CN113726818B - 一种失陷主机检测方法及装置 - Google Patents
一种失陷主机检测方法及装置 Download PDFInfo
- Publication number
- CN113726818B CN113726818B CN202111279626.7A CN202111279626A CN113726818B CN 113726818 B CN113726818 B CN 113726818B CN 202111279626 A CN202111279626 A CN 202111279626A CN 113726818 B CN113726818 B CN 113726818B
- Authority
- CN
- China
- Prior art keywords
- fingerprint
- communication
- host
- malicious
- lost
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/146—Tracing the source of attacks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请实施例提供一种失陷主机检测方法及装置,涉及网络安全技术领域,该失陷主机检测方法包括:先获取待检测的通信流量;并提取通信流量的指纹信息;然后根据预设的恶意指纹库和指纹信息判断是否存在失陷;如果是,则根据通信流量进行朔源追踪得到失陷主机通信协议地址;最后将失陷主机通信协议地址对应的目标主机标记为失陷主机,不需要解密流量就能够实现失陷检测,适用性好,从而能够避免漏检或者检测不到的情况,提升失陷主机检测效率。
Description
技术领域
本申请涉及网络安全技术领域,具体而言,涉及一种失陷主机检测方法及装置。
背景技术
近年来为检测网络中存在的威胁,发现失陷主机,通常先对待检测的流量进行解密后,对解密流量进行包检测和行为模式检测,得到检测结果,然后根据检测结果来确定失陷主机。然而现有方法中,需要对流量先进行解密后进行检测,对于加密流量则无法进行失陷主机检测。可见,现有的方法无法解密则无法检测,适用性差,导致存在漏检或者检测不到的情况,检测效率低。
发明内容
本申请实施例的目的在于提供一种失陷主机检测方法及装置,不需要解密流量就能够实现失陷检测,适用性好,从而能够避免漏检或者检测不到的情况,提升失陷主机检测效率。
本申请实施例第一方面提供了一种失陷主机检测方法,包括:
获取待检测的通信流量;
提取所述通信流量的指纹信息;
根据预设的恶意指纹库和所述指纹信息判断是否存在失陷;
如果是,则根据所述通信流量进行朔源追踪得到失陷主机通信协议地址;
将所述失陷主机通信协议地址对应的目标主机标记为失陷主机。
在上述实现过程中,先获取待检测的通信流量;并提取通信流量的指纹信息;然后根据预设的恶意指纹库和指纹信息判断是否存在失陷;如果是,则根据通信流量进行朔源追踪得到失陷主机通信协议地址;最后将失陷主机通信协议地址对应的目标主机标记为失陷主机,不需要解密流量就能够实现失陷检测,适用性好,从而能够避免漏检或者检测不到的情况,提升失陷主机检测效率。
进一步地,所述提取所述通信流量的指纹信息,包括:
通过通信指纹提取算法对所述通信流量进行分析处理,得到指纹信息,所述指纹信息包括加密通信的客户端通信指纹和服务端通信指纹。
在上述实现过程中,基于指纹信息无需依赖流量解密即可进行检测,有利于提高检测效率。
进一步地,所述根据预设的恶意指纹库和所述指纹信息判断是否存在失陷,包括:
根据预设的恶意指纹库判断所述客户端通信指纹或者所述服务端通信指纹是否为恶意指纹;
如果是,则确定存在失陷;
如果否,则确定不存在失陷。
在上述实现过程中,通过同时验证客户端和服务端的指纹,能降低威胁检测的误报。
进一步地,所述根据所述通信流量进行朔源追踪得到失陷主机通信协议地址,包括:
根据所述通信流量获取客户端通信协议地址;
判断所述客户端通信协议地址是否为路由器通信协议地址;
如果否,则确定所述客户端通信协议地址为失陷主机通信协议地址;
如果是,则向所述路由器通信协议地址对应的路由器发送追溯指令,得到真实主机通信协议地址,所述真实主机通信协议地址为失陷主机通信协议地址。
