CN113965392A - 恶意服务器检测方法、系统、可读介质及电子设备 - Google Patents
恶意服务器检测方法、系统、可读介质及电子设备 Download PDFInfo
- Publication number
- CN113965392A CN113965392A CN202111251660.3A CN202111251660A CN113965392A CN 113965392 A CN113965392 A CN 113965392A CN 202111251660 A CN202111251660 A CN 202111251660A CN 113965392 A CN113965392 A CN 113965392A
- Authority
- CN
- China
- Prior art keywords
- server
- txt
- request
- content
- malicious
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 78
- 230000004044 response Effects 0.000 claims abstract description 83
- 238000000034 method Methods 0.000 claims abstract description 18
- 229910017052 cobalt Inorganic materials 0.000 description 20
- 239000010941 cobalt Substances 0.000 description 20
- GUTLYIVDDKVIGB-UHFFFAOYSA-N cobalt atom Chemical compound [Co] GUTLYIVDDKVIGB-UHFFFAOYSA-N 0.000 description 20
- 238000004891 communication Methods 0.000 description 12
- 238000005516 engineering process Methods 0.000 description 6
- 238000004590 computer program Methods 0.000 description 5
- 238000011161 development Methods 0.000 description 4
- 238000012545 processing Methods 0.000 description 4
- 238000010586 diagram Methods 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 238000013473 artificial intelligence Methods 0.000 description 2
- 230000006399 behavior Effects 0.000 description 2
- 238000000605 extraction Methods 0.000 description 2
- 238000012360 testing method Methods 0.000 description 2
- 244000035744 Hura crepitans Species 0.000 description 1
- 239000008186 active pharmaceutical agent Substances 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 210000001061 forehead Anatomy 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 239000000523 sample Substances 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
- 230000009466 transformation Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
一种恶意服务器检测方法、系统、可读介质及电子设备,该方法包括:向开放了DNS协议的服务器发送至少三条第一DSN请求,所述第一DSN请求为域名为随机字符数量类型的A记录请求;获取所述服务器分别针对各个所述第一DSN请求的第一响应内容,并判断各个所述第一响应内容是否相同且不为空;若是,向所述服务器发送预设格式内容的TXT记录请求;获取所述服务器针对所述TXT记录请求返回的TXT响应内容,并当所述TXT响应内容不为空时,将所述服务器标记为恶意服务器。通过该方法能够高效、准确检测出恶意服务器,极大的降低了误报率,有效提高了网络安全防护能力。
Description
技术领域
本发明涉及情报分析技术领域,特别是涉及一种恶意服务器检测方法、系统、可读介质及电子设备。
背景技术
全球范围内新一轮科技革命和产业变革正处于历史交汇期,以互联网、大数据、人工智能为代表的新一代网络信息技术与实体经济深度融合,工业互联网加速创新发展,数字经济发展加快建立新范式,全球经济社会新格局正在全方位重塑。与此同时,全球网络安全形势也发生了深刻变化,大数据、人工智能、5G等技术创新发展,工业互联网所倡导的“人-机-物”全面互联,打破了工业企业传统的封闭格局,极易遭到恶意利用。
