[发明专利]僵尸网络控制节点的检测方法及装置

权利要求书

1.一种僵尸网络控制节点的检测方法，其特征在于，包括以下步骤：

根据当前僵尸网络控制节点的IP生成高频网段，并对所述高频网段的每个IP发送SYN数据包，以确定所述每个IP的端口的当前状态；

根据所述每个端口的当前状态得到初始可疑网络控制节点集合，并根据所述初始可疑网络控制节点集合与预设的常用端口列表得到可疑网络控制节点列表；

根据所述可疑网络控制节点列表建立TCP连接，以获取高可疑网络控制节点列表；

根据所述高可疑网络控制节点列表和僵尸网络家族的端口列表进行匹配和协议探测，以进行家族关联分类以及版本分类，所述根据所述高可疑网络控制节点列表和僵尸网络家族的端口列表进行匹配和协议探测，进一步包括：通过对已捕获的样本进行家族识别和家族通讯协议逆向分析获取各个僵尸网络家族的端口列表；通过所述高可疑网络控制节点列表和所述各个僵尸网络家族的端口列表批量匹配得到所述分类结果；

根据所述分类结果对所述高可疑网络控制节点列表的高可疑网络控制节点进行协议校验，以识别家族协议；以及

根据所述家族协议获取对应僵尸网络家族的网络控制节点。

2.根据权利要求1所述的僵尸网络控制节点的检测方法，其特征在于，所述根据所述每个端口的当前状态得到初始可疑网络控制节点集合，进一步包括：

根据所述每个IP的端口的当前状态得到所述每个IP的开放端口数；

判断所述每个IP的开放端口数是否大于预设端口数；

如果大于所述预设端口数，则剔除；以及

如果小于所述预设端口数，则获取对应开放端口的低可疑网络控制节点的集合，以得到所述初始可疑网络控制节点集合。

3.根据权利要求1所述的僵尸网络控制节点的检测方法，其特征在于，所述根据所述分类结果对所述高可疑网络控制节点列表的高可疑网络控制节点进行协议校验，进一步包括：

对所述高可疑网络控制节点进行各僵尸网络家族确认包专有协议校验，以识别相应家族的僵尸网络控制节点。

4.根据权利要求1-3任一项所述的僵尸网络控制节点的检测方法，其特征在于，所述根据所述家族协议获取相应家族的僵尸网络控制节点，进一步包括：

利用沙箱或者木马自动化分析引擎持续对木马分析并解析出新的僵尸网络控制节点，推送拓展新的僵尸网络控制节点的IP和端口，以得到所述所有的僵尸网络控制节点。

5.一种僵尸网络控制节点的检测装置，其特征在于，包括：

第一获取模块，用于根据当前僵尸网络控制节点的IP生成高频网段，并对所述高频网段的每个IP发送SYN数据包，以确定所述每个IP的端口的当前状态；

采集模块，用于根据所述每个端口的当前状态得到初始可疑网络控制节点集合，并根据所述初始可疑网络控制节点集合与预设的常用端口列表得到可疑网络控制节点列表；

第二获取模块，用于根据所述可疑网络控制节点列表建立TCP连接，以获取高可疑网络控制节点列表；

探测模块，用于根据所述高可疑网络控制节点列表和僵尸网络家族的端口列表进行匹配和协议探测，以进行家族关联分类以及版本分类；

校验模块，用于根据所述分类结果对所述高可疑网络控制节点列表的高可疑网络控制节点进行协议校验，以识别家族协议；以及

第三获取模块，用于根据所述家族协议获取相应家族的僵尸网络控制节点；

所述探测模块，进一步包括：第二获取单元，用于通过对已捕获的样本进行家族识别和家族通讯协议逆向分析获取所述僵尸网络家族的端口列表；匹配单元，用于通过所述高可疑网络控制节点列表和所述僵尸网络家族的端口列表匹配得到所述分类结果。

6.根据权利要求5所述的僵尸网络控制节点的检测装置，其特征在于，所述采集模块，进一步包括：

采集单元，用于根据所述每个IP的端口的当前状态得到所述每个IP的开放端口数；

判断单元，用于判断所述每个IP的开放端口数是否大于预设端口数；

剔除单元，用于如果大于所述预设端口数，则剔除；以及

第一获取单元，用于如果小于所述预设端口数，则获取对应开放端口的低可疑网络控制节点的集合，以得到所述初始可疑网络控制节点集合。