在上述实现过程中,能够根据所述通信流量进行朔源追踪得到失陷主机通信协议地址,以实现根据客户端通信协议地址定位失陷主机的失陷主机通信协议地址。
进一步地,所述将所述失陷主机通信协议地址对应的目标主机标记为失陷主机,包括:
根据所述恶意指纹库和所述指纹信息,确定失陷信度;
根据所述失陷信度将所述失陷主机通信协议地址对应的目标主机标记为失陷主机。
进一步地,所述根据所述恶意指纹库和所述指纹信息,确定失陷信度,包括:
根据所述恶意指纹库判断所述客户端通信指纹和所述服务端通信指纹是否都是恶意指纹;
如果否,则判断所述客户端通信指纹和所述服务端通信指纹是否其中一个为恶意指纹;
如果是,则将所述失陷信度确定为中级。
进一步地,所述方法还包括:
获取原始的恶意指纹数据,所述恶意指纹数据包括恶意指纹爬取数据和沙箱运行恶意程序文件获得的指纹数据;
通过所述恶意指纹数据对所述恶意指纹库进行更新。
本申请实施例第二方面提供了一种失陷主机检测装置,所述失陷主机检测装置包括:
流量获取单元,用于获取待检测的通信流量;
指纹提取单元,用于提取所述通信流量的指纹信息;
判断单元,用于根据预设的恶意指纹库和所述指纹信息判断是否存在失陷;
确定单元,用于当判断出存在失陷时,则根据所述通信流量进行朔源追踪得到失陷主机通信协议地址;
标记单元,用于将所述失陷主机通信协议地址对应的目标主机标记为失陷主机。
在上述实现过程中,流量获取单元先获取待检测的通信流量;指纹提取单元提取通信流量的指纹信息;然后判断单元根据预设的恶意指纹库和指纹信息判断是否存在失陷;确定单元在判断出存在失陷时,根据通信流量进行朔源追踪得到失陷主机通信协议地址;最后记单元将失陷主机通信协议地址对应的目标主机标记为失陷主机,不需要解密流量就能够实现失陷检测,适用性好,从而能够避免漏检或者检测不到的情况,提升失陷主机检测效率。
本申请实施例第三方面提供了一种电子设备,包括存储器以及处理器,所述存储器用于存储计算机程序,所述处理器运行所述计算机程序以使所述电子设备执行本申请实施例第一方面中任一项所述的失陷主机检测方法。
本申请实施例第四方面提供了一种计算机可读存储介质,其存储有计算机程序指令,所述计算机程序指令被一处理器读取并运行时,执行本申请实施例第一方面中任一项所述的失陷主机检测方法。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例提供的一种失陷主机检测方法的流程示意图;
图2为本申请实施例提供的另一种失陷主机检测方法的流程示意图;
图3为本申请实施例提供的一种失陷主机检测装置的结构示意图;
图4为本申请实施例提供的另一种失陷主机检测装置的结构示意图;
图5为本申请实施例提供的一种失陷主机检测方法的整体流程图;
图6为本申请实施例提供的一种客户端IP地址和JA3指纹与服务端IP地址和JA3S指纹的对应关系的示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。同时,在本申请的描述中,术语“第一”、“第二”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
实施例1
请参看图1,图1为本申请实施例提供了一种失陷主机检测方法的流程示意图。该方法应用于基于TLS加密通信的失陷主机检测场景中。其中,该失陷主机检测方法包括:
S101、获取待检测的通信流量。
本申请实施例中,该方法的执行主体可以为失陷检测设备,该失陷检测设备具体可以为计算机、服务端等计算装置,对此本实施例中不作任何限定。
在本申请实施例中,该失陷检测设备具体还可以为智能手机、平板电脑等电子设备,对此本实施例中不作任何限定。
本申请实施例中,该待检测的通信流量具体可以为TLS加密通信流量,通过本方法,能够实现TLS加密流量精细化检测。
本申请实施例中,TLS(Transport JAyer Security,安全传输层协议)是一种安全协议,用于在两个通信应用程序之间提供保密性和数据完整性。
作为一种可选的实施方式,可以通过流量分析设备获取通信流量。
S102、提取通信流量的指纹信息。
本申请实施例中,当待检测的通信流量为TLS加密流量时,该指纹信息具体为TLS指纹信息,包括客户端TLS指纹信息和服务端TLS指纹信息等,对此本申请实施例不作限定。可以根据客户端TLS指纹信息确定客户端JA3指纹信息,根据客户端TLS指纹信息确定服务端JA3S指纹信息。
