专利名称:检测方法、装置和具有检测功能的网络的制作方法
技术领域:
本发明涉及通信领域,尤其涉及一种检测方法、装置和具有检测功能的网络。
技术背景 Botnet (僵尸网络)是目前运营商网络的最大的威胁。大多数的 DDOS (Distribution Denial of service,分布式拒绝服务攻击)攻击都从僵尸网络发起, 对电信运营商和其用户的网络造成了极大的威胁;被控制的僵尸主机成为了恶意网站和垃 圾邮件的温床,被控制的僵尸主机也造成了大量的信息泄露和经济损失。目前的僵尸网络检测技术中,比较有效的技术是基于行为的检测技术。该技术以 单个主机为检测目标,通过对通讯平面(C平面)和行为平面(A平面)两个角度的检测进行 聚类分析,之后再交叉综合聚类分析,确定单个主机是否被感染以及被感染后从事的异常 活动。通讯平面(C平面)的检测主要是以数据流为目标进行检测,检查网络层(Internet Procotol, IP)和传输层通讯特征;行为平面(A平面)的检测主要是以单个主机的各种行 为来判断是否该主机从事下载恶意软件、扫描、发送恶意软件或者垃圾邮件等可疑行为,从 而判断该主机是否被感染。该技术的观测目标以单个主机或者其他网络设备为单位,观测 其各种行为进行分析,综合该主机的网络通讯行为,做出判断。但是在存在网络地址转换 (Network Address Translation, NAT)设备时,运营商的接入侧不能从用户网关处分辨出 NAT设备后面的私网中的单个主机,因此无法以主机为单位判断网络行为。
发明内容
本发明实施例提供一种检测方法、装置和具有检测功能的网络,以解决目前通信 网络中无法检测僵尸网络的问题。本发明实施例解决上述技术问题的一个实施方式是提供一种检测方法,用于检 测僵尸网络,该方法包括获取网络地址转换NAT表;根据该网络地址转换表,对主机的行 为平面和通讯平面进行检测;对通讯平面和行为平面的检测结果进行分析。本发明实施例解决上述技术问题的另一个实施方式是提供一种检测装置,用于 检测僵尸网络,包括网络地址转换NAT日志服务器、网流Netflow收集器及网络行为日志服 务器,其中所述NAT日志服务器用于维护NAT转换表;所述Netflow收集器用于维护通讯 平面流量表,并将数据时间戳和所述NAT转换表的时间戳对比,确定要匹配的转换表项;所 述网络行为日志服务器用于维护行为平面攻击告警表,寻找源IP、源端口、NAT设备标识同 时命中的表项,根据所述NAT转换表将源IP和源端口转换成公网地址和端口。本发明实施例解决上述技术问题的另一个实施方式是提供一种具有检测功能的 网络,用于检测僵尸网络,包括至少一个内部私有网络、至少一个网络服务提供商ISP网络 和检测装置,所述内部私有网络中的主机通过网络地址转换NAT设备及所述ISP网络的边 缘路由器接入所述ISP网络,所述检测装置用于检测接入所述ISP网络的所述主机的网络 行为,以判断该主机是否感染恶意代码。
本发明实施方式的检测系统和检测方法,解决了 NAT场景下从运营商侧无法确认 私网内主机的问题,为僵尸检测技术在运营商侧的僵尸网络检测方案铺平道路。
图1为本发明实施例的一种具有检测功能的网络结构示意图;图2为本发明实施例的一种检测装置的结构示意图;图3为本发明实施例一种检测方法的流程示意图。
具体实施例方式以下结合具体实施方式
来说明本发明的实现过程。NAT是“网络地址转换”技术,该技术允许一个整体机构以一个公用IP地址(IP地 址,Internet Protocol地址的简称)出现在Internet上,它是一种把内部私有IP地址翻 译成合法公用网络IP地址的技术。NAT技术就是在局域网内部网络中使用内部私有IP地 址,而当内部节点要与外部网络进行通讯时,就在网关处将内部的私有IP地址替换成公用 IP地址,从而在外部公网上正常使用,NAT可以使多台计算机共享Internet连接,这一功能 很好地解决了公共IP地址紧缺的问题。NAT有三种类型静态NAT (Static NAT)、动态地址NAT (Pooled NAT)、网络地址端 口转换 NAPT (Port-Level NAT)。其中静态NAT设置起来最为简单和最容易实现的一种,内部网络中的每个主机的 内部IP地址都被永久映射成外部网络中的某个合法的IP地址。而动态地址NAT则是在外 部网络中定义了一系列的合法地址,采用动态分配的方法映射到内部网络。NAPT则是把内 部地址映射到外部网络的一个IP地址的不同端口上。动态地址NAT只是转换IP地址,它为每一个内部的IP地址分配一个临时的外部 IP地址,主要应用于拨号,对于频繁的远程联接也可以采用动态NAT。当远程用户联接上之 后,动态地址NAT就会分配给他一个IP地址,用户断开时,这个IP地址就会被释放而留待 以后使用。网络地址端口转换NAPT(Network Address Port Translation)是人们比较熟悉 的一种转换方式。NAPT普遍应用于接入设备中,它可以将中小型的网络隐藏在一个合法的 IP地址后面。