跳转到

样本内容：网络行为信息

网络行为信息是样本的一个重要动态记录，展示了样本的网络通联性。从网络行为信息中可以发现攻击事件的移动方向。

一、概述

利用产品的事件捕获能力及沙箱分析能力，依据样本所采用的的不同协议类型进行记录。记录的协议内容包括多种常见的网络层与应用层协议。

二、协议详情

1、HTTP协议

超文本传输协议（HTTP，HyperText Transfer Protocol)是互联网上应用最为广泛的一种网络协议。所有的WWW文件都必须遵守这个标准。设计HTTP最初的目的是为了提供一种发布和接收HTML页面的方法。1960年美国人Ted Nelson构思了一种通过计算机处理文本信息的方法，并称之为超文本（hypertext）,这成为了HTTP超文本传输协议标准架构的发展根基。Ted Nelson组织协调万维网协会（World Wide Web Consortium）和互联网工程工作小组（Internet Engineering Task Force ）共同合作研究，最终发布了一系列的RFC，其中著名的RFC 2616定义了HTTP 1.1。

平台记录了样本通过此协议访问的站点地址、IP地址和端口的内容。

2、DNS协议

DNS是域名系统(DomainNameSystem)的缩写，该系统用于命名组织到域层次结构中的计算机和网络服务。域名是由圆点分开一串单词或缩写组成的，每一个域名都对应一个惟一的IP地址，在Internet上域名与IP地址之间是一一对应的，DNS就是进行域名解析的服务器。DNS命名用于Internet等TCP/IP网络中，通过用户友好的名称查找计算机和服务。DNS是因特网的一项核心服务,它作为可以将域名和IP地址相互映射的一个分布式数据库。

DNS最早于1983年由保罗·莫卡派乔斯（Paul Mockapetris）发明；原始的技术规范在RFC 882号因特网标准草案中发布。1987年发布的第RFC 1034和RFC 1035 号草案修正了DNS技术规范，并废除了之前的第RFC 882和RFC 883号草案。在此之后对因特网标准草案的修改基本上没有涉及到DNS技术规范部分的改动。

平台记录了样本通过DNS协议访问的DNS服务器和解析的域名结果。

3、FTP协议

FTP(File Transfer Protocol，文件传输协议) 是 TCP/IP 协议组中的协议之一。FTP协议包括两个组成部分，其一为FTP服务器，其二为FTP客户端。其中FTP服务器用来存储文件，用户可以使用FTP客户端通过FTP协议访问位于FTP服务器上的资源。在开发网站的时候，通常利用FTP协议把网页或程序传到Web服务器上。此外，由于FTP传输效率非常高，在网络上传输大的文件时，一般也采用该协议。

默认情况下FTP协议使用TCP端口中的 20和21这两个端口，其中20用于传输数据，21用于传输控制信息。但是，是否使用20作为传输数据的端口与FTP使用的传输模式有关，如果采用主动模式，那么数据传输端口就是20;如果采用被动模式，则具体最终使用哪个端口要服务器端和客户端协商决定。

RFC 959标准定义了FTP协议的规范。

平台记录了样本通过FTP协议通信的行为事件。

4、GHOST协议

GHOST协议是以太坊中的一个应用协议。平台记录了样本利用GHOST协议和目标地址通信的行为事件。

5、SMTP协议

SMTP(Simple Mail Transfer Protocol)即简单邮件传输协议，是一种提供可靠且有效电子邮件传输的协议。SMTP是建立在FTP文件传输服务上的一种邮件服务，主要用于传输系统之间的邮件信息并提供与来信有关的通知。

RFC 5321中定义了SMTP协议内容，在RFC 2822 中定义了Internet消息格式（e-mail），在RFC 3461中定义了SMTP的发送状态通知（DSN）扩展。平台记录了样本通过SMTP协议通信的行为事件。

6、ICMP协议

ICMP是(Internet Control Message Protocol)Internet控制报文协议。它是TCP/IP协议族的一个子协议，用于在IP主机、路由器之间传递控制消息。控制消息是指网络通不通、主机是否可达、路由是否可用等网络本身的消息。这些控制消息虽然并不传输用户数据，但是对于用户数据的传递起着重要的作用。

ICMP是在RFC 792中定义的互联网协议之一。

平台记录了样本通过ICMP协议进行网络探索的行为事件。

7、TCP协议

TCP：Transmission Control Protocol 传输控制协议TCP是一种面向连接（连接导向）的、可靠的、基于字节流的运输层（Transport layer）通信协议，由IETF的RFC 793说明（specified）。在简化的计算机网络OSI模型中，它完成第四层传输层所指定的功能，UDP是同一层内另一个重要的传输协议。

平台记录了样本通过TCP协议通信的行为事件。

8、UDP协议

UDP 是User Datagram Protocol的简称，中文名是用户数据报协议，是OSI(Open System Interconnection，开放式系统互联) 参考模型中一种无连接的传输层协议，提供面向事务的简单不可靠信息传送服务，IETF RFC 768是UDP的正式规范。

平台记录了样本通过UDP协议通信的行为事件。

9、CONNECT协议

CONNECT协议不是指的某一具体应用，而是指样本通过某些应用层协议与目标主机建立交互链接的协议集合。例如：mysql工具链接等。

10、回连地址

回连地址是APK数据的重要网络行为，记录了APK数据在运行时的网络访问情况。

11、其它协议

除了上述常见的协议之外，平台还收录了部分工控协议等网络行为，例如：Modbus-TCP等。这些网络行为数据较少，不一一罗列。