一种僵尸群落分析方法及装置制造方法
【专利摘要】本发明公开了一种僵尸群落分析方法及装置;方法包括:获取僵尸网络监测系统在设定时间范围产生的监测数据;根据监测数据构建僵尸网络;计算任意两个僵尸网络的相似系数;选取相似系数大于预先设定的相似系数阈值的相似关系;根据相似关系构建僵尸群落,进行分析。本发明的僵尸群落分析方法,能够发现僵尸网络间的内在关系,可更有效的跟踪和研究僵尸网络背后的黑客组织的行为模式,为网络安全和网络防御提供支持和帮助,为国家宏观层次的互联网安全研究与控制起到促进作用。
【专利说明】—种僵尸群落分析方法及装置
【技术领域】
[0001]本发明涉及互联网【技术领域】,特别是涉及一种僵尸群落分析方法及装置。
【背景技术】
[0002]僵尸网络(Botnet)是指采用一种或多种传播手段,使大量主机感染僵尸(bot程序)程序,从而在控制者和被感染主机(僵尸或肉鸡)之间所形成的一对多控制的网络;它往往被黑客用来发起大规模的网络攻击,如分布式拒绝服务攻击(DDoS)、海量垃圾邮件等。黑客可以控制这些被感染主机上所有的信息,如:银行帐户和密码等。
[0003]僵尸群落指有直接或间接关系的一组僵尸网络构成的群体。僵尸群落背后可能由一个或几个黑客组织操控,从事互联网地下经济活动,如:受某网站雇佣利用僵尸群落对竞争对手网站进行DDOS攻击,让其不能对外提供服务等。从技术手段讲,僵尸群落与僵尸网络并没有太大差异,但其组成结构和行为模式却可以更多的投射出互联网之外的现实世界的组织特征。
[0004]僵尸网络监测系统指使用蜜网、网络流量及IRC Server等技术开发实现的专用于监测僵尸网络的系统。该系统会根据网络上的通讯信息,不断的产生监测数据,数据中至少包括但不限于包括监测时间、控制类型(如:灰鸽子、IRC等)、控制端IP、控制端端口、被感染主机IP、被感染主机端口等信息。僵尸网络监测系统会根据这些信息分析出僵尸网络的网络结构,如:一个僵尸网络控制端控制了多少被感染主机等。
[0005]在现有技术中并没有真正意义的僵尸群落分析技术。一般而言,僵尸网络监测系统可以根据监测数据,利用跳板机原理分析出一个僵尸网络的真正控制端。即僵尸网络控制端并不直接控制所有的被感染主机,而是通过将其直接控制的一台或几台被感染主机作为控制端,间接来控制其它被感染主机,使整个僵尸网络呈树型的拓扑结构。这些被用作控制端的感染主机也被称为跳板机,有时一个僵尸网络的跳板机会有很多级。我们可以把每个控制端及被其直接控制的感染主机看做是一个僵尸网络,那么整个树型僵尸网络就可以被视为一个僵尸群落,这个僵尸群落描绘了僵尸网络与僵尸网络间的控制关系。该算法一般为:1、从僵尸网络监测系统产生的监测数据中找出所有控制端IP (Internet Protocol,网络之间互连的协议);2、找出每个控制IP直接控制的所有被感染主机,并以每个控制端IP为一个僵尸网络的标示构建一个僵尸网络;3、从僵尸网络监测系统产生的监测数据中找出即是控制端IP也是被感染主机IP的IP地址,即跳板机IP ;4、找出每个跳板机IP的控制端IP,构建僵尸网络间的控制关系。