本申请实施例中,TLS 指纹识别是从 TLS ClientHello 消息中提取字段以生成指纹以识别特定客户端。
本申请实施例中,JA3 指纹和 JA3S 指纹(MD5 Hash值)是根据 ClientHello 和ServerHello 消息中的特定属性生成的。 ClientHello 是发送到服务端以初始化与服务端通信的第一条消息。ServerHello 消息是服务端对客户端消息的响应。JA3指纹是一种用于根据 ClientHello 数据包生成 SSL 指纹以识别建立加密连接的客户端的技术。
作为一种可选的实施方式,在获取JA3 指纹时,可以先提取ClientHello 消息中的消息属性,然后根据消息属性确定客户端JA3指纹信息。具体的,该 消息属性至少包括SSL 版本、密码、扩展名、椭圆曲线和椭圆曲线点格式等。
在上述实施方式中,提取消息属性后,将使用逗号将每个属性连接起来以分隔每个字段,长字符串从十进制值转换为 MD5 Hash值,以创建一个简单的 32 个字符指纹,即JA3 指纹。具体地,字段顺序如下:SSLVersion、密码、扩展、EllIP地址ticCurves、EllIP地址ticCurvePointFormats。
作为一种可选的实施方式,在获取JA3S 指纹时,使用 ServerHello 数据包中的属性生成的。ServerHello 数据包中的属性至少包括 SSL 版本、密码和 SSLExtension。
S103、根据预设的恶意指纹库和指纹信息判断是否存在失陷,如果是,执行步骤S104~步骤S105;如果否,结束本流程。
本申请实施例中,预设的恶意指纹库包括恶意JA3指纹信息和恶意JA3S指纹信息等,对此本申请实施例不作限定。
本申请实施例中,将提取的TLS指纹信息作为输入,去恶意指纹库中查询比对,具体地,根据客户端JA3指纹信息的哈希值在恶意指纹库中进行查询比对,以及根据服务端JA3S指纹信息的哈希值在恶意指纹库中进行查询比对。
本申请实施例中,当判断出客户端JA3指纹信息的哈希值能在恶意指纹库中查询到,或者服务端JA3S指纹信息的哈希值能在恶意指纹库中查询到,则认为存在失陷。
作为一种可选的实施方式,当客户端JA3指纹信息的哈希值能在恶意指纹库中查询到,且服务端JA3S指纹信息的哈希值不能在恶意指纹库中查询到时,则将失陷的信度置为中;当客户端JA3指纹信息的哈希值不能在恶意指纹库中查询到,且服务端JA3S指纹信息的哈希值能在恶意指纹库中查询到时,则将失陷的信度置为中;当客户端JA3指纹信息的哈希值以及服务端JA3S指纹信息的哈希值同时能在恶意指纹库中查询到时,则将失陷信度置为高。
本申请实施例中,当未检测出存在失陷时,还可以执行步骤S101~步骤S103重新获取待检测的通信流量,并检测是否存在失陷。
作为一种可选的实施方式,该方法还包括:
获取用于构建恶意指纹库的原始指纹数据,原始指纹数据包括恶意指纹爬取得到的原始指纹数据和沙箱运行恶意程序文件获得的原始指纹数据;
根据原始指纹数据构建恶意指纹库。
本申请实施例中,恶意指纹爬取得到的原始指纹数据包括通过不断爬取开源的恶意TLS指纹,以及沙箱运行恶意程序文件获得的原始指纹数据包括沙箱持续运行不同恶意程序文件(如木马文件等)获得的恶意TLS指纹,具体的,TLS指纹包括MD5等哈希值。
S104、根据通信流量进行朔源追踪得到失陷主机通信协议地址。
本申请实施例中,失陷主机通信协议地址具体可以为失陷主机IP地址,其中,IP地址(Internet Protocol Address)是互联网协议地址。
S105、将失陷主机通信协议地址对应的目标主机标记为失陷主机。
本申请实施例中,在标记完失陷主机之后,还可以输出失陷检测情况供用户浏览。
可见,实施本实施例所描述的失陷主机检测方法,不需要解密流量就能够实现失陷检测,适用性好,从而能够避免漏检或者检测不到的情况,提升失陷主机检测效率。
实施例2
请参看图2,图2为本申请实施例提供的另一种失陷主机检测方法的流程示意图。如图2所示,其中,该失陷主机检测方法包括:
S201、获取待检测的通信流量。
S202、通过通信指纹提取算法对通信流量进行分析处理,得到指纹信息,指纹信息包括加密通信的客户端通信指纹和服务端通信指纹。
本申请实施例中,加密通信具体可以为TLS加密通信,通信指纹具体可以为TLS指纹,对此本申请实施例不作限定。
