一种恶意代理软件检测的方法及其系统与流程

1.本发明涉及信息安全技术领域，更具体地说是指一种恶意代理软件检测的方法及其系统。


背景技术：

2.在黑客攻击过程中，成功攻入一台服务器之后的第一个动作往往是构建稳定的代理通道，为后续内网横向渗透做好网络准备。在构建代理通道时，往往会在服务器中传入相关恶意代理软件。
3.目前传统的识别恶意代理软件的方式是通过静态恶意软件指纹库，静态指纹库包含文件名、文件哈希等，当黑客传入的恶意代理软件位于其指纹库中时，则进行拦截，通过这种方式往往会造成漏报，当黑客针对性的修改恶意软件的静态指纹时，即可绕过传统的防御方法，造成严重的危害，因此，当前的恶意代理软件检测识别方法无法有效识别多变的恶意代理软件。
4.因此，有必要设计一种新的方法，实现有效识别多变的恶意代理软件。


技术实现要素：

5.本发明的目的在于克服现有技术的缺陷，提供一种恶意代理软件检测的方法及其系统。
6.为实现上述目的，本发明采用以下技术方案：一种恶意代理软件检测的方法，包括：对系统目录和文件进行监控，记录新增文件以及服务器进出口流量；对所述新增文件提取静态文件特征；将所述静态文件特征与静态恶意特征库进行匹配，以得到静态匹配结果；当执行所述新增文件时，提取所述新增文件的动态特征；将所述动态特征与动态恶意特征库进行匹配，以得到动态匹配结果；获取所述新增文件被执行后产生连接的服务器ip，且对所述服务器ip进行网络连接白名单的匹配，以得到名单匹配结果；获取所述新增文件被执行后的服务器进出口流量，并根据所述服务器进出口流量进行阈值判断，以得到判断结果；根据所述静态匹配结果、动态匹配结果、名单匹配结果以及判断结果确定所述新增文件是否是恶意代理软件，并进行异常告警。
7.其进一步技术方案为：所述对系统目录和文件进行监控，记录新增文件以及服务器进出口流量，包括：通过agent软件对系统目录和文件进行监控，记录新增文件以及服务器进出口流量；分析系统的网络流量特征，学习生成网络连接白名单；
分析系统的网络流量特征，以生成服务器正常运行时的流量阈值范围；分析所述服务器文件情况，以获取新增文件所在的文件路径。
8.其进一步技术方案为：所述对所述新增文件提取静态文件特征，包括：对所述新增文件所在的文件路径进行计算静态文件特征。
9.其进一步技术方案为：所述将所述静态文件特征与静态恶意特征库进行匹配，以得到静态匹配结果，包括:判断所述静态文件特征是否是静态恶意特征库所包括的特征；若所述静态文件特征是静态恶意特征库所包括的特征，则确定所述新增文件为恶意代理软件，以得到静态匹配结果；若所述静态文件特征不是静态恶意特征库所包括的特征，则执行所述当执行所述新增文件时，提取所述新增文件的动态特征。
10.其进一步技术方案为：所述动态特征包括所述新增文件被执行后所述连接的服务器ip以及域名。
11.其进一步技术方案为：所述将所述动态特征与动态恶意特征库进行匹配，以得到动态匹配结果，包括：判断所述动态特征是否是动态恶意特征库所包含的特征；若所述动态特征是动态恶意特征库所包含的特征，则确定所述新增文件为恶意代理软件，以得到动态匹配结果；若所述动态特征不是动态恶意特征库所包含的特征，则执行所述获取所述新增文件被执行后产生连接的服务器ip，且对所述服务器ip进行网络连接白名单的匹配，以得到名单匹配结果。
12.其进一步技术方案为：所述获取所述新增文件被执行后产生连接的服务器ip，且对所述服务器ip进行网络连接白名单的匹配，以得到名单匹配结果，包括：获取所述新增文件被执行后产生连接的服务器ip；判断所述服务器ip与所述网络连接白名单是否符合设定条件；若所述服务器ip与所述网络连接白名单符合设定条件，则确定所述新增文件为恶意代理软件，以得到名单匹配结果；若所述服务器ip与所述网络连接白名单不符合设定条件，则执行所述获取所述新增文件被执行后的服务器进出口流量，并根据所述服务器进出口流量进行阈值判断，以得到判断结果；其中，设定条件为超过一定数量的服务器ip不属于所述网络连接白名单所包括的服务器ip。
13.其进一步技术方案为：所述获取所述新增文件被执行后的服务器进出口流量，并根据所述服务器进出口流量进行阈值判断，以得到判断结果，包括：对所述新增文件被执行后的服务器进出口流量进行监控，以获取特定时间段内服务器进出口流量数值，以得到待判定数值；判断所述待判定数值是否在服务器正常运行时的流量阈值范围内；若所述待判定数值不在服务器正常运行时的流量阈值范围内，则确定所述新增文件为恶意代理软件，以得到判断结果；
若所述待判定数值在服务器正常运行时的流量阈值范围内，则确定所述新增文件为正常软件，以得到判断结果。
14.其进一步技术方案为：所述根据所述静态匹配结果、动态匹配结果、名单匹配结果以及判断结果确定所述新增文件是否是恶意代理软件，并进行异常告警，包括：当所述静态匹配结果、动态匹配结果、名单匹配结果以及判断结果中任一个是所述新增文件为恶意代理软件，则判定所述新增文件是恶意代理软件，并对所述新增文件进行拦截或异常告警。
15.本发明还提供了一种恶意代理软件检测的系统，包括：监控单元，用于对系统目录和文件进行监控，记录新增文件以及服务器进出口流量；静态特征提取单元，用于对所述新增文件提取静态文件特征；静态特征匹配单元，用于将所述静态文件特征与静态恶意特征库进行匹配，以得到静态匹配结果；动态特征提取单元，用于当执行所述新增文件时，提取所述新增文件的动态特征；动态特征匹配单元，用于将所述动态特征与动态恶意特征库进行匹配，以得到动态匹配结果；ip判断单元，用于获取所述新增文件被执行后产生连接的服务器ip，且对所述服务器ip进行网络连接白名单的匹配，以得到名单匹配结果；流量判断单元，用于获取所述新增文件被执行后的服务器进出口流量，并根据所述服务器进出口流量进行阈值判断，以得到判断结果；告警单元，用于根据所述静态匹配结果、动态匹配结果、名单匹配结果以及判断结果确定所述新增文件是否是恶意代理软件，并进行异常告警。
