[发明专利]一种C＆C信道判别方法及系统

说明书

本发明提供一种CC信道判别方法及系统，包括：获取待识别流量；基于行为刻画对所述待识别流量进行分类，得到具有预设种类个数和预设行为特征个数的若干个原始特征；对所述若干个原始特征进行特征选择，得到待判断行为特征；基于预设机器学习算法识别所述待判断行为特征，得到时间槽信道类型推断结果；根据预设CC信道特征对所述时间槽信道类型推断结果进行综合判定，得到CC信道架构类型判定结果。本发明通过监控单一主机网络流量，提出的行为特征、时间槽划分、推理和综合判断的机制适用于具备复杂网络行为的恶意程序，且运用特征选择方法在确保判别正确性的前提下有效提升了信道架构类型分析的速度。

技术领域

本发明涉及网络安全技术领域，尤其涉及一种CC信道判别方法及系统。

背景技术

CC信道(CommandControl Channel:CC Channel)是僵尸网络程序，以及木马等先进网络恶意程序的一种必不可少的功能组件。CC信道负责在恶意程序以及控制服务器/攻击者间不断传输最新的操作与攻击命令、被感染主机与设备状态、命令执行结果等重要信息，以使攻击者充分掌握当前攻击态势、支撑后续攻击决策、实现组合攻击。简而言之，CC信道所承担的功能尤为重要、且不可或缺。因此，在检测到CC信道存在后，对其本身相关特性进行准确和深入分析，对于消除当前恶意程序威胁、提取其关键特征用于未来防范工作、追溯和定位控制服务器乃至攻击者本身等，意义十分重大。

传统的CC信道大多采用了客户端-服务器(Client-Server，CS)的信道架构，即恶意程序仅与单一或少量数个较为固定的控制服务器构建CC信道，此类信道构建简单，易于部署。然而，此种CC信道也容易被传统的网络防御措施封锁，如黑名单、防火墙、入侵防御系统等。因此，一些新式的恶意程序采用了基于端点-端点(Peer-Peer，P2P)的新式信道架构，即恶意程序不再与固定的控制服务器，而是和动态知晓地址的其他恶意程序端点建立CC信道。因此，其可突破传统的网络防御措施封锁。针对此种新式CC信道，一些研究者和机构也提出了更具针对性的防御与威胁消除方法，如通过合法内容和僵尸网络密钥生成虚假的僵尸网络命令来瘫痪P2P僵尸网络。此外，针对P2P网络的一系列封锁措施也可用于应对此类新式CC信道。然而，此类新式防御措施不仅部署和运行开销较大，亦容易干扰正常P2P类网络通信和应用程序，故不适用于常态化的部署和用于应对任意架构类型的CC。因此，应当在检测到CC信道存在后，准确且快速地判别其信道架构类型，进而做出正确的防御决策。

为判别CC信道架构类型，当前已存在的方法按监视和分析的对象可大致划分为基于群体、以及基于单一主机这两种。基于群体的分析判别方法需要同时监控一定数量的受感染主机/网络恶意程序节点、乃至整个受监控网络，并通过分析不同节点间的交互关系及群体特征来做出判断。例如，通过两两节点间的交互接触关系来做出判断，有提出的BotGrep方法则依赖于结构化P2P僵尸网络CC通信图的快速混合特性，并利用了通信流量中的空间关系，还有则是从P2P僵尸网络流量中提取统计指纹并用于后续判别。基于单一主机的分析判别方法只需分析与单一受监控和分析主机/网络端点相关的流量数据即可做出判断，如PeerRush方法提取了与单一主机相关的多项统计特征，并通过一个二分类器来决定其流量是否由P2P网络程序所产生，进而通过一系列单分类器来决定其是否由P2P僵尸网络产生、即是否存在P2P类型的CC流量，还有提出的BotSuer方法对非P2P流量进行过滤、聚集P2P流并从类簇中提取统计指纹用于后续的判别过程中。

然而，上述主要的CC信道架构类型判别方法均存在着一些局限性。基于群体分析的判别方法由于需要同时监视一定数量的受感染主机/网络恶意程序节点、乃至整个受监控网络，其部署和使用条件较高，不仅实用性欠佳，也无法用于分析保护网络场景中，仅存在少量乃至单一受感染主机的情形。基于单一主机的分析判别方法，尽管不存在上述局限，但很多只能给出诸如某类恶意程序/僵尸网络的恶意标签判定，无法做到对P2P和CS类型CC信道的区分。部分方法虽然可判别P2P和CS类型CC信道，但判别模型训练和分析过程耗时过长，不仅不利于为不断适应最新威胁而定期重训练判别模型，也对实时的CC信道判别和后续的防御措施的及时部署与展开产生负面影响。

发明内容