[go: up one dir, main page]

CN108076038A - 一种基于服务器端口的c&c服务器判断方法及系统 - Google Patents

一种基于服务器端口的c&c服务器判断方法及系统 Download PDF

Info

Publication number
CN108076038A
CN108076038A CN201710458777.6A CN201710458777A CN108076038A CN 108076038 A CN108076038 A CN 108076038A CN 201710458777 A CN201710458777 A CN 201710458777A CN 108076038 A CN108076038 A CN 108076038A
Authority
CN
China
Prior art keywords
server
port
unconventional
turned
servers
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201710458777.6A
Other languages
English (en)
Inventor
李宝俊
童志明
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Harbin Antiy Technology Co Ltd
Original Assignee
Harbin Antiy Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Harbin Antiy Technology Co Ltd filed Critical Harbin Antiy Technology Co Ltd
Priority to CN201710458777.6A priority Critical patent/CN108076038A/zh
Publication of CN108076038A publication Critical patent/CN108076038A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/146Tracing the source of attacks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明提出一种基于服务器端口的C&C服务器判断方法及系统,包括:收集整理非官方或服务器提供商的服务器列表;定期记录服务器列表中的服务器开启或关闭非常规端口的信息;判断是否有服务器不定周期开启或关闭非常规服务端口;如果是,则所述服务器为C&C服务器;否则结束判断;根据记录的服务器开启或关闭非常规端口的信息,对所述C&C服务器进行分类,初步判定服务器之间的关联关系。本发明还提出相应系统,解决了传统方法中,存在人力分析效率低和沙盒与虚拟机占用资源高且不能事前发现潜在网络威胁的缺点,能够做到发现潜在的C&C服务器,而且能够根据判断结果进行同源跟踪。

