专利名称:僵尸网络检测方法、装置以及网络安全防护设备的制作方法
僵尸网络检测方法、装置以及网络安全防护设备技术领域
本发明实施例涉及网络安全技术领域,特别涉及一种僵尸网络检测方法、装置以 及网络安全防护设备。
背景技术:
僵尸网络(Botnet)是采用一种或者多种传播手段,将大量主机感染僵尸工具Bot 程序,从而在控制者和被感染主机之间形成一个可一对多控制的网络,其中僵尸工具Bot 是robot的缩写,其可执行预定义的功能,可以被预定义的命令所远程控制、并具有一定人 工智能的程序。僵尸主机就是指含有僵尸工具或者其他远程控制程序,使其可被攻击者远 程控制的计算机。
僵尸网络构成一个攻击平台,利用这个平台可以发起各种各样的网络攻击行为, 从而导致整个基础信息网络或者重要应用系统瘫痪,也可以导致大量机密或者个人隐私泄 露,还可以被用来从事网络欺诈等其他违法犯罪活动。例如,利用Botnet可以发起DD0S、发 送垃圾邮件、窃取机密、滥用资源等网络攻击行为,这些行为无论对整个网络还是用户自身 都造成了严重的后果。
目前僵尸网络主要有两种网络拓扑结构,其中一种网络拓扑结构如图1所示,其 为多级控制的树状拓扑结构,在该网络拓扑结构下,控制者开放监听端口,僵尸主动向控制 者的监听端口发起连接,向控制者通报自己,控制者主动连接上级控制者的监听端口,向上 级控制者通报自己,控制者向僵尸主机指令,僵尸主机执行控制者指令,发起攻击。该网络 拓扑结构下的特点是,多台僵尸主机会向同一台控制者的相同端口发起连接,僵尸主机一 般会定时向控制者通信,控制者同一时间会向多台僵尸主机发相同指令。
图2给出了第二种网络拓扑结构,这是一种基于IRC协议实现的僵尸网络,其控制 者在IRC服务器上创建通信频道,僵尸主机登陆IRC服务器并加入攻击者事先创建的频道, 等待控制者发起指令,控制者在IRC指定频道上发指令,僵尸主机收到指令后执行指令,并 发起攻击。基于IRC协议实现的僵尸网络具有如下的特征,僵尸计算机一般会长时间在线, 僵尸计算机作为一个IRC服务器的聊天用户在聊天频道内长时间不发言。另外还存在基于 P2P结构的僵尸网络。
现有技术中对僵尸网络的检测通常有两种,一种是样本分析的方法,即通过蜜罐 等手段获取僵尸工具Bot程序样本,采用逆向工程等恶意代码分析手段,获得隐藏在代码 中的登录Botnet所需要的相关信息,使用定制的僵尸程序登录到僵尸网络中去,进一步采 取应对措施;二是网络特征检测的方法,即通过研究僵尸计算机获取协议规则,然后根据 DPI技术进行检测,这种方法也是需要先获取僵尸工具程序样本。
发明人在实现本发明的过程中发现上述的检测方法均需要获得僵尸工具程序样 本,并且只能检测已知的僵尸网络。发明内容
本发明实施例的目的是提供一种僵尸网络检测方法、装置以及网络安全防护设 备,以实现对未知僵尸网络的检测。
为实现上述目的,本发明实施例提供了一种僵尸网络检测方法,包括
根据待检测网络中的主机发送的第一数据包中的关键字信息获得疑似僵尸主机 信息和疑似僵尸控制主机信息;
对疑似僵尸主机的行为特性进行分析以识别僵尸主机和僵尸控制主机。
本发明实施例还提供了一种僵尸网络检测装置,包括
获取模块,用于根据待检测网络中的主机发送的第一数据包中的关键字信息获得 疑似僵尸主机信息和疑似僵尸控制主机信息;
行为分析模块,用于对疑似僵尸主机的行为特性进行分析以识别僵尸主机和僵尸 控制主机。
本发明实施例还提供了一种网络安全防护设备,包括上述的僵尸网络检测装置。
本发明实施例提供的僵尸网络检测方法、装置以及网络安全防护设备,通过对待检 测网络中的主机发送的第一数据包进行关键字分析,根据关键字信息确认疑似僵尸主机和疑 似僵尸控制主机,然后再对疑似僵尸主机的行为进行监控,若其实施了僵尸主机行为中的一 种,则可确认该主机为僵尸主机,该僵尸主机发送的第一数据包的目标主机为僵尸控制主机, 通过上述的检测方法,能够有效的发现未知的僵尸网络中的僵尸主机及僵尸控制主机。
