一种僵尸网络的检测方法、装置和系统的制作方法
【技术领域】
[0001]本发明属于计算机网络安全领域,尤其涉及一种僵尸网络的检测方法、装置和系统。
【背景技术】
[0002]僵尸网络是指采用一种或者多种传播手段将大量主机感染僵尸程序,从而在控制者和被感染主机之间形成一个一对多的控制网络,其中,被感染主机称之为僵尸计算机,控制这些僵尸计算机的主机称为僵尸服务器。
[0003]随着网络带宽的增速以及计算机和网络设备的硬件性能的提升,使僵尸网络传播的速度越来越快,其活动越来越猖獗。由僵尸网络构成一个攻击平台,利用这个平台可以有效地发起各种各样的攻击行为,包括如拒绝服务攻击、发送垃圾邮件、窃取秘密、滥用资源和僵尸网络挖矿等等,可以导致整个基础信息网络或者重要应用系统瘫痪、导致大量机密或个人隐私泄漏或用来从事网络欺诈等其他违法犯罪活动,其危害性极其严重。
[0004]为有效的检测出僵尸网络,从而减少由僵尸网络带来的危害,现有技术中通常使用用户名nickname进行僵尸网络检测,但由于nickname的规律需要统计发现,可能会出现漏报或者误报的现象,其检测准确率不高。
【发明内容】
[0005]本发明实施例的目的在于提供一种僵尸网络的检测方法,以解决现有技术使用用户名nickname进行检测僵尸网络时,容易出现漏报或者误报的现象,其检测准确率不高的问题。
[0006]本发明实施例是这样实现的,一种僵尸网络的检测方法,所述方法包括:
[0007]获取在网络节点捕获的攻击行为数据;
[0008]解析所述攻击行为数据,获取所述攻击行为数据中包括的有效负载payload数据,所述有效负载payload数据为攻击行为数据中实现恶意动作的代码部分;
[0009]查找所述有效负载payload数据中包括的恶意程序下载的源地址和发送下载请求的来源IP ;
[0010]根据所述源地址和所述来源IP确定所述僵尸网络中的计算机。
[0011]本发明实施例的另一目的在于提供一种僵尸网络的检测装置,所述装置包括:
[0012]数据接收单元,用于获取在网络节点捕获的攻击行为数据;
[0013]解析获取单元,用于解析所述攻击行为数据,获取所述攻击行为数据中包括的有效负载payload数据,所述有效负载payload数据为攻击行为数据中实现恶意动作的代码部分;
[0014]查找单元,用于查找所述有效负载payload数据中包括的恶意程序下载的源地址和发送下载请求的来源IP ;
[0015]确定单元,用于根据所述源地址和所述来源IP确定所述僵尸网络中的计算机。
[0016]本发明实施例还提供了一种僵尸网络的检测系统,所述系统包括设置于被检测网络中的各个节点位置的数据捕获装置,以及与各个数据捕获装置相连的数据分析服务器,所述数据捕获装置用于获取在网络节点传送的攻击行为数据,所述数据分析服务器用于接收各个节点位置的数据捕获装置捕获的攻击行为数据,获取所述攻击行为数据中包括的有效负载payload数据,根据所述有效负载payload数据查找其中包括的恶意程序下载的源地址和发送下载请求的来源IP,根据所述源地址和所述来源IP确定所述僵尸网络中的计算机。
[0017]在本发明实施例中,通过获取在网络节点捕获的攻击行为数据,获取攻击行为数据中包括的有效负载,在所述有效负载中查找其包括的恶意程序下载的源地址和发送下载请求的IP,根据所述源地址和所述来源IP确定所述僵尸网络中的计算机。本发明根据僵尸网络在传播的行为特点,从网络节点捕获到攻击行为数据查找到有效负载payload中包括的恶意程序下载的源地址和发送下载请求的来源IP,从而有效的确定僵尸网络中的计算机,和现有技术的通过名称匹配的方式相比,本发明所述僵尸网络的检测方法能够有效的避免误报漏报现象,有效的提高检测的准确率。
【附图说明】
[0018]图1是本发明第一实施例提供的僵尸网络的检测方法的实现流程图;
[0019]图2是本发明第二实施例提供的僵尸网络的检测方法的实现流程图;
