检测僵木蠕网络的方法以及系统与流程

本发明涉及互联网安全
技术领域：
，尤其涉及一种检测僵木蠕网络的方法以及系统。
背景技术：
：僵木蠕网络是指攻击者利用互联网用户的计算机秘密建立的可以远程统一控制的僵尸网络(Botnet)计算机群，目前僵木蠕网络主要采用木马控制，通过蠕虫、恶意网站来传播。木马是基于远程控制的黑客工具，其实质是一种“客户/服务”型的网络程序，木马程序表面上看上去具有某种很有用的功能，实际上隐藏着可以控制整个计算机系统，打开后门，危害系统安全的功能；蠕虫是一种病毒，通过网络传播感染存在漏洞的主机，自动复制，通常无需人们交互，蠕虫产生的流量占据了运营商大量有效带宽。僵木蠕网络往往被黑客用来发起大规模的网络攻击，如分布式拒绝服务攻击(DDoS)、海量垃圾邮件等，同时黑客控制的这些计算机所保存的信息，譬如银行帐户的密码与社会安全号码等也都可被黑客随意“取用”。因此，不论是对网络安全运行还是用户数据安全的保护来说，僵木蠕网络都是极具威胁的隐患。发现一个僵木蠕网络是非常困难的，因为黑客通常远程、隐蔽地控制分散在网络上的“僵尸主机”，这些主机的用户往往并不知情。因此，僵木蠕网络的威胁也成为目前一个国际上十分关注的问题，检测僵木蠕网络已成为新一代互联网安全发展的迫切需求。因此，有必要提出一种检测僵木蠕网络的方法以解决现有技术中存在的上述技术问题。技术实现要素：本公开要解决的一个技术问题是如何提供一种更准确和高效的检测僵木蠕网络的方法以及系统，可以实现对高速链路的网络流量进行测量，并对僵木蠕网络的拓扑结构进行较为准确的推断。本公开提供一种检测僵木蠕网络的方法，包括：报文检测设备获取网络指定区域的僵木蠕样本报文中的控制端信息；将所述僵木蠕样本报文中的控制端信息发送给流检测设备；流检测设备根据所述僵木蠕样本报文中的控制端信息，对网络中的流量进行采样，以获取相应的僵木蠕被控制端地址信息；流检测设备将获取的僵木蠕被控制端地址信息发送给僵木蠕检测平台，以便僵木蠕检测平台构建僵木蠕网络拓扑结构。进一步地，僵木蠕样本报文中的控制端信息包括命令与控制IP及控制端口、蠕虫源IP及传播端口、恶意网站IP及访问端口信息。进一步地，报文检测设备获取网络指定区域的僵木蠕样本报文中的控制端信息的步骤包括：判断获取的样本报文中的控制端信息是否位于事先设定的黑名单中；若获取的样本报文中的控制端信息包括在事先设定的黑名单中，则确定所述控制端信息是的僵木蠕网络控制端信息。进一步地，若获取的样本报文中的控制端信息未包括在事先设定的黑名单中，则进一步判断是否在白名单中；若在白名单中，则确定不是僵木蠕网络控制端信息；若不在白名单中，则将所述控制端信息放入灰名单，并向用户告警。进一步地，在告警后，若接收用户的用于确定所述控制端信息是僵木蠕网络控制端信息的确认不合法消息，则将所述控制端信息添加到黑名单中；若接收到用户的用于确认所述控制端信息不是僵木蠕网络控制端信息的确认合法信息，则将所述控制端信息添加到白名单中。进一步地，所述流检测设备将获取的僵木蠕被控制端地址信息发送给僵木蠕检测平台，以便僵木蠕检测平台构建僵木蠕网络拓扑结构之后，还包括：在建立拓扑结构之后，统计所述僵木蠕的控制规模，所述控制规模包括所述僵木蠕对僵尸主机的控制程度以及所述僵木蠕的传播程度。