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现 有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本 发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可 以根据这些附图获得其他的附图。
图1为现有技术中一种僵尸网络的拓扑结构;
图2为现有技术中第二种僵尸网络的拓扑结构;
图3为本发明僵尸网络检测方法实施例一的流程示意图4为本发明僵尸网络检测方法实施例二的流程示意图5为本发明僵尸网络检测方法实施例三的流程示意图6为本发明僵尸网络检测装置实施例一的结构示意图7为本发明僵尸网络检测装置实施例二的结构示意图。
具体实施方式
下面通过附图和实施例,对本发明的技术方案做进一步的详细描述。
发明人通过对大量实际僵尸网络样本的分析,发现树形僵尸网络有这样的特点, 即在僵尸主机刚启动去连接控制主机时,在完成TCP连接后,第一数据包通常是明文上线 汇报信息,也就是将僵尸主机的关键描述信息向其控制主机进行上报的数据包,该数据包 具体的可以是僵尸主机在完成TCP连接后发送的第一个数据包,也可以是其他的由僵尸主 机发送的包括僵尸主机关键描述信息的数据包。根据上述特征,本发明实施例提供了一种僵尸网络检测方法,图3为本发明僵尸网络检测方法实施例一的流程示意图,如图3所示, 包括如下步骤
步骤101、根据待检测网络中的主机发送的第一数据包中的关键字信息获取疑似 僵尸主机信息和疑似僵尸控制主机信息;
具体的,本步骤是通过获取待检测网络中的主机发送的第一数据包,即上述主机 完成TCP连接后发送的第一个数据包,根据该数据包中的关键字信息获取疑似僵尸主机和 疑似僵尸控制主机,若该关键字信息与通常的僵尸主机上报的明文上线汇报信息类似,即 可认为该用户设备为疑似僵尸主机,上述第一数据包的目标主机可被认为是疑似僵尸控制 主机。
步骤102、对疑似僵尸主机的行为特性进行分析以识别僵尸主机和僵尸控制主机。
具体的,本步骤是对上述的疑似僵尸主机的行为进行分析,即监控该疑似僵尸主 机的行为,确认该被监控的疑似僵尸主机是否实施了僵尸主机的典型行为,若该被监控的 疑似僵尸主机实施了僵尸主机行为,则可确认该疑似僵尸主机为僵尸主机,该僵尸主机发 送的第一数据包的目标主机可被认为是僵尸控制主机。
本发明上述实施例通过对待检测网络中的主机发送的第一数据包进行关键字分 析,根据关键字信息识别疑似僵尸主机和疑似僵尸控制主机,然后再对疑似僵尸主机的行 为进行监控,若其实施了僵尸主机行为中的一种,则可确认该用户设备为僵尸主机,该僵尸 主机发送的第一数据包的目标主机为僵尸控制主机。通过上述的检测方法,能够有效的发 现未知的僵尸网络。
图4为本发明僵尸网络检测方法实施例二的流程示意图,如图4所示,包括如下步 骤
步骤201、获取待检测网络中的主机发送的第一数据包中的关键字信息;具体的, 本步骤是对获取的第一数据包进行分析以获取关键字信息;
步骤202、对所述关键字信息和预先存储的关键字列表进行匹配处理;
具体的,上述预先存储的关键字列表至少包括一种如下类型的关键字操作系统 平台、CPU类型、内存、MAC地址,在僵尸主机上线并进行TCP连接后通常会向僵尸控制主机 发送明文上线汇报信息,这些信息主要包括一些僵尸控制主机的关键描述信息,例如僵尸 控制主机的操作系统平台、CPU类型、内存、MAC地址。因此本实施例中设置包括这些类型关 键字的关键字列表,并对从第一数据包中获取的关键字信息与关键字列表进行匹配,判断 该数据包是否是僵尸主机进行上报发送的数据包;
步骤203、当所述匹配结果超过预设的阈值时,识别所述用户设备为疑似僵尸主 机,上述第一数据包的目标主机为疑似僵尸控制主机;
本步骤是在步骤202中进行关键字匹配的基础上,获取从第一数据包中获取关键 字信息与关键字列表的匹配结果,若匹配结果超过预设的阈值,则认为上述的第一数据包 疑似为僵尸主机明文上线汇报信息的数据包,上述发送第一数据包的用户设备为疑似僵尸 主机,第一数据包的目标主机为疑似僵尸控制主机。
步骤204、对疑似僵尸主机的行为特征进行监测,若疑似僵尸主机实施了僵尸主机 行为,则识别所述疑似僵尸主机为僵尸主机,该第一数据包的目标主机为僵尸控制主机。
