技術(shù)特征:1.一種識(shí)別惡意代碼弱口令入侵行為的方法,其特征在于��,包括:
獲取網(wǎng)絡(luò)通信行為中的網(wǎng)絡(luò)通信數(shù)據(jù)���,所述網(wǎng)絡(luò)通信數(shù)據(jù)包括通信IP����、通信端口���、通信內(nèi)容��;
對(duì)所述網(wǎng)絡(luò)通信數(shù)據(jù)進(jìn)行統(tǒng)計(jì)分類�����,產(chǎn)生統(tǒng)計(jì)分類數(shù)據(jù)�;
基于所述統(tǒng)計(jì)分類數(shù)據(jù),依據(jù)識(shí)別規(guī)則對(duì)惡意代碼中存在的弱口令入侵行為進(jìn)行識(shí)別����。
2.根據(jù)權(quán)利要求1所述的方法,其特征在于��,所述對(duì)網(wǎng)絡(luò)所述網(wǎng)絡(luò)通信數(shù)據(jù)進(jìn)行統(tǒng)計(jì)分類�,產(chǎn)生統(tǒng)計(jì)分類數(shù)據(jù),包括:
訪問(wèn)同一個(gè)IP時(shí)�,統(tǒng)計(jì)其對(duì)應(yīng)的端口的數(shù)量;
訪問(wèn)同一個(gè)端口時(shí)�,統(tǒng)計(jì)其對(duì)應(yīng)的IP的數(shù)量����;
發(fā)送的通信內(nèi)容中,統(tǒng)計(jì)包含的用戶名稱信息���;
發(fā)送的通信內(nèi)容中����,統(tǒng)計(jì)包含的登錄密碼類信息�。
3.根據(jù)權(quán)利要求1所述的方法,其特征在于��,所述識(shí)別規(guī)則包括以下任意兩項(xiàng):
任一個(gè)IP連接不少于一種服務(wù)端口;
同一端口的IP不少于5����;
發(fā)送的數(shù)據(jù)包含超級(jí)用戶、管理員用戶名稱信息���;
發(fā)送統(tǒng)計(jì)學(xué)常規(guī)密碼���。
4.根據(jù)權(quán)利要求1所述的方法,其特征在于���,包括:
對(duì)所述弱口令入侵行為的通信數(shù)據(jù)進(jìn)行統(tǒng)計(jì)分析�,獲取弱口令入侵行為的統(tǒng)計(jì)分析數(shù)據(jù)���。
5.根據(jù)權(quán)利要求4所述的方法��,其特征在于���,包括:
基于所述弱口令入侵行為的統(tǒng)計(jì)分析數(shù)據(jù)獲取所述弱口令入侵行為的情報(bào)數(shù)據(jù);
所述情報(bào)數(shù)據(jù)包括目標(biāo)端口�����、破解密碼、目標(biāo)設(shè)備�、目標(biāo)用戶的信息。
6.根據(jù)權(quán)利要求5所述的方法����,其特征在于,所述基于所述弱口令入侵行為的統(tǒng)計(jì)分析數(shù)據(jù)獲取所述弱口令入侵行為的情報(bào)數(shù)據(jù)���,包括:
提取在所述弱口令入侵行為的服務(wù)端口中出現(xiàn)的新被利用的端口�����;
提取和統(tǒng)計(jì)通信內(nèi)容中包含的密碼數(shù)據(jù)�����,獲取新被利用于弱口令入侵的破解密碼;
提取和統(tǒng)計(jì)被入侵的設(shè)備種類�,通過(guò)所述通信端口和通信內(nèi)容中包含的設(shè)備信息,判別目標(biāo)設(shè)備的類型�����;
提取被入侵的目標(biāo)用戶的IP地址信息����。
7.一種識(shí)別惡意代碼弱口令入侵行為的系統(tǒng)�����,其特征在于�,包括:
獲取模塊��,用于獲取網(wǎng)絡(luò)通信行為的網(wǎng)絡(luò)通信數(shù)據(jù)����,所述網(wǎng)絡(luò)通信數(shù)據(jù)包括通信IP、通信端口�、通信內(nèi)容;
統(tǒng)計(jì)分類模塊�����,用于對(duì)所述網(wǎng)絡(luò)通信數(shù)據(jù)進(jìn)行統(tǒng)計(jì)分類���,產(chǎn)生統(tǒng)計(jì)分類數(shù)據(jù)�;
識(shí)別模塊�����,用于基于所述統(tǒng)計(jì)分類數(shù)據(jù),依據(jù)識(shí)別規(guī)則對(duì)惡意代碼中存在的弱口令入侵行為進(jìn)行識(shí)別��。
8.根據(jù)權(quán)利要求7所述的系統(tǒng)��,其特征在于����,所述統(tǒng)計(jì)分類模塊:
用于訪問(wèn)同一個(gè)IP時(shí),統(tǒng)計(jì)其對(duì)應(yīng)的端口的數(shù)量��;
用于訪問(wèn)同一個(gè)端口時(shí)�����,統(tǒng)計(jì)其對(duì)應(yīng)的IP的數(shù)量�;
用于發(fā)送的通信內(nèi)容中,統(tǒng)計(jì)包含的用戶名稱信息�����;
用于發(fā)送的通信內(nèi)容中���,統(tǒng)計(jì)包含的登錄密碼類信息。
9.根據(jù)權(quán)利要求7所述的系統(tǒng),其特征在于�����,所述識(shí)別規(guī)則包括以下任意兩項(xiàng):
任一個(gè)IP連接不少于一種服務(wù)端口�;
同一端口的IP不少于5;
發(fā)送的數(shù)據(jù)包含超級(jí)用戶����、管理員用戶名稱信息;
發(fā)送統(tǒng)計(jì)學(xué)常規(guī)密碼����。
10.根據(jù)權(quán)利要求7所述的系統(tǒng),其特征在于�����,包括:
統(tǒng)計(jì)分析模塊�����,用于對(duì)所述弱口令入侵行為的通信數(shù)據(jù)進(jìn)行統(tǒng)計(jì)分析����,獲取弱口令入侵行為的統(tǒng)計(jì)分析數(shù)據(jù)��。
11.根據(jù)權(quán)利要求10所述的系統(tǒng)�,其特征在于���,包括:
情報(bào)收集模塊���,用于基于所述弱口令入侵行為的統(tǒng)計(jì)分析數(shù)據(jù)獲取所述弱口令入侵行為的情報(bào)數(shù)據(jù);
所述情報(bào)數(shù)據(jù)包括目標(biāo)端口����、破解密碼、目標(biāo)設(shè)備����、目標(biāo)用戶的信息。
12.根據(jù)權(quán)利要求11所述的系統(tǒng)����,其特征在于,所述情報(bào)收集模塊包括:
第一提取單元�����,用于提取在所述弱口令入侵行為的服務(wù)端口中出現(xiàn)的新被利用的端口�;
第二提取單元�,用于提取和統(tǒng)計(jì)通信內(nèi)容中包含的密碼數(shù)據(jù)����,獲取新被利用于弱口令入侵的破解密碼�����;
第三提取單元����,用于提取和統(tǒng)計(jì)被入侵的設(shè)備種類,通過(guò)所述通信端口和通信內(nèi)容中包含的設(shè)備信息���,判別目標(biāo)設(shè)備的類型���;
第四提取單元,用于提取被入侵的目標(biāo)用戶的IP地址信息����。