专利名称:一种僵尸网络的发现方法及其系统的制作方法
技术领域:
本发明涉及信心安全领域,具体的是一种僵尸网络的发现方法与系统。
背景技术:
与传统恶意代码(如计算机病毒、蠕虫和木马)相比,僵尸网络采用多种传播手段, 将大量主机感染僵尸程序,从而在控制者和被感染主机之间所形成一个一对多控制的网 络。这种一对多的控制关系,使得黑客能够以极其低廉的代价控制大量的资源为其服务,成 为黑客发动大规模攻击的一个理想攻击平台。黑客利用其控制的僵尸网络可以发起大规模 的网络攻击,如发动分布式拒绝服务攻击(DDoQ、发送海量垃圾邮件等,同时随意获取黑客 控制的主机的敏感信息,如银行账户密码等,严重威胁个人、企事业单位信息系统的安全。针对僵尸网络对信息系统造成的严重破坏性,传统计算机病毒检测技术主要针对 主机进行恶意代码检测,仅能查杀部分僵尸程序,无法获取整个僵尸程序的全部信息。中国专利公开号为CN101404658的申请案,该发明的原理为首先从网络数据包 中提取出IRC协议数据;然后将协议数据与数据特征库中的特征码进行匹配,获取僵尸网 络数据包;最后在确定同一僵尸网络中的控制服务器、僵尸计算机、僵尸网络控制计算机。 不足之入在于仅能检测基于IRC协议的僵尸网络,通用性差;基于特征码技术检测,不能 检测已知僵尸网络的变种或新的僵尸网络,适应性差。
发明内容
本发明的目的是针对现有技术检测方法中无法获取整个僵尸网络信息,仅能检测 一种僵尸网络和无法检测新的未知僵尸网络的缺陷,提出一种僵尸网络的发现方法及其系 统,该方法和系统基于僵尸网络特征码和僵尸网络行为特征进行检测,可有效检测已知和 新的未知僵尸网络,并能获取整个僵尸网络信息,从而有利于制定针对僵尸网络的整体防 御策略。为了实现本发明的目的,采用了以下的技术方案
一种僵尸网络的发现方法,包括捕获网络数据包的步骤,还包括识别出采用僵尸网络 承载协议通信的网络数据包的步骤;对采用僵尸网络承载协议通信的网络数据包与僵尸网 络特征码库中僵尸网络特征码进行特征匹配的步骤;对未成功匹配的网络数据包进行僵尸 网络行为特征检测的步骤;根据成功匹配僵尸网络特征码库中僵尸网络特征码和符合僵尸 网络行为特征的网络数据包计算僵尸网络规模和生成僵尸网络拓扑结构的步骤;对符合网 络行为特征的网络数据包进行僵尸网络特征码提取并将提取的僵尸网络特征码加入僵尸 网络特征库的步骤。所述包括但不限于IRC协议、P2P协议和HTTP协议
具体的,还包括根据成功匹配僵尸网络特征码库中僵尸网络特征码和符合僵尸网络行 为特征的网络数据包识别僵尸机的步骤;对识别为僵尸机的计算机进行分析汇总并生成僵 尸网络统计报告;根据僵尸网络报告对僵尸机进行告警或监视的步骤。上述的警告是对僵尸网络统计报告中的每一台计算机进行告警,并且在监控计算机上以高亮度并闪烁的方式进行告警显示;所述监视是对确定为僵尸机的计算机进行密切 监视,监视其恶意僵尸网络活动,对正在进行恶意僵尸网络活动采取包括但不限于切断网 络连接、收集网络数据包进行取证的防御措施。具体的,前述僵尸网络行为特征检测的步骤包括设定一个检测阈值S ;设定每一 个僵尸网络行为的特征权重;如果计算机某个网络数据符合僵尸网络行为特征,则将该僵 尸网络行为特征置为1,并乘以该僵尸网络行为特征对应的权重;计算计算机的所有符合 僵尸网络行为特征之和T,如果T大于或等于S,则计算机为僵尸机,否则计算机不是僵尸 机。前述计算僵尸网络规模的方法将成功匹配僵尸网络特征码的网络数据包IP地 址数加上符合僵尸网络行为特征的网络数据包IP地址数即为网络中僵尸网络的规模。前述僵尸网络行为包括但不限于命令与控制通道通信、发送垃圾邮件、漏洞扫 描、发动拒绝式服务攻击。 