一种识别DDoS僵尸网络通信协议的方法及装置制造方法及图纸

本发明专利技术涉及计算机网络安全技术领域，尤其涉及一种识别DDoS僵尸网络通信协议的方法及装置。本发明专利技术公开了一种识别DDoS僵尸网络通信协议的方法，包括：获取主机中运行的僵尸程序bot与服务器之间通信的命令报文和通信报文；从获取的通信报文中确定每次攻击中每类攻击的攻击属性信息；根据所述每次攻击中每类攻击的攻击属性信息，从获取的命令报文中确定攻击命令报文；根据所述攻击命令报文和/或所述攻击属性信息，确定攻击指令报文特征信息。本发明专利技术实施例的技术复杂度低，能够实现达到对新出现的C&C协议做出及时预警的目的。

【技术实现步骤摘要】
一种识别DDoS僵尸网络通信协议的方法及装置
本专利技术涉及计算机网络安全
，尤其涉及一种识别DDoS僵尸网络通信协议的方法及装置。
技术介绍
botnet也就是我们所说的僵尸网络，是指采用一种或多种传播手段，将大量主机感染bot(僵尸程序)，从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。控制僵尸网络的攻击者通常利用其拥有的botnet以DDoS(DistributionDenialofService，分布式拒绝服务)攻击、银行卡密码窃取、垃圾邮件发送、敏感信息盗窃等攻击方式进行牟利。为了及早发现基于botnet的DDoS型攻击，常采用主动跟踪技术对基于botnet的DDoS型攻击进行研究。主动跟踪是指冒充某个DDoSbotnet的bot，主动连接到其C&C(Control&Command，控制命令)服务器，接收和解析其发出的指令但并不实际执行，而是将解析后的指令以日志形式保存和输出。如果需要对某个botnet进行跟踪，需要了解其C&C协议，并编写相应的跟踪程序，使其主动连接C&C服务器，能接收、解析和保存对方的指令。现在常用的自动解析出C&C协议的方法有两种，一种方法为基于虚拟机仿真执行来实现，这种方法缺点是技术非常复杂，而且基于指令仿真方式捕获bot行为过程中会导致bot样本的执行速度变慢，就有可能被botnet控制者检测到，因此实际的可行性比较差，导致无法对新出现的C&C协议做出及时预警。另外一种自动解析出C&C协议的方法是直接分析C&C通信报文—我们将bot与C&C服务器之间的通信称为C&C通信，运用统计和机器学习手段来自动分析出C&C协议。这种技术的缺点是需要大量的C&C通信报文来作为机器学习依据，实际中很难满足，导致无法对新出现的C&C协议做出及时预警。综上所述，现有技术方案中存在解析C&C协议的技术复杂度高、可能被botnet控制者检测到以及需要大量的C&C通信报文来作为机器学习依据等问题，从而导致无法对新出现的C&C协议做出及时预警的问题。
技术实现思路
本专利技术实施例提供一种识别DDoS僵尸网络通信协议的方法及装置，用以解决现有技术方案中不能对新出现的C&C协议做出及时预警的问题。本专利技术实施例提供的具体技术方案如下：一种识别DDoS僵尸网络通信协议的方法，包括：获取主机中运行的僵尸程序bot与服务器之间通信的命令报文和通信报文；从获取的通信报文中确定每次攻击中每类攻击的攻击属性信息；根据所述每次攻击中每类攻击的攻击属性信息，从获取的命令报文中确定攻击命令报文；根据所述攻击命令报文和所述攻击属性信息，确定攻击指令报文特征信息。