專利名稱:僵尸網(wǎng)絡的檢測方法及裝置���、僵尸網(wǎng)絡的對抗方法及裝置的制作方法
技術領域:
本發(fā)明涉及網(wǎng)絡安全技術領域�,尤其涉及一種僵尸網(wǎng)絡的檢測方法及裝置、僵尸網(wǎng)絡的對抗方法及裝置���。
背景技術:
隨著移動互聯(lián)網(wǎng)的快速發(fā)展�,僵尸網(wǎng)絡正在從傳統(tǒng)互聯(lián)網(wǎng)絡向融合網(wǎng)絡(互聯(lián)網(wǎng)�����、電信網(wǎng)�、廣電網(wǎng)���、物聯(lián)網(wǎng))過渡�,融合僵尸網(wǎng)絡已成為未來互聯(lián)網(wǎng)安全急需關注的熱點問題��。融合僵尸網(wǎng)絡是一種承載于融合網(wǎng)絡之上的僵尸網(wǎng)絡�����,既有僵尸網(wǎng)絡的特征�����,也有融合業(yè)務特征���,其控制命令可以跨網(wǎng)通信��,具備協(xié)同不同網(wǎng)絡中僵尸終端進行協(xié)同惡意攻擊行為特征���。例如�,互聯(lián)網(wǎng)�、電信網(wǎng)、廣電網(wǎng)等網(wǎng)絡融合為一個泛在的網(wǎng)絡��,可以支撐多種網(wǎng)絡業(yè)務�����,即一個網(wǎng)絡業(yè)務可以在不同的網(wǎng)絡環(huán)境中正常運行(例如QQ�����、手機QQ等)�����。而社交網(wǎng)絡業(yè)務在傳統(tǒng)互聯(lián)網(wǎng)和移動互聯(lián)網(wǎng)上的廣泛應用以及實時異步松耦合的通信特點�,為融合僵尸網(wǎng)絡提供了控制能力更強、隱蔽性更好的控制信息平臺載體����。由此��,當今出現(xiàn)一種基于社交網(wǎng)絡控制的融合僵尸網(wǎng)絡����,僵尸控制者(Botmaster)通過公共社交網(wǎng)絡服務器控制整個僵尸網(wǎng)絡�。在服務器的邏輯層,融合僵尸網(wǎng)絡呈現(xiàn)特定控制賬號的中心簇結構和無中心控制賬號的P2P結構�����。同時融合僵尸網(wǎng)絡的拓撲結構可由僵尸控制者自主定義和隨時調整�����,從而大大提高了僵尸病毒的檢測難度����。通過研究表明�,基于社交網(wǎng)絡控制的融合僵尸網(wǎng)絡具有良好的隱蔽性、健壯性和靈活性��。這給基于社交網(wǎng)絡控制的融合僵尸網(wǎng)絡的檢測和對抗帶來了很大的難度�����。
發(fā)明內(nèi)容
本發(fā)明所要解決的技術問題是提供一種僵尸網(wǎng)絡的檢測方法及裝置、僵尸網(wǎng)絡的對抗方法及裝置��,提高網(wǎng)絡安全性能���。為解決上述技術問題�����,本發(fā)明提出了一種僵尸網(wǎng)絡的檢測方法�,應用于基于社交網(wǎng)絡的融合僵尸網(wǎng)絡��,包括提取僵尸網(wǎng)絡的通信特征�;根據(jù)所述通信特征查找到所述僵尸網(wǎng)絡的所有成員。進一步地�����,上述僵尸網(wǎng)絡的檢測方法還可具有以下特點����,所述提取僵尸網(wǎng)絡的通信特征包括在僵尸網(wǎng)絡中設置蜜罐和/或蜜網(wǎng),截獲僵尸程序���;通過所述僵尸程序判斷該僵尸網(wǎng)絡是否為僵尸控制者通過社交網(wǎng)絡控制的融合僵尸網(wǎng)絡��;若是�,則根據(jù)預設的采集內(nèi)容采集數(shù)據(jù);根據(jù)采集的數(shù)據(jù)提取僵尸網(wǎng)絡的通信特征�����。進一步地����,上述僵尸網(wǎng)絡的檢測方法還可具有以下特點,所述提取僵尸網(wǎng)絡的通信特征還包括
