[发明专利]一种僵木蠕治理方法以及系统

说明书

本发明的实施例提供一种僵木蠕治理方法以及系统，涉及网络安全技术领域，用于针对不同的场景差异性的采用不同手段对僵木蠕进行治理。该方法包括：获取第一主机的感染信息；第一主机为确定感染了病毒的主机或疑似感染了病毒的主机，感染信息包括：第一主机感染的病毒的类型、第一主机的网络协议IP地址、第一主机的感染次数以及动作指令中的一个或多个；根据第一主机的感染信息以及预设规则确定第一治理策略；其中，预设规则包括感染信息与第一治理策略的对应关系；执行第一治理策略和/或将第一治理策略发送至第一主机。本发明的实施例用于僵木蠕治理。

技术领域

本发明涉及网络安全技术领域，尤其涉及一种僵木蠕治理方法以及系统。

背景技术

僵木蠕网络是指攻击者利用互联网用户的计算机秘密建立的可以远程统一控制的僵尸网络(Botnet)计算机群，目前僵木蠕网络主要采用木马控制，通过蠕虫、恶意网站进行传播。木马是基于远程控制的黑客工具，其实只是一种“客户/服务”型的网络程序，木马程序表面上看上去是具有某种功能，实际上隐藏着可以控制整个计算机系统，危害系统安全的功能；蠕虫是一种计算机病毒，通过网络传播感染存在漏洞的主机，自动复制，通常无需与用户交互，蠕虫产生的流量会占用大量有效带宽。僵木蠕网络往往被用于非法发起大规模的网络攻击，如分布式拒绝服务攻击(Distributed Denial ofService，DDoS)、海量垃圾邮件等，同时窃取被控制计算机的保存信息，因此僵木蠕网络对于网络安全极具安全隐患。目前僵木蠕网络的威胁也已成为一个国际上十分关注的问题，治理僵木蠕网络已成为新一代互联网安全发展的迫切需求。

目前，常用的僵木蠕治理方案采用网络检测+用户端查杀的方案进行治理。具体的，网络检测是指通过基于Radius/DNS日志分析、蜜罐技术、网络流量日志分析、网络数据包分析等方法最终分析出恶意IP、僵木蠕类型/事件等信息。用户端查杀是指客户端安装病毒查杀程序，常基于特征库技术对用户端存在的僵木蠕程序进行发现、隔离或删除。用户端查杀的方案依赖于网络使用者(用户)的主动性以及技术能力，在网络使用者未安装杀毒软件或者杀毒软件不能及时运行、查杀的情况下，网络使用者无法有效发现和阻断僵木蠕程序，无法避免僵木蠕的扩散。网络运营者虽然可以在网络运营侧进行僵木蠕的检测与治理，有效的对网络中的恶意流量进行封堵，然而僵木蠕病毒对网络以及网络使用者造成影响的程度不同，根据造成的不同影响网络运营者需采用不同的应对手段，但是由于网络运营者对网络使用者不能进行有效干预，针对不同的场景，例如在大规模DDOS攻击、疑似肉鸡感染、疑似控制端情况下，不能差异性的采用不同手段进行治理。

发明内容

本发明的实施例提供一种僵木蠕治理方法以及系统，用于针对不同的场景差异性的采用不同手段对僵木蠕进行治理。

为达到上述目的，本发明的实施例采用如下技术方案：

第一方面，提供一种僵木蠕治理方法，包括：

获取第一主机的感染信息；所述第一主机为确定感染了病毒的主机或疑似感染了病毒的主机，所述感染信息包括：所述第一主机感染的病毒的类型、所述第一主机的网络协议IP地址、所述第一主机的感染次数以及动作指令中的一个或多个；

根据所述第一主机的感染信息以及预设规则确定第一治理策略；其中，所述预设规则包括所述感染信息与所述第一治理策略的对应关系；

执行所述第一治理策略和/或将所述第一治理策略发送至所述第一主机。

可选的，所述第一治理策略包括：引导下线、阻断接入网设备端口、限速、减低流量优先级、强制下线、数据引导流向、禁止接入网络、推送提示消息中的一个或多个。

可选的，所述第一治理策略为强制下线，所述方法还包括：

当所述第一主机再次发起上线请求时，将所述第一主机的流量导入到引流设备。

可选的，所述感染信息还包括：感染主机的IP地址；所述方法还包括：