[0006]基于跳板机的僵尸群落分析技术最初在僵尸网络监测系统中被用于确认僵尸网络的真正控制端。由该方法分析出的树型僵尸网络可被看做为一个反映控制关系的僵尸群落。但由该分析方法分析出的僵尸群落无法揭示不存在明显的控制约束的僵尸网络之间的关系。如:某黑客组织在创建了一个僵尸网络后,为规避控制端被查封的危险,而为所有的被感染主机都又增加了一个新的控制端,形成了另外一个僵尸网络的情况(两个僵尸网络控制了相同的被感染主机)。或者不同的黑客或组织间交换或买卖了部分被感染机的控制权,形成了一个被感染机被多个僵尸网络控制的情况等。这些情况下的僵尸网络关系用该分析方法无法揭示,而这些关系能更好的投射现实世界黑客组织的行为模式。
【发明内容】
[0007]本发明要解决的技术问题是提供一种僵尸群落分析方法及装置,用以解决现有技术中没有真正意义的僵尸群落分析技术的问题。
[0008]为解决上述技术问题,一方面,本发明提供一种僵尸群落分析方法,包括:
[0009]获取僵尸网络监测系统在设定时间范围产生的监测数据;
[0010]根据监测数据构建僵尸网络;
[0011]计算任意两个僵尸网络的相似系数;
[0012]选取相似系数大于预先设定的相似系数阈值的相似关系;
[0013]根据相似关系构建僵尸群落,进行分析。
[0014]进一步,构建僵尸网络后,将僵尸网络中控制的被感染主机数小于设定阈值的僵尸网络删除。
[0015]进一步,计算任意两个僵尸网络间相同的被感染主机IP数量,及两个僵尸网络中全部被感染主机IP数量,用前者除以后者,所得的值即为相似系数。
[0016]进一步,在监测数据中,每个控制端IP、及受该控制端IP控制的所有被感染主机IP构成一个僵尸网络。
[0017]进一步,选取僵尸群落中僵尸网络的数量大于等于设定的僵尸网络数量阈值的僵尸群落进行分析。
[0018]另一方面,本发明还提供一种僵尸群落分析装置,包括:
[0019]监测数据获取模块,用于获取僵尸网络监测系统在设定时间范围产生的监测数据;
[0020]僵尸网络构建模块,用于根据监测数据构建僵尸网络;
[0021]相似系数计算模块,用于计算任意两个僵尸网络的相似系数;
[0022]相似关系选取模块,用于选取相似系数大于预先设定的相似系数阈值的相似关系;
[0023]僵尸群落构建模块,用于根据相似关系构建僵尸群落,进行分析。
[0024]进一步,所述僵尸群落分析装置还包括:
[0025]僵尸网络筛选模块,用于在构建僵尸网络后,将僵尸网络中控制的被感染主机数小于设定阈值的僵尸网络删除。
[0026]进一步,相似系数计算模块具体用于:
[0027]计算任意两个僵尸网络间相同的被感染主机IP数量,及两个僵尸网络中全部被感染主机IP数量,用前者除以后者,所得的值即为相似系数。
[0028]进一步,僵尸网络构建模块具体用于:
[0029]每个控制端IP、及受该控制端IP控制的所有被感染主机IP构成一个僵尸网络。
[0030]进一步,所述僵尸群落分析装置还包括:
[0031]僵尸群落选取模块,用于选取僵尸群落中僵尸网络的数量大于等于设定的僵尸网络数量阈值的僵尸群落进行分析。[0032]本发明有益效果如下:
[0033]本发明的僵尸群落分析方法,能够发现僵尸网络间的内在关系,可更有效的跟踪和研究僵尸网络背后的黑客组织的行为模式,为网络安全和网络防御提供支持和帮助,为国家宏观层次的互联网安全研究与控制起到促进作用。
【专利附图】
【附图说明】
[0034]图1是本发明实施例中一种僵尸群落分析方法的流程图。
【具体实施方式】
[0035]以下结合附图以及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不限定本发明。