記錄僵尸網(wǎng)絡的攻擊目標和攻擊事件���;根據(jù)所述攻擊目標和攻擊事件設置所述僵尸網(wǎng)絡的危害度級別。進一步地����,上述僵尸網(wǎng)絡的檢測方法還可具有以下特點,所述通過所述僵尸程序判斷該僵尸網(wǎng)絡是否為僵尸控制者通過社交網(wǎng)絡控制的融合僵尸網(wǎng)絡包括判斷僵尸程序中是否包含登陸公共服務器的賬號�,若包含則該僵尸網(wǎng)絡為僵尸控制者通過社交網(wǎng)絡控制的融合僵尸網(wǎng)絡���。進一步地�����,上述僵尸網(wǎng)絡的檢測方法還可具有以下特點,所述根據(jù)所述通信特征查找到所述僵尸網(wǎng)絡的所有成員包括根據(jù)僵尸網(wǎng)絡的通信特征制定挖掘策略��;按照挖掘策略在社交網(wǎng)絡中挖掘出所有僵尸的賬號�����;根據(jù)挖掘到的僵尸的賬號溯源僵尸網(wǎng)絡控制者的賬號和設備標識����。為解決上述技術問題,本發(fā)明還提出了一種僵尸網(wǎng)絡的檢測裝置���,應用于基于社交網(wǎng)絡的融合僵尸網(wǎng)絡�,包括提取模塊�����,用于提取僵尸網(wǎng)絡的通信特征���;查找模塊����,用于根據(jù)所述提取模塊提取的通信特征查找到所述僵尸網(wǎng)絡的所有成員。進一步地�,上述僵尸網(wǎng)絡的檢測裝置還可具有以下特點,所述提取模塊包括截獲單元��,用于在僵尸網(wǎng)絡中設置蜜罐和/或蜜網(wǎng)���,截獲僵尸程序�;判斷單元���,用于通過所述截獲單元截獲的僵尸程序判斷該僵尸網(wǎng)絡是否為僵尸控制者通過社交網(wǎng)絡控制的融合僵尸網(wǎng)絡�;采集單元���,用于在所述判斷單元的判斷結果為是時�����,根據(jù)預設的采集內(nèi)容采集數(shù)據(jù);提取單元�����,用于根據(jù)所述采集單元采集的數(shù)據(jù)提取僵尸網(wǎng)絡的通信特征。進一步地�,上述僵尸網(wǎng)絡的檢測裝置還可具有以下特點,所述提取模塊還包括記錄單元���,用于記錄僵尸網(wǎng)絡的攻擊目標和攻擊事件�����;設置單元�,用于根據(jù)所述記錄單元記錄的攻擊目標和攻擊事件設置所述僵尸網(wǎng)絡的危害度級別�����。進一步地�����,上述僵尸網(wǎng)絡的檢測裝置還可具有以下特點���,所述判斷單元包括第一判斷子單元���,用于判斷僵尸程序中是否包含登陸公共服務器的賬號,若包含則該僵尸網(wǎng)絡為僵尸控制者通過社交網(wǎng)絡控制的融合僵尸網(wǎng)絡����。進一步地�����,上述僵尸網(wǎng)絡的檢測裝置還可具有以下特點��,所述查找模塊包括挖掘策略制定單元���,用于根據(jù)僵尸網(wǎng)絡的通信特征制定挖掘策略;挖掘單元���,用于按照所述挖掘策略制定單元制定的挖掘策略在社交網(wǎng)絡中挖掘出所有僵尸的賬號����;溯源單元�,用于根據(jù)所述挖掘單元挖掘到的僵尸的賬號溯源僵尸網(wǎng)絡控制者的賬號和設備標識。為解決上述技術問題�����,本發(fā)明還提出了一種僵尸網(wǎng)絡的對抗方法���,應用于基于社交網(wǎng)絡的融合僵尸網(wǎng)絡,包括根據(jù)權利要求1所述的僵尸網(wǎng)絡的檢測方法檢測到僵尸網(wǎng)絡的所有成員;