较佳地，如果未发生C&C通信，且已确定C&C服务器，将所述bot与C&C服务器之间传输的报文作为命令报文，将所述bot与非C&C服务器之间传输的报文作为通信报文；如果未发生C&C通信，且未确定C&C服务器，将所述bot与当前通信的服务器作为C&C服务器，并将所述bot与所述C&C服务器之间传输的报文作为命令报文，将所述bot与非C&C服务器之间传输的报文作为通信报文；如果已经发生C&C通信，则将当前所述bot与服务器之间传输的报文中目的网际协议IP地址和目的端口和C&C通信报文中目的网际协议IP地址和目的端口相同的报文作为命令报文，将当前所述bot与服务器之间传输的报文中目的网际协议IP地址和目的端口和C&C通信报文中目的网际协议IP地址和目的端口不相同的报文作为通信报文。较佳地，根据每次攻击中每类攻击的攻击属性信息将攻击行为开始之前最后一次收到的所述命令报文确定为攻击开始指令；根据每次攻击中每类攻击的攻击属性信息将攻击行为停止之前最后一次收到的所述命令报文确定为攻击停止指令；将所述攻击开始指令和所述攻击停止指令作为攻击命令报文。较佳地，所述攻击指令报文特征信息包括下列信息中的部分或全部：报文类型字段的偏移和编码；攻击类型字段的偏移和编码；攻击目标与端口字段的偏移和编码；特定攻击类型参数的偏移和编码。较佳地，确定所有攻击开始指令报文中同一字节偏移上相同的字节内容，并将确定的相同的字节内容和对应的字节偏移划分在攻击开始集合中，以及确定所有攻击停止指令报文中同一字节偏移上相同的字节内容，并将确定的相同的字节内容和对应的字节偏移划分在攻击停止集合中；确定所述攻击开始集合和所述攻击停止集合中同一字节偏移上不同的字节内容以及所述不同的字节内容的字节数，并将确定的所述不同的字节内容、所述不同的字节内容的字节数以及所述不同的字节内容的字节偏移作为报文类型字段的偏移。较佳地，确定所有攻击开始指令报文中同一字节偏移上不同的字节内容，并将确定的不同的字节内容和对应的字节偏移划分在攻击开始补集中；将所述攻击属性信息根据攻击类型相同但攻击目标不同进行归类，确定每类攻击对应的攻击开始指令和所述攻击开始补集中同一字节偏移上相同的字节内容，从所述相同的字节内容中确定出攻击类型字段，将确定的攻击类型字段，攻击类型字段的字节偏移以及攻击类型字段的字节数作为攻击类型字段的偏移和编码。较佳地，确定攻击目标和端口在所述攻击开始指令中的字节偏移以及包含的字节数，将确定的所述攻击目标和端口的字节偏移以及包含的字节数作为攻击目标和端口字段的偏移和编码；所述攻击目标和端口包括以下部分或全部：目的网际协议地址；目的端口；源网际协议地址；源端口。本专利技术实施例提供的一种识别DDoS僵尸网络通信协议的装置，包括：网络行为捕获模块，用于获取主机中运行的bot与服务器之间通信的命令报文和通信报文，从获取的通信报文中确定每次攻击中每类攻击的攻击属性信息；关联模块，根据所述每次攻击中每类攻击的攻击属性信息，从获取的命令报文中确定攻击命令报文，根据所述攻击命令报文和所述攻击属性信息，确定攻击指令报文特征信息。较佳地，所述网络行为捕获模块具体用于：如果未发生C&C通信，且已确定C&C服务器，将所述bot与C&C服务器之间传输的报文作为命令报文，将所述bot与非C&C服务器之间传输的报文作为通信报文；如果未发生C&C通信，且未确定C&C服务器，将所述bot与当前通信的服务器作为C&C服务器，并将所述bot与所述C&C服务器之间传输的报文作为命令报文，将所述bot与非C&C服务器之间传输的报文作为通信报文；如果已经发生C&C通信，则将当前所述bot与服务器之间传输的报文中目的网际协议IP地址和目的端口和C&C通信报文中目的网际协议IP地址和目的端口相同的报文作为命令报文，将当前所述bot与服务器之间传输的报文中目的网际协议IP地址和目的端口和C&C通信报文中目的网际协议IP地址和目的端口不相同的报文作为通信报文。较佳地，所述网络行为捕获模块具体用于：根据获取的通信报文，在确定所述bot在设定的时长内发送的所述特定通信报文的数量超过阈值，则确定发生攻击，并在攻击结束后，根据攻击期间获取的特定本文档来自技高网...