NAPT与动态地址NAT不同,它将内部连接映射到外部网络中的一个单独的IP 地址上,同时在该地址上加上一个由NAT设备选定的TCP端口号。在Internet中使用NAPT 时,所有不同的信息流看起来好像来源于同一个IP地址。这个优点在小型办公室内非常实 用,通过从ISP处申请的一个IP地址,将多个连接通过NAPT接入Internet。在本发明的一个实施例中,用户侧的NAT设备拥有主机标识与主机通过NAT设备 与外界实际通信使用的IP地址(或者附加端口号,在NAPT情况)之间的映射列表(或者其 他形式的映射关系);所述NAT设备为网关或防火墙,所述主机标识包括主机的MAC (Media Access Control,媒体接入控制)地址或用户名或内部私有网络IP标识。运营商侧的检测 装置与互联网服务提供商(Internet Service Provider, ISP)网络边缘路由器部署在一起 或者集成在一起。运营商侧的检测装置需要以主机为单位聚类和检测主机行为,以便判断 是否感染恶意代码。NAT设备与运营商侧的检测装置共享NAT映射关系,使得检测装置能以主机标识来归类其网络行为。请参考图1,为本发明实施例的一种具有检测功能的网络结构示意图。如图1所 示,该网络包括至少一个内部私有网络和至少一个ISP网络,内部私有网络中的主机通过 NAT设备及ISP网络的边缘路由器接入ISP网络。该网络还包括检测装置,该检测装置与 ISP网络的边缘路由器部署在一起或者集成在一起,用于检测接入ISP网络的主机的网络 行为,以判断该主机是否感染恶意代码。参考图2,该检测装置包括NAT日志服务器、网流Netflow收集器及网络行为日志 服务器,其中NAT日志服务器用于维护NAT转换表,即,维护主机标识与主机通过NAT设备与外 界实际通信使用的IP地址之间的映射列表;NAT日志服务器维护NAT转换表,包括增加或 删除内部私有网络主机与公用IP地址之间的映射关系列表,并记录地址转换的起止时间 及NAT设备标识等信息;Netflow收集器用于维护通讯平面(C平面)流量表,还可以进一步进行统计分析, 如分类和聚类等;网络行为日志服务器用于维护行为平面(A平面)攻击告警表,如下载传播恶意软 件,扫描,发垃圾邮件等。NAT日志服务器维护NAT转换表,将NAT转换表定期老化,旧表项的老化时间应大 于流缓存flow cache老化时间。Netflow收集器将数据时间戳和NAT转换表的时间戳对 比,确定要匹配的转换表项。网络行为日志服务器用于寻找源IP、源端口、NAT设备标识同 时命中的表项,根据NAT转换表将源IP和源端口转换成公网地址和端口。上述结果对比C 平面(收到Netflow)分析结果和A平面(收到攻击告警)异常记录。如果有表项命中,则 增加流量信息或者告警信息,否则,创建新表项。僵尸主机可能在NAT后面的内部私有网络中,通过NAT映射,可以还原僵尸主机的 唯一身份标识。这种情况多发生在,内部私有网络中的用户主机下线后,该用户主机租用的 NAT外网<IP地址,端口号〉对(<IP,Port>)被释放。此时,新的内部私有网络用户主机上 线,在NAT地址池中租用相同的<IP,Port〉对,从外网的检测装置来看,NAT外网<IP,Port〉 对没有变化,但是实际的内部私有网络主机已经发生变化。由于僵尸网络检测时间较长,以 天计算,内部私有网络中的用户主机上下线的情况可能很频繁。通过NAT映射,可还原内部 私有网络中的用户主机的唯一身份标识,这个标识作为僵尸主机的唯一身份标识,用于僵 尸主机的检测,是僵尸网络检测的一项辅助功能。该用户主机的唯一身份标识可以是该主 机的MAC地址或内部私有网络IP标识或用户名。请参考图3,为本发明实施方式的检测方法流程示意图,该方法包括Si、获取NAT转换表检测装置获取NAT转换表,举例来说,检测装置可以从NAT设备获取内部私有网络 主机标识与该主机通过NAT设备与外界实际通信使用的IP地址之间的映射列表;S2、根据该NAT转换表,对主机的行为平面(A平面)和通讯平面(C平面)进行检 测检测装置根据该映射列表,对主机的行为平面(A平面)进行检测,即以单个主机的各种行为来判断该主机是否从事下载恶意软件、扫描、发送恶意软件或者垃圾邮件等可疑行为,从而判断该主机是否被感染。对通讯平面(C平面)进行检测,即以数据流为目标进行检测,检查网络层和传输 层通讯特征。对通讯平面的检测,可以通过Netflow技术来实现。Netflow技术是对流经网 络设备的IP数据流进行测量和统计的技术,能记录下通过网络设备(如路由器)的流量, 记录特征包括五元组,时间戳,或者其他报报头中的内容。记录下来的数据流可以根据五 元组或者其他特征组合进行流合并。网络设备(如路由器)记录下来的数据流在Netflow 设备中可以进行缓存(Flow Cache),收集一定量的流数据后通过UDP(User Datagram Protocol,用户数据报协议)报文发送到Netflow服务器。