專利名稱:一種僵尸網(wǎng)絡檢測方法及系統(tǒng)以及相關(guān)設(shè)備的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通訊領(lǐng)域,尤其涉及一種僵尸網(wǎng)絡檢測方法及系統(tǒng)以及相關(guān) 設(shè)備�����。
背景技術(shù):
隨著網(wǎng)絡的發(fā)展�,黑客的攻擊行為也呈蔓延趨勢�����,僵尸網(wǎng)絡(Botnet)就 是其中的一種方式��,Botnet構(gòu)成了一個攻擊平臺����,利用這個平臺可以發(fā)起各 種各樣的攻擊行為�,可以導致整個基礎(chǔ)信息網(wǎng)絡或者重要應用系統(tǒng)癱瘓,也 可以導致大量機密或個人隱私泄漏��,還可以用來從事網(wǎng)絡欺詐等其他違法犯 罪活動�。分布式拒絕服務(DDOS, Distributed Denial Of Service)攻擊、發(fā)送 垃圾郵件����、竊取秘密、濫用資源是已經(jīng)發(fā)現(xiàn)的利用Botnet發(fā)動的攻擊行為����, 這些行為無論對整個網(wǎng)絡還是用戶自身都造成了比較嚴重的危害。隨著將來 出現(xiàn)各種新的攻擊類型����,Botnet還可能被用來發(fā)起新的未知攻擊���。
目前對僵尸網(wǎng)絡的研究才剛剛起步。當前緩解這種威脅的技術(shù)主要是著 眼于提前預防或?qū)羰录氖潞筇幚?����。通常情況是國家網(wǎng)絡安全監(jiān)測部門 在發(fā)現(xiàn)了某個大型站點或重要網(wǎng)絡受到僵尸網(wǎng)絡的攻擊時�����,才開始動員大量 的人力及相關(guān)部門進行協(xié)查����,需要經(jīng)過很長時間才能真正找到僵尸網(wǎng)絡的控 制中心和主要控制者�,但是這段時間內(nèi)所造成的經(jīng)濟損失是不可估量的。所 以探索一種有效的僵尸網(wǎng)絡檢測方法是非常必要的��。
現(xiàn)有技術(shù)中��,對僵尸網(wǎng)絡主要檢測方法可以為蜜網(wǎng)技術(shù)���,即通過密罐等 手段獲得bot程序樣本����,采用逆向工程等惡意代碼分析手段,獲得隱藏在代碼 中的登錄Botnet所需要的相關(guān)信息��,使用定制的僵尸程序登錄到僵尸網(wǎng)絡���, 進一步采取應對措施��。
但是����,上述現(xiàn)有技術(shù)中���,需要對采集到的bot程序樣本進行分析處理�����,并 且還需要使用從bot程序樣本中分析得到的相關(guān)信息登錄僵尸網(wǎng)絡才能夠進 行進一步的處理���,因此無法對僵尸網(wǎng)絡進行實時檢測。
發(fā)明內(nèi)容
本發(fā)明實施例提供了一種僵尸網(wǎng)絡檢測方法及系統(tǒng)以及相關(guān)設(shè)備��,能夠?qū)┦W(wǎng)絡進行實時才企測��。
本發(fā)明實施例提供的僵尸網(wǎng)絡檢測方法,包括檢測平臺接收安全檢測
設(shè)備發(fā)送的攻擊者信息�����,所述攻擊者信息為所述安全檢測設(shè)備檢測到數(shù)據(jù)攻
擊時生成���,所述攻擊者信息中至少包括攻擊者地址列表���;若檢測平臺確定所 述攻擊者地址列表中的地址不屬于已知的僵尸網(wǎng)絡,則對所述攻擊者地址列 表對應的各攻擊者進行報文監(jiān)控��;檢測平臺根據(jù)報文監(jiān)控的結(jié)果確定僵尸網(wǎng) 絡控制者信息�。
本發(fā)明實施例提供的僵尸網(wǎng)絡檢測系統(tǒng)���,包括安全檢測設(shè)備�����,用于檢 測數(shù)據(jù)攻擊����,并根據(jù)數(shù)據(jù)攻擊生成攻擊者信息�,所述攻擊者信息中至少包括 攻擊者地址列表;檢測平臺,用于接收所述安全檢測設(shè)備發(fā)送的攻擊者信息�, 若確定所述攻擊者地址列表中的地址不屬于已知的僵尸網(wǎng)絡,則對所述攻擊 者地址列表對應的各攻擊者進行報文監(jiān)控�,根據(jù)報文監(jiān)控的結(jié)果確定僵尸網(wǎng) 絡控制者信息。
