基于沙箱檢測(cè)文件識(shí)別木馬回連方法及裝置

基本信息

申請(qǐng)?zhí)?/td> CN201710802842.2 申請(qǐng)日 -
公開(kāi)(公告)號(hào) CN107395650A 公開(kāi)(公告)日 2017-11-24
申請(qǐng)公布號(hào) CN107395650A 申請(qǐng)公布日 2017-11-24
分類號(hào) H04L29/06(2006.01)I;H04L29/12(2006.01)I 分類 電通信技術(shù);
發(fā)明人 沈偉;范淵;李凱;黃進(jìn) 申請(qǐng)(專利權(quán))人 上海安恒時(shí)代信息技術(shù)有限公司
代理機(jī)構(gòu) 北京超凡志成知識(shí)產(chǎn)權(quán)代理事務(wù)所(普通合伙) 代理人 蘇勝
地址 310051 浙江省杭州市濱江區(qū)通和路68號(hào)浙江中財(cái)大廈15層
法律狀態(tài) -

摘要

摘要 本發(fā)明實(shí)施例提供的基于沙箱檢測(cè)文件識(shí)別木馬回連方法及裝置,屬于網(wǎng)絡(luò)安全檢測(cè)領(lǐng)域。該方法通過(guò)捕獲流經(jīng)網(wǎng)卡的IP協(xié)議流量數(shù)據(jù)包,從而解析所述流量數(shù)據(jù)包,并分離所述流量數(shù)據(jù)包所攜帶的文件,再基于沙箱檢測(cè)所述文件,捕獲網(wǎng)絡(luò)行為,再通過(guò)判斷所述網(wǎng)絡(luò)行為是否是惡意行為來(lái)識(shí)別所述網(wǎng)絡(luò)行為所對(duì)應(yīng)的域名和互聯(lián)網(wǎng)協(xié)議地址是否為回連域名,進(jìn)而通過(guò)回連域名準(zhǔn)確識(shí)別回連行為,并能獲取被木馬感染的設(shè)備IP;同時(shí)能識(shí)別一些可疑的回連域名供安全人員進(jìn)一步分析,進(jìn)一步更快更高效的識(shí)別回連域名。