【技术保护点】
一种识别DDoS僵尸网络通信协议的方法，其特征在于，该方法包括：获取主机中运行的僵尸程序bot与服务器之间通信的命令报文和通信报文；从获取的通信报文中确定每次攻击的攻击属性信息；根据所述每次攻击中每类攻击的攻击属性信息，从获取的命令报文中确定攻击命令报文；根据所述攻击命令报文和/或所述攻击属性信息，确定攻击指令报文特征信息。

【技术特征摘要】
1.一种识别DDoS僵尸网络通信协议的方法，其特征在于，该方法包括：获取主机中运行的僵尸程序bot与服务器之间通信的命令报文和通信报文；具体的，如果未发生C&C通信，且已确定C&C服务器，将所述bot与C&C服务器之间传输的报文作为命令报文，将所述bot与非C&C服务器之间传输的报文作为通信报文；从获取的通信报文中确定每次攻击的攻击属性信息；根据所述每次攻击中每类攻击的攻击属性信息，从获取的命令报文中确定攻击命令报文；根据所述攻击命令报文和/或所述攻击属性信息，确定攻击指令报文特征信息。2.如权利要求1所述的方法，其特征在于，所述方法还包括：如果未发生C&C通信，且未确定C&C服务器，将所述bot与当前通信的服务器作为C&C服务器，并将所述bot与所述C&C服务器之间传输的报文作为命令报文，将所述bot与非C&C服务器之间传输的报文作为通信报文；如果已经发生C&C通信，则将当前所述bot与服务器之间传输的报文中目的网际协议IP地址和目的端口和C&C通信报文中目的网际协议IP地址和目的端口相同的报文作为命令报文，将当前所述bot与服务器之间传输的报文中目的网际协议IP地址和目的端口和C&C通信报文中目的网际协议IP地址和目的端口不相同的报文作为通信报文。3.如权利要求1所述的方法，其特征在于，所述根据所述每次攻击中每类攻击的攻击属性信息，从获取的命令报文中确定攻击命令报文，包括：根据每次攻击中每类攻击的攻击属性信息将攻击行为开始之前最后一次收到的所述命令报文确定为攻击开始指令；根据每次攻击中每类攻击的攻击属性信息将攻击行为停止之前最后一次收到的所述命令报文确定为攻击停止指令；将所述攻击开始指令和所述攻击停止指令作为攻击命令报文。4.如权利要求3所述的方法，其特征在于，所述攻击指令报文特征信息包括下列信息中的部分或全部：报文类型字段的偏移和编码；攻击类型字段的偏移和编码；攻击目标与端口字段的偏移和编码；特定攻击类型参数的偏移和编码。5.如权利要求4所述的方法，其特征在于，所述根据所述攻击命令报文和/或所述攻击属性信息，确定攻击指令报文特征信息，包括：确定所有攻击开始指令报文中同一字节偏移上相同的字节内容，并将确定的相同的字节内容和对应的字节偏移划分在攻击开始集合中，以及确定所有攻击停止指令报文中同一字节偏移上相同的字节内容，并将确定的相同的字节内容和对应的字节偏移划分在攻击停止集合中；确定所述攻击开始集合和所述攻击停止集合中同一字节偏移上不同的字节内容以及所述不同的字节内容的字节数，并将确定的所述不同的字节内容、所述不同的字节内容的字节数以及所述不同的字节内容的字节偏移作为报文类型字段的偏移。6.如权利要求4所述的方法，其特征在于，所述根据所述攻击命令报文和/或所述攻击属性信息，确定攻击指令报文特征信息，包括：确定所有攻击开始指令报文中同一字节偏移上不同的字节内容，并将确定的不同的字节内容和对应的字节偏移划分在攻击开始补集中；将所述攻击属性信息根据攻击类型相同但攻击目标不同进行归类，确定每类攻击对应的攻击开始指令和所述攻击开始补集中同一字节偏移上相同的字节内容，从所述相同的字节内容中确定出攻击类型字段，将确定的攻击类型字段，攻击类型字段的字节偏移以及攻击类型字段的字节数作为攻击类型字段的偏移和编码。7.如权利要求4所述的方法，其特征在于，所述根据所述攻击命令报文和/或所述攻击属性信息，确定攻击指令报文特征信息，包括：确定攻击目标和端口在所述攻击开始指令中的字节偏移以及包含的字节数，将确定的所述攻击目标和端口的字节偏移以及包含的字节数作为攻击目标和端口字段的偏移和...

【专利技术属性】
技术研发人员：周大，刘亚，
申请(专利权)人：北京神州绿盟信息安全科技股份有限公司，北京神州绿盟科技有限公司，
类型：发明
国别省市：北京;11