本申请实施例中,可以利用TLS指纹提取模块提取TLS加密通信的客户端TLS指纹信息和服务端TLS指纹信息。
本申请实施例中,实施上述步骤S202,能够提取通信流量的指纹信息。
S203、根据预设的恶意指纹库判断客户端通信指纹或者服务端通信指纹是否为恶意指纹,如果否,执行步骤S204;如果是,执行步骤S205~步骤S207。
本申请实施例中,基于指纹信息而非先进行解密再进行检测,无需依赖TLS流量解密设备即可进行检测,有利于提高检测效率。
本申请实施例中,基于TLS客户端和服务端指纹进行检测,扩展了流量检测的范围,能发现通过TLS加密进行通信的威胁。
本申请实施例中,通过同时验证客户端和服务端的指纹,能降低威胁检测的误报。
在步骤S203之后,还包括以下步骤:
S204、确定不存在失陷,并结束本流程。
本申请实施例中,当确定不存在失陷之后,还可以执行步骤S201~步骤S204重新获取待检测的通信流量,并检测是否存在失陷。
S205、确定存在失陷,并执行步骤S206~步骤S207。
本申请实施例中,实施上述步骤S203~步骤S205,能够根据预设的恶意指纹库和指纹信息判断是否存在失陷。
在步骤S205之后,还包括以下步骤:
S206、根据通信流量获取客户端通信协议地址。
本申请实施例中,客户端通信协议地址具体可以为客户端IP地址。
本申请实施例中,在实时流量分析中提取JA3和JA3S指纹,同时将客户端主机IP地址和服务端IP地址对应起来。
S207、判断客户端通信协议地址是否为路由器通信协议地址,如果否,执行步骤S208以及步骤S210~步骤S211;如果是,执行步骤S209~步骤S211。
本申请实施例中,路由器通信协议地址具体可以为路由器IP地址。
在步骤S207之后,还包括以下步骤:
S208、确定客户端通信协议地址为失陷主机通信协议地址以及步骤S210~步骤S211。
S209、向路由器通信协议地址对应的路由器发送追溯指令,得到真实主机通信协议地址,真实主机通信协议地址为失陷主机通信协议地址。
本申请实施例中,真实主机通信协议地址具体可以为真实主机IP地址。
本申请实施例中,实施上述步骤S206~步骤S209,能够根据通信流量进行朔源追踪得到失陷主机通信协议地址,以实现根据客户端通信协议地址定位失陷主机的失陷主机通信协议地址。
S210、根据恶意指纹库和指纹信息,确定失陷信度。
作为一种可选的实施方式,根据恶意指纹库和指纹信息,确定失陷信度,可以包括以下步骤:
根据恶意指纹库判断客户端通信指纹和服务端通信指纹是否都是恶意指纹;
如果是,则将失陷信度确定为高级;
如果否,则判断客户端通信指纹和服务端通信指纹是否其中一个为恶意指纹;
如果是,则将失陷信度确定为中级。
在上述实施方式中,当判断出客户端通信指纹和服务端通信指纹都是恶意指纹时,则将失陷信度确定为高级,如果只判断出客户端通信指纹为恶意指纹或者服务端通信指纹为恶意指纹时,则失陷信度确定为中级。
在上述实施方式中,当判断出客户端通信指纹和服务端通信指纹都不是恶意指纹时,则可以将失陷信度确定为低级等,对此本申请实施例不作限定。
S211、根据失陷信度将失陷主机通信协议地址对应的目标主机标记为失陷主机。
本申请实施例中,当判断出存在失陷时,可以通过追踪回溯模块分析客户端通信协议地址,判断客户端通信协议地址是否为路由器通信协议地址,不是则将客户端通信协议地址对应的目标主机标记为失陷主机,如果是路由器通信协议地址,则通过追踪回溯模块向路由器通信协议地址发送追溯指令定位真实主机通信协议地址,然后将真实主机通信协议地址对应的目标主机标记为失陷主机。
本申请实施例中,实施上述步骤S210~步骤S211,能够将失陷主机通信协议地址对应的目标主机标记为失陷主机。
作为一种可选的实施方式,该方法还包括:
获取原始的恶意指纹数据,恶意指纹数据包括恶意指纹爬取数据和沙箱运行恶意程序文件获得的指纹数据;
通过恶意指纹数据对恶意指纹库进行更新。
本申请实施例中,恶意指纹爬取数据包括通过不断爬取开源的恶意TLS指纹,以及沙箱运行恶意程序文件获得的指纹数据包括沙箱持续运行不同恶意程序文件(如恶意程序文件等)获得的恶意TLS指纹,具体的,TLS指纹包括MD5等哈希值。
请一并参阅图5, 图5是本申请实施例提供的一种失陷主机检测方法的整体流程图,图6是本申请实施例提供的一种客户端IP地址和JA3指纹与服务端IP地址和JA3S指纹的对应关系的示意图。如图5和图6所示,客户端IP地址和JA3指纹,与服务端IP地址和JA3S指纹的对应关系如下:
1、基于加密流量指纹进行失陷检测,而不是对加密流量先解密再进行检测。
2、通过实时流量分析设备,提取主机上的JA3指纹和服务端JA3S指纹。
3、通过检测匹配模块,发现网络中恶意或可疑的TLS加密流量通信,进而确定是否存在失陷情况。
4、通过追踪回溯模块,确定失陷主机IP地址。
可见,实施本实施例所描述的失陷主机检测方法,不需要解密流量就能够实现失陷检测,适用性好,从而能够避免漏检或者检测不到的情况,提升失陷主机检测效率。
实施例3
请参看图3,图3为本申请实施例提供的一种失陷主机检测装置的结构示意图。如图3所示,该失陷主机检测装置包括:
流量获取单元310,用于获取待检测的通信流量;
指纹提取单元320,用于提取通信流量的指纹信息;
判断单元330,用于根据预设的恶意指纹库和指纹信息判断是否存在失陷;
确定单元340,用于当判断出存在失陷时,则根据通信流量进行朔源追踪得到失陷主机通信协议地址;
标记单元350,用于将失陷主机通信协议地址对应的目标主机标记为失陷主机。
本申请实施例中,对于失陷主机检测装置的解释说明可以参照实施例1或实施例2中的描述,对此本实施例中不再多加赘述。
可见,实施本实施例所描述的失陷主机检测装置,不需要解密流量就能够实现失陷检测,适用性好,从而能够避免漏检或者检测不到的情况,提升失陷主机检测效率。
实施例4
请一并参阅图4,图4是本申请实施例提供的另一种失陷主机检测装置的结构示意图。其中,图4所示的失陷主机检测装置是由图3所示的失陷主机检测装置进行优化得到的。如图4所示,指纹提取单元320,具体用于通过通信指纹提取算法对通信流量进行分析处理,得到指纹信息,指纹信息包括加密通信的客户端通信指纹和服务端通信指纹。
作为一种可选的实施方式,判断单元330包括:
第一判断子单元331,用于根据预设的恶意指纹库判断客户端通信指纹或者服务端通信指纹是否为恶意指纹;
第一确定子单元332,用于当判断出客户端通信指纹为恶意指纹,或者服务端通信指纹为恶意指纹时,则确定存在失陷;当判断出客户端通信指纹以及服务端通信指纹不为恶意指纹时,则确定不存在失陷。
作为一种可选的实施方式,确定单元340,包括:
获取子单元341,用于当判断出存在失陷时,根据通信流量获取客户端通信协议地址;
第二判断子单元342,用于判断客户端通信协议地址是否为路由器通信协议地址;
第二确定子单元343,用于当判断出客户端通信协议地址不为路由器通信协议地址时,则确定客户端通信协议地址为失陷主机通信协议地址;
追溯子单元344,用于当判断出客户端通信协议地址为路由器通信协议地址时,向路由器通信协议地址对应的路由器发送追溯指令,得到真实主机通信协议地址,真实主机通信协议地址为失陷主机通信协议地址。
作为一种可选的实施方式,标记单元350包括:
第三确定子单元351,用于根据恶意指纹库和指纹信息,确定失陷信度;
标记子单元352,用于根据失陷信度将失陷主机通信协议地址对应的目标主机标记为失陷主机。
作为进一步可选的实施方式,第三确定子单元351包括:
判断模块,用于根据恶意指纹库判断客户端通信指纹和服务端通信指纹是否都是恶意指纹;
确定模块,用于当判断出客户端通信指纹和服务端通信指纹都是恶意指纹时,则将失陷信度确定为高级。
判断模块,还用于当判断出客户端通信指纹和服务端通信指纹不都是恶意指纹时,判断客户端通信指纹和服务端通信指纹是否其中一个为恶意指纹;
确定模块,还用于当判断客户端通信指纹和服务端通信指纹其中一个为恶意指纹时,则将失陷信度确定为中级。
作为一种可选的实施方式,失陷主机检测装置还包括:
指纹数据获取单元360,用于获取原始的恶意指纹数据,恶意指纹数据包括恶意指纹爬取数据和沙箱运行恶意程序文件获得的指纹数据;
更新单元370,用于通过恶意指纹数据对恶意指纹库进行更新。
本申请实施例中,对于失陷主机检测装置的解释说明可以参照实施例1或实施例2中的描述,对此本实施例中不再多加赘述。
可见,实施本实施例所描述的失陷主机检测装置,不需要解密流量就能够实现失陷检测,适用性好,从而能够避免漏检或者检测不到的情况,提升失陷主机检测效率。
本申请实施例提供了一种电子设备,包括存储器以及处理器,所述存储器用于存储计算机程序,所述处理器运行所述计算机程序以使所述电子设备执行本申请实施例1或实施例2中任一项失陷主机检测方法。
