專利名稱:僵尸網(wǎng)絡(luò)檢測(cè)方法、裝置以及網(wǎng)絡(luò)安全防護(hù)設(shè)備的制作方法
僵尸網(wǎng)絡(luò)檢測(cè)方法、裝置以及網(wǎng)絡(luò)安全防護(hù)設(shè)備技術(shù)領(lǐng)域
本發(fā)明實(shí)施例涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域,特別涉及一種僵尸網(wǎng)絡(luò)檢測(cè)方法、裝置以 及網(wǎng)絡(luò)安全防護(hù)設(shè)備。
背景技術(shù):
僵尸網(wǎng)絡(luò)(Botnet)是采用一種或者多種傳播手段,將大量主機(jī)感染僵尸工具Bot 程序,從而在控制者和被感染主機(jī)之間形成一個(gè)可一對(duì)多控制的網(wǎng)絡(luò),其中僵尸工具Bot 是robot的縮寫,其可執(zhí)行預(yù)定義的功能,可以被預(yù)定義的命令所遠(yuǎn)程控制、并具有一定人 工智能的程序。僵尸主機(jī)就是指含有僵尸工具或者其他遠(yuǎn)程控制程序,使其可被攻擊者遠(yuǎn) 程控制的計(jì)算機(jī)。
僵尸網(wǎng)絡(luò)構(gòu)成一個(gè)攻擊平臺(tái),利用這個(gè)平臺(tái)可以發(fā)起各種各樣的網(wǎng)絡(luò)攻擊行為, 從而導(dǎo)致整個(gè)基礎(chǔ)信息網(wǎng)絡(luò)或者重要應(yīng)用系統(tǒng)癱瘓,也可以導(dǎo)致大量機(jī)密或者個(gè)人隱私泄 露,還可以被用來從事網(wǎng)絡(luò)欺詐等其他違法犯罪活動(dòng)。例如,利用Botnet可以發(fā)起DD0S、發(fā) 送垃圾郵件、竊取機(jī)密、濫用資源等網(wǎng)絡(luò)攻擊行為,這些行為無論對(duì)整個(gè)網(wǎng)絡(luò)還是用戶自身 都造成了嚴(yán)重的后果。
目前僵尸網(wǎng)絡(luò)主要有兩種網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu),其中一種網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖1所示,其 為多級(jí)控制的樹狀拓?fù)浣Y(jié)構(gòu),在該網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)下,控制者開放監(jiān)聽端口,僵尸主動(dòng)向控制 者的監(jiān)聽端口發(fā)起連接,向控制者通報(bào)自己,控制者主動(dòng)連接上級(jí)控制者的監(jiān)聽端口,向上 級(jí)控制者通報(bào)自己,控制者向僵尸主機(jī)指令,僵尸主機(jī)執(zhí)行控制者指令,發(fā)起攻擊。該網(wǎng)絡(luò) 拓?fù)浣Y(jié)構(gòu)下的特點(diǎn)是,多臺(tái)僵尸主機(jī)會(huì)向同一臺(tái)控制者的相同端口發(fā)起連接,僵尸主機(jī)一 般會(huì)定時(shí)向控制者通信,控制者同一時(shí)間會(huì)向多臺(tái)僵尸主機(jī)發(fā)相同指令。
圖2給出了第二種網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu),這是一種基于IRC協(xié)議實(shí)現(xiàn)的僵尸網(wǎng)絡(luò),其控制 者在IRC服務(wù)器上創(chuàng)建通信頻道,僵尸主機(jī)登陸IRC服務(wù)器并加入攻擊者事先創(chuàng)建的頻道, 等待控制者發(fā)起指令,控制者在IRC指定頻道上發(fā)指令,僵尸主機(jī)收到指令后執(zhí)行指令,并 發(fā)起攻擊。基于IRC協(xié)議實(shí)現(xiàn)的僵尸網(wǎng)絡(luò)具有如下的特征,僵尸計(jì)算機(jī)一般會(huì)長(zhǎng)時(shí)間在線, 僵尸計(jì)算機(jī)作為一個(gè)IRC服務(wù)器的聊天用戶在聊天頻道內(nèi)長(zhǎng)時(shí)間不發(fā)言。另外還存在基于 P2P結(jié)構(gòu)的僵尸網(wǎng)絡(luò)。