在所述檢測完成后制定對抗策略���;按照所述對抗策略發(fā)出對抗命令�����,銷毀所述僵尸網(wǎng)絡�����。為解決上述技術問題��,本發(fā)明提還出了一種僵尸網(wǎng)絡的對抗裝置��,應用于基于社交網(wǎng)絡的融合僵尸網(wǎng)絡��,包括權利要求6所述的僵尸網(wǎng)絡的檢測裝置���,用于根據(jù)權利要求1所述的僵尸網(wǎng)絡的檢測方法查找到僵尸網(wǎng)絡的所有成員;對抗策略制定模塊�,用于在所述僵尸網(wǎng)絡的檢測裝置完成檢測后制定對抗策略;對抗模塊��,用于按照所述對 抗策略制定模塊制定的對抗策略發(fā)出對抗命令�,銷毀所述僵尸網(wǎng)絡�。本發(fā)明僵尸網(wǎng)絡的檢測方法及裝置�����,能夠有效檢測出具有良好隱蔽性的融合僵尸網(wǎng)絡�����,從而為搗毀融合僵尸網(wǎng)絡奠定了基礎��,有助于提高網(wǎng)絡安全性能����。本發(fā)明僵尸網(wǎng)絡的方法及對抗裝置,能夠搗毀具有良好隱蔽性的融合僵尸網(wǎng)絡����,提高了網(wǎng)絡安全性能。
圖1為本發(fā)明實施例中提取僵尸網(wǎng)絡的通信特征的流程圖��;圖2為本發(fā)明實施例中僵尸網(wǎng)絡的檢測裝置的結構框圖���;圖3為本發(fā)明實施例中僵尸網(wǎng)絡的對抗裝置的結構框圖���。
具體實施例方式以下結合附圖對本發(fā)明的原理和特征進行描述����,所舉實例只用于解釋本發(fā)明�����,并非用于限定本發(fā)明的范圍����。針對基于社交網(wǎng)絡的融合僵尸網(wǎng)絡���,本發(fā)明提出了一種僵尸網(wǎng)絡的檢測方法�,該方法包括如下步驟步驟一�,提取僵尸網(wǎng)絡的通信特征;僵尸網(wǎng)絡的通信特征可以包括如下內(nèi)容1���、何種社交網(wǎng)絡承載����;2����、ID聚集關系(即賬號間的關系)����,例如僵尸一的賬號為bto21s�����,僵尸二的賬號為bto32e����,則聚集關系為bto關鍵詞等類似信息;3�、控制命令到達的日周期關系等。步驟二��,根據(jù)通信特征��,查找到僵尸網(wǎng)絡的所有成員�����。僵尸網(wǎng)絡的所有成員包括該僵尸網(wǎng)絡中所有僵尸的賬號和僵尸網(wǎng)絡控制者的賬號���。該賬號可以是僵尸終端�����、僵尸網(wǎng)絡控制者在社交網(wǎng)絡中的賬號(比如微博賬號�����、QQ賬號等)�,如果需要溯源��,則還可以進一步獲得僵尸終端���、僵尸網(wǎng)絡控制者的網(wǎng)絡終端標識(例如IP號��、手機號等)��。圖1為本發(fā)明實施例中提取僵尸網(wǎng)絡的通信特征的流程圖��。如圖1所示�����,步驟一可以包括如下子步驟步驟101���,在僵尸網(wǎng)絡中設置蜜罐和/或蜜網(wǎng),截獲僵尸程序�����;截獲僵尸程序,需要進行分析�����,首先分析一些靜態(tài)信息(比如僵尸程序通信方式�、是否采用加密、它的傳播模塊�、通信模塊、惡意行為模塊等)�,之后,不斷截獲收到的控制命令進行分析���,得到更多的情報���。