一种僵尸网络的发现系统,其特征在于,包括僵尸网络承载协议识别模块,该模 块实现对捕获的网络数据包通信协议进行识别,识别出采用僵尸网络承载协议的网络数据 包;僵尸网络特征码库,该模块存储僵尸网络特征码;僵尸网络特征码匹配模块,该模块对 采用僵尸网络承载协议的网络数据包与僵尸网络特征码库中僵尸网络特征码进行匹配,找 出僵尸网络通信数据包;僵尸网络行为特征识别模块,该模块对采用僵尸网络承载协议进 行通信但又没有成功匹配僵尸网络特征库中僵尸网络特征码的网络数据包进行僵尸网络 行为特征识别和检测;僵尸网络特征码提取模块,该模块对判定为符合僵尸网络行为特征 的网络数据包进行深度分析,提取出僵尸网络特征码并加入到僵尸网络特征码库中;僵尸 网络生成模块,该模块对由僵尸网络特征码匹配模块和僵尸网络行为特征识别模块成功识 别为僵尸机的计算机进行分析汇总,生成僵尸网络统计报告。作为优选,本发明的僵尸网络的识别系统还包括僵尸网络告警与监视模块,该模 块对由僵尸网络生成模块提交的僵尸网络统计报告进行两方面的处理
1)、对僵尸网络统计报告中的每一台计算机进行告警,并且在监控计算机上以高亮度 并闪烁的方式进行告警显示;
2)、对确定为僵尸机的计算机进行密切监视,监视其恶意僵尸网络活动,对正在进行恶 意僵尸网络活动采取包括但不限于切断网络连接、收集网络数据包进行取证的防御措施。本发明为一种新的僵尸网络发现方法与系统,与传统的基于主机的或基于一种特 定僵尸网络承载协议(如IRC协议)的僵尸网络防御方法相比,本技术具有以下优势
1、可有效获取僵尸网络的整体信息
传统的基于主机的僵尸网络防御方法通过发现主机内是否存在僵尸程序,如有则删除 该僵尸程序,无法获取僵尸网络的全貌。本发明通过对捕获的网络数据包进行分析,从而获 取僵尸网络的整体信息,并制定出整体的僵尸网络防御策略,防御效率更好。2、可有效地检测未知僵尸程序
传统的基于主机的僵尸网络防御方法主要通过僵尸程序特征码的方式进行检测,对未 知僵尸程序或已知僵尸程序的变种无能为力。本发明一方面通过特征码的方式对已知僵尸 网络进行检测,另一方面通过僵尸网络行为特征进行检测,可有效地检测未知僵尸网络或 已知僵尸网络的变种。
3、对发现僵尸网络的通用性更强
传统的僵尸网络发现方法主要是发现基于IRC协议的僵尸网络,而对于基于P2P、HTTP 协议的僵尸网络无能为力。本发明可有效检测基于IRC、P2P和HTTP协议的僵尸网络,通用 性更强。4、可有效发现未知僵尸网络
传统的发现基于IRC协议僵尸网络的方法是基于特征码的发现方法,而对于未知僵尸 网络或已知僵尸网络的变种无能为力。本发明一方面通过特征码的方式对已知僵尸网络进 行检测,另一方面通过对僵尸网络行为特征进行检测,可有效地检测未知僵尸网络或已知 僵尸网络的变种。5、扩展性更强
僵尸网络技术一直处于不断发展变化的过程当中,如传统的僵尸网络承载协议采用 IRC协议,但现在更多的采用P2P或HTTP协议作为僵尸网络承载协议,僵尸网络承载协议和 僵尸网络行为特征的不断发展使得传统的僵尸网络防御技术无法应对。本发明可有效地进 行扩展,添加新的僵尸网络承载协议和新的僵尸网络行为特征,可有效地适应僵尸网络新 技术的发展。
本发明将通过例子并参照附图的方式说明,其中 图1是本发明一种僵尸网络的发现方法的流程图。图2是本发明一种僵尸网络的发现系统原理图。图3是本发明提供的僵尸网络发现系统的一种部署示意图。图4是本发明提供的僵尸网络发现系统的另一种部署示意图。
