基于沙箱检测文件识别木马回连方法及装置
基本信息
| 申请号 | CN201710802842.2 | 申请日 | - |
| 公开(公告)号 | CN107395650A | 公开(公告)日 | 2017-11-24 |
| 申请公布号 | CN107395650A | 申请公布日 | 2017-11-24 |
| 分类号 | H04L29/06(2006.01)I;H04L29/12(2006.01)I | 分类 | 电通信技术; |
| 发明人 | 沈伟;范渊;李凯;黄进 | 申请(专利权)人 | 上海安恒时代信息技术有限公司 |
| 代理机构 | 北京超凡志成知识产权代理事务所(普通合伙) | 代理人 | 苏胜 |
| 地址 | 310051 浙江省杭州市滨江区通和路68号浙江中财大厦15层 | ||
| 法律状态 | - | ||
摘要
| 摘要 | 本发明实施例提供的基于沙箱检测文件识别木马回连方法及装置,属于网络安全检测领域。该方法通过捕获流经网卡的IP协议流量数据包,从而解析所述流量数据包,并分离所述流量数据包所携带的文件,再基于沙箱检测所述文件,捕获网络行为,再通过判断所述网络行为是否是恶意行为来识别所述网络行为所对应的域名和互联网协议地址是否为回连域名,进而通过回连域名准确识别回连行为,并能获取被木马感染的设备IP;同时能识别一些可疑的回连域名供安全人员进一步分析,进一步更快更高效的识别回连域名。 |
