追溯僵尸网络的方法和系统技术方案

本发明专利技术公开一种追溯僵尸网络的方法及系统，该方法包括：流量采集子系统不断采集网络上的流量数据信息，并将流量数据信息发送给流量信息数据库进行保存；流量分析子系统对网络流量进行监控；ＤＮＳ关联分析子系统从僵尸网络数据库中提取出僵尸网络的特征，使用僵尸网络的特征在ＤＮＳ访问数据库中进行搜索，寻找是否有访问僵尸网络的命令和控制服务器Ｃ＆Ｃ?Ｓｅｒｖｅｒ域名的访问行为；如果发现有访问发生，ＤＮＳ关联分析子系统记录访问Ｃ＆Ｃ?Ｓｅｒｖｅｒ域名的每一个ＩＰ地址。本发明专利技术供的追溯僵尸网络的方法及系统，通过对网络流量特征和ＤＮＳ访问请求进行分析、验证，从而发现僵尸网络并找出其控制的所有僵尸主机，对相应的服务器、僵尸主机采取相应拒绝服务、关闭服务器等的防范措施，进一步保证了网络安全。

【技术实现步骤摘要】

本专利技术涉及通信网络安全领域，尤其涉及一种追溯僵尸网络的方法和系统。
技术介绍
目前，发现僵尸网络的技术主要包括：入侵检测系统(IDS，Intrusion Detection System)、蜜罐技术和流量分析。其中，IDS依照一定的安全策略，对网络、系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或者攻击结果，以保证网络系统资源的机密性、完整性和可用性。IDS适合局域网出口，只能找到已被发现的僵尸网络。蜜罐技术类似情报收集系统，作为故意让人攻击的目标，引诱黑客前来攻击。一旦攻击者入侵后，就可以知晓其如何实施并得逞的，从而随时了解黑客发动的最新的攻击和漏洞。蜜罐还可以通过窃听黑客之间的联系，收集黑客所用的种种工具，并且掌握他们的社交网络。但是蜜罐技术需要大量部署且容易被黑客当作攻击跳板。流量分析可以找出部分的僵尸主机。这些技术只能在网络局部进行僵尸主机和僵尸网络的分析，很难对整个互联网的僵尸主机和僵尸网络进行定位，都不能找出特定僵尸网络的所有的僵尸主机；更不能对僵尸网络进行抑制。综上所述，如何发现、追溯僵尸网络并找出其控制的所有僵尸主机成为本领域亟待解决的技术问题。
技术实现思路
本专利技术要解决的一个技术问题是提供一种追溯僵尸网络的方法和系统，通过对网络流量特征和DNS(域名系统，Domain Name System)访问请求进行分析，发现僵尸网络并找出其控制的所有僵尸主机。本专利技术的一个方面提供了一种追溯僵尸网络的方法，该方法包括：流量采集子系统不断采集网络上的流量数据信息，并将流量数据信息发送给流量信息数据库进行保存；流量分析子系统对网络流量进行监控；如果网络情况正常，流量分析子系统从僵尸网络数据库中提取出僵尸网络的特征；根据僵尸网络的特征对从流量信息数据库中读取的流量数据信息进行分析，找出可疑的网络流量信息；并将核实确认的僵尸网络记录到僵尸网络数据库中；DNS关联分析子系统从僵尸网络数据库中提取出僵尸网络的特征，使用僵尸网络的特征在DNS访问数据库中进行搜索，寻找是否有访问僵尸网络的命令和控制服务器C&C Server域名的访问行为；如果发现有访问发生，DNS关联分析子系统记录访问C&CServer域名的每一个IP地址。本专利技术提供的追溯僵尸网络的方法的一个实施例中，流量分析子系统对网络流量进行监控的步骤还包括：如果网络情况异常，流量分析子系统分析是否发生了大规模拒绝服务攻击，攻击的流量有多大；如果确认发生大规模拒绝服务攻击，流量分析子系统获取攻击源头的IP地址，并将获取的多个攻击源头IP地址发送给DNS关联分析子系统；DNS关联分析子系统找出攻击源头共同访问过的域名，检验所找出的域名，并验证是否是真正的C&C Server；如果C&C Server验证无误，则关闭C&C Server以终止大规模拒绝服务攻击。-->本专利技术提供的追溯僵尸网络的方法的一个实施例中，该方法还包括：在步骤“流量采集子系统不断采集网络上的流量数据信息，并将流量数据信息存储在流量信息数据库中”之后，流量分析子系统对流量采集子系统采集的正常流量进行分析，并建立正常流量模型。