現(xiàn)有技術(shù)中對(duì)僵尸網(wǎng)絡(luò)的檢測(cè)通常有兩種,一種是樣本分析的方法,即通過蜜罐 等手段獲取僵尸工具Bot程序樣本,采用逆向工程等惡意代碼分析手段,獲得隱藏在代碼 中的登錄Botnet所需要的相關(guān)信息,使用定制的僵尸程序登錄到僵尸網(wǎng)絡(luò)中去,進(jìn)一步采 取應(yīng)對(duì)措施;二是網(wǎng)絡(luò)特征檢測(cè)的方法,即通過研究僵尸計(jì)算機(jī)獲取協(xié)議規(guī)則,然后根據(jù) DPI技術(shù)進(jìn)行檢測(cè),這種方法也是需要先獲取僵尸工具程序樣本。
發(fā)明人在實(shí)現(xiàn)本發(fā)明的過程中發(fā)現(xiàn)上述的檢測(cè)方法均需要獲得僵尸工具程序樣 本,并且只能檢測(cè)已知的僵尸網(wǎng)絡(luò)。發(fā)明內(nèi)容
本發(fā)明實(shí)施例的目的是提供一種僵尸網(wǎng)絡(luò)檢測(cè)方法、裝置以及網(wǎng)絡(luò)安全防護(hù)設(shè) 備,以實(shí)現(xiàn)對(duì)未知僵尸網(wǎng)絡(luò)的檢測(cè)。
為實(shí)現(xiàn)上述目的,本發(fā)明實(shí)施例提供了一種僵尸網(wǎng)絡(luò)檢測(cè)方法,包括
根據(jù)待檢測(cè)網(wǎng)絡(luò)中的主機(jī)發(fā)送的第一數(shù)據(jù)包中的關(guān)鍵字信息獲得疑似僵尸主機(jī) 信息和疑似僵尸控制主機(jī)信息;
對(duì)疑似僵尸主機(jī)的行為特性進(jìn)行分析以識(shí)別僵尸主機(jī)和僵尸控制主機(jī)。
本發(fā)明實(shí)施例還提供了一種僵尸網(wǎng)絡(luò)檢測(cè)裝置,包括
獲取模塊,用于根據(jù)待檢測(cè)網(wǎng)絡(luò)中的主機(jī)發(fā)送的第一數(shù)據(jù)包中的關(guān)鍵字信息獲得 疑似僵尸主機(jī)信息和疑似僵尸控制主機(jī)信息;
行為分析模塊,用于對(duì)疑似僵尸主機(jī)的行為特性進(jìn)行分析以識(shí)別僵尸主機(jī)和僵尸 控制主機(jī)。
本發(fā)明實(shí)施例還提供了一種網(wǎng)絡(luò)安全防護(hù)設(shè)備,包括上述的僵尸網(wǎng)絡(luò)檢測(cè)裝置。
本發(fā)明實(shí)施例提供的僵尸網(wǎng)絡(luò)檢測(cè)方法、裝置以及網(wǎng)絡(luò)安全防護(hù)設(shè)備,通過對(duì)待檢 測(cè)網(wǎng)絡(luò)中的主機(jī)發(fā)送的第一數(shù)據(jù)包進(jìn)行關(guān)鍵字分析,根據(jù)關(guān)鍵字信息確認(rèn)疑似僵尸主機(jī)和疑 似僵尸控制主機(jī),然后再對(duì)疑似僵尸主機(jī)的行為進(jìn)行監(jiān)控,若其實(shí)施了僵尸主機(jī)行為中的一 種,則可確認(rèn)該主機(jī)為僵尸主機(jī),該僵尸主機(jī)發(fā)送的第一數(shù)據(jù)包的目標(biāo)主機(jī)為僵尸控制主機(jī), 通過上述的檢測(cè)方法,能夠有效的發(fā)現(xiàn)未知的僵尸網(wǎng)絡(luò)中的僵尸主機(jī)及僵尸控制主機(jī)。
為了更清楚地說明本發(fā)明實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案,下面將對(duì)實(shí)施例或現(xiàn) 有技術(shù)描述中所需要使用的附圖作簡(jiǎn)單地介紹,顯而易見地,下面描述中的附圖僅僅是本 發(fā)明的一些實(shí)施例,對(duì)于本領(lǐng)域普通技術(shù)人員來講,在不付出創(chuàng)造性勞動(dòng)性的前提下,還可 以根據(jù)這些附圖獲得其他的附圖。
圖1為現(xiàn)有技術(shù)中一種僵尸網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu);
圖2為現(xiàn)有技術(shù)中第二種僵尸網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu);
圖3為本發(fā)明僵尸網(wǎng)絡(luò)檢測(cè)方法實(shí)施例一的流程示意圖4為本發(fā)明僵尸網(wǎng)絡(luò)檢測(cè)方法實(shí)施例二的流程示意圖5為本發(fā)明僵尸網(wǎng)絡(luò)檢測(cè)方法實(shí)施例三的流程示意圖6為本發(fā)明僵尸網(wǎng)絡(luò)檢測(cè)裝置實(shí)施例一的結(jié)構(gòu)示意圖7為本發(fā)明僵尸網(wǎng)絡(luò)檢測(cè)裝置實(shí)施例二的結(jié)構(gòu)示意圖。
具體實(shí)施方式