具体实施例方式本说明书中公开的所有特征,或公开的所有方法或过程中的步骤,除了互相排斥 的特征和/或步骤以外,均可以以任何方式组合。本说明书(包括任何附加权利要求、摘要和附图)中公开的任一特征,除非特别叙 述,均可被其他等效或具有类似目的的替代特征加以替换。即,除非特别叙述,每个特征只 是一系列等效或类似特征中的一个例子而已。如图1和图2所示,是本发明一种僵尸网络的发现方法流程图和发现系统框图。下 面结合附图对本发明做进一步的说明,其发现方法的具体步骤如下
(1)实时捕获网络数据包,将捕获的网络数据包交由僵尸网络承载协议识别模块11,该 模块对网络数据包通信协议进行识别,识别出采用僵尸网络承载协议的网络数据包,如采 用IRC、P2P、HTTP协议的网络数据包,交由僵尸网络特征码匹配模块12进行处理,其他网络 数据包不做处理。(2)僵尸网络特征码匹配模块12根据僵尸网络特征码库13中的僵尸网络特征码 进行特征匹配,如果匹配成功则交由僵尸网络生成模块14进行处理,否则交由僵尸网络行 为特征识别模块15进行进一步的识别。(3)僵尸网络行为特征识别模块15根据僵尸网络行为特征对网络数据包进行僵尸网络行为识别,如果识别成功,则交由僵尸网络生成模块14,其他网络数据包不做处理; 如果识别成功,同时通过僵尸网络特征提取模块提取僵尸网络特征码加入到僵尸网络特征 码库13。(4)僵尸网络生成模块14对由僵尸网络特征码匹配模块12和僵尸网络行为特征 识别模块15成功识别为僵尸机的网络数据包提取其IP地址,构建起整个僵尸网络拓扑图。(5)僵尸网络告警与监视模块17对由僵尸网络生成模块14生成的僵尸网络进 行告警,同时对僵尸网络的恶意黑客活动进行监视,并采取相应的防御措施,如切断网络连 接、收集网络数据包进行取证等。本发明由以下几个功能模块来完成功能
1、僵尸网络承载协议识别模块11 该模块实现对捕获的网络数据包通信协议进行识 别,识别出采用僵尸网络承载协议的网络数据包,包括IRC协议、P2P协议和HTTP协议。对 识别出的采用僵尸网络承载协议通信的网络数据包,交由僵尸网络特征码匹配模块12处 理。对没有采用僵尸网络承载协议通信的网络数据包则不做处理。2、僵尸网络特征码库13,主要用于存储僵尸网络特征码。3、僵尸网络特征码匹配模块12 该模块对识别出的采用僵尸网络承载协议进行 通信的网络数据包,根据事先建立好的僵尸网络特征码库13中的僵尸网络特征码进行匹 配,找出僵尸网络通信数据包。根据匹配的结果交由不同的处理模块进行处理
(1)与僵尸网络特征码库13中的特征码成功匹配,对成功匹配僵尸网络特征码的网 络数据包,则说明该网络数据包为僵尸网络通信数据包,交由僵尸网络生成模块14进行处 理。(2)与僵尸网络特征码库13中的特征码没有成功匹配,对没有成功匹配僵尸网络 特征码的网络数据包,交由僵尸网络行为特征识模块15进行处理。4、僵尸网络行为特征识别模块15 该模块对采用僵尸网络承载协议进行通信但 又没有成功匹配僵尸网络特征库13中特征码的网络数据包进行僵尸网络行为特征识别, 该模块对僵尸网络行为特征进行检测,主要的僵尸网络行为特征包括
(1)命令与控制通道通信;
(2)发送垃圾邮件;
(3)漏洞扫描;
(4)发动拒绝式服务攻击。僵尸网络行为特征检测可用方程(1)来描述。C1 X W1+C2 X W2 +■··£ X W > S⑴
其中& G = V··,η)为待检测的僵尸网络行为特征,即命令与控制通道通信、发送垃圾 邮件、漏洞扫描和发动拒绝式服务攻击,η为僵尸网络行为特征数(/7=4),如果检测到该僵 尸网络行为特征则A等于1,否则等于0 ;,(ι=1··, )为待检测的僵尸网络行为特征 权重,僵尸网络会表现出多种恶意行为特征,每一种恶意行为特征对判断其是否是僵尸机 所做的贡献不一样,如僵尸网络命令与控制通道通信是僵尸网络的典型特征,则权值较高, 而发送垃圾邮件、漏洞扫描和发动拒绝式服务攻击其他的恶意代码也会具备这些恶意行 为,因此其权值较小,对不同的僵尸网络行为特征赋予不同的权值可有效降低误报率 ’S为