Cobalt Strike的诞生正顺应了这个互联网和物联网的发展潮流,从2020年至2021年上半年,Sophos提供的新数据对攻击者的行为,工具,技术和程序进行了分类统计,其中表明Cobalt Strike是黑客们使用的前五种工具之一。由于该框架集成有丰富的逃避流量监测和沙箱检测技术,且具备优秀的反追踪能力,再结合黑客团体积累的免杀技术和C&C隐藏技术,大量的APT组织也采用该软件进行攻击,比如著名的安全事件:SolarWinds供应链攻击。所以,如果能在互联网识别出Cobalt Strike服务器,对这些Cobalt Strike服务器进行阻断,那么将有效提高网络的安全性。
当前检测Cobalt Strike服务器主要有以下方法:第一,对Cobalt Strike进行证书指纹识别,恶意服务器启动时,如若不换证书会带有默认的指纹信息,但此特征容易被替换造成误报;第二,Cobalt Strike服务器默认端口是50050/TCP,其他大部分服务器不会开此端口,Cobalt Strike服务器可以修改默认端口,因此不准确;第三,Cobalt Strike的Web服务是基于Nano HTTPD服务器,而Nano HTTPD服务器存在0x20空字节特征,可以用此检测,但只存在3.13版本;第四,基于JARM的SSL特征检测,但是Tomcat、WebLogic等Java服务器也会存在同样的指纹,所以很容易误报。
因此,当前对Cobalt Strike服务器的检测主要存在误报率高、不准确的问题,该问题无法解决的话会导致阻断正常的网络访问,给企业带来巨大的亏损。
发明内容
鉴于上述状况,有必要针对现有技术中Cobalt Strike服务器的检测误报率高、不准确的问题,提供一种恶意服务器检测方法、系统、可读介质及电子设备。
一种恶意服务器检测方法,包括:
向开放了DNS协议的服务器发送至少三条第一DSN请求,所述第一DSN请求为域名为随机字符数量类型的A记录请求;
获取所述服务器分别针对各个所述第一DSN请求的第一响应内容,并判断各个所述第一响应内容是否相同且不为空;
若是,向所述服务器发送预设格式内容的TXT记录请求;
获取所述服务器针对所述TXT记录请求返回的TXT响应内容,并当所述TXT响应内容不为空时,将所述服务器标记为恶意服务器。
进一步的,上述恶意服务器检测方法,其中,所述判断各个所述第一响应内容是否相同且不为空的步骤之后还包括:
当所述第一响应内容不完全相同或为空时,向所述服务器发送至少三条第二DNS请求信息,所述第二DSN请求信息包含A请求和TXT的请求,三条所述第二DNS请求信息的域名的前缀包含且仅包含www、CDN和api;
获取所述服务器针对各个所述第二DSN请求返回的第二响应内容;
当所述第二响应内容中的A记录均为0.0.0.0且TXT记录全为空时,返回执行向所述服务器发送预设格式内容的TXT记录请求的步骤。
进一步的,上述恶意服务器检测方法,其中,所述获取所述服务器针对所述TXT记录请求返回的TXT响应内容的步骤之后还包括:
当所述TXT响应内容为空时,将所述服务器标记为疑似恶意服务器。
进一步的,上述恶意服务器检测方法,其中,所述将所述服务器标记为恶意服务器的步骤之后还包括:
获取并解析所述服务器的beacon配置,并存入系统数据库。
进一步的,上述恶意服务器检测方法,其中,所述获取并解析所述服务器的beacon配置的步骤包括:
采用NetBios算法解码所述TXT内容,以得到所述服务器的beacon配置;
采用开源的parse_beacon_config程序解析所述beacon配置。
进一步的,上述恶意服务器检测方法,其中,所述预设格式内容的TXT记录请求包括由点号依次间隔开的第一字段、第二字段和第三字段,且所述第一字段的字符串长度为3,第二字段内容为stage。
本发明实施例还公开了一种恶意服务器检测系统,包括:
第一探测模块,用于向开放了DNS协议的服务器发送至少三条第一DSN请求,所述第一DSN请求为域名为随机字符数量类型的A记录请求;
判断模块,用于获取所述服务器分别针对各个所述第一DSN请求的第一响应内容,并判断各个所述第一响应内容是否相同且不为空;
第二探测模块,用于当各个所述第一响应内容相同且不为空时,向所述服务器发送预设格式内容的TXT记录请求;
TXT内容获取模块,用于获取所述服务器针对所述TXT记录请求返回的TXT响应内容;
第一标记模块,用于当所述TXT响应内容不为空时,将所述服务器标记为恶意服务器。
进一步的,上述恶意服务器检测系统,还包括:
第三探测模块,用于当所述第一响应内容不完全相同或为空时,向所述服务器发送至少三条第二DNS请求信息,所述第二DSN请求信息包含A请求和TXT的请求,三条所述第二DNS请求信息的域名的前缀包含且仅包含www、CDN和api;
第二响应内容获取模块,用于获取所述服务器针对各个所述第二DSN请求返回的第二响应内容;
执行模块,用于当所述第二响应内容中的A记录均为0.0.0.0且TXT记录全为空时,返回执行向所述服务器发送预设格式内容的TXT记录请求的步骤。
进一步的,上述恶意服务器检测系统,还包括:
第二标记模块,用于当所述TXT响应内容为空时,将所述服务器标记为疑似恶意服务器。
进一步的,上述恶意服务器检测系统,还包括:
获取及解析模块,用于获取并解析所述服务器的beacon配置,并存入系统数据库。
进一步的,上述恶意服务器检测系统,所述获取及解析模块用于:
采用NetBios算法解码所述TXT内容,以得到所述服务器的beacon配置;
