[发明专利]一种垃圾僵尸检测方法及系统

说明书

技术领域

本发明涉及计算机网络安全领域的垃圾邮件过滤技术，尤其涉及一种垃圾僵尸检测方法及系统。

背景技术

随着互联网的普及，垃圾邮件也迅速泛滥，垃圾邮件携带着大量广告、不法宣传等垃圾信息，给正常使用电子邮件的广大用户带来很多不便。为了解决这一问题，各种垃圾邮件过滤技术应运而生，试图控制垃圾邮件的蔓延。

近年来，反垃圾邮件技术发展迅速，但垃圾邮件的发送技术也越来越高超。越来越多的垃圾邮件制造者开始利用代理或者垃圾僵尸(也称为垃圾邮件僵尸)代发邮件，这样就隐藏了真正的垃圾邮件发送源头，这为垃圾邮件的检测带来了新的挑战。进一步研究表明，受经济利益的驱使，更多的垃圾邮件制造者还会雇佣大量被感染的网络主机来发送垃圾邮件，且这一类被感染的网络主机目前已成为发送垃圾邮件的主要源头。

实际应用中，所谓垃圾僵尸一般都是用户终端，是普通的用户主机，尤其是那些采用微软Windows操作系统的主机，更容易受到邮件僵尸病毒的侵蚀。一旦被邮件僵尸病毒感染，成为垃圾僵尸，被感染的主机就会在其真正主人不知道的情况下发送大量垃圾邮件。与传统方法相比，这种发送方式更为隐蔽，因而更不易被察觉。

通常，垃圾僵尸会以集中控制的方式分散在整个网络中，具有很强的隐蔽性，故难以被检测。由于垃圾僵尸的数量太多，如果垃圾僵尸被利用来发动网络攻击，对于网络基础设备的稳定性而言将是一场灾难。另外，垃圾僵尸还可能被用于盗窃用户的财产和机密信息、侵犯用户的隐私、以及被作为隐藏踪迹的跳板和发送垃圾邮件的平台；这些都将对互联网空间和虚拟社区产生破坏性影响。随着垃圾僵尸的泛滥，垃圾邮件利用垃圾僵尸大量传播，其数量每年正以惊人的速度递增。

检测网络中的垃圾僵尸，做到真正从源头去阻断垃圾邮件的发送，而不是被动地过滤邮件，这将对垃圾邮件的过滤将起到极大地推动作用，因而是一项非常有意义的工作。然而，目前这方面的产品较少，其性能也难以满足现实应用的需求。

发明内容

有鉴于此，本发明的主要目的在于提供一种垃圾僵尸检测方法及系统，能够主动、有效地从源头阻断垃圾邮件的发送。

为达到上述目的，本发明的技术方案是这样实现的：

本发明提供了一种垃圾僵尸检测方法，所述方法包括：对网络中被监测主机发送的每封邮件评分，根据各邮件得分与预设分类阈值的比较判定邮件为正常邮件或垃圾邮件；根据对被监测主机所发送各邮件的判定结果，确定被监测主机是否是垃圾僵尸。

上述方案中，所述对网络中被监测主机发送的每封邮件评分之前，从流经交换机的网络流量中提取出被监测主机发送的邮件流量。

上述方案中，所述确定被监测主机是否是垃圾僵尸之后，生成垃圾僵尸黑白名单，实时更新垃圾僵尸黑白名单。

上述方案中，所述判定邮件为正常邮件或垃圾邮件采用的模型是逻辑回归模型或支持向量机SVM模型；所述判定邮件为正常邮件或垃圾邮件包括：对知识库中的正常邮件和垃圾邮件的特征样本分别进行训练，得到正常邮件和垃圾邮件的训练器；根据得到的正常邮件和垃圾邮件训练器形成对应的正常邮件检测器和垃圾邮件检测器；将正常邮件检测器和垃圾邮件检测器串联，对正常邮件和垃圾邮件进行分类。

上述方案中，所述根据对被监测主机所发送各邮件的判定结果，确定被监测主机是否是垃圾僵尸，包括：将邮件得分进行归一化；根据被监测主机发送的任意一封邮件，单次判断被监测主机是否是垃圾僵尸；在对单次判断进行累积的基础上，总判决被监测主机是否是垃圾僵尸。

上述方案中，所述单次判断被监测主机是否是垃圾僵尸包括：建立正常主机H₀和垃圾僵尸H₁发送的邮件样本的概率模型；根据计算统计量Λ_i；其中，1n表示自然对数，X_i表示主机m发送的第i封邮件的归一化得分，P(X_i|H₀)表示正常主机H₀发送邮件得分为X_i的概率，P(X_i|H_i)表示垃圾僵尸H_i发送邮件得分为X_i的概率；根据计算得到的统计量判断主机是正常主机H₀还是垃圾僵尸H₁。

上述方案中，所述概率模型采用伯努利模型或者高斯模型。