16.本发明与现有技术相比的有益效果是：本发明通过从静态文件特征、动态文件特征、将新增文件执行后的特定时间范围内的进出口流量值与正常服务器运行期间的流量阈值作判断、学习得到的网络连接白名单进行恶意代理软件判断，多个因素进行恶意代理软件的判定，实现有效识别多变的恶意代理软件，精准判别相关程序是否为恶意代理软件。
17.下面结合附图和具体实施例对本发明作进一步描述。
附图说明
18.为了更清楚地说明本发明实施例技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
19.图1为本发明实施例提供的一种恶意代理软件检测的方法的应用场景示意图；图2为本发明实施例提供的一种恶意代理软件检测的方法的流程示意图；图3为本发明实施例提供的一种恶意代理软件检测的方法的子流程示意图；图4为本发明实施例提供的一种恶意代理软件检测的方法的子流程示意图；图5为本发明实施例提供的一种恶意代理软件检测的方法的子流程示意图；图6为本发明实施例提供的一种恶意代理软件检测的方法的子流程示意图；图7为本发明实施例提供的一种恶意代理软件检测的方法的子流程示意图；
图8为本发明实施例提供的一种恶意代理软件检测的系统的示意性框图；图9为本发明实施例提供的一种恶意代理软件检测的系统的监控单元的示意性框图；图10为本发明实施例提供的一种恶意代理软件检测的系统的ip判断单元的示意性框图；图11为本发明实施例提供的一种恶意代理软件检测的系统的流量判断单元的示意性框图；图12为本发明实施例提供的计算机设备的示意性框图。
具体实施方式
20.下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
21.应当理解，当在本说明书和所附权利要求书中使用时，术语“包括”和“包含”指示所描述特征、整体、步骤、操作、元素和/或组件的存在，但并不排除一个或多个其它特征、整体、步骤、操作、元素、组件和/或其集合的存在或添加。
22.还应当理解，在此本发明说明书中所使用的术语仅仅是出于描述特定实施例的目的而并不意在限制本发明。如在本发明说明书和所附权利要求书中所使用的那样，除非上下文清楚地指明其它情况，否则单数形式的“一”、“一个”及“该”意在包括复数形式。
23.还应当进一步理解，在本发明说明书和所附权利要求书中使用的术语“和/ 或”是指相关联列出的项中的一个或多个的任何组合以及所有可能组合，并且包括这些组合。
24.请参阅图1和图2，图1为本发明实施例提供的一种恶意代理软件检测的方法的应用场景示意图。图2为本发明实施例提供的一种恶意代理软件检测的方法的示意性流程图。该一种恶意代理软件检测的方法应用于服务器中。该服务器与终端进行数据交互，服务器对新增文件进行恶意代理软件的判定，并根据判定结果进行新增文件的处理，当出现恶意代理软件时，会反馈告警信息至终端，以起到提醒作用。
25.图2是本发明实施例提供的一种恶意代理软件检测的方法的流程示意图。如图2所示，该方法包括以下步骤s110至s180。
26.s110、对系统目录和文件进行监控，记录新增文件以及服务器进出口流量。
27.在本实施例中，监控全系统目录或特定文件目录，获取被监控目录的新增文件，同时对服务器主机的进出口流量进行检测，服务器的进出口流量是指网络流量的情况。
28.在一实施例中，请参阅图3，上述的步骤s110可包括步骤s111~s114。
29.s111、通过agent软件对系统目录和文件进行监控，记录新增文件以及服务器进出口流量。
30.通过在被监控的服务器主机上安装agent软件实现，监控全系统目录或特定文件目录，获取被监控目录的新增文件，同时对服务器主机的进出口流量进行检测。
31.s112、分析系统的网络流量特征，学习生成网络连接白名单。
32.在本实施例中，网络连接白名单是指允许进行网络连接的服务器ip和端口。通过
网络连接白名单学习确定服务器正常连接的机器清单。
33.通过网络连接白名单共识比较算法w得到常规进出口流量阈值范围以及通信的服务器ip和端口，用于后续对新增文件是否为恶意代理软件进行判定。w{（un，n，t）}；针对网络连接白名单共识比较算法w，w{（un,n，t）}，t为时间，默认为7天，可人工设定；n为指定的阈值，默认为3，可人工设定；u
dn
为在时间t对该主机连接ip和端口次数统计集合u
dn
{u1,u2,u3...un}。
34.网络连接白名单共识比较算法w将连接服务器ip和端口次数统计集合u
dn
{u1,u2,u3...un}的每一个元素un和n做比较，当unn时，则w{（un,n，t）}=1，认为该连接的服务器ip和端口符合共识机制判定，对应服务器ip和端口为网络正常连接，将un对应的服务器ip和端口放入该监控主机的网络连接集合w
dx
，最终通过共识判定机制得到w
dn
（(x1,y1),(x2,y2)...(xn,yn)），其中x，y分别代表服务器ip和端口，由此构成网络连接白名单w
dn
（(x1,y1),(x2,y2)...(xn,yn)），网络连接白名单包括若干个网络正常连接的服务器ip和端口。
35.s113、分析系统的网络流量特征，以生成服务器正常运行时的流量阈值范围。
36.具体地，分析网络流量特征，生成服务器正常运行下24小时的流量阈值范围m。
37.s114、分析所述服务器文件情况，以获取新增文件所在的文件路径。
38.在本实施例中，可以由服务器文件确定新增文件，再根据新增文件确定其所在的文件路径，以便于后续提取对应的特征。
39.s120、对所述新增文件提取静态文件特征。
40.在本实施例中，静态文件特征是指文件路径所对应的哈希值等。
41.对所述新增文件所在的文件路径进行计算静态文件特征。具体地，进行新增文件的静态文件特征计算，y
fx
{（a）}，其中a为新增文件所在的文件路径，通过y
fx
生成新增文件的静态特征，如hash值。
42.s130、将所述静态文件特征与静态恶意特征库进行匹配，以得到静态匹配结果。
43.在本实施例中，静态匹配结果是指静态文件特征是否与静态恶意特征库内的某一个数值相同的结果。
