一种检测物联网僵尸网络的方法、装置和存储介质制造方法及图纸

技术编号：44500968 阅读：8 留言：0更新日期：2025-03-04 18:09

一种检测物联网僵尸网络的方法、装置和存储介质，所述方法包括：确定物联网中发起DDoS攻击的设备，得到待检测设备；获取每个待检测设备在发起DDoS攻击之前发送和接收的TCP数据包，得到采样数据；获取采样数据的至少两组特征向量；每组特征向量的源地址、目的地址、源端口和目的端口均不同，每组特征向量按照时间顺序记录各自在采样数据中对应的TCP数据包的有效载荷的长度值；计算每组特征向量与预设的基准特征向量之间的匹配度；选择匹配度指示为非正常流量的特征向量，得到第一筛选向量；对每个待确认设备执行僵尸网络的检测操作，其中待确认设备接入物联网使用的IP地址为第一筛选向量对应的源地址，能够对未知的或加密的物联网僵尸网络进行检测。

全部详细技术资料下载

【技术实现步骤摘要】

本文涉及网络安全领域，尤指一种检测物联网僵尸网络的方法、装置和存储介质。

技术介绍

1、随着5g时代的到来，各类物联网设备数量急剧增加。与此同时，自2016年mirai源代码泄露之后，针对物联网设备的僵尸网络层出不穷。物联网僵尸网络是指数以百万计的被攻击者远程控制的非合作物联网设备，其中，被感染的设备称为僵尸主机（bot）。控制者（botmaster）可以通过命令与控制（c&c, command and control，简称c2）信道对僵尸主机进行一对多的操控，操控众多的僵尸主机向指定目标发起分布式拒绝服务攻击（distributed denial of service，ddos）攻击。这种情况下，物联网设备沦为攻击者发动大型ddos攻击的帮凶，会极大消耗网络带宽，导致企业网络的瘫痪，影响企业的正常运营。

2、相关技术中，物联网的僵尸网络的检测方案包括c2通信流量特征检测、异常流量检测以及机器学习流量分析等。其中，基于c2通信流量的特征检测，需要人工维护已知的精确匹配规则库，维护成本过高，且无法识别加密流量和未知物联网僵尸网络。异常检测必须先建立准确的正常流量基线，但物联网设备高度异构，种类繁多千差万别，几乎不可能建立统一的正常流量基线，技术实现难度较高。机器学习算法依赖大量高质量数据进行训练，且训练也仍然需要提取一定数量的特征数据，而获取特征数据就需要为各类物联网设备采集大量的数据，工作量巨大。

技术实现思路

1、本申请实施例提供了一种检测物联网僵尸网络的方法、装置和存储介质。

2、一种检测物联网僵尸网络的方法，包括：

3、确定物联网中发起ddos攻击的设备，得到待检测设备；

4、获取每个待检测设备在发起ddos攻击之前发送和接收的tcp数据包，得到采样数据；

5、获取所述采样数据的至少两组特征向量；其中，每组特征向量的源地址、目的地址、源端口和目的端口均不同，其中每组特征向量按照时间顺序记录各自在所述采样数据中对应的tcp数据包的有效载荷的长度值；

6、计算每组特征向量与预设的基准特征向量之间的匹配度，其中所述匹配度用于指示特征向量对应的tcp数据包是否为正常流量；

7、选择匹配度指示为非正常流量的特征向量，得到第一筛选向量；

8、对每个待确认设备执行僵尸网络的检测操作，其中所述待确认设备接入所述物联网使用的ip地址为所述第一筛选向量对应的源地址。

9、一种检测物联网僵尸网络的装置，包括：

10、检测ddos模块，设置为确定物联网中发起ddos攻击的设备，得到待检测设备；

11、数据采集模块，设置为获取每个待检测设备在发起ddos攻击之前发送和接收的tcp数据包，得到采样数据；

12、数据筛选模块，设置为获取所述采样数据的至少两组特征向量；其中，每组特征向量的源地址、目的地址、源端口和目的端口均不同，其中每组特征向量按照时间顺序记录各自在所述采样数据中对应的tcp数据包的有效载荷的长度值；

13、计算模块，设置为计算每组特征向量与预设的基准特征向量之间的匹配度，其中所述匹配度用于指示特征向量对应的tcp数据包是否为正常流量；

14、选择模块，设置为选择匹配度指示为非正常流量的特征向量，得到第一筛选向量；

15、检测模块，设置为对每个待确认设备执行僵尸网络的检测操作，其中所述待确认设备接入所述物联网使用的ip地址为所述第一筛选向量对应的源地址。

16、一种存储介质，其特征在于，所述存储介质中存储有计算机程序，其中，所述计算机程序被设置为运行时执行上文所述的方法。

17、本申请实施例，利用记录有tcp数据包的有效载荷的长度值的特征向量进行物联网僵尸网络的检测，不依赖于已知的恶意流量特征，也不受加密流量的影响，能够对未知的物联网僵尸网络的和加密的物联网僵尸网络进行有效检测。

18、本申请的其它特征和优点将在随后的说明书中阐述，并且，部分地从说明书中变得显而易见，或者通过实施本申请而了解。本申请的其他优点可通过在说明书以及附图中所描述的方案来实现和获得。

本文档来自技高网...

【技术保护点】

1.一种检测物联网僵尸网络的方法，其特征在于，包括：

2.权利要求1所述的方法，其特征在于，所述对对每个待确认设备执行僵尸网络的检测操作，包括：

3.权利要求2所述的方法，其特征在于，所述根据每个第二筛选向量中的长度值，从所述待确认设备中确定与C2服务器进行隐秘通信的目标设备，包括：

4.权利要求3所述的方法，其特征在于，所述第一长度条件为大于或等于1且小于或等于100。

5.权利要求3所述的方法，其特征在于，所述第二长度条件为大于或等于20且小于或等于65。

6.权利要求3所述的方法，其特征在于，所述方法还包括：

7.权利要求6所述的方法，其特征在于，所述非法访问条件是根据源端口、外网设备的数量以及尝试建立TCP连接的总次数共同确定的。

8.根据权利要求1至7任一项所述的方法，其特征在于：

9.一种检测物联网僵尸网络的装置，其特征在于，包括：

10.一种存储介质，其特征在于，所述存储介质中存储有计算机程序，其中，所述计算机程序被设置为运行时执行所述权利要求1至8任一项中所述的方法。

...

【技术特征摘要】

1.一种检测物联网僵尸网络的方法，其特征在于，包括：

2.权利要求1所述的方法，其特征在于，所述对对每个待确认设备执行僵尸网络的检测操作，包括：

3.权利要求2所述的方法，其特征在于，所述根据每个第二筛选向量中的长度值，从所述待确认设备中确定与c2服务器进行隐秘通信的目标设备，包括：

4.权利要求3所述的方法，其特征在于，所述第一长度条件为大于或等于1且小于或等于100。

5.权利要求3所述的方法，其特征在于，所述第二长度条件为大于或等于20且小于或...

【专利技术属性】
技术研发人员：方太辉，范敏，陈亘，余乐临，
申请(专利权)人：北京启明星辰信息安全技术有限公司，
类型：发明
国别省市：

全部详细技术资料下载我是这个专利的主人