[发明专利]一种基于API调用序列提取控制端的方法及系统

说明书

本发明提出了一种基于API调用序列提取控制端的方法及系统，包括：对已知木马家族样本分类，并提取各木马家族的API调用日志，提取各木马家族样本的API调用序列；定位API调用序列中连接木马控制端IP端口时调用的API详情；分别提取各家族中的木马样本在连接控制端API之前，预设数量的关键API序列及参数，并提取通用序列；将提取的通用序列与未知样本的API序列匹配，若匹配成功，则提取未知样本尝试连接控制端的IP端口即为控制端。本发明还提出相应系统。通过本发明的技术方案，能够提取同一类型家族的木马控制端，节省了人工提取时间，且该方法不受其他联网、扫描和爆破攻击等网络噪音影响，提取的信息更加准确。

技术领域

本发明涉及网络安全领域，特别涉及一种基于API调用序列提取控制端的方法及系统。

背景技术

当前木马普遍存在加密配置或隐藏配置的行为，多数的通信数据是加密后的数据。在无法判断样本的具体黑白家族或变种，并且缺乏定位同一类型木马的通用方法的情况下，准确定位解密木马的控制端难度很大。另外动态网络连接信息包含大量的合法连接、扫描、入侵等IP、域名信息混杂，导致动态提取的网络数据也无法作为控制端信息使用。

发明内容

基于上述问题，本发明提出了一种基于API调用序列提取控制端的方法及系统，解决某个家族难以解密且动态噪音下无法精确获得控制端IP端口、域名的问题。

首先，本发明提出一种基于API调用序列提取控制端的方法，包括：

对已知木马家族样本分类，并提取各木马家族的API调用日志；

分别提取各木马家族样本的API调用序列；

定位API调用序列中连接木马控制端IP端口时调用的API详情；

分别提取各家族中的样本在连接木马控制端调用的API之前，预设数量的关键API序列及参数；

对比同一木马家族中木马样本的API序列及参数，提取通用序列；

将提取的通用序列与未知样本的API序列匹配，若匹配成功，则提取未知样本尝试连接控制端的IP端口即为控制端。

所述的方法中，所述对已知木马家族样本分类，并提取各木马家族的API调用日志，具体为：

对已知木马家族样本分类，获取样本实体；

通过API调用监控程序，批量提取各木马家族样本的API调用日志。

所述的方法中，所述连接木马控制端IP端口时调用的API详情，具体为：connect函数及其参数。

本发明还提出了一种基于API调用序列提取控制端的系统，包括：

日志提取模块，对已知木马家族样本分类，并提取各木马家族的API调用日志；

API序列提取模块，分别提取各木马家族样本的API调用序列；

控制端定位模块，定位API调用序列中连接木马控制端IP端口时调用的API详情；

关键API序列提取模块，分别提取各家族中的样本在连接木马控制端调用的API之前，预设数量的关键API序列及参数；

通用序列提取模块，对比同一木马家族中木马样本的API序列及参数，提取通用序列；

未知样本匹配模块，将提取的通用序列与未知样本的API序列匹配，若匹配成功，则提取未知样本尝试连接控制端的IP端口即为控制端。

所述的系统中，所述对已知木马家族样本分类，并提取各木马家族的API调用日志，具体为：

对已知木马家族样本分类，获取样本实体；