[发明专利]同源僵尸网络判别方法

说明书

技术领域

本发明涉及网络安全领域，特别涉及同源僵尸网络判别方法。

背景技术

僵尸网络(botnet)是指攻击者出于恶意目的，传播僵尸程序控制大量主机，并通过一对多的命令与控制信道(Command and Control，C&C)所组成的网络。僵尸网络为攻击者提供了隐匿、灵活且高效的一对多命令与控制机制，僵尸网络的控制者可以控制大量僵尸主机来实现信息窃取、分布式拒绝服务攻击和垃圾邮件发送等攻击目的。僵尸网络正步入快速发展期，对因特网安全造成了严重威胁。

僵尸网络主要分为IRC(Internet Relay chat)僵尸网络、HTTP僵尸网络和P2P僵尸网络。IRC僵尸网络是最早产生而且目前仍然大量存在的一类僵尸网络，该类僵尸网络的控制者基于标准IRC协议在IRC聊天服务器上构建命令与控制信道，并通过所述的命令与控制信道实现对大量受控主机的僵尸程序版本更新、恶意攻击等行为的控制。在图1中示出了IRC僵尸网络中的控制者、命令与控制服务器(如IRC服务器)、受控主机(bot)以及被攻击对象间的关系。HTTP僵尸网络与IRC僵尸网络的功能结构相似，所不同的是HTTP僵尸网络控制器是以WEB网站方式构建的。P2P僵尸网络是一种较新型的僵尸网络，在P2P僵尸网络中僵尸程序同时承担客户端和服务器的双重角色。

由于图1所示的IRC僵尸网络的结构特点，使得僵尸网络具有健壮性差、存在单点失效等问题，因此，网络安全管理人员可通过摧毁单个IRC服务器来切断僵尸网络控制者与bot间的联系，导致整个僵尸网络瘫痪。为了逃避网络安全人员的监管，如图2(a)所示，部署在bot上的僵尸程序使用域名而非固定的IP地址来连接IRC服务器，僵尸网络控制者使用动态域名服务将僵尸程序连接的域名映射到其控制的多台IRC服务器上，一旦正在工作的某一台IRC服务器失效，僵尸网络的受控主机会连接到其他的IRC服务器，从而保证了整个僵尸网络的继续运转。另外，在现实生活中也存在将僵尸网络的控制权转移从而换取经济利益的行为，在这一行为中也会涉及到IRC服务器的改变。以上通过主动或被动方式改变僵尸网络中的IRC服务器的行为被称为僵尸网络的迁移。在现实生活中，某些大型僵尸网络采用了分层管理模式，如图2(b)所示，多个IRC服务器控制各自不同的bot群体，而所有的IRC服务器同时由僵尸网络控制者统一控制。

从上面对僵尸网络迁移以及僵尸网络的分层管理模式的描述可以看出，现有的僵尸网络存在以下特点：IRC服务器与僵尸网络控制者之间并不一定是一一对应关系，而且IRC服务器与僵尸网络控制者的对应关系可能随时间发生转变。

现有技术中已经存在对僵尸网络进行检测的相关技术，利用这些检测技术可以得到大量关于僵尸网络的数据。为了便于网络安全管理，需要从检测到的大量僵尸网络中识别出哪些僵尸网络属于同一僵尸网络，这一识别过程通过僵尸网络相似性度量模型完成。本申请中所述的同一僵尸网络是指控制者相同的僵尸网络。

在现有技术中也存在对僵尸网络做相似性度量的方法和系统。如在参考文献1“Guofei Gu，Roberto Perdisci，Junjie Zhang，and Wenke Lee.BotMiner：Clustering Analysis of Network Traffic for Protocol-and Structure-IndependentBotnet Detection.USENIX Security，2008.139-154”中公开了一种采用聚类的数据分析方法。利用僵尸网络中IRC服务器与bot的一对多映射关系，该方法可以有效地检测IRC服务器与bot的C&C通讯，以此获得IRC服务器与bot的对应关系，并将检测到的一个IRC服务器看成一个僵尸网络。但实际上，IRC服务器与僵尸网络之间并不必然地存在一一对应关系。将一个IRC服务器看作一个僵尸网络的做法会导致分析僵尸网络情况时出现错误和偏差。在IRC僵尸网络中，bot与控制者是实体，IRC服务器只是中间桥梁，因此如果要准确地掌握僵尸网络，应当掌握的是僵尸网络控制者与bot间的对应关系。但由于在前文中所提到的僵尸网络的特点使得现有技术很难用数据分析方法来获得僵尸网络控制者与IRC服务器对应关系。总之，参考文献1所列出的方法在识别僵尸网络时由于方法本身的缺陷，很容易发生识别错误的现象。