一种垃圾僵尸检测方法及系统的制作方法
【专利摘要】本发明公开了一种垃圾僵尸检测方法,包括:对网络中被监测主机发送的每封邮件评分,根据各邮件得分与预设分类阈值的比较判定邮件为正常邮件或垃圾邮件;根据对被监测主机所发送各邮件的判定结果,确定被监测主机是否是垃圾僵尸。本发明同时还公开了一种垃圾僵尸检测系统,采用本发明,能够主动地有效地从源头去阻断垃圾邮件的发送。
【专利说明】-种垃圾僵尸检测方法及系统
【技术领域】
[0001] 本发明涉及计算机网络安全领域的垃圾邮件过滤技术,尤其涉及一种垃圾僵尸检 测方法及系统。
【背景技术】
[0002] 随着互联网的普及,垃圾邮件也迅速泛滥,垃圾邮件携带着大量广告、不法宣传等 垃圾信息,给正常使用电子邮件的广大用户带来很多不便。为了解决这一问题,各种垃圾邮 件过滤技术应运而生,试图控制垃圾邮件的蔓延。
[0003] 近年来,反垃圾邮件技术发展迅速,但垃圾邮件的发送技术也越来越高超。越来越 多的垃圾邮件制造者开始利用代理或者垃圾僵尸(也称为垃圾邮件僵尸)代发邮件,这样 就隐藏了真正的垃圾邮件发送源头,这为垃圾邮件的检测带来了新的挑战。进一步研究表 明,受经济利益的驱使,更多的垃圾邮件制造者还会雇佣大量被感染的网络主机来发送垃 圾邮件,且这一类被感染的网络主机目前已成为发送垃圾邮件的主要源头。
[0004] 实际应用中,所谓垃圾僵尸一般都是用户终端,是普通的用户主机,尤其是那些采 用微软Windows操作系统的主机,更容易受到邮件僵尸病毒的侵蚀。一旦被邮件僵尸病毒 感染,成为垃圾僵尸,被感染的主机就会在其真正主人不知道的情况下发送大量垃圾邮件。 与传统方法相比,这种发送方式更为隐蔽,因而更不易被察觉。
[0005] 通常,垃圾僵尸会以集中控制的方式分散在整个网络中,具有很强的隐蔽性,故难 以被检测。由于垃圾僵尸的数量太多,如果垃圾僵尸被利用来发动网络攻击,对于网络基础 设备的稳定性而言将是一场灾难。另外,垃圾僵尸还可能被用于盗窃用户的财产和机密信 息、侵犯用户的隐私、以及被作为隐藏踪迹的跳板和发送垃圾邮件的平台;这些都将对互联 网空间和虚拟社区产生破坏性影响。随着垃圾僵尸的泛滥,垃圾邮件利用垃圾僵尸大量传 播,其数量每年正以惊人的速度递增。
[0006] 检测网络中的垃圾僵尸,做到真正从源头去阻断垃圾邮件的发送,而不是被动地 过滤邮件,这将对垃圾邮件的过滤将起到极大地推动作用,因而是一项非常有意义的工作。 然而,目前这方面的产品较少,其性能也难以满足现实应用的需求。
【发明内容】
[0007] 有鉴于此,本发明的主要目的在于提供一种垃圾僵尸检测方法及系统,能够主动、 有效地从源头阻断垃圾邮件的发送。
[0008] 为达到上述目的,本发明的技术方案是这样实现的:
[0009] 本发明提供了一种垃圾僵尸检测方法,所述方法包括:对网络中被监测主机发送 的每封邮件评分,根据各邮件得分与预设分类阈值的比较判定邮件为正常邮件或垃圾邮 件;根据对被监测主机所发送各邮件的判定结果,确定被监测主机是否是垃圾僵尸。
[0010] 上述方案中,所述对网络中被监测主机发送的每封邮件评分之前,从流经交换机 的网络流量中提取出被监测主机发送的邮件流量。 toon] 上述方案中,所述确定被监测主机是否是垃圾僵尸之后,生成垃圾僵尸黑白名单, 实时更新垃圾僵尸黑白名单。
