[发明专利]一种僵尸网络的发现方法及其系统

说明书

技术领域

本发明涉及信心安全领域，具体的是一种僵尸网络的发现方法与系统。

背景技术

与传统恶意代码（如计算机病毒、蠕虫和木马）相比，僵尸网络采用多种传播手段，将大量主机感染僵尸程序，从而在控制者和被感染主机之间所形成一个一对多控制的网络。这种一对多的控制关系，使得黑客能够以极其低廉的代价控制大量的资源为其服务，成为黑客发动大规模攻击的一个理想攻击平台。黑客利用其控制的僵尸网络可以发起大规模的网络攻击，如发动分布式拒绝服务攻击(DDoS)、发送海量垃圾邮件等，同时随意获取黑客控制的主机的敏感信息，如银行账户密码等，严重威胁个人、企事业单位信息系统的安全。

针对僵尸网络对信息系统造成的严重破坏性，传统计算机病毒检测技术主要针对主机进行恶意代码检测，仅能查杀部分僵尸程序，无法获取整个僵尸程序的全部信息。

中国专利公开号为CN101404658的申请案，该发明的原理为：首先从网络数据包中提取出IRC协议数据；然后将协议数据与数据特征库中的特征码进行匹配，获取僵尸网络数据包；最后在确定同一僵尸网络中的控制服务器、僵尸计算机、僵尸网络控制计算机。不足之入在于：仅能检测基于IRC协议的僵尸网络，通用性差；基于特征码技术检测，不能检测已知僵尸网络的变种或新的僵尸网络，适应性差。

发明内容

本发明的目的是针对现有技术检测方法中无法获取整个僵尸网络信息，仅能检测一种僵尸网络和无法检测新的未知僵尸网络的缺陷，提出一种僵尸网络的发现方法及其系统，该方法和系统基于僵尸网络特征码和僵尸网络行为特征进行检测，可有效检测已知和新的未知僵尸网络，并能获取整个僵尸网络信息，从而有利于制定针对僵尸网络的整体防御策略。

为了实现本发明的目的，采用了以下的技术方案：

一种僵尸网络的发现方法，包括捕获网络数据包的步骤，还包括：识别出采用僵尸网络承载协议通信的网络数据包的步骤；对采用僵尸网络承载协议通信的网络数据包与僵尸网络特征码库中僵尸网络特征码进行特征匹配的步骤；对未成功匹配的网络数据包进行僵尸网络行为特征检测的步骤；根据成功匹配僵尸网络特征码库中僵尸网络特征码和符合僵尸网络行为特征的网络数据包计算僵尸网络规模和生成僵尸网络拓扑结构的步骤；对符合网络行为特征的网络数据包进行僵尸网络特征码提取并将提取的僵尸网络特征码加入僵尸网络特征库的步骤。所述包括但不限于IRC协议、P2P协议和HTTP协议

具体的，还包括根据成功匹配僵尸网络特征码库中僵尸网络特征码和符合僵尸网络行为特征的网络数据包识别僵尸机的步骤；对识别为僵尸机的计算机进行分析汇总并生成僵尸网络统计报告；根据僵尸网络报告对僵尸机进行告警或监视的步骤。

上述的警告是对僵尸网络统计报告中的每一台计算机进行告警，并且在监控计算机上以高亮度并闪烁的方式进行告警显示；所述监视是对确定为僵尸机的计算机进行密切监视，监视其恶意僵尸网络活动，对正在进行恶意僵尸网络活动采取包括但不限于切断网络连接、收集网络数据包进行取证的防御措施。

具体的，前述僵尸网络行为特征检测的步骤包括：设定一个检测阈值S；设定每一个僵尸网络行为的特征权重；如果计算机某个网络数据符合僵尸网络行为特征，则将该僵尸网络行为特征置为1，并乘以该僵尸网络行为特征对应的权重；计算计算机的所有符合僵尸网络行为特征之和T，如果T大于或等于S，则计算机为僵尸机，否则计算机不是僵尸机。

前述计算僵尸网络规模的方法：将成功匹配僵尸网络特征码的网络数据包IP地址数加上符合僵尸网络行为特征的网络数据包IP地址数即为网络中僵尸网络的规模。

前述僵尸网络行为包括但不限于：命令与控制通道通信、发送垃圾邮件、漏洞扫描、发动拒绝式服务攻击。