44.在一实施例中，请参阅图4，上述的步骤s130可包括步骤s131~s132。
45.s131、判断所述静态文件特征是否是静态恶意特征库所包括的特征；s132、若所述静态文件特征是静态恶意特征库所包括的特征，则确定所述新增文件为恶意代理软件，以得到静态匹配结果；若所述静态文件特征不是静态恶意特征库所包括的特征，则执行所述步骤s140；。
46.进行静态恶意特征库匹配时存在匹配算法，该算法将新增文件的静态文件特征与静态恶意特征库进行匹配，从静态文件特征维度判断新增文件是否为恶意代理软件。
47.设置已知静态的恶意特征库r(r1,r2,r3...rn)，其中r1...rn为已收集到的恶意代理软件的hash值；静态特征匹配算法w
f1
{(y
fx
，r(r1,r2,r3...rn))}，当y
fx
r(r1,r2,r3...rn)时，则w
f1
{(y
fx
，r(r1,r2,r3...rn))} = 1；反之则w
f1
{(y
fx
，r(r1,r2,r3...rn))}=0。
48.静态特征匹配算法w
f1
{(y
fx
，r(r1,r2,r3...rn))}将对新增文件计算得到的hash值yfx与已知的恶意特征库r(r1,r2,r3...rn)做比较，由此确定新增文件的属性。
49.s140、当执行所述新增文件时，提取所述新增文件的动态特征。
50.在本实施例中，所述动态特征包括所述新增文件被执行后所述连接的服务器ip以及域名，用于后续动态特征库匹配判断。
51.获取新增文件的ip、域名特征，t
fx
{（a）}，其中a为新增文件所在的文件路径，t
fx
为新增文件执行后关联的服务器ip及域名。
52.s150、将所述动态特征与动态恶意特征库进行匹配，以得到动态匹配结果。
53.在本实施例中，动态匹配结果是指新增文件的动态特征是否与动态恶意特征库内的某一内容相同。
54.在一实施例中，请参阅图6，上述的步骤s150可包括步骤s151~s152。
55.s151、判断所述动态特征是否是动态恶意特征库所包含的特征；s152、若所述动态特征是动态恶意特征库所包含的特征，则确定所述新增文件为恶意代理软件，以得到动态匹配结果；若所述动态特征不是动态恶意特征库所包含的特征，则执行所述步骤s160。
56.进行动态匹配时存在匹配算法，该算法将新增文件的动态特征与动态恶意特征库进行匹配，从动态文件特征维度判断新增文件是否为恶意代理软件。
57.设置已知的动态恶意软件特征库p(p1，p2，p3...pn)，其中p1，p2，p3...pn为通过威胁情报等途径获取到的恶意服务器ip、域名地址集合；将动态特征以及动态恶意特征库进行算法匹配，w
f2
{(t
fx
，p(p1,p2,p3...pn))}；当t
fx
p(p1，p2，p3...pn)时，则w
f2
{(t
fx
，p(p1，p2，p3...pn))}=1，反之则w
f2
{(tfx, p(p1，p2，p3...pn))}=0。
58.动态特征匹配算法为w
f2
算法，将对新增文件的执行结果分析得到的特征t
fx
与已知的恶意动态特征库p(p1，p2，p3...pn)做比较。
59.s160、获取所述新增文件被执行后产生连接的服务器ip，且对所述服务器ip进行网络连接白名单的匹配，以得到名单匹配结果。
60.在本实施例中，名单匹配结果是指所述新增文件被执行后的服务器ip是否属于网络连接白名单中的一个。在恶意代理软件运行过程中，其攻击者的主要目的在于对代理网络内部探测以便于进一步攻击利用。在这一过程中，恶意代理软件必然会产生对内部网络产生大量的无序的网络连接。而正常服务器其通信的网络大致是固定的。
61.在一实施例中，请参阅图7，上述的步骤s160可包括步骤s161~s163。
62.s161、获取所述新增文件被执行后产生连接的服务器ip；s162、判断所述服务器ip与所述网络连接白名单是否符合设定条件；s163、若所述服务器ip与所述网络连接白名单符合设定条件，则确定所述新增文件为恶意代理软件，以得到名单匹配结果；若所述服务器ip与所述网络连接白名单不符合设定条件，则执行所述步骤s170；其中，设定条件为超过一定数量的服务器ip不属于所述网络连接白名单所包括的服务器ip。
63.获取上述的步骤s140中新增文件执行后连接的动态特征t
fx
，由此得到服务器ip，对该服务器ip做网络连接比较，判断新增文件被执行后连接的服务器ip存在异常，此过程存在异常比较算法w
f3
{(t
fx
，w
dn
（(x1,y1),(x2,y2)...(xn,yn)）}当有超过k（t
fx
）w
dn
（(x1，y1)，(x2，y2)...(xn，yn)），其中k为一定值，可任意指
定，默认为1/2，也就是一定量的动态特征t
fx
都不属于网络连接白名单内，则w
f3
{(t
fx
，wdn（(x1,y1),(x2,y2)...(xn,yn)）}=1，反之w
f3
{(t
fx
，wdn（(x1,y1),(x2,y2)...(xn,yn)）}=0。
64.白名单匹配算法为w
f3
算法，将对新增文件的执行结果分析得到的特征tfx与网络连接白名单w
dn
做比较。
65.s170、获取所述新增文件被执行后的服务器进出口流量，并根据所述服务器进出口流量进行阈值判断，以得到判断结果。
66.在本实施例中，判断结果是指所述新增文件被执行后的服务器进出口流量是否落在服务器正常运行时的流量阈值范围内。
67.在一实施例中，请参阅图7，上述的步骤s170可包括步骤s171~s174。
68.s171、对所述新增文件被执行后的服务器进出口流量进行监控，以获取特定时间段内服务器进出口流量数值，以得到待判定数值。
69.在本实施例中，待判定数值是指所述新增文件被执行后的特定时间段内服务器的进出口流量数值。
70.具体地，新增文件后进出口流量监控计算，采用算法m
fx
{(t，a)}进行监控，其中t代表时间，a代表新增文件的路径，m
fx
代表在新增文件被执行后的t时间内的进出口流量值，一般t为24小时。流量监控算法m