[0012] 上述方案中,所述判定邮件为正常邮件或垃圾邮件采用的模型是逻辑回归模型或 支持向量机SVM模型;所述判定邮件为正常邮件或垃圾邮件包括:对知识库中的正常邮件 和垃圾邮件的特征样本分别进行训练,得到正常邮件和垃圾邮件的训练器;根据得到的正 常邮件和垃圾邮件训练器形成对应的正常邮件检测器和垃圾邮件检测器;将正常邮件检测 器和垃圾邮件检测器串联,对正常邮件和垃圾邮件进行分类。
[0013] 上述方案中,所述根据对被监测主机所发送各邮件的判定结果,确定被监测主机 是否是垃圾僵尸,包括:将邮件得分进行归一化;根据被监测主机发送的任意一封邮件,单 次判断被监测主机是否是垃圾僵尸;在对单次判断进行累积的基础上,总判决被监测主机 是否是垃圾僵尸。
[0014] 上述方案中,所述单次判断被监测主机是否是垃圾僵尸包括:建立正常主机4和 垃圾僵尸氏发送的邮件样本的概率模型;根据
【权利要求】
1. 一种垃圾僵尸检测方法,其特征在于,所述方法包括: 对网络中被监测主机发送的每封邮件评分,根据各邮件得分与预设分类阈值的比较判 定邮件为正常邮件或垃圾邮件; 根据对被监测主机所发送各邮件的判定结果,确定被监测主机是否是垃圾僵尸。
2. 根据权利要求1所述的方法,其特征在于,所述方法还包括:所述对网络中被监测主 机发送的每封邮件评分之前,从流经交换机的网络流量中提取出被监测主机发送的邮件流 量。
3. 根据权利要求1或2所述的方法,其特征在于,所述方法还包括:所述确定被监测主 机是否是垃圾僵尸之后,生成垃圾僵尸黑白名单,实时更新垃圾僵尸黑白名单。
4. 根据权利要求1或2所述的方法,其特征在于,所述判定邮件为正常邮件或垃圾邮件 采用的模型是逻辑回归模型或支持向量机SVM模型; 所述判定邮件为正常邮件或垃圾邮件包括: 对知识库中的正常邮件和垃圾邮件的特征样本分别进行训练,得到正常邮件和垃圾邮 件的训练器; 根据得到的正常邮件和垃圾邮件训练器形成对应的正常邮件检测器和垃圾邮件检测 器; 将正常邮件检测器和垃圾邮件检测器串联,对正常邮件和垃圾邮件进行分类。
5. 根据权利要求1或2所述的方法,其特征在于,所述根据对被监测主机所发送各邮件 的判定结果,确定被监测主机是否是垃圾僵尸,包括: 将邮件得分进行归一化; 根据被监测主机发送的任意一封邮件,单次判断被监测主机是否是垃圾僵尸; 在对单次判断进行累积的基础上,总判决被监测主机是否是垃圾僵尸。
6. 根据权利要求5所述的方法,其特征在于,所述单次判断被监测主机是否是垃圾僵 尸包括: 建立正常主机Η ^和垃圾僵尸氏发送的邮件样本的概率模型; 根据
计算统计量Ai; 其中,In表不自然对数,Xi表不主机m发送的第i封邮件的归一化得分,P% 1?)表不 正常主机%发送邮件得分为\的概率,P (\ |氏)表示垃圾僵尸氏发送邮件得分为\的概 率; 根据计算得到的统计量判断主机是正常主机4还是垃圾僵尸氏。
7. 根据权利要求6所述的方法,其特征在于,所述概率模型采用伯努利模型或者高斯 模型。