本申请实施例提供了一种计算机可读存储介质,其存储有计算机程序指令,所述计算机程序指令被一处理器读取并运行时,执行本申请实施例1或实施例2中任一项失陷主机检测方法。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,附图中的流程图和框图显示了根据本申请的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
另外,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务端,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅为本申请的实施例而已,并不用于限制本申请的保护范围,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应所述以权利要求的保护范围为准。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
Claims (7)
1.一种失陷主机检测方法,其特征在于,包括:
获取待检测的通信流量;
提取所述通信流量的指纹信息;
根据预设的恶意指纹库和所述指纹信息判断是否存在失陷;
如果是,则根据所述通信流量进行朔源追踪得到失陷主机通信协议地址;
将所述失陷主机通信协议地址对应的目标主机标记为失陷主机;
所述提取所述通信流量的指纹信息,包括:
通过通信指纹提取算法对所述通信流量进行分析处理,得到指纹信息,所述指纹信息包括加密通信的客户端通信指纹和服务端通信指纹;
当所述通信流量为TLS加密流量时,所述指纹信息为TLS指纹信息,包括客户端TLS指纹信息和服务端TLS指纹信息;
所述将所述失陷主机通信协议地址对应的目标主机标记为失陷主机,包括:
根据所述恶意指纹库和所述指纹信息,确定失陷信度;
根据所述失陷信度将所述失陷主机通信协议地址对应的目标主机标记为失陷主机;
所述根据所述恶意指纹库和所述指纹信息,确定失陷信度,包括:
根据所述恶意指纹库判断所述客户端通信指纹和所述服务端通信指纹是否都是恶意指纹;
如果是,则将所述失陷信度确定为高级;
如果否,则判断所述客户端通信指纹和所述服务端通信指纹是否其中一个为恶意指纹;
如果是,则将所述失陷信度确定为中级。
2.根据权利要求1所述的失陷主机检测方法,其特征在于,所述根据预设的恶意指纹库和所述指纹信息判断是否存在失陷,包括:
根据预设的恶意指纹库判断所述客户端通信指纹或者所述服务端通信指纹是否为恶意指纹;
如果是,则确定存在失陷;
如果否,则确定不存在失陷。
3.根据权利要求1所述的失陷主机检测方法,其特征在于,所述根据所述通信流量进行朔源追踪得到失陷主机通信协议地址,包括:
根据所述通信流量获取客户端通信协议地址;
判断所述客户端通信协议地址是否为路由器通信协议地址;
如果否,则确定所述客户端通信协议地址为失陷主机通信协议地址;
如果是,则向所述路由器通信协议地址对应的路由器发送追溯指令,得到真实主机通信协议地址,所述真实主机通信协议地址为失陷主机通信协议地址。
4.根据权利要求1所述的失陷主机检测方法,其特征在于,所述方法还包括:
获取原始的恶意指纹数据,所述恶意指纹数据包括恶意指纹爬取数据和沙箱运行恶意程序文件获得的指纹数据;
通过所述恶意指纹数据对所述恶意指纹库进行更新。
5.一种失陷主机检测装置,其特征在于,所述失陷主机检测装置包括:
流量获取单元,用于获取待检测的通信流量;
指纹提取单元,用于提取所述通信流量的指纹信息;
判断单元,用于根据预设的恶意指纹库和所述指纹信息判断是否存在失陷;
确定单元,用于当判断出存在失陷时,则根据所述通信流量进行朔源追踪得到失陷主机通信协议地址;
标记单元,用于将所述失陷主机通信协议地址对应的目标主机标记为失陷主机;
指纹提取单元,具体用于通过通信指纹提取算法对通信流量进行分析处理,得到指纹信息,指纹信息包括加密通信的客户端通信指纹和服务端通信指纹;
其中,所述标记单元包括:
第三确定子单元,用于根据恶意指纹库和指纹信息,确定失陷信度;
标记子单元,用于根据失陷信度将失陷主机通信协议地址对应的目标主机标记为失陷主机;
所述第三确定子单元包括:
判断模块,用于根据恶意指纹库判断客户端通信指纹和服务端通信指纹是否都是恶意指纹;
