一種僵尸網絡的檢測方法、系統(tǒng)和設備的制作方法

文檔序號：7919011閱讀：221來源：國知局

專利名稱：一種僵尸網絡的檢測方法、系統(tǒng)和設備的制作方法
技術領域：
本發(fā)明涉及網絡通信安全領域，特別涉及一種僵尸網絡的檢測方法、系統(tǒng)和設備。
背景技術：
僵尸網絡Botnet是采用一種或多種傳播手段使大量主機感染僵尸Bot程序(僵尸工具)，從而在控制者和被感染主機(即僵尸主機)之間形成一個可一對多控制的網絡。如圖1所示為Botnet的基本網絡結構，攻擊者通過控制者對僵尸主機進行控制。
目甜的僵尸網絡主要有兩種網絡拓撲結構
參見圖2，一種是多級控制的樹狀僵尸網絡拓撲結構由受害者、僵尸主機、控制者和攻擊者組成。其具體工作流程為控制者開放端口；僵尸主機主動向控制者的監(jiān)聽窗口發(fā)起連接，向控制者通報自己；控制者主動連接上級控制者的監(jiān)聽窗口，向上級控制者通報自己；控制者向僵尸主機發(fā)指令，僵尸主機執(zhí)行控制指令，發(fā)起攻擊。該僵尸網絡拓撲結構的行為特征是多臺僵尸主機向同一臺控制者的相同端口發(fā)起連接；僵尸主機一般會定時向控制者通信。
參見圖3，另一種是基于IRC協(xié)議實現(xiàn)的僵尸網絡拓撲結構由受害者、僵尸主機、IRC
服務器和攻擊者組成。其具體的工作流程為控制者在IRC服務器上創(chuàng)建通信頻道；僵尸主機登陸IRC服務器后自動加入控制者所創(chuàng)建的通信頻道，等待控制者發(fā)起命令；控制者在IRC服務器上指定的通信頻道上發(fā)命令；僵尸主機收到命令，執(zhí)行命令，發(fā)起攻擊。該僵尸網絡拓撲結構的行為特征僵尸主機一般會長時間在線；僵尸主機作為一個IRC服務器的聊天用戶在聊天頻道內長時間不發(fā)言。
僵尸網絡構成了一個攻擊平臺，利用這個平臺可以有效地發(fā)起多種攻擊行為，導致整個基礎信息網絡或重要應用系統(tǒng)癱瘓、大量機密或個人隱私泄漏，還被用來從事網絡欺詐等違法犯罪活動。常見的利用Bot.net發(fā)動的攻擊行為如DDOS (Distributed Denial of Service,分布式拒絕服務攻擊)、發(fā)送垃圾郵件、竊取秘密、濫用資源，對整個網絡和用戶都造成了嚴重的危害。隨著各種新的攻擊類型的出現(xiàn)，Botnet還可能被用來發(fā)起新的未知攻擊。
目前緩解僵尸網絡攻擊威脅的技術主要是提前預防或對攻擊事件的事后處理。通常是國
家網絡安全監(jiān)測部門在發(fā)現(xiàn)了某個大型站點或重要網絡受到僵尸網絡的攻擊時，才開始動員大量的人力及相關部門進行協(xié)查，需要經過很長時間才能真正找到僵尸網絡的最終控制者即攻擊者和主要涉案人員，但是這段時間內所造成的經濟損失是不可估量的。目前對僵尸網絡的檢測主要有兩種方法
一、蜜糖技術。通過蜜罐等手段獲得Bot程序樣本，采用逆向工程等惡意代碼分析手段，獲得隱藏在代碼中的登陸B(tài)otnet所需要的相關信息，使用定制的僵尸程序登錄到僵尸網絡中去，進一步采用應對措施。
二、網絡流量研究。通過研究僵尸主機行為的網絡流量變化(比如不同時間段的流量大小)，使用離線和在線的兩種分析方法實現(xiàn)對僵尸網絡的判斷。
在對現(xiàn)有技術進行分析后，發(fā)明人發(fā)現(xiàn)蜜糖技術不能實時地檢測僵尸網絡的通信報文，也不能迅速而準確的定位僵尸網絡及其操縱者；網絡流量研究能實時地檢測僵尸網絡的通信報文但不能實時地對僵尸網絡作出響應。

發(fā)明內容
為了能夠實時地檢測出僵尸網絡并能實時地對僵尸網絡作出響應，本發(fā)明實施例提供了一種僵尸網絡的檢測方法。所述技術方案如下
一方面，提供了一種僵尸網絡的檢測方法，所述方法包括-
接收待測網絡的通信報文；
根據(jù)所述通信報文提取所述通信報文的僵尸網絡報文信息；根據(jù)所述僵尸網絡報文信息，提取僵尸主機IP和控制者IP;
根據(jù)所述提取的僵尸主機IP和控制者IP，査詢所述僵尸主機IP和控制者IP對應的賬號。一方面，提供了一種僵尸網絡的檢測系統(tǒng)，所述系統(tǒng)包括網絡探針、監(jiān)控分析中心和認證服務器；
所述網絡探針，用于接收所述待測網絡的通信報文，根據(jù)所述通信報文提取所述通信報文的僵尸網絡報文信息；
所述監(jiān)控分析中心，用于根據(jù)所述僵尸網絡報文信息，提取僵尸主機IP和控制者IP;
所述認證服務器，用于根據(jù)所述僵尸主機IP和控制者IP査詢所述請求中IP對應的賬號。