步驟102,通過僵尸程序判斷該僵尸網(wǎng)絡是否為僵尸控制者通過社交網(wǎng)絡控制的融合僵尸網(wǎng)絡��,若是則執(zhí)行步驟103�����,否則結束本次檢測過程;具體地��,如果僵尸程序中包含登陸公共服務器的賬號��,則該僵尸網(wǎng)絡為僵尸控制者通過社交網(wǎng)絡控制的融合僵尸網(wǎng)絡����,否則,如果僵尸程序中不包含登陸公共服務器的賬號�����,則該僵尸網(wǎng)絡不是僵尸控制者通過社交網(wǎng)絡控制的融合僵尸網(wǎng)絡���。步驟103,根據(jù)預設的采集內(nèi)容采集數(shù)據(jù)����;具體地,可以根據(jù)預設的采集內(nèi)容從僵尸程序中的控制命令C&C (Co_and andControl,控制命令)中采集數(shù)據(jù)。采集的數(shù)據(jù)可以包括社交網(wǎng)絡ID���、社交網(wǎng)絡的鄰居僵尸節(jié)點ID����。控制命令的具體載體包括文本����、圖片、視頻��、音頻等�。采集內(nèi)容可以包括待攻擊的目標、待發(fā)生的攻擊事件信息�、僵尸程序更新命令信息、更新服務器信息�、C&C變化信息等。采集內(nèi)容可以根據(jù)挖掘結果隨時進行調整��。例如�,僵尸B —直從僵尸A收聽控制命令,現(xiàn)在修改為從僵尸X這里收聽控制命令����,或者是僵尸B轉發(fā)的控制命令列表添加了新的僵尸id等信息。從社交網(wǎng)絡ID中可以獲知哪種社交網(wǎng)絡和哪個公司的社交網(wǎng)絡的信息(例如新浪微博�����、騰訊微博等)�,鄰居僵尸節(jié)點ID即社交網(wǎng)賬號(例如新浪微博賬號)���。步驟104,根據(jù)采集的數(shù)據(jù)確定僵尸網(wǎng)絡的通信特征�����。步驟一還可以包括步驟105����,記錄僵尸網(wǎng)絡的攻擊目標和攻擊事件;步驟106����,根據(jù)記錄的攻擊目標和攻擊事件設置僵尸網(wǎng)絡的危害度級別。危害度級別是設置防御優(yōu)先級的基礎����,危害度級別越高��,防御優(yōu)先級越高����。步驟二可以包括如下子步驟步驟201,根據(jù)僵尸網(wǎng)絡的通信特征制定挖掘策略���;挖掘策略可以采用如下三種中的任意一種一是�����,基于賬號賬號(例如僵尸客戶端的微博賬號)的社會關系進行挖掘����;通過這種策略可以找到僵尸網(wǎng)絡在社交網(wǎng)絡中承載的賬號,賬號間的關系即為拓撲結構��。二是��,基于內(nèi)容(文本��、圖像���、音頻��、視頻等)進行挖掘���;這種策略用于找到僵尸網(wǎng)絡成員節(jié)點。例如��,挖掘含有“XXX”微博消息(文本)�����、挖掘微博加載的圖片、語音和視頻信息等���。例如�����,僵尸控制者發(fā)送的有效控制消息為“ABCd” (文本消息)����,那么通過挖掘含有“ABCd”的所有微博�����,就可以查找到所有發(fā)過“ABCd”消息的賬號�,再逐一排查賬號的行為特征或者多次關聯(lián)賬號組,求交集���,從而得出其他僵尸網(wǎng)絡成員節(jié)點。三是���,上述兩種挖掘策略的結合����。