,当根据第一总通讯次数,确定第i台主机对应的第j个IP对为第二类型IP对时,步骤170执行的步骤具体包括:
当第一平均通讯次数与第一实际通讯次数之间的方差小于或者等于第三次数阈值时,确定第i台主机对应的第j个IP对之间的通讯活动为恶意软件beacon通讯活动,否则,结束检测。
可选的,标准字段还包括:通讯端口和通讯协议;实际上在执行步骤130之前,该方法还包括:步骤125,根据预设白名单中的所记载的远程IP,和/或通讯端口,和/或通讯协议,对经过处理后的网络通讯数据进行筛选。将经过处理后的网络通讯数据中部分属于白名单的IP地址筛选出去,降低数据的运算量,提升检测效率。
可选的,当对检测出的恶意软件Beacon通讯活动进行告警后,用户还需要对告警信息进行进一步的确认,判断是否存在误报的情况。例如主机中的软件更新,系统将更新软件IP地址和本地IP地址之间的通讯活动误判为恶意软件Beacon通讯活动。如果存在误报,则从告警信息中将误报元素加入到白名单中,即随时对上文说的白名单进行更新。这里的误报元素可以包括IP地址、通讯端口和通讯协议等等。
本发明实施例提供的一种恶意软件通讯活动检测方法,获取目标环境中的每一台主机的网络通讯数据,然后对网络通讯数据进行处理,获取主机对应的本地IP分别和外部远程IP之间建立通讯的IP对。针对每一个IP对,均执行如下操作:统计第一预设时间段内本地IP分别和远程IP之间的第一总通讯次数,当根据第一总通讯次数确定该IP对为第一类型IP对时,根据该IP对中本地IP和远程IP之间相邻两次通讯发起的时间间隔,确定该IP对之间的通讯活动是否为恶意软件beacon通讯活动。或者,当根据第一总通讯次数确定该IP对为第二类型IP对时,统计第二预设时间段内本地IP和远程IP在第一预设单位时间内的第一平均通讯次数,和每一个第一预设单位时间内的第一实际通讯次数,根据第一平均通讯次数和第一实际通讯次数,确定该IP对之间的通讯活动是否为恶意软件beacon通讯活动。不论通过哪种方式,一旦确定IP对之间的通讯活动为恶意软件beacon通讯活动,则发出告警信息。通过该种方式,无需考虑IP黑名单的时效性,实时检测IP对之间的通讯活动是否属于恶意软件beacon通讯活动,即使攻击者频繁更改IP地址,也可以被检测出,检测将会更加全面,有效保证计算机通讯安全。
与上述实施例1对应的,本发明实施例2还提供了一种恶意软件通讯活动检测装置,具体如图2所示,该装置包括:获取单元201、处理单元202以及报警单元203。
获取单元201,用于获取目标环境内的每一台主机的网络通讯数据;
处理单元202,用于对网络通讯数据进行处理,获取每一台主机分别对应的标准字段,其中标准字段中包括有每一台主机分别对应的至少一个IP对以及每一个IP对之间的通讯发起时间,每个IP对由本地IP和与之建立通信连接的一个远程IP构成;
当根据第一总通讯次数,确定第i台主机对应的第j个IP对为第一类型IP对时,根据第i台主机对应的第j个IP对的相邻两次通讯发起时间间隔确定第i台主机对应的第j个IP对之间的通讯活动是否为恶意软件beacon通讯活动;
或者,当根据第一总通讯次数,确定第i台主机对应的第j个IP对为第二类型IP对时,统计第二预设时间段内第i台主机对应的第j个IP对中本地IP和远程IP之间的第一预设单位时间的第一平均通讯次数,以及每一个第一预设单位时间内第i台主机对应的第j个IP对中本地IP和远程IP之间的第一实际通讯次数;
根据第一平均通讯次数,以及第一实际通讯次数,确定第i台主机对应的第j个IP对之间的通讯活动是否为恶意软件beacon通讯活动;
报警单元203,用于当确定第i台主机对应的第j个IP对之间的通讯活动为恶意软件beacon通讯活动时,发出告警信息,其中,第二预设时间段大于第一预设时间段,i为大于或者等于1,且小于或者等于主机总数量的正整数,i初始取值为1,依次递进取值,但周期性更新;j为大于或者等于1,且小于或者等于第i台主机中所有IP对总数量的正整数,j初始取值为1,j依次递进取值。
可选的,处理单元202具体用于,当第一总通讯次数大于或者等于第一次数阈值时,确定第i台主机对应的第j个IP对为第一类型IP对;
或者,当第一总通讯次数小于第一次数阈值时,确定第i台主机对应的第j个IP对为第二类型IP对。