另一方面，提供了一種監(jiān)控分析中心，所述監(jiān)控分析中心用于根據(jù)所述僵尸網絡報文信息，提取僵尸主機IP和控制者IP，根據(jù)所述提取的僵尸主機IP和控制者IP查詢所述僵尸主機IP和控制者IP對應的賬號。
本發(fā)明實施例提供的技術方案的有益效果是通過本發(fā)明提供的僵尸網絡的檢測方法，實時地檢測出了僵尸網絡，也可以對僵尸網絡實時地做出響應，解決了現(xiàn)有技術中基于事后分析而不能實時檢測和實時響應的問題，避免了僵尸網絡產生的危害，使得網絡通信更加安全。

為了更清楚地說明本發(fā)明實施例或現(xiàn)有技術中的技術方案，下面將對實施例或現(xiàn)有技術描述中所需要使用的附圖作一簡單地介紹，顯而易見地，下面描述中的附圖僅僅是本發(fā)明的一些實施例，對于本領域普通技術人員來講，在不付出創(chuàng)造性勞動性的前提下，還可以根據(jù) 這些附圖獲得其他的附圖。
圖1是現(xiàn)有技術提供的僵尸網絡的基本網絡架構示意圖2是現(xiàn)有技術提供的多級控制的樹狀僵尸網絡拓撲結構示意圖3是現(xiàn)有技術提供的基于IRC協(xié)議的僵尸網絡拓撲結構示意圖4是本發(fā)明提供的僵尸網絡檢測系統(tǒng)架構示意圖5是本發(fā)明實施例1提供的一種僵尸網絡的檢測方法的流程示意圖6是本發(fā)明實施例2提供的一種僵尸網絡的檢測方法的流程示意圖7是本發(fā)明實施例3提供的一種僵尸網絡的檢測方法的流程示意圖8是本發(fā)明實施例4提供的一種僵尸網絡的檢測系統(tǒng)示意圖9是本發(fā)明實施例4提供的一種僵尸網絡的檢測系統(tǒng)的具體示意圖10是本發(fā)明實施例4提供的一種僵尸網絡的檢測系統(tǒng)的另一具體示意圖11是本發(fā)明實施例5提供的一種監(jiān)控分析中心的示意圖12是本發(fā)明實施例5提供的一種監(jiān)控分析中心的另一示意圖。
具體實施例方式
為使本發(fā)明的目的、技術方案和優(yōu)點更加清楚，下面將結合附圖對本發(fā)明實施方式作進一步地詳細描述。顯然，所描述的實施例僅僅是本發(fā)明一部分實施例，而不是全部的實施例。基于本發(fā)明中的實施例，本領域普通技術人員在沒有作出創(chuàng)造性勞動前提下所獲得的所有其他實施例，都屬于本發(fā)明保護的范圍。
僵尸網絡是多級控制的，要追蹤到幕后的攻擊者，首先要追蹤給僵尸主機發(fā)送指令的控制者，然后通過監(jiān)控該控制者找到上一級控制者，一級一級的追溯，直到真正的攻擊者。本
發(fā)明實施例提出的僵尸網絡檢測系統(tǒng)BIS(Botnet Inspection System)可以實時地檢測出已知或未知的僵尸網絡的僵尸主機及其控制者，掌握僵尸網絡的信息并實施監(jiān)控，也可實時地對僵尸網絡采取響應措施。
參見圖4，本發(fā)明實施例提供的僵尸網絡檢測系統(tǒng)架構示意圖。僵尸網絡檢測系統(tǒng)包括網絡探針(a)、設備管理中心(b)、監(jiān)控分析中心(c)、數(shù)據(jù)庫DB (d)、 WEB (e)和其他安全設備(f);其中，網絡探針(a)，對網絡流量進行實時檢測并將檢測結果報給監(jiān)控分析中心；設備管理中心(b)，對網絡探針(a)、監(jiān)控分析中心(c)、數(shù)據(jù)庫DB (d)、 WEB (e) 和其他安全設備(f)等設備進行管理、提供與防火墻的可靠連接以及設備間業(yè)務數(shù)據(jù)的交互；監(jiān)控分析中心(c)，對網絡探針(a)的檢測結果進行匯總分析、把網絡探針(a)的檢測結果以及監(jiān)控分析中心(c)的分析結果存入數(shù)據(jù)庫DB (d)、負責和系統(tǒng)其他安全設備(f)比如防火墻、其他僵尸網絡檢測系統(tǒng)進行通信；數(shù)據(jù)庫DB (d)，保存界面策略、配置項、僵尸網絡信息及輔助檢測結果；WEB (e)，提供僵尸網絡檢測配置界面、僵尸網絡信息顯示界面、設備管理界面；其他安全設備(f)，和僵尸網絡檢測系統(tǒng)聯(lián)動，將檢測出來的僵尸主機或攻擊IP地址告知監(jiān)控分析中心(c)，比如防火墻、其他僵尸網絡檢測系統(tǒng)等。
為了對本發(fā)明實施例提供的僵尸網絡檢測系統(tǒng)進行詳細的闡述，參見下述各實施例。
實施例1
本發(fā)明實施例提供了一種僵尸網絡的檢測方法，該方法通過將通信報文與存儲在規(guī)則庫中的規(guī)則進行規(guī)則匹配識別出僵尸網絡報文，從而實現(xiàn)對僵尸網絡的檢測。
僵尸網絡檢測系統(tǒng)在進行檢測之前，已經形成規(guī)則庫存儲在數(shù)據(jù)庫中。其中，規(guī)則庫形成過程的歩驟具體為
歩驟A:僵尸網絡檢測系統(tǒng)分析已經檢測出的或者是已有的僵尸網絡中僵尸主機與控制者的通信報文，從通信報文中提取僵尸報文特征，形成特征庫；
其中，通信報文中提取的僵尸報文特征具體為僵尸工具名、協(xié)議類型、僵尸網絡類型等。
步驟B:將該特征庫轉化為可以被計算機識別的規(guī)則庫，并將轉化后的規(guī)則庫加密后存儲到數(shù)據(jù)庫DB中。
該規(guī)則庫中的僵尸網絡報文的特征規(guī)則具體描述為其中，PROTO:協(xié)議類型，如tcp/udp/icmp等；
SRVID:服務類型，如5-voip、 6-p2p、 97-ftp等；
APPID:僵尸網絡類型，如l代表樹狀僵尸網絡，2代表IRC僵尸網絡，3代表p2p僵尸
網絡；
APPNAME:應用名稱，對應僵尸工具名；
RET:返回值，對應返回包的報文方向，如1-僵尸主機到控制者報文、2-控制者到僵尸
主機的報文；
ACTION:匹配模式，如單包匹配、多包匹配、端口匹配等； RELATE:關聯(lián)，多個特征是否關聯(lián)； RULEID:規(guī)則序號，即第幾條規(guī)則。
根據(jù)上述對僵尸網絡報文的特征規(guī)則描述，舉例說明。比如上行僵尸，僵尸主機每隔30 秒主動向控制端發(fā)送長度為6字節(jié)報文內容為4D 54 49 7A0D0A的TCP報文，其規(guī)則如下 -PROTO TCP -SRVID 16 -APPID 1 -APPNAME shangxing -RET 1 \ -ACTION SINGLE一PKT -RELATE NO \ -KEY 0:LOAD—BEGIN:BIG一ENDIAN:6:EQUAL:BIN:4D54497A0D0A \ -LOADLEN0:LOAD—BEGIN:BIG_ENDIAN:0:EQUAL:BIN:0006 上述詳細介紹了數(shù)據(jù)庫中存儲的特征庫的形成過程，該規(guī)則庫是僵尸網絡檢測系統(tǒng)對僵尸網絡進行特征檢測的前提條件，下面描述形成規(guī)則庫后僵尸網絡檢測系統(tǒng)對僵尸網絡進行
檢測的方法，參見圖5，具體歩驟如下
歩驟101:僵尸網絡檢測系統(tǒng)的網絡探針接收待測網絡的通信報文。
步驟102:網絡探針把接收到的通信報文與從規(guī)則庫中獲取的規(guī)則進行規(guī)則匹配，如果匹配成功，則執(zhí)行步驟103;否則，結束；
其中，網絡探針從規(guī)則庫中獲取規(guī)則的具體過程為僵尸網絡檢測系統(tǒng)啟動時，網絡探
針自動向路由設備SRS (Service Route System)請求規(guī)則，SRS讀取數(shù)據(jù)庫DB中的規(guī)則，并將其傳給網絡探針，網絡探針將獲取的規(guī)則放入自身的內存中，當接收到通信報文時，網絡探針將接收到的通信報文與獲取的規(guī)則在自身的內存中進行規(guī)則匹配；如果規(guī)則庫有更新，則網絡探針又會重新從數(shù)據(jù)庫DB中獲取規(guī)則；
上述規(guī)則匹配可以有多種匹配方式，比如單包匹配、多包匹配、端口匹配等；
其中，單包匹配是根據(jù)一個報文的特征即可匹配規(guī)則；
多包匹配是根據(jù)多個報文的特征匹配一條規(guī)則；
端口匹配是根據(jù)報文中的端口信息匹配規(guī)則；
上述規(guī)則匹配成功是指一條規(guī)則的所有參數(shù)(如協(xié)議類型、服務類型、僵尸網絡類型、應用名稱、匹配模式等，不同的規(guī)則其所攜帶的參數(shù)不同) 一致才能匹配成功。
歩驟103:待測網絡的通信報文規(guī)則匹配成功后，網絡探針提取通信報文中的僵尸網絡報文信息，并發(fā)送該信息到僵尸網絡檢測系統(tǒng)的監(jiān)控分析中心；
其中，該歩驟具體為網絡探針根據(jù)匹配的規(guī)則，返回匹配成功的規(guī)則中的相應值，比
如PROTO 、 SRVID 、 APPID， AppType， RET和數(shù)據(jù)流方向等信息，這些信息就是僵尸網絡報文信息，網絡探針把該信息封裝為消息包，發(fā)送給監(jiān)控分析中心。
歩驟104:監(jiān)控分析中心接收到網絡探針發(fā)來的僵尸網絡報文信息后，從該信息中解析出
僵尸網絡信息，將解析出的僵尸網絡信息緩存起來，并向Radius服務器發(fā)送査詢僵尸主機IP 和控制者IP的帳號請求；查詢IP帳號請求中攜帶所查詢僵尸主機IP和控制者IP地址；從僵尸網絡報文信息中解析出僵尸網絡信息的具體為-
監(jiān)控分析中心根據(jù)僵尸網絡報文信息中的規(guī)則返回值RET (RET:返回值，對應返回包的報文方向，如1-僵尸主機到控制者報文、2-控制者到僵尸主機的報文)和數(shù)據(jù)流的傳輸方向(判斷信息中數(shù)據(jù)流流入流出的方向)的不同確定本地IP和遠端IP是僵尸主機還是控制者，從而獲得僵尸主機IP、僵尸主機IP端口、控制者IP、控制者IP端口等信息；例如A和 B之間的通信報文進行規(guī)則匹配成功后形成的僵尸網絡報文信息中，如果數(shù)據(jù)流方向是從A 流向B， RET值為1 (l-僵尸主機到控制者報文)，則可以判定A為僵尸主機，B為控制者；
僵尸工具的類型從僵尸網絡報文信息中的APPID中直接得出，如1代表樹狀僵尸網絡， 2代表IRC僵尸網絡，3代表p2p僵尸網絡；
僵尸工具的名稱從僵尸網絡報文信息中的APPNAME中直接得出，直接存儲無需分析；發(fā)現(xiàn)僵尸網絡時間和更新僵尸網絡時間是監(jiān)控分析中心直接獲取自己的機器時間；
發(fā)現(xiàn)僵尸網絡的方式在僵尸網絡報文信息中攜帶。
其中，上述僵尸網絡信息具體為僵尸主機IP、僵尸主機IP端口、控制者IP、控制者
IP端口、 IRC服務器IP、 IRC服務器端口、僵尸工具、發(fā)現(xiàn)僵尸網絡時間、更新僵尸網絡時間、發(fā)現(xiàn)僵尸網絡方式；
上述的僵尸網絡信息可以具體緩存在監(jiān)控分析中心的內存中，等待査詢僵尸主機和控制者的IP帳號過程；
歩驟105: Radius服務器接收到該査詢請求后，在Radim服務器中查詢請求中IP對應的賬號，并將查到的IP賬號發(fā)給監(jiān)控分析中心，監(jiān)控分析中心將緩存的僵尸網絡信息和査詢到的 IP賬號一起存入數(shù)據(jù)庫；
上述Radius服務器是認證服務器，比如撥號用戶上網時需要先到Radius服務器，認證其帳號、密碼、權限以及余額等；而在組網時Radius服務器事先知道當前用戶的IP對應的帳戶名，所以向其査詢IP的帳號，這樣可以把動態(tài)IP歸一化；
監(jiān)控分析中心和Radius服務器是有接口的，接口上有接口函數(shù)；
在Radius服務器中査詢請求中IP對應的賬號的具體步驟為Radius服務器接收到監(jiān)控分析屮心發(fā)來的上述查詢請求后，通過接口函數(shù)提取請求中的IP，并在Radius服務器查詢該 IP對應的的賬號，然后再通過接口函數(shù)將IP及其對應的帳號發(fā)送回監(jiān)控分析中心。
另外，整個系統(tǒng)可以有專門的數(shù)據(jù)庫服務器，上述各步驟中提到的數(shù)據(jù)庫可以設置在這
些服務器上。
本發(fā)明實施例根據(jù)報文內容通過規(guī)則匹配進行僵尸網絡的特征檢測，實時地檢測出了僵尸網絡，也可以對僵尸網絡實時地做出響應，解決了現(xiàn)有技術中基于事后分析而不能實時檢測和實時響應的問題，避免了僵尸網絡產生的危害，使得網絡通信更加安全。
實施例2
如果僵尸網絡的通信報文是無特征的或加密后特征消失的，或者是一種新的僵尸網絡工具，本發(fā)明實施例針對上述情況提供了一種僵尸網絡的檢測方法。該方法是根據(jù)僵尸主機與控制者之間的網絡行為與正常用戶之間的網絡行為不同，識別出其中的僵尸主機和控制者，并將它們之間的僵尸網絡通信報文保存起來，用于人工提取報文特征，完善實施例l中的報文特征庫。參見圖6，具體歩驟如下
步驟201:僵尸網絡檢測系統(tǒng)的監(jiān)控分析中心接收待檢測的IP地址列表，并將該IP地址列表發(fā)送給網絡探針；
其中，上述待檢測的IP地址列表，具體為來自防火墻、其它分布部署的僵尸網絡檢測系統(tǒng)檢測到的發(fā)動攻擊的或者任何被懷疑的IP地址列表；
由于發(fā)動攻擊的IP地址未必是僵尸主機，所以需要對發(fā)動攻擊的IP地址進行具體檢測以便確認僵尸主機和控制者。
歩驟202:網絡探針接收該IP地址列表，并對該IP地址列表中的IP地址進行監(jiān)控，從源地址或目的地址為該IP地址的通信報文中提取僵尸網絡報文信息，并發(fā)送給監(jiān)控分析中心；其中，網絡探針建有數(shù)據(jù)流表，從數(shù)據(jù)流的相關信息提取僵尸網絡報文信息；上述僵尸網絡報文信息具體指僵尸主機IP、端口、通信對端IP、對端端口、報文協(xié)議類型、報文方向、報文數(shù)量、報文字節(jié)數(shù)等。
歩驟203:監(jiān)控分析中心接收網絡探針發(fā)來的僵尸網絡報文信息，對該信息進行僵尸網絡行為統(tǒng)計分析，從而確定僵尸主機IP和控制者IP，并將該僵尸網絡報文信息緩存起來，向 Radius服務器發(fā)送査詢僵尸主機和控制者的IP帳號請求；其中，對僵尸網絡報文信息進行統(tǒng) 計分析具體為多臺僵尸主機向同一臺控制者的相同端口發(fā)起連接；僵尸主機會定時與控制者通信；控制者同一時間會向多臺僵尸主機發(fā)相同指令；僵尸主機長時間在線但沉默不發(fā)言等網絡特征；針對同端口多連接這個行為特征，可以統(tǒng)計某段時間內連接同一IP的攻擊IP數(shù) 目，如果超過閾值就說明被連接的IP是控制者IP，這些攻擊IP是僵尸主機的IP，這樣就可以確定僵尸網絡行為和控制者；
査詢IP帳號請求中攜帶所查詢僵尸主機和控制者的IP地址。
歩驟204: Radius服務器接收到該査詢請求后，在Radius服務器中査詢請求中IP對應的賬號，并將査到的IP賬號發(fā)給監(jiān)控分析中心，監(jiān)控分析中心將緩存的僵尸網絡報文信息和查詢到的IP賬號一起存入數(shù)據(jù)庫；監(jiān)控分析中心和Radius服務器是有接口的，接口上有接口函數(shù)；
在Radius服務器中査詢請求中IP對應的賬號的具體步驟為Radius服務器接收到監(jiān)控分析中心發(fā)來的上述査詢請求后，通過接口函數(shù)提取請求中的IP，并在Radius服務器查詢該 IP對應的的賬號，然后再通過接口函數(shù)將IP及其對應的帳號發(fā)送回監(jiān)控分析中心。
另外，可以設置專門的數(shù)據(jù)庫服務器，上述各步驟中提到的數(shù)據(jù)庫設置在這些數(shù)據(jù)庫服
務器上。
另外，僵尸網絡報文信息存入數(shù)據(jù)庫服務器后，以便以后通過人工分析再提取新的報文
特征的，并將提取的新報文特征存入報文特征庫再轉化為新的規(guī)則庫，從而使規(guī)則庫更加完善。
本發(fā)明實施例通過對僵尸網絡的行為進行檢測，實時地檢測出了僵尸網絡，也可以對僵尸網絡實時地做出響應，解決了現(xiàn)有技術中基于事后分析而不能實時檢測和實時響應的問題，并將控制者和僵尸主機之間的僵尸網絡通信報文保存起來，用于后續(xù)人工提取報文特征，完善報文特征庫，避免了僵尸網絡產生的危害，使得網絡通信更加安全。
實施例3
為了更好的掌握僵尸網絡的信息，本發(fā)明實施例還提供兩種輔助手段主動檢測和遠程抓包，用于對僵尸網絡信息的確認；其中，這兩種輔助手段又有人工和自動化兩種方式；下面具體描述使用這兩種手段對僵尸網絡進行檢測的具體實現(xiàn)步驟。
(一) 參見圖7，主動檢測的具體歩驟如下
歩驟30h僵尸網絡檢測系統(tǒng)模擬僵尸主機向懷疑為控制者的IP發(fā)送僵尸網絡通信報文；
其中，僵尸網絡檢測系統(tǒng)提供的僵尸網絡通信報文即為探測報文，具有內容被屏蔽的探測選項，在某些情況下允許用戶自己構造探測報文，讓用戶有更大的自由度；
被懷疑為控制者的具體行為特征表現(xiàn)為有定時通信、同端口多鏈接、長時間在線、長時間不發(fā)言等行為特征。
歩驟302:對已發(fā)送的僵尸網絡通信報文僵尸網絡檢測系統(tǒng)檢測是否有回應，如果是，執(zhí) 行步驟303;否則，結束。
歩驟303:如果對發(fā)送的僵尸網絡通信報文有回應，則對回應的內容進行特征檢測或者行為檢測，判斷是否是疑似控制者的回應報文，如果是，執(zhí)行步驟304;否則，結束。
歩驟304:如果檢測回應的內容是疑似控制者的回應報文，確定該主機是控制者。
(二) 遠程抓包的具體步驟對某IP地址的通信報文進行檢測時，把目的地址或源地址為該IP的通信報文保存起來進行分析；僵尸網絡檢測系統(tǒng)提供支持五元組過濾條件的抓包，即源IP、目的IP、源端口、目的端口、報文協(xié)議；
本發(fā)明實施例通過對僵尸網絡進行主動檢測和遠程抓包，實時地檢測出了僵尸網絡，也可以對僵尸網絡實時地做出響應，解決了現(xiàn)有技術中基于事后分析而不能實時檢測和實時響應的問題，更好的掌握了僵尸網絡的信息，為僵尸網絡檢測系統(tǒng)提供輔助手段，而這兩種輔助手段又有人工和自動化兩種方式，更加靈活，使得僵尸網絡檢測系統(tǒng)功能更加完善強大，最大程度上避免了僵尸網絡產生的危害，使得網絡通信更加安全。
實施例4
參見圖8，本發(fā)明實施例提供了一種僵尸網絡的檢測系統(tǒng)，系統(tǒng)包括網絡探針401、監(jiān)
控分析中心402和認證服務器403;
網絡探針401，用于接收待測網絡的通信報文，根據(jù)通信報文提取通信報文的僵尸網絡報
文信息；
監(jiān)控分析中心402,用于根據(jù)僵尸網絡報文信息，提取僵尸主機IP和控制者IP; 認證服務器403，用于根據(jù)提取的僵尸主機IP和控制者IP，查詢僵尸主機IP和控制者IP對
應的賬號。
(一)其中，當進行特征檢測時，參見圖9，網絡探針401包括接收模塊40U、匹配模塊4012和提取模塊4013;
接收模塊40U，用于接收待測網絡的通信報文；
匹配模塊4012，用于將接收模塊4011接收的待測網絡的通信報文與規(guī)則庫中獲取的規(guī) 則進行規(guī)則匹配；
提取模塊4013，用于如果匹配模塊4(H2匹配成功，則通信報文為僵尸網絡報文，提取僵尸網絡報文中的僵尸網絡報文信息；該僵尸網絡報文信息包括PROTO 、SRVID 、APPID， AppType，規(guī)則返回值RET和數(shù)據(jù)流方向等信息。
相應地，監(jiān)控分析中心402包括判斷模塊4021;
判斷模塊4021，用于從提取模塊4013提取的僵尸網絡報文信息中的規(guī)則返回值RET和數(shù) 據(jù)流的傳輸方向的不同判斷本地IP和遠端IP是僵尸主機還是控制者，從而確定僵尸主機IP和控制者IP。
(二) 其中，當進行行為檢測時，參見圖10，網絡探針401包括接收模塊4014和提取模塊4015,
接收模塊4014，用于接收待檢測的IP地址列表，并對IP地址列表中的IP地址進行監(jiān)控，獲取源地址或目的地址為IP地址的通信報文；
提取模塊4015，用于確定通信報文為僵尸網絡報文，通信報文的信息為僵尸網絡報文信息。
相應地，監(jiān)控分析中心402包括統(tǒng)計模塊4022和確定模塊4023; 統(tǒng)計模塊4022，用于對所述僵尸網絡報文信息進行僵尸網絡行為統(tǒng)計分析；確定模塊4023,用于根據(jù)所述統(tǒng)計模塊的統(tǒng)計結果，確定僵尸主機IP和控制者IP。進一歩地，監(jiān)控分析中心還包括分析模塊4024;
分析模塊4024，用于對僵尸網絡報文信息進行分析，提取新的報文特征，并將提取的新報文特征轉化為新的規(guī)則，存入規(guī)則庫中。
(三) 其中，當采用遠程抓包時，監(jiān)控分析中心402還包括獲取模塊；
獲取模塊，用于根據(jù)源IP、目的IP、源端口、目的端口、報文協(xié)議通過遠程抓包獲取待測網絡中對應的通信報文。
本發(fā)明實施例提供了一種僵尸網絡的檢測系統(tǒng)，實時地檢測出了僵尸網絡，也可以對僵尸網絡實時地做出響應，解決了現(xiàn)有技術中基于事后分析而不能實時檢測和實時響應的問題，避免了僵尸網絡產生的危害，使得網絡通信更加安全。
實施例5
本發(fā)明實施例提供了一種監(jiān)控分析中心，監(jiān)控分析中心用于根據(jù)僵尸網絡報文信息，提取僵尸主機IP和控制者IP，根據(jù)僵尸主機IP和控制者IP查詢請求中IP對應的賬號。
(一) 其中，當進行特征檢測時，參見圖ll，監(jiān)控分析中心包括判斷模塊501; 判斷模塊501，用于從僵尸網絡報文信息中的規(guī)則返回值和數(shù)據(jù)流的傳輸方向的不同判
斷本地IP和遠端IP是僵尸主機還是控制者，從而確定僵尸主機IP和控制者IP。
(二) 其中，當進行行為檢測時，參見圖12，監(jiān)控分析中心包括統(tǒng)計模塊502和確定模塊503;
統(tǒng)計模塊502，用于對所述僵尸網絡報文信息進行僵尸網絡行為統(tǒng)計分析；確定模塊503，用于根據(jù)所述統(tǒng)計模塊502的統(tǒng)計結果，確定僵尸主機IP和控制者IP。進一步地，監(jiān)控分析中心具體還包括分析模塊504;
分析模塊504，用于對僵尸網絡報文信息進行分析，提取新的報文特征，并將提取的新報文特征轉化為新的規(guī)則，存入規(guī)則庫中。
(三) 其中，當采用遠程抓包時，監(jiān)控分析中心還包括獲取模塊；
獲取模塊，用于根據(jù)源IP、目的IP、源端口、目的端口、報文協(xié)議通過遠程抓包獲取待測網絡中對應的通信報文。
本發(fā)明實施例提供了一種監(jiān)控分析中心，實時地檢測出了僵尸網絡，也可以對僵尸網絡實時地做出響應，解決了現(xiàn)有技術中基于事后分析而不能實時檢測和實時響應的問題，避免了僵尸網絡產生的危害，使得網絡通信更加安全。
綜上所述，本發(fā)明實施例提供了一種僵尸網絡的檢測方法對引入的網絡流量進行報文特征分析，識別出僵尸網絡中的僵尸主機及其控制者，記錄僵尸網絡信息并發(fā)出告警；本發(fā)明提供的一種僵尸網絡的檢測系統(tǒng)還可以同分布部署的其他檢測系統(tǒng)、防火墻等網絡安全設備聯(lián)動，獲取攻擊源的IP地址重點監(jiān)控，對引入網絡流量的網絡行為進行分析，找出操控它們的控制者；另外，本發(fā)明提供的一種僵尸網絡的檢測方法還提供主動檢測和遠程抓包等輔助檢測手段，對僵尸網絡信息進行確認，確保該系統(tǒng)識別的準確度。
本領域普通技術人員可以理解實現(xiàn)上述實施例方法中的全部或部分流程，是可以通過計算機程序來指令相關的硬件來完成，所述的程序可存儲于一計算機可讀取存儲介質中，該程序在執(zhí)行時，可包括如上述各方法的實施例的流程。其中，所述的存儲介質可為磁碟、光盤、只讀存儲記憶體(Read-Only Memory, ROM)或隨機存儲記憶體(Random Access Memory,
RAM)等。
以上所述僅為本發(fā)明的較佳實施例，并不用以限制本發(fā)明，凡在本發(fā)明的精神和原則之內，所作的任何修改、等同替換、改進等，均應包含在本發(fā)明的保護范圍之內。
權利要求
1、一種僵尸網絡的檢測方法，其特征在于，所述方法包括接收待測網絡的通信報文；根據(jù)所述通信報文提取所述通信報文的僵尸網絡報文信息；根據(jù)所述僵尸網絡報文信息，提取僵尸主機IP和控制者IP；根據(jù)所述提取的僵尸主機IP和控制者IP，查詢所述僵尸主機IP和控制者IP對應的賬號。
2、如權利要求1所述的方法，其特征在于，所述根據(jù)所述通信報文提取所述通信報文的僵尸網絡報文信息包括將所述通信報文與規(guī)則庫中獲取的規(guī)則進行規(guī)則匹配；如果匹配成功，所述通信報文為僵尸網絡報文，提取所述僵尸網絡報文中的僵尸網絡報文信息。
3、如權利要求2所述的方法，其特征在于，所述根據(jù)所述僵尸網絡報文信息，提取僵尸主機IP和控制者IP包括從所述僵尸網絡報文信息中的規(guī)則返回值和數(shù)據(jù)流的傳輸方向的不同確定本地IP和遠端 IP是僵尸主機還是控制者。
4、如權利要求l所述的方法，其特征在于，所述接收待測網絡的通信報文包括接收待檢測的IP地址列表；對所述IP地址列表中的IP地址進行監(jiān)控，獲取源地址或目的地址為所述IP地址的通信報文。
5、如權利要求4所述的方法，其特征在于，所述通信報文為僵尸網絡報文，所述通信報文的信息為僵尸網絡報文信息；相應地，所述根據(jù)所述僵尸網絡報文信息，提取僵尸主機IP和控制者IP包括對所述僵尸網絡報文信息進行僵尸網絡行為統(tǒng)計分析，根據(jù)僵尸主機與控制者的網絡行為不同于正常用戶的網絡行為，識別出其中的僵尸主機及其控制者，得到僵尸主機IP和控制者IP。
6、如權利要求5所述的方法，其特征在于，所述方法還包括對所述僵尸網絡報文信息進行分析，提取新的報文特征，并將提取的新報文特征轉化為新的規(guī)則，存入規(guī)則庫中。
7、如權利要求l所述的方法，其特征在于，所述接收待測網絡的通信報文包括根據(jù)源IP、目的IP、源端口、目的端口、報文協(xié)議通過遠程抓包獲取待測網絡中對應的通信報文。
8、一種僵尸網絡的檢測系統(tǒng)，其特征在于，所述系統(tǒng)包括網絡探針、監(jiān)控分析中心和認證服務器；所述網絡探針，用于接收所述待測網絡的通信報文，根據(jù)所述通信報文提取所述通信報文的僵尸網絡報文信息；所述監(jiān)控分析中心，用于根據(jù)所述僵尸網絡報文信息，提取僵尸主機IP和控制者IP;所述認證服務器，用于根據(jù)所述監(jiān)控分析中心提取的僵尸主機IP和控制者IP，查詢所述僵尸主機IP和控制者IP對應的賬號。
9、如權利要求8所述的系統(tǒng)，其特征在于，所述網絡探針包括接收模塊、匹配模塊和提取模塊；所述接收模塊，用于接收所述待測網絡的通信報文；所述匹配模塊，用于將所述接收模塊接收的所述待測網絡的通信報文與規(guī)則庫中獲取的規(guī)則進行規(guī)則匹配；所述提取模塊，用于如果所述匹配模塊匹配成功，則所述通信報文為僵尸網絡報文，提取所述僵尸網絡報文中的僵尸網絡報文信息。
10、如權利要求9所述的系統(tǒng)，其特征在于，所述監(jiān)控分析中心包括判斷模塊；所述判斷模塊，用于從所述僵尸網絡報文信息中的規(guī)則返回值和數(shù)據(jù)流的傳輸方向的不同判斷本地IP和遠端IP是僵尸主機還是控制者，從而確定僵尸主機IP和控制者IP。
11、如權利要求8所述的系統(tǒng)，其特征在于，所述網絡探針包括接收模塊和提取模塊；所述接收模塊，用于接收待檢測的IP地址列表，并對所述IP地址列表中的IP地址進行監(jiān) 控，獲取源地址或目的地址為所述IP地址的通信報文；所述提取模塊，用于確定所述通信報文為僵尸網絡報文，所述通信報文的信息為僵尸網絡報文信息。
12、如權利要求ll所述的系統(tǒng)，其特征在于，所述監(jiān)控分析中心包括統(tǒng)計模塊和確定模塊；所述統(tǒng)計模塊，用于對所述僵尸網絡報文信息進行僵尸網絡行為統(tǒng)計分析；所述確定模塊，用于根據(jù)所述統(tǒng)計模塊的統(tǒng)計結果，確定僵尸主機IP和控制者IP。
13、如權利要求12所述的系統(tǒng)，其特征在于，所述監(jiān)控分析中心還包括分析模塊；所述分析模塊，用于對所述僵尸網絡報文信息進行分析，提取新的報文特征，并將提取的新報文特征轉化為新的規(guī)則，存入規(guī)則庫中。
14、如權利要求8所述的系統(tǒng)，其特征在于，所述監(jiān)控分析中心還包括獲取模塊；所述獲取模塊，用于根據(jù)源IP、目的IP、源端口、目的端口、報文協(xié)議通過遠程抓包獲取待測網絡中對應的通信報文。
15、一種監(jiān)控分析中心，其特征在于，所述監(jiān)控分析中心用于根據(jù)所述僵尸網絡報文信息，提取僵尸主機IP和控制者IP;根據(jù)所述提取的僵尸主機IP和控制者IP，查詢所述僵尸主機IP和控制者IP對應的賬號。
16、如權利要求15所述的監(jiān)控分析中心，其特征在于，所述監(jiān)控分析中心包括判斷模塊；所述判斷模塊，用于從所述僵尸網絡報文信息中的規(guī)則返回值和數(shù)據(jù)流的傳輸方向的不同判斷本地IP和遠端IP是僵尸主機還是控制者，從而確定僵尸主機IP和控制者IP。
17、如權利要求15所述的監(jiān)控分析中心，其特征在于，所述監(jiān)控分析中心包括統(tǒng)計模塊和確定模塊；所述統(tǒng)計模塊，用于對所述僵尸網絡報文信息進行僵尸網絡行為統(tǒng)計分析；所述確定模塊，用于根據(jù)所述統(tǒng)計模塊的統(tǒng)計結果，確定僵尸主機IP和控制者IP。
18、如權利要求17所述的監(jiān)控分析中心，其特征在于，所述監(jiān)控分析中心還包括分析模塊；所述分析模塊，用于對所述僵尸網絡報文信息進行分析，提取新的報文特征，并將提取的新報文特征轉化為新的規(guī)則，存入規(guī)則庫中。
19、如權利要求15所述的監(jiān)控分析中心，其特征在于，所述監(jiān)控分析中心還包括獲取模塊；所述獲取模塊，用于根據(jù)源IP、目的IP、源端口、目的端口、報文協(xié)議通過遠程抓包獲取待測網絡中對應的通信報文。
全文摘要
本發(fā)明實施例公開了一種僵尸網絡的檢測方法、系統(tǒng)和設備，屬于網絡通信安全領域。所述方法包括接收待測網絡的通信報文；根據(jù)所述通信報文提取所述通信報文的僵尸網絡報文信息；根據(jù)所述僵尸網絡報文信息，提取僵尸主機IP和控制者IP；根據(jù)所述提取的僵尸主機IP和控制者IP，查詢所述所述僵尸主機IP和控制者IP對應的賬號。所述系統(tǒng)包括網絡探針、監(jiān)控分析中心和認證服務器。所述設備包括監(jiān)控分析中心。通過本發(fā)明提供的僵尸網絡的檢測方法，實時地檢測出了僵尸網絡，也可以對僵尸網絡實時地做出響應，解決了現(xiàn)有技術中基于事后分析而不能實時檢測和實時響應的問題，避免了僵尸網絡產生危害，使得網絡通信更加安全。
文檔編號H04L12/26GK101360019SQ200810149039
公開日2009年2月4日申請日期2008年9月18日優(yōu)先權日2008年9月18日
發(fā)明者李安坤申請人:華為技術有限公司

完整全部詳細技術資料下載