步驟202,按照挖掘策略在社交網(wǎng)絡中挖掘出所有僵尸的賬號����;步驟203,根據(jù)挖掘到的僵尸的賬號溯源僵尸網(wǎng)絡控制者的賬號和設備標識(設備IP地址或者手機號)��。這里的溯源是指通過挖掘發(fā)現(xiàn)所有僵尸的賬號后的溯源�����。下面以微薄為例���,說明幾種溯源的具體過程����。溯源方法一 (1)查找收發(fā)微博(微博消息即是控制命令)時間����,鎖定目標(僵尸控制者總是控制命令的發(fā)起者);(2)獲取該賬號發(fā)送微薄時主機的IP地址或者手機號;如果不能執(zhí)行步驟(2)�,則執(zhí)行步驟(3),聯(lián)系微博服務商�,令其提供該賬號登陸信息���。
溯源方法二 (1)挖掘這些微博賬號日在線的時間規(guī)律,往往僵尸控制者的上下線特征與受控僵尸不同����;(2)獲取該賬號發(fā)送微薄時主機的IP地址或者手機號;如果不能執(zhí)行步驟(2)���,則執(zhí)行步驟(3)��,聯(lián)系微博服務商���,令其提供該賬號登陸信息。溯源方法三(1)收發(fā)微博的數(shù)量�����,僵尸控制者收發(fā)微博的數(shù)量和比例往往與受控僵尸不同����;(2)獲取該賬號發(fā)送微薄時主機的IP地址或者手機號;如果不能執(zhí)行步驟
(2)��,則執(zhí)行步驟(3),聯(lián)系微博服務商�,令其提供該賬號登陸信息����。本發(fā)明僵尸網(wǎng)絡的檢測方法,能夠有效檢測出具有良好隱蔽性的融合僵尸網(wǎng)絡���,從而為搗毀融合僵尸網(wǎng)絡奠定了基礎����,有助于提高網(wǎng)絡安全性能����。本發(fā)明還提出了一種僵尸網(wǎng)絡的檢測裝置,用以執(zhí)行上述的僵尸網(wǎng)絡的檢測方法��。本發(fā)明的僵尸網(wǎng)絡的檢測裝置應用于基于社交網(wǎng)絡的融合僵尸網(wǎng)絡���。圖2為本發(fā)明實施例中僵尸網(wǎng)絡的檢測裝置的結構框圖���。如圖2所示,本實施例 中��,僵尸網(wǎng)絡的檢測裝置200可以包括提取模塊210和查找模塊220��。提取模塊210用于提取僵尸網(wǎng)絡的通信特征。查找模塊220用于根據(jù)提取模塊210提取的通信特征查找到僵尸網(wǎng)絡的所有成員�。在本發(fā)明實施例中,提取模塊210可以進一步包括截獲單元�、判斷單元、采集單元和提取單元���。截獲單元��、判斷單元��、采集單元和提取單元順次相連�。其中���,截獲單元用于在僵尸網(wǎng)絡中設置蜜罐和/或蜜網(wǎng)��,截獲僵尸程序��。判斷單元用于通過截獲單元截獲的僵尸程序判斷該僵尸網(wǎng)絡是否為僵尸控制者通過社交網(wǎng)絡控制的融合僵尸網(wǎng)絡��。采集單元用于在判斷單元的判斷結果為是時��,根據(jù)預設的采集內(nèi)容采集數(shù)據(jù)�。提取單元用于根據(jù)采集單元采集的數(shù)據(jù)提取僵尸網(wǎng)絡的通信特征。其中�����,判斷單元可以進一步包括第一判斷子單元�����。第一判斷子單元用于判斷僵尸程序中是否包含登陸公共服務器的賬號��,若包含則該僵尸網(wǎng)絡為僵尸控制者通過社交網(wǎng)絡控制的融合僵尸網(wǎng)絡��。在本發(fā)明實施例中���,提取模塊210還可以進一步包括記錄單元和設置單元。記錄單元用于記錄僵尸網(wǎng)絡的攻擊目標和攻擊事件����。設置單元用于根據(jù)記錄單元記錄的攻擊目標和攻擊事件設置僵尸網(wǎng)絡的危害度級別。在本發(fā)明實施例中��,查找模塊220可以進一步包括挖掘策略制定單元���、挖掘單元和溯源單元�����。挖掘策略制定單元用于根據(jù)僵尸網(wǎng)絡的通信特征制定挖掘策略��。挖掘單元用于按照挖掘策略制定單元所指定的挖掘策略在社交網(wǎng)絡中挖掘出所有僵尸的賬號�����。溯源單元用于根據(jù)挖掘單元挖掘到的僵尸的賬號溯源僵尸網(wǎng)絡控制者的賬號和設備標識���。本發(fā)明僵尸網(wǎng)絡的檢測的檢測裝置�,通過執(zhí)行上述的僵尸網(wǎng)絡的檢測方法�����,能夠有效檢測出具有良好隱蔽性的融合僵尸網(wǎng)絡��,從而為搗毀融合僵尸網(wǎng)絡奠定了基礎�����,有助于提聞網(wǎng)絡安全性能�。在上述的僵尸網(wǎng)絡的檢測方法的基礎上,本發(fā)明還提出了一種僵尸網(wǎng)絡的對抗方法��,該對抗方法包括如下步驟步驟a,根據(jù)本發(fā)明上述提出的僵尸網(wǎng)絡的檢測方法檢測到僵尸網(wǎng)絡的所有成員��;步驟b��,在步驟a的檢測完成后制定對抗策略���;具體地�,可以根據(jù)蜜罐和/或蜜網(wǎng)獲得的信息和在社交網(wǎng)絡服務器上挖掘得出的結論�����,制定對抗策略����。由于每個僵尸網(wǎng)絡都具備網(wǎng)絡的特征�,因此,僵尸之間都應存在相應的關系���,這種關系稱之為僵尸網(wǎng)絡成員的社會關系(因為并不是所有僵尸都會和僵尸控制者有直接關系�,但是會存在間接關系�����,僵尸網(wǎng)絡中僵尸與僵尸之間的關系類似于人與人之間的關系,因此稱為社會關系)��。對抗策略的內(nèi)容可以包括如下三點����。1、搗毀僵尸網(wǎng)絡�����,包括a)封社交網(wǎng)的賬號����;b)發(fā)送偽造的自毀命令;2�、劫持僵尸網(wǎng)絡(修改控制命令信道,接管僵尸網(wǎng)絡(重置僵尸社交網(wǎng)賬號的社會關系))
3��、溯源僵尸網(wǎng)絡控制者���。步驟C�,按照步驟b制定的對抗策略發(fā)出對抗命令���,銷毀僵尸網(wǎng)絡�����。本發(fā)明僵尸網(wǎng)絡的對抗方法���,能夠搗毀具有良好隱蔽性的融合僵尸網(wǎng)絡�����,提高了網(wǎng)絡安全性能����。本發(fā)明還提出了一種僵尸網(wǎng)絡的對抗裝置�����,用以執(zhí)行上述的僵尸網(wǎng)絡的對抗方法�����。圖3為本發(fā)明實施例中僵尸網(wǎng)絡的對抗裝置的結構框圖����。如圖3所示����,本實施例中�����,僵尸網(wǎng)絡的對抗裝置包括僵尸網(wǎng)絡的檢測裝置200����、對抗策略制定模塊300和對抗模塊400����。其中,僵尸網(wǎng)絡的檢測裝置200用于根據(jù)本發(fā)明上述的僵尸網(wǎng)絡的檢測方法檢測到僵尸網(wǎng)絡的所有成員�。對抗策略制定模塊300用于在僵尸網(wǎng)絡的檢測裝置的檢測完成后制定對抗策略。對抗模塊400用于按照對抗策略制定模塊制定的對抗策略發(fā)出對抗命令�,銷毀僵尸網(wǎng)絡。其中���,僵尸網(wǎng)絡的檢測裝置可以是上述僵尸網(wǎng)絡的檢測裝置中的任意一種��,例如圖2所示的僵尸網(wǎng)絡的檢測裝置����。本發(fā)明僵尸網(wǎng)絡的對抗裝置�����,能夠搗毀具有良好隱蔽性的融合僵尸網(wǎng)絡,提高了網(wǎng)絡安全性能���。以上所述僅為本發(fā)明的較佳實施例���,并不用以限制本發(fā)明,凡在本發(fā)明的精神和原則之內(nèi)���,所作的任何修改����、等同替換��、改進等�,均應包含在本發(fā)明的保護范圍之內(nèi)����。
權利要求
1.一種僵尸網(wǎng)絡的檢測方法,應用于基于社交網(wǎng)絡的融合僵尸網(wǎng)絡�,其特征在于,包括: 提取僵尸網(wǎng)絡的通信特征�����; 根據(jù)所述通信特征查找到所述僵尸網(wǎng)絡的所有成員。
2.根據(jù)權利要求1所述的僵尸網(wǎng)絡的檢測方法��,其特征在于��,所述提取僵尸網(wǎng)絡的通信特征包括 在僵尸網(wǎng)絡中設置蜜罐和/或蜜網(wǎng)�,截獲僵尸程序; 通過所述僵尸程序判斷該僵尸網(wǎng)絡是否為僵尸控制者通過社交網(wǎng)絡控制的融合僵尸網(wǎng)絡��; 若是��,則根據(jù)預設的采集內(nèi)容采集數(shù)據(jù)����; 根據(jù)采集的數(shù)據(jù)提取僵尸網(wǎng)絡的通信特征。
3.根據(jù)權利要求2所述的僵尸網(wǎng)絡的檢測方法����,其特征在于,所述提取僵尸網(wǎng)絡的通信特征還包括 記錄僵尸網(wǎng)絡的攻擊目標和攻擊事件�; 根據(jù)所述攻擊目標和攻擊事件設置所述僵尸網(wǎng)絡的危害度級別。
4.根據(jù)權利要求2所述的僵尸網(wǎng)絡的檢測方法��,其特征在于,所述通過所述僵尸程序判斷該僵尸網(wǎng)絡是否為僵尸控制者通過社交網(wǎng)絡控制的融合僵尸網(wǎng)絡包括 判斷僵尸程序中是否包含登陸公共服務器的賬號����,若包含則該僵尸網(wǎng)絡為僵尸控制者通過社交網(wǎng)絡控制的融合僵尸網(wǎng)絡。
5.根據(jù)權利要求1所述的僵尸網(wǎng)絡的檢測方法����,其特征在于,所述根據(jù)所述通信特征查找到所述僵尸網(wǎng)絡的所有成員包括 根據(jù)僵尸網(wǎng)絡的通信特征制定挖掘策略����; 按照挖掘策略在社交網(wǎng)絡中挖掘出所有僵尸的賬號; 根據(jù)挖掘到的僵尸的賬號溯源僵尸網(wǎng)絡控制者的賬號和設備標識�����。
6.一種僵尸網(wǎng)絡的檢測裝置�,應用于基于社交網(wǎng)絡的融合僵尸網(wǎng)絡,其特征在于��,包括 提取模塊�,用于提取僵尸網(wǎng)絡的通信特征; 查找模塊����,用于根據(jù)所述提取模塊提取的通信特征查找到所述僵尸網(wǎng)絡的所有成員�����。
7.根據(jù)權利要求6所述的僵尸網(wǎng)絡的檢測裝置,其特征在于���,所述提取模塊包括 截獲單元����,用于在僵尸網(wǎng)絡中設置蜜罐和/或蜜網(wǎng)�����,截獲僵尸程序��; 判斷單元����,用于通過所述截獲單元截獲的僵尸程序判斷該僵尸網(wǎng)絡是否為僵尸控制者通過社交網(wǎng)絡控制的融合僵尸網(wǎng)絡; 采集單元�,用于在所述判斷單元的判斷結果為是時,根據(jù)預設的采集內(nèi)容采集數(shù)據(jù)�����; 提取單元,用于根據(jù)所述采集單元采集的數(shù)據(jù)提取僵尸網(wǎng)絡的通信特征��。
8.根據(jù)權利要求7所述的僵尸網(wǎng)絡的檢測裝置�����,其特征在于��,所述提取模塊還包括 記錄單元�,用于記錄僵尸網(wǎng)絡的攻擊目標和攻擊事件; 設置單元��,用于根據(jù)所述記錄單元記錄的攻擊目標和攻擊事件設置所述僵尸網(wǎng)絡的危害度級別�。
9.根據(jù)權利要求7所述的僵尸網(wǎng)絡的檢測裝置,其特征在于��,所述判斷單元包括第一判斷子單元��,用于判斷僵尸程序中是否包含登陸公共服務器的賬號���,若包含則該僵尸網(wǎng)絡為僵尸控制者通過社交網(wǎng)絡控制的融合僵尸網(wǎng)絡����。
10.根據(jù)權利要求6所述的僵尸網(wǎng)絡的檢測裝置�����,其特征在于��,所述查找模塊包括 挖掘策略制定單元����,用于根據(jù)僵尸網(wǎng)絡的通信特征制定挖掘策略; 挖掘單元����,用于按照所述挖掘策略制定單元制定的挖掘策略在社交網(wǎng)絡中挖掘出所有僵尸的賬號; 溯源單元���,用于根據(jù)所述挖掘單元挖掘到的僵尸的賬號溯源僵尸網(wǎng)絡控制者的賬號和設備標識�。
11.一種僵尸網(wǎng)絡的對抗方法����,應用于基于社交網(wǎng)絡的融合僵尸網(wǎng)絡,其特征在于���,包括 根據(jù)權利要求1所述的僵尸網(wǎng)絡的檢測方法檢測到僵尸網(wǎng)絡的所有成員�; 在所述檢測完成后制定對抗策略��; 按照所述對抗策略發(fā)出對抗命令,銷毀所述僵尸網(wǎng)絡�����。
12.—種僵尸網(wǎng)絡的對抗裝置�����,應用于基于社交網(wǎng)絡的融合僵尸網(wǎng)絡���,其特征在于�����,包括 權利要求6所述的僵尸網(wǎng)絡的檢測裝置�����,用于根據(jù)權利要求1所述的僵尸網(wǎng)絡的檢測方法查找到僵尸網(wǎng)絡的所有成員�; 對抗策略制定模塊�,用于在所述僵尸網(wǎng)絡的檢測裝置完成檢測后制定對抗策略; 對抗模塊����,用于按照所述對抗策略制定模塊制定的對抗策略發(fā)出對抗命令��,銷毀所述僵尸網(wǎng)絡����。
全文摘要
本發(fā)明涉及一種僵尸網(wǎng)絡的檢測方法及裝置�、僵尸網(wǎng)絡的對抗方法及裝置�。僵尸網(wǎng)絡的檢測方法應用于基于社交網(wǎng)絡的融合僵尸網(wǎng)絡,包括提取僵尸網(wǎng)絡的通信特征����;根據(jù)所述通信特征查找到所述僵尸網(wǎng)絡的所有成員。本發(fā)明僵尸網(wǎng)絡的檢測方法及裝置�,能夠有效檢測出具有良好隱蔽性的融合僵尸網(wǎng)絡,從而為搗毀融合僵尸網(wǎng)絡奠定了基礎����,有助于提高網(wǎng)絡安全性能。本發(fā)明僵尸網(wǎng)絡的方法及對抗裝置�����,能夠搗毀具有良好隱蔽性的融合僵尸網(wǎng)絡���,提高了網(wǎng)絡安全性能���。
文檔編號H04L29/06GK103023891SQ20121049978
公開日2013年4月3日 申請日期2012年11月29日 優(yōu)先權日2012年11月29日
發(fā)明者李躍, 翟立東, 賈召鵬 申請人:中國科學院信息工程研究所