采用开源的parse_beacon_config程序解析所述beacon配置。
本发明还公开了一种计算机可读存储介质,其上存储有程序,所述程序被处理器执行时实现上述任一所述的方法。
本发明还公开了一种电子设备,包括存储器、处理器以及存储在存储器上并可在处理器上运行的程序,所述处理器执行所述程序时实现上述任意一项所述的方法。
本发明中,当探测到开放了DNS协议的服务器时,发送至少三条第一DSN请求至该服务器,以请求随机字符数量类型域名的A记录,通过对响应的内容进行IP地址提取并判断是否相等,若相等,则发送预设格式内容的TXT记录请求,根据返回的TXT响应内容是否为空来判断该服务器是否为恶意服务器。即本实施例对服务器进行了两次探测,第一次通过发送第一DSN请求进行探测,可以初步确定可疑的恶意服务器,第二次通过发送预设格式内容的TXT记录请求进行探测,根据探测结果最终确定是否为恶意服务器,通过该方法能够高效、准确检测出Cobalt Strike服务器,极大的降低了误报率,有效提高了网络安全防护能力。
附图说明
图1为本发明第一实施例中恶意服务器检测方法的流程图;
图2为本发明第二实施例中恶意服务器检测方法的流程图;
图3为本发明第三实施例中恶意服务器检测系统的结构框图;
图4为本发明第实施例中电子设备的结构示意图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行描述和说明。应当理解,此处所描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。基于本申请提供的实施例,本领域普通技术人员在没有作出创造性劳动的前提下所获得的所有其他实施例,都属于本申请保护的范围。
显而易见地,下面描述中的附图仅仅是本申请的一些示例或实施例,对于本领域的普通技术人员而言,在不付出创造性劳动的前提下,还可以根据这些附图将本申请应用于其他类似情景。此外,还可以理解的是,虽然这种开发过程中所作出的努力可能是复杂并且冗长的,然而对于与本申请公开的内容相关的本领域的普通技术人员而言,在本申请揭露的技术内容的基础上进行的一些设计,制造或者生产等变更只是常规的技术手段,不应当理解为本申请公开的内容不充分。
在本申请中提及“实施例”意味着,结合实施例描述的特定特征、结构或特性可以包含在本申请的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例,也不是与其它实施例互斥的独立的或备选的实施例。本领域普通技术人员显式地和隐式地理解的是,本申请所描述的实施例在不冲突的情况下,可以与其它实施例相结合。
除非另作定义,本申请所涉及的技术术语或者科学术语应当为本申请所属技术领域内具有一般技能的人士所理解的通常意义。本申请所涉及的“一”、“一个”、“一种”、“该”等类似词语并不表示数量限制,可表示单数或复数。本申请所涉及的术语“包括”、“包含”、“具有”以及它们任何变形,意图在于覆盖不排他的包含;例如包含了一系列步骤或模块(单元)的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元,而是可以还包括没有列出的步骤或单元,或可以还包括对于这些过程、方法、产品或设备固有的其它步骤或单元。本申请所涉及的“连接”、“相连”、“耦接”等类似的词语并非限定于物理的或者机械的连接,而是可以包括电气的连接,不管是直接的还是间接的。本申请所涉及的“多个”是指两个或两个以上。“和/或”描述关联对象的关联关系,表示可以存在三种关系,例如,“A和/或B”可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。本申请所涉及的术语“第一”、“第二”、“第三”等仅仅是区别类似的对象,不代表针对对象的特定排序。
本发明实施例中涉及到的技术术语的解释如下。
DNS:互联网域名解析协议。
Cobalt Strike:互联网流行的恶意木马控制端服务器。
IP:互联网网络地址。
beacon:Cobalt Strike服务器监听配置。
本发明中的恶意服务器检测方法基于DNS通信,由于DNS通信比起常见的HTTP、TCP、UDP通信更加隐蔽,一般大部分的黑客都会采取DNS beacon配置。在此基础上,本实施例提出通过DNS请求来检测Cobalt Strike服务器。一方面,开放DNS协议的主机数量远低于其他三种协议;另一方面,DNS响应报文小,可以快速检测。不仅如此,通过特定的DNS请求,可以准确的判别Cobalt Strike服务器。因此,基于DNS可以高效、准确的检测CobaltStrike服务器。
请参阅图1,为本发明第一实施例中的恶意服务器检测方法,包括步骤S11~S15。
步骤S11,向开放了DNS协议的服务器发送至少三条第一DSN请求,所述第一DSN请求为域名为随机字符数量类型的A记录请求。
本实施例中的方法用于对开通了DNS协议的服务器进行探测,以判断其是否为Cobalt Strike服务器。当探测到一个或多个开通了DNS协议的服务器时,向该一个或多个服务器分别发送至少三条第一DSN请求。向该服务器发送的第一DSN请求的数量不少于三条,以保证探测准确性和可靠性。可以理解的,该各个第一DSN请求中额域名应不相同。
该第一DSN请求为域名为随机字符数量类型的A记录请求。该随机字符数量类型的域名为不太常见的域名,例如为:abcdef.xdas.com、dbaer.teggg12.org和aldea.dnsaaaa.test。A记录请求即为查询服务器的IPv4地址的请求。