可选的,处理单元202具体用于,当确定第i台主机对应的第j个IP对的相邻两次通讯发起时间间隔的方差小于或者等于第一时间阈值时,确定第i台主机对应的第j个IP对之间的通讯活动是否为恶意软件beacon通讯活动。
可选的,处理单元202还用于,统计第三预设时间段内第i台主机对应的第j个IP对中本地IP和远程IP之间的预设单位时间的第二平均通讯次数,以及每一个预设单位时间内第i台主机对应的第j个IP对中本地IP和远程IP之间的第二实际通讯次数;
根据第二平均通讯次数和第二实际通讯次数,确定第i台主机对应的第j个IP对之间的通讯活动是否为恶意软件beacon通讯活动。
可选的,处理单元202具体用于,当第二平均通讯次数和第二实际通讯次数之间的方差小于或者等于第二次数阈值时,确定第i台主机对应的第j个IP对之间的通讯活动为恶意软件beacon通讯活动。
可选的,处理单元202还用于,统计第四预设时间段内第i台主机对应的第j个IP对中本地IP和远程IP之间的预设单位时间的第三平均通讯次数,以及每一个预设单位时间内第i台主机对应的第j个IP对中本地IP和远程IP之间的第三实际通讯次数;
当第三平均通讯次数和第三实际通讯次数之间的方差小于或者等于第三次数阈值时,确定第i台主机对应的第j个IP对之间的通讯活动为恶意软件beacon通讯活动,其中,第四预设时间段大于第三预设时间段。
可选的,处理单元202具体用于,当第一平均通讯次数与第一实际通讯次数之间的方差小于或者等于第三次数阈值时,确定第i台主机对应的第j个IP对之间的通讯活动为恶意软件beacon通讯活动。
可选的,标准字段还包括:通讯端口和通讯协议;该装置还包括:筛选单元204,用于根据预设白名单中的所记载的远程IP,和/或通讯端口,和/或通讯协议,对经过处理后的网络通讯数据进行筛选。
本发明实施例提供的一种恶意软件通讯活动检测装置中各部件所执行的功能均已在上述实施例1中做了详细介绍,因此这里不做过多赘述。
本发明实施例提供的一种恶意软件通讯活动检测装置,获取目标环境中的每一台主机的网络通讯数据,然后对网络通讯数据进行处理,获取主机对应的本地IP分别和外部远程IP之间建立通讯的IP对。针对每一个IP对,均执行如下操作:统计第一预设时间段内本地IP分别和远程IP之间的第一总通讯次数,当根据第一总通讯次数确定该IP对为第一类型IP对时,根据该IP对中本地IP和远程IP之间相邻两次通讯发起的时间间隔,确定该IP对之间的通讯活动是否为恶意软件beacon通讯活动。或者,当根据第一总通讯次数确定该IP对为第二类型IP对时,统计第二预设时间段内本地IP和远程IP在第一预设单位时间内的第一平均通讯次数,和每一个第一预设单位时间内的第一实际通讯次数,根据第一平均通讯次数和第一实际通讯次数,确定该IP对之间的通讯活动是否为恶意软件beacon通讯活动。不论通过哪种方式,一旦确定IP对之间的通讯活动为恶意软件beacon通讯活动,则发出告警信息。通过该种方式,无需考虑IP黑名单的时效性,实时检测IP对之间的通讯活动是否属于恶意软件beacon通讯活动,即使攻击者频繁更改IP地址,也可以被检测出,检测将会更加全面,有效保证计算机通讯安全。
与上述实施例相对应的,本发明实施例3还提供了一种恶意软件通讯活动检测系统,具体如图3所示,该系统包括:处理器301和存储器302;
存储器302用于存储一个或多个程序指令;
处理器301,用于运行一个或多个程序指令,用以执行如上实施例所介绍的一种恶意软件通讯活动检测方法中的任一方法步骤。
本发明实施例提供的一种恶意软件通讯活动检测系统,获取目标环境中的每一台主机的网络通讯数据,然后对网络通讯数据进行处理,获取主机对应的本地IP分别和外部远程IP之间建立通讯的IP对。针对每一个IP对,均执行如下操作:统计第一预设时间段内本地IP分别和远程IP之间的第一总通讯次数,当根据第一总通讯次数确定该IP对为第一类型IP对时,根据该IP对中本地IP和远程IP之间相邻两次通讯发起的时间间隔,确定该IP对之间的通讯活动是否为恶意软件beacon通讯活动。或者,当根据第一总通讯次数确定该IP对为第二类型IP对时,统计第二预设时间段内本地IP和远程IP在第一预设单位时间内的第一平均通讯次数,和每一个第一预设单位时间内的第一实际通讯次数,根据第一平均通讯次数和第一实际通讯次数,确定该IP对之间的通讯活动是否为恶意软件beacon通讯活动。不论通过哪种方式,一旦确定IP对之间的通讯活动为恶意软件beacon通讯活动,则发出告警信息。通过该种方式,无需考虑IP黑名单的时效性,实时检测IP对之间的通讯活动是否属于恶意软件beacon通讯活动,即使攻击者频繁更改IP地址,也可以被检测出,检测将会更加全面,有效保证计算机通讯安全。