Description

一种基于服务器端口的C&C服务器判断方法及系统
技术领域
本发明涉及计算机网络安全领域,特别涉及一种基于服务器端口的C&C服务器判断方法及系统。
背景技术
目前现有判断C&C服务器的方法,都是基于恶意代码的通讯行为进行判断,一般通过人力分析,或者在沙盒或虚拟机中,若监控到恶意代码与互联网络中某台服务器进行了包含控制和命令载荷的通讯行为,则判定该服务器为恶意代码的C&C服务器。
根据恶意代码网络通讯行为对C&C服务器进行判断。这种方法需要在一个安全隔离的实验环境中进行,一般在非人力分析的情况下,在虚拟机或沙盒中虚拟执行恶意代码,然后利用其场景下的监控组件对恶意代码的行为进行监控分析。人力分析和虚拟执行有几个共同的缺点,首先,代价较大,虚拟执行需要消耗很大的资源(包括但不限于,人力,电力,存储资源,处理器性能等资源),而且效率是非常低下的,一个试验环境为不受其他因素影响,一次只能模拟运行一个恶意代码。其次,现有判断方法,多用于事件发生之后,很多时候,只有恶意代码的规模足够大的时候才会被发现并重视,很多攻击者会在发现恶意代码可以被安全厂商检测之后,甚至之前,就会关闭控制服务,使网络安全厂商无法对该恶意代码进行有效的追踪和更加深入的研究。而且,现有判断方法并不能发现潜在的C&C服务器,无法对当前存在的网络威胁态势进行感知,无法在网络威胁事件爆发前发现并提前预防。
发明内容
为了解决上述问题,本发明提出一种基于服务器端口的C&C服务器判断方法及系统。由于大多数攻击者都会使用相对稳定的私人服务器或者租用服务器提供商的服务器作为C&C服务器。攻击者会为放出的恶意代码开放某些非常规端口作为控制服务端口,用于向恶意代码发送控制指令进行进一步的恶意行为,攻击者会经常更换控制服务端口来妨碍网络安全厂商的追踪与分析工作。因此通过对服务器端口信息变化进行监控,来确定C&C服务器,避免了人力分析效率低和沙盒与虚拟机占用资源高且不能事前发现潜在网络威胁的问题。
本发明提出一种基于服务器端口的C&C服务器判断方法,包括:
收集整理非官方或服务器提供商的服务器列表;
定期记录服务器列表中的服务器开启或关闭非常规端口的信息;
判断是否有服务器不定周期开启或关闭非常规服务端口;如果是,则所述服务器为C&C服务器;否则结束判断;
根据记录的服务器开启或关闭非常规端口的信息,对所述C&C服务器进行分类,初步判定服务器之间的关联关系。
所述的方法中,所述服务器开启或关闭非常规端口的信息包括:IP地址、端口、端口开放时间、端口关闭时间、端口存活时间。
所述的方法中,根据记录的服务器开启或关闭非常规端口的信息,对所述C&C服务器进行分类,初步判定服务器之间的关联关系,具体为:根据服务器所开放的端口或端口存活周期是否相同,判断是否为同一攻击者,如果相同则为同一攻击者。
本发明还提出一种基于服务器端口的C&C服务器判断系统,其特征在于,包括:
列表收集模块,用于收集整理非官方或服务器提供商的服务器列表;
记录模块,用于定期记录服务器列表中的服务器开启或关闭非常规端口的信息;
判断模块,用于判断是否有服务器不定周期开启或关闭非常规服务端口;如果是,则所述服务器为C&C服务器;否则结束判断;
分析模块,用于根据记录的服务器开启或关闭非常规端口的信息,对所述C&C服务器进行分类,初步判定服务器之间的关联关系。
所述的系统中,所述服务器开启或关闭非常规端口的信息包括:IP地址、端口、端口开放时间、端口关闭时间、端口存活时间。
所述的系统中,根据记录的服务器开启或关闭非常规端口的信息,对所述C&C服务器进行分类,初步判定服务器之间的关联关系,具体为:根据服务器所开放的端口或端口存活周期是否相同,判断是否为同一攻击者,如果相同则为同一攻击者。
本发明的关键在于基于服务器非常规端口生存周期的判断方式,转换传统思维,不再从恶意代码实体本身出发,通过分析整理服务器开启或关闭非常规服务端口的记录信息,从中找到符合C&C服务器特征的服务器,进而达到提高判断效率并且提前发现潜在网络威胁的目的。
本发明的优势在于,解决了传统方法中,存在人力分析效率低和沙盒与虚拟机占用资源高且不能事前发现潜在网络威胁的缺点,本方法执行流程可以自动化完成,大大降低了分析成本,具备事前发现恶意代码控制服务的能力,能够做到发现潜在的C&C服务器,而且能够根据判断结果进行同源跟踪。更利于后期对发现的C&C服务器与网络威胁事件进行关联分析。
附图说明
为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明一种基于服务器端口的C&C服务器判断方法实施例流程图;
图2为本发明一种基于服务器端口的C&C服务器判断系统实施例结构示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明实施例中的技术方案,并使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明中技术方案作进一步详细的说明。
本发明提出一种基于服务器端口的C&C服务器判断方法及系统。由于大多数攻击者都会使用相对稳定的私人服务器或者租用服务器提供商的服务器作为C&C服务器。攻击者会为放出的恶意代码开放某些非常规端口作为控制服务端口,用于向恶意代码发送控制指令进行进一步的恶意行为,攻击者会经常更换控制服务端口来妨碍网络安全厂商的追踪与分析工作。因此通过对服务器端口信息变化进行监控,来确定C&C服务器,避免了人力分析效率低和沙盒与虚拟机占用资源高且不能事前发现潜在网络威胁的问题。
本发明通过有计划的收集整理非官方或者服务器提供商的服务器IP列表。短周期的记录列表中的IP。对记录的信息,包括但不限于,IP地址,端口,端口开放时间,端口关闭时间,端口存活时间等信息,进行科学的统计和分析,进而得到服务器是否为C&C服务器的诊断结果,并且了解服务器之间关系,例如,通过端口开放习惯或服务开闭周期推断该C&C服务器是否属于同一黑组织或攻击者。
本发明提出一种基于服务器端口的C&C服务器判断方法,如图1所示,包括:
S101:收集整理非官方或服务器提供商的服务器列表;即有被黑客作为C&C服务器利用可能的服务器;
S102:定期记录服务器列表中的服务器开启或关闭非常规端口的信息;为获取相对准确的端口开启或关闭的规律,在实际应用中可以进行短周期记录;
S103:判断是否有服务器不定周期开启或关闭非常规服务端口;如果是,则所述服务器为C&C服务器;否则结束判断;因为常规服务器上的服务是基本不会改变的,更加不会经常变换服务端口,而且很少会开放一些非常规的服务端口,所以如果发现有服务器每隔一段时间就会关闭或打开某些非常规服务端口时,则判断该服务器为C&C服务器;
S104:根据记录的服务器开启或关闭非常规端口的信息,对所述C&C服务器进行分类,初步判定服务器之间的关联关系。
所述的方法中,所述服务器开启或关闭非常规端口的信息包括:IP地址、端口、端口开放时间、端口关闭时间、端口存活时间。
所述的方法中,根据记录的服务器开启或关闭非常规端口的信息,对所述C&C服务器进行分类,初步判定服务器之间的关联关系,具体为:根据服务器所开放的端口或端口存活周期是否相同,判断是否为同一攻击者,如果相同则为同一攻击者。如两个服务器均开放9527、6666等端口,可认为是同一攻击者。
本发明还提出一种基于服务器端口的C&C服务器判断系统,如图2所示,包括:
列表收集模块201,用于收集整理非官方或服务器提供商的服务器列表;
记录模块202,用于定期记录服务器列表中的服务器开启或关闭非常规端口的信息;
判断模块203,用于判断是否有服务器不定周期开启或关闭非常规服务端口;如果是,则所述服务器为C&C服务器;否则结束判断;
分析模块204,用于根据记录的服务器开启或关闭非常规端口的信息,对所述C&C服务器进行分类,初步判定服务器之间的关联关系。
所述的系统中,所述服务器开启或关闭非常规端口的信息包括:IP地址、端口、端口开放时间、端口关闭时间、端口存活时间。
所述的系统中,根据记录的服务器开启或关闭非常规端口的信息,对所述C&C服务器进行分类,初步判定服务器之间的关联关系,具体为:根据服务器所开放的端口或端口存活周期是否相同,判断是否为同一攻击者,如果相同则为同一攻击者。
本发明的关键在于基于服务器非常规端口生存周期的判断方式,转换传统思维,不再从恶意代码实体本身出发,通过分析整理服务器开启或关闭非常规服务端口的记录信息,从中找到符合C&C服务器特征的服务器,进而达到提高判断效率并且提前发现潜在网络威胁的目的。
本发明的优势在于,解决了传统方法中,存在人力分析效率低和沙盒与虚拟机占用资源高且不能事前发现潜在网络威胁的缺点,本方法执行流程基本可以自动化完成,大大降低了分析成本,具备事前发现恶意代码控制服务的能力,能够做到发现潜在的C&C服务器,而且能够根据判断结果进行同源跟踪。更利于后期对发现的C&C服务器与网络威胁事件进行关联分析。
虽然通过实施例描绘了本发明,本领域普通技术人员知道,本发明有许多变形和变化而不脱离本发明的精神,希望所附的权利要求包括这些变形和变化而不脱离本发明的精神。