fx
{(t，a)}在新增文件持续运行特定时间范围之内，计算服务器主机在这段时间内的进出口流量值。该监控算法也会统计得出不存在新增文件时，该服务器主机的进出口流量范围。存在判断算法，判断新增文件后的流量值是否在正常流量范围之内。通过步骤agent软件，监控服务器主机上的进出口流量，可以得到当没有新增文件时，服务器正常运行时的流量阈值范围为ms172、判断所述待判定数值是否在服务器正常运行时的流量阈值范围内；s173、若所述待判定数值不在服务器正常运行时的流量阈值范围内，则确定所述新增文件为恶意代理软件，以得到判断结果；s174、若所述待判定数值在服务器正常运行时的流量阈值范围内，则确定所述新增文件为正常软件，以得到判断结果。
71.采用流量异常判断算法w
f4
{(m
fx
，m)}将待判定数值m
fx
与服务器正常运行时的流量阈值范围m进行异常判断，当m
fx
m时，则w
f4
{(m
fx
，m)}=1，反之则w
f4
{(m
fx
，m)}= 0s180、根据所述静态匹配结果、动态匹配结果、名单匹配结果以及判断结果确定所述新增文件是否是恶意代理软件，并进行异常告警。
72.对于w
f1
、w
f2
、w
f3
、w
f4
，等于1的那一项结果是所述新增文件是恶意代理软件，等于0的那一项结果是所述新增文件是正常软件，若w
f1
、w
f2
、w
f3
、w
f4
有任意一项为1，则判断该新增文件为恶意的代理软件，反之wf1，wf2，wf3，wf4均为0，则该新增文件为正常文件。
73.具体地，当所述静态匹配结果、动态匹配结果、名单匹配结果以及判断结果中任一个是所述新增文件为恶意代理软件，则判定所述新增文件是恶意代理软件，并对所述新增文件进行拦截或异常告警。当所述静态匹配结果、动态匹配结果、名单匹配结果以及判断结果中每一个都是所述新增文件为正常文件，则进入结束步骤。
74.通过客户端程序监控服务器主机上新增文件的路径，同时统计在特定时间范围内的服务器进出口流量数据，根据获取到的新增文件的路径，提取新文件的静态特征和动态特征，静态特征如hash值，动态特征如新增文件执行后连接的远程服务器ip及域名。将提取
到的动静态特征与已知的恶意动静态特征库进行恶意代理软禁匹配，判定是否为恶意代理软件。除此之外，会统计在新增文件执行后的特定时间范围内的进出口流量值，并与正常服务器运行期间的流量阈值作判断，根据流量阈值判断、动静态特征匹配判断多个因素输出是否为恶意代理软件的结果，最终根据输出结果进行相应的文件处理，如告警、删除、拦截等。在恶意代理软件运行的事前、事中、事后全运行阶段，通过对恶意代理软件的操作行为、数据流量进行分析，根据已知静态恶意特征库、动态恶意文件特征以及学习得到的网络连接白名单进行恶意代理软件判断，从而精准判别相关程序是否为恶意代理软件。
75.举个例子：用户服务器系统为windows server，共有c、d、e三个盘符，服务器ip为192.168.1.1。上面安装有sql server数据库，数据库开放端口为1433，客户端agent安装在该系统上，采用本实施例的方法对恶意代理软件检测。
76.实际例子中用户未自定义参数，因此相关算法均采用默认值，其中共识比较算法w对应参数t默认为7天，n默认为3；新增文件后进出口流量监控m
fx
，t默认为24小时。
77.对服务器进行监控，监控范围包括特定文件目录、网络流量通信等。在实际例子中，监控目录为d:\data\，该目录数据库数据文件目录；通过监控服务器的网络流量包，分析网络流量特征，学习生成网络连接白名单。在流量包中，应能提取如下记录：2021.7.1 12:00 192.168.1.1:1433 连接192.168.1.2:3333；2021.7.1 12:01 192.168.1.1:1433 连接192.168.1.5:4444；2021.7.2 12:07 192.168.1.1:1433 连接192.168.1.5:4444；2021.7.2 12:07 192.168.1.1:1433 连接192.168.1.2:4444；2021.7.3 12:07 192.168.1.1:1433 连接192.168.1.4:4444；2021.7.4 12:07 192.168.1.1:1433 连接192.168.1.4:4444；2021.7.5 12:07 192.168.1.1:1433 连接192.168.1.4:4444；2021.7.6 12:07 192.168.1.1:1433 连接192.168.1.5:4444；2021.7.7 12:07 192.168.1.1:1433 连接192.168.1.5:4444；
……
从记录可知，根据共识比较算法，w{（un,n，t）}，t为7天，阈值n为3，从记录中可获得7天内该主机和端口的连接次数统计u1(192.168.1.2,3333)=1,u2（192.168.1.5，4444）=4，u3(192.168.1.4,4444)=3。所以集合u
d3
{u1,u2,u3}。当unn,即un3时，将un对应的服务器ip和端口放入该监控主机的网络连接集合w
dn
（(x1,y1),(x2,y2)...(xn,yn)），则有w
d2
（(192.168.1.5,4444)，(192.168.1.4,4444)）。
78.通过监控服务器网络流量包，统计在24小时内的通信流量包大小，即流量阈值范围m,如通过监控可知，24小时内该服务器通信数据流量共200mb。因此流量阈值0mb<m<200mb。
79.通过实时监控，记录系统在文件目录的操作行为，监控的指标有：操作时间、操作应用、操作行为、生成文件路径。则监控格式如：12:00 sqlserver.exe 新增 d:\data\1.exe文件。在常规的监控中，会发现被监控目录存在多条新增文件的记录。
80.对新增文件进行静态特征提取；根据上述记录结果，得到新增文件的文件路径a=d:\data\1.exe；进行新增文件的静态文件特征计算y
fx