与上述实施例相对应的,本发明实施例还提供了一种计算机存储介质,该计算机存储介质中包含一个或多个程序指令。其中,一个或多个程序指令用于被一种恶意软件通讯活动检测系统执行如上所介绍的一种恶意软件通讯活动检测方法。
在本发明实施例中,处理器可以是一种集成电路芯片,具有信号的处理能力。处理器可以是通用处理器、数字信号处理器(Digital Signal Processor,简称DSP)、专用集成电路(Application Specific工ntegrated Circuit,简称ASIC)、现场可编程门阵列(FieldProgrammable Gate Array,简称FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本发明实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。处理器读取存储介质中的信息,结合其硬件完成上述方法的步骤。
存储介质可以是存储器,例如可以是易失性存储器或非易失性存储器,或可包括易失性和非易失性存储器两者。
其中,非易失性存储器可以是只读存储器(Read-Only Memory,简称ROM)、可编程只读存储器(Programmable ROM,简称PROM)、可擦除可编程只读存储器(Erasable PROM,简称EPROM)、电可擦除可编程只读存储器(Electrically EPROM,简称EEPROM)或闪存。
易失性存储器可以是随机存取存储器(Random Access Memory,简称RAM),其用作外部高速缓存。通过示例性但不是限制性说明,许多形式的RAM可用,例如静态随机存取存储器(Static RAM,简称SRAM)、动态随机存取存储器(Dynamic RAM,简称DRAM)、同步动态随机存取存储器(Synchronous DRAM,简称SDRAM)、双倍数据速率同步动态随机存取存储器(Double Data RateSDRAM,简称DDRSDRAM)、增强型同步动态随机存取存储器(EnhancedSDRAM,简称ESDRAM)、同步连接动态随机存取存储器(Synchlink DRAM,简称SLDRAM)和直接内存总线随机存取存储器(DirectRambus RAM,简称DRRAM)。
本发明实施例描述的存储介质旨在包括但不限于这些和任意其它适合类型的存储器。
本领域技术人员应该可以意识到,在上述一个或多个示例中,本发明所描述的功能可以用硬件与软件组合来实现。当应用软件时,可以将相应功能存储在计算机可读介质中或者作为计算机可读介质上的一个或多个指令或代码进行传输。计算机可读介质包括计算机存储介质和通信介质,其中通信介质包括便于从一个地方向另一个地方传送计算机程序的任何介质。存储介质可以是通用或专用计算机能够存取的任何可用介质。
以上的具体实施方式,对本发明的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上仅为本发明的具体实施方式而已,并不用于限定本发明的保护范围,凡在本发明的技术方案的基础之上,所做的任何修改、等同替换、改进等,均应包括在本发明的保护范围之内。
Claims (5)
1.一种恶意软件通讯活动检测方法,其特征在于,所述方法包括:
获取目标环境内的每一台主机的网络通讯数据;
对所述网络通讯数据进行处理,获取每一台主机分别对应的标准字段,其中所述标准字段中包括有每一台主机分别对应的至少一个IP对以及每一个IP对之间的通讯发起时间,每个IP对由本地IP和与之建立通信连接的一个远程IP构成;
统计第一预设时间段内,第i台主机对应的第j个IP对中本地IP和远程IP之间的第一总通讯次数;
当根据所述第一总通讯次数,确定所述第i台主机对应的第j个IP对为第一类型IP对时,根据所述第i台主机对应的第j个IP对的相邻两次通讯发起时间间隔确定所述第i台主机对应的第j个IP对之间的通讯活动是否为恶意软件beacon通讯活动;
