[发明专利]一种僵尸网络检测方法及装置

说明书

技术领域

本发明涉及计算机网络，特别是指一种僵尸网络的检测方法和装置。 

背景技术

僵尸网络（Botnet）是指采用一种或多种传播手段，将大量主机感染僵尸程序病毒，从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。攻击者通过各种途径传播僵尸程序感染互联网上的大量主机，而被感染的主机将通过一个控制信道接收攻击者的指令，组成一个僵尸网络。 

僵尸网络是互联网上受到黑客集中控制的一群计算机，往往被黑客用来发起大规模网络攻击，如分布式拒绝服务攻击、海量垃圾邮件攻击等。是一种一对多的控制关系，正式这种拓扑关系的原因，使得攻击者能够以极低的代价高效地控制大量的资源为其服务。 

ICR（因特网中继聊天）僵尸网络的建立、控制和攻击过程如下： 

控制者建立IRC聊天频道，生成包含IRC服务地址、聊天频道、用户名、密码等信息的各个僵尸程序；控制者把所述僵尸程序植入受害者主机，从而使得受害者主机变成僵尸主机；所述僵尸主机根据所述僵尸程序中的信息，加入IRC聊天频道；控制者登陆受害者的聊天频道；僵尸主机等待攻击和控制指令；控制者在受害者的聊天频道发布一条攻击或控制指令；IRC服务器把该指令下发给聊天频道内的所有用户；各个受害者主机中植入的僵尸程序接收到命令后，解析攻击命令，发动对受害者主机的DDOS（分布式拒绝服务）攻击。 

针对僵尸网络目前的状况，其检测方法都是相互独立的，主要有三种检测手段，即报文特征分析检测、行为分析检测和基于蜜罐系统捕获。这三种方法的原理及缺点列举如下： 

报文特征分析检测室根据报文的特征来检测IRC僵尸网络。因为IRC僵尸网络控制者和僵尸主机登录于同一IRC聊天频道，IRC聊天内容能同时分发给控制者和僵尸主机，特征检测的方法因为没有继续对控制者和僵尸主机 进行进一步地行为监控，从而容易把IRC服务器、控制者和僵尸主机三者混淆。 

基于行为分析检测IRC僵尸网络是依据用户名的命名规律和IRC僵尸用户长时间静默等行为特点进行IRC僵尸网络的检测。行为分析检测本身就具有一定的误报和漏报。并且IRC僵尸网络控制者和僵尸网络具有类似的行为特征，这样就很容易混淆IRC僵尸网络的各个角色。 

基于蜜罐系统捕获僵尸网络则是依据搭建的蜜罐，被动等待僵尸网络的入侵和控制，这就存在不能对僵尸网络做出实时响应以及后续人工参与分析工作量大等缺点。 

发明内容

有鉴于此，本发明的目的在于提出一种僵尸网络的检测方法和装置，该僵尸网络的检测方法和装置能够实时地对僵尸网络做出相应，有效遏制僵尸网络发起的恶意行为。 

基于上述目的本发明提供的僵尸网络的检测方法，包括如下步骤：1）进行僵尸网络特征检测并提取僵尸网络信息；2）根据所述僵尸网络信息进行行为检测的监控并把所述僵尸网络信息存入监控表；3）定时扫描所述监控表；4）将从监控表中扫描的僵尸网络信息写入待写数据库。 

可选的，所述监控表包括控制者监控表和英特网中继聊天服务器监控表。 

可选的，步骤2）进一步包括如下步骤： 

51）获得来自特征检测消息队列的僵尸网络信息并同时进入步骤52）；52）以源IP地址和僵尸工具名作为验证码计算哈希值并同时进入步骤53）；53）判断源IP地址和所述僵尸工具是否在控制者监控表；若是，则进入步骤510）；若否，则进入步骤54；510）更新节点时间；54）判断源网络间互联协议地址和所述僵尸工具是否在英特网中继聊天服务器监控表；若是，则进入步骤55）；若否，则进入步骤511）；511）创建哈希节点，进入步骤512）；512）把目的网络间互联协议地址挂到上述哈希节点的通信对端单链表，进入步骤513）；513）英特网中继聊天服务器监控表哈希节点的个数增加，进入步骤59）；55）更新节点时间戳，即更新节点时间，并同时进入步骤56）；56）判断目的网络间互联协议地址是否在该节点的通信对端链表 中；若是，则进入步骤59）；若否，则进入步骤57）；57）创建通信对端单链表节点并同时进入步骤58）；58）英特网中继聊天服务器监控表中的哈希节点的数目增加并同时进入步骤59）；59）结束。 

可选的，步骤3）进一步包括如下步骤：