[发明专利]一种基于网关与本地的Botnet检测方法及系统

说明书

技术领域

本发明涉及信息安全技术领域，尤其涉及一种基于网关与本地的Botnet检测方法及系统。

背景技术

随着软硬件的快速更新换代及互联网的普及，恶意代码也相应发生着演变，无论从数量与种类上都呈现出几何级数的增长趋势。在恶意代码种类中有一大类为Botnet，也就是僵尸网络。Botnet是指采用多种传播手段，将大量主机感染bot程序，从而在控制者和被感染主机之间形成可以一对多控制的网络；其无论是针对用户机的控制性，还是危害性上，都排在恶意代码的前列。

自1993年以来，在IRC聊天网络中出现了第一个Bot工具——Eggdrop，后陆续出现了TFN、TFN2K、Trinoo、GTBot、Sdbot、Agobot、Gaobot、RBot、Spybot、Phatbot等各类Botnet恶意代码。其传播方式有主动攻击漏洞、邮件病毒、即时通信软件、恶意网站脚本、特洛伊木马等。Botnet构成了一个攻击平台，利用这个平台可以有效地发起各种各样的攻击行为，例如同时对某目标网站进行DDos攻击导致整个信息网络或者重要应用系统瘫痪，海量发送垃圾邮件、大量机密或个人隐私泄漏、滥用资源、从事网络欺诈等其他违法犯罪活动等，而正是这种一对多的控制关系，使得攻击者能够以极低的代价高效地控制大量的资源为其服务。随着将来出现各种新的攻击类型，Botnet还可能被用来发起新的未知攻击。

然而，发现一个僵尸网络是非常困难的，因为黑客通常远程、隐蔽地控制分散在网络上的僵尸主机。以Agobot为例，Agobot最新代码清晰，以模块化组合，添加新攻击功能简单，并提供文件和进程隐藏的Rootkit 能力，且Agobot包含了监测调试器(Softice和O11Dbg)和虚拟机（VMware 和Virtual PC)的功能。

据不完全统计，每天平均新增数十万台任人遥控的僵尸电脑，任凭远端主机指挥，进行各种不法活动。针对Botnet目前比较流行的反制技术有：特征码查杀、蜜罐技术、网络流量技术、协议识别技术等。特征码查杀的规则添加是固定的；而现今恶意代码的更新技术发展迅速，层出不穷的新技术与新方法不断被使用以抵抗常规特征码查杀技术。蜜罐技术限制条件很多，机器配备、环境搭建、真实环境模拟等都会影响针对Botnet样本的捕获；目前反蜜罐技术也十分成熟。网络流量技术在网络规则与流量控制上存在滞后性，往往进行疫情事后处置。协议识别更是难以区分哪些是恶意代码利用哪些是正常行为。

发明内容

本发明提供了一种基于网关与本地的Botnet检测方法的实现方法，解决了目前在恶意代码特别是Botnet上的检测方法上的不足与滞后性，特别是在其针对未知可疑Botnet的检测上，能够准确定位网络行为异常、并进行多种模型组合判断与加权识别，最大程序上遏制了Botnet类可疑恶意代码的应用与传播等。

本发明主要是通过监控主机流量，判断其网络行为是否可疑；监控网关流量，并通过判定其网络数据包内容相似度和网络数据包时间相似度，判断其是否具有Botnet特征；并组合判断是否存在Botnet。

本发明采用如下方法来实现：一种基于网关与本地的Botnet检测方法，包括：

分别进行主机流量监控和网关流量监控，实时抓取网络数据包；

解析网关流量监控抓取的网络数据包，获取网络数据包内容信息，所述内容信息包括：源IP地址、目的IP地址、协议类型、数据包内容或者数据包片段hash；并对于具有相同或者相似内容信息的网络数据包进行汇集和分析，并判断是否存在预设项目的内容信息相同或者相似的网络数据包，若存在，则认为具有Botnet特征，否则认为安全；其中，如果存在网络数据包的目的IP地址相同、协议类型相同并且数据包片段hash相同，数据格式相似，则认为具有Botnet特征，随后可以结合其他检测操作共同进行判断；

解析网关流量监控抓取的网络数据包，获取网络数据包时间信息，所述时间信息包括：发送时间、接收时间或者时间间隔，对比不同源IP地址的网络数据包和同目的IP地址的网络数据包的时间信息，并判断是否存在相同或者相似时间频率的网络数据包，若存在，则认为具有Botnet特征，否则认为安全；

当进行主机流量监控时发现主机存在网络行为，则监控预设时间后进行预设次数的重新启动，并判断是否每次重新启动后主机都存在相同或者相似的网络行为，若存在，则认为具有Botnet特征，否则认为安全；