一种僵尸网络检测方法及装置制造方法及图纸

技术编号:9465232 阅读:135 留言:0更新日期:2013-12-19 02:54
本发明专利技术公开了一种僵尸网络检测方法及装置,该方法包括:根据至少一个用于表征流量数据属性的第一属性信息,将预设时长内获得的全局流量数据进行归类处理,得到至少一个业务流量数据簇;针对每个业务流量数据簇,根据与该业务流量数据簇对应的指标参数,对该业务流量数据簇执行归类划分操作处理,其中所述指标参数是僵尸网络实例比例值和/或正常网络实例比例值;根据对每个业务流量数据簇进行操作处理的结果,确定由僵尸网络通信过程产生的业务流量数据簇。采用该技术方案,较好地提高了检测僵尸网络流量数据的准确率。

【技术实现步骤摘要】
一种僵尸网络检测方法及装置
本专利技术涉及网络安全
,尤其是涉及一种僵尸网络检测方法及装置。
技术介绍
僵尸网络相对于正常网络,是指大量未经授权控制的、能够接收远程控制命令并执行相应操作的计算机程序资源所组成的网络。它是从传统恶意代码形态进化而来的新型攻击方式,为攻击者提供了隐匿、灵活且高效的一对多命令与控制(CommandandControl,C&C)机制,可以控制大量僵尸主机,实现信息窃取、分布式拒绝服务攻击和垃圾邮件发送等攻击目的,成为网络安全面临的重要威胁。根据僵尸网络的生命周期可以把僵尸网络的活动情况分为传播、感染、通信和攻击4个阶段。僵尸网络在每个阶段都有独特的活动模式,这些活动模式会在涉及的网络流量、系统日志、入侵检测系统报告等相关记录中得到体现。目前,根据僵尸网络的生命周期,在不同阶段可以采用不同的僵尸网络检测方法,具体如下述:第一:在传播阶段,由于僵尸网络主要有5种传播形式,包括攻击漏洞、电子邮件携带、恶意网站脚本、即时通信以及伪装软件。除了攻击漏洞,其他4种传播形式都必须有终端参与才能成功,存在很大的不确定性。攻击漏洞是僵尸程序能够自主完成的操作,而且通常采用非法扫描获取漏洞,这使得扫描行为成为僵尸网络传播的重要证据,但是由于这种扫描行为隐蔽且容易与其他形式的扫描相混淆,使得僵尸网络并不容易被检测出来。例如,现有技术中提出了一个能够提取僵尸网络扫描事件的通用模式,原理如下:从蜜网获取的全局流量数据包含一些带有明显尖峰的稳定背景噪声,这些明显的尖峰通常对应僵尸网络的扫描事件,而且根据全局流量数据中背景噪声的尖峰情况能够区分不同的扫描事件。利用上述原理,首先使用信号分析设备从全局流量数据中分离出扫描事件,然后使用人工分析和可视化技术依次分离出错误配置和蠕虫产生的扫描事件,最终得到对应僵尸网络的扫描事件。第二,在感染阶段,感染过程是指僵尸网络传播成功后,把僵尸程序植入被攻陷的主机,然后进行更新程序、导入恶意代码、修改Windows注册表、关闭特定进程(如防火墙、系统更新)等操作。具体地,一个典型的僵尸程序在发作时表现出3个不变的特征:A,僵尸程序的启动是自动的,不需要任何人为操作;B,僵尸程序必须和攻击者建立命令与控制信道(commandandcontrolchannel,C&Cchannel);C,僵尸程序迟早会执行本地或远程的攻击。基于上述特征,现有技术中提出了一个能够在虚拟机技术的帮助下检测上述3个特性的系统---BotTrace。主要包括以下3个阶段:首先,利用白名单Whitelist对所有进程实施过滤,监控剩余的可疑进程;然后,根据提出的命令与控制信道的事件模型,从可疑进程的出入流量中识别出新简历的信道;最后,监控应用程序接口和系统调用,进而确认僵尸程序的存在。第三,在攻击阶段,攻击是僵尸网络的最终目的,给整个网络以及用户造成了严重的危害。其中,DDoS攻击和垃圾邮件是危害最广、程度最深的。基于此,现有技术中提出了一个名为AutoRE的自动系统,能够根据统一资源定位符(uniformresourcelocator,URL)产生检测特征码识别发送垃圾邮件的僵尸网络。其中,AutoRE系统既不需要对输入进行预分类,也不需要训练数据或白名单。