{（a）}，这里a=d:\data\1.exe，通过y
fx
生成新增文件的静态特征即hash值，本例中使用md5值，该新增文件的md5值为202cb962
ac59075b964b07152d234b70。
81.静态恶意特征库匹配过程：采用静态特征匹配算法w
f1
{(y
fx
，r(r1,r2,r3...rn))}进行静态特征匹配，其中恶意静态库r(r1,r2,r3...rn)，r1...rn为已收集到的恶意代理软件的md5值，在本实例中为r(202cb962ac59075b964b07152d234b70, 81dc9bdb52d04dc20036dbd8313ed055，827ccb0eea8a706c4c34a16891f84e7b)，当该新增文件的md5值位于r时，即当y
fx
r(r1,r2,r3...rn)时，则w
f1
{(y
fx
，r(r1,r2,r3...rn))}=1，反之则w
f1
{(y
fx
，r(r1,r2,r3...rn))} = 0。这里由于该新增文件的md5值202cb962ac59075b964b07152d234b70在r中，则w
f1
{(yfx,r(r1,r2,r3...rn))} = 1，由此判断d:\data\1.exe文件为恶意代理软件。
82.对动态文件特征进行提取，当d:\data\1.exe应用被调用执行，监控新增文件，获取新增文件的服务器ip，t
fx
{（a）}，其中a=d:\data\1.exe，通过监控，若该文件与外界服务器进行连接通信，应能监控获取到相关的服务器ip和端口。如（116.116.116.116，3333），在本实例中，t
fx
{（a）}=（116.116.116.116，112.112.112.112），进行动态特意特征库匹配，依据t
fx
{（a）}=（116.116.116.116，112.112.112.112）与已知的动态恶意特征库匹配。其中动态恶意特征库匹配算法，w
f2
{(t
fx
，p(p1,p2,p3...pn))}，p(p1,p2,p3...pn)为已知的动态恶意软件特征库，其中p1,p2,p3...pn为通过威胁情报等途径获取到的恶意服务器ip集合。在本实例中，p(116.116.116.116,115.115.115.115,114.114.114.114)。当t
fx
p(p1,p2,p3...pn)时，则w
f2
{(t
fx
, p(p1,p2,p3...pn))}=1，反之则w
f2
{(t
fx
, p(p1,p2,p3...pn))}=0。这里由于t
fx
{（a）}=（116.116.116.116，112.112.112.112），且116.116.116.116在p(116.116.116.116,115.115.115.115,114.114.114.114)中，所以w
f2
{(t
fx
, p(p1,p2,p3...pn))} = 1，由此判定d:\data\1.exe文件为恶意代理软件。
83.进行网络连接白名单判断，获取网络连接白名单w
d2
（(192.168.1.5,4444)，(192.168.1.4,4444)）；获取新增文件执行后连接的服务器ip，t
fx
{（a）}=（116.116.116.116，112.112.112.112）；采用异常比较算法wf3{(t
fx
，w
dn
（(x1,y1),(x2,y2)...(xn,yn)）}进行网络连接异常比较，判断新增文件执行后连接的ip是否存在异常，当有超过k（t
fx
）w
dn
（(x1,y1),(x2,y2)...(xn,yn)），这里k为1/2，则w
f3
{(t
fx
，w
dn
（(x1,y1),(x2,y2)...(xn,yn)）}=1，反之w
f3
{(tfx，w
dn
（(x1,y1),(x2,y2)...(xn,yn)）}=0。由于tfx{（a）}=（116.116.116.116，112.112.112.112）即116.116.116.116，112.112.112.112均不在w
d2
（(192.168.1.5,4444)，(192.168.1.4,4444)）中，实际k=1>1/2,因此w
f3
{(t
fx
，w
dn
（(x1,y1),(x2,y2)...(xn,yn)）}=1，由此判定d:\data\1.exe文件为恶意代理软件。
84.进行服务器流量阈值判断，在新增文件执行后，监控相关进出口流量数值。
85.新增文件后进出口流量监控计算，m
fx
{(t，a)}，其中t代表时间，默认为24小时，a为新增文件的路径，即a=d:\data\1.exe, mfx代表在新增文件a后的t时间内的进出口流量值。根据监控情况，可得到在新增文件执行后的24小时的流量值,在本实例中，m
fx
=500mb。将流量值m
fx
与正常流量范围m进行异常判断。其中正常流量范围m为：0mb<m<=200mb，采用流量异常判断算法w
f4
{(m
fx
，m)}进行判断，当m
fx
m时，则w
f4
{(mfx，m)}=1，反之则w
f4
{(mfx，m)}=0。由于m
fx
=500mb，m200mb，因此m
fx
m，则w
f4
{(m
fx
，m)}=1，由此判定d:\data\1.exe文件为恶意代理软件，对判定为恶意代理软件的新增文件进行告警或者拦截。
86.上述的一种恶意代理软件检测的方法，通过从静态文件特征、动态文件特征、将新增文件执行后的特定时间范围内的进出口流量值与正常服务器运行期间的流量阈值作判
断、学习得到的网络连接白名单进行恶意代理软件判断，多个因素进行恶意代理软件的判定，实现有效识别多变的恶意代理软件，精准判别相关程序是否为恶意代理软件。