步骤S12,获取所述服务器分别针对各个所述第一DSN请求的第一响应内容,并判断各个所述第一响应内容是否相同且不为空。
步骤S13,若是,向所述服务器发送预设格式内容的TXT记录请求。
服务器接收到各个第一DSN请求后,响应该各个第一DSN请求,以返回对应的第一响应内容,该第一响应内容即为服务器返回的IPv4地址。
比较各个第一响应内容,以判断各个IPv4地址是否相同,且不为空。若是,则向服务器发送预设格式内容的TXT记录请求。具体的,该预设格式内容的TXT记录请求用于请求服务器的TXT记录,其包括由点号依次间隔开的第一字段、第二字段和第三字段,且第一字段的字符串长度为3,第二字段内容为stage。比如:aaa.stage.xxx,第一字段内容为aaa,其可以替换为其他内容,但是长度必须为3;其次,第二字段的内容必须是stage这5个字符,如:aaa.stage1.xxx是不行的,第三字段的内容和长度不限。
步骤S14,获取所述服务器针对所述TXT记录请求返回的TXT响应内容。
步骤S15,当所述TXT响应内容不为空时,将所述服务器标记为恶意服务器。
服务器接收到该TXT记录请求后,进行响应,返回TXT响应内容。当该TXT响应内容不为空时,则可以判定该服务器为恶意服务器,即Cobalt Strike服务器,并进行标记。可以理解的,TXT响应内容是否为空跟配置是否开启host_stage(分段下载功能)有关。
本实施例中,当探测到开放了DNS协议的服务器时,发送至少三条第一DSN请求至该服务器,以请求随机字符数量类型域名的A记录,通过对响应的内容进行IP地址提取并判断是否相等,若相等,则发送预设格式内容的TXT记录请求,根据返回的TXT响应内容是否为空来判断该服务器是否为恶意服务器。即本实施例对服务器进行了两次探测,第一次通过发送第一DSN请求进行探测,可以初步确定可疑的恶意服务器,第二次通过发送预设格式内容的TXT记录请求进行探测,根据探测结果最终确定恶意服务器,通过该方法能够高效、准确检测Cobalt Strike服务器,极大的降低了误报率,有效提高了网络安全防护能力。
请参阅图2,为本发明第二实施例中的恶意服务器检测方法,包括步骤S21~S31。
步骤S21,向开放了DNS协议的服务器发送至少三条第一DSN请求,所述第一DSN请求为域名为随机字符数量类型的A记录请求。
本实施例中的方法用于对开通了DNS协议的服务器进行探测,以判断其是否为Cobalt Strike服务器。当探测到一个或多个开通了DNS协议的服务器时,向该一个或多个服务器分别发送至少三条第一DSN请求。向该服务器发送的第一DSN请求的数量不少于三条,以保证探测准确性和可靠性。可以理解的,该各个第一DSN请求中的域名应不相同。
该第一DSN请求为域名为随机字符数量类型的A记录请求。该随机字符数量类型的域名为不太常见的域名,例如为:abcdef.xdas.com、dbaer.teggg12.org和aldea.dnsaaaa.test。A记录请求即为查询服务器的IPv4地址的请求。
步骤S22,获取所述服务器分别针对各个所述第一DSN请求的第一响应内容,并判断各个所述第一响应内容是否相同且不为空,若是执行步骤S23,否则执行步骤S27。
步骤S23,向所述服务器发送预设格式内容的TXT记录请求。
需要说明的是,该预设格式内容的TXT记录请求用于请求服务器的TXT记录,其包括由点号依次间隔开的第一字段、第二字段和第三字段,且第一字段的字符串长度为3,第二字段内容为stage。比如:aaa.stage.xxx,第一字段内容为aaa,其可以替换为其他内容,但是长度必须为3;其次,第二字段的内容必须是stage这5个字符,如:aaa.stage1.xxx是不行的,第三字段的内容和长度不限。
步骤S24,获取所述服务器针对所述TXT记录请求返回的TXT响应内容。
步骤S25,判断所述TXT响应内容是否为空,若否执行步骤S26,若是则执行步骤S30。
步骤S26,将所述服务器标记为恶意服务器。
服务器接收到该TXT记录请求后,进行响应,并返回TXT响应内容。当该TXT响应内容不为空时,则可以判定该服务器为恶意服务器,即Cobalt Strike服务器,并进行标记。当该TXT响应内容为空时,将该服务器标记为疑似恶意服务器。
步骤S27,向所述服务器发送至少三条第二DNS请求信息,所述第二DSN请求信息包含A请求和TXT的请求。三条所述第二DNS请求信息的域名的前缀包含且仅包含www、CDN和api。
当返回的各个第一响应内容不完全相同,或者不为空时,发送至少三个特定域名前缀的第二DSN请求信息,该请求信息包含有A请求和TXT的请求,即向服务器请求A记录和TXT记录。该特定的域名前缀为www、CDN和api,例如:api.ns.d43.com。
步骤S28,获取所述服务器针对各个所述第二DSN请求返回的第二响应内容。
步骤S29,判断所述第二响应内容中的A记录是否为均为0.0.0.0且TXT记录是否全为空,若是,返回执行步骤执行步骤S23。
服务器接收到各个第二DSN请求后分别进行响应,并返回对应的第二响应内容,该第二响应内容包括响应A请求的A记录和响应TXT的请求的TXT记录。
当各个第二DSN请求对应的第二响应内容中的A记录是均为0.0.0.0且TXT记录全为空时,则返回步骤S23继续进行探测。可以理解的,当各个第二DSN请求对应的第二响应内容中的A记录不全为0.0.0.0或TXT记录不全为空时,则可以断定该服务器不是CobaltStrike服务器。
步骤S30,将所述服务器标记为疑似恶意服务器。
进一步的,当确定了该服务器为恶意服务器后,则还可以进行如下步骤:
步骤S31,获取并解析所述服务器的beacon配置,并存入系统数据库。
具体实施时,可采用NetBios算法解码描述TXT内容,以得到该服务器beacon配置;并采用开源的parse_beacon_config程序解析该beacon配置。
得到新beacon配置文件,可以进一步帮助用户。例如,通过该恶意服务器的beacon配置文件,可以得到其下发的恶意可执行文件,以用于威胁情报的分析;也可以获取其分发恶意内容的URI,以用于做威胁行为聚类;还可以获取恶意文件的加载方式,便于分析;甚至可以获取SSH的账户密码,或者公私钥信息。
进一步的,恶意服务器检测过程可通过外部API接口进行调用、输出和向用户展示。
本实施例中的恶意服务器检测方法,主要运用随机A记录和特殊的A和TXT记录对DNS协议的服务器进行探测,以初步确定出疑似恶意服务器,再基于特殊格式内容的TXT记录请求对服务器进行TXT内容检测,以对疑似恶意服务器进一步确认。
相较于传统的检测手段,本实施例可以做到事前检测,即在用户还没被攻击时,主动发送探测包以进行恶意服务器的检测,该探测包如第一DSN请求、TXT记录请求或第二DSN请求。由于探测包很小、并且是DNS协议、而且发包数量也有限,所以不会影响到正常的服务器功能。
请参阅图3,为本发明第三实施例中的恶意服务器检测系统,包括:
第一探测模块31,用于向开放了DNS协议的服务器发送至少三条第一DSN请求,所述第一DSN请求为域名为随机字符数量类型的A记录请求;
判断模块32,用于获取所述服务器分别针对各个所述第一DSN请求的第一响应内容,并判断各个所述第一响应内容是否相同且不为空;
第二探测模块33,用于当各个所述第一响应内容相同且不为空时,向所述服务器发送预设格式内容的TXT记录请求;
TXT内容获取模块34,用于获取所述服务器针对所述TXT记录请求返回的TXT响应内容;
第一标记模块35,用于当所述TXT响应内容不为空时,将所述服务器标记为恶意服务器。
进一步的,上述恶意服务器检测系统,还包括:
第三探测模块,用于当所述第一响应内容不完全相同或为空时,向所述服务器发送至少三条第二DNS请求信息,所述第二DSN请求信息包含A请求和TXT的请求,三条所述第二DNS请求信息的域名的前缀包含且仅包含www、CDN和api;
第二响应内容获取模块,用于获取所述服务器针对各个所述第二DSN请求返回的第二响应内容。
执行模块,用于当所述第二响应内容中的A记录均为0.0.0.0且TXT记录全为空时,返回执行向所述服务器发送预设格式内容的TXT记录请求的步骤。
进一步的,上述恶意服务器检测系统,还包括:
第二标记模块,用于当所述TXT响应内容为空时,将所述服务器标记为疑似恶意服务器。
进一步的,上述恶意服务器检测系统,还包括:
获取及解析模块,用于获取并解析所述服务器的beacon配置,并存入系统数据库。
进一步的,上述恶意服务器检测系统,所述获取及解析模块用于:
采用NetBios算法解码所述TXT内容,以得到所述服务器的beacon配置;
采用开源的parse_beacon_config程序解析所述beacon配置。
本发明实施例所提供的恶意服务器检测系统,其实现原理及产生的技术效果和前述方法实施例相同,为简要描述,装置实施例部分未提及之处,可参考前述方法实施例中相应内容。
需要说明的是,上述各个模块可以是功能模块也可以是程序模块,既可以通过软件来实现,也可以通过硬件来实现。对于通过硬件来实现的模块而言,上述各个模块可以位于同一处理器中;或者上述各个模块还可以按照任意组合的形式分别位于不同的处理器中。
另外,结合图1至图2描述的本申请实施例中的恶意服务器检测方法主要由电子设备来实现。该电子设备例如为计算机、服务器等。
图4为根据本申请实施例的电子设备的硬件结构示意图。该电子设备可以包括处理器81以及存储有计算机程序指令的存储器82。
具体地,上述处理器81可以包括中央处理器(CPU),或者特定集成电路(Application Specific Integrated Circuit,简称为ASIC),或者可以被配置成实施本申请实施例的一个或多个集成电路。
其中,存储器82可以包括用于数据或指令的大容量存储器。举例来说而非限制,存储器82可包括硬盘驱动器(Hard Disk Drive,简称为HDD)、软盘驱动器、固态驱动器(SolidState Drive,简称为SSD)、闪存、光盘、磁光盘、磁带或通用串行总线(Universal SerialBus,简称为USB)驱动器或者两个或更多个以上这些的组合。在合适的情况下,存储器82可包括可移除或不可移除(或固定)的介质。在合适的情况下,存储器82可在数据处理装置的内部或外部。在特定实施例中,存储器82是非易失性(Non-Volatile)存储器。在特定实施例中,存储器82包括只读存储器(Read-Only Memory,简称为ROM)和随机存取存储器(RandomAccess Memory,简称为RAM)。在合适的情况下,该ROM可以是掩模编程的ROM、可编程ROM(Programmable Read-Only Memory,简称为PROM)、可擦除PROM(Erasable ProgrammableRead-Only Memory,简称为EPROM)、电可擦除PROM(Electrically Erasable ProgrammableRead-Only Memory,简称为EEPROM)、电可改写ROM(Electrically Alterable Read-OnlyMemory,简称为EAROM)或闪存(FLASH)或者两个或更多个以上这些的组合。在合适的情况下,该RAM可以是静态随机存取存储器(Static Random-Access Memory,简称为SRAM)或动态随机存取存储器(Dynamic Random Access Memory,简称为DRAM),其中,DRAM可以是快速页模式动态随机存取存储器(Fast Page Mode Dynamic Random Access Memory,简称为FPMDRAM)、扩展数据输出动态随机存取存储器(Extended Date Out Dynamic RandomAccess Memory,简称为EDODRAM)、同步动态随机存取内存(Synchronous Dynamic Random-Access Memory,简称SDRAM)等。
