基于沙箱檢測文件識別木馬回連方法及裝置

基本信息

申請?zhí)?/td> CN201710802842.2 申請日 -
公開(公告)號 CN107395650B 公開(公告)日 2017-11-24
申請公布號 CN107395650B 申請公布日 2017-11-24
分類號 H04L29/06(2006.01)I;H04L29/12(2006.01)I 分類 電通信技術(shù);
發(fā)明人 沈偉;范淵;李凱;黃進(jìn) 申請(專利權(quán))人 上海安恒時代信息技術(shù)有限公司
代理機(jī)構(gòu) 北京超凡志成知識產(chǎn)權(quán)代理事務(wù)所(普通合伙) 代理人 蘇勝
地址 310052浙江省杭州市濱江區(qū)西興街道聯(lián)慧街188號
法律狀態(tài) -

摘要

摘要 本發(fā)明實施例提供的基于沙箱檢測文件識別木馬回連方法及裝置,屬于網(wǎng)絡(luò)安全檢測領(lǐng)域。該方法通過捕獲流經(jīng)網(wǎng)卡的IP協(xié)議流量數(shù)據(jù)包,從而解析所述流量數(shù)據(jù)包,并分離所述流量數(shù)據(jù)包所攜帶的文件,再基于沙箱檢測所述文件,捕獲網(wǎng)絡(luò)行為,再通過判斷所述網(wǎng)絡(luò)行為是否是惡意行為來識別所述網(wǎng)絡(luò)行為所對應(yīng)的域名和互聯(lián)網(wǎng)協(xié)議地址是否為回連域名,進(jìn)而通過回連域名準(zhǔn)確識別回連行為,并能獲取被木馬感染的設(shè)備IP;同時能識別一些可疑的回連域名供安全人員進(jìn)一步分析,進(jìn)一步更快更高效的識別回連域名。??