一种僵尸网络发现技术及装置的制造方法
【专利说明】一种僵尸网络发现技术及装置
[0001]
技术领域
[0002]本发明涉及一种检测网络病毒的方法,具体来说,涉及一种僵尸网络发现技术及
目.ο
[0003]
【背景技术】
[0004]僵尸网络Botnet是指采用一种或多种传播手段,将大量主机感染bot程序(僵尸程序)病毒,从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。攻击者通过各种途径传播僵尸程序感染互联网上的大量主机,而被感染的主机将通过一个控制信道接收攻击者的指令,组成一个僵尸网络。之所以用僵尸网络这个名字,是为了更形象地让人们认识到这类危害的特点:众多的计算机在不知不觉中如同中国古老传说中的僵尸群一样被人驱赶和指挥着,成为被人利用的一种工具,然而目前并没有一种技术可以有效的监测僵尸病毒的入侵。
[0005]针对相关技术中的问题,目前尚未提出有效的解决方案。
[0006]
【发明内容】
[0007]本发明的目的是提供一种僵尸网络发现技术及装置,以克服目前现有技术存在的上述不足。
[0008]本发明的目的是通过以下技术方案来实现:
一种僵尸网络发现技术,包括如下步骤:
抓取连接端的网络流量信息,并且根据网络流量信息生成网络流量图;
通过深度解析协议解析网络流量信息并分析连接端的端口连接行为;
当连接端口的访问协议是非知名协议,则对该端口的IP地址进行分析;
根据该连接端IP地址的异常访问确定该网络的端口为僵尸网络的控制端口。
[0009]进一步的,确定连接端口的访问协议为非正常网络协议的步骤包括:
将深度解析后的网络协议和预制数据库中的网络协议进行比较,根据数据库中的黑名单标记确定该待测网络的协议为非正常网络协议。
[0010]进一步的,确定连接端IP地址的异常访问的判断方法包括如下步骤:
根据其他网络的IP地址对该连接端IP地址的访问数量确定该IP地址为异常访问端口 ;当出现大量其他网络的IP地址对该连接端的IP地址进行访问时,则确定该连接端口为僵尸网络的控制端口。
[0011]进一步的,当确定待测网络为僵尸网络后,将该网络的网络协议信息添加到预制数据库中,并且将该信息标记为黑名单。
[0012]—种僵尸网络的发现装置,包括流量抓取装置、信息解析装置、端口处理装置以及僵尸网络控制端口判断装置;其中:
流量抓取装置:用于抓取连接端的网络流量信息,并且根据网络流量信息生成网络流量图;
信息解析装置:用于通过深度解析协议解析网络流量信息并分析连接端的端口连接行为;
端口处理装置:用于当连接端口的访问协议是非知名协议,则对该端口的IP地址进行分析;
僵尸网络控制端口判断装置:用于根据该连接端IP地址的异常访问确定该网络的端口为僵尸网络的控制端口。
[0013]本发明的有益效果为:通过对恶意程序提取,进而确定网络异常协议,根据协议判断异常IP地址,并且对IP的访问量来确定待测网络的安全性,进而使得本发明具有良好的实时监测性,并且能够应用于多种场合,保证了对木马程序的正确辨识率。
[0014]
【附图说明】
[0015]为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0016]图1是根据本发明实施例的僵尸网络发现技术判断流程图。
[0017]
【具体实施方式】
[0018]下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员所获得的所有其他实施例,都属于本发明保护的范围。
[0019]如图1所示,根据本发明的实施例所述的一种僵尸网络发现技术,包括如下步骤: 抓取连接端的网络流量信息,并且根据网络流量信息生成网络流量图;
通过深度解析协议解析网络流量信息并分析连接端的端口连接行为;
当连接端口的访问协议是非知名协议,则对该端口的IP地址进行分析;
根据该连接端IP地址的异常访问确定该网络的端口为僵尸网络的控制端口。
[0020]进一步的,确定连接端口的访问协议为非正常网络协议的步骤包括:
将深度解析后的网络协议和预制数据库中的网络协议进行比较,根据数据库中的黑名单标记确定该待测网络的协议为非正常网络协议。
