一种基于分布式时空机理的主干网僵尸网络追踪方法
【专利摘要】一种基于分布式时空机理的主干网僵尸网络追踪方法,其将流量探针将流量中的DNS数据发给DNS异常流量检测引擎,该引擎利用白名单进行过滤后将DNS访问数据发送给FastFluxDNS探测模块检测具有FastFluxDNS特性的域名。流量探针将流量中的TCP握手报文和结束报文发送给宏观分布特性提取引擎,得到宏观分布特性表示的IP地址数据,由IP聚类器聚类得到异常行为的IP前缀,将IP前缀发送给分布式机理判别引擎进行异常IP行为特征提取。将具有FastFluxDNS特性的域名和异常IP行为特征进行二次探针过滤处理,将过滤结果输入到迭代器进行迭代,输出中间节点信息;重复由二次探针和迭代器反复迭代,直到二次探针没有输出为止,此时的中间节点信息即为能追踪的最高层级的僵尸网络节点。
【专利说明】—种基于分布式时空机理的主干网僵尸网络追踪方法
[0001]
【技术领域】
本专利申请涉及一种网络安全领域的主干网僵尸网络追踪方法,主要利用分布式时空机理用于追踪僵尸网络的各级节点。
[0002]
【背景技术】
[0003]现在僵尸网络成为了一个影响网络安全的重要问题,但是僵尸网络由于多层级的特征导致其很难被追踪和溯源。
[0004]为了解决这个问题,目前常见的做法是进行蜜罐处理,将僵尸网络的信息提取后汇总然后在主干网上进行追踪。这类方法的主要问题是蜜罐只能被动地探测一些僵尸网络的信息。如果需要主动地获得僵尸网络的踪迹,需要利用僵尸网络进行活动的时候的行为特征进行追踪。
[0005]本申请的分布式时空机理是指僵尸网络在进行DDoS攻击或者扫描时的IP聚类行为,结合其使用的DNS的Fast Flux行为特征,可以提取到僵尸网络节点的信息,从而为进一步追踪上层节点提供了可能。本申请假设各层节点均在流量探针的探测范围内,不在范围内的理论上可以通过分布式协同来解决。
[0006]
【发明内容】
本专利申请所要解决的技术问题是:主动发现僵尸网络的活动,并对其上层节点进行追踪。
[0007]为了解决上述技术问题,本专利申请提供了一种方法,通过对僵尸网络活动的追踪,找到僵尸网络的活跃节点,反复迭代跟踪僵尸网络的高层节点,直到穷尽为止。
[0008]本专利申请所述的一种基于分布式时空机理的主干网僵尸网络追踪方法,其流量探针将流量中的DNS数据发给DNS异常流量检测引擎,该引擎利用白名单进行过滤后将DNS访问数据发送给Fast Flux DNS探测模块检测具有Fast Flux DNS特性的域名。流量探针将流量中的TCP握手报文和结束报文发送给宏观分布特性提取引擎,得到宏观分布特性表示的IP地址数据,由IP聚类器聚类得到异常行为的IP前缀,将IP前缀发送给分布式机理判别引擎进行异常IP行为特征提取。将具有Fast Flux DNS特性的域名和异常IP行为特征进行二次探针过滤处理,将过滤结果输入到迭代器进行迭代,输出中间节点信息;重复由二次探针和迭代器反复迭代,直到二次探针没有输出为止,此时的中间节点信息即为能追踪的最闻层级的僵尸网络节点。
[0009]本申请的有益后果是:
1)可以主动发现僵尸网络的活动,避免蜜罐信息钝化的问题;
2)能够有效对僵尸网络上层节点进行迭代追踪;
3)分布式时空机理保证提取的僵尸网络行为符合其典型的分布式特征。
[0010]
【专利附图】
【附图说明】
图1为本专利申请的结构示意图
【具体实施方式】
本专利申请的结构如图1所示,包括网络流量探针、宏观分布特性提取引擎、IP分类器、分布式机理判别引擎、DNS异常检测引擎、DNS白名单、Fast Flux DNS探测模块以及二次探针、访问行为迭代器。
[0011]本专利申请所述的网络安全领域的主干网僵尸网络追踪方法的工作步骤如下:
(1)将流量探针将流量中的DNS数据发给DNS异常流量检测引擎,该引擎利用白名单进行过滤后将DNS访问数据发送给Fast Flux DNS探测模块检测具有Fast Flux DNS特性的域名;
(2)流量探针将流量中的TCP握手报文和结束报文发送给宏观分布特性提取引擎,得到宏观分布特性表示的IP地址数据,由IP聚类器聚类得到异常行为的IP前缀,将IP前缀发送给分布式机理判别引擎进行异常IP行为特征提取;
(3)将具有FastFlux DNS特性的域名和异常IP行为特征进行二次探针过滤处理,将过滤结果输入到迭代器进行迭代,输出中间节点信息;重复由二次探针和迭代器反复迭代,直到二次探针没有输出为止,此时的中间节点信息即为能追踪的最高层级的僵尸网络节点。
[0012]以上实施例的说明只适用于帮助理解本专利申请的原理,同时对本领域的一般技术人员,依据本专利申请实施例,在【具体实施方式】以及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本专利申请的限制。
【权利要求】
1.一种基于分布式时空机理的主干网僵尸网络追踪方法,其特征是:包括网络流量探针、宏观分布特性提取引擎、IP分类器、分布式机理判别引擎、DNS异常检测引擎、DNS白名单、Fast Flux DNS探测模块以及二次探针、访问行为迭代器。
2.如权利要求1所述的基于分布式时空机理的主干网僵尸网络追踪方法,其特征是:流量探针将流量中的DNS数据分配给DNS异常流量检测引擎,DNS异常流量检测引擎利用白名单进行过滤后将DNS访问数据发送给Fast Flux DNS探测模块检测具有Fast FluxDNS特性的域名;流量探针将流量中的TCP握手报文和结束报文发送给宏观分布特性提取引擎,得到宏观分布特性表示的IP地址数据,由IP聚类器聚类得到异常行为的IP前缀,将IP前缀发送给分布式机理判别引擎进行异常IP行为特征提取。
3.如权利要求2所述的一种基于分布式时空机理的主干网僵尸网络追踪方法,其特征是:将权利要求2得到的具有Fast Flux DNS特性的域名和异常IP行为特征进行二次探针过滤处理,将过滤结果输入到迭代器进行迭代,输出中间节点信息;将中间节点信息输入到二次探针和迭代器进行反复迭代,直到二次探针没有输出信息为止,此时的中间节点信息即为能追踪的最高层级的僵尸网络节点。
【文档编号】H04L12/26GK104135400SQ201410331956
【公开日】2014年11月5日 申请日期:2014年7月14日 优先权日:2014年7月14日
【发明者】邢苏霄, 彭艳兵, 汪洋, 程光, 易黎, 李渊, 胡蓓蓓, 吴桦 申请人:南京烽火星空通信发展有限公司