利用僵尸网络产生的垃圾邮件通常以一种聚合的模式发送,因此其内容具有相似性。该系统就是基于内容相似性特征,统计得出特征码,输出高质量的正则表达式,从而将僵尸网络区分出来。第四,在僵尸网络的通信阶段,僵尸网络的通信过程包括加入僵尸网络过程和控制两个流程,根据僵尸网络的工作原理,攻击者必须通过C&C信道与僵尸主机进行交互。其中,C&C信道使用的控制协议主要有因特网在线聊天协议(IRC,InternetRelayChatProtocol)、超文本传送协议(HTTP,HyperTextTransportProtocol)、域名系统(DNS,DomainNameSystem)协议和点对点(P2P,Peer-to-Peer)协议等。由于与被攻击的通信网络(包括办公场所使用的局域网)进行通信是僵尸网络活动必不可少的阶段,而且僵尸网络的所有通信数据需要经过网络传输,所以通信阶段是僵尸网络生命周期中比较薄弱的环节。但是现有技术中,还没有一种有效的方法,来实现基于僵尸网络在通信阶段的实现原理,区分通信网络中产生的全局流量数据中是否包含僵尸网络在通信过程中产生的流量数据。
技术实现思路
本专利技术实施例提供一种僵尸网络检测方法及装置,能够实现在全局流量数据中,区分僵尸网络在通信过程中产生的流量数据。一种僵尸网络检测方法,包括:根据至少一个用于表征流量数据属性的第一属性信息,将预设时长内获得的全局流量数据进行归类处理,得到至少一个业务流量数据簇;针对每个业务流量数据簇,根据与该业务流量数据簇对应的指标参数,对该业务流量数据簇执行归类划分操作处理,其中所述指标参数是僵尸网络实例比例值和/或正常网络实例比例值;根据对每个业务流量数据簇进行归类划分操作处理的结果,确定由僵尸网络通信过程产生的业务流量数据簇。一种僵尸网络检测装置,包括:归类处理单元,用于根据至少一个用于表征流量数据属性的第一属性信息,将预设时长内获得的全局流量数据进行归类处理,得到至少一个业务流量数据簇;操作处理单元,用于针对每个业务流量数据簇,根据与该业务流量数据簇对应的指标参数,对该业务流量数据簇执行归类划分操作处理,其中所述指标参数是僵尸网络实例比例值和/或正常网络实例比例值;确定单元,用于根据对每个业务流量数据簇进行操作处理的结果,确定由僵尸网络通信过程中产生的业务流量数据簇。采用上述技术方案,对于获得的全局流量数据,根据至少一个用于表征流量数据属性的第一属性信息,将预设时长内获得的全局流量数据做归类处理,得到至少一个业务流量数据簇,针对得到的每个业务流量数据簇,根据与该业务流量数据簇对应的指标参数分别进行归类划分的树操作处理,最后根据操作处理结果,确定归属于僵尸网络通信过程产生的流量数据的业务流量数据簇,通过对全局流量数据进行归类处理,再对归类处理得到的每个业务流量数据簇执行归类划分操作处理,能够实现基于僵尸网络通信阶段的相应特性,将全局流量数据中包含的僵尸网络通信过程产生的流量数据确定出来,后续在将确定出的结果上报时,误报率较低。附图说明图1为本专利技术实施例中,提出的僵尸网络检测方法流程图;图2a为本专利技术实施例中,僵尸网络业务对应的数据包长度分布比例图;图2b为本专利技术实施例中,网页浏览业务对应的数据包长度分布比例图;图2c为本专利技术实施例中,在线游戏业务对应的数据包长度分布比例图;图2d为本专利技术实施例中,P2P应用业务对应的数据包长度分布比例图;图3为本专利技术实施例中,提出的形成业务流量数据簇处理过程示意图;图4为本专利技术实施例中,提出的针对每个业务流量数据簇执行树操作处理过程示意图;图5为本专利技术实施例中,对每个业务流量数据簇进行树操作处理流程图;图6为本专利技术实施例中,提出的僵尸网络检测装置结构组成示意图。具体实施方式针对现有技术中存在的无法实现基于僵尸网络通信阶段相应特性,将通信网络产生的全局流量数据中包含的僵尸网络在通信过程中产生的流量数据区本文档来自技高网
...
一种僵尸网络检测方法及装置

