一种僵木蠕治理方法以及系统与流程

本发明涉及网络安全技术领域，尤其涉及一种僵木蠕治理方法以及系统。

背景技术：

僵木蠕网络是指攻击者利用互联网用户的计算机秘密建立的可以远程统一控制的僵尸网络(botnet)计算机群，目前僵木蠕网络主要采用木马控制，通过蠕虫、恶意网站进行传播。木马是基于远程控制的黑客工具，其实只是一种“客户/服务”型的网络程序，木马程序表面上看上去是具有某种功能，实际上隐藏着可以控制整个计算机系统，危害系统安全的功能；蠕虫是一种计算机病毒，通过网络传播感染存在漏洞的主机，自动复制，通常无需与用户交互，蠕虫产生的流量会占用大量有效带宽。僵木蠕网络往往被用于非法发起大规模的网络攻击，如分布式拒绝服务攻击(distributeddenialofservice，ddos)、海量垃圾邮件等，同时窃取被控制计算机的保存信息，因此僵木蠕网络对于网络安全极具安全隐患。目前僵木蠕网络的威胁也已成为一个国际上十分关注的问题，治理僵木蠕网络已成为新一代互联网安全发展的迫切需求。

目前，常用的僵木蠕治理方案采用网络检测+用户端查杀的方案进行治理。具体的，网络检测是指通过基于radius/dns日志分析、蜜罐技术、网络流量日志分析、网络数据包分析等方法最终分析出恶意ip、僵木蠕类型/事件等信息。用户端查杀是指客户端安装病毒查杀程序，常基于特征库技术对用户端存在的僵木蠕程序进行发现、隔离或删除。用户端查杀的方案依赖于网络使用者(用户)的主动性以及技术能力，在网络使用者未安装杀毒软件或者杀毒软件不能及时运行、查杀的情况下，网络使用者无法有效发现和阻断僵木蠕程序，无法避免僵木蠕的扩散。网络运营者虽然可以在网络运营侧进行僵木蠕的检测与治理，有效的对网络中的恶意流量进行封堵，然而僵木蠕病毒对网络以及网络使用者造成影响的程度不同，根据造成的不同影响网络运营者需采用不同的应对手段，但是由于网络运营者对网络使用者不能进行有效干预，针对不同的场景，例如在大规模ddos攻击、疑似肉鸡感染、疑似控制端情况下，不能差异性的采用不同手段进行治理。

技术实现要素：

本发明的实施例提供一种僵木蠕治理方法以及系统，用于针对不同的场景差异性的采用不同手段对僵木蠕进行治理。

为达到上述目的，本发明的实施例采用如下技术方案：

第一方面，提供一种僵木蠕治理方法，包括：

获取第一主机的感染信息；所述第一主机为确定感染了病毒的主机或疑似感染了病毒的主机，所述感染信息包括：所述第一主机感染的病毒的类型、所述第一主机的网络协议ip地址、所述第一主机的感染次数以及动作指令中的一个或多个；

根据所述第一主机的感染信息以及预设规则确定第一治理策略；其中，所述预设规则包括所述感染信息与所述第一治理策略的对应关系；

执行所述第一治理策略和/或将所述第一治理策略发送至所述第一主机。

可选的，所述第一治理策略包括：引导下线、阻断接入网设备端口、限速、减低流量优先级、强制下线、数据引导流向、禁止接入网络、推送提示消息中的一个或多个。

可选的，所述第一治理策略为强制下线，所述方法还包括：

当所述第一主机再次发起上线请求时，将所述第一主机的流量导入到引流设备。

可选的，所述感染信息还包括：感染主机的ip地址；所述方法还包括：

根据所述感染主机的ip地址获取所述感染主机的物理端口信息；

根据所述感染主机的物理端口信息第一映射关系获取所述感染主机的物理位置；

其中，所述第一映射关系包括所述感染主机的物理端口信息与所述感染主机的物理位置的对应关系。

可选的，所述方法还包括：

获取反馈信息；

根据所述反馈信息确定第二治理策略；

执行所述第二治理策略和/或将所述第二治理策略发送至所述第一主机。

第二方面，提供一种认证管理计费aaa系统，包括：

信息获取模块，用于获取第一主机的数据信息；所述第一主机为确定感染了病毒的主机或疑似感染了病毒的主机，所述感染信息包括：所述第一主机感染的病毒的类型、所述第一主机的网络协议ip地址、所述第一主机的感染次数以及动作指令中的一个或多个；

策略生成模块，用于根据所述第一主机的感染信息以及预设规则确定第一治理策略；其中，所述预设规则包括所述感染信息与所述第一治理策略的对应关系；

策略执行模块，用于执行所述第一治理策略和/或将所述第一治理策略发送至所述第一主机。

可选的，所述第一治理策略包括：引导下线、阻断接入网设备端口、限速、减低流量优先级、强制下线、数据引导流向、禁止接入网络、推送提示消息中的一个或多个。

可选的，所述第一治理策略为强制下线；所述aaa系统还包括：数据引流模块；

所述数据引流模块，用于当所述第一主机再次发起上线请求时，将所述第一主机的流量导入到引流设备。

可选的，所述感染信息还包括：感染主机的ip地址；所述aaa系统还包括：位置定位模块；

所述位置定位模块，用于根据所述感染主机的ip地址获取所述感染主机的物理端口信息，以及根据所述感染主机的物理端口信息第一映射关系获取所述感染主机的物理位置；

其中，所述第一映射关系包括所述感染主机的物理端口信息与所述感染主机的物理位置的对应关系。

可选的，所述aaa系统还包括：反馈获取单元；

所述反馈获取单元，用于获取反馈信息；

所述策略生成模块，还用于根据所述反馈信息确定第二治理策略；

所述策略执行模块，还用于执行所述第二治理策略和/或将所述第二治理策略发送至所述第一主机。

本发明实施例提供的僵木蠕治理方法，首先获取第一主机的感染信息，然后根据所述第一主机的感染信息以及预设规则确定第一治理策略，最后执行所述第一治理策略和/或将所述第一治理策略发送至所述第一主机，在本发明实施例提供的僵木蠕治理方法中，由于治理策略是根据第一主机的感染信息生成的，且能够独立的对第一主机执行根据第一主机的感染信息生成的治理策略或者将根据第一主机的感染信息生成的治理策略发送至第一主机，因此本发明实施例提供的僵木蠕治理方法可以针对不同的场景差异性的采用不同手段对僵木蠕进行治理。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例提供的僵木蠕治理方法的步骤流程图之一；

图2为本发明实施例提供的僵木蠕治理方法的步骤流程图之二；

图3为本发明实施例提供的aaa系统的示意性结构图之一；

图4为本发明实施例提供的aaa系统的示意性结构图之二；

图5为本发明实施例提供的aaa系统的示意性结构图之三；

图6为本发明实施例提供的aaa系统的示意性结构图之四。

具体实施方式

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

本申请的说明书和权利要求书中的术语“第一”和“第二”等是用于区别不同的对象，而不是用于描述对象的特定顺序。例如，第一天线和第二天线等是用于区别不同的天线，而不是用于描述天线的特定顺序。

在本申请实施例中，“示例性的”或者“例如”等词用于表示作例子、例证或说明。本申请实施例中被描述为“示例性的”或者“例如”的任何实施例或设计方案不应被解释为比其它实施例或设计方案更优选或更具优势。确切而言，使用“示例性的”或者“例如”等词旨在以具体方式呈现相关概念。此外，在本申请实施例的描述中，除非另有说明，“多个”的含义是指两个或两个以上。

传统僵木蠕治理方案中：用户端查杀的方案可能无法避免僵木蠕的扩散，网络运营者虽然可以在网络运营侧进行僵木蠕的检测与治理，但不能差异性的采用不同手段进行治理。

为了解决该问题，本申请实施例提供一种僵木蠕治理方法以及系统，该僵木蠕治理方法首先获取第一主机的感染信息，然后根据所述第一主机的感染信息以及预设规则确定第一治理策略，最后执行所述第一治理策略和/或将所述第一治理策略发送至所述第一主机，在本发明实施例提供的僵木蠕治理方法中，由于治理策略是根据第一主机的感染信息生成的，且能够独立的对第一主机执行根据第一主机的感染信息生成的治理策略或者将根据第一主机的感染信息生成的治理策略发送至第一主机，因此本发明实施例提供的僵木蠕治理方法可以针对不同的场景差异性的采用不同手段对僵木蠕进行治理。

此外，需要说明的是，本申请实施例提供的僵木蠕治理方法的执行主体可以为认证(authentication)、授权(authorization)、计费(accounting)系统，也可以为其他为网络侧设备，本申请实施例对此不做限定。

以下以本申请实施例提供的僵木蠕治理方法的执行主体为aaa系统对上述本申请实施例提供的僵木蠕治理方法进行详细说明，具体的，参照图1所示，本申请实施例提供的僵木蠕治理方法，包括：

s11、aaa系统获取第一主机的感染信息。

所述第一主机为确定感染了病毒的主机或疑似感染了病毒的主机，所述感染信息包括：所述第一主机感染的病毒的类型、所述第一主机的网络协议ip地址、所述第一主机的感染次数以及动作指令中的一个或多个。

具体的，aaa系统可以通过与僵木蠕检测设备或其他网络管理设备进行联动获取第一主机的感染信息。例如：通过与僵木蠕检测设备进行联动，当僵木蠕检测设备确定或怀疑某一感染了僵木蠕病毒，则将该主机的感染信息发送至aaa系统。

此外，在一些情况下aaa系统也可以对主机是否感染僵木蠕病毒进行检测，若定或怀疑某一感染了僵木蠕病毒，则读取该主机的感染信息。

s12、aaa系统根据所述第一主机的感染信息以及预设规则确定第一治理策略。

其中，所述预设规则包括所述感染信息与所述第一治理策略的对应关系。

具体的，本申请实施例中的治理策略可以包括：实时策略与非实时策略。其中，实时治理策略的制定主要是根据病毒类型(危害大小)以及发现感染的次数(告警后并未主动处置)。例如：对于某一服务端主机，如果为首次发现感染，且病毒类型危害不大，则采取推送提示信息的方式进行告警，推送的内容包括感染的病毒类型，处理建议的治理策略；如果非首次发现且危害不大，则采取限速或降低流量优先级的治理策略；不管是否首次，如果危害大，则采取引导下线的治理策略；如果为多次发现并超过预定次数或危害极大，则采用强制下线的治理策略。对于控制端的主机，采用直接强制下线的治理策略。非实时策略主要是根据与aaa系统联动的僵木蠕检测设备或其他网络管理设备生成并发送至aaa系统的动作指令而生成。

进一步的，在上述步骤s12aaa系统根据所述第一主机的感染信息以及预设规则确定第一治理策略，所述方法还可以包括：根据预定格式对第一主机的感染信息进行预处理，以获取有效的数据信息。

可选的，所述第一治理策略可以包括：引导下线、阻断接入网设备端口、限速、减低流量优先级、强制下线、数据引导流向、禁止接入网络、推送提示消息中的一个或多个。

s13、aaa系统执行所述第一治理策略和/或将所述第一治理策略发送至所述第一主机。

具体的，确定第一治理策略后，aaa系统首先进行对第一治理策略进行分析与分解，若第一治理策略中包含需要aaa系统内部执行的动作(例如：将第一主机加入黑名单)，则aaa系统首先进行内部执行；若第一治理策略还包括需要发给第一主机执行的动作，则通过接入网关设备将第一治理策略发送至第一主机。

本发明实施例提供的僵木蠕治理方法，首先获取第一主机的感染信息，然后根据所述第一主机的感染信息以及预设规则确定第一治理策略，最后执行所述第一治理策略和/或将所述第一治理策略发送至所述第一主机，在本发明实施例提供的僵木蠕治理方法中，由于治理策略是根据第一主机的感染信息生成的，且能够独立的对第一主机执行根据第一主机的感染信息生成的治理策略或者将根据第一主机的感染信息生成的治理策略发送至第一主机，因此本发明实施例提供的僵木蠕治理方法可以针对不同的场景差异性的采用不同手段对僵木蠕进行治理。

可选的，当上述步骤s21中确定的第一治理策略为强制下线时，本申请实施例提供的僵木蠕治理方法还可以包括：

当所述第一主机再次发起上线请求时，aaa系统将所述第一主机的流量导入到引流设备。

即，当第一主机再次发起上线请求时，aaa系统将第一主机标记为特殊域用户，然后将第一组的流量从网关设备导入到引流设备，再允许第一主机访问网络。

示例性的，aaa系统具体可以通过虚拟专用网络(virtualprivatenetwork，vpn)或者端口镜像/分光的方式将所述第一主机的流量导入到引流设备。

由于aaa系统将第一主机的流量导入到了引流设备中，因此僵木蠕检测、蜜罐等设备可以直接从引流设备中读取第一用户的流量信息，从而避免全流量分析，因此本发明实施例还可以进一步降低僵木蠕治理成本，提升僵木蠕治理效率。

可选的，所述感染信息还包括：感染主机的ip地址；所述方法还包括：

根据所述感染主机的ip地址获取所述感染主机的物理端口信息；

根据所述感染主机的物理端口信息第一映射关系获取所述感染主机的物理位置；

其中，所述第一映射关系包括所述感染主机的物理端口信息与所述感染主机的物理位置的对应关系。

具体的，当感染信息还包括：感染主机的ip地址时，aaa系统通过查找线信息库以及历史使用信息库中该ip地址对应的物理端口信息，并从网络运营商资源管理系统中获取该用户端口与物理位置关系信息，从而获取感染主机的物理位置。

由于上述方法可以根据所述感染主机的ip地址获取所述感染主机的物理端口信息，并根据所述感染主机的物理端口信息第一映射关系获取所述感染主机的物理位置，因此本申请实施例提供的僵木蠕治理方法可以对感染主机的物理位置进行的定位。

进一步的，参照图2所示，本申请实施例提供的僵木蠕治理方法还包括：

s14、aaa系统获取反馈信息。

具体的，aaa系统具体可以从僵木蠕检测设备提取最新的感染数据、联动设备的策略变更数据、从portal页面等用户媒介手段处获取用户反馈数据(主动下线数据、用户调研反馈数据)、从aaa系统获取用户的认证数据、网络使用数据等作为本申请实施例中的反馈信息。

s15、aaa系统根据所述反馈信息确定第二治理策略。

上述步骤s15中根据反馈信息确定第二治理策略的方式可以与上述实施例中确定第一治理策略的方式相同，也可以不同。例如：aaa系统确定第二治理策略的方式可以为：通过分析反馈数据对对第一主机的感染情况进行进一步的评估，示例性的，评估结果可以为：成为非感染主机、对动作无响应主机、响应但仍未感染主机等，然后再根据评估结果对第一治理策略进行强化或弱化进行确定出第二治理策略。

s16、执行所述第二治理策略和/或将所述第二治理策略发送至所述第一主机。

同样，确定第二治理策略后，aaa系统首先进行对第二治理策略进行分析与分解，若第二治理策略中包含需要aaa系统内部执行的动作，则aaa系统首先进行内部执行；若第二治理策略还包括需要发给第一主机执行的动作，则通过接入网关设备将第二治理策略发送至第一主机。

上述实施例中通过获取反馈信息对通过第一治理策略的治理效果进行评估，并根据评估结果进一步对治理策略进行调整，因此可以形成有闭环。

本申请再一实施例提供一种aaa系统，具体的，参照图3所示，该aaa系统，包括：

信息获取模块31，用于获取第一主机的数据信息；所述第一主机为确定感染了病毒的主机或疑似感染了病毒的主机，所述感染信息包括：所述第一主机感染的病毒的类型、所述第一主机的网络协议ip地址、所述第一主机的感染次数以及动作指令中的一个或多个；

策略生成模块32，用于根据所述第一主机的感染信息以及预设规则确定第一治理策略；其中，所述预设规则包括所述感染信息与所述第一治理策略的对应关系；

策略执行模块33，用于执行所述第一治理策略和/或将所述第一治理策略发送至所述第一主机。

本发明实施例提供的aaa系统，首先获取第一主机的感染信息，然后根据所述第一主机的感染信息以及预设规则确定第一治理策略，最后执行所述第一治理策略和/或将所述第一治理策略发送至所述第一主机，由于治理策略是根据第一主机的感染信息生成的，且能够独立的对第一主机执行根据第一主机的感染信息生成的治理策略或者将根据第一主机的感染信息生成的治理策略发送至第一主机，因此本发明实施例提供的aaa系统可以针对不同的场景差异性的采用不同手段对僵木蠕进行治理。

可选的，所述第一治理策略包括：引导下线、阻断接入网设备端口、限速、减低流量优先级、强制下线、数据引导流向、禁止接入网络、推送提示消息中的一个或多个。

可选的，参照图4所示，所述第一治理策略为强制下线；所述aaa系统还包括：数据引流模块34；

所述数据引流模块34，用于当所述第一主机再次发起上线请求时，将所述第一主机的流量导入到引流设备。

可选的，参照图5所示，所述感染信息还包括：感染主机的ip地址；所述aaa系统还包括：位置定位模块35；

所述位置定位模块35，用于根据所述感染主机的ip地址获取所述感染主机的物理端口信息，以及根据所述感染主机的物理端口信息第一映射关系获取所述感染主机的物理位置；

其中，所述第一映射关系包括所述感染主机的物理端口信息与所述感染主机的物理位置的对应关系。

可选的，参照图6所示，所述aaa系统还包括：反馈获取单元36；

所述反馈获取单元36，用于获取反馈信息；

所述策略生成模块32，还用于根据所述反馈信息确定第二治理策略；

所述策略执行模块33，还用于执行所述第二治理策略和/或将所述第二治理策略发送至所述第一主机。

需要说明的是，在本文中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质(如rom/ram、磁碟、光盘)中，包括若干指令用以使得一台终端(可以是手机，计算机，服务器，空调器，或者网络设备等)执行本申请各个实施例所述的方法。

上面结合附图对本申请的实施例进行了描述，但是本申请并不局限于上述的具体实施方式，上述的具体实施方式仅仅是示意性的，而不是限制性的，本领域的普通技术人员在本申请的启示下，在不脱离本申请宗旨和权利要求所保护的范围情况下，还可做出很多形式，均属于本申请的保护之内。