7一个事先设定的检测阈值,如果大于或等于这个事先给设定的阈值&则是一个僵尸机,否 则不是。僵尸网络行为特征的检测方法为事先构建起僵尸网络行为特码的特征库,然后通 过将网络数据包与每一种僵尸网络行为特征码库中的特征进行匹配,如果匹配成功则该网 络数据包符合僵尸网络行为特征,否则不符合僵尸网络行为特征。对判定为僵尸机的网络数据包交由僵尸网络特征码提到模块16和僵尸网络生成 模块进行下一步处理。5、僵尸网络特征码提取模块16 该模块对判定为符合僵尸网络行为特征的网络 数据包进行深度分析,提取出僵尸网络特征码,并加入到僵尸网络特征码库中;通过对未知 的符合僵尸网络行为特征的僵尸网络特征码的提取可有效提高对僵尸网络的发现速度。6、僵尸网络生成模块14 该模块对由僵尸网络特征码匹配模块和僵尸网络行为 特征识别模块成功识别为僵尸机的计算机进行分析汇总,生成僵尸网络统计报告,并将该 僵尸网络统计报告交由僵尸网络告警与监视模块进行处理。7、僵尸网络告警与监视模块17 该模块对由僵尸网络生成模块提交的僵尸网络 统计报告进行处理,主要包括两方面的内容
(1)对僵尸网络统计报告中的每一台计算机进行告警,在监视计算机上以高亮并闪烁 的方式进行告警显示。(2)对确定为僵尸机的计算机进行密切监视,主要监视其恶意僵尸网络活动,如发 送垃圾邮件、发动拒绝式服务攻击、进行漏洞扫描等,对正在进行恶意僵尸网络活动采取有 效的防御措施,如切断网络连接、收集网络数据包进行取证等。图3和图4是本发明的具体部署方式。本发明的部署位置是在关键的网络出口处, 将流入和流出的网络数据包进行旁边路后交由僵尸网络发现设备进行检测。图3是部署在 内部局域网的互联网接入位置,如企事业单位局域网接入互联网的网关设备处,实现对局 域网内部计算机的监控;图4是部署在互联网的关键节点,如电信运营商省级骨干节点接 入位置,在每一个互联网关键节点均部署僵尸网络发现设备,同时每一个僵尸网络发现设 备将发现的僵尸网络信息发送至僵尸网络告警与监控分析中心,实现对全网僵尸网络的集 中监控,从而制定出更有效的、整体的僵尸网络防御策略。本发明并不局限于前述的具体实施方式
。本发明扩展到任何在本说明书中披露的 新特征或任何新的组合,以及披露的任一新的方法或过程的步骤或任何新的组合。
权利要求
1.一种僵尸网络的发现方法,包括捕获网络数据包的步骤,其特征在于,还包括 识别出采用僵尸网络承载协议通信的网络数据包的步骤;对采用僵尸网络承载协议通信的网络数据包与僵尸网络特征码库中僵尸网络特征码 进行特征匹配的步骤;对未成功匹配的网络数据包进行僵尸网络行为特征检测的步骤; 根据成功匹配僵尸网络特征码库中僵尸网络特征码和符合僵尸网络行为特征的网络 数据包计算僵尸网络规模和生成僵尸网络拓扑结构的步骤;对符合网络行为特征的网络数据包进行僵尸网络特征码提取并将提取的僵尸网络特 征码加入僵尸网络特征库的步骤。
2.根据权利要求1所述的僵尸网络的发现方法,其特征在于,还包括根据成功匹配僵 尸网络特征码库中僵尸网络特征码和符合僵尸网络行为特征的网络数据包识别僵尸机的 步骤。
3.根据权利要求2所述的僵尸网络的识别方法,其特征在于,还包括 对识别为僵尸机的计算机进行分析汇总并生成僵尸网络统计报告; 根据僵尸网络报告对僵尸机进行告警或监视的步骤。
4.根据权利要求3所述的僵尸网络的识别方法,其特征在于,所述警告是对僵尸网络 统计报告中的每一台计算机进行告警,并且在监控计算机上以高亮度并闪烁的方式进行告 警显示;所述监视是对确定为僵尸机的计算机进行密切监视,监视其恶意僵尸网络活动,对 正在进行恶意僵尸网络活动采取防御措施。