本發(fā)明實施例提供的檢測平臺����,包括接收單元,用于接收安全檢測設(shè) 備發(fā)送的攻擊者信息�����,所述攻擊者信息為所述安全檢測設(shè)備檢測到數(shù)據(jù)攻擊 時生成�����,所述攻擊者信息中至少包括攻擊者地址列表�����;判斷單元���,用于判斷 所述攻擊者地址列表中的地址是否屬于已知的僵尸網(wǎng)絡�;報文監(jiān)控單元����,用 于當所述攻擊者地址列表中的地址不屬于已知的僵尸網(wǎng)絡時�����,對所述攻擊者 地址列表對應的各攻擊者進行報文監(jiān)控��;確定單元���,用于根據(jù)所述報文監(jiān)控 單元的報文監(jiān)控結(jié)果確定僵尸網(wǎng)絡控制者信息。
從以上技術(shù)方案可以看出���,本發(fā)明實施例具有以下優(yōu)點 本發(fā)明實施例中�,檢測平臺可以根據(jù)安全檢測設(shè)備發(fā)送的攻擊者信息對 各攻擊者進行報文監(jiān)控�,并根據(jù)報文監(jiān)控的結(jié)果確定僵尸網(wǎng)絡控制者信息, 本發(fā)明實施例的方案可以對正在進行攻擊的攻擊者進行實時的報文監(jiān)控����,從 而獲取到僵尸網(wǎng)絡的相關(guān)信息���,因此本發(fā)明實施例的方案能夠?qū)崿F(xiàn)對僵尸網(wǎng) 絡的實時檢測�。
為了更清楚地說明本發(fā)明實施例或現(xiàn)有技術(shù)中的技術(shù)方案�,下面將對實 施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作一簡單地介紹���,顯而易見地,下面描述中的附圖僅僅是本發(fā)明的一些實施例�����,對于本領(lǐng)域普通技術(shù)人員來講���, 在不付出創(chuàng)造性勞動性的前提下�����,還可以根據(jù)這些附圖獲得其他的附圖��。 圖1為本發(fā)明實施例中僵尸網(wǎng)絡檢測方法一個實施例示意圖2為本發(fā)明實施例中僵尸網(wǎng)絡檢測方法另 一 實施例示意圖���; 圖3為本發(fā)明實施例中僵尸網(wǎng)絡檢測方法再一實施例示意圖; 圖4為本發(fā)明實施例中僵尸網(wǎng)絡檢測系統(tǒng)一個實施例示意圖���; 圖5為本發(fā)明實施例中檢測平臺 一個實施例示意圖�; 圖6為本發(fā)明實施例中檢測平臺另 一 實施例示意圖��。
具體實施例方式
為了更清楚地說明本發(fā)明實施例或現(xiàn)有技術(shù)中的技術(shù)方案�,下面將對實 施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作一簡單地介紹�����,顯而易見地���,下 面描述中的附圖僅僅是本發(fā)明的 一些實施例,對于本領(lǐng)域普通技術(shù)人員來講�����, 在不付出創(chuàng)造性勞動性的前提下�,還可以根據(jù)這些附圖獲得其他的附圖。
本發(fā)明實施例提供了 一種僵尸網(wǎng)絡檢測方法及系統(tǒng)以及相關(guān)設(shè)備����,用于 對僵尸網(wǎng)絡進行實時4企測。
請參閱圖1,本發(fā)明實施例中的僵尸網(wǎng)絡檢測方法一個實施例包括
101�����、 檢測平臺接收安全檢測設(shè)備發(fā)送的攻擊者信息��;
本實施例中�,當安全檢測設(shè)備檢測到數(shù)據(jù)攻擊時�����,會根據(jù)該數(shù)據(jù)攻擊生 成攻擊者信息,并且將該攻擊者信息發(fā)送至檢測平臺�。
本實施例中的攻擊者信息中至少包括攻擊者地址列表,在實際應用中還 可以包括其他的信息����,具體此處不作限定。
102��、 若檢測平臺確定攻擊者地址列表中的地址不屬于已知的僵尸網(wǎng)絡���, 則對攻擊者地址列表對應的各攻擊者進行報文監(