87.图8是本发明实施例提供的一种恶意代理软件检测的系统300的示意性框图。如图8所示，对应于以上一种恶意代理软件检测的方法，本发明还提供一种恶意代理软件检测的系统300。该一种恶意代理软件检测的系统300包括用于执行上述一种恶意代理软件检测的方法的单元，该系统可以被配置于服务器中。具体地，请参阅图8，该恶意代理软件检测的系统包括监控单元301、静态特征提取单元302、静态特征匹配单元303、动态特征提取单元304、动态特征匹配单元305、ip判断单元306、流量判断单元307以及告警单元308。
88.监控单元301，用于对系统目录和文件进行监控，记录新增文件以及服务器进出口流量；静态特征提取单元302，用于对所述新增文件提取静态文件特征；静态特征匹配单元303，用于将所述静态文件特征与静态恶意特征库进行匹配，以得到静态匹配结果；动态特征提取单元304，用于当执行所述新增文件时，提取所述新增文件的动态特征；动态特征匹配单元305，用于将所述动态特征与动态恶意特征库进行匹配，以得到动态匹配结果；ip判断单元306，用于获取所述新增文件被执行后产生连接的服务器ip，且对所述服务器ip进行网络连接白名单的匹配，以得到名单匹配结果；流量判断单元307，用于获取所述新增文件被执行后的服务器进出口流量，并根据所述服务器进出口流量进行阈值判断，以得到判断结果；告警单元308，用于根据所述静态匹配结果、动态匹配结果、名单匹配结果以及判断结果确定所述新增文件是否是恶意代理软件，并进行异常告警。
89.在一实施例中，如图9所示，所述监控单元301包括记录子单元3011、第一分析子单元3012、第二分析子单元3013以及第三分析子单元3014。
90.记录子单元3011，用于通过agent软件对系统目录和文件进行监控，记录新增文件以及服务器进出口流量；第一分析子单元3012，用于分析系统的网络流量特征，学习生成网络连接白名单；第二分析子单元3013，用于分析系统的网络流量特征，以生成服务器正常运行时的流量阈值范围；第三分析子单元3014，用于分析所述服务器文件情况，以获取新增文件所在的文件路径。
91.在一实施例中，所述静态特征提取单元302，用于对所述新增文件所在的文件路径进行计算静态文件特征。
92.在一实施例中，所述静态特征匹配单元303用于判断所述静态文件特征是否是静态恶意特征库所包括的特征；用于若所述静态文件特征是静态恶意特征库所包括的特征，则确定所述新增文件为恶意代理软件，以得到静态匹配结果；若所述静态文件特征不是静态恶意特征库所包括的特征，则执行所述当执行所述新增文件时，提取所述新增文件的动态特征。
93.在一实施例中，所述动态特征匹配单元305用于判断所述动态特征是否是动态恶意特征库所包含的特征；若所述动态特征是动态恶意特征库所包含的特征，则确定所述新增文件为恶意代理软件，以得到动态匹配结果；若所述动态特征不是动态恶意特征库所包含的特征，则执行所述获取所述新增文件被执行后产生连接的服务器ip，且对所述服务器ip进行网络连接白名单的匹配，以得到名单匹配结果。
94.在一实施例中，如图10所示，所述ip判断单元306包括ip获取子单元3061、名单判断子单元3062。
95.ip获取子单元3061，用于获取所述新增文件被执行后产生连接的服务器ip；名单判断子单元3062，用于判断所述服务器ip与所述网络连接白名单是否符合设定条件；若所述服务器ip与所述网络连接白名单符合设定条件，则确定所述新增文件为恶意代理软件，以得到名单匹配结果；若所述服务器ip与所述网络连接白名单不符合设定条件，则执行所述获取所述新增文件被执行后的服务器进出口流量，并根据所述服务器进出口流量进行阈值判断，以得到判断结果；在一实施例中，如图11所示，所述流量判断单元307包括流量获取子单元3071、数值判断子单元3072。
96.流量获取子单元3071，用于对所述新增文件被执行后的服务器进出口流量进行监控，以获取特定时间段内服务器进出口流量数值，以得到待判定数值；数值判断子单元3072，用于判断所述待判定数值是否在服务器正常运行时的流量阈值范围内；若所述待判定数值不在服务器正常运行时的流量阈值范围内，则确定所述新增文件为恶意代理软件，以得到判断结果；若所述待判定数值在服务器正常运行时的流量阈值范围内，则确定所述新增文件为正常软件，以得到判断结果。
97.在一实施例中，所述告警单元308，用于当所述静态匹配结果、动态匹配结果、名单匹配结果以及判断结果中任一个是所述新增文件为恶意代理软件，则判定所述新增文件是恶意代理软件，并对所述新增文件进行拦截或异常告警。
98.需要说明的是，所属领域的技术人员可以清楚地了解到，上述一种恶意代理软件检测的系统300和各单元的具体实现过程，可以参考前述方法实施例中的相应描述，为了描述的方便和简洁，在此不再赘述。
99.上述一种恶意代理软件检测的系统300可以实现为一种计算机程序的形式，该计算机程序可以在如图12所示的计算机设备上运行。
100.请参阅图12，图12是本技术实施例提供的一种计算机设备的示意性框图。该计算机设备500是服务器，其中，服务器可以是独立的服务器，也可以是多个服务器组成的服务器集群。
101.参阅图12，该计算机设备500包括通过系统总线501连接的处理器502、存储器和网络接口505，其中，存储器可以包括非易失性存储介质503和内存储器504。
102.该非易失性存储介质503可存储操作系统5031和计算机程序5032。该计算机程序5032包括程序指令，该程序指令被执行时，可使得处理器502执行一种一种恶意代理软件检测的方法。
103.该处理器502用于提供计算和控制能力，以支撑整个计算机设备500的运行。
104.该内存储器504为非易失性存储介质503中的计算机程序5032的运行提供环境，该计算机程序5032被处理器502执行时，可使得处理器502执行一种一种恶意代理软件检测的方法。
105.该网络接口505用于与其它设备进行网络通信。本领域技术人员可以理解，图12中示出的结构，仅仅是与本技术方案相关的部分结构的框图，并不构成对本技术方案所应用于其上的计算机设备500的限定，具体的计算机设备500可以包括比图中所示更多或更少的部件，或者组合某些部件，或者具有不同的部件布置。
106.其中，所述处理器502用于运行存储在存储器中的计算机程序5032，以实现如下步
