【闲趣】python监控主动外连的异常行为

发布时间：2023-10-14 08:00

最近因为跟着一个安全项目，发现其中的安全产品中的一项监控每场有趣。可以监测到系统进程的主动连接行为并获取连接的IP，并且有些IP可以反查到域名。并在近期的一项活动中根据此项日志可以分析出挖矿（连接矿池）、勒索病毒、远控（连接被控主机），当然这些都要配合着威胁情报。

然后自己也闲的无趣，苦中作乐通过python也可以实现监测进程的主动外联的情况。当然使用的是PYTHON 的 psutil。主要实现逻辑是先收获网络连接情况，然后根据发起的PID 获取进程名某些还能够获取物理路径。当然要实现连接的ip反查域名也可以实现，不过没有必要。现在已经可以把主动连接的信息收集上来了，如下图：

$\"【闲趣】python监控主动外连的异常行为_第1张图片\"$

从而可以再进一步分析这就是后期可以进一步补充得了

核心代码如下：

def test():
    network_connection = psutil.net_connections()  # 获取网络连接情况
    for i in network_connection:
        temp = psutil.Process(i.pid)
        try:
            print(\"PID:\", i.pid, \"连接情况:\", i.laddr,\"进程名：\",  temp.name(),\"物理路径:\", temp.cwd())
        except:
            # pass
            print(\"PID:\", i.pid,\"连接情况:\", i.laddr,\"进程名：\", temp.name())

【闲趣】python监控主动外连的异常行为

相关推荐