S3、对通讯平面(C平面)和行为平面(A平面)的检测结果进行分析通过对通讯平面(C平面)和行为平面(A平面)两个角度的检测结果进行聚类分 析,之后再交叉综合聚类分析,从而确定单个主机是否被感染以及被感染后从事的异常活 动。A平面DPI (De印Packet Inspection,深度包检测)检测异常后,提取僵尸IP流 的流量特征。C平面包含全部的IP流量,首先将IP流聚类成几个类,每一类都有流量特征。 比较A平面和C平面流量特征,如果相似,则可能C平面聚合流也有问题。另外,也可以通过单独对A平面提供僵尸网络检测和分析来确定是否主机是否感染。本发明实施方式的检测系统和检测方法,解决了 NAT场景下从运营商侧无法确认 私网内主机的问题,为僵尸检测技术在运营商侧的僵尸网络检测方案铺平道路。通过以上的实施方式的描述,所属领域的技术人员可以清楚地了解到本发明可借 助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是 更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献 的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括 若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本 发明各个实施例所述的方法。以上所述,仅为本发明较佳的具体实施方式
,但本发明的保护范围并不局限于此, 任何熟悉本技术领域的技术人员在本发明揭露的技术范围和不脱离本发明的技术思想范 围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护 范围应该以权利要求的保护范围为准。
权利要求
一种检测方法,其特征在于,用于检测僵尸网络,该方法包括获取网络地址转换NAT表;根据该网络地址转换表,对主机的行为平面和通讯平面进行检测;对通讯平面和行为平面的检测结果进行分析。
2.如权利要求1所述的方法,其特征在于,所述网络地址转换表为内部私有网络主机 标识与该主机通过NAT设备与外界实际通信使用的IP地址之间的映射列表。
3.如权利要求2所述的方法,其特征在于,所述主机标识包括主机的媒体接入控制MAC 地址或用户名或内部私有网络IP标识。
4.如权利要求1所述的方法,其特征在于,所述根据该网络地址转换表,对主机的行为 平面和通讯平面进行检测,具体包括以单个主机的各种行为来判断该主机是否从事可疑行为,所述可疑行为包括以下行为 之一下载恶意软件、扫描、发送恶意软件或者垃圾邮件;以数据流为目标进行检测,检查网络层和传输层通讯特征。
5.如权利要求1-4中任一所述的方法,其特征在于,对通讯平面的检测,通过网流技术 来实现。
6.一种检测装置,其特征在于,用于检测僵尸网络,包括网络地址转换NAT日志服务 器、网流Netflow收集器及网络行为日志服务器,其中所述NAT日志服务器用于维护NAT转换表;所述Netflow收集器用于维护通讯平面流量表,并将数据时间戳和所述NAT转换表的 时间戳对比,确定要匹配的转换表项;所述网络行为日志服务器用于维护行为平面攻击告警表,寻找源IP、源端口、NAT设备 标识同时命中的表项,根据所述NAT转换表将源IP和源端口转换成公网地址和端口。
7.如权利要求6所述的装置,其特征在于,所述NAT转换表为内部私有网络主机标识与 该主机通过NAT设备与外界实际通信使用的IP地址之间的映射列表。
8.一种具有检测功能的网络,其特征在于,用于检测僵尸网络,包括至少一个内部私有 网络、至少一个网络服务提供商ISP网络和检测装置,所述内部私有网络中的主机通过网 络地址转换NAT设备及所述ISP网络的边缘路由器接入所述ISP网络,所述检测装置用于 检测接入所述ISP网络的所述主机的网络行为,以判断该主机是否感染恶意代码。
9.如权利要求8所述的网络,其特征在于,所述NAT设备具有主机标识与主机通过所述 NAT设备与外界实际通信使用的IP地址之间的映射列表。
10.如权利要求8或9所述的网络,其特征在于,所述检测装置为权利要求6或7所述 的检测装置。
11.如权利要求8所述的网络,其特征在于,所述NAT设备为网关或防火墙。
12.如权利要求9所述的网络,其特征在于,所述主机标识包括主机的媒体接入控制 MAC地址或用户名。
全文摘要
本发明涉及通信领域,尤其涉及一种检测方法、装置和具有检测功能的网络,以解决目前通信网络中无法检测僵尸网络的问题。该检测方法,用于检测僵尸网络,该方法包括获取网络地址转换NAT表;根据该网络地址转换表,对主机的行为平面和通讯平面进行检测;对通讯平面和行为平面的检测结果进行聚类分析。
文档编号H04L29/12GK101848197SQ20091010634
公开日2010年9月29日 申请日期2009年3月23日 优先权日2009年3月23日
发明者沈烁, 陈旭 申请人:华为技术有限公司