序下载的源地址对应的计算机进行判定。
[0066]进一步的,为了避免同一计算机发送多次下载请求,在统计下载请求时还需要区分不同的计算机,从而能够得到更为有效的统计数据。
[0067]在步骤S205中,如果由不同计算机发送的相同的恶意程序下载源地址出现的次数大于预定次数,则所述恶意程序下载源地址对应的主机确定为僵尸服务器,发送对应下载请求的来源IP所对应的计算机确定为僵尸计算机。
[0068]当不同计算机发送的相同的恶意程序下载源地址出现的次数大于预定次数,表示多个不同来源的攻击请求payload中下载的恶意程序指向同一个下载源,则认为这是一个僵尸网络攻击行为。这批攻击来源,即发送对应下载请求的来源,被认定为已被攻陷的被控僵尸计算机;而下载源,即所述恶意程序下载源地址对应的主机,被判定为僵尸网络节点或僵尸服务器。
[0069]本发明实施例与实施例一相比,在判定僵尸网络的条件中增加了包括“判断由不同计算机发送的相同的恶意程序下载源地址出现的次数是否大于预定次数”的步骤,从而使得对于判定僵尸网络时能够避免因用户误触发导致的误判断的情形,进一步提高了其检测的准确性。
[0070]实施例三:
[0071]图3示出了本发明第三实施例提供的僵尸网络的检测系统结构示意图,详述如下:
[0072]本发明实施例所述的僵尸网络的检测系统,包括设置于被检测网络中的各个节点位置的数据捕获装置,以及与各个数据捕获装置相连的数据分析服务器,所述数据捕获装置用于获取在网络节点传送的攻击行为数据,所述数据分析服务器用于接收各个节点位置的数据捕获装置捕获的攻击行为数据,获取所述攻击行为数据中包括的有效负载payload数据,根据所述有效负载payload数据查找其中包括的恶意程序下载的源地址和发送下载请求的来源IP,根据所述源地址和所述来源IP确定所述僵尸网络中的计算机。
[0073]在图3中,所述网络节点可以为部分主要的核心交换机节点,或者其它重要的数据交换设备处,用于使与其相连的计算机之间数据转发或交换。
[0074]所述数据捕获装置,可以为设置于网络节点处的WAF系统,当然还可以使用其它数据过滤器进行筛选所需要的数据,图3中的WAF系统只是其中一种较好的实施方式。
[0075]所述数据分析服务器,用于连接各个数据分析装置,将所述数据分析装置得到的攻击行为数据进行解析,获取所述攻击行为数据中包括的有效负载payload数据,并查找所述有效负载payload数据中包括的恶意程序下载的源地址和发送下载请求的来源IP,从而相应的确定僵尸网络中的计算机。
[0076]其中,所述数据分析服务器还具体用于在所述有效负载payload数据中,判断由不同计算机发送的相同的恶意程序下载源地址出现的次数是否大于预定次数;如果由不同计算机发送的相同的恶意程序下载源地址出现的次数大于预定次数,则所述恶意程序下载源地址对应的主机确定为僵尸服务器,发送对应下载请求的来源IP所对应的计算机确定为僵尸计算机。
[0077]本发明实施例中所述数据分析服务器还可以包括多个分布或集成于各个网络节点位置,也可以由各个网络节点发送至同一独立的数据分析服务器。
[0078]图4为本发明第三实施例所述的僵尸网络检测系统的应用示意图中,由僵尸服务器控制多台僵尸计算机,所述僵尸计算机即图3中的攻击源I和攻击源N,通过核心交换机的路由转发,向业务机发送包括病毒的攻击行为数据,业务机被攻击后,执行相应的操作下载木马等恶意程序,使得僵尸服务器能够得以控制被攻击的业务机。本发明实施例的所述的核心交换机旁路有Web应用防火墙WAF系统,所述WAF系统捕获攻击行为数据,并将所述行为数据汇集至数据分析服务器进行数据分析。
[0079]本发明实施例所述系统与实施例一和实施例二中所述方法对应,通过从网络节点捕获到攻击行为数据查找到有效负载payload中包括的恶意程序下载的源地址和发送下载请求的来源IP,从而有效的确定僵尸网络中的计算机,和现有技术的通过名称匹配的方式相比,本发明所述僵尸网络的检测方法能够有效的避免误报漏报现象,有效的提高检测的准确率。
