[发明专利]一种基于僵尸程序传播行为的僵尸网络预防方法

说明书

技术领域

本发明涉及网络安全技术领域，具体是一种基于僵尸程序传播行为的僵尸网络预防方法。

背景技术

僵尸网络是可被攻击者通过命令与控制信道远程控制的可协同的计算机群，依据僵尸网络的工作机制，僵尸网络的活动主要分为传播、攻击、命令与控制这三个阶段。利用僵尸网络，攻击者可以发起分布式拒绝服务攻击、在线身份窃取、垃圾邮件、木马和间谍软件批量分发等网络攻击。作为攻击者手中最有效的通用攻击平台，各种僵尸网络的数量呈逐年指数级增长，各种攻击活动也越来越频繁，已经成为目前互联网络上最为严重的安全威胁之一。

目前，僵尸网络的检测、测量和对抗等防御技术都是事后响应技术，在攻击被检测到之后才能做出响应，但此时已为时过晚，可能已经造成严重的损失，缺乏主动性和对攻击的预测能力。此外，随着电子邮件网络、P2P内容共享网络、即时聊天网络和在线社交网站等社交网络的广泛使用, 出现一种基于社交网络传播与控制的僵尸网络。这类僵尸网络不仅能够通过各种方式诱惑用户点击进行传播，更具有欺骗性和隐蔽性；而且能基于社交网络搭建控制能力更强、隐蔽性更好的命令与控制信道，给僵尸网络的防御带来了很大的难度。

申请号为201310011764.6的专利公开了一种面向社交网络的恶意代码传播预测方法及系统，主要方案可概括为：（1）利用爬虫程序采集真实社交网络数据信息，并基于统计学原理进行处理；（2）提取数据信息统计特征，计算对基于社交网络传播的恶意代码传播行为进行建模所需的相关特征值；（3）将相关特征值输入模拟仿真平台，基于随机过程对面向社交网络传播的恶意代码传播行为进行建模；（4）根据模型输出数据，分析和预测面向社交网络传播的恶意代码的传播态势，并进行可视化展示。该方法能通过对恶意代码传播环境和过程的模拟仿真预测恶意代码的传播态势，但是该方法仅仅是对传播态势的预测，没有分析网络中存在的安全隐患，无法给出针对性的防御措施和加固方案。此外，该方法基于随机过程模拟恶意代码的传播过程，无法刻画恶意代码攻防过程中攻击者所选择的传播方式（策略）的影响。

申请号为201210499783.3的专利公开了一种基于社交网络的僵尸网络检测及对抗方法，主要方案可概括为：（1）在网络中设置蜜罐和/或蜜网，捕获僵尸程序；（2）分析捕获的僵尸程序，判断是否为基于社交网络控制的僵尸网络；（3）对基于社交网络控制的僵尸网络，采集该僵尸网络的通信数据，并依据采集的数据提取僵尸网络的通信特征；（4）进一步地，依据通信特征挖掘该僵尸网络的所有成员；（5）对检测到的僵尸网络，借助结点清除、网络抑制、网络劫持等对抗技术销毁僵尸网络。该方法首先要利用蜜罐和蜜网捕获僵尸程序，然后要挖掘出全部僵尸网络成员，之后才能给出对抗措施。但是，基于蜜罐或蜜网的捕获技术是守株待兔式的检测技术，通常只有在僵尸网络的入侵或攻击活动大规模发生时才可能检测到。因此，该方案对僵尸网络的响应严重滞后，没有事先评估僵尸网络入侵或攻击的危害性，进而也无法给出有效的预防措施，缺乏主动性和对攻击的预测能力。

发明内容

本发明针对基于社交网络的僵尸网络预防问题，通过建立耦合用户社交网络访问模型和可疑链接点击模型的僵尸网络传播防御博弈模型，评价目标网络中容易被僵尸程序入侵或攻击的途径和需要重点监控的用户，为目标网络预防僵尸程序的传播和攻击提供预防措施，从而提高网络安全性能。

本发明提供的技术方案是：一种基于僵尸程序传播行为的僵尸网络预防方法，包括：

建立用户社交网络访问模型和可疑链接点击模型；

建立僵尸网络传播防御博弈模型；

建立目标网络用户社交网络结构模型；

在此基础上，将用户社交网络访问模型和可疑链接点击模型耦合到博弈模型中，给出耦合模型的仿真系统，并基于建立的目标网络用户社交网络结构模型实现仿真系统，进而为目标网络提供防御措施。

进一步地，所述的建立用户社交网络访问模型和可疑链接点击模型包括：

建立用户社交网络访问模型和用户可疑链接点击模型；

从目标网络服务器上收集用户访问网络的历史数据；

从上述数据中挖掘出用户访问社交网络的时间序列；

基于用户社交网络访问时间序列，利用数学方法确定用户社交网络访问模型和用户可疑链接点击模型中的参数。

进一步地，所述的建立僵尸网络传播防御博弈模型，基于离散Markov博弈模型建立，包括以下部分：

状态空间                                                ；

博弈参与者；