【技术保护点】
一种僵尸网络检测方法,其特征在于,包括:根据至少一个用于表征流量数据属性的第一属性信息,将预设时长内获得的全局流量数据进行归类处理,得到至少一个业务流量数据簇;针对每个业务流量数据簇,根据与该业务流量数据簇对应的指标参数,对该业务流量数据簇执行归类划分操作处理,其中所述指标参数是僵尸网络实例比例值和/或正常网络实例比例值;根据对每个业务流量数据簇进行操作处理的结果,确定由僵尸网络通信过程产生的业务流量数据簇。

【技术特征摘要】
1.一种僵尸网络检测方法,其特征在于,包括:根据至少一个用于表征流量数据属性的第一属性信息,将预设时长内获得的全局流量数据进行归类处理,得到至少一个业务流量数据簇;针对每个业务流量数据簇,根据与该业务流量数据簇对应的指标参数,对该业务流量数据簇执行归类划分操作处理,其中所述指标参数是僵尸网络实例比例值和/或正常网络实例比例值;根据对每个业务流量数据簇进行操作处理的结果,确定由僵尸网络通信过程产生的业务流量数据簇;其中,针对每个业务流量数据簇,根据与该业务流量数据簇对应的指标参数执行归类划分操作处理,包括:针对每个业务流量数据簇,分别执行下述操作:将该业务流量数据簇作为根节点,按照与该根节点对应的指标参数判断是否需要创建叶子节点;如果否,针对该根节点,不创建叶子节点;如果是,针对该根节点,根据至少一个指定表征流量数据属性的第二属性信息对该根节点对应的业务流量数据簇进行归类处理,创建叶子节点,并将创建的叶子节点作为根节点,返回按照与该根节点对应的指标参数判断是否需要创建叶子节点的步骤;其中进行归类处理所使用的第二属性信息中至少有一个第二属性信息与进行归类处理所使用的第一属性信息不同,或进行归类处理所使用的第二属性信息的数量与进行归类处理所使用的第一属性信息的数量不同。2.如权利要求1所述的方法,其特征在于,在获得所述全局流量数据之后,得到至少一个业务流量数据簇之前,还包括:基于预设的过滤规则对所述全局流量数据进行预过滤处理,将所述全局流量数据中包含的噪声流量数据滤除。3.如权利要求2所述的方法,其特征在于,所述过滤规则包括下列规则中的至少一种:滤除所述全局流量数据中只包含一次握手表征未完全建立连接的流量数据;滤除终端访问预设网络时产生的流量数据;滤除由组成通信网络的终端之间交互产生的流量数据。4.如权利要求1所述的方法,其特征在于,将预设时长内获得的全局流量数据进行归类处理,得到至少一个业务流量数据簇,包括:基于聚类算法,根据第一属性信息将所述全局流量数据做归类处理,得到至少一个业务流量数据簇。5.如权利要求1所述的方法,其特征在于,所述指标参数包含僵尸网络实例比例值,采用下述方法判断该根节点是否需要创建叶子节点:若与该根节点对应的僵尸网络实例比例值大于预设的第一门限值,确定不需要创建叶子节点,反之创建叶子节点;所述指标参数包含正常网络实例比例值,采用下述方法判断该根节点是否需要创建叶子节点:若与该根节点对应的正常网络实例比例值大于预设的第二门限值,确定不需要创建叶子节点,反之创建叶子节点;所述指标参数包含正常网络实例比例值和僵尸网络实例比例值,采用下述方法判断该根节点是否需要创建叶子节点:若与该根节点对应的僵尸网络实例比例值小于正常网络实例比例值,确定不需要创建叶子节点,反之创建叶子节点。6.如权利要求1所述的方法,其特征在于,采用下述方法确定僵尸网络实例比例值:针对一个业务流量数据簇,确定该根节点中包含的表征僵尸网络流量数据的业务流量数据的第一数量和该根节点中表征全部业务流量数据的第二数量;将确定出的第一数量和第二数量的比值作为该业务流量数据簇对应的僵尸网络实例比例值。7.如权利要求6所述的方法,其特征在于,采用下述方法确定正常网络实例比例值:针对一个业务流量数据簇,根据该业务流量数据簇对应的僵尸网络实例比例值确定所述正常网络实例比例值;或针对一个业务流量数据簇,确定该业务流量数据簇中包含的表征正常网络的业务流量数据的第三数量和该根节点中表征全部业务流量数据的第四数量;将确定出的第三数量和第四数量的比值作为该业务流量数据簇对应的正常网络实例比例值...

【专利技术属性】
技术研发人员:曾彬苏欣张大方吴达志
申请(专利权)人:中国移动通信集团湖南有限公司
类型:发明
国别省市:

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1