确定模块,用于当判断出客户端通信指纹和服务端通信指纹都是恶意指纹时,则将失陷信度确定为高级;
判断模块,还用于当判断出客户端通信指纹和服务端通信指纹不都是恶意指纹时,判断客户端通信指纹和服务端通信指纹是否其中一个为恶意指纹;
确定模块,还用于当判断客户端通信指纹和服务端通信指纹其中一个为恶意指纹时,则将失陷信度确定为中级。
6.一种电子设备,其特征在于,所述电子设备包括存储器以及处理器,所述存储器用于存储计算机程序,所述处理器运行所述计算机程序以使所述电子设备执行权利要求1至4中任一项所述的失陷主机检测方法。
7.一种可读存储介质,其特征在于,所述可读存储介质中存储有计算机程序指令,所述计算机程序指令被一处理器读取并运行时,执行权利要求1至4任一项所述的失陷主机检测方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111279626.7A CN113726818B (zh) | 2021-11-01 | 2021-11-01 | 一种失陷主机检测方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111279626.7A CN113726818B (zh) | 2021-11-01 | 2021-11-01 | 一种失陷主机检测方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113726818A CN113726818A (zh) | 2021-11-30 |
| CN113726818B true CN113726818B (zh) | 2022-02-15 |
Family
ID=78686217
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111279626.7A Active CN113726818B (zh) | 2021-11-01 | 2021-11-01 | 一种失陷主机检测方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113726818B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114726579B (zh) * | 2022-03-08 | 2024-02-09 | 北京百度网讯科技有限公司 | 防御网络攻击的方法、装置、设备、存储介质及程序产品 |
| CN115085992B (zh) * | 2022-06-09 | 2023-08-15 | 北京启明星辰信息安全技术有限公司 | 一种恶意https隐秘通道的检测系统及其检测方法 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109495520A (zh) * | 2019-01-11 | 2019-03-19 | 北京中睿天下信息技术有限公司 | 一体化网络攻击取证溯源方法、系统、设备及存储介质 |
| CN109688092A (zh) * | 2018-04-25 | 2019-04-26 | 北京微步在线科技有限公司 | 失陷设备检测方法及装置 |
| CN113497786A (zh) * | 2020-03-20 | 2021-10-12 | 腾讯科技(深圳)有限公司 | 一种取证溯源方法、装置以及存储介质 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11245675B2 (en) * | 2019-11-18 | 2022-02-08 | Cisco Technology, Inc. | Device detection in network telemetry with TLS fingerprinting |
-
2021
- 2021-11-01 CN CN202111279626.7A patent/CN113726818B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109688092A (zh) * | 2018-04-25 | 2019-04-26 | 北京微步在线科技有限公司 | 失陷设备检测方法及装置 |