下面通過附圖和實(shí)施例,對(duì)本發(fā)明的技術(shù)方案做進(jìn)一步的詳細(xì)描述。
發(fā)明人通過對(duì)大量實(shí)際僵尸網(wǎng)絡(luò)樣本的分析,發(fā)現(xiàn)樹形僵尸網(wǎng)絡(luò)有這樣的特點(diǎn), 即在僵尸主機(jī)剛啟動(dòng)去連接控制主機(jī)時(shí),在完成TCP連接后,第一數(shù)據(jù)包通常是明文上線 匯報(bào)信息,也就是將僵尸主機(jī)的關(guān)鍵描述信息向其控制主機(jī)進(jìn)行上報(bào)的數(shù)據(jù)包,該數(shù)據(jù)包 具體的可以是僵尸主機(jī)在完成TCP連接后發(fā)送的第一個(gè)數(shù)據(jù)包,也可以是其他的由僵尸主 機(jī)發(fā)送的包括僵尸主機(jī)關(guān)鍵描述信息的數(shù)據(jù)包。根據(jù)上述特征,本發(fā)明實(shí)施例提供了一種僵尸網(wǎng)絡(luò)檢測(cè)方法,圖3為本發(fā)明僵尸網(wǎng)絡(luò)檢測(cè)方法實(shí)施例一的流程示意圖,如圖3所示, 包括如下步驟
步驟101、根據(jù)待檢測(cè)網(wǎng)絡(luò)中的主機(jī)發(fā)送的第一數(shù)據(jù)包中的關(guān)鍵字信息獲取疑似 僵尸主機(jī)信息和疑似僵尸控制主機(jī)信息;
具體的,本步驟是通過獲取待檢測(cè)網(wǎng)絡(luò)中的主機(jī)發(fā)送的第一數(shù)據(jù)包,即上述主機(jī) 完成TCP連接后發(fā)送的第一個(gè)數(shù)據(jù)包,根據(jù)該數(shù)據(jù)包中的關(guān)鍵字信息獲取疑似僵尸主機(jī)和 疑似僵尸控制主機(jī),若該關(guān)鍵字信息與通常的僵尸主機(jī)上報(bào)的明文上線匯報(bào)信息類似,即 可認(rèn)為該用戶設(shè)備為疑似僵尸主機(jī),上述第一數(shù)據(jù)包的目標(biāo)主機(jī)可被認(rèn)為是疑似僵尸控制 主機(jī)。
步驟102、對(duì)疑似僵尸主機(jī)的行為特性進(jìn)行分析以識(shí)別僵尸主機(jī)和僵尸控制主機(jī)。
具體的,本步驟是對(duì)上述的疑似僵尸主機(jī)的行為進(jìn)行分析,即監(jiān)控該疑似僵尸主 機(jī)的行為,確認(rèn)該被監(jiān)控的疑似僵尸主機(jī)是否實(shí)施了僵尸主機(jī)的典型行為,若該被監(jiān)控的 疑似僵尸主機(jī)實(shí)施了僵尸主機(jī)行為,則可確認(rèn)該疑似僵尸主機(jī)為僵尸主機(jī),該僵尸主機(jī)發(fā) 送的第一數(shù)據(jù)包的目標(biāo)主機(jī)可被認(rèn)為是僵尸控制主機(jī)。
本發(fā)明上述實(shí)施例通過對(duì)待檢測(cè)網(wǎng)絡(luò)中的主機(jī)發(fā)送的第一數(shù)據(jù)包進(jìn)行關(guān)鍵字分 析,根據(jù)關(guān)鍵字信息識(shí)別疑似僵尸主機(jī)和疑似僵尸控制主機(jī),然后再對(duì)疑似僵尸主機(jī)的行 為進(jìn)行監(jiān)控,若其實(shí)施了僵尸主機(jī)行為中的一種,則可確認(rèn)該用戶設(shè)備為僵尸主機(jī),該僵尸 主機(jī)發(fā)送的第一數(shù)據(jù)包的目標(biāo)主機(jī)為僵尸控制主機(jī)。通過上述的檢測(cè)方法,能夠有效的發(fā) 現(xiàn)未知的僵尸網(wǎng)絡(luò)。
圖4為本發(fā)明僵尸網(wǎng)絡(luò)檢測(cè)方法實(shí)施例二的流程示意圖,如圖4所示,包括如下步 驟
步驟201、獲取待檢測(cè)網(wǎng)絡(luò)中的主機(jī)發(fā)送的第一數(shù)據(jù)包中的關(guān)鍵字信息;具體的, 本步驟是對(duì)獲取的第一數(shù)據(jù)包進(jìn)行分析以獲取關(guān)鍵字信息;
步驟202、對(duì)所述關(guān)鍵字信息和預(yù)先存儲(chǔ)的關(guān)鍵字列表進(jìn)行匹配處理;
