专利名称:僵尸网络的检测方法及装置、僵尸网络的对抗方法及装置的制作方法
技术领域:
本发明涉及网络安全技术领域,尤其涉及一种僵尸网络的检测方法及装置、僵尸网络的对抗方法及装置。
背景技术:
随着移动互联网的快速发展,僵尸网络正在从传统互联网络向融合网络(互联网、电信网、广电网、物联网)过渡,融合僵尸网络已成为未来互联网安全急需关注的热点问题。融合僵尸网络是一种承载于融合网络之上的僵尸网络,既有僵尸网络的特征,也有融合业务特征,其控制命令可以跨网通信,具备协同不同网络中僵尸终端进行协同恶意攻击行为特征。例如,互联网、电信网、广电网等网络融合为一个泛在的网络,可以支撑多种网络业务,即一个网络业务可以在不同的网络环境中正常运行(例如QQ、手机QQ等)。而社交网络业务在传统互联网和移动互联网上的广泛应用以及实时异步松耦合的通信特点,为融合僵尸网络提供了控制能力更强、隐蔽性更好的控制信息平台载体。由此,当今出现一种基于社交网络控制的融合僵尸网络,僵尸控制者(Botmaster)通过公共社交网络服务器控制整个僵尸网络。在服务器的逻辑层,融合僵尸网络呈现特定控制账号的中心簇结构和无中心控制账号的P2P结构。同时融合僵尸网络的拓扑结构可由僵尸控制者自主定义和随时调整,从而大大提高了僵尸病毒的检测难度。通过研究表明,基于社交网络控制的融合僵尸网络具有良好的隐蔽性、健壮性和灵活性。这给基于社交网络控制的融合僵尸网络的检测和对抗带来了很大的难度。
发明内容
本发明所要解决的技术问题是提供一种僵尸网络的检测方法及装置、僵尸网络的对抗方法及装置,提高网络安全性能。为解决上述技术问题,本发明提出了一种僵尸网络的检测方法,应用于基于社交网络的融合僵尸网络,包括提取僵尸网络的通信特征;根据所述通信特征查找到所述僵尸网络的所有成员。进一步地,上述僵尸网络的检测方法还可具有以下特点,所述提取僵尸网络的通信特征包括在僵尸网络中设置蜜罐和/或蜜网,截获僵尸程序;通过所述僵尸程序判断该僵尸网络是否为僵尸控制者通过社交网络控制的融合僵尸网络;若是,则根据预设的采集内容采集数据;根据采集的数据提取僵尸网络的通信特征。进一步地,上述僵尸网络的检测方法还可具有以下特点,所述提取僵尸网络的通信特征还包括
记录僵尸网络的攻击目标和攻击事件;根据所述攻击目标和攻击事件设置所述僵尸网络的危害度级别。进一步地,上述僵尸网络的检测方法还可具有以下特点,所述通过所述僵尸程序判断该僵尸网络是否为僵尸控制者通过社交网络控制的融合僵尸网络包括判断僵尸程序中是否包含登陆公共服务器的账号,若包含则该僵尸网络为僵尸控制者通过社交网络控制的融合僵尸网络。进一步地,上述僵尸网络的检测方法还可具有以下特点,所述根据所述通信特征查找到所述僵尸网络的所有成员包括根据僵尸网络的通信特征制定挖掘策略;按照挖掘策略在社交网络中挖掘出所有僵尸的账号;根据挖掘到的僵尸的账号溯源僵尸网络控制者的账号和设备标识。为解决上述技术问题,本发明还提出了一种僵尸网络的检测装置,应用于基于社交网络的融合僵尸网络,包括提取模块,用于提取僵尸网络的通信特征;查找模块,用于根据所述提取模块提取的通信特征查找到所述僵尸网络的所有成员。进一步地,上述僵尸网络的检测装置还可具有以下特点,所述提取模块包括截获单元,用于在僵尸网络中设置蜜罐和/或蜜网,截获僵尸程序;判断单元,用于通过所述截获单元截获的僵尸程序判断该僵尸网络是否为僵尸控制者通过社交网络控制的融合僵尸网络;采集单元,用于在所述判断单元的判断结果为是时,根据预设的采集内容采集数据;提取单元,用于根据所述采集单元采集的数据提取僵尸网络的通信特征。进一步地,上述僵尸网络的检测装置还可具有以下特点,所述提取模块还包括记录单元,用于记录僵尸网络的攻击目标和攻击事件;设置单元,用于根据所述记录单元记录的攻击目标和攻击事件设置所述僵尸网络的危害度级别。进一步地,上述僵尸网络的检测装置还可具有以下特点,所述判断单元包括第一判断子单元,用于判断僵尸程序中是否包含登陆公共服务器的账号,若包含则该僵尸网络为僵尸控制者通过社交网络控制的融合僵尸网络。进一步地,上述僵尸网络的检测装置还可具有以下特点,所述查找模块包括挖掘策略制定单元,用于根据僵尸网络的通信特征制定挖掘策略;挖掘单元,用于按照所述挖掘策略制定单元制定的挖掘策略在社交网络中挖掘出所有僵尸的账号;溯源单元,用于根据所述挖掘单元挖掘到的僵尸的账号溯源僵尸网络控制者的账号和设备标识。为解决上述技术问题,本发明还提出了一种僵尸网络的对抗方法,应用于基于社交网络的融合僵尸网络,包括根据权利要求1所述的僵尸网络的检测方法检测到僵尸网络的所有成员;
在所述检测完成后制定对抗策略;按照所述对抗策略发出对抗命令,销毁所述僵尸网络。为解决上述技术问题,本发明提还出了一种僵尸网络的对抗装置,应用于基于社交网络的融合僵尸网络,包括权利要求6所述的僵尸网络的检测装置,用于根据权利要求1所述的僵尸网络的检测方法查找到僵尸网络的所有成员;对抗策略制定模块,用于在所述僵尸网络的检测装置完成检测后制定对抗策略;对抗模块,用于按照所述对 抗策略制定模块制定的对抗策略发出对抗命令,销毁所述僵尸网络。本发明僵尸网络的检测方法及装置,能够有效检测出具有良好隐蔽性的融合僵尸网络,从而为捣毁融合僵尸网络奠定了基础,有助于提高网络安全性能。本发明僵尸网络的方法及对抗装置,能够捣毁具有良好隐蔽性的融合僵尸网络,提高了网络安全性能。
图1为本发明实施例中提取僵尸网络的通信特征的流程图;图2为本发明实施例中僵尸网络的检测装置的结构框图;图3为本发明实施例中僵尸网络的对抗装置的结构框图。
具体实施例方式以下结合附图对本发明的原理和特征进行描述,所举实例只用于解释本发明,并非用于限定本发明的范围。针对基于社交网络的融合僵尸网络,本发明提出了一种僵尸网络的检测方法,该方法包括如下步骤步骤一,提取僵尸网络的通信特征;僵尸网络的通信特征可以包括如下内容1、何种社交网络承载;2、ID聚集关系(即账号间的关系),例如僵尸一的账号为bto21s,僵尸二的账号为bto32e,则聚集关系为bto关键词等类似信息;3、控制命令到达的日周期关系等。步骤二,根据通信特征,查找到僵尸网络的所有成员。僵尸网络的所有成员包括该僵尸网络中所有僵尸的账号和僵尸网络控制者的账号。该账号可以是僵尸终端、僵尸网络控制者在社交网络中的账号(比如微博账号、QQ账号等),如果需要溯源,则还可以进一步获得僵尸终端、僵尸网络控制者的网络终端标识(例如IP号、手机号等)。图1为本发明实施例中提取僵尸网络的通信特征的流程图。如图1所示,步骤一可以包括如下子步骤步骤101,在僵尸网络中设置蜜罐和/或蜜网,截获僵尸程序;截获僵尸程序,需要进行分析,首先分析一些静态信息(比如僵尸程序通信方式、是否采用加密、它的传播模块、通信模块、恶意行为模块等),之后,不断截获收到的控制命令进行分析,得到更多的情报。步骤102,通过僵尸程序判断该僵尸网络是否为僵尸控制者通过社交网络控制的融合僵尸网络,若是则执行步骤103,否则结束本次检测过程;具体地,如果僵尸程序中包含登陆公共服务器的账号,则该僵尸网络为僵尸控制者通过社交网络控制的融合僵尸网络,否则,如果僵尸程序中不包含登陆公共服务器的账号,则该僵尸网络不是僵尸控制者通过社交网络控制的融合僵尸网络。步骤103,根据预设的采集内容采集数据;具体地,可以根据预设的采集内容从僵尸程序中的控制命令C&C (Co_and andControl,控制命令)中采集数据。采集的数据可以包括社交网络ID、社交网络的邻居僵尸节点ID。控制命令的具体载体包括文本、图片、视频、音频等。采集内容可以包括待攻击的目标、待发生的攻击事件信息、僵尸程序更新命令信息、更新服务器信息、C&C变化信息等。采集内容可以根据挖掘结果随时进行调整。例如,僵尸B —直从僵尸A收听控制命令,现在修改为从僵尸X这里收听控制命令,或者是僵尸B转发的控制命令列表添加了新的僵尸id等信息。从社交网络ID中可以获知哪种社交网络和哪个公司的社交网络的信息(例如新浪微博、腾讯微博等),邻居僵尸节点ID即社交网账号(例如新浪微博账号)。步骤104,根据采集的数据确定僵尸网络的通信特征。步骤一还可以包括步骤105,记录僵尸网络的攻击目标和攻击事件;步骤106,根据记录的攻击目标和攻击事件设置僵尸网络的危害度级别。危害度级别是设置防御优先级的基础,危害度级别越高,防御优先级越高。步骤二可以包括如下子步骤步骤201,根据僵尸网络的通信特征制定挖掘策略;挖掘策略可以采用如下三种中的任意一种一是,基于账号账号(例如僵尸客户端的微博账号)的社会关系进行挖掘;通过这种策略可以找到僵尸网络在社交网络中承载的账号,账号间的关系即为拓扑结构。二是,基于内容(文本、图像、音频、视频等)进行挖掘;这种策略用于找到僵尸网络成员节点。例如,挖掘含有“XXX”微博消息(文本)、挖掘微博加载的图片、语音和视频信息等。例如,僵尸控制者发送的有效控制消息为“ABCd” (文本消息),那么通过挖掘含有“ABCd”的所有微博,就可以查找到所有发过“ABCd”消息的账号,再逐一排查账号的行为特征或者多次关联账号组,求交集,从而得出其他僵尸网络成员节点。三是,上述两种挖掘策略的结合。步骤202,按照挖掘策略在社交网络中挖掘出所有僵尸的账号;步骤203,根据挖掘到的僵尸的账号溯源僵尸网络控制者的账号和设备标识(设备IP地址或者手机号)。这里的溯源是指通过挖掘发现所有僵尸的账号后的溯源。下面以微薄为例,说明几种溯源的具体过程。溯源方法一 (1)查找收发微博(微博消息即是控制命令)时间,锁定目标(僵尸控制者总是控制命令的发起者);(2)获取该账号发送微薄时主机的IP地址或者手机号;如果不能执行步骤(2),则执行步骤(3),联系微博服务商,令其提供该账号登陆信息。
溯源方法二 (1)挖掘这些微博账号日在线的时间规律,往往僵尸控制者的上下线特征与受控僵尸不同;(2)获取该账号发送微薄时主机的IP地址或者手机号;如果不能执行步骤(2),则执行步骤(3),联系微博服务商,令其提供该账号登陆信息。溯源方法三(1)收发微博的数量,僵尸控制者收发微博的数量和比例往往与受控僵尸不同;(2)获取该账号发送微薄时主机的IP地址或者手机号;如果不能执行步骤
(2),则执行步骤(3),联系微博服务商,令其提供该账号登陆信息。本发明僵尸网络的检测方法,能够有效检测出具有良好隐蔽性的融合僵尸网络,从而为捣毁融合僵尸网络奠定了基础,有助于提高网络安全性能。本发明还提出了一种僵尸网络的检测装置,用以执行上述的僵尸网络的检测方法。本发明的僵尸网络的检测装置应用于基于社交网络的融合僵尸网络。图2为本发明实施例中僵尸网络的检测装置的结构框图。如图2所示,本实施例 中,僵尸网络的检测装置200可以包括提取模块210和查找模块220。提取模块210用于提取僵尸网络的通信特征。查找模块220用于根据提取模块210提取的通信特征查找到僵尸网络的所有成员。在本发明实施例中,提取模块210可以进一步包括截获单元、判断单元、采集单元和提取单元。截获单元、判断单元、采集单元和提取单元顺次相连。其中,截获单元用于在僵尸网络中设置蜜罐和/或蜜网,截获僵尸程序。判断单元用于通过截获单元截获的僵尸程序判断该僵尸网络是否为僵尸控制者通过社交网络控制的融合僵尸网络。采集单元用于在判断单元的判断结果为是时,根据预设的采集内容采集数据。提取单元用于根据采集单元采集的数据提取僵尸网络的通信特征。其中,判断单元可以进一步包括第一判断子单元。第一判断子单元用于判断僵尸程序中是否包含登陆公共服务器的账号,若包含则该僵尸网络为僵尸控制者通过社交网络控制的融合僵尸网络。在本发明实施例中,提取模块210还可以进一步包括记录单元和设置单元。记录单元用于记录僵尸网络的攻击目标和攻击事件。设置单元用于根据记录单元记录的攻击目标和攻击事件设置僵尸网络的危害度级别。在本发明实施例中,查找模块220可以进一步包括挖掘策略制定单元、挖掘单元和溯源单元。挖掘策略制定单元用于根据僵尸网络的通信特征制定挖掘策略。挖掘单元用于按照挖掘策略制定单元所指定的挖掘策略在社交网络中挖掘出所有僵尸的账号。溯源单元用于根据挖掘单元挖掘到的僵尸的账号溯源僵尸网络控制者的账号和设备标识。本发明僵尸网络的检测的检测装置,通过执行上述的僵尸网络的检测方法,能够有效检测出具有良好隐蔽性的融合僵尸网络,从而为捣毁融合僵尸网络奠定了基础,有助于提闻网络安全性能。在上述的僵尸网络的检测方法的基础上,本发明还提出了一种僵尸网络的对抗方法,该对抗方法包括如下步骤步骤a,根据本发明上述提出的僵尸网络的检测方法检测到僵尸网络的所有成员;步骤b,在步骤a的检测完成后制定对抗策略;具体地,可以根据蜜罐和/或蜜网获得的信息和在社交网络服务器上挖掘得出的结论,制定对抗策略。由于每个僵尸网络都具备网络的特征,因此,僵尸之间都应存在相应的关系,这种关系称之为僵尸网络成员的社会关系(因为并不是所有僵尸都会和僵尸控制者有直接关系,但是会存在间接关系,僵尸网络中僵尸与僵尸之间的关系类似于人与人之间的关系,因此称为社会关系)。对抗策略的内容可以包括如下三点。1、捣毁僵尸网络,包括a)封社交网的账号;b)发送伪造的自毁命令;2、劫持僵尸网络(修改控制命令信道,接管僵尸网络(重置僵尸社交网账号的社会关系))
3、溯源僵尸网络控制者。步骤C,按照步骤b制定的对抗策略发出对抗命令,销毁僵尸网络。本发明僵尸网络的对抗方法,能够捣毁具有良好隐蔽性的融合僵尸网络,提高了网络安全性能。本发明还提出了一种僵尸网络的对抗装置,用以执行上述的僵尸网络的对抗方法。图3为本发明实施例中僵尸网络的对抗装置的结构框图。如图3所示,本实施例中,僵尸网络的对抗装置包括僵尸网络的检测装置200、对抗策略制定模块300和对抗模块400。其中,僵尸网络的检测装置200用于根据本发明上述的僵尸网络的检测方法检测到僵尸网络的所有成员。对抗策略制定模块300用于在僵尸网络的检测装置的检测完成后制定对抗策略。对抗模块400用于按照对抗策略制定模块制定的对抗策略发出对抗命令,销毁僵尸网络。其中,僵尸网络的检测装置可以是上述僵尸网络的检测装置中的任意一种,例如图2所示的僵尸网络的检测装置。本发明僵尸网络的对抗装置,能够捣毁具有良好隐蔽性的融合僵尸网络,提高了网络安全性能。以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
权利要求
1.一种僵尸网络的检测方法,应用于基于社交网络的融合僵尸网络,其特征在于,包括: 提取僵尸网络的通信特征; 根据所述通信特征查找到所述僵尸网络的所有成员。
2.根据权利要求1所述的僵尸网络的检测方法,其特征在于,所述提取僵尸网络的通信特征包括 在僵尸网络中设置蜜罐和/或蜜网,截获僵尸程序; 通过所述僵尸程序判断该僵尸网络是否为僵尸控制者通过社交网络控制的融合僵尸网络; 若是,则根据预设的采集内容采集数据; 根据采集的数据提取僵尸网络的通信特征。
3.根据权利要求2所述的僵尸网络的检测方法,其特征在于,所述提取僵尸网络的通信特征还包括 记录僵尸网络的攻击目标和攻击事件; 根据所述攻击目标和攻击事件设置所述僵尸网络的危害度级别。
4.根据权利要求2所述的僵尸网络的检测方法,其特征在于,所述通过所述僵尸程序判断该僵尸网络是否为僵尸控制者通过社交网络控制的融合僵尸网络包括 判断僵尸程序中是否包含登陆公共服务器的账号,若包含则该僵尸网络为僵尸控制者通过社交网络控制的融合僵尸网络。
5.根据权利要求1所述的僵尸网络的检测方法,其特征在于,所述根据所述通信特征查找到所述僵尸网络的所有成员包括 根据僵尸网络的通信特征制定挖掘策略; 按照挖掘策略在社交网络中挖掘出所有僵尸的账号; 根据挖掘到的僵尸的账号溯源僵尸网络控制者的账号和设备标识。
6.一种僵尸网络的检测装置,应用于基于社交网络的融合僵尸网络,其特征在于,包括 提取模块,用于提取僵尸网络的通信特征; 查找模块,用于根据所述提取模块提取的通信特征查找到所述僵尸网络的所有成员。
7.根据权利要求6所述的僵尸网络的检测装置,其特征在于,所述提取模块包括 截获单元,用于在僵尸网络中设置蜜罐和/或蜜网,截获僵尸程序; 判断单元,用于通过所述截获单元截获的僵尸程序判断该僵尸网络是否为僵尸控制者通过社交网络控制的融合僵尸网络; 采集单元,用于在所述判断单元的判断结果为是时,根据预设的采集内容采集数据; 提取单元,用于根据所述采集单元采集的数据提取僵尸网络的通信特征。
8.根据权利要求7所述的僵尸网络的检测装置,其特征在于,所述提取模块还包括 记录单元,用于记录僵尸网络的攻击目标和攻击事件; 设置单元,用于根据所述记录单元记录的攻击目标和攻击事件设置所述僵尸网络的危害度级别。
9.根据权利要求7所述的僵尸网络的检测装置,其特征在于,所述判断单元包括第一判断子单元,用于判断僵尸程序中是否包含登陆公共服务器的账号,若包含则该僵尸网络为僵尸控制者通过社交网络控制的融合僵尸网络。
10.根据权利要求6所述的僵尸网络的检测装置,其特征在于,所述查找模块包括 挖掘策略制定单元,用于根据僵尸网络的通信特征制定挖掘策略; 挖掘单元,用于按照所述挖掘策略制定单元制定的挖掘策略在社交网络中挖掘出所有僵尸的账号; 溯源单元,用于根据所述挖掘单元挖掘到的僵尸的账号溯源僵尸网络控制者的账号和设备标识。
11.一种僵尸网络的对抗方法,应用于基于社交网络的融合僵尸网络,其特征在于,包括 根据权利要求1所述的僵尸网络的检测方法检测到僵尸网络的所有成员; 在所述检测完成后制定对抗策略; 按照所述对抗策略发出对抗命令,销毁所述僵尸网络。
12.—种僵尸网络的对抗装置,应用于基于社交网络的融合僵尸网络,其特征在于,包括 权利要求6所述的僵尸网络的检测装置,用于根据权利要求1所述的僵尸网络的检测方法查找到僵尸网络的所有成员; 对抗策略制定模块,用于在所述僵尸网络的检测装置完成检测后制定对抗策略; 对抗模块,用于按照所述对抗策略制定模块制定的对抗策略发出对抗命令,销毁所述僵尸网络。
全文摘要
本发明涉及一种僵尸网络的检测方法及装置、僵尸网络的对抗方法及装置。僵尸网络的检测方法应用于基于社交网络的融合僵尸网络,包括提取僵尸网络的通信特征;根据所述通信特征查找到所述僵尸网络的所有成员。本发明僵尸网络的检测方法及装置,能够有效检测出具有良好隐蔽性的融合僵尸网络,从而为捣毁融合僵尸网络奠定了基础,有助于提高网络安全性能。本发明僵尸网络的方法及对抗装置,能够捣毁具有良好隐蔽性的融合僵尸网络,提高了网络安全性能。
文档编号H04L29/06GK103023891SQ20121049978
公开日2013年4月3日 申请日期2012年11月29日 优先权日2012年11月29日
发明者李跃, 翟立东, 贾召鹏 申请人:中国科学院信息工程研究所