8. 根据权利要求5所述的方法,其特征在于,所述总判决被监测主机是否是垃圾僵尸, 包括: 设定总判断门限K和垃圾僵尸门限F ; 在K次总判断中,若被监测主机被判断为垃圾僵尸的次数Q >垃圾僵尸门限F,则将被 监测主机确定为垃圾僵尸;若被监测主机被判断为垃圾僵尸的次数Q〈垃圾僵尸门限F,则 将被监测主机确定为正常主机。
9. 一种垃圾僵尸检测系统,其特征在于,所述系统包括邮件过滤器和垃圾僵尸检测器; 其中, 所述邮件过滤器,用于对网络中被监测主机发送的每封邮件评分,根据各邮件得分与 预设分类阈值的比较判定邮件为正常邮件或垃圾邮件; 所述垃圾僵尸检测器,用于根据对被监测主机所发送各邮件的判定结果,确定被监测 主机是否是垃圾僵尸。
10. 根据权利要求9所述的系统,其特征在于,所述系统还包括网络分流器,用于从流 经交换机的网络流量中提取出被监测主机发送的邮件流量,并发送给邮件过滤器。
11. 根据权利要求9或10所述的系统,其特征在于,所述邮件过滤器包括训练器单元、 检测器单元和分类器单元;其中, 所述训练器单元,用于对知识库中的正常邮件和垃圾邮件的特征样本分别进行训练, 得到正常邮件和垃圾邮件的训练器; 所述检测器单元,用于根据得到的正常邮件和垃圾邮件训练器形成对应的正常邮件检 测器和垃圾邮件检测器; 所述分类器单元,用于将正常邮件检测器和垃圾邮件检测器串联,对正常邮件和垃圾 邮件进行分类。
12. 根据权利要求11所述的系统,其特征在于,所述邮件过滤器包括还包括知识库单 元、知识库更新单元;其中, 所述知识库单元,用于通过不断获得带用户反馈的网络各主机发送的邮件,构建关于 正常邮件和垃圾邮件的知识库; 所述知识库更新单元,用于将邮件分类结果反馈到训练器单元,并将带用户反馈的邮 件输入到训练器单元; 相应的,训练器单元,还用于根据用户反馈对每封邮件的分类结果进行在线学习,根据 学习结果更新和完善知识库。
13. 根据权利要求9所述的系统,其特征在于,所述垃圾僵尸检测器包括:归一化单元、 单次判断单元和总判决单元;其中, 所述归一化单元,用于将邮件得分进行归一化; 所述单次判断单元,用于根据被监测主机发送的任意一封邮件,单次判断被监测主机 是否是垃圾僵尸; 所述总判决单元,用于在单次判断进行累积的基础上,总判决被监测主机是否是垃圾 僵尸。
14. 根据权利要求13所述的系统,其特征在于,所述垃圾僵尸检测器还包括:黑名单单 元,用于生成垃圾僵尸黑白名单,实时更新垃圾僵尸黑白名单。
15. 根据权利要求13或14所述的系统,其特征在于,所述单次判断单元包括概率模型 单元、统计量计算单元和单次分类单元;其中, 所述概率模型单元,用于建立正常主机%和垃圾僵尸氏发送的邮件样本的概率模型; 所述统计量计算单元,用于根据
计算统计量Λ ρ 其中,In表不自然对数,Xi表不主机m发送的第i封邮件的归一化得分,P% 1?)表不 正常主机%发送邮件得分为Xi的概率,P (Xi I氏)表示垃圾僵尸Hi发送邮件得分为Xi的概 率; 所述单次分类单元,用于根据计算得到的统计量判断主机是正常主机4还是垃圾僵尸 H1〇
【文档编号】H04L12/58GK104158792SQ201310177784
【公开日】2014年11月19日 申请日期:2013年5月14日 优先权日:2013年5月14日
【发明者】孙广路, 孙宏跃, 马英财, 闫如胜 申请人:中兴通讯股份有限公司