5.根据权利要求4所述的僵尸网络的识别方法,其特征在于,所述防御措施包括但不 限于切断网络连接、收集网络数据包进行取证。
6.根据权利要求1所述的僵尸网络的发现方法,其特征在于,所述网络承载协议包括 但不限于IRC协议、P2P协议和HTTP协议。
7.根据权利要求1所述的僵尸网络的发现方法,其特征在于,所述僵尸网络行为特征 检测的步骤包括设定一个检测阈值S ; 设定每一个僵尸网络行为的特征权重;如果计算机某个网络数据符合僵尸网络行为特征,则将该僵尸网络行为特征置为1,并 乘以该僵尸网络行为特征对应的权重;计算计算机的所有符合僵尸网络行为特征之和T,如果T大于或等于S,则计算机为僵 尸机,否则计算机不是僵尸机。
8.根据权利要求1所述的僵尸网络的发现方法,其特征在于,所述计算僵尸网络规模 的方法将成功匹配僵尸网络特征码的网络数据包IP地址数加上符合僵尸网络行为特征 的网络数据包IP地址数即为网络中僵尸网络的规模。
9.根据权利要求1或2或7或8所述的僵尸网络的发现方法,其特征在于,所述僵尸网 络行为包括但不限于命令与控制通道通信、发送垃圾邮件、漏洞扫描、发动拒绝式服务攻 击ο
10.一种僵尸网络的发现系统,其特征在于,包括僵尸网络承载协议识别模块(11),该模块实现对捕获的网络数据包通信协议进行识别,识别出采用僵尸网络承载协议的网络数据包;僵尸网络特征码库(13),该模块存储僵尸网络特征码;僵尸网络特征码匹配模块(12),该模块对采用僵尸网络承载协议的网络数据包与僵尸 网络特征码库中僵尸网络特征码进行匹配,找出僵尸网络通信数据包;僵尸网络行为特征识别模块(15),该模块对采用僵尸网络承载协议进行通信但又没有 成功匹配僵尸网络特征库中僵尸网络特征码的网络数据包进行僵尸网络行为特征识别和 检测;僵尸网络特征码提取模块(16),该模块对判定为符合僵尸网络行为特征的网络数据包 进行深度分析,提取出僵尸网络特征码并加入到僵尸网络特征码库中;僵尸网络生成模块(14),该模块对由僵尸网络特征码匹配模块和僵尸网络行为特征识 别模块成功识别为僵尸机的计算机进行分析汇总,生成僵尸网络统计报告。
11.根据权利要求10所述的僵尸网络的发现系统,其特征在于,还包括僵尸网络告警 与监视模块(17),该模块对由僵尸网络生成模块提交的僵尸网络统计报告进行两方面的处 理1)、对僵尸网络统计报告中的每一台计算机进行告警,并且在监控计算机上以高亮度 并闪烁的方式进行告警显示;2)、对确定为僵尸机的计算机进行密切监视,监视其恶意僵尸网络活动,对正在进行恶 意僵尸网络活动采取包括但不限于切断网络连接、收集网络数据包进行取证的防御措施。
全文摘要
本发明公开了一种僵尸网络的发现方法及系统,属于信息安全领域,以解决现有技术的通用性差、适应性差的问题。僵尸网络的发现方法包括步骤识别出采用僵尸网络承载协议通信的网络数据包;与僵尸网络特征码库中僵尸网络特征码进行特征匹配;对未成功匹配的网络数据包进行僵尸网络行为特征检测;计算僵尸网络规模和生成僵尸网络拓扑结构的步骤;将提取的僵尸网络特征码加入僵尸网络特征库。发现系统包括僵尸网络承载协议识别模块、僵尸网络特征码匹配模块、僵尸网络行为特征识别模块、僵尸网络特征码提取模块和僵尸网络生成模块。本发明可有效检测已知和新的未知僵尸网络,并能获取整个僵尸网络信息,从而有利于制定针对僵尸网络的整体防御策略。
文档编号H04L29/06GK102130920SQ20111009801
公开日2011年7月20日 申请日期2011年4月19日 优先权日2011年4月19日
发明者曾金全 申请人:成都梯度科技有限公司