骤：对系统目录和文件进行监控，记录新增文件以及服务器进出口流量；对所述新增文件提取静态文件特征；将所述静态文件特征与静态恶意特征库进行匹配，以得到静态匹配结果；当执行所述新增文件时，提取所述新增文件的动态特征；将所述动态特征与动态恶意特征库进行匹配，以得到动态匹配结果；获取所述新增文件被执行后产生连接的服务器ip，且对所述服务器ip进行网络连接白名单的匹配，以得到名单匹配结果；获取所述新增文件被执行后的服务器进出口流量，并根据所述服务器进出口流量进行阈值判断，以得到判断结果；根据所述静态匹配结果、动态匹配结果、名单匹配结果以及判断结果确定所述新增文件是否是恶意代理软件，并进行异常告警。
107.其中，所述动态特征包括所述新增文件被执行后所述连接的服务器ip以及域名。
108.在一实施例中，处理器502在实现所述对系统目录和文件进行监控，记录新增文件以及服务器进出口流量步骤时，具体实现如下步骤：通过agent软件对系统目录和文件进行监控，记录新增文件以及服务器进出口流量；分析系统的网络流量特征，学习生成网络连接白名单；分析系统的网络流量特征，以生成服务器正常运行时的流量阈值范围；分析所述服务器文件情况，以获取新增文件所在的文件路径。
109.在一实施例中，处理器502在实现所述对所述新增文件提取静态文件特征步骤时，具体实现如下步骤：对所述新增文件所在的文件路径进行计算静态文件特征。
110.在一实施例中，处理器502在实现所述将所述静态文件特征与静态恶意特征库进行匹配，以得到静态匹配结果步骤时，具体实现如下步骤：判断所述静态文件特征是否是静态恶意特征库所包括的特征；若所述静态文件特征是静态恶意特征库所包括的特征，则确定所述新增文件为恶意代理软件，以得到静态匹配结果；若所述静态文件特征不是静态恶意特征库所包括的特征，则执行所述当执行所述新增文件时，提取所述新增文件的动态特征。在一实施例中，处理器502在实现所述将所述动态特征与动态恶意特征库进行匹配，以得到动态匹配结果步骤时，具体实现如下步骤：判断所述动态特征是否是动态恶意特征库所包含的特征；若所述动态特征是动态恶意特征库所包含的特征，则确定所述新增文件为恶意代理软件，以得到动态匹配结果；若所述动态特征不是动态恶意特征库所包含的特征，则执行所述获取所述新增文件被执行后产生连接的服务器ip，且对所述服务器ip进行网络连接白名单的匹配，以得到名单匹配结果。
111.在一实施例中，处理器502在实现所述获取所述新增文件被执行后产生连接的服务器ip，且对所述服务器ip进行网络连接白名单的匹配，以得到名单匹配结果步骤时，具体实现如下步骤：获取所述新增文件被执行后产生连接的服务器ip；判断所述服务器ip与所述网络连接白名单是否符合设定条件；若所述服务器ip与所述网络连接白名单符合设定条件，则确定所述新增文件为恶意代理软件，以得到名单匹配结果；若所述服务器ip与所述网络连接白名单不符合设定条件，则执行所述获取所述新增文件被执行后的服务器进出口流量，并根据所述服务器进出口流量进行阈值判断，以得到判断结果；
其中，设定条件为超过一定数量的服务器ip不属于所述网络连接白名单所包括的服务器ip。
112.在一实施例中，处理器502在实现所述获取所述新增文件被执行后的服务器进出口流量，并根据所述服务器进出口流量进行阈值判断，以得到判断结果步骤时，具体实现如下步骤：对所述新增文件被执行后的服务器进出口流量进行监控，以获取特定时间段内服务器进出口流量数值，以得到待判定数值；判断所述待判定数值是否在服务器正常运行时的流量阈值范围内；若所述待判定数值不在服务器正常运行时的流量阈值范围内，则确定所述新增文件为恶意代理软件，以得到判断结果；若所述待判定数值在服务器正常运行时的流量阈值范围内，则确定所述新增文件为正常软件，以得到判断结果。
113.在一实施例中，处理器502在实现所述根据所述静态匹配结果、动态匹配结果、名单匹配结果以及判断结果确定所述新增文件是否是恶意代理软件，并进行异常告警步骤时，具体实现如下步骤：当所述静态匹配结果、动态匹配结果、名单匹配结果以及判断结果中任一个是所述新增文件为恶意代理软件，则判定所述新增文件是恶意代理软件，并对所述新增文件进行拦截或异常告警。
114.应当理解，在本技术实施例中，处理器502可以是中央处理单元 (central processing unit，cpu)，该处理器502还可以是其他通用处理器、数字信号处理器 (digital signal processor，dsp)、专用集成电路 (application specific integrated circuit，asic)、现成可编程门阵列 (field
‑
programmable gate array，fpga) 或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。其中，通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
115.本领域普通技术人员可以理解的是实现上述实施例的方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成。该计算机程序包括程序指令，计算机程序可存储于一存储介质中，该存储介质为计算机可读存储介质。该程序指令被该计算机系统中的至少一个处理器执行，以实现上述方法的实施例的流程步骤。
116.因此，本发明还提供一种存储介质。该存储介质可以为计算机可读存储介质。该存储介质存储有计算机程序，其中该计算机程序被处理器执行时使处理器执行如下步骤：对系统目录和文件进行监控，记录新增文件以及服务器进出口流量；对所述新增文件提取静态文件特征；将所述静态文件特征与静态恶意特征库进行匹配，以得到静态匹配结果；当执行所述新增文件时，提取所述新增文件的动态特征；将所述动态特征与动态恶意特征库进行匹配，以得到动态匹配结果；获取所述新增文件被执行后产生连接的服务器ip，且对所述服务器ip进行网络连接白名单的匹配，以得到名单匹配结果；获取所述新增文件被执行后的服务器进出口流量，并根据所述服务器进出口流量进行阈值判断，以得到判断结果；根据所述静态匹配结果、动态匹配结果、名单匹配结果以及判断结果确定所述新增文件是否是恶意代理软件，并进行异常告警。