或者,当根据所述第一总通讯次数,确定所述第i台主机对应的第j个IP对为第二类型IP对时,统计第二预设时间段内第i台主机对应的第j个IP对中本地IP和远程IP之间的第一预设单位时间的第一平均通讯次数,以及每一个第一预设单位时间内第i台主机对应的第j个IP对中本地IP和远程IP之间的第一实际通讯次数;
根据所述第一平均通讯次数,以及所述第一实际通讯次数,确定所述第i台主机对应的第j个IP对之间的通讯活动是否为恶意软件beacon通讯活动;
当确定所述第i台主机对应的第j个IP对之间的通讯活动为恶意软件beacon通讯活动时,发出告警信息,其中,所述第二预设时间段大于所述第一预设时间段,i为大于或者等于1,且小于或者等于主机总数量的正整数,i初始取值为1,依次递进取值,但周期性更新;j为大于或者等于1,且小于或者等于第i台主机中所有IP对总数量的正整数,j初始取值为1,j依次递进取值;
所述根据所述第i台主机对应的第j个IP对的相邻两次通讯发起时间间隔确定所述第i台主机对应的第j个IP对之间的通讯活动是否为恶意软件beacon 通讯活动,具体包括:
当确定所述第i台主机对应的第j个IP对的相邻两次通讯发起时间间隔的方差小于或者等于第一时间阈值时,确定所述第i台主机对应的第j个IP对之间的通讯活动是否为恶意软件beacon通讯活动;
当确定所述第i台主机对应的第j个IP对的相邻两次通讯发起时间间隔的方差大于所述第一时间阈值时,定义所述第i台主机对应的第j个IP对为第三类型IP对,所述方法还包括:
统计第三预设时间段内第i台主机对应的第j个IP对中本地IP和远程IP之间的预设单位时间的第二平均通讯次数,以及每一个预设单位时间内第i台主机对应的第j个IP对中本地IP和远程IP之间的第二实际通讯次数;
根据所述第二平均通讯次数和所述第二实际通讯次数,确定所述第i台主机对应的第j个IP对之间的通讯活动是否为恶意软件beacon通讯活动;
所述根据所述第二平均通讯次数和所述第二实际通讯次数,确定所述第i台主机对应的第j个IP对之间的通讯活动是否为恶意软件beacon通讯活动,具体包括:
当所述第二平均通讯次数和所述第二实际通讯次数之间的方差小于或者等于第二次数阈值时,确定所述第i台主机对应的第j个IP对之间的通讯活动为恶意软件beacon通讯活动;
根据所述第一总通讯次数,确定所述第i台主机对应的第j个IP对为第一类型IP对或者为第二类型IP对,具体包括:
当所述第一总通讯次数大于或者等于第一次数阈值时,确定所述第i台主机对应的第j个IP对为第一类型IP对;
或者,当所述第一总通讯次数小于所述第一次数阈值时,确定所述第i台主机对应的第j个IP对为第二类型IP对;
当所述第二平均通讯次数和所述第二实际通讯次数之间的方差大于所述第二次数阈值时,所述方法还包括:
统计第四预设时间段内第i台主机对应的第j个IP对中本地IP和远程IP 之间的预设单位时间的第三平均通讯次数,以及每一个预设单位时间内第i台主机对应的第j个IP对中本地IP和远程IP之间的第三实际通讯次数;
当所述第三平均通讯次数和所述第三实际通讯次数之间的方差小于或者等于第三次数阈值时,确定所述第i台主机对应的第j个IP对之间的通讯活动为恶意软件beacon通讯活动,其中,所述第四预设时间段大于所述第三预设时间段。
2.根据权利要求1所述的方法,其特征在于,根据所述第一平均通讯次数,以及所述第一实际通讯次数,确定所述第i台主机对应的第j个IP对之间的通讯活动是否为恶意软件beacon通讯活动,具体包括:
当所述第一平均通讯次数与所述第一实际通讯次数之间的方差小于或者等于第三次数阈值时,确定所述第i台主机对应的第j个IP对之间的通讯活动为恶意软件beacon通讯活动。
3.根据权利要求1所述的方法,其特征在于,所述标准字段还包括:通讯端口和通讯协议;
所述统计第一预设时间段内,第i台主机对应的第j个IP对中本地IP和远程IP之间的第一总通讯次数之前,所述方法还包括:
根据预设白名单中的所记载的远程IP,和/或通讯端口,和/或通讯协议,对经过处理后的网络通讯数据进行筛选。
4.一种恶意软件通讯活动检测系统,其特征在于,所述系统包括:处理器和存储器;
所述存储器用于存储一个或多个程序指令;
所述处理器,用于运行一个或多个程序指令,用以执行如权利要求1-3任一项所述的方法。
