一种基于日志的僵木蠕网络分析方法和系统的制作方法

一种基于日志的僵木蠕网络分析方法和系统的制作方法
【技术领域】
[0001]本发明属于通讯计算机领域，尤其涉及一种基于DNS日志和RADIUS日志的僵木蠕网络分析方法。
【背景技术】
[0002]目前，僵木蠕网络已经成为国内乃至全世界的网络安全领域最为关注的危害之
O
[0003]僵木蠕网络是指采用一种或多种传播手段，将大量主机感染bot程序(僵尸程序)病毒，从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。攻击者通过各种途径传播僵木蠕程序感染互联网上的大量主机，而被感染的主机将通过一个控制信道接收攻击者的指令，组成一个僵木蠕网络。
[0004]僵木蠕网络有别于以往简单的安全事件，它是一个具有极大危害的攻击平台。利用该平台，攻击者能够发起各种各样的破坏行为，由于平台的搭建使得这些破坏行为产生聚合，造成比传统破坏行为更大的危害，并且使得攻击的防范难度增大。僵尸网络将攻击源从一个转化为多个，乃至一个庞大的网络体系，通过网络来控制受感染的系统，同时不同地造成网络危害，如更快地传播蠕虫、短时间内窃取大量敏感信息、抢占系统资源进行非法目的牟利、发起大范围的DDoS攻击等，受控网络的存在，给危害追踪和损失抑制带来巨大的麻烦，这也就是僵木蠕网络迅速发展的原因。
[0005]1.1现有技术方案:
[0006]对于目前比较流行的基于IRC协议的僵木蠕(僵尸、木马、蠕虫)的研宄方法，主要使用蜜网技术、网络流量研宄以及IRC Server识别技术。
[0007]1.1.1使用蜜网技术
[0008]蜜网技术是从bot程序出发的，可以深入跟踪和分析僵木蠕的性质和特征。主要的研宄过程是，首先通过密罐等手段尽可能多地获得各种流传在网上的bot程序样本；当获得bot程序样本后，采用逆向工程等恶意代码分析手段，获得隐藏在代码中的登录僵木蠕所需要的属性，如僵木蠕服务器地址、服务端口、指定的恶意频道名称及登录密码，以及登录所使用到的用户名称，这些信息都为今后有效地跟踪僵木蠕和深入分析僵木蠕的特征提供了条件。在具备了这些条件之后，使用伪装的客户端登录到僵木蠕中去，当确认其确实为僵木蠕后，可以对该僵木蠕采取相应的措施。
[0009]1.1.2网络流量研宄
[0010]网络流量的研宄思路是通过分析基于IRC协议的僵木蠕中僵尸主机的行为特征，将僵尸主机分为两类:长时间发呆型和快速加入型。具体来说就是僵尸主机在僵木蠕中存在着三个比较明显的行为特征，一是通过蠕虫传播的僵尸程序，大量的被其感染计算机会在很短的时间内加入到同一个IRC Server中；二是僵尸计算机一般会长时间在线；三是僵尸计算机作为一个IRC聊天的用户，在聊天频道内长时间不发言，保持空闲。将第一种行为特征归纳为快速加入型，将第二、三种行为特征归纳为长期发呆型。
[0011]研宄对应这两类僵尸计算机行为的网络流量变化，使用离线和在线的两种分析方法，就可以实现对僵木蠕的判断。
[0012]L1.3IRC 技术
[0013]通过登录大量实际的基于IRC协议的僵木蠕的服务器端，可以看到，由于攻击者为了隐藏自身而在服务器端刻意隐藏了 IRC服务器的部分属性。同时，通过对bot源代码的分析看到，当被感染主机加入到控制服务器时，在服务器端能够表现出许多具有规律性的特征。通过对这些特征的归纳总结，就形成了可以用来判断基于IRC协议的僵木蠕的服务器端的规则，这样就可以直接确定出僵木蠕的位置及其规模、分布等性质，为下一步采取应对措施提供有力的定位支持。
[0014]1.2现有技术方案缺点
[0015]现有的技术方案基本都是针对已经发现的僵木蠕或bot程序进行分析，获取控制端的行为特征，并由此采取相应的屏蔽手段。这种思路没有办法挖掘出更多的未知僵木蠕或bot程序。