本发明还提供一种检测僵木蠕网络的系统，包括报文检测设备、流检测设备以及僵木蠕检测平台，其中，报文检测设备用于获取网络指定区域的僵木蠕样本报文中的控制端信息；将所述僵木蠕样本报文中的控制端信息发送给流检测设备；流检测设备用于根据所述僵木蠕样本报文中的控制端信息，对网络中的流量进行采样，以获取相应的僵木蠕被控制端地址信息；将获取的僵木蠕被控制端地址信息发送给僵木蠕检测平台；僵木蠕检测平台用于构建僵木蠕网络拓扑结构。进一步地，僵木蠕样本报文中的控制端信息包括命令与控制IP及控制端口、蠕虫源IP及传播端口、恶意网站IP及访问端口信息。进一步地，报文检测设备还用于判断获取的样本报文中的控制端信息是否位于事先设定的黑名单中；若获取的样本报文中的控制端信息包括在事先设定的黑名单中，则确定所述控制端信息是的僵木蠕网络控制端信息。进一步地，报文检测设备用于若获取的样本报文中的控制端信息未包括在事先设定的黑名单中，则进一步判断是否在白名单中，若在白名单中，则确定不是僵木蠕网络控制端信息；若不在白名单中，则将所述控制端信息放入灰名单，并向用户告警。进一步地，报文检测设备用于在告警后，若接收用户的用于确定所述控制端信息是僵木蠕网络控制端信息的确认不合法消息，则将所述控制端信息添加到黑名单中；若接收到用户的用于确认所述控制端信息不是僵木蠕网络控制端信息的确认合法信息，则将所述控制端信息添加到白名单中。进一步地，僵木蠕检测平台用于在建立拓扑结构之后，统计所述僵木蠕的控制规模，所述控制规模包括所述僵木蠕对僵尸主机的控制程度以及所述僵木蠕的传播程度。本公开提供的检测僵木蠕网络的方法以及系统，采用抽样多数据源的方法，基于DPI深度报文检测和DFI深度流检测两种类型的分布式测量结点实现对僵木蠕网络更广泛的追踪，同时采用抽样报文方法以减少流量，可以实现对高速链路的网络流量进行测量，并对僵木蠕网络的 拓扑结构进行较为准确的推断。附图说明图1示出本发明一个实施例的检测僵木蠕网络的方法的流程图。图2示出本发明一个实施例的检测僵木蠕网络的方法示意图。图3示出本发明一个实施例的一种检测僵木蠕网络的系统示意图。具体实施方式下面参照附图对本发明进行更全面的描述，其中说明本发明的示例性实施例。图1示出本发明一个实施例的检测僵木蠕网络的方法的流程图。如图1所示，该方法主要包括：步骤100，报文检测设备获取网络指定区域的僵木蠕样本报文中的控制端信息。步骤102，将所述僵木蠕样本报文中的控制端信息发送给流检测设备。步骤104，流检测设备根据所述僵木蠕样本报文中的控制端信息，对网络中的流量进行采样，以获取相应的僵木蠕被控制端地址信息。步骤106，流检测设备将获取的僵木蠕被控制端地址信息发送给僵木蠕检测平台，以便僵木蠕检测平台构建僵木蠕网络拓扑结构。在一个实施例中，僵木蠕样本报文中的控制端信息包括C&C(commandandcontrol，命令与控制)IP/控制端口、蠕虫源IP/传播端口和恶意网站IP/访问端口信息。在一个实施例中，报文检测设备获取网络指定区域的僵木蠕样本报文中的控制端信息的步骤包括：判断获取的样本报文中的控制端信息是否位于事先设定的黑名单中；若获取的样本报文中的控制端信息包括在事先设定的黑名单中，则确定所述控制端信息是的僵木蠕网络控制端信息。在一个实施例中，若获取的样本报文中的控制端信息未包括在事先 设定的黑名单中，则进一步判断是否在白名单中，若在白名单中，则确定不是僵木蠕网络控制端信息；若不在白名单中，则将所述控制端信息放入灰名单，并向用户告警。在一个实施例中，在告警后，若接收用户的用于确定所述控制端信息是僵木蠕网络控制端信息的确认不合法消息，则将所述控制端信息添加到黑名单中；若接收到用户的用于确认所述控制端信息不是僵木蠕网络控制端信息的确认合法信息，则将所述控制端信息添加到白名单中。在一个实施例中，所述流检测设备将获取的僵木蠕被控制端地址信息发送给僵木蠕检测平台，以便僵木蠕检测平台构建僵木蠕网络拓扑结构之后，还包括：在建立拓扑结构之后，统计所述僵木蠕的控制规模，所述控制规模包括所述僵木蠕对僵尸主机的控制程度以及所述僵木蠕的传播程度。相对于现有最接近技术基于全报文的流量数据特征匹配技术检测僵木蠕网络的方法，本发明上述实施例提供的检测僵木蠕网络的方法，具有如下优点：(1)对大规模僵木蠕网络检测效率更高，通过包检测和流检测的简单关联分析，实时获取僵木蠕网络相关信息，自动构建僵木蠕网络拓扑结构；(2)海量网络流在线检测成本较低，本专利所述的抽样检测方法不需要在骨干网和高速网络大范围部署蜜罐及流量分析设备，可以节省大量的网络硬件设备投资，有利于本专利方法的迅速推广和使用。图2示出本发明一个实施例的检测僵木蠕网络的方法示意图。如图2所示，该检测过程可以包括：步骤201，在僵木蠕高发网络如城域网或IDC(InternetDataCenter，互联网数据中心)中部署IDS(IntrusionDetectionSystems，入侵检测系统)、蜜罐等DPI(DeepPacketInspection，深度包检测技术)深度报文检测设备21，利用该报文检测设备分析网络流量中的僵木蠕程序样本，获取僵木蠕程序样本报文中的控制端地址及端口信息，同时利用DFI(Deep/DynamicFlowInspection，深度/动态流检测)深度流检测设备22抽样采集骨干网和高速网络流量信息。步骤202，通过报文检测设备21向流检测设备22发送已知的控制端地址，其中，这些控制端信息包括C&CIP/控制端口、蠕虫源IP/传播端口和恶意网站IP/访问端口等信息，报文检测设备可以查询与控制端连接的僵尸主机地址信息，获取被控制主机的地址。步骤203，流检测设备22实时返回与C&C、蠕虫源等控制端IP有通讯的僵尸主机地址信息给僵木蠕检测平台23。步骤204，僵木蠕检测平台23实时获取流检测平台返回的僵尸主机相关信息，能够较为准确推断出僵尸主机的控制规模，从而方便地构建僵木蠕网络拓扑结构。具体地，如表1所示，可以根据C&CIP/端口获取被控制端的僵尸主机的控制规模以及受影响主机IP地址列表；根据蠕虫源IP/端口以及恶意网站IP/端口获取僵木蠕的传播程度以及受影响主机IP地址列表。C&CIP/端口控制程度受影响主机IP地址列表蠕虫源IP/端口传播程度受影响主机IP地址列表恶意网站IP/端口传播程度受影响主机IP地址列表表1对于僵木蠕网络的检测方法主要包括僵尸行为仿真及监控技术和基于全报文的流量数据特征匹配技术。僵尸行为仿真及监控技术确定僵木蠕，可以利用主动式和被动式蜜罐系统获取僵尸程序样本，监控僵尸主机的传播方式和通讯方式，从而得到僵木蠕网络的行为特征，感染行为包括驻留系统的模式(用户模式、内核模式)安装文件、修改文件、修改注册表、对系统进程和函数的调用、键盘操作记录、对系统服务和网络服务的控制；传播行为可以包括扫描、漏洞的利用；获得通信行为包括IP地址、端口号、协议特征、命令。对代码特征的分析分析包括：加壳与脱壳、Shellcode、特征指令序列、文件片段；对日志的关联分析包括系统日志、IPS攻击日志、流量信息记录。常用的分析方法包括按照安全策略限制程序行为的执行环境的沙箱法和系统监控程序包括SEBEK、入侵检测系统蜜网在线信息收集法。现有技术中基于全报文的流量数据特征匹配方法，必须充分了解僵尸程序，提取指纹信息作为入侵检测设备检测的特征，传统的入侵检测设备系统无论是基于特征还是基于异常的，都是关注入流量并查找点对点入侵的恶意特征。传统的僵尸行为仿真及监控技术主要是基于单点和单数据源，造成检测范围较小，难以测量大规模的僵木蠕网络，没有办法对控制僵尸控制器的僵尸主人进行追踪；传统的基于全报文的流量数据特征匹配技术由于需要对每个报文进行检测，检测成本巨大，海量的网络流数据限制了在线流量数据特征匹配技术的广泛应用，在骨干网和高速网络大范围部署流量特征分析设备需要投入很高的成本，运行效率较低，难于突破高速主干网络测量资源的瓶颈。相对与现有技术，本发明采用抽样多数据源的方法，基于DPI深度报文检测和DFI深度流检测两种类型的分布式测量结点实现对僵木蠕网络更广泛的追踪，同时采用抽样报文方法以减少流量，可以实现对高速链路的网络流量进行测量，并对僵木蠕网络的拓扑结构进行较为准确的推断。本发明实施例提出的检测大规模僵木蠕网络的方法，首先在僵木蠕高发网络区域采用DPI报文深度检测技术获取木马样本报文中控制端地址及端口信息，然后向基于抽样流采集技术的流检测系统发送查询请求消息进行关联检测，流检测系统实时返回与C&C、蠕虫源等控制端IP有通讯的僵尸主机地址信息，僵木蠕检测平台从而能够实时获取僵木蠕网络的相关信息，快速构建僵木蠕网络拓扑结构，有效降低了检测成本。图3示出本发明一个实施例的一种检测僵木蠕网络的系统示意图，如图3所示，该系统包括报文检测设备301、流检测设备302以及僵木蠕检测平台303，其中，报文检测设备301用于获取网络指定区域的僵木蠕样本报文中的控制端信息；将所述僵木蠕样本报文中的控制端信息发送给流检测设备302；流检测设备302用于根据所述僵木蠕样本报文中的控制端信息，对网络中的流量进行采样，以获取相应的僵木蠕被控制端地址信息；将获取的僵木蠕被控制端地址信息发送给僵木蠕检测平台303；僵木蠕检测平台303用于构建僵木蠕网络拓扑结构。在一个实施例中，僵木蠕样本报文中的控制端信息包括命令与控制C&CIP/控制端口、蠕虫源IP/传播端口和恶意网站IP/访问端口信息。在一个实施例中，报文检测设备301还用于判断获取的样本报文中的控制端信息是否位于事先设定的黑名单中；若获取的样本报文中的控制端信息包括在事先设定的黑名单中，则确定所述控制端信息是的僵木蠕网络控制端信息。在一个实施例中，报文检测设备301用于若获取的样本报文中的控制端信息未包括在事先设定的黑名单中，则进一步判断是否在白名单中，若在白名单中，则确定不是僵木蠕网络控制端信息；若不在白名单中，则将所述控制端信息放入灰名单，并向用户告警。在一个实施例中，报文检测设备301用于在告警后，若接收用户的用于确定所述控制端信息是僵木蠕网络控制端信息的确认不合法消息，则将所述控制端信息添加到黑名单中；若接收到用户的用于确认所述控制端信息不是僵木蠕网络控制端信息的确认合法信息，则将所述控制端信息添加到白名单中。在一个实施例中，僵木蠕检测平台303用于在建立拓扑结构之后，统计所述僵木蠕的控制规模，所述控制规模包括所述僵木蠕对僵尸主机的控制程度以及所述僵木蠕的传播程度。本发明的描述是为了示例和描述起见而给出的，而并不是无遗漏的或者将本发明限于所公开的形式。很多修改和变化对于本领域的普通技术人员而言是显然的。选择和描述实施例是为了更好说明本发明的原理和实际应用，并且使本领域的普通技术人员能够理解本发明从而设计适于特定用途的带有各种修改的各种实施例。当前第1页1 2 3