一種僵尸網(wǎng)絡(luò)的檢測方法��、裝置和系統(tǒng)的制作方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明屬于計算機(jī)網(wǎng)絡(luò)安全領(lǐng)域����,尤其涉及一種僵尸網(wǎng)絡(luò)的檢測方法、裝置和系統(tǒng)����。
【背景技術(shù)】
[0002]僵尸網(wǎng)絡(luò)是指采用一種或者多種傳播手段將大量主機(jī)感染僵尸程序,從而在控制者和被感染主機(jī)之間形成一個一對多的控制網(wǎng)絡(luò)��,其中���,被感染主機(jī)稱之為僵尸計算機(jī)����,控制這些僵尸計算機(jī)的主機(jī)稱為僵尸服務(wù)器。
[0003]隨著網(wǎng)絡(luò)帶寬的增速以及計算機(jī)和網(wǎng)絡(luò)設(shè)備的硬件性能的提升���,使僵尸網(wǎng)絡(luò)傳播的速度越來越快�,其活動越來越猖獗�����。由僵尸網(wǎng)絡(luò)構(gòu)成一個攻擊平臺�,利用這個平臺可以有效地發(fā)起各種各樣的攻擊行為����,包括如拒絕服務(wù)攻擊、發(fā)送垃圾郵件��、竊取秘密�����、濫用資源和僵尸網(wǎng)絡(luò)挖礦等等�����,可以導(dǎo)致整個基礎(chǔ)信息網(wǎng)絡(luò)或者重要應(yīng)用系統(tǒng)癱瘓、導(dǎo)致大量機(jī)密或個人隱私泄漏或用來從事網(wǎng)絡(luò)欺詐等其他違法犯罪活動���,其危害性極其嚴(yán)重�。
[0004]為有效的檢測出僵尸網(wǎng)絡(luò)�����,從而減少由僵尸網(wǎng)絡(luò)帶來的危害��,現(xiàn)有技術(shù)中通常使用用戶名nickname進(jìn)行僵尸網(wǎng)絡(luò)檢測,但由于nickname的規(guī)律需要統(tǒng)計發(fā)現(xiàn),可能會出現(xiàn)漏報或者誤報的現(xiàn)象�����,其檢測準(zhǔn)確率不高�����。
【發(fā)明內(nèi)容】
[0005]本發(fā)明實施例的目的在于提供一種僵尸網(wǎng)絡(luò)的檢測方法��,以解決現(xiàn)有技術(shù)使用用戶名nickname進(jìn)行檢測僵尸網(wǎng)絡(luò)時����,容易出現(xiàn)漏報或者誤報的現(xiàn)象�,其檢測準(zhǔn)確率不高的問題����。
[0006]本發(fā)明實施例是這樣實現(xiàn)的,一種僵尸網(wǎng)絡(luò)的檢測方法�,所述方法包括:
[0007]獲取在網(wǎng)絡(luò)節(jié)點(diǎn)捕獲的攻擊行為數(shù)據(jù);
[0008]解析所述攻擊行為數(shù)據(jù)��,獲取所述攻擊行為數(shù)據(jù)中包括的有效負(fù)載payload數(shù)據(jù)�,所述有效負(fù)載payload數(shù)據(jù)為攻擊行為數(shù)據(jù)中實現(xiàn)惡意動作的代碼部分;
[0009]查找所述有效負(fù)載payload數(shù)據(jù)中包括的惡意程序下載的源地址和發(fā)送下載請求的來源IP �����;
[0010]根據(jù)所述源地址和所述來源IP確定所述僵尸網(wǎng)絡(luò)中的計算機(jī)����。
[0011]本發(fā)明實施例的另一目的在于提供一種僵尸網(wǎng)絡(luò)的檢測裝置����,所述裝置包括:
[0012]數(shù)據(jù)接收單元,用于獲取在網(wǎng)絡(luò)節(jié)點(diǎn)捕獲的攻擊行為數(shù)據(jù)���;
[0013]解析獲取單元�,用于解析所述攻擊行為數(shù)據(jù),獲取所述攻擊行為數(shù)據(jù)中包括的有效負(fù)載payload數(shù)據(jù)�,所述有效負(fù)載payload數(shù)據(jù)為攻擊行為數(shù)據(jù)中實現(xiàn)惡意動作的代碼部分;
[0014]查找單元�����,用于查找所述有效負(fù)載payload數(shù)據(jù)中包括的惡意程序下載的源地址和發(fā)送下載請求的來源IP ��;
[0015]確定單元�,用于根據(jù)所述源地址和所述來源IP確定所述僵尸網(wǎng)絡(luò)中的計算機(jī)。
[0016]本發(fā)明實施例還提供了一種僵尸網(wǎng)絡(luò)的檢測系統(tǒng)�,所述系統(tǒng)包括設(shè)置于被檢測網(wǎng)絡(luò)中的各個節(jié)點(diǎn)位置的數(shù)據(jù)捕獲裝置,以及與各個數(shù)據(jù)捕獲裝置相連的數(shù)據(jù)分析服務(wù)器�����,所述數(shù)據(jù)捕獲裝置用于獲取在網(wǎng)絡(luò)節(jié)點(diǎn)傳送的攻擊行為數(shù)據(jù)���,所述數(shù)據(jù)分析服務(wù)器用于接收各個節(jié)點(diǎn)位置的數(shù)據(jù)捕獲裝置捕獲的攻擊行為數(shù)據(jù)��,獲取所述攻擊行為數(shù)據(jù)中包括的有效負(fù)載payload數(shù)據(jù)��,根據(jù)所述有效負(fù)載payload數(shù)據(jù)查找其中包括的惡意程序下載的源地址和發(fā)送下載請求的來源IP�,根據(jù)所述源地址和所述來源IP確定所述僵尸網(wǎng)絡(luò)中的計算機(jī)。
[0017]在本發(fā)明實施例中����,通過獲取在網(wǎng)絡(luò)節(jié)點(diǎn)捕獲的攻擊行為數(shù)據(jù),獲取攻擊行為數(shù)據(jù)中包括的有效負(fù)載�,在所述有效負(fù)載中查找其包括的惡意程序下載的源地址和發(fā)送下載請求的IP,根據(jù)所述源地址和所述來源IP確定所述僵尸網(wǎng)絡(luò)中的計算機(jī)�����。本發(fā)明根據(jù)僵尸網(wǎng)絡(luò)在傳播的行為特點(diǎn)�����,從網(wǎng)絡(luò)節(jié)點(diǎn)捕獲到攻擊行為數(shù)據(jù)查找到有效負(fù)載payload中包括的惡意程序下載的源地址和發(fā)送下載請求的來源IP���,從而有效的確定僵尸網(wǎng)絡(luò)中的計算機(jī)�,和現(xiàn)有技術(shù)的通過名稱匹配的方式相比����,本發(fā)明所述僵尸網(wǎng)絡(luò)的檢測方法能夠有效的避免誤報漏報現(xiàn)象,有效的提高檢測的準(zhǔn)確率���。
【附圖說明】
[0018]圖1是本發(fā)明第一實施例提供的僵尸網(wǎng)絡(luò)的檢測方法的實現(xiàn)流程圖;
[0019]圖2是本發(fā)明第二實施例提供的僵尸網(wǎng)絡(luò)的檢測方法的實現(xiàn)流程圖��;
[0020]圖3是本發(fā)明第三實施例提供的僵尸網(wǎng)絡(luò)檢測系統(tǒng)的結(jié)構(gòu)示意圖;
[0021]圖4是本發(fā)明第三實施例提供的僵尸網(wǎng)絡(luò)的檢測系統(tǒng)應(yīng)用于網(wǎng)絡(luò)檢測的結(jié)構(gòu)示意圖�����;
[0022]圖5為本發(fā)明第四實施例提供的僵尸網(wǎng)絡(luò)的檢測裝置的結(jié)構(gòu)框圖�;
[0023]圖6為本發(fā)明第五實施例提供的設(shè)備的結(jié)構(gòu)示意圖。
【具體實施方式】
[0024]為了使本發(fā)明的目的��、技術(shù)方案及優(yōu)點(diǎn)更加清楚明白��,以下結(jié)合附圖及實施例����,對本發(fā)明進(jìn)行進(jìn)一步詳細(xì)說明。應(yīng)當(dāng)理解���,此處所描述的具體實施例僅僅用以解釋本發(fā)明��,并不用于限定本發(fā)明�。
[0025]當(dāng)WEB應(yīng)用越來越為豐富的同時�����,WEB服務(wù)器以其強(qiáng)大的計算能力、處理性能及蘊(yùn)含的較高價值逐漸成為主要攻擊目標(biāo)���,如注入攻擊���、信息泄露、弱口令攻擊等�。其中,通過僵尸網(wǎng)絡(luò)控制的眾多計算機(jī)對服務(wù)器的攻擊也是一種常見的攻擊形式���。
[0026]為及時發(fā)現(xiàn)僵尸網(wǎng)絡(luò)以便找到受侵害的計算機(jī)�����,目前常用一種使用用戶名nickname進(jìn)行檢測僵尸網(wǎng)絡(luò)的方法����,由于加入到僵尸服務(wù)器中的所謂用戶的名稱(nickname)是由僵尸(bot)程序生成,所以這些bot的nickname應(yīng)符合一定的生成算法���,帶有一定的規(guī)律性����,如IP地址表示法就是將被感染了 bot程序的主機(jī)的IP地址所在國的三位縮寫放在開頭�,然后在后面加入指定長度的隨機(jī)數(shù)字�,如USAI 8028032�����,CHA | 8920340 ����;系統(tǒng)表示法是將被感染bot程序的主機(jī)的系統(tǒng)作為開始的字母如xp��、2000等��,然后再在后面加上指定長度的隨機(jī)數(shù)字�,如xp I 8034,2000 I 80956)��。這些命名的特征可以從得到的bot源碼中發(fā)現(xiàn)并總結(jié)出來����。這些用戶的nickname的規(guī)律性和正常的ire的用戶nickname的隨意性是不相同的,因此通過特征字符匹配http數(shù)據(jù)特征中的如nickname可以判斷網(wǎng)絡(luò)中ire僵尸網(wǎng)絡(luò)�����。但由于這種方法中的nickname的規(guī)律需要統(tǒng)計發(fā)現(xiàn),可能會出現(xiàn)漏報或者誤報的現(xiàn)象��,其檢測準(zhǔn)確率不高。
[0027]為快速有效的分析和檢測到僵尸網(wǎng)絡(luò)����,本發(fā)明所述僵尸網(wǎng)絡(luò)的檢測方法,包括:獲取在網(wǎng)絡(luò)節(jié)點(diǎn)捕獲的攻擊行為數(shù)據(jù)�����;解析所述攻擊行為數(shù)據(jù)�,獲取所述攻擊行為數(shù)據(jù)中包括的有效負(fù)載payload數(shù)據(jù),所述有效負(fù)載payload數(shù)據(jù)為攻擊行為數(shù)據(jù)中實現(xiàn)惡意動作的代碼部分�;查找所述有效負(fù)載payload數(shù)據(jù)中包括的惡意程序下載的源地址和發(fā)送下載請求的來源IP ;根據(jù)所述源地址和所述來源IP確定所述僵尸網(wǎng)絡(luò)中的計算機(jī)。
[0028]本發(fā)明根據(jù)僵尸網(wǎng)絡(luò)在傳播的行為特點(diǎn)����,從網(wǎng)絡(luò)節(jié)點(diǎn)捕獲到攻擊行為數(shù)據(jù)查找到有效負(fù)載payload中包括的惡意程序下載的源地址和發(fā)送下載請求的來源IP,從而有效的確定僵尸網(wǎng)絡(luò)中的計算機(jī)���,和現(xiàn)有技術(shù)的通過名稱匹配的方式相比��,本發(fā)明所述僵尸網(wǎng)絡(luò)的檢測方法能夠有效的避免誤報漏報現(xiàn)象�����,有效的提高檢測的準(zhǔn)確率�����。
[0029]實施例一:
[0030]圖1示出了本發(fā)明第一實施例提供的僵尸網(wǎng)絡(luò)的檢測方法的實現(xiàn)流程�,詳述如下:
[0031]在步驟SlOl中,獲取在網(wǎng)絡(luò)節(jié)點(diǎn)捕獲的攻擊行為數(shù)據(jù)�����。
[0032]具體的���,獲取在網(wǎng)絡(luò)節(jié)點(diǎn)捕獲的攻擊行為數(shù)據(jù),可以通過在網(wǎng)絡(luò)節(jié)點(diǎn)設(shè)置的Web應(yīng)用防火墻WAF系統(tǒng)����,通過WAF系統(tǒng)捕獲攻擊行為數(shù)據(jù),或者設(shè)置主動式入侵防御系統(tǒng)(英文簡稱為 IPS,英文全稱為 Intrus1n Prevent1n System)�����。
[0033]所述入侵預(yù)防系統(tǒng)IPS是計算機(jī)網(wǎng)絡(luò)的安全設(shè)備�,是對防病毒軟件(AntivirusPrograms)和防火墻(Packet Filter, Applicat1n Gateway)的補(bǔ)充。入侵預(yù)防系統(tǒng) IPS是一種能夠監(jiān)視網(wǎng)絡(luò)或網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)資料傳輸行為的計算機(jī)網(wǎng)絡(luò)安全設(shè)備�,能夠即時的中斷、調(diào)整或隔離一些不正?��;蚴蔷哂袀π缘木W(wǎng)絡(luò)資料傳輸行為�。
[0034]其中,所述Web應(yīng)用防火墻WAF,其英文全稱為:Web Applicat1n Firewall, WAF會對當(dāng)前Web應(yīng)用中的攻擊進(jìn)行防護(hù)���,與傳統(tǒng)防火墻不同�,WAF工作于應(yīng)用層�����,基于已知的攻擊特