上述的僵尸主机行为可以包括分布式拒绝服务攻击DDOS(Distribution Denialof service)行为、垃圾邮件SPAM行为、扫描行为或恶意下载行为中的至少一项。
本实施例是通过设置关键字列表,从第一数据包中获取关键字信息,并对上述的 关键字信息与关键字列表进行匹配,根据匹配结果获取疑似僵尸主机,然后对疑似僵尸主 机的行为进行监测获取僵尸主机和僵尸控制主机信息,能够实现对未知僵尸网络的检测, 检测方法简单有效。
图5为本发明僵尸网络检测方法实施例三的流程示意图,该实施例是将僵尸网络 检测装置设置在DPI设备中,通常DPI设备可以分为前台和后台,本实施例中也可以将僵尸 网络的检测装置分为前台和后台两个部分,其中前台相当于上述的获取模块,主要进行流 量识别业务处理,获取疑似的僵尸主机和疑似的僵尸控制主机,后台相当于上述实施例中 行为分析模块,主要用于通过对疑似僵尸主机的行为进行分析,确认僵尸主机和僵尸控制 主机。具体的,前台进行流量识别,对TCP流握手后的第一个数据包进行识别,对该数据包 中的关键字与预设的关键字列表进行匹配,若发现该数据包中关键字与关键字列表中匹配 一致的数量超过一定的阈值,则可认为上述数据包为疑似僵尸上线包。上述的关键字列表 中的关键字可以为windows、xp、2003、MHz、Inter, mac, MB, CPU, ver, AMD, IP 等,且不区分 大小写,上述的阈值可设定为3。在上述的数据包被识别为疑似僵尸主机上线时发送的数据 包后,即将上述进行通信的两端的设备(即发送第一数据包的主机和接收数据包的主机) 识别为疑似僵尸主机和疑似僵尸控制主机,然后将上述识别获得的信息形成列表发送给后 台,由后台对其行为进行监控,统计其一定周期内的行为,该周期可以为M小时,若在该时 间周期内发现上述的疑似僵尸主机实施了 DDOS行为、SPAM行为、扫描行为恶意下载行为中 的一种或几种,则可确认上述的疑似僵尸主机为僵尸主机。如图5所示,该实施例具体可以 包括如下步骤
步骤301、获取TCP流量;
步骤302、判断接收到的数据包是否为TCP握手后的第一个数据包,若是则执行步 骤303,若不是则进行其他处理;
步骤303、从TCP握手后的第一个数据包中获取关键字信息并与预设的关键字列 表进行匹配,该关键字列表中包含有僵尸主机上线时发送给控制主机的数据包中通常包括 的关键字;
具体的,该关键字可以包括windows、xp、2003、MHz、hter、mac、MB、CPU、ver、AMD、 IP等;
步骤304、统计上述步骤303中匹配的关键字个数是否大于或等于预设的阈值,该 阈值可以设为3,若大于或等于预设的阈值,则执行步骤305,否则执行其他处理;
步骤305、获取统计到的(包括的关键字个数大于或等于预设的阈值的数据包信 息,将发送该数据包的主机列为疑似僵尸主机,接收该数据包的主机列为疑似僵尸控制主 机;并对上述疑似僵尸主机的IP地址,以及疑似僵尸控制主机的域名和端口信息进行统计 发送给后台设备,另外还可以包括疑似僵尸控制主机的IP地址。
上述步骤301-步骤305通常是由前台设备完成,以下步骤是由后台设备完成;
步骤306、后台对前台发送来的疑似僵尸主机的行为进行监控,监控该疑似僵尸主 机是否实施DDOS行为、SPAM行为、扫描行为、恶意下载行为中的一种或几种,是则执行步骤 307,否则执行其他处理;
步骤307、确认实施了 DDOS行为、SPAM行为、扫描行为恶意下载行为中的一种或 几种的疑似僵尸主机为僵尸主机,该僵尸主机发送的第一数据包的目标主机为僵尸控制主 机,并将确认的僵尸主机和僵尸控制主机的信息存入僵尸网络库,上述僵尸主机和僵尸控 制主机的信息可以包括僵尸主机的IP地址,以及僵尸控制主机的IP地址、域名和端口信 肩、O
本发明实施例提供的僵尸网络检测方法通过对待检测网络中的主机发送的第一 数据包进行关键字分析,根据关键字信息确认疑似僵尸主机和疑似僵尸控制主机,然后再 对疑似僵尸主机的行为进行监控,若其实施了僵尸主机行为中的一种,则可确认该主机为 僵尸主机,该僵尸主机发送的第一数据包的目标主机为僵尸控制主机,通过上述的检测方 法,能够有效的发现未知的僵尸网络中的僵尸主机及僵尸控制主机。
本发明实施例还提供了一种僵尸网络检测装置,图6为本发明僵尸网络检测装置 实施例一的结构示意图,如图6所示,僵尸网路检测装置包括获取模块11和行为分析模块 12,其中
获取模块11,用于根据待检测网络中的主机发送的第一数据包中的关键字信息获 得疑似僵尸主机信息和疑似僵尸控制主机信息;
行为分析模块12,用于对疑似僵尸主机的行为特性进行分析以识别僵尸主机和僵 尸控制主机。
本发明上述实施例通过获取模块11对待检测网络中的主机发送的第一数据包进 行关键字分析,根据关键字信息识别疑似僵尸主机和疑似僵尸控制主机,然后通过行为分 析模块12对疑似僵尸主机的行为进行监控分析,若其实施了僵尸主机行为中的一种,则可 确认上述主机为僵尸主机,该僵尸主机发送的第一数据包的目标主机为僵尸控制主机。通 过上述的检测方法,能够有效的发现僵尸网络。
图7为本发明僵尸网络检测装置实施例二的结构示意图,如图7所示,僵尸网路检 测装置包括获取模块21和行为分析模块22,其中获取模块21可分为第一获取单元211、匹 配单元212和第一识别单元213,行为分析模块22可以分为监控单元221和第二识别单元 222,其中
第一获取单元211,用于获得待检测网络中的主机发送的第一数据包中的关键字 fn息;
匹配单元212,用于对所述关键字信息和预先存储的关键字列表进行匹配处理;
第一识别单元213,用于当所述匹配结果超过预设的阈值时,识别所述主机为疑似 僵尸主机,第一数据包的目标主机为疑似僵尸控制主机;
监控单元221,用于对第一识别单元213识别的疑似僵尸主机的行为特征进行监 测;
第二识别单元222,用于当监控单元221检测到疑似僵尸主机实施了僵尸主机行 为时,识别所述疑似僵尸主机为僵尸主机。
具体的,僵尸主机行为包括分布式拒绝服务攻击DDOS行为、垃圾邮件SPAM行为、 扫描行为或恶意下载行为等。
本实施例是通过设置关键字列表,从第一数据包中获取关键字信息,并对上述的 关键字信息与关键字列表进行匹配,若匹配结果超过预设的阈值,则认为上述的第一数据包疑似为僵尸主机明文上线汇报信息的数据包,发送该数据包的主机为疑似僵尸主机,上 述第一数据包的目标主机为疑似僵尸控制主机。并进一步的对疑似僵尸主机行为进行监 控,并根据上述疑似僵尸主机是否实施了典型的僵尸主机行为确定僵尸网络,能够有效实 现对未知僵尸网络的检测。
本发明上述实施例提供的僵尸网络检测装置能够执行僵尸网络检测方法实施例 中的流程步骤。
本发明实施例还提供了一种网络安全防护设备,该网络安全防护设备包括上述实 施例中的僵尸网络检测装置。
本发明实施例提供的网络安全防护设备,能够通过对待检测网络中的主机发送的 第一数据包进行关键字分析,根据关键字信息确认疑似僵尸主机和疑似僵尸控制主机,然 后再对疑似僵尸主机的行为进行监控,若其实施了僵尸主机行为中的一种,则可确认该用 户设备为僵尸主机,该僵尸主机发送的第一数据包的目标主机为僵尸控制主机。通过上述 的检测方法,能够有效的发现未知的僵尸网络。
上述的网络安全防护设备可以为深度报文检测DPI设备、统一威胁管理UTM设备 或防火墙FW设备,即可以将图6或图7所示实施例中的僵尸网络检测装置设置在深度报文 检测(De印Packet Inspection,以下简称DPI)设备、统一威胁管理UTM设备或FW设备中。
本发明上述实施例提供的僵尸网络检测方法,从第一数据包中获取关键字信息, 并对上述的关键字信息与关键字列表进行匹配,若匹配结果超过预设的阈值,则上述的第 一数据包疑似为僵尸主机明文上线汇报信息的数据包,发送该数据包的用户设备为疑似僵 尸主机,接收该数据包的主机为疑似僵尸控制主机。并进一步的对其行为特性进行监控,获 知其是否实施过典型的僵尸主机行为,如DDOS行为、SPAM行为、扫描行为、恶意下载行为, 若实施了上述行为中至少一种行为,则确认其为僵尸主机,与其通信的疑似僵尸控制主机 为僵尸控制主机,能够有效实现对未知僵尸网络的监控,并且与僵尸主机的恶意行为相关 联,能够增加检测的准确度。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以 通过计算机程序来指令相关的硬件来完成,所述的程序可存储于计算机可读取存储介质 中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁 碟、光盘、只读存储记忆体(Read-Only Memory, ROM)或随机存储记忆体(Random Access Memory, RAM)等。