117.其中，所述动态特征包括所述新增文件被执行后所述连接的服务器ip以及域名。
118.在一实施例中，所述处理器在执行所述计算机程序而实现所述对系统目录和文件进行监控，记录新增文件以及服务器进出口流量步骤时，具体实现如下步骤：
通过agent软件对系统目录和文件进行监控，记录新增文件以及服务器进出口流量；分析系统的网络流量特征，学习生成网络连接白名单；分析系统的网络流量特征，以生成服务器正常运行时的流量阈值范围；分析所述服务器文件情况，以获取新增文件所在的文件路径。
119.在一实施例中，所述处理器在执行所述计算机程序而实现所述对所述新增文件提取静态文件特征步骤时，具体实现如下步骤：对所述新增文件所在的文件路径进行计算静态文件特征。
120.在一实施例中，所述处理器在执行所述计算机程序而实现所述将所述静态文件特征与静态恶意特征库进行匹配，以得到静态匹配结果步骤时，具体实现如下步骤：判断所述静态文件特征是否是静态恶意特征库所包括的特征；若所述静态文件特征是静态恶意特征库所包括的特征，则确定所述新增文件为恶意代理软件，以得到静态匹配结果；若所述静态文件特征不是静态恶意特征库所包括的特征，则执行所述当执行所述新增文件时，提取所述新增文件的动态特征。
121.在一实施例中，所述处理器在执行所述计算机程序而实现所述将所述动态特征与动态恶意特征库进行匹配，以得到动态匹配结果步骤时，具体实现如下步骤：判断所述动态特征是否是动态恶意特征库所包含的特征；若所述动态特征是动态恶意特征库所包含的特征，则确定所述新增文件为恶意代理软件，以得到动态匹配结果；若所述动态特征不是动态恶意特征库所包含的特征，则执行所述获取所述新增文件被执行后产生连接的服务器ip，且对所述服务器ip进行网络连接白名单的匹配，以得到名单匹配结果。
122.在一实施例中，所述处理器在执行所述计算机程序而实现所述获取所述新增文件被执行后产生连接的服务器ip，且对所述服务器ip进行网络连接白名单的匹配，以得到名单匹配结果步骤时，具体实现如下步骤：获取所述新增文件被执行后产生连接的服务器ip；判断所述服务器ip与所述网络连接白名单是否符合设定条件；若所述服务器ip与所述网络连接白名单符合设定条件，则确定所述新增文件为恶意代理软件，以得到名单匹配结果；若所述服务器ip与所述网络连接白名单不符合设定条件，则执行所述获取所述新增文件被执行后的服务器进出口流量，并根据所述服务器进出口流量进行阈值判断，以得到判断结果；其中，设定条件为超过一定数量的服务器ip不属于所述网络连接白名单所包括的服务器ip。
123.在一实施例中，所述处理器在执行所述计算机程序而实现所述获取所述新增文件被执行后的服务器进出口流量，并根据所述服务器进出口流量进行阈值判断，以得到判断结果步骤时，具体实现如下步骤：对所述新增文件被执行后的服务器进出口流量进行监控，以获取特定时间段内服务器进出口流量数值，以得到待判定数值；判断所述待判定数值是否在服务器正常运行时的流量阈值范围内；若所述待判定数值不在服务器正常运行时的流量阈值范围内，则确定所述新增文件为恶意代理软件，以得到判断结果；若所述待判定数值在服务器正常运行时的流量阈值范围内，则确定所述新增文件为正常软件，以得到判断结果。
124.在一实施例中，所述处理器在执行所述计算机程序而实现所述根据所述静态匹配
结果、动态匹配结果、名单匹配结果以及判断结果确定所述新增文件是否是恶意代理软件，并进行异常告警步骤时，具体实现如下步骤：当所述静态匹配结果、动态匹配结果、名单匹配结果以及判断结果中任一个是所述新增文件为恶意代理软件，则判定所述新增文件是恶意代理软件，并对所述新增文件进行拦截或异常告警。
125.所述存储介质可以是u盘、移动硬盘、只读存储器（read
‑
only memory，rom）、磁碟或者光盘等各种可以存储程序代码的计算机可读存储介质。
126.本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、计算机软件或者二者的结合来实现，为了清楚地说明硬件和软件的可互换性，在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本发明的范围。
127.在本发明所提供的几个实施例中，应该理解到，所揭露的装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的。例如，各个单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式。例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。
128.本发明实施例方法中的步骤可以根据实际需要进行顺序调整、合并和删减。本发明实施例装置中的单元可以根据实际需要进行合并、划分和删减。另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以是两个或两个以上单元集成在一个单元中。
129.该集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分，或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备（可以是个人计算机，终端，或者网络设备等）执行本发明各个实施例所述方法的全部或部分步骤。
130.以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到各种等效的修改或替换，这些修改或替换都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以权利要求的保护范围为准。