具體的,上述預(yù)先存儲(chǔ)的關(guān)鍵字列表至少包括一種如下類型的關(guān)鍵字操作系統(tǒng) 平臺(tái)、CPU類型、內(nèi)存、MAC地址,在僵尸主機(jī)上線并進(jìn)行TCP連接后通常會(huì)向僵尸控制主機(jī) 發(fā)送明文上線匯報(bào)信息,這些信息主要包括一些僵尸控制主機(jī)的關(guān)鍵描述信息,例如僵尸 控制主機(jī)的操作系統(tǒng)平臺(tái)、CPU類型、內(nèi)存、MAC地址。因此本實(shí)施例中設(shè)置包括這些類型關(guān) 鍵字的關(guān)鍵字列表,并對(duì)從第一數(shù)據(jù)包中獲取的關(guān)鍵字信息與關(guān)鍵字列表進(jìn)行匹配,判斷 該數(shù)據(jù)包是否是僵尸主機(jī)進(jìn)行上報(bào)發(fā)送的數(shù)據(jù)包;
步驟203、當(dāng)所述匹配結(jié)果超過預(yù)設(shè)的閾值時(shí),識(shí)別所述用戶設(shè)備為疑似僵尸主 機(jī),上述第一數(shù)據(jù)包的目標(biāo)主機(jī)為疑似僵尸控制主機(jī);
本步驟是在步驟202中進(jìn)行關(guān)鍵字匹配的基礎(chǔ)上,獲取從第一數(shù)據(jù)包中獲取關(guān)鍵 字信息與關(guān)鍵字列表的匹配結(jié)果,若匹配結(jié)果超過預(yù)設(shè)的閾值,則認(rèn)為上述的第一數(shù)據(jù)包 疑似為僵尸主機(jī)明文上線匯報(bào)信息的數(shù)據(jù)包,上述發(fā)送第一數(shù)據(jù)包的用戶設(shè)備為疑似僵尸 主機(jī),第一數(shù)據(jù)包的目標(biāo)主機(jī)為疑似僵尸控制主機(jī)。
步驟204、對(duì)疑似僵尸主機(jī)的行為特征進(jìn)行監(jiān)測(cè),若疑似僵尸主機(jī)實(shí)施了僵尸主機(jī) 行為,則識(shí)別所述疑似僵尸主機(jī)為僵尸主機(jī),該第一數(shù)據(jù)包的目標(biāo)主機(jī)為僵尸控制主機(jī)。
上述的僵尸主機(jī)行為可以包括分布式拒絕服務(wù)攻擊DDOS(Distribution Denialof service)行為、垃圾郵件SPAM行為、掃描行為或惡意下載行為中的至少一項(xiàng)。
本實(shí)施例是通過設(shè)置關(guān)鍵字列表,從第一數(shù)據(jù)包中獲取關(guān)鍵字信息,并對(duì)上述的 關(guān)鍵字信息與關(guān)鍵字列表進(jìn)行匹配,根據(jù)匹配結(jié)果獲取疑似僵尸主機(jī),然后對(duì)疑似僵尸主 機(jī)的行為進(jìn)行監(jiān)測(cè)獲取僵尸主機(jī)和僵尸控制主機(jī)信息,能夠?qū)崿F(xiàn)對(duì)未知僵尸網(wǎng)絡(luò)的檢測(cè), 檢測(cè)方法簡(jiǎn)單有效。
圖5為本發(fā)明僵尸網(wǎng)絡(luò)檢測(cè)方法實(shí)施例三的流程示意圖,該實(shí)施例是將僵尸網(wǎng)絡(luò) 檢測(cè)裝置設(shè)置在DPI設(shè)備中,通常DPI設(shè)備可以分為前臺(tái)和后臺(tái),本實(shí)施例中也可以將僵尸 網(wǎng)絡(luò)的檢測(cè)裝置分為前臺(tái)和后臺(tái)兩個(gè)部分,其中前臺(tái)相當(dāng)于上述的獲取模塊,主要進(jìn)行流 量識(shí)別業(yè)務(wù)處理,獲取疑似的僵尸主機(jī)和疑似的僵尸控制主機(jī),后臺(tái)相當(dāng)于上述實(shí)施例中 行為分析模塊,主要用于通過對(duì)疑似僵尸主機(jī)的行為進(jìn)行分析,確認(rèn)僵尸主機(jī)和僵尸控制 主機(jī)。具體的,前臺(tái)進(jìn)行流量識(shí)別,對(duì)TCP流握手后的第一個(gè)數(shù)據(jù)包進(jìn)行識(shí)別,對(duì)該數(shù)據(jù)包 中的關(guān)鍵字與預(yù)設(shè)的關(guān)鍵字列表進(jìn)行匹配,若發(fā)現(xiàn)該數(shù)據(jù)包中關(guān)鍵字與關(guān)鍵字列表中匹配 一致的數(shù)量超過一定的閾值,則可認(rèn)為上述數(shù)據(jù)包為疑似僵尸上線包。上述的關(guān)鍵字列表 中的關(guān)鍵字可以為windows、xp、2003、MHz、Inter, mac, MB, CPU, ver, AMD, IP 等,且不區(qū)分 大小寫,上述的閾值可設(shè)定為3。在上述的數(shù)據(jù)包被識(shí)別為疑似僵尸主機(jī)上線時(shí)發(fā)送的數(shù)據(jù) 包后,即將上述進(jìn)行通信的兩端的設(shè)備(即發(fā)送第一數(shù)據(jù)包的主機(jī)和接收數(shù)據(jù)包的主機(jī)) 識(shí)別為疑似僵尸主機(jī)和疑似僵尸控制主機(jī),然后將上述識(shí)別獲得的信息形成列表發(fā)送給后 臺(tái),由后臺(tái)對(duì)其行為進(jìn)行監(jiān)控,統(tǒng)計(jì)其一定周期內(nèi)的行為,該周期可以為M小時(shí),若在該時(shí) 間周期內(nèi)發(fā)現(xiàn)上述的疑似僵尸主機(jī)實(shí)施了 DDOS行為、SPAM行為、掃描行為惡意下載行為中 的一種或幾種,則可確認(rèn)上述的疑似僵尸主機(jī)為僵尸主機(jī)。如圖5所示,該實(shí)施例具體可以 包括如下步驟