本专利技术提供的追溯僵尸网络的方法的一个实施例中，该方法还包括：僵尸网络数据库定期更新全球已发现的僵尸网络信息。本专利技术提供的追溯僵尸网络的方法的一个实施例中，该方法还包括：在步骤“如果发现有访问发生，DNS关联分析子系统记录访问C&C Server域名的每一个IP地址”之后，DNS关联分析子系统根据IP地址的数量对于僵尸网络进行排序。本专利技术提供的追溯僵尸网络的方法的一个实施例中，僵尸网络的特征包括：僵尸网络的名称、IP地址、端口号、C&C Server域名中的至少一种。本专利技术的另一个方面提供了一种追溯僵尸网络的系统，该系统包括：流量采集子系统，用于不断采集网络上的流量数据信息，并将流量数据信息发送给流量信息数据库；数据库子系统，用于接收并存储流量采集子系统发送的流量数据信息；存储僵尸网络的特征，并在接收到流量分析子系统和DNS关联分析子系统的查询请求后，返回包含僵尸网络的特征的查询结果；以及记录DNS访问请求的详细信息；核心分析子系统，用于对网络流量进行监控；在网络情况正常时，从僵尸网络数据库中提取出僵尸网络的特征；根据僵尸网络的特征对从流量信息数据库中读取的流量数据信息进行分析，找出可疑的网络流量信息；并将核实确认的僵尸网络记录到僵尸网络数据库中；以及使用僵尸网络的特征在DNS访问数据库中进行搜索，寻找是否有访问僵尸网络的命令和控制服务器C&C Server域名的访问行为；如果发现有访问发生，DNS关联分析子系统记录访问C&C Server域名的每一个IP地址。本专利技术提供的追溯僵尸网络的系统的一个实施例中，该系统还包括：DNS信息采集子系统，用于获取DNS访问信息，并将DNS访问信息存储于DNS访问数据库中。本专利技术提供的追溯僵尸网络的系统的一个实施例中，核心分析子系统进一步包括：流量分析子系统，用于对网络流量进行监控；在网络情况正常时，从僵尸网络数据库中提取出僵尸网络的特征；根据僵尸网络的特征对从流量信息数据库中读取的流量数据信息进行分析，找出可疑的网络流量信息；并将核实确认的僵尸网络记录到僵尸网络数据库中；DNS关联分析子系统，用于在网络情况正常时，从僵尸网络数据库中提取出僵尸网络的特征，使用僵尸网络的特征在DNS访问数据库中进行搜索，寻找是否有访问僵尸网络的命令和控制服务器C&C Server域名的访问行为；如果发现有访问发生，DNS关联分析子系统记录访问C&C Server域名的每一个IP地址。本专利技术提供的追溯僵尸网络的系统的一个实施例中，流量分析子系统还用于：在对网络流量进行监控时，如果网络情况异常，分析是否发生了大规模拒绝服务攻击，攻击的流量有多大；如果确认发生大规模拒绝服务攻击，则获取攻击源头的IP地址，并将获取的多个攻击源头IP地址发送给DNS关联分析子系统；DNS关联分析子系统还用于，在网络情况异常时，接收到流量分析子系统发送的多个攻击源头IP地址后，找出攻击源头共同访问过的域名，检验所找出的域名，并验证是否是真正的C&C Server；如果C&C Server验证无误，则关闭C&CServer以终止大规模拒绝服务攻击。本专利技术提供的追溯僵尸网络的系统的一个实施例中，流量分析子系统还用于对流-->量采集子系统采集的正常流量进行分析，并建立正常流量模型。本专利技术提供的追溯僵尸网络的系统的一个实施例中，数据库子系统进一步包括：流量信息数据库，用于接收并存储流量采集子系统发送的流量数据信息；僵尸网络数据库，用于存储僵尸网络的特征，并在接收到流量分析子系统和DNS关联分析子系统的查询请求后，返回包含僵尸网络的特征的查询结果；以及DNS访问数据库，用于记录DNS访问请求的详细信息。本专利技术提供的追溯僵尸网络的系统的一个实施例中，僵尸网络数据库定期更新全球已发现的僵尸网络信息。本专利技术提供的追溯僵尸网络的系统的一个实施例中，DNS关联分析子系统还用于根据IP地址的数量对于僵尸网络进行排序。本专利技术提供的追溯僵尸网络的系统的一个实施例中，僵尸网本文档来自技高网...

【技术保护点】
一种追溯僵尸网络的方法，其特征在于，所述方法包括：流量采集子系统不断采集网络上的流量数据信息，并将所述流量数据信息发送给流量信息数据库进行保存；流量分析子系统对网络流量进行监控；如果网络情况正常，所述流量分析子系统从僵尸网络数据库中提取出僵尸网络的特征；根据所述僵尸网络的特征对从所述流量信息数据库中读取的所述流量数据信息进行分析，找出可疑的网络流量信息；并将核实确认的僵尸网络记录到所述僵尸网络数据库中；ＤＮＳ关联分析子系统从所述僵尸网络数据库中提取出所述僵尸网络的特征，使用所述僵尸网络的特征在ＤＮＳ访问数据库中进行搜索，寻找是否有访问所述僵尸网络的命令和控制服务器Ｃ＆ＣＳｅｒｖｅｒ域名的访问行为；如果发现有访问发生，所述ＤＮＳ关联分析子系统记录访问所述Ｃ＆ＣＳｅｒｖｅｒ域名的每一个ＩＰ地址。

【技术特征摘要】
1.一种追溯僵尸网络的方法，其特征在于，所述方法包括：流量采集子系统不断采集网络上的流量数据信息，并将所述流量数据信息发送给流量信息数据库进行保存；流量分析子系统对网络流量进行监控；如果网络情况正常，所述流量分析子系统从僵尸网络数据库中提取出僵尸网络的特征；根据所述僵尸网络的特征对从所述流量信息数据库中读取的所述流量数据信息进行分析，找出可疑的网络流量信息；并将核实确认的僵尸网络记录到所述僵尸网络数据库中；DNS关联分析子系统从所述僵尸网络数据库中提取出所述僵尸网络的特征，使用所述僵尸网络的特征在DNS访问数据库中进行搜索，寻找是否有访问所述僵尸网络的命令和控制服务器C&C Server域名的访问行为；如果发现有访问发生，所述DNS关联分析子系统记录访问所述C&C Server域名的每一个IP地址。2.根据权利要求1所述的方法，其特征在于，所述流量分析子系统对网络流量进行监控的步骤还包括：如果所述网络情况异常，所述流量分析子系统分析是否发生了大规模拒绝服务攻击，攻击的流量有多大；如果确认发生大规模拒绝服务攻击，所述流量分析子系统获取攻击源头的IP地址，并将获取的多个攻击源头IP地址发送给所述DNS关联分析子系统；所述DNS关联分析子系统找出所述攻击源头共同访问过的域名，检验所找出的域名，并验证是否是真正的C&C Server；如果所述C&C Server验证无误，则关闭所述C&C Server以终止大规模拒绝服务攻击。3.根据权利要求1所述的方法，其特征在于，所述方法还包括：在步骤“流量采集子系统不断采集网络上的流量数据信息，并将所述流量数据信息存储在流量信息数据库中”之后，所述流量分析子系统对所述流量采集子系统采集的正常流量进行分析，并建立正常流量模型。4.根据权利要求1所述的方法，其特征在于，所述方法还包括：所述僵尸网络数据库定期更新全球已发现的僵尸网络信息。5.根据权利要求1所述的方法，其特征在于，所述方法还包括：在步骤“如果发现有访问发生，所述DNS关联分析子系统记录访问所述C&C Server域名的每一个IP地址”之后，所述DNS关联分析子系统根据所述IP地址的数量对于所述僵尸网络进行排序。6.根据权利要求1-5中任意一项所述的方法，其特征在于，所述僵尸网络的特征包括：僵尸网络的名称、IP地址、端口号、C&CServer域名中的至少一种。7.一种追溯僵尸网络的系统，其特征在于，所述系统包括：流量采集子系统，用于不断采集网络上的流量数据信息，并将所述流量数据信息发送给流量信息数据库；数据库子系统，用于接收并存储所述流量采集子系统发送的所述流量数据信息；存储僵尸网络的特征，并在接收到流量分析子系统和DNS关联分析子系统的查询请求后，返回包含僵尸网络的特征的查询结果；以及记录DNS访问请求的详细信息；核心分析子系统，用于对网络流量进行监控；在网络情况正常时，从所述僵尸网络数据库中提取出僵尸网络的特征；根据所述僵尸网络的特征对从所述流量信息数据库中读取的所述流量数据信息进行分析，找出可疑的网络流量信息；并将核实确认的僵尸网络记录到所述僵尸网络数据库中；以及使用...

【专利技术属性】
技术研发人员：余晓光，沈军，金华敏，
申请(专利权)人：中国电信股份有限公司，
类型：发明
国别省市：11[中国|北京]