[0021 ]进一步的,确定连接端IP地址的异常访问的判断方法包括如下步骤:
根据其他网络的IP地址对该连接端IP地址的访问数量确定该IP地址为异常访问端口 ;当出现大量其他网络的IP地址对该连接端的IP地址进行访问时,则确定该连接端口为僵尸网络的控制端口。
[0022]进一步的,当确定待测网络为僵尸网络后,将该网络的网络协议信息添加到预制数据库中,并且将该信息标记为黑名单。
[0023]—种僵尸网络的发现装置,包括流量抓取装置、信息解析装置、端口处理装置以及僵尸网络控制端口判断装置;其中:
流量抓取装置:用于抓取连接端的网络流量信息,并且根据网络流量信息生成网络流量图;
信息解析装置:用于通过深度解析协议解析网络流量信息并分析连接端的端口连接行为;
端口处理装置:用于当连接端口的访问协议是非知名协议,则对该端口的IP地址进行分析;
僵尸网络控制端口判断装置:用于根据该连接端IP地址的异常访问确定该网络的端口为僵尸网络的控制端口。
[0024]综上所述,借助于本发明的上述技术方案,通过对恶意程序提取,进而确定网络异常协议,根据协议判断异常IP地址,并且对IP的访问量来确定待测网络的安全性,进而使得本发明具有良好的实时监测性,并且能够应用于多种场合,保证了对木马程序的正确辨识率。
[0025]以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
【主权项】
1.一种僵尸网络发现技术,其特征在于,包括如下步骤: 抓取连接端的网络流量信息,并且根据网络流量信息生成网络流量图; 通过深度解析协议解析网络流量信息并分析连接端的端口连接行为; 当连接端口的访问协议是非知名协议,则对该端口的IP地址进行分析; 根据该连接端IP地址的异常访问确定该网络的端口为僵尸网络的控制端口。2.根据权利要求1所述的僵尸网络发现技术,其特征在于,确定连接端口的访问协议为非正常网络协议的步骤包括: 将深度解析后的网络协议和预制数据库中的网络协议进行比较,根据数据库中的黑名单标记确定该待测网络的协议为非正常网络协议。3.根据权利要求1所述的僵尸网络发现技术,其特征在于,确定连接端IP地址的异常访问的判断方法包括如下步骤: 根据其他网络的IP地址对该连接端IP地址的访问数量确定该IP地址为异常访问端口 ;当出现大量其他网络的IP地址对该连接端的IP地址进行访问时,则确定该连接端口为僵尸网络的控制端口。4.根据权利要求1到3中任意一项所述的僵尸网络发现技术,其特征在于,当确定待测网络为僵尸网络后,将该网络的网络协议信息添加到预制数据库中,并且将该信息标记为黑名单。5.—种僵尸网络的发现装置,其特征在于,包括流量抓取装置、信息解析装置、端口处理装置以及僵尸网络控制端口判断装置;其中: 流量抓取装置:用于抓取连接端的网络流量信息,并且根据网络流量信息生成网络流量图; 信息解析装置:用于通过深度解析协议解析网络流量信息并分析连接端的端口连接行为; 端口处理装置:用于当连接端口的访问协议是非知名协议,则对该端口的IP地址进行分析; 僵尸网络控制端口判断装置:用于根据该连接端IP地址的异常访问确定该网络的端口为僵尸网络的控制端口。
【专利摘要】本发明公开了一种僵尸网络发现技术,包括如下步骤:抓取连接端的网络流量信息,并且根据网络流量信息生成网络流量图;通过深度解析协议解析网络流量信息并分析连接端的端口连接行为;当连接端口的访问协议是非知名协议,则对该端口的IP地址进行分析;根据该连接端IP地址的异常访问确定该网络的端口为僵尸网络的控制端口。本发明的有益效果为:通过对恶意程序提取,进而确定网络异常协议,根据协议判断异常IP地址,并且对IP的访问量来确定待测网络的安全性,进而使得本发明具有良好的实时监测性,并且能够应用于多种场合,保证了对木马程序的正确辨识率。
【IPC分类】H04L29/06
【公开号】CN105491032
【申请号】CN201510856975
【发明人】储来斌
【申请人】睿峰网云(北京)科技股份有限公司
【公开日】2016年4月13日
【申请日】2015年11月30日