专利名称:基于多数据源分布式的僵尸网络规模测量及追踪方法
技术领域:
本技术设计网络安全技术领域,特别是一种基于多数据源分布式的僵尸网络规模测量及追踪方法。
背景技术:
互联网已成为现代社会最重要的信息基础设施之一,随着社会发展对互联网依赖程度的提高,对安全可靠的互联网及其应用信息的可信任性的要求也就越来越强。然而,目前僵尸网络的进一步升级,原先使用简单的IRC协议构成控制信道已逐渐发展演变为规模庞大、功能多样、不易检测复杂多变P2P结构的控制模式,僵尸网络控制者利用僵尸网络进行DDos攻击、发送大量的垃圾邮件、窃取敏感信息和传播恶意代码等,僵尸网络已成为国内外网络安全领域最为关注的危害之一。僵尸网络已直接干扰影响到数亿用户、企业和政府机构网络安全运行,成为目前网络安全领域的重要问题,僵尸网络通信特征测度的提取及僵尸主人的追踪已是新一代互联网的安全发展的迫切需求。正是由于僵尸网络对互联网的危害严重,对其相关技术研究也因此发展为近年来的国内外重要研究热点问题。僵尸网络检测方法主要是通过各种途径获取可能存在僵尸网络活动的相关信息,然后根据僵尸网络在这些信息中表征出来的内在特性,应用统计分析、 机器学习、信息理论等多种分析技术识别并判断出僵尸网络的存在,甚至确定攻击者、命令与控制服务器以及僵尸主机的位置。传统的僵尸网络检测方法主要是基于单点和单数据源,造成检测范围较小,难以测量大规模的僵尸网络,没有办法对控制僵尸控制器的僵尸主人进行追踪;传统的基于全报文的僵尸深度检测方法由于需要对每个报文进行检测,运行效率较低,因此难以难以适应高速主干网络测量资源的限制,但是海量的网络流数据是在线检测技术的瓶颈。本发明提出采用抽样多数据源的方法,采用多种类型的分布式的测量结点实现对僵尸网络更广泛的追踪,同时采用抽样报文方法以减少流量,可以实现对高速链路的网络流量进行测量,并对达到对僵尸网络的控制规模进行较为准确的推断,同时实现对僵尸主人的追踪。
发明内容
本发明实施的目的提供一种基于多数据源分布式的僵尸网络规模测量及追踪方法,能够基于多数据源的分布式的大规模网络僵尸网络的检测,能够统计推断出僵尸网络的规模,并能够对僵尸主人进行追踪。一种基于多数据源分布式的僵尸网络规模测量及追踪方法,其特征在于步骤一、设置一个僵尸数据中心,一个或多个蜜罐,m个报文抽样测量器,m为大于或等于1,η网络流抽样测量器,η为大于或等于1,设置每个报文抽样测量器的抽样概率分别为P1,…,Pm,设置每个网络流抽样测量器的抽样概率分别为1,…,qn,设置测量时间周期T,设置测量结束时间,并将每个测量时间周期分为四个子时间段,设置僵尸主人判断阀值K,K大于1 ;
其中僵尸数据中心维护一个僵尸控制器数据库、僵尸主机数据库,其中僵尸控制器数据库的每条信息包括僵尸控制器的IP地址、僵尸控制器的端口、僵尸控制器检测时间,僵尸主机数据库的每条信息包括僵尸控制器的IP地址、僵尸控制器的端口、僵尸主机的IP地址、僵尸报文数、测量所述僵尸主机的抽样测量器IP地址;其中每个报文抽样测量器和网络流抽样测量器都维护一个僵尸控制器数据库和僵尸主机数据库,其中僵尸控制器数据库的每条信息包括僵尸控制器的IP地址、僵尸控制器的端口,僵尸主机数据库的每条信息包括僵尸控制器的IP地址、僵尸控制器的端口、僵尸主机的IP地址、僵尸报文数、最后一个僵尸报文到达时间;其中蜜罐设置一个僵尸控制器数据库,僵尸控制器数据库的每条信息包括僵尸控制器的IP地址、僵尸控制器的端口、僵尸控制器被检测时间,僵尸控制器被检测时间为僵尸控制器首次被蜜罐检测到的时间;步骤二、测量期间,蜜罐不停地获取僵尸样本并从僵尸样本中提取僵尸控制器的 IP地址和端口信息,蜜罐将以所提取的僵尸控制器IP和端口信息条件在本地的僵尸控制器数据库中查找,如果本地的僵尸控制器数据库查找为空,则在僵尸数据库中产生一条新记录用于记录所获取的僵尸控制器的IP地址和端口信息,并将新记录的僵尸控制器被检测时间设置为当前时间;步骤三、测量期间,每个报文抽样测量器和每个网络流抽样测量器抽样测量到每个报文后,提取出所测量报文的源IP、源端口和宿IP信息,并根据所测量报文的源IP和源端口信息在本地的僵尸主机数据库中对应的僵尸控制器IP地址和僵尸控制器端口记录, 如果在本地的僵尸主机数据库中找到所测量报文的源IP和源端口信息记录,则将所对应记录的僵尸报文数增加1,同时将最后一个僵尸报文到达时间设置为当前时间,如果没有找到,则在本地的僵尸网络控制器数据库中进行查找对应的僵尸控制器IP地址和僵尸控制器端口记录,如果在本地的僵尸网络控制器数据库中找到所测量报文的源IP和源端口信息记录,则在本地的僵尸主机数据库中增加一条新记录,所增加的新记录的僵尸控制器IP 地址赋值为所测量报文的源IP地址,所增加的新记录的僵尸控制器的端口赋值为所测量报文的源端口号,所增加的新记录的僵尸主机的IP地址设置为所测量报文的宿IP信息,所增加的新记录的僵尸报文数设置为1,所增加的新记录的最后一个僵尸报文到达时间设置为当前时间;步骤四、在每个时间周期的第一子时间段开始时刻、,僵尸数据中心轮询蜜罐的僵尸控制器数据库的僵尸控制器被检测时间在、-τ和、之间的僵尸控制器的IP和端口信息,并将所轮询到的僵尸控制器信息记录在僵尸数据中心的僵尸控制器数据库中;步骤五、在每个时间周期的第二子时间段开始时刻,僵尸数据中心查询本地的僵尸控制器数据库中僵尸控制器检测时间在、-τ和、之间的僵尸网络控制器信息,并将查询到的僵尸控制器信息分发存储到每个报文抽样测量器和网络流抽样测量器的僵尸控制器数据库中;步骤六、在每个时间周期的第三子时间段开始时刻,每个报文抽样测量器和每个网络流抽样测量器将在、-τ和、之间的僵尸主机信息发送存储到僵尸数据中心的僵尸主机数据库中,将僵尸数据中的僵尸主机数据库的测量所述僵尸主机的抽样测量器IP地址设置为所发送僵尸主机信息的报文抽样测量器或网络流抽样测量器的IP地址,同时将所述的报文抽样测量器或网络流抽样测量器中的僵尸控制器数据库的僵尸控制器信息删除;步骤七、在每个时间周期的第四子时间段开始时刻,僵尸数据中心查找僵尸主机数据库中僵尸主机所有记录,统计网络流抽样测量器测量的僵尸主机的数量A,网络流抽样测量器测量的僵尸报文的数量B,每个僵尸控制器由每个报文抽样测量器测量到的僵尸报文数量为Ei,其中1 < i Sm,统计每个僵尸控制器由每个网络流抽样测量器测量到的僵尸主机数量为化,其中1彡j彡n,则每个僵尸控制器的僵尸主机数BN推断为
题= Σ;=导+Σ〕!^),统计每个僵尸主机所对应的不同僵尸控制器的数量H,如果H大于
权利要求
1. 一种基于多数据源分布式的僵尸网络规模测量及追踪方法,其特征在于 步骤一、设置一个僵尸数据中心,一个或多个蜜罐,m个报文抽样测量器,m为大于或等于1,η网络流抽样测量器,η为大于或等于1,设置每个报文抽样测量器的抽样概率分别为 P1,…,Pm,设置每个网络流抽样测量器的抽样概率分别为I,…,qn,设置测量时间周期T, 设置测量结束时间,并将每个测量时间周期分为四个子时间段,设置僵尸主人判断阀值K,K 大于1 ;其中僵尸数据中心维护一个僵尸控制器数据库、僵尸主机数据库,其中僵尸控制器数据库的每条信息包括僵尸控制器的IP地址、僵尸控制器的端口、僵尸控制器检测时间,僵尸主机数据库的每条信息包括僵尸控制器的IP地址、僵尸控制器的端口、僵尸主机的IP地址、僵尸报文数、测量所述僵尸主机的抽样测量器IP地址;其中每个报文抽样测量器和网络流抽样测量器都维护一个僵尸控制器数据库和僵尸主机数据库,其中僵尸控制器数据库的每条信息包括僵尸控制器的IP地址、僵尸控制器的端口,僵尸主机数据库的每条信息包括僵尸控制器的IP地址、僵尸控制器的端口、僵尸主机的IP地址、僵尸报文数、最后一个僵尸报文到达时间;其中蜜罐设置一个僵尸控制器数据库,僵尸控制器数据库的每条信息包括僵尸控制器的IP地址、僵尸控制器的端口、僵尸控制器被检测时间,僵尸控制器被检测时间为僵尸控制器首次被蜜罐检测到的时间;步骤二、测量期间,蜜罐不停地获取僵尸样本并从僵尸样本中提取僵尸控制器的IP地址和端口信息,蜜罐将以所提取的僵尸控制器IP和端口信息条件在本地的僵尸控制器数据库中查找,如果本地的僵尸控制器数据库查找为空,则在僵尸数据库中产生一条新记录用于记录所获取的僵尸控制器的IP地址和端口信息,并将新记录的僵尸控制器被检测时间设置为当前时间;步骤三、测量期间,每个报文抽样测量器和每个网络流抽样测量器抽样测量到每个报文后,提取出所测量报文的源IP、源端口和宿IP信息,并根据所测量报文的源IP和源端口信息在本地的僵尸主机数据库中对应的僵尸控制器IP地址和僵尸控制器端口记录,如果在本地的僵尸主机数据库中找到所测量报文的源IP和源端口信息记录,则将所对应记录的僵尸报文数增加1,同时将最后一个僵尸报文到达时间设置为当前时间,如果没有找到, 则在本地的僵尸网络控制器数据库中进行查找对应的僵尸控制器IP地址和僵尸控制器端口记录,如果在本地的僵尸网络控制器数据库中找到所测量报文的源IP和源端口信息记录,则在本地的僵尸主机数据库中增加一条新记录,所增加的新记录的僵尸控制器IP地址赋值为所测量报文的源IP地址,所增加的新记录的僵尸控制器的端口赋值为所测量报文的源端口号,所增加的新记录的僵尸主机的IP地址设置为所测量报文的宿IP信息,所增加的新记录的僵尸报文数设置为1,所增加的新记录的最后一个僵尸报文到达时间设置为当前时间;步骤四、在每个时间周期的第一子时间段开始时刻、,僵尸数据中心轮询蜜罐的僵尸控制器数据库的僵尸控制器被检测时间在、-τ和、之间的僵尸控制器的IP和端口信息, 并将所轮询到的僵尸控制器信息记录在僵尸数据中心的僵尸控制器数据库中;步骤五、在每个时间周期的第二子时间段开始时刻,僵尸数据中心查询本地的僵尸控制器数据库中僵尸控制器检测时间在‘-τ和、之间的僵尸网络控制器信息,并将查询到的僵尸控制器信息分发存储到每个报文抽样测量器和网络流抽样测量器的僵尸控制器数据库中;步骤六、在每个时间周期的第三子时间段开始时刻,每个报文抽样测量器和每个网络流抽样测量器将在、_Τ和、之间的僵尸主机信息发送存储到僵尸数据中心的僵尸主机数据库中,将僵尸数据中的僵尸主机数据库的测量所述僵尸主机的抽样测量器IP地址设置为所发送僵尸主机信息的报文抽样测量器或网络流抽样测量器的IP地址,同时将所述的报文抽样测量器或网络流抽样测量器中的僵尸控制器数据库的僵尸控制器信息删除;步骤七、在每个时间周期的第四子时间段开始时刻,僵尸数据中心查找僵尸主机数据库中僵尸主机所有记录,统计网络流抽样测量器测量的僵尸主机的数量Α,网络流抽样测量器测量的僵尸报文的数量B,每个僵尸控制器由每个报文抽样测量器测量到的僵尸报文数量为Ei,其中1 < i Sm,统计每个僵尸控制器由每个网络流抽样测量器测量到的僵尸主机数量为,其中1彡j彡n,则每个僵尸控制器的僵尸主机数BN推断为题= Σ;=导+Σ〕!^),统计每个僵尸主机所对应的不同僵尸控制器的数量H,如果H大于H jPi Λ等于阀值κ,则将所述的僵尸主机主机作为僵尸主人,统计所述僵尸主人控制的僵尸控制器和僵尸主机的数量,如果测量时间到达,测量过程结束,否则进行下一个时间周期测量。
2.根据权利要求1所述的基于多数据源分布式的僵尸网络规模测量及追踪方法,其特征在于,所述的报文抽样测量器抽样测量每个报文的方法为对于每个到达的报文,报文抽样测量器生成一个0到1之间的随机数,如果随机数的值小于该报文抽样测量器的抽样概率,则抽样该报文,否则丢弃该报文。
3.根据权利要求1所述的基于多数据源分布式的僵尸网络规模测量及追踪方法,其特征在于,所述的网络流抽样测量器抽样测量每个报文的方法为对于每个到达的报文,网络流抽样测量器采用一个哈希函数,哈希函数的输入为所到达报文的源IP地址,输出为一个 0到1之间的哈希值,如果哈希值值小于该网络流抽样测量器的抽样概率,则抽样该报文, 否则丢弃该报文。
全文摘要
一种基于多数据源的分布式的大规模网络僵尸网络的监控方法,设置僵尸数据中心、蜜罐、报文抽样测量器和网络流抽样测量器,蜜罐提取僵尸网络控制器的信息,报文抽样测量器和网络流抽样测量器获取僵尸主机信息,僵尸数据中心轮询蜜罐获得的僵尸网络控制器信息,僵尸数据中心将所获的僵尸网络控制器的信息分发到各个抽样网络流量测量器,抽样网络流量测量器将所获取的僵尸主机信息发送到僵尸数据中心,最后僵尸数据中心统计僵尸网络规模,本发明基于抽样多数据源,采用多种类型的分布式的测量点实现对僵尸网络规模的进行测量和推测,并对僵尸主人进行追踪。
文档编号H04L29/08GK102571487SQ20111043004
公开日2012年7月11日 申请日期2011年12月20日 优先权日2011年12月20日
发明者程光 申请人:东南大学