最后应说明的是以上实施例仅用以说明本发明的技术方案而非对其进行限制, 尽管参照较佳实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解其依 然可以对本发明的技术方案进行修改或者等同替换,而这些修改或者等同替换亦不能使修 改后的技术方案脱离本发明技术方案的精神和范围。
权利要求
1.一种僵尸网络检测方法,其特征在于,包括根据待检测网络中的主机发送的第一数据包中的关键字信息获得疑似僵尸主机信息 和疑似僵尸控制主机信息;对疑似僵尸主机的行为特性进行分析以识别僵尸主机和僵尸控制主机。
2.根据权利要求1所述的僵尸网络检测方法,其特征在于,所述根据待检测网络中的 主机发送的第一数据包中的关键字信息获得疑似僵尸主机信息和疑似僵尸控制主机信息 包括获取待检测网络中的主机发送的第一数据包中的关键字信息;对所述关键字信息和预先存储的关键字列表进行匹配处理;当所述匹配结果超过预设的阈值时,识别所述用户设备为疑似僵尸主机,所述第一数 据包的目标主机为疑似僵尸控制主机。
3.根据权利要求2所述的僵尸网络检测方法,其特征在于,所述关键字列表中至少包 括一种如下的关键字类型操作系统平台、CPU类型、内存、MAC地址。
4.根据权利要求1所述的僵尸网络检测方法,其特征在于,所述对疑似僵尸主机的行 为特性进行分析以识别僵尸主机包括对疑似僵尸主机的行为特征进行监测,若疑似僵尸主机实施了僵尸主机行为则识别所 述疑似僵尸主机为僵尸主机。
5.根据权利要求1所述的僵尸网络检测方法,其特征在于,僵尸主机行为包括分布式 拒绝服务攻击DDOS行为、垃圾邮件SPAM行为、扫描行为或恶意下载行为中的至少一项,
6.一种僵尸网络检测装置,其特征在于,包括获取模块,用于根据待检测网络中的主机发送的第一数据包中的关键字信息获得疑似 僵尸主机信息和疑似僵尸控制主机信息;行为分析模块,用于对疑似僵尸主机的行为特性进行分析以识别僵尸主机和僵尸控制 主机。
7.根据权利要求6所述的僵尸网络检测装置,其特征在于,所述获取模块包括第一获取单元,用于获得待检测网络中的主机发送的第一数据包中的关键字信息;匹配单元,用于对所述关键字信息和预先存储的关键字列表进行匹配处理;第一识别单元,用于当所述匹配结果超过预设的阈值时,识别所述用户设备为疑似僵 尸主机,所述第一数据包的目标主机为疑似僵尸控制主机。
8.根据权利要求6所述的僵尸网络检测装置,其特征在于,所述行为分析模块包括监控单元,用于对疑似僵尸主机的行为特征进行监测;第二识别单元,用于当疑似僵尸主机实施了僵尸主机行为时,识别所述疑似僵尸主机 为僵尸主机,所述僵尸主机行为包括分布式拒绝服务攻击DDOS行为、垃圾邮件SPAM行为、 扫描行为或恶意下载行为中的至少一项。
9.一种网络安全防护设备,其特征在于,包括权利要求6-8任一所述的僵尸网络检测装置ο
10.根据权利要求9所述的网络安全防护设备,其特征在于,所述网络安全防护设备为 深度报文检测DPI设备、统一威胁管理UTM设备或防火墙FW设备。
全文摘要
本发明实施例提供了一种僵尸网络检测方法、装置以及网络安全防护设备,其中方法包括根据待检测网络中的主机发送的第一数据包中的关键字信息获得疑似僵尸主机信息和疑似僵尸控制主机信息;对疑似僵尸主机的行为特性进行分析以识别僵尸主机和僵尸控制主机。通过本发明实施例提供的僵尸网络检测方案能够有效发现未知的僵尸网络。
文档编号H04L29/06GK102035793SQ200910093749
公开日2011年4月27日 申请日期2009年9月28日 优先权日2009年9月28日
发明者蒋武 申请人:成都市华为赛门铁克科技有限公司