5.一种计算机存储介质,其特征在于,所述计算机存储介质中包含一个或多个程序指令,所述一个或多个程序指令用于被一种恶意软件通讯活动检测系统执行如权利要求1-3任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910769608.3A CN110535844B (zh) | 2019-08-20 | 2019-08-20 | 一种恶意软件通讯活动检测方法、系统及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910769608.3A CN110535844B (zh) | 2019-08-20 | 2019-08-20 | 一种恶意软件通讯活动检测方法、系统及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110535844A CN110535844A (zh) | 2019-12-03 |
| CN110535844B true CN110535844B (zh) | 2021-09-28 |
Family
ID=68663729
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910769608.3A Active CN110535844B (zh) | 2019-08-20 | 2019-08-20 | 一种恶意软件通讯活动检测方法、系统及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110535844B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111881686A (zh) * | 2020-07-20 | 2020-11-03 | 杭州安恒信息技术股份有限公司 | 新出现实体的检测方法、装置、电子装置和存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8578493B1 (en) * | 2011-05-10 | 2013-11-05 | Narus, Inc. | Botnet beacon detection |
| CN103685223A (zh) * | 2012-09-11 | 2014-03-26 | 波音公司 | 经由分析无响应出站网络流量来检测感染的网络设备 |
| US9043894B1 (en) * | 2014-11-06 | 2015-05-26 | Palantir Technologies Inc. | Malicious software detection in a computing system |
| CN107342967A (zh) * | 2016-05-03 | 2017-11-10 | 宏碁股份有限公司 | 僵尸网络检测系统及其方法 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7889735B2 (en) * | 2005-08-05 | 2011-02-15 | Alcatel-Lucent Usa Inc. | Method and apparatus for defending against denial of service attacks in IP networks based on specified source/destination IP address pairs |
| US10204214B2 (en) * | 2016-09-14 | 2019-02-12 | Microsoft Technology Licensing, Llc | Periodicity detection of network traffic |
| CN106572464B (zh) * | 2016-11-16 | 2020-10-30 | 上海斐讯数据通信技术有限公司 | 无线局域网中非法ap监测方法及其抑制方法、监测ap |
-
2019
- 2019-08-20 CN CN201910769608.3A patent/CN110535844B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8578493B1 (en) * | 2011-05-10 | 2013-11-05 | Narus, Inc. | Botnet beacon detection |
