[发明专利]一种基于云服务的实时僵尸网络检测方法

说明书

本发明公开了一种基于云服务的实时僵尸网络检测方法，包括数据采集、数据分析判别、制作僵尸网络肉机IP地址黑名单和向硬件防火墙和数据采集系统分发黑名单等步骤。本发明相比现有技术具有以下优点：利用ElasticSearch云远远超出单个服务器的计算和存储能力处理海量采样数据，利用僵尸网络短时间、大流量的攻击特点，使用DBSCAN聚类算法，找出目标数据类别，提取IP地址，能够快速筛查出僵尸网络肉机的IP地址，使用Simhash和DJBhash对样本字段信息进行加工，获得可用数据用于标记样本数据库，帮助简化计算流程，识别效率大大提升。

技术领域

本发明涉及网络安全技术领域，尤其涉及的是一种基于云服务的实时僵尸网络检测方法。

背景技术

僵尸网络是指采用一种或多种传播手段，将大量主机感僵尸程序病毒，从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。攻击者通过各种途径传播僵尸程序感染互联网上的大量主机，而被感染的主机将通过一个控制信道接收攻击者的指令，组成一个僵尸网络。之所以用僵尸网络这个名字，是为了更形象地让人们认识到这类危害的特点：众多的计算机在不知不觉中如同僵尸群一样被人驱赶和指挥着，成为被人利用的一种工具。

根据《今日美国》报纸2008年的一篇报告称，平均每天连接到互联网的8亿台电脑中有40％的电脑是用来发送垃圾邮件、病毒和窃取敏感个人数据的僵尸电脑。如何快速和大批量的检测僵尸网络并进行拦截已经成为互联网行业亟待解决的重要课题。

发明内容

本发明的目的在于克服现有技术的不足，提供了一种基于云服务的实时僵尸网络检测方法。

本发明是通过以下技术方案实现的：一种基于云服务的实时僵尸网络检测方法，其特征在于步骤如下：

步骤一、数据采集，通过数据采集系统采集硬件防火墙受到的攻击行为的原始数据，并上传至ElasticSearch云系统储存；

步骤二、数据分析，利用ElasticSearch云系统，使用DBSCAN算法对步骤一中上传至ElasticSearch云系统的数据进行处理，将处理结果中数据类别最多的一类数据定义为僵尸网络类别，僵尸网络类别的聚类数据称为模板数据，比对模板数据和原始数据，获得僵尸网络类别的源IP数组；

步骤三、提取僵尸网络类别的源IP数组中僵尸网络肉机的IP地址，制作黑名单储存于ElasticSearch云系统中；

步骤四、将ElasticSearch云系统中储存的黑名单分发到硬件防火墙和数据采集系统。

作为对上述方案的进一步改进，所述步骤一中，通过数据采集系统采集硬件防火墙受到的攻击行为的原始数据的过程中，基于时间序列进行抽样，形成采样样本，采样样本中每个样本的字段信息包括源IP地址，源PORT，目的IP地址，目的PORT，协议类型、采样时间、数据大小和数据包内容信息，其中除数据包内容信息外其他参数均为数值型，数据包内容信息为字符型数据；

对数据包内容信息进行DJBhash计算，得到DJBhash值；

对采样样本的每个样本的各个字段信息进行Simhash计算，得到内容Simhash值，记录Simhash值的二进制数字段为该样本的数据库ID，Simhash值中1出现的个数为该样本的类别标志；

将DJBhash值、Simhash值和样本的所有字段信息作为原始数据上传至ElasticSearch云系统。

作为对上述方案的进一步改进，所述步骤三中，提取类别标识数字出现次数最多的三类样本的源IP地址，去重后制作成黑名单储存在ElasticSearch云系统中。