本發明實施例公開了一種惡意代理軟件檢測的方法及其系統。方法包括：對系統目錄和文件進行監控，記錄新增文件以及服務器進出口流量；提取靜態文件特征；將靜態文件特征與靜態惡意特征庫進行匹配，以得到靜態匹配結果；提取新增文件的動態特征；將動態特征與動態惡意特征庫進行匹配，以得到動態匹配結果；獲取新增文件被執行后的服務器IP，且對服務器IP進行網絡連接白名單的匹配，以得到名單匹配結果；根據服務器進出口流量進行閾值判斷，以得到判斷結果；根據上述多個結果確定新增文件是否是惡意代理軟件，并進行異常告警。通過實施本發明實施例的方法可實現有效識別多變的惡意代理軟件，精準判別相關程序是否為惡意代理軟件。

技術領域

本發明涉及信息安全技術領域，更具體地說是指一種惡意代理軟件檢測的方法及其系統。

背景技術

在黑客攻擊過程中，成功攻入一臺服務器之后的第一個動作往往是構建穩定的代理通道，為后續內網橫向滲透做好網絡準備。在構建代理通道時，往往會在服務器中傳入相關惡意代理軟件。

目前傳統的識別惡意代理軟件的方式是通過靜態惡意軟件指紋庫，靜態指紋庫包含文件名、文件哈希等，當黑客傳入的惡意代理軟件位于其指紋庫中時，則進行攔截，通過這種方式往往會造成漏報，當黑客針對性的修改惡意軟件的靜態指紋時，即可繞過傳統的防御方法，造成嚴重的危害，因此，當前的惡意代理軟件檢測識別方法無法有效識別多變的惡意代理軟件。

因此，有必要設計一種新的方法，實現有效識別多變的惡意代理軟件。

發明內容

本發明的目的在于克服現有技術的缺陷，提供一種惡意代理軟件檢測的方法及其系統。

為實現上述目的，本發明采用以下技術方案：一種惡意代理軟件檢測的方法，包括：

對系統目錄和文件進行監控，記錄新增文件以及服務器進出口流量；

對所述新增文件提取靜態文件特征；

將所述靜態文件特征與靜態惡意特征庫進行匹配，以得到靜態匹配結果；

當執行所述新增文件時，提取所述新增文件的動態特征；

將所述動態特征與動態惡意特征庫進行匹配，以得到動態匹配結果；

獲取所述新增文件被執行后產生連接的服務器IP，且對所述服務器IP進行網絡連接白名單的匹配，以得到名單匹配結果；

獲取所述新增文件被執行后的服務器進出口流量，并根據所述服務器進出口流量進行閾值判斷，以得到判斷結果；

根據所述靜態匹配結果、動態匹配結果、名單匹配結果以及判斷結果確定所述新增文件是否是惡意代理軟件，并進行異常告警。

其進一步技術方案為：所述對系統目錄和文件進行監控，記錄新增文件以及服務器進出口流量，包括：

通過agent軟件對系統目錄和文件進行監控，記錄新增文件以及服務器進出口流量；

分析系統的網絡流量特征，學習生成網絡連接白名單；

分析系統的網絡流量特征，以生成服務器正常運行時的流量閾值范圍；

分析所述服務器文件情況，以獲取新增文件所在的文件路徑。

其進一步技術方案為：所述對所述新增文件提取靜態文件特征，包括：

對所述新增文件所在的文件路徑進行計算靜態文件特征。

其進一步技術方案為：所述將所述靜態文件特征與靜態惡意特征庫進行匹配，以得到靜態匹配結果，包括:

判斷所述靜態文件特征是否是靜態惡意特征庫所包括的特征；

若所述靜態文件特征是靜態惡意特征庫所包括的特征，則確定所述新增文件為惡意代理軟件，以得到靜態匹配結果；

若所述靜態文件特征不是靜態惡意特征庫所包括的特征，則執行所述當執行所述新增文件時，提取所述新增文件的動態特征。