| CN109495520A (zh) * | 2019-01-11 | 2019-03-19 | 北京中睿天下信息技术有限公司 | 一体化网络攻击取证溯源方法、系统、设备及存储介质 |
| CN113497786A (zh) * | 2020-03-20 | 2021-10-12 | 腾讯科技(深圳)有限公司 | 一种取证溯源方法、装置以及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113726818A (zh) | 2021-11-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CA2966408C (en) | A system and method for network intrusion detection of covert channels based on off-line network traffic | |
| US9300682B2 (en) | Composite analysis of executable content across enterprise network | |
| WO2015120752A1 (zh) | 网络威胁处理方法及设备 | |
| CN113726818B (zh) | 一种失陷主机检测方法及装置 | |
| JP6397932B2 (ja) | エンドポイントからのネットワークリクエストに言語分析を適用するマルウェアに感染しているマシンを識別するためのシステム | |
| CN107733581B (zh) | 基于全网环境下的快速互联网资产特征探测方法及装置 | |
| CN110210213B (zh) | 过滤恶意样本的方法及装置、存储介质、电子装置 | |
| WO2018076697A1 (zh) | 僵尸特征的检测方法和装置 | |
| CN114095274B (zh) | 一种攻击研判方法及装置 | |
| CN106982188B (zh) | 恶意传播源的检测方法及装置 | |
| CN110149318B (zh) | 邮件元数据的处理方法及装置、存储介质、电子装置 | |
| WO2018109243A1 (es) | Método, sistema y productos de programa de ordenador para el reconocimiento, validación y correlación de entidades en una red de comunicación oscura | |
| US20140344931A1 (en) | Systems and methods for extracting cryptographic keys from malware | |
| CN111800405A (zh) | 检测方法及检测设备、存储介质 | |
| Camacho et al. | A cloud-oriented integrity verification system for audio forensics | |
| CN113746781A (zh) | 一种网络安全检测方法、装置、设备及可读存储介质 | |
| CN113965419B (zh) | 一种通过反连判定攻击成功的方法及装置 | |
| JPWO2018143097A1 (ja) | 判定装置、判定方法、および、判定プログラム | |
| JP6169497B2 (ja) | 接続先情報判定装置、接続先情報判定方法、及びプログラム | |
| CN113726826B (zh) | 一种威胁情报生成方法及装置 | |
| CN111683089A (zh) | 一种识别钓鱼网站的方法、服务器、介质及计算机设备 | |
| CN113965418B (zh) | 一种攻击成功判定方法及装置 | |
| CN108234491B (zh) | 协议关联验证方法、装置及电子设备 | |
| CN113992443B (zh) | 一种云沙箱流量处理方法及装置 | |
| CN113722705B (zh) | 一种恶意程序清除方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |