端的必須構(gòu)成，完全可以根據(jù)需要在不改變發(fā)明的本質(zhì)的范圍內(nèi)而省略。
[0103]處理器680是終端的控制中心，利用各種接口和線路連接整個(gè)終端的各個(gè)部分，通過(guò)運(yùn)行或執(zhí)行存儲(chǔ)在存儲(chǔ)器620內(nèi)的軟件程序和/或模塊，以及調(diào)用存儲(chǔ)在存儲(chǔ)器620內(nèi)的數(shù)據(jù)，執(zhí)行終端的各種功能和處理數(shù)據(jù)，從而對(duì)終端進(jìn)行整體監(jiān)控。可選的，處理器680可包括一個(gè)或多個(gè)處理單元；優(yōu)選的，處理器680可集成應(yīng)用處理器和調(diào)制解調(diào)處理器，其中，應(yīng)用處理器主要處理操作系統(tǒng)、用戶界面和應(yīng)用程序等，調(diào)制解調(diào)處理器主要處理無(wú)線通信?？梢岳斫獾氖?，上述調(diào)制解調(diào)處理器也可以不集成到處理器680中。
[0104]終端還包括給各個(gè)部件供電的電源690 (比如電池)，優(yōu)選的，電源可以通過(guò)電源管理系統(tǒng)與處理器680邏輯相連，從而通過(guò)電源管理系統(tǒng)實(shí)現(xiàn)管理充電、放電、以及功耗管理等功能。
[0105]盡管未示出，終端還可以包括輸入設(shè)備、顯示設(shè)備、音頻電路、攝像頭、藍(lán)牙模塊等，在此不再贅述。
[0106]在本發(fā)明實(shí)施例中，該終端所包括的處理器680還具有以下功能:執(zhí)行僵尸網(wǎng)絡(luò)的檢測(cè)方法，包括:
[0107]獲取在網(wǎng)絡(luò)節(jié)點(diǎn)捕獲的攻擊行為數(shù)據(jù)；
[0108]解析所述攻擊行為數(shù)據(jù)，獲取所述攻擊行為數(shù)據(jù)中包括的有效負(fù)載payload數(shù)據(jù)，所述有效負(fù)載payload數(shù)據(jù)為攻擊行為數(shù)據(jù)中實(shí)現(xiàn)惡意動(dòng)作的代碼部分；
[0109]查找所述有效負(fù)載payload數(shù)據(jù)中包括的惡意程序下載的源地址和發(fā)送下載請(qǐng)求的來(lái)源IP ；
[0110]根據(jù)所述源地址和所述來(lái)源IP確定所述僵尸網(wǎng)絡(luò)中的計(jì)算機(jī)。
[0111]以上所述僅為本發(fā)明的較佳實(shí)施例而已，并不用以限制本發(fā)明，凡在本發(fā)明的精神和原則之內(nèi)所作的任何修改、等同替換和改進(jìn)等，均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)。
【主權(quán)項(xiàng)】
1.一種僵尸網(wǎng)絡(luò)的檢測(cè)方法，其特征在于，所述方法包括: 獲取在網(wǎng)絡(luò)節(jié)點(diǎn)捕獲的攻擊行為數(shù)據(jù)； 解析所述攻擊行為數(shù)據(jù)，獲取所述攻擊行為數(shù)據(jù)中包括的有效負(fù)載payload數(shù)據(jù)，所述有效負(fù)載payload數(shù)據(jù)為攻擊行為數(shù)據(jù)中實(shí)現(xiàn)惡意動(dòng)作的代碼部分； 查找所述有效負(fù)載payload數(shù)據(jù)中包括的惡意程序下載的源地址和發(fā)送下載請(qǐng)求的來(lái)源IP ; 根據(jù)所述源地址和所述來(lái)源IP確定所述僵尸網(wǎng)絡(luò)中的計(jì)算機(jī)。
2.根據(jù)權(quán)利要求1所述方法，其特征在于，所述獲取在網(wǎng)絡(luò)節(jié)點(diǎn)捕獲的攻擊行為數(shù)據(jù)步驟具體為: 接收由在網(wǎng)絡(luò)節(jié)點(diǎn)捕獲的攻擊行為數(shù)據(jù)，所述攻擊行為數(shù)據(jù)為設(shè)置于網(wǎng)絡(luò)節(jié)點(diǎn)處的Web應(yīng)用防火墻WAF系統(tǒng)或入侵預(yù)防系統(tǒng)IPS捕獲的攻擊行為數(shù)據(jù)。
3.根據(jù)權(quán)利要求1所述方法，其特征在于，所述解析所述攻擊行為數(shù)據(jù)，獲取所述攻擊行為數(shù)據(jù)中包括的有效負(fù)載payload數(shù)據(jù)步驟包括: 將所述攻擊行為數(shù)據(jù)與預(yù)先定義的惡意動(dòng)作執(zhí)行代碼的關(guān)鍵詞進(jìn)行比較，判斷在所述攻擊行為數(shù)據(jù)中，是否包括所述預(yù)先定義的惡意動(dòng)作執(zhí)行代碼的關(guān)鍵詞； 如果包括所述預(yù)先定義的惡意動(dòng)作執(zhí)行代碼的關(guān)鍵詞，則確定包括所述惡意動(dòng)作執(zhí)行代碼關(guān)鍵詞所在的行或語(yǔ)句為有效負(fù)載payload數(shù)據(jù)。
4.根據(jù)權(quán)利要求1所述方法，其特征在于，所述根據(jù)所述源地址和所述來(lái)源IP確定所述僵尸網(wǎng)絡(luò)中的計(jì)算機(jī)具體為: 在所述有效負(fù)載payload數(shù)據(jù)中，判斷由不同計(jì)算機(jī)發(fā)送的相同的惡意程序下載源地址出現(xiàn)的次數(shù)是否大于預(yù)定次數(shù)； 如果由不同計(jì)算機(jī)發(fā)送的相同的惡意程序下載源地址出現(xiàn)的次數(shù)大于預(yù)定次數(shù)，則所述惡意程序下載源地址對(duì)應(yīng)的主機(jī)確定為僵尸服務(wù)器，發(fā)送對(duì)應(yīng)下載請(qǐng)求的來(lái)源IP所對(duì)應(yīng)的計(jì)算機(jī)確定為僵尸計(jì)算機(jī)。
5.根據(jù)權(quán)利要求1所述方法，其特征在于，所述查找所述有效負(fù)載payload數(shù)據(jù)中包括的惡意程序下載的源地址和發(fā)送下載請(qǐng)求的來(lái)源IP步驟具體可以包括: 將有效負(fù)載payload數(shù)據(jù)與預(yù)先定義下載關(guān)鍵詞進(jìn)行比較，查找在所述有效負(fù)載payload數(shù)據(jù)中包括下載關(guān)鍵詞； 根據(jù)在所述有效負(fù)載payload數(shù)據(jù)中查找的下載關(guān)鍵詞，確定所述下載關(guān)鍵詞對(duì)應(yīng)的惡意程序下載的源地址和發(fā)送下載請(qǐng)求的來(lái)源IP。
6.一種僵尸網(wǎng)絡(luò)的檢測(cè)裝置，其特征在于，所述裝置包括: 數(shù)據(jù)接收單元，用于獲取在網(wǎng)絡(luò)節(jié)點(diǎn)捕獲的攻擊行為數(shù)據(jù)； 解析獲取單元，用于解析所述攻擊行為數(shù)據(jù)，獲取所述攻擊行為數(shù)據(jù)中包括的有效負(fù)載payload數(shù)據(jù)，所述有效負(fù)載payload數(shù)據(jù)為攻擊行為數(shù)據(jù)中實(shí)現(xiàn)惡意動(dòng)作的代碼部分； 查找單元，用于查找所述有效負(fù)載payload數(shù)據(jù)中包括的惡意程序下載的源地址和發(fā)送下載請(qǐng)求的來(lái)源IP ; 確定單元，用于根據(jù)所述源地址和所述來(lái)源IP確定所述僵尸網(wǎng)絡(luò)中的計(jì)算機(jī)。
7.根據(jù)權(quán)利要求6所述裝置，其特征在于，所述數(shù)據(jù)接收單元具體用于接收由在網(wǎng)絡(luò)節(jié)點(diǎn)捕獲的攻擊行為數(shù)據(jù)，所述攻擊行為數(shù)據(jù)為設(shè)置于網(wǎng)絡(luò)節(jié)點(diǎn)處的Web應(yīng)用防火墻WAF系統(tǒng)或入侵預(yù)防系統(tǒng)IPS捕獲的攻擊行為數(shù)據(jù)。
8.根據(jù)權(quán)利要求6所述裝置，其特征在于，所述解析獲取單元包括: 第一比較子單元，用于將所述攻擊行為數(shù)據(jù)與預(yù)先定義的惡意動(dòng)作執(zhí)行代碼的關(guān)鍵詞進(jìn)行比較，判斷在所述攻擊行為數(shù)據(jù)中，是否包括所述預(yù)先定義的惡意動(dòng)作執(zhí)行代碼的關(guān)鍵詞； 有效負(fù)載確定子單元，用于如果包括所述預(yù)先定義的惡意動(dòng)作執(zhí)行代碼的關(guān)鍵詞，則確定包括所述惡意動(dòng)作執(zhí)行代碼關(guān)鍵詞所在的行或語(yǔ)句為有效負(fù)載payload數(shù)據(jù)。
9.根據(jù)權(quán)利要求6所述裝置，其特征在于，所述確定單元包括: 判斷子單元，用于在所述有效負(fù)載payload數(shù)據(jù)中，判斷由不同計(jì)算機(jī)發(fā)送的相同的惡意程序下載源地址出現(xiàn)的次數(shù)是否大于預(yù)定次數(shù)； 僵尸網(wǎng)絡(luò)確定子單元，如果由不同計(jì)算機(jī)發(fā)送的相同的惡意程序下載源地址出現(xiàn)的次數(shù)大于預(yù)定次數(shù)，則所述惡意程序下載源地址對(duì)應(yīng)的主機(jī)確定為僵尸服務(wù)器，發(fā)送對(duì)應(yīng)下載請(qǐng)求的來(lái)源IP所對(duì)應(yīng)的計(jì)算機(jī)確定為僵尸計(jì)算機(jī)。
10.根據(jù)權(quán)利要求6所述裝置，其特征在于，所述查找單元包括: 第二比較子單元，用于將有效負(fù)載payload數(shù)據(jù)與預(yù)先定義下載關(guān)鍵詞進(jìn)行比較，查找在所述有效負(fù)載payload數(shù)據(jù)中包括下載關(guān)鍵詞； 地址確定子單元，用于根據(jù)在所述有效負(fù)載payload數(shù)據(jù)中查找的下載關(guān)鍵詞，確定所述下載關(guān)鍵詞對(duì)應(yīng)的惡意程序下載的源地址和發(fā)送下載請(qǐng)求的來(lái)源IP。
11.一種僵尸網(wǎng)絡(luò)的檢測(cè)系統(tǒng)，其特征在于，所述系統(tǒng)包括設(shè)置于被檢測(cè)網(wǎng)絡(luò)中的各個(gè)節(jié)點(diǎn)位置的數(shù)據(jù)捕獲裝置，以及與各個(gè)數(shù)據(jù)捕獲裝置相連的數(shù)據(jù)分析服務(wù)器，所述數(shù)據(jù)捕獲裝置用于獲取在網(wǎng)絡(luò)節(jié)點(diǎn)傳送的攻擊行為數(shù)據(jù)，所述數(shù)據(jù)分析服務(wù)器用于接收各個(gè)節(jié)點(diǎn)位置的數(shù)據(jù)捕獲裝置捕獲的攻擊行為數(shù)據(jù)，獲取所述攻擊行為數(shù)據(jù)中包括的有效負(fù)載payload數(shù)據(jù)，根據(jù)所述有效負(fù)載payload數(shù)據(jù)查找其中包括的惡意程序下載的源地址和發(fā)送下載請(qǐng)求的來(lái)源IP，根據(jù)所述源地址和所述來(lái)源IP確定所述僵尸網(wǎng)絡(luò)中的計(jì)算機(jī)。
12.根據(jù)權(quán)利要求11所述系統(tǒng)，其特征在于，所述數(shù)據(jù)捕獲裝置為設(shè)置于網(wǎng)絡(luò)節(jié)點(diǎn)處的Web應(yīng)用防火墻WAF系統(tǒng)。
13.根據(jù)權(quán)利要求11所述系統(tǒng)，其特征在于，所述數(shù)據(jù)分析服務(wù)器具體用于在所述有效負(fù)載payload數(shù)據(jù)中，判斷由不同計(jì)算機(jī)發(fā)送的相同的惡意程序下載源地址出現(xiàn)的次數(shù)是否大于預(yù)定次數(shù)；如果由不同計(jì)算機(jī)發(fā)送的相同的惡意程序下載源地址出現(xiàn)的次數(shù)大于預(yù)定次數(shù)，則所述惡意程序下載源地址對(duì)應(yīng)的主機(jī)確定為僵尸服務(wù)器，發(fā)送對(duì)應(yīng)下載請(qǐng)求的來(lái)源IP所對(duì)應(yīng)的計(jì)算機(jī)確定為僵尸計(jì)算機(jī)。
【專利摘要】本發(fā)明適用于計(jì)算機(jī)網(wǎng)絡(luò)安全領(lǐng)域，提供了一種僵尸網(wǎng)絡(luò)的檢測(cè)方法、裝置和系統(tǒng)，該方法包括：獲取在網(wǎng)絡(luò)節(jié)點(diǎn)捕獲的攻擊行為數(shù)據(jù)；解析所述攻擊行為數(shù)據(jù)，獲取所述攻擊行為數(shù)據(jù)中包括的有效負(fù)載payload數(shù)據(jù)；查找所述有效負(fù)載payload數(shù)據(jù)中包括的惡意程序下載的源地址和發(fā)送下載請(qǐng)求的來(lái)源IP；根據(jù)所述源地址和所述來(lái)源IP確定所述僵尸網(wǎng)絡(luò)中的計(jì)算機(jī)。和現(xiàn)有技術(shù)的通過(guò)名稱匹配的方式相比，本發(fā)明所述僵尸網(wǎng)絡(luò)的檢測(cè)方法能夠有效的避免誤報(bào)漏報(bào)現(xiàn)象，有效的提高檢測(cè)的準(zhǔn)確率。
【IPC分類】H04L29-06
【公開(kāi)號(hào)】CN104796386
【申請(qǐng)?zhí)枴緾N201410027082
【發(fā)明人】江虎, 朱海星
【申請(qǐng)人】騰訊科技（深圳）有限公司
【公開(kāi)日】2015年7月22日
【申請(qǐng)日】2014年1月21日