步驟301、獲取TCP流量;
步驟302、判斷接收到的數(shù)據(jù)包是否為TCP握手后的第一個(gè)數(shù)據(jù)包,若是則執(zhí)行步 驟303,若不是則進(jìn)行其他處理;
步驟303、從TCP握手后的第一個(gè)數(shù)據(jù)包中獲取關(guān)鍵字信息并與預(yù)設(shè)的關(guān)鍵字列 表進(jìn)行匹配,該關(guān)鍵字列表中包含有僵尸主機(jī)上線時(shí)發(fā)送給控制主機(jī)的數(shù)據(jù)包中通常包括 的關(guān)鍵字;
具體的,該關(guān)鍵字可以包括windows、xp、2003、MHz、hter、mac、MB、CPU、ver、AMD、 IP等;
步驟304、統(tǒng)計(jì)上述步驟303中匹配的關(guān)鍵字個(gè)數(shù)是否大于或等于預(yù)設(shè)的閾值,該 閾值可以設(shè)為3,若大于或等于預(yù)設(shè)的閾值,則執(zhí)行步驟305,否則執(zhí)行其他處理;
步驟305、獲取統(tǒng)計(jì)到的(包括的關(guān)鍵字個(gè)數(shù)大于或等于預(yù)設(shè)的閾值的數(shù)據(jù)包信 息,將發(fā)送該數(shù)據(jù)包的主機(jī)列為疑似僵尸主機(jī),接收該數(shù)據(jù)包的主機(jī)列為疑似僵尸控制主 機(jī);并對(duì)上述疑似僵尸主機(jī)的IP地址,以及疑似僵尸控制主機(jī)的域名和端口信息進(jìn)行統(tǒng)計(jì) 發(fā)送給后臺(tái)設(shè)備,另外還可以包括疑似僵尸控制主機(jī)的IP地址。
上述步驟301-步驟305通常是由前臺(tái)設(shè)備完成,以下步驟是由后臺(tái)設(shè)備完成;
步驟306、后臺(tái)對(duì)前臺(tái)發(fā)送來的疑似僵尸主機(jī)的行為進(jìn)行監(jiān)控,監(jiān)控該疑似僵尸主 機(jī)是否實(shí)施DDOS行為、SPAM行為、掃描行為、惡意下載行為中的一種或幾種,是則執(zhí)行步驟 307,否則執(zhí)行其他處理;
步驟307、確認(rèn)實(shí)施了 DDOS行為、SPAM行為、掃描行為惡意下載行為中的一種或 幾種的疑似僵尸主機(jī)為僵尸主機(jī),該僵尸主機(jī)發(fā)送的第一數(shù)據(jù)包的目標(biāo)主機(jī)為僵尸控制主 機(jī),并將確認(rèn)的僵尸主機(jī)和僵尸控制主機(jī)的信息存入僵尸網(wǎng)絡(luò)庫(kù),上述僵尸主機(jī)和僵尸控 制主機(jī)的信息可以包括僵尸主機(jī)的IP地址,以及僵尸控制主機(jī)的IP地址、域名和端口信 肩、O
本發(fā)明實(shí)施例提供的僵尸網(wǎng)絡(luò)檢測(cè)方法通過對(duì)待檢測(cè)網(wǎng)絡(luò)中的主機(jī)發(fā)送的第一 數(shù)據(jù)包進(jìn)行關(guān)鍵字分析,根據(jù)關(guān)鍵字信息確認(rèn)疑似僵尸主機(jī)和疑似僵尸控制主機(jī),然后再 對(duì)疑似僵尸主機(jī)的行為進(jìn)行監(jiān)控,若其實(shí)施了僵尸主機(jī)行為中的一種,則可確認(rèn)該主機(jī)為 僵尸主機(jī),該僵尸主機(jī)發(fā)送的第一數(shù)據(jù)包的目標(biāo)主機(jī)為僵尸控制主機(jī),通過上述的檢測(cè)方 法,能夠有效的發(fā)現(xiàn)未知的僵尸網(wǎng)絡(luò)中的僵尸主機(jī)及僵尸控制主機(jī)。
本發(fā)明實(shí)施例還提供了一種僵尸網(wǎng)絡(luò)檢測(cè)裝置,圖6為本發(fā)明僵尸網(wǎng)絡(luò)檢測(cè)裝置 實(shí)施例一的結(jié)構(gòu)示意圖,如圖6所示,僵尸網(wǎng)路檢測(cè)裝置包括獲取模塊11和行為分析模塊 12,其中