【发明内容】

[0016]本发明所要解决的技术问题是提供一种基于日志的僵木蠕网络分析方法和系统，用以尽快发现僵木蠕网络。
[0017]本发明解决上述技术问题所采取的技术方案如下:
[0018]一种基于日志的僵木蠕网络分析方法，包括:
[0019]步骤I)获取DNS日志和RADIUS日志；
[0020]所述DNS日志包括:日期、时间、访问信息、请求IP信息、请求域名信息、请求域名特征、解析类型、解析IP信息、DNS服务器特征信息；
[0021 ] 步骤2)分别对DNS日志和RADIUS日志进行日志清洗，将统计没有影响的字段去掉，保留或修改影响统计结果的字段；
[0022]步骤3)根据已知的僵木蠕网站及其肉鸡的共同行为特征，获取符合指定特征的可疑域名；
[0023]步骤4)根据所述可疑域名的用户访问DNS日志和RADIUS日志，分析访问这些可疑域名的用户群的特征，并根据用户群的特征确定僵木蠕域名。
[0024]进一步地，优选的是，步骤2中，基于HADOOP分布式计算，清洗后的DNS日志包括:请求IP信息+\t+Long型时间戳+\t+请求域名+\t解析IP信息；
[0025]清洗后的RADIUS日志包括:请求IP信息+\t+用户名+\t+开始时间+\t+结束时间?目息。
[0026]进一步地，优选的是，步骤3)根据已知的僵木蠕网站及其肉鸡的共同行为特征，获取符合指定特征的可疑域名，其中，共同行为特征选择以下或者任一:域名访问量排名变化按变化率排名取前100个；
[0027]解析结果类型为“域名未找到”的域名按访问量排名取前100个；
[0028]解析结果类型为“服务器错误”的域名按访问量排名取前100个；或者，按招受递归攻击量排名取前100个。
[0029]进一步地，优选的是，步骤3)根据已知的僵木蠕网站及其肉鸡的共同行为特征，获取符合指定特征的可疑域名，具体包括:
[0030]通过分析僵木蠕样本库的解析地址，得出相同解析地址下的其他域名:
[0031]通过分析DNS日志得到某个僵木蠕样本域名的解析IP信息；
[0032]再次分析DNS日志，获取具有相同解析IP信息的其他域名信息，并过滤白名单后即为疑似僵木蠕域名。
[0033]进一步地，优选的是，根据所述可疑域名的用户访问DNS日志和RADIUS日志，分析访问这些可疑域名的用户群的特征，并根据用户群的特征确定僵木蠕域名，具体包括:
[0034]将清洗后的DNS日志中的请求域名与僵木蠕病毒库中的域名进行匹配，获取请求IP信息，即为肉鸡IP地址；
[0035]获取肉鸡账户信息，并得出该肉鸡IP访问僵木蠕样本的具体时间，以Long型时间戮表不;
[0036]分析RADIUS日志，如RADIUS日志中的请求IP信息=肉鸡IP地址，并且Long型时间戳大于开始时间，小于结束时间，那么改用户名即为肉鸡IP地址当前对应的肉鸡账户信息。
[0037]一种基于日志的僵木蠕网络分析系统，包括:
[0038]日志获取单元，用于获取DNS日志和RADIUS日志；
[0039]所述DNS日志包括:日期、时间、访问信息、请求IP信息、请求域名信息、请求域名特征、解析类型、解析IP信息、DNS服务器特征信息；
[0040]日志清洗单元，用于分别对DNS日志和RADIUS日志进行日志清洗，将统计没有影响的字段去掉，保留或修改影响统计结果的字段；
[0041]可疑域名获取单元，用于根据已知的僵木蠕网站及其肉鸡的共同行为特征，获取符合指定特征的可疑域名；
[0