Claims (6)

1.一种基于服务器端口的C&C服务器判断方法,其特征在于,包括:
收集整理非官方或服务器提供商的服务器列表;
定期记录服务器列表中的服务器开启或关闭非常规端口的信息;
判断是否有服务器不定周期开启或关闭非常规服务端口;如果是,则所述服务器为C&C服务器;否则结束判断;
根据记录的服务器开启或关闭非常规端口的信息,对所述C&C服务器进行分类,初步判定服务器之间的关联关系。
2.如权利要求1所述的方法,其特征在于,所述服务器开启或关闭非常规端口的信息包括:IP地址、端口、端口开放时间、端口关闭时间、端口存活时间。
3.如权利要求2所述的方法,其特征在于,根据记录的服务器开启或关闭非常规端口的信息,对所述C&C服务器进行分类,初步判定服务器之间的关联关系,具体为:根据服务器所开放的端口或端口存活周期是否相同,判断是否为同一攻击者,如果相同则为同一攻击者。
4.一种基于服务器端口的C&C服务器判断系统,其特征在于,包括:
列表收集模块,用于收集整理非官方或服务器提供商的服务器列表;
记录模块,用于定期记录服务器列表中的服务器开启或关闭非常规端口的信息;
判断模块,用于判断是否有服务器不定周期开启或关闭非常规服务端口;如果是,则所述服务器为C&C服务器;否则结束判断;
分析模块,用于根据记录的服务器开启或关闭非常规端口的信息,对所述C&C服务器进行分类,初步判定服务器之间的关联关系。
5.如权利要求4所述的系统,其特征在于,所述服务器开启或关闭非常规端口的信息包括:IP地址、端口、端口开放时间、端口关闭时间、端口存活时间。
6.如权利要求5所述的系统,其特征在于,根据记录的服务器开启或关闭非常规端口的信息,对所述C&C服务器进行分类,初步判定服务器之间的关联关系,具体为:根据服务器所开放的端口或端口存活周期是否相同,判断是否为同一攻击者,如果相同则为同一攻击者。
CN201710458777.6A 2017-06-16 2017-06-16 一种基于服务器端口的c&c服务器判断方法及系统 Pending CN108076038A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201710458777.6A CN108076038A (zh) 2017-06-16 2017-06-16 一种基于服务器端口的c&c服务器判断方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710458777.6A CN108076038A (zh) 2017-06-16 2017-06-16 一种基于服务器端口的c&c服务器判断方法及系统

Publications (1)

Publication Number Publication Date
CN108076038A true CN108076038A (zh) 2018-05-25

Family

ID=62159118

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710458777.6A Pending CN108076038A (zh) 2017-06-16 2017-06-16 一种基于服务器端口的c&c服务器判断方法及系统

Country Status (1)

Country Link
CN (1) CN108076038A (zh)

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1771709A (zh) * 2003-05-30 2006-05-10 国际商业机器公司 网络攻击特征标记的产生
CN101753562A (zh) * 2009-12-28 2010-06-23 成都市华为赛门铁克科技有限公司 僵尸网络的检测方法、装置及网络安全防护设备
CN102238044A (zh) * 2010-04-30 2011-11-09 中国人民解放军国防科学技术大学 同源僵尸网络判别方法
CN102546298A (zh) * 2012-01-06 2012-07-04 北京大学 一种基于主动探测的僵尸网络家族检测方法
US8561177B1 (en) * 2004-04-01 2013-10-15 Fireeye, Inc. Systems and methods for detecting communication channels of bots
CN103780501A (zh) * 2014-01-03 2014-05-07 濮阳职业技术学院 一种不可分小波支持向量机的对等网络流量识别方法
CN104135474A (zh) * 2014-07-18 2014-11-05 国家计算机网络与信息安全管理中心 基于主机出入度的网络异常行为检测方法

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1771709A (zh) * 2003-05-30 2006-05-10 国际商业机器公司 网络攻击特征标记的产生
US8561177B1 (en) * 2004-04-01 2013-10-15 Fireeye, Inc. Systems and methods for detecting communication channels of bots
CN101753562A (zh) * 2009-12-28 2010-06-23 成都市华为赛门铁克科技有限公司 僵尸网络的检测方法、装置及网络安全防护设备
CN102238044A (zh) * 2010-04-30 2011-11-09 中国人民解放军国防科学技术大学 同源僵尸网络判别方法
CN102546298A (zh) * 2012-01-06 2012-07-04 北京大学 一种基于主动探测的僵尸网络家族检测方法
CN103780501A (zh) * 2014-01-03 2014-05-07 濮阳职业技术学院 一种不可分小波支持向量机的对等网络流量识别方法
CN104135474A (zh) * 2014-07-18 2014-11-05 国家计算机网络与信息安全管理中心 基于主机出入度的网络异常行为检测方法

Similar Documents

Publication Publication Date Title
Shin et al. EFFORT: efficient and effective bot malware detection
Premaratne et al. An intrusion detection system for IEC61850 automated substations
US11997120B2 (en) Detecting threats to datacenter based on analysis of anomalous events
Tupakula et al. Intrusion detection techniques for infrastructure as a service cloud
CN111274583A (zh) 一种大数据计算机网络安全防护装置及其控制方法
CN107592312A (zh) 一种基于网络流量的恶意软件检测方法
CN104601570A (zh) 一种基于旁路监听和软件抓包技术的网络安全监控方法
KR101753647B1 (ko) 클라우드 컴퓨팅 기반의 허니팟 보안시스템 및 그 실행방법
CN101572711A (zh) 一种基于网络的反弹端口型木马的检测方法
Xu et al. Secure the Internet, one home at a time
CN102014025A (zh) 基于网络流聚类检测p2p僵尸网络结构的方法
CN110381041A (zh) 分布式拒绝服务攻击态势检测方法及装置
CN110581850A (zh) 一种基于网络流量基因检测方法
Jia et al. A lightweight DDoS detection scheme under SDN context
CN112115457A (zh) 一种电力终端接入方法及系统
KR102444922B1 (ko) 스마트그리드에서 보안상황 인식을 위한 지능형 접근제어 장치
Park et al. IoTGuard: Scalable and agile safeguards for Internet of Things
KR20130033161A (ko) 클라우드 컴퓨팅 서비스에서의 침입 탐지 시스템
CN108076038A (zh) 一种基于服务器端口的c&c服务器判断方法及系统
Li et al. A new type of intrusion prevention system
Brahmi et al. A Snort-based mobile agent for a distributed intrusion detection system
KR102471618B1 (ko) 넷플로우 기반 대규모 서비스망 불법 접속 추적 방법 및 그를 위한 장치 및 시스템
Wang et al. Research of electric power information security protection on cloud security
CN115208690A (zh) 一种基于数据分类分级的筛查处理系统
CN106878338A (zh) 远动设备网关防火墙一体机系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
CB02 Change of applicant information
CB02 Change of applicant information

Address after: 150028 Building 7, Innovation Plaza, Science and Technology Innovation City, Harbin Hi-tech Industrial Development Zone, Harbin, Heilongjiang Province (838 Shikun Road)

Applicant after: Harbin antiy Technology Group Limited by Share Ltd

Address before: 150090 Room 506, No. 162 Hongqi Street, Nangang District, Harbin Development Zone, Heilongjiang Province

Applicant before: Harbin Antiy Technology Co., Ltd.

WD01 Invention patent application deemed withdrawn after publication
WD01 Invention patent application deemed withdrawn after publication

Application publication date: 20180525