獲取模塊11,用于根據(jù)待檢測(cè)網(wǎng)絡(luò)中的主機(jī)發(fā)送的第一數(shù)據(jù)包中的關(guān)鍵字信息獲 得疑似僵尸主機(jī)信息和疑似僵尸控制主機(jī)信息;
行為分析模塊12,用于對(duì)疑似僵尸主機(jī)的行為特性進(jìn)行分析以識(shí)別僵尸主機(jī)和僵 尸控制主機(jī)。
本發(fā)明上述實(shí)施例通過獲取模塊11對(duì)待檢測(cè)網(wǎng)絡(luò)中的主機(jī)發(fā)送的第一數(shù)據(jù)包進(jìn) 行關(guān)鍵字分析,根據(jù)關(guān)鍵字信息識(shí)別疑似僵尸主機(jī)和疑似僵尸控制主機(jī),然后通過行為分 析模塊12對(duì)疑似僵尸主機(jī)的行為進(jìn)行監(jiān)控分析,若其實(shí)施了僵尸主機(jī)行為中的一種,則可 確認(rèn)上述主機(jī)為僵尸主機(jī),該僵尸主機(jī)發(fā)送的第一數(shù)據(jù)包的目標(biāo)主機(jī)為僵尸控制主機(jī)。通 過上述的檢測(cè)方法,能夠有效的發(fā)現(xiàn)僵尸網(wǎng)絡(luò)。
圖7為本發(fā)明僵尸網(wǎng)絡(luò)檢測(cè)裝置實(shí)施例二的結(jié)構(gòu)示意圖,如圖7所示,僵尸網(wǎng)路檢 測(cè)裝置包括獲取模塊21和行為分析模塊22,其中獲取模塊21可分為第一獲取單元211、匹 配單元212和第一識(shí)別單元213,行為分析模塊22可以分為監(jiān)控單元221和第二識(shí)別單元 222,其中
第一獲取單元211,用于獲得待檢測(cè)網(wǎng)絡(luò)中的主機(jī)發(fā)送的第一數(shù)據(jù)包中的關(guān)鍵字 fn息;
匹配單元212,用于對(duì)所述關(guān)鍵字信息和預(yù)先存儲(chǔ)的關(guān)鍵字列表進(jìn)行匹配處理;
第一識(shí)別單元213,用于當(dāng)所述匹配結(jié)果超過預(yù)設(shè)的閾值時(shí),識(shí)別所述主機(jī)為疑似 僵尸主機(jī),第一數(shù)據(jù)包的目標(biāo)主機(jī)為疑似僵尸控制主機(jī);
監(jiān)控單元221,用于對(duì)第一識(shí)別單元213識(shí)別的疑似僵尸主機(jī)的行為特征進(jìn)行監(jiān) 測(cè);
第二識(shí)別單元222,用于當(dāng)監(jiān)控單元221檢測(cè)到疑似僵尸主機(jī)實(shí)施了僵尸主機(jī)行 為時(shí),識(shí)別所述疑似僵尸主機(jī)為僵尸主機(jī)。
具體的,僵尸主機(jī)行為包括分布式拒絕服務(wù)攻擊DDOS行為、垃圾郵件SPAM行為、 掃描行為或惡意下載行為等。
本實(shí)施例是通過設(shè)置關(guān)鍵字列表,從第一數(shù)據(jù)包中獲取關(guān)鍵字信息,并對(duì)上述的 關(guān)鍵字信息與關(guān)鍵字列表進(jìn)行匹配,若匹配結(jié)果超過預(yù)設(shè)的閾值,則認(rèn)為上述的第一數(shù)據(jù)包疑似為僵尸主機(jī)明文上線匯報(bào)信息的數(shù)據(jù)包,發(fā)送該數(shù)據(jù)包的主機(jī)為疑似僵尸主機(jī),上 述第一數(shù)據(jù)包的目標(biāo)主機(jī)為疑似僵尸控制主機(jī)。并進(jìn)一步的對(duì)疑似僵尸主機(jī)行為進(jìn)行監(jiān) 控,并根據(jù)上述疑似僵尸主機(jī)是否實(shí)施了典型的僵尸主機(jī)行為確定僵尸網(wǎng)絡(luò),能夠有效實(shí) 現(xiàn)對(duì)未知僵尸網(wǎng)絡(luò)的檢測(cè)。
本發(fā)明上述實(shí)施例提供的僵尸網(wǎng)絡(luò)檢測(cè)裝置能夠執(zhí)行僵尸網(wǎng)絡(luò)檢測(cè)方法實(shí)施例 中的流程步驟。
本發(fā)明實(shí)施例還提供了一種網(wǎng)絡(luò)安全防護(hù)設(shè)備,該網(wǎng)絡(luò)安全防護(hù)設(shè)備包括上述實(shí) 施例中的僵尸網(wǎng)絡(luò)檢測(cè)裝置。