存储器82可以用来存储或者缓存需要处理和/或通信使用的各种数据文件,以及处理器81所执行的可能的计算机程序指令。
处理器81通过读取并执行存储器82中存储的计算机程序指令,以实现上述实施例中的恶意服务器检测方法。
在其中一些实施例中,该数据提供终端和平台还可包括通信接口83和总线80。其中,如图4所示,处理器81、存储器82、通信接口83通过总线80连接并完成相互间的通信。
通信接口83用于实现本申请实施例中各模块、装置、单元和/或设备之间的通信。通信接口83还可以实现与其他部件例如:外接设备、图像/数据采集设备、数据库、外部存储以及图像/数据处理工作站等之间进行数据通信。
总线80包括硬件、软件或两者,将对应设备的部件彼此耦接在一起。总线80包括但不限于以下至少之一:数据总线(Data Bus)、地址总线(Address Bus)、控制总线(ControlBus)、扩展总线(Expansion Bus)、局部总线(Local Bus)。举例来说而非限制,总线80可包括图形加速接口(Accelerated Graphics Port,简称为AGP)或其他图形总线、增强工业标准架构(Extended Industry Standard Architecture,简称为EISA)总线、前端总线(FrontSide Bus,简称为FSB)、超传输(Hyper Transport,简称为HT)互连、工业标准架构(Industry Standard Architecture,简称为ISA)总线、无线带宽(InfiniBand)互连、低引脚数(Low PIN Count,简称为LPC)总线、存储器总线、微信道架构(Micro ChannelArchitecture,简称为MCA)总线、外围组件互连(Peripheral Component Interconnect,简称为PCI)总线、PCI-Express(PCI-X)总线、串行高级技术附件(Serial AdvancedTechnology Attachment,简称为SATA)总线、视频电子标准协会局部(Video ElectronicsStandards Association Local Bus,简称为VLB)总线或其他合适的总线或者两个或更多个以上这些的组合。在合适的情况下,总线80可包括一个或多个总线。尽管本申请实施例描述和示出了特定的总线,但本申请考虑任何合适的总线或互连。
另外,结合上述实施例中的恶意服务器检测方法,本申请实施例可提供一种计算机可读存储介质来实现。该计算机可读存储介质上存储有计算机程序指令;该计算机程序指令被处理器执行时实现上述实施例中的任意一种恶意服务器检测方法。
以上所述实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。
Claims (10)
1.一种恶意服务器检测方法,其特征在于,包括:
向开放了DNS协议的服务器发送至少三条第一DSN请求,所述第一DSN请求为域名为随机字符数量类型的A记录请求;
获取所述服务器分别针对各个所述第一DSN请求的第一响应内容,并判断各个所述第一响应内容是否相同且不为空;
若是,向所述服务器发送预设格式内容的TXT记录请求;
获取所述服务器针对所述TXT记录请求返回的TXT响应内容,并当所述TXT响应内容不为空时,将所述服务器标记为恶意服务器。
2.如权利要求1所述的恶意服务器检测方法,其特征在于,所述判断各个所述第一响应内容是否相同且不为空的步骤之后还包括:
当所述第一响应内容不完全相同或为空时,向所述服务器发送至少三条第二DNS请求信息,所述第二DSN请求信息包含A请求和TXT的请求,三条所述第二DNS请求信息的域名的前缀包含且仅包含www、CDN和api;
获取所述服务器针对各个所述第二DSN请求返回的第二响应内容。
当所述第二响应内容中的A记录均为0.0.0.0且TXT记录全为空时,返回执行向所述服务器发送预设格式内容的TXT记录请求的步骤。
3.如权利要求1所述的恶意服务器检测方法,其特征在于,所述获取所述服务器针对所述TXT记录请求返回的TXT响应内容的步骤之后还包括:
当所述TXT响应内容为空时,将所述服务器标记为疑似恶意服务器。
4.如权利要求1所述的恶意服务器检测方法,其特征在于,所述将所述服务器标记为恶意服务器的步骤之后还包括:
获取并解析所述服务器的beacon配置,并存入系统数据库。
5.如权利要求4所述的恶意服务器检测方法,其特征在于,所述获取并解析所述服务器的beacon配置的步骤包括:
采用NetBios算法解码所述TXT内容,以得到所述服务器的beacon配置;
采用开源的parse_beacon_config程序解析所述beacon配置。
6.如权利要求1所述的恶意服务器检测方法,其特征在于,所述预设格式内容的TXT记录请求包括由点号依次间隔开的第一字段、第二字段和第三字段,且所述第一字段的字符串长度为3,第二字段内容为stage。
7.一种恶意服务器检测系统,其特征在于,包括:
第一探测模块,用于向开放了DNS协议的服务器发送至少三条第一DSN请求,所述第一DSN请求为域名为随机字符数量类型的A记录请求;
判断模块,用于获取所述服务器分别针对各个所述第一DSN请求的第一响应内容,并判断各个所述第一响应内容是否相同且不为空;
第二探测模块,用于当各个所述第一响应内容相同且不为空时,向所述服务器发送预设格式内容的TXT记录请求;
TXT内容获取模块,用于获取所述服务器针对所述TXT记录请求返回的TXT响应内容;
第一标记模块,用于当所述TXT响应内容不为空时,将所述服务器标记为恶意服务器。
8.如权利要求7所述的恶意服务器检测系统,其特征在于,还包括:
第三探测模块,用于当所述第一响应内容不完全相同或为空时,向所述服务器发送至少三条第二DNS请求信息,所述第二DSN请求信息包含A请求和TXT的请求,三条所述第二DNS请求信息的域名的前缀包含且仅包含www、CDN和api;
第二响应内容获取模块,用于获取所述服务器针对各个所述第二DSN请求返回的第二响应内容;
执行模块,用于当所述第二响应内容中的A记录均为0.0.0.0且TXT记录全为空时,返回执行向所述服务器发送预设格式内容的TXT记录请求的步骤。
9.一种计算机可读存储介质,其上存储有程序,其特征在于,所述程序被处理器执行时实现如权利要求1-6任一所述的方法。
10.一种电子设备,包括存储器、处理器以及存储在存储器上并可在处理器上运行的程序,其特征在于,所述处理器执行所述程序时实现如权利要求1-6任意一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111251660.3A CN113965392B (zh) | 2021-10-25 | 2021-10-25 | 恶意服务器检测方法、系统、可读介质及电子设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111251660.3A CN113965392B (zh) | 2021-10-25 | 2021-10-25 | 恶意服务器检测方法、系统、可读介质及电子设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113965392A true CN113965392A (zh) | 2022-01-21 |
| CN113965392B CN113965392B (zh) | 2024-05-28 |
Family
ID=79467286
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111251660.3A Active CN113965392B (zh) | 2021-10-25 | 2021-10-25 | 恶意服务器检测方法、系统、可读介质及电子设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113965392B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115001868A (zh) * | 2022-08-01 | 2022-09-02 | 北京微步在线科技有限公司 | Apt攻击同源分析方法、装置、电子设备及存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102714663A (zh) * | 2010-01-19 | 2012-10-03 | 阿尔卡特朗讯公司 | 用于预防dns缓存投毒的方法和系统 |
| US9294490B1 (en) * | 2014-10-07 | 2016-03-22 | Cloudmark, Inc. | Apparatus and method for identifying a domain name system resource exhaustion attack |
| WO2016177282A1 (zh) * | 2015-05-06 | 2016-11-10 | 阿里巴巴集团控股有限公司 | 域名解析生效的检测方法、浏览器、服务端和系统 |
| CN111049837A (zh) * | 2019-12-16 | 2020-04-21 | 多彩贵州印象网络传媒股份有限公司 | 基于通信运营商网络传送层的恶意网址识别和拦截技术 |
| CN112995186A (zh) * | 2021-03-09 | 2021-06-18 | 上海明略人工智能(集团)有限公司 | 适用于mqtt服务安全保障的改善方法及系统 |
-
2021
- 2021-10-25 CN CN202111251660.3A patent/CN113965392B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102714663A (zh) * | 2010-01-19 | 2012-10-03 | 阿尔卡特朗讯公司 | 用于预防dns缓存投毒的方法和系统 |
| US9294490B1 (en) * | 2014-10-07 | 2016-03-22 | Cloudmark, Inc. | Apparatus and method for identifying a domain name system resource exhaustion attack |
| WO2016177282A1 (zh) * | 2015-05-06 | 2016-11-10 | 阿里巴巴集团控股有限公司 | 域名解析生效的检测方法、浏览器、服务端和系统 |
| CN111049837A (zh) * | 2019-12-16 | 2020-04-21 | 多彩贵州印象网络传媒股份有限公司 | 基于通信运营商网络传送层的恶意网址识别和拦截技术 |
| CN112995186A (zh) * | 2021-03-09 | 2021-06-18 | 上海明略人工智能(集团)有限公司 | 适用于mqtt服务安全保障的改善方法及系统 |
Non-Patent Citations (1)
| Title |
|---|
| DHAKKAN: "如何识别恶意Cobalt Strike服务器", Retrieved from the Internet <URL:http://www.freebuf.com/articles/network/260176.html> * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115001868A (zh) * | 2022-08-01 | 2022-09-02 | 北京微步在线科技有限公司 | Apt攻击同源分析方法、装置、电子设备及存储介质 |
| CN115001868B (zh) * | 2022-08-01 | 2022-10-11 | 北京微步在线科技有限公司 | Apt攻击同源分析方法、装置、电子设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113965392B (zh) | 2024-05-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10148645B2 (en) | Method and device for classifying TCP connection carrying HTTP traffic | |
| Rafique et al. | Firma: Malware clustering and network signature generation with mixed network behaviors | |
| WO2018107784A1 (zh) | 检测网页后门的方法和装置 | |
| CN109474575B (zh) | 一种dns隧道的检测方法及装置 | |
| CN110730175B (zh) | 一种基于威胁情报的僵尸网络检测方法及检测系统 | |
| US10218733B1 (en) | System and method for detecting a malicious activity in a computing environment | |
| Nappa et al. | Cyberprobe: Towards internet-scale active detection of malicious servers | |
| WO2018113730A1 (zh) | 网络安全的检测方法和装置 | |
| KR20000054538A (ko) | 네트워크 침입탐지 시스템 및 방법 그리고 그 방법을기록한 컴퓨터로 읽을 수 있는 기록매체 | |
| CN107347076B (zh) | Ssrf漏洞的检测方法及装置 | |
| WO2015078388A1 (zh) | 针对拒绝服务攻击的处理方法及装置 | |
| CN108809890A (zh) | 漏洞检测方法、测试服务器及客户端 | |
| CN105025025A (zh) | 一种基于云平台的域名主动检测方法和系统 | |
| CN105635064B (zh) | Csrf攻击检测方法及装置 | |
| CN107395553B (zh) | 一种网络攻击的检测方法、装置及存储介质 | |
| CN111404912A (zh) | 基于ip白名单的域名检测方法及装置 | |
| US11153330B1 (en) | Detection of DNS (domain name system) tunneling and exfiltration through DNS query analysis | |
| CN110768949B (zh) | 探测漏洞的方法及装置、存储介质、电子装置 | |
| CN113965392A (zh) | 恶意服务器检测方法、系统、可读介质及电子设备 | |
| CN113329035B (zh) | 一种攻击域名的检测方法、装置、电子设备及存储介质 | |
| Prieto et al. | Botnet detection based on DNS records and active probing | |
| CN113726775B (zh) | 一种攻击检测方法、装置、设备及存储介质 | |
| CN113904843B (zh) | 一种终端异常dns行为的分析方法和装置 | |
| CN111371917B (zh) | 一种域名检测方法及系统 | |
| CN111787110B (zh) | 一种Socks代理发现方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant |