一种僵尸网络识别的方法、装置、设备及存储介质与流程

1.本发明属于计算机技术领域，尤其涉及一种僵尸网络识别的方法、装置、设备及计算机存储介质。


背景技术：

2.僵尸网络是指采用一种或多种传播手段，将大量主机感染僵尸程序病毒，从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。其中，被感染主机即为僵尸主机。僵尸网络构成一个攻击平台，利用这个平台可以发起各种各样的网络攻击行为，从而导致某些应用系统的瘫痪、个人隐私的泄露等。
3.目前，现有技术中，很多僵尸网络识别方法可以完成对僵尸网络的识别检测，但是在需要处理大量日志数据的应用场景中，现有的方法需要进行大量运算分析，例如计算域名的支持度、置信度以及提升度、或者进行僵尸网络识别模型训练等等，才能完成识别。在需要处理日志数据量非常庞大时，现有方案需要消耗大量的计算资源，数据处理负载较大，工作效率较低。


技术实现要素：

4.本发明实施例提供一种僵尸网络识别的方法、装置、设备及计算机存储介质，能够快速识别出疑似的僵尸网络，降低了对计算资源消耗，提升了数据处理速度，可以及时处理掉大量数据，提高工作效率较低。
5.第一方面，本发明实施例提供一种僵尸网络识别的方法，该方法包括：
6.僵尸网络识别的方法，其特征在于，包括：
7.获取第一域名系统协议dns日志数据；
8.从所述第一dns日志数据中，筛选满足预设条件的第二dns日志数据；
9.提取所述第二dns日志数据的特征信息；
10.对所述特征信息进行聚类，将满足预设相似条件的特征信息归为一个聚类集，以得到至少一个聚类集；
11.将所述至少一个聚类集作为僵尸网络，得到僵尸网络识别结果。
12.可选地，对所述特征信息进行聚类，将满足预设相似条件的特征信息归为一个聚类集，以得到至少一个聚类集，包括：
13.根据所述特征信息的目的域名信息和主机网际协议ip信息，确定目的域名信息与主机ip信息的对应关系；
14.根据所述对应关系，确定目标目的域名信息对应的主机ip信息的数量值；
15.当所述数量值达到所述预设数量阈值时，将所述目标目的域名信息对应的主机ip信息，形成所述目标目的域名信息对应的聚类集。
16.可选地，在所述对特征信息进行聚类，将满足预设相似条件的特征信息归为一个聚类集，以得到至少一个聚类集之前，还包括：
17.根据所述第二dns日志数据，确定预设时间段内的主机访问频次；
18.确定所述主机访问频次是否超过预设频次阈值；
19.所述对特征信息进行聚类，将满足预设相似条件的特征信息归为一个聚类集，以得到至少一个聚类集，包括：
20.当所述主机访问频次超过所述预设频次阈值时，则对所述特征信息进行聚类的操作，将满足预设相似条件的特征信息归为一个聚类集，以得到至少一个聚类集。
21.可选地，所述将至少一个聚类集作为僵尸网络，得到僵尸网络识别结果之后，还包括：
22.将所述至少一个聚类集保存至数据库。
23.可选地，所述将至少一个聚类集作为僵尸网络，得到僵尸网络识别结果之后，还包括：
24.根据所述至少一个聚类集，发送告警信息。
25.可选地，所述从第一dns日志数据中，筛选满足预设条件的第二dns日志数据，包括：
26.抽取所述第一dns日志数据的至少一个字段信息；
27.根据所述至少一个字段信息，确定所述第二dns日志数据；
28.所述至少一个字段信息包括以下一个或者多个：域名解析时间、客户端及其端口号、请求域名、dns服务器ip地址、域名解析返回地址、省份以及业务。
29.可选地，所述目标目的域名信息包括一个或者多个。
30.第二方面，本发明实施例提供了一种僵尸网络识别的装置，装置包括：
31.获取模块，用于获取第一域名系统协议dns日志数据；
32.筛选模块，用于从所述第一dns日志数据中，筛选满足预设条件的第二dns日志数据；
33.提取模块，用于提取所述第二dns日志数据的特征信息；
34.聚类模块，用于对所述特征信息进行聚类，将满足预设相似条件的特征信息归为一个聚类集，以得到至少一个聚类集；
35.结果模块，用于将所述至少一个聚类集作为僵尸网络，得到僵尸网络识别结果。
36.第三方面，本发明实施例提供了一种僵尸网络识别的设备，该设备包括：处理器以及存储有计算机程序指令的存储器；
37.所述处理器执行所述计算机程序指令时实现如权利要求第一方面以及第一方面可选地所述的僵尸网络识别的的方法。
38.第四方面，本发明实施例提供了一种计算机存储介质，所述计算机存储介质上存储有计算机程序指令，所述计算机程序指令被处理器执行时实现如第一方面以及第一方面可选地所述的一种僵尸网络识别的的方法。
39.本发明实施例的僵尸网络识别方法、装置、设备及计算机存储介质，可以首先对获取的dns日志数据进行筛选，仅需提取满足预设条件的dns日志数据中的特征信息，并对这些特征信息进行聚类操作，确定至少一个聚类集。每个聚类集中的特征信息表示具有一定相似性的信息，例如相似主机行为的信息等，所以聚类集可以看作为疑似的僵尸网络。由此，无需对海量dns日志数据一一进行运算分析，只需对满足预设条件的dns日志数据进行
聚类分析，便可以快速识别出疑似的僵尸网络，降低了对计算资源消耗，提升了数据处理速度，进而可以及时处理掉大量数据，提高工作效率。
附图说明
40.为了更清楚地说明本发明实施例的技术方案，下面将对本发明实施例中所需要使用的附图作简单的介绍，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
41.图1是本发明一个实施例提供的僵尸网络识别方法的流程示意图；
42.图2是本发明另一个实施例提供的僵尸网络识别方法的流程示意图；
43.图3是本发明一个实施例提供的僵尸网络识别的装置的示意图；
44.图4是本发明一个实施例提供的僵尸网络识别的硬件结构示意图。
具体实施方式
45.下面将详细描述本发明的各个方面的特征和示例性实施例，为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及具体实施例，对本发明进行进一步详细描述。应理解，此处所描述的具体实施例仅被配置为解释本发明，并不被配置为限定本发明。对于本领域技术人员来说，本发明可以在不需要这些具体细节中的一些细节的情况下实施。下面对实施例的描述仅仅是为了通过示出本发明的示例来提供对本发明更好的理解。
46.需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括
……”
限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
47.僵尸网络是一连串互联的计算机、或僵尸主机，每一个都感染了由特定僵尸网络控制的相同或不同类型的恶意软件。为了保障网络设备安全，需要快速识别出疑似的僵尸网络。通常，可以通过分析dns日志数据可以实现僵尸网络的识别，但是，现有的僵尸网络识别的方案，需要计算dns日志数据中域名的支持度、域名的置信度以及域名的提升度来确定受控主机和控制主机需要通过域名的支持度、域名的置信度以及域名的提升度等，以识别僵尸网络。在计算域名的支持度、域名的置信度以及域名的提升度时，需要对海量dns日志数据中的每条日志数据分别计算一遍，消耗大量的计算资源，花费的代价会十分巨大，数据处理负载较大，工作效率较低。
48.为了解决现有技术的问题，本发明实施例提供了一种僵尸网络识别的方法、装置、设备及计算机存储介质。可以对获取的dns日志数据进行筛选，仅提取满足预设条件的dns日志数据中的特征信息，并对这些特征信息进行聚类操作，确定多个聚类集。每个聚类集中的特征信息表示具有一定相似性的信息，聚类集可以看作为疑似的僵尸网络。由此，只需对筛选后的dns日志数据进行聚类分析，便可以快速识别出疑似的僵尸网络，降低了对计算资
源消耗，提升了数据处理速度，进而可以及时处理掉大量数据，减少维护人员的工作量，提高维护人员的工作效率。
49.下面结合附图，描述根据本发明实施例提供的僵尸网络识别的方法、装置、设备和介质。应注意，这些实施例并不是用来限制本发明公开的范围。
50.首先对本发明实施例所提供的僵尸网络识别的方法进行介绍。
51.在本发明实施例中，如图1所示，图1是本发明一个实施例提供的僵尸网络识别的方法的流程示意图。该僵尸网络识别的方法，具体包括：
52.s101：获取第一域名系统协议dns日志数据。
53.这里，该第一dns日志数据可以是从不同系统中获取到的原始的dns日志数据。第一dns日志数据可是获取到的实时的大量的dns日志数据。针对运营商来讲，该第一dns日志数据可以是从各个省份相关数据系统中，获取收集的各个省份的dns日志数据。
54.s102：从所述第一dns日志数据中，筛选满足预设条件的第二dns日志数据。
55.这里，可以对获取到的第一dns日志数据进行预处理，筛选出满足预设条件的第一dns日志数据，将筛选后的第一dns日志数作为第二dns日志数据。
56.具体地，该预设条件可以为保留可以用于特征信息提取的字段信息。该字段信息可以包括以下一个或者多个：域名解析时间、客户端及其端口号、请求域名、dns服务器ip地址、域名解析返回地址、省份以及业务。
57.具体地，获取第一dns日志数据后，抽取第一dns日志数据的至少一个字段信息；根据至少一个字段信息，确定第二dns日志数据。将抽取的第一dns日志数据的字段信息保留，舍弃第一dns日志数据的其他字段信息，以得到第二dns日志数据。
58.这里，可以通过对第一dns日志数据即原始dns日志数据的筛选，得到第二dns日志数据，即标准化的dns日志数据。统一了dns日志数据的数据格式，过滤掉无用的数据以及与后续操作执行无关的数据，提升dns日志数据通用性。
59.s103：提取所述第二dns日志数据的特征信息。
60.这里，可以对第二dns日志数据进行特征信息提取的操作。具体地，提取的特征信息可以包括：目的域名信息、主机ip信息、端口信息等任意一个或者多个。
61.s104：对所述特征信息进行聚类，将满足预设相似条件的特征信息归为一个聚类集，以得到至少一个聚类集。
62.具体地，第二dns日志数据的特征信息可以包括：目的域名信息、主机ip信息。在dns日志数据中，可以主机设备请求访问目的域名，存在目的域名信息与主机ip信息的对应关系，如，ip1访问web1。
63.根据目的域名信息与主机ip信息对应关系，可以确定目标目的域名信息对应的主机ip信息的数量值。具体地，一个目标目的域名信息可以对应一个或者多个主机ip信息，并且可以得到每个目标目的域名信息对主机ip信息的数量值。可以理解的是，该目标目的域名信息可以表示同一个目的域名信息，该目标目的域名信息的数量包括一个或者多个。该对应的主机ip信息的数量值可以是同一个目的域名信息对应的主机ip信息的个数，即访问同一目的域名的主机ip的个数。
64.当数量值达到预设数量阈值时，将目标目的域名信息对应的主机ip信息，形成目标目的域名信息对应的聚类集。
65.具体地，该预设数量阈值可是根据实际的网络设备的情况设置。示例性的，预设数量阈值为4，当目标目的域名信息对应的主机ip信息的数量值达到4时，将目标目的域名信息对应的主机ip信息形成相应的聚类集。聚类集的数量可以为一个或者多个，每个聚类集可以包括访问同一个目的域名的大于等于4个的主机ip信息。
66.可选地，为了提升后续对dns日志数据处理的速度，在对特征信息进行聚类之前，还可以根据第二dns日志数据，确定预设时间段内的主机访问频次；确定该主机访问频次是否超过预设频次阈值，即将主机访问频次与预设频次阈值进行比较判断；当该主机访问频次超过预设频次阈值时，则对第二dns日志数据的特征信息进行聚类的操作。当该主机访问频次未超过预设频次阈值时，则对第二dns日志数据的特征信息不处理。
67.具体地，预设时间段内的主机访问频次可以通过对域名解析时间、客户端及其端口号、请求域名的字段信息的分析得到。选取单位时间内主机访问频次超过预设频次阈值的dns日志数据的特征信息。例如，预设频次阈值可以定义1分钟50次以上访问频次，超过该访问频次的目的域名可以看作为频繁访问域名，仅对具有频繁访问域名的特征信息进行后续的聚类操作。可以理解为，过滤了单位时间不频繁访问的域名对应的dns日志数据。即对要进行聚类处理的dns日志数据又进行了一次过滤和筛选，减少了后续处理的数据量和计算量。
68.s105：将所述至少一个聚类集作为僵尸网络，得到僵尸网络识别结果。
69.这里，同一个聚类集可以包括多个主机ip信息，同一个聚类集中的主机ip信息可以表示具有相似主机行为的主机，这些主机形成了疑似的僵尸网络。具体地，相似主机行为可以是指多个主机频繁访问相同或者相似的目的域名的主机行为。
70.可选地，在到僵尸网络识别结果后，可以将至少一个聚类集保存至数据库，即将僵尸网络识别结果保存。数据库可以包括远程字典服务(remote dictionary server，redis)数据库。
71.可选地，在到僵尸网络识别结果后，还可以根据聚类集，将僵尸网络识别结果，发送告警信息。将僵尸网络识别结果发送至运维人员的监控设备，便于后续对问题设备的排查处理。
72.综上，本发明实施例中，该僵尸网络识别方法，可以首先对获取的dns日志数据进行筛选，仅提取满足预设条件的dns日志数据中的特征信息，并对这些特征信息进行聚类操作，确定至少一个聚类集。每个聚类集中的特征信息表示具有一定相似性的信息，例如相似主机行为的信息等，所以聚类集可以看作为疑似的僵尸网络。由此，无需对海量dns日志数据一一进行运算分析，只需对满足预设条件的日志数据进行聚类分析，便可以快速识别出疑似的僵尸网络，降低了对计算资源消耗，提升了数据处理速度，进而可以及时处理掉大量数据，减少维护人员的工作量，提高维护人员的工作效率。
73.此外，本发明实施中的方法，可以通过对原始dns日志数据的筛选，得到标准化的dns日志数据。统一了dns日志数据的数据格式，提升dns日志数据通用性。并且，还可以过滤单位时间不频繁访问的域名对应的dns日志数据，减少了后续处理的数据量和计算量，提升数据处理的效率。
74.为了更好的理解本发明实施的方案，现结合运营商网络应用场景，详细说明该僵尸网络识别方法。
75.在本发明另一个实施例中，如图2所示，图2是本发明另一个实施例提供的实际应用中的僵尸网络识别方法的流程示意图。
76.s201：获取原始dns日志数据。
77.具体地，原始dns日志数据可以包括收集的各省份运营商的dns日志数据。
78.s202：按照预设条件，筛选原始dns日志数据。
79.具体地，考虑到各省份收集的dns日志数据格式不统一，在进行聚类之前，将各省的原始dns日志数据进行标准化处理，便于后续处理。标准化过程是将原始dns日志数据抽取如表1中字段并保留，其他字段舍弃。
80.序号字段1域名解析时间2客户端及其端口号3请求的域名4dns服务器ip地址5域名解析返回地址(可选)6省份7业务(可选)
81.表1
82.s203：提取筛选后的dns日志数据的特征信息。
83.具体地，提取筛选后的dns日志数据中的目的域名、主机ip和端口等。提取后的特征信息可以表示为：web1 192.168.2.2 808，以制表符进行分隔。
84.s204：判断特征信息中的目的域名是否频繁访问域名。
85.具体地，可以根据筛选后的dns日志数据，得到单位时间内目的域名被访问的主机访问频次，以定位被频繁访问的目的域名。并过滤单位时间不频繁访问的域名。可以定义1分钟50次以上访问的域名为频繁访问域名。
86.s205：若是，则根据目的域名进行聚类。
87.若否，则执行s208
88.s206：判断是否具有相似主机行为。
89.s207：若是，则将相似主机行为聚类集，作为疑似僵尸网络。
90.s208：结果输入至redis数据库。
91.若否，则执行s209
92.s209：结束dns日志数据处理。
93.在s205至s209中，对频繁访问的域名，根据目的域名进行聚类，判断主机行为是否有相似性，将具有相似性主机行为的聚类集作为疑似被控制的僵尸网络。
94.具体的主机行为相似性聚类过程如下：
95.僵尸网络在进行网络攻击时僵尸主机会表现出相似的主机行为，即频繁访问相似的目的域名的主机行为，利用这个特点，对dns日志数据进行分析，可以得出具有相似性的主机。
96.以超文本传输协议请求洪水http request flood主机行为的聚类过程为例进行简要说明，与http request flood主机行为有关的主机行为记录数据如下表2所示：
97.目的域名主机ip端口web-1192.168.2.28080web-1192.168.2.48080web-1192.168.2.128080web-1192.168.2.158080web-2192.168.2.380web-3192.168.2.680web-3192.168.2.1780web-3192.168.2.1180web-3192.168.2.1380web-3192.168.2.1980web-4192.168.2.118080web-4192.168.2.68080web-4192.168.2.178080web-4192.168.2.198080
98.表2
99.根据攻击目标，即目的域名，对主机进行分组，共分成四组如下表3所示：
100.分组分组ip组1192.168.2.2 192.168.2.4 192.168.2.12 192.168.2.15组2192.168.2.3组3192.168.2.6 192.168.2.17 192.168.2.11 192.168.2.13 192.168.2.19组4192.168.2.11 192.168.2.6 192.168.2.17 192.168.2.19
101.表3
102.按照预设数量阈值筛选出ip个数大于等于4的分组，得到分组结果，如下表4所示：
103.分组分组ip组1192.168.2.2 192.168.2.4 192.168.2.12 192.168.2.15组2192.168.2.6 192.168.2.17 192.168.2.11 192.168.2.13 192.168.2.19
104.表4
105.由于短时间多个ip访问共同目的域名，存在网络攻击的可能，将分组后的结果作为疑似僵尸主机。采用数量筛选策略规则进行识别输出。疑似僵尸网络分组结果如下表5所示：
[0106][0107]
表5
[0108]
利用上述分组结果，可以得到疑似僵尸网络，完成对僵尸网络的识别。
[0109]
综上，在本发明实施例中，该僵尸网络识别的方法，基于用户的dns日志数据，通过
主机行为相似性来进行僵尸网络快速识别，无需对海量dns日志数据一一进行运算分析，降低了对计算资源消耗，提升了数据处理速度，进而可以及时处理掉大量数据，减少维护人员的工作量，提高维护人员的工作效率。此外，该方法还提升了dns日志数据通用性，避免各省份收集的dns日志数据格式不统一，将各省的dns日志进行标准化，规整为统一字段。并且将单位时间不频繁访问的域名过滤掉，减少后续计算量。
[0110]
基于上述实施例提供的僵尸网络识别的方法，相应地，本技术还提供了僵尸网络识别的装置的具体实现方式。请参见以下实施例。
[0111]
在本发明一实施例中，如图3所示，图3是本发明另一个实施例提供的僵尸网络识别的装置的结构示意图，该僵尸网络识别的装置，具体包括：
[0112]
获取模块301，用于获取第一域名系统协议dns日志数据；
[0113]
筛选模块302，用于从所述第一dns日志数据中，筛选满足预设条件的第二dns日志数据；
[0114]
提取模块303，用于提取所述第二dns日志数据的特征信息；
[0115]
聚类模块304，用于对所述特征信息进行聚类，将满足预设相似条件的特征信息归为一个聚类集，以得到至少一个聚类集；
[0116]
结果模块305，用于将所述至少一个聚类集作为僵尸网络，得到僵尸网络识别结果。
[0117]
可选地，该聚类模块，还可以包括：
[0118]
第一确定单元，用于根据所述特征信息的目的域名信息和主机网际协议ip信息，确定目的域名信息与主机ip信息的对应关系；
[0119]
第二确定单元，用于根据所述对应关系，确定目标目的域名信息对应的主机ip信息的数量值，其中，所述目标目的域名信息包括一个或者多个；
[0120]
聚类单元，用于当所述数量值达到所述预设数量阈值时，将所述目标目的域名信息对应的主机ip信息，形成所述目标目的域名信息对应的聚类集。
[0121]
可选地，该僵尸网络识别的装置，还可以包括：
[0122]
判断模块，用于根据所述第二dns日志数据，确定预设时间段内的主机访问频次；确定所述主机访问频次是否超过预设频次阈值；
[0123]
该聚类模块304，还用于当所述主机访问频次超过所述预设频次阈值时，则对所述特征信息进行聚类的操作，将满足预设相似条件的特征信息归为一个聚类集，以得到至少一个聚类集。
[0124]
可选地，该僵尸网络识别的装置，还可以包括：保存模块，用于将所述至少一个聚类集保存至数据库。
[0125]
可选地，该僵尸网络识别的装置，还可以包括：发送模块，用于根据所述至少一个聚类集，发送告警信息。
[0126]
可选地，筛选模块302，还可以用于抽取所述第一dns日志数据的至少一个字段信息；根据所述至少一个字段信息，确定所述第二dns日志数据；所述至少一个字段信息包括以下一个或者多个：域名解析时间、客户端及其端口号、请求域名、dns服务器ip地址、域名解析返回地址、省份以及业务。
[0127]
综上，本发明实施例中的僵尸网络识别的装置，可以用于执行上述实施例中的僵
尸网络识别的装置的方法，可以通过筛选获取的dns日志数据，得到满足预设条件的dns日志数据，提取筛选后的dns日志数据中的特征信息，并对这些特征信息进行聚类操作，确定至少一个聚类集。每个聚类集中的特征信息表示具有一定相似性的信息，例如相似主机行为的信息等，所以聚类集可以看作为疑似的僵尸网络。由此，无需对海量dns日志数据一一进行运算分析，只需对满足预设条件的dns日志数据进行聚类分析，便可以快速识别出疑似的僵尸网络，降低了对计算资源消耗，提升了数据处理速度，进而可以及时处理掉大量数据，减少维护人员的工作量，提高维护人员的工作效率。
[0128]
在本发明一实施例中，如图4所示，图4是本发明一个实施例提供的僵尸网络识别的硬件结构示意图。
[0129]
在僵尸网络识别的设备可以包括处理器401以及存储有计算机程序指令的存储器402。
[0130]
具体地，上述处理器401可以包括中央处理器(cpu)，或者特定集成电路(application specific integrated circuit，asic)，或者可以被配置成实施本发明实施例的一个或多个集成电路。
[0131]
存储器402可以包括用于数据或指令的大容量存储器。举例来说而非限制，存储器402可包括硬盘驱动器(hard disk drive，hdd)、软盘驱动器、闪存、光盘、磁光盘、磁带或通用串行总线(universal serial bus，usb)驱动器或者两个或更多个以上这些的组合。在合适的情况下，存储器402可包括可移除或不可移除(或固定)的介质。在合适的情况下，存储器402可在综合网关容灾设备的内部或外部。在特定实施例中，存储器402是非易失性固态存储器。在特定实施例中，存储器402包括只读存储器(rom)。在合适的情况下，该rom可以是掩模编程的rom、可编程rom(prom)、可擦除prom(eprom)、电可擦除prom(eeprom)、电可改写rom(earom)或闪存或者两个或更多个以上这些的组合。
[0132]
处理器401通过读取并执行存储器402中存储的计算机程序指令，以实现上述实施例中的任意一种僵尸网络识别的方法。
[0133]
在一个示例中，僵尸网络识别的设备还可包括通信接口403和总线410。其中，如图4所示，处理器401、存储器402、通信接口403通过总线410连接并完成相互间的通信。
[0134]
通信接口403，主要用于实现本发明实施例中各模块、装置、单元和/或设备之间的通信。
[0135]
总线410包括硬件、软件或两者，将僵尸网络识别的设备的部件彼此耦接在一起。举例来说而非限制，总线可包括加速图形端口(agp)或其他图形总线、增强工业标准架构(eisa)总线、前端总线(fsb)、超传输(ht)互连、工业标准架构(isa)总线、无限带宽互连、低引脚数(lpc)总线、存储器总线、微信道架构(mca)总线、外围组件互连(pci)总线、pci-express(pci-x)总线、串行高级技术附件(sata)总线、视频电子标准协会局部(vlb)总线或其他合适的总线或者两个或更多个以上这些的组合。在合适的情况下，总线410可包括一个或多个总线。尽管本发明实施例描述和示出了特定的总线，但本发明考虑任何合适的总线或互连。
[0136]
该僵尸网络识别的设备可以执行本发明实施例中的僵尸网络识别的方法，从而实现结合图1和图2描述的僵尸网络识别的方法。
[0137]
另外，结合上述实施例中的僵尸网络识别的方法，本发明实施例可提供一种计算
机存储介质来实现。该计算机存储介质上存储有计算机程序指令；该计算机程序指令被处理器执行时实现上述实施例中的任意一种僵尸网络识别的方法。
[0138]
需要明确的是，本发明并不局限于上文所描述并在图中示出的特定配置和处理。为了简明起见，这里省略了对已知方法的详细描述。在上述实施例中，描述和示出了若干具体的步骤作为示例。但是，本发明的方法过程并不限于所描述和示出的具体步骤，本领域的技术人员可以在领会本发明的精神后，作出各种改变、修改和添加，或者改变步骤之间的顺序。
[0139]
以上所述的结构框图中所示的功能块可以实现为硬件、软件、固件或者它们的组合。当以硬件方式实现时，其可以例如是电子电路、专用集成电路(asic)、适当的固件、插件、功能卡等等。当以软件方式实现时，本发明的元素是被用于执行所需任务的程序或者代码段。程序或者代码段可以存储在机器可读介质中，或者通过载波中携带的数据信号在传输介质或者通信链路上传送。“机器可读介质”可以包括能够存储或传输信息的任何介质。机器可读介质的例子包括电子电路、半导体存储器设备、rom、闪存、可擦除rom(erom)、软盘、cd-rom、光盘、硬盘、光纤介质、射频(rf)链路，等等。代码段可以经由诸如因特网、内联网等的计算机网络被下载。
[0140]
还需要说明的是，本发明中提及的示例性实施例，基于一系列的步骤或者装置描述一些方法或系统。但是，本发明不局限于上述步骤的顺序，也就是说，可以按照实施例中提及的顺序执行步骤，也可以不同于实施例中的顺序，或者若干步骤同时执行。
[0141]
以上所述，仅为本发明的具体实施方式，所属领域的技术人员可以清楚地了解到，为了描述的方便和简洁，上述描述的系统、模块和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。应理解，本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到各种等效的修改或替换，这些修改或替换都应涵盖在本发明的保护范围之内。