本發(fā)明實(shí)施例提供的網(wǎng)絡(luò)安全防護(hù)設(shè)備,能夠通過對(duì)待檢測(cè)網(wǎng)絡(luò)中的主機(jī)發(fā)送的 第一數(shù)據(jù)包進(jìn)行關(guān)鍵字分析,根據(jù)關(guān)鍵字信息確認(rèn)疑似僵尸主機(jī)和疑似僵尸控制主機(jī),然 后再對(duì)疑似僵尸主機(jī)的行為進(jìn)行監(jiān)控,若其實(shí)施了僵尸主機(jī)行為中的一種,則可確認(rèn)該用 戶設(shè)備為僵尸主機(jī),該僵尸主機(jī)發(fā)送的第一數(shù)據(jù)包的目標(biāo)主機(jī)為僵尸控制主機(jī)。通過上述 的檢測(cè)方法,能夠有效的發(fā)現(xiàn)未知的僵尸網(wǎng)絡(luò)。
上述的網(wǎng)絡(luò)安全防護(hù)設(shè)備可以為深度報(bào)文檢測(cè)DPI設(shè)備、統(tǒng)一威脅管理UTM設(shè)備 或防火墻FW設(shè)備,即可以將圖6或圖7所示實(shí)施例中的僵尸網(wǎng)絡(luò)檢測(cè)裝置設(shè)置在深度報(bào)文 檢測(cè)(De印Packet Inspection,以下簡(jiǎn)稱DPI)設(shè)備、統(tǒng)一威脅管理UTM設(shè)備或FW設(shè)備中。
本發(fā)明上述實(shí)施例提供的僵尸網(wǎng)絡(luò)檢測(cè)方法,從第一數(shù)據(jù)包中獲取關(guān)鍵字信息, 并對(duì)上述的關(guān)鍵字信息與關(guān)鍵字列表進(jìn)行匹配,若匹配結(jié)果超過預(yù)設(shè)的閾值,則上述的第 一數(shù)據(jù)包疑似為僵尸主機(jī)明文上線匯報(bào)信息的數(shù)據(jù)包,發(fā)送該數(shù)據(jù)包的用戶設(shè)備為疑似僵 尸主機(jī),接收該數(shù)據(jù)包的主機(jī)為疑似僵尸控制主機(jī)。并進(jìn)一步的對(duì)其行為特性進(jìn)行監(jiān)控,獲 知其是否實(shí)施過典型的僵尸主機(jī)行為,如DDOS行為、SPAM行為、掃描行為、惡意下載行為, 若實(shí)施了上述行為中至少一種行為,則確認(rèn)其為僵尸主機(jī),與其通信的疑似僵尸控制主機(jī) 為僵尸控制主機(jī),能夠有效實(shí)現(xiàn)對(duì)未知僵尸網(wǎng)絡(luò)的監(jiān)控,并且與僵尸主機(jī)的惡意行為相關(guān) 聯(lián),能夠增加檢測(cè)的準(zhǔn)確度。
本領(lǐng)域普通技術(shù)人員可以理解實(shí)現(xiàn)上述實(shí)施例方法中的全部或部分流程,是可以 通過計(jì)算機(jī)程序來指令相關(guān)的硬件來完成,所述的程序可存儲(chǔ)于計(jì)算機(jī)可讀取存儲(chǔ)介質(zhì) 中,該程序在執(zhí)行時(shí),可包括如上述各方法的實(shí)施例的流程。其中,所述的存儲(chǔ)介質(zhì)可為磁 碟、光盤、只讀存儲(chǔ)記憶體(Read-Only Memory, ROM)或隨機(jī)存儲(chǔ)記憶體(Random Access Memory, RAM)等。
最后應(yīng)說明的是以上實(shí)施例僅用以說明本發(fā)明的技術(shù)方案而非對(duì)其進(jìn)行限制, 盡管參照較佳實(shí)施例對(duì)本發(fā)明進(jìn)行了詳細(xì)的說明,本領(lǐng)域的普通技術(shù)人員應(yīng)當(dāng)理解其依 然可以對(duì)本發(fā)明的技術(shù)方案進(jìn)行修改或者等同替換,而這些修改或者等同替換亦不能使修 改后的技術(shù)方案脫離本發(fā)明技術(shù)方案的精神和范圍。
權(quán)利要求
1.一種僵尸網(wǎng)絡(luò)檢測(cè)方法,其特征在于,包括根據(jù)待檢測(cè)網(wǎng)絡(luò)中的主機(jī)發(fā)送的第一數(shù)據(jù)包中的關(guān)鍵字信息獲得疑似僵尸主機(jī)信息 和疑似僵尸控制主機(jī)信息;對(duì)疑似僵尸主機(jī)的行為特性進(jìn)行分析以識(shí)別僵尸主機(jī)和僵尸控制主機(jī)。
2.根據(jù)權(quán)利要求1所述的僵尸網(wǎng)絡(luò)檢測(cè)方法,其特征在于,所述根據(jù)待檢測(cè)網(wǎng)絡(luò)中的 主機(jī)發(fā)送的第一數(shù)據(jù)包中的關(guān)鍵字信息獲得疑似僵尸主機(jī)信息和疑似僵尸控制主機(jī)信息 包括獲取待檢測(cè)網(wǎng)絡(luò)中的主機(jī)發(fā)送的第一數(shù)據(jù)包中的關(guān)鍵字信息;對(duì)所述關(guān)鍵字信息和預(yù)先存儲(chǔ)的關(guān)鍵字列表進(jìn)行匹配處理;當(dāng)所述匹配結(jié)果超過預(yù)設(shè)的閾值時(shí),識(shí)別所述用戶設(shè)備為疑似僵尸主機(jī),所述第一數(shù) 據(jù)包的目標(biāo)主機(jī)為疑似僵尸控制主機(jī)。