[0020]图3是本发明第三实施例提供的僵尸网络检测系统的结构示意图;
[0021]图4是本发明第三实施例提供的僵尸网络的检测系统应用于网络检测的结构示意图;
[0022]图5为本发明第四实施例提供的僵尸网络的检测装置的结构框图;
[0023]图6为本发明第五实施例提供的设备的结构示意图。
【具体实施方式】
[0024]为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
[0025]当WEB应用越来越为丰富的同时,WEB服务器以其强大的计算能力、处理性能及蕴含的较高价值逐渐成为主要攻击目标,如注入攻击、信息泄露、弱口令攻击等。其中,通过僵尸网络控制的众多计算机对服务器的攻击也是一种常见的攻击形式。
[0026]为及时发现僵尸网络以便找到受侵害的计算机,目前常用一种使用用户名nickname进行检测僵尸网络的方法,由于加入到僵尸服务器中的所谓用户的名称(nickname)是由僵尸(bot)程序生成,所以这些bot的nickname应符合一定的生成算法,带有一定的规律性,如IP地址表示法就是将被感染了 bot程序的主机的IP地址所在国的三位缩写放在开头,然后在后面加入指定长度的随机数字,如USAI 8028032,CHA | 8920340 ;系统表示法是将被感染bot程序的主机的系统作为开始的字母如xp、2000等,然后再在后面加上指定长度的随机数字,如xp I 8034,2000 I 80956)。这些命名的特征可以从得到的bot源码中发现并总结出来。这些用户的nickname的规律性和正常的ire的用户nickname的随意性是不相同的,因此通过特征字符匹配http数据特征中的如nickname可以判断网络中ire僵尸网络。但由于这种方法中的nickname的规律需要统计发现,可能会出现漏报或者误报的现象,其检测准确率不高。
[0027]为快速有效的分析和检测到僵尸网络,本发明所述僵尸网络的检测方法,包括:获取在网络节点捕获的攻击行为数据;解析所述攻击行为数据,获取所述攻击行为数据中包括的有效负载payload数据,所述有效负载payload数据为攻击行为数据中实现恶意动作的代码部分;查找所述有效负载payload数据中包括的恶意程序下载的源地址和发送下载请求的来源IP ;根据所述源地址和所述来源IP确定所述僵尸网络中的计算机。
[0028]本发明根据僵尸网络在传播的行为特点,从网络节点捕获到攻击行为数据查找到有效负载payload中包括的恶意程序下载的源地址和发送下载请求的来源IP,从而有效的确定僵尸网络中的计算机,和现有技术的通过名称匹配的方式相比,本发明所述僵尸网络的检测方法能够有效的避免误报漏报现象,有效的提高检测的准确率。
[0029]实施例一:
[0030]图1示出了本发明第一实施例提供的僵尸网络的检测方法的实现流程,详述如下:
[0031]在步骤SlOl中,获取在网络节点捕获的攻击行为数据。
[0032]具体的,获取在网络节点捕获的攻击行为数据,可以通过在网络节点设置的Web应用防火墙WAF系统,通过WAF系统捕获攻击行为数据,或者设置主动式入侵防御系统(英文简称为 IPS,英文全称为 Intrus1n Prevent1n System)。
[0033]所述入侵预防系统IPS是计算机网络的安全设备,是对防病毒软件(AntivirusPrograms)和防火墙(Packet Filter, Applicat1n Gateway)的补充。入侵预防系统 IPS是一种能够监视网络或网络设备的网络资料传输行为的计算机网络安全设备,能够即时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。
[0034]其中,所述Web应用防火墙WAF,其英文全称为:Web Applicat1n Firewall, WAF会对当前Web应用中的攻击进行防护,与传统防火墙不同,WAF工作于应用层,基于已知的攻击特