[0080]实施例四:
[0081]图5示出了本发明第四实施例提供的僵尸网络的检测装置的结构框图,详述如下:
[0082]本发明实施例所述的僵尸网络的检测装置包括:
[0083]数据接收单元501,用于获取在网络节点捕获的攻击行为数据;
[0084]解析获取单元502,用于解析所述攻击行为数据,获取所述攻击行为数据中包括的有效负载payload数据,所述有效负载payload数据为攻击行为数据中实现恶意动作的代码部分;
[0085]查找单元503,用于查找所述有效负载payload数据中包括的恶意程序下载的源地址和发送下载请求的来源IP ;
[0086]确定单元504,用于根据所述源地址和所述来源IP确定所述僵尸网络中的计算机。
[0087]进一步的,所述数据接收单元501具体用于接收由在网络节点捕获的攻击行为数据,所述攻击行为数据为设置于网络节点处的Web应用防火墙WAF系统或入侵预防系统IPS捕获的攻击行为数据。
[0088]进一步的,所述解析获取单元502包括:
[0089]第一比较子单元,用于将所述攻击行为数据与预先定义的恶意动作执行代码的关键词进行比较,判断在所述攻击行为数据中,是否包括所述预先定义的恶意动作执行代码的关键词;
[0090]有效负载确定子单元,用于如果包括所述预先定义的恶意动作执行代码的关键词,则确定包括所述恶意动作执行代码关键词所在的行或语句为有效负载payload数据。
[0091]更进一步的,所述确定单元504包括:
[0092]判断子单元,用于在所述有效负载payload数据中,判断由不同计算机发送的相同的恶意程序下载源地址出现的次数是否大于预定次数;
[0093]僵尸网络确定子单元,如果由不同计算机发送的相同的恶意程序下载源地址出现的次数大于预定次数,则所述恶意程序下载源地址对应的主机确定为僵尸服务器,发送对应下载请求的来源IP所对应的计算机确定为僵尸计算机。
[0094]进一步的所述查找单元503包括:
[0095]第二比较子单元,用于将有效负载payload数据与预先定义下载关键词进行比较,查找在所述有效负载payload数据中包括下载关键词;
[0096]地址确定子单元,用于根据在所述有效负载payload数据中查找的下载关键词,确定所述下载关键词对应的恶意程序下载的源地址和发送下载请求的来源IP。
[0097]本发明实施例所述僵尸网络的检测装置与实施例一至实施例三中所述的僵尸网络的检测方法对应,在此不作重复赘述。
[0098]实施例五:
[0099]图6为本发明第五实施例提供的图6为本发明第四实施例提供的终端的结构框图,本实施例所述终端,包括:存储器620、网络模块670、处理器680、以及电源690等部件。本领域技术人员可以理解,图6中示出的终端结构并不构成对终端的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
[0100]下面结合图6对终端的各个构成部件进行具体的介绍:
[0101]存储器620可用于存储软件程序以及模块,处理器680通过运行存储在存储器620的软件程序以及模块,从而执行终端的各种功能应用以及数据处理。存储器620可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序(比如声音播放功能、图像播放功能等)等;存储数据区可存储根据终端的使用所创建的数据(比如音频数据、电话本等)等。此外,存储器620可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。
[0102]网络模块670可以包括无线保真(wireless fidelity,WiFi)模块,有线网络模块或者射频模块,其中无线保真模块属于短距离无线传输技术,终端通过网络模块670可以帮助用户收发电子邮件、浏览网页和访问流式媒体等,它为用户提供了无线的宽带互联网访问。虽然图6示出了网络模块670,但是可以理解的是,其并不属于终