3.根據(jù)權(quán)利要求2所述的僵尸網(wǎng)絡(luò)檢測(cè)方法,其特征在于,所述關(guān)鍵字列表中至少包 括一種如下的關(guān)鍵字類型操作系統(tǒng)平臺(tái)、CPU類型、內(nèi)存、MAC地址。
4.根據(jù)權(quán)利要求1所述的僵尸網(wǎng)絡(luò)檢測(cè)方法,其特征在于,所述對(duì)疑似僵尸主機(jī)的行 為特性進(jìn)行分析以識(shí)別僵尸主機(jī)包括對(duì)疑似僵尸主機(jī)的行為特征進(jìn)行監(jiān)測(cè),若疑似僵尸主機(jī)實(shí)施了僵尸主機(jī)行為則識(shí)別所 述疑似僵尸主機(jī)為僵尸主機(jī)。
5.根據(jù)權(quán)利要求1所述的僵尸網(wǎng)絡(luò)檢測(cè)方法,其特征在于,僵尸主機(jī)行為包括分布式 拒絕服務(wù)攻擊DDOS行為、垃圾郵件SPAM行為、掃描行為或惡意下載行為中的至少一項(xiàng),
6.一種僵尸網(wǎng)絡(luò)檢測(cè)裝置,其特征在于,包括獲取模塊,用于根據(jù)待檢測(cè)網(wǎng)絡(luò)中的主機(jī)發(fā)送的第一數(shù)據(jù)包中的關(guān)鍵字信息獲得疑似 僵尸主機(jī)信息和疑似僵尸控制主機(jī)信息;行為分析模塊,用于對(duì)疑似僵尸主機(jī)的行為特性進(jìn)行分析以識(shí)別僵尸主機(jī)和僵尸控制 主機(jī)。
7.根據(jù)權(quán)利要求6所述的僵尸網(wǎng)絡(luò)檢測(cè)裝置,其特征在于,所述獲取模塊包括第一獲取單元,用于獲得待檢測(cè)網(wǎng)絡(luò)中的主機(jī)發(fā)送的第一數(shù)據(jù)包中的關(guān)鍵字信息;匹配單元,用于對(duì)所述關(guān)鍵字信息和預(yù)先存儲(chǔ)的關(guān)鍵字列表進(jìn)行匹配處理;第一識(shí)別單元,用于當(dāng)所述匹配結(jié)果超過預(yù)設(shè)的閾值時(shí),識(shí)別所述用戶設(shè)備為疑似僵 尸主機(jī),所述第一數(shù)據(jù)包的目標(biāo)主機(jī)為疑似僵尸控制主機(jī)。
8.根據(jù)權(quán)利要求6所述的僵尸網(wǎng)絡(luò)檢測(cè)裝置,其特征在于,所述行為分析模塊包括監(jiān)控單元,用于對(duì)疑似僵尸主機(jī)的行為特征進(jìn)行監(jiān)測(cè);第二識(shí)別單元,用于當(dāng)疑似僵尸主機(jī)實(shí)施了僵尸主機(jī)行為時(shí),識(shí)別所述疑似僵尸主機(jī) 為僵尸主機(jī),所述僵尸主機(jī)行為包括分布式拒絕服務(wù)攻擊DDOS行為、垃圾郵件SPAM行為、 掃描行為或惡意下載行為中的至少一項(xiàng)。
9.一種網(wǎng)絡(luò)安全防護(hù)設(shè)備,其特征在于,包括權(quán)利要求6-8任一所述的僵尸網(wǎng)絡(luò)檢測(cè)裝置ο
10.根據(jù)權(quán)利要求9所述的網(wǎng)絡(luò)安全防護(hù)設(shè)備,其特征在于,所述網(wǎng)絡(luò)安全防護(hù)設(shè)備為 深度報(bào)文檢測(cè)DPI設(shè)備、統(tǒng)一威脅管理UTM設(shè)備或防火墻FW設(shè)備。
全文摘要
本發(fā)明實(shí)施例提供了一種僵尸網(wǎng)絡(luò)檢測(cè)方法、裝置以及網(wǎng)絡(luò)安全防護(hù)設(shè)備,其中方法包括根據(jù)待檢測(cè)網(wǎng)絡(luò)中的主機(jī)發(fā)送的第一數(shù)據(jù)包中的關(guān)鍵字信息獲得疑似僵尸主機(jī)信息和疑似僵尸控制主機(jī)信息;對(duì)疑似僵尸主機(jī)的行為特性進(jìn)行分析以識(shí)別僵尸主機(jī)和僵尸控制主機(jī)。通過本發(fā)明實(shí)施例提供的僵尸網(wǎng)絡(luò)檢測(cè)方案能夠有效發(fā)現(xiàn)未知的僵尸網(wǎng)絡(luò)。
文檔編號(hào)H04L29/06GK102035793SQ200910093749
公開日2011年4月27日 申請(qǐng)日期2009年9月28日 優(yōu)先權(quán)日2009年9月28日
發(fā)明者蔣武 申請(qǐng)人:成都市華為賽門鐵克科技有限公司