[0036]本发明的基于相似性系数的僵尸群落分析方法,其核心技术内容为:在僵尸网络监测系统产生的监测数据中选取一定时间范围的监测数据;以监测数据中的所有控制端IP及被其控制的被感染主机IP为信息构建僵尸网络;对任意两个僵尸网络,以它们的被感染主机IP为集合计算jaccard系数,并保存两者的相似关系;给定相似系数的值,选取所有大于等于该相似系数的相似关系,所有在此结果集中彼此拥有相似关系的僵尸网络内聚为一个或多个僵尸群落。通过本发明所述的僵尸群落分析方法,能够进一步挖掘僵尸网络间的内在关系,分析僵尸群落所投影的互联网背后的黑客组织的行为模式。
[0037]如图1所示,本发明实施例涉及一种僵尸群落分析方法,包括:
[0038]步骤S101,获取僵尸网络监测系统在设定时间范围产生的监测数据。
[0039]在互联网世界中,僵尸网络始终处于一个不断变化的动态过程中。有时会因控制机被封而消亡,有时会因被感染主机脱离了僵尸网络的控制从而引起僵尸网络规模的变化。当分析僵尸群落的时候,需要在一个僵尸网络相对稳定的基础上进行。因此需要预先选定一个时间范围,在此时间范围内分析各僵尸网络的关系。选定的时间范围不同,僵尸群落的关系会呈现不同的结果。为使分析结果相对准确,我们可以通过选定一组持续的时间范围对僵尸群落进行分析。如:按自然月为时间范围分析僵尸群落,一年有12个月,可以得到12组僵尸群落关系。对这12组僵尸群落关系进行分析就可以分析僵尸群落的变化情况及验证僵尸群落划分的是否准确。
[0040]僵尸网络监测系统会不停的监测网络上的通讯信息,并依据规则生成僵尸网络监测数据。监测数据至少包括:监测时间、控制类型、控制端IP、控制端端口、被感染主机IP、被感染主机端口等信息。它能动态的反映僵尸网络的变化情况。本方案将以该系统产生的数据作为分析基础。另外,持续的分析跟踪僵尸群落可以建立在本方案分析得到的僵尸群落的基础上,故本方案中不做更多阐述。
[0041]步骤S102,根据监测数据构建僵尸网络。
[0042]在监测数据中,每个控制端IP、及受该控制端IP控制的所有被感染主机IP构成一个僵尸网络。
[0043]每个不同的控制IP (或控制IP +控制类型)代表了一个不同的僵尸网络,因此,抽取监测数据中的控制端IP及受该控制端IP控制的所有被感染主机IP等信息构建僵尸网络。[0044]步骤S103,僵尸网络筛选。
[0045]对步骤S102中计算得到的所有僵尸网络按规模即僵尸网络控制的被感染主机数进行筛选。将僵尸网络中控制的被感染主机数小于设定阈值的僵尸网络删除,以免太小的僵尸网络占用了大量计算资源却得不到具有参考意义的相似关系。
[0046]步骤S104,计算任意两个僵尸网络的相似系数。
[0047]对步骤S102或步骤S103获得的僵尸网络,两两求解相似性,并保存它们的相似关系。相似关系采用Jaccard系数算法进行计算,公式为:Jaccard(X,Y) =X Π Y/X U Y ;即:计算任意两个僵尸网络间相同的被感染主机IP数量,及两个僵尸网络中全部被感染主机IP数量,用前者除以后者,所得的值即为相似系数,该系数值的取值范围为[0,I]。Jaccard系数,又叫做Jaccard相似性系数,用来比较样本集中的相似性和分散性的一个概率Jaccard系数等于样本集交集与样本集合集的比值。
[0048]步骤S105,选取相似系数大于预先设定的相似系数阈值的相似关系。
[0049]按给定的相似值,选取大于等于该相似值的所有相似关系。任意僵尸网络间的相似关系都不相同,相似关系越小说明它们之间的关联程度越小,由此获得的僵尸群落的可信性也越小;相似关系越大说明关联程度越大,由此获得的僵尸群落的可信性也越大。
[0050]步骤S106,根据相似关系构建僵尸群落。
[0051]以任意一个相似关系的两个僵尸网络为顶点,构建一个僵尸群落,判断下一个相似关系中的两个僵尸网络是否至少有一个包括在已经构建的僵尸群落中,如果否,则由该相似关系中的两个僵尸网络顶点,构建一个新的僵尸群落;如果是,则进一步判断该相似关系中的两个僵尸网络是否都包括在已经构建的僵尸群落中;如果是,则保持已经构建的僵尸群落不变,如果否,则将没有包括在已经构建的僵尸群落中的僵尸网络加入到该僵尸群中。
[0052]例如,从步骤S105步求得的僵尸网络的相似关系(大于0.6)的关系集合如表1所
/Jn ο
[0053]表1
[0054]
【权利要求】
1.一种僵尸群落分析方法,其特征在于,包括: 获取僵尸网络监测系统在设定时间范围产生的监测数据; 根据监测数据构建僵尸网络; 计算任意两个僵尸网络的相似系数; 选取相似系数大于预先设定的相似系数阈值的相似关系; 根据相似关系构建僵尸群落,进行分析。
2.如权利要求1所述的僵尸群落分析方法,其特征在于,构建僵尸网络后,将僵尸网络中控制的被感染主机数小于设定阈值的僵尸网络删除。
3.如权利要求1或2所述的僵尸群落分析方法,其特征在于,计算任意两个僵尸网络间相同的被感染主机IP数量,及两个僵尸网络中全部被感染主机IP数量,用前者除以后者,所得的值即为相似系数。
4.如权利要求3所述的僵尸群落分析方法,其特征在于,在监测数据中,每个控制端IP、及受该控制端IP控制的所有被感染主机IP构成一个僵尸网络。
5.如权利要求1、2或4所述的僵尸群落分析方法,其特征在于,选取僵尸群落中僵尸网络的数量大于等于设定的僵尸网络数量阈值的僵尸群落进行分析。
6.一种僵尸群落分析装置,其特征在于,包括: 监测数据获取模块,用于获取僵尸网络监测系统在设定时间范围产生的监测数据; 僵尸网络构建模块,用于根据监测数据构建僵尸网络; 相似系数计算模块,用于计算任意两个僵尸网络的相似系数; 相似关系选取模块,用于选取相似系数大于预先设定的相似系数阈值的相似关系; 僵尸群落构建模块,用于根据相似关系构建僵尸群落,进行分析。
7.如权利要求6所述的僵尸群落分析装置,其特征在于,所述僵尸群落分析装置还包括: 僵尸网络筛选模块,用于在构建僵尸网络后,将僵尸网络中控制的被感染主机数小于设定阈值的僵尸网络删除。
8.如权利要求6或7所述的僵尸群落分析装置,其特征在于,相似系数计算模块具体用于: 计算任意两个僵尸网络间相同的被感染主机IP数量,及两个僵尸网络中全部被感染主机IP数量,用前者除以后者,所得的值即为相似系数。
9.如权利要求8所述的僵尸群落分析装置,其特征在于,僵尸网络构建模块具体用于: 每个控制端IP、及受该控制端IP控制的所有被感染主机IP构成一个僵尸网络。
10.如权利要求6、7或9所述的僵尸群落分析装置,其特征在于,所述僵尸群落分析装置还包括: 僵尸群落选取模块,用于选取僵尸群落中僵尸网络的数量大于等于设定的僵尸网络数量阈值的僵尸群落进行分析。
【文档编号】H04L12/26GK103795591SQ201410021553
【公开日】2014年5月14日 申请日期:2014年1月16日 优先权日:2014年1月16日
【发明者】汤泰鼎, 李雪莹 申请人:北京天融信软件有限公司, 北京天融信网络安全技术有限公司, 北京天融信科技有限公司