| CN103685223A (zh) * | 2012-09-11 | 2014-03-26 | 波音公司 | 经由分析无响应出站网络流量来检测感染的网络设备 |
| US9043894B1 (en) * | 2014-11-06 | 2015-05-26 | Palantir Technologies Inc. | Malicious software detection in a computing system |
| CN107342967A (zh) * | 2016-05-03 | 2017-11-10 | 宏碁股份有限公司 | 僵尸网络检测系统及其方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110535844A (zh) | 2019-12-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110912927B (zh) | 工业控制系统中控制报文的检测方法及装置 | |
| CN109474575B (zh) | 一种dns隧道的检测方法及装置 | |
| CN109194684B (zh) | 一种模拟拒绝服务攻击的方法、装置及计算设备 | |
| CN110809010A (zh) | 威胁信息处理方法、装置、电子设备及介质 | |
| CN113162953A (zh) | 网络威胁报文检测及溯源取证方法和装置 | |
| CN106790299B (zh) | 一种在无线接入点ap上应用的无线攻击防御方法和装置 | |
| CN113746810B (zh) | 一种网络攻击诱导方法、装置、设备及存储介质 | |
| CN111464513A (zh) | 数据检测方法、装置、服务器及存储介质 | |
| CN110535844B (zh) | 一种恶意软件通讯活动检测方法、系统及存储介质 | |
| CN110061998B (zh) | 一种攻击防御方法及装置 | |
| CN110958245A (zh) | 一种攻击的检测方法、装置、设备和存储介质 | |
| US20200169577A1 (en) | Method and apparatus for generating virtual malicious traffic template for terminal group including device infected with malicious code | |
| CN108965318B (zh) | 检测工业控制网络中未授权接入设备ip的方法及装置 | |
| CN113098852B (zh) | 一种日志处理方法及装置 | |
| CN108712365B (zh) | 一种基于流量日志的DDoS攻击事件检测方法及系统 | |
| CN112541102B (zh) | 异常数据过滤方法、装置、设备及存储介质 | |
| US10237287B1 (en) | System and method for detecting a malicious activity in a computing environment | |
| RU2553093C1 (ru) | Устройство поиска информации | |
| US11170011B2 (en) | Triggered scanning using provided configuration information | |
| CN106357688B (zh) | 一种防御ICMP flood攻击的方法和装置 | |
| KR102582837B1 (ko) | 파밍 dns 분석 방법 및 컴퓨팅 디바이스 | |
| KR101499666B1 (ko) | 네트워크 스캔 탐지 방법 및 장치 | |
| CN112839049B (zh) | Web应用防火墙防护方法、装置、存储介质及电子设备 | |
| CN109067764A (zh) | 一种建立设备表项的方法及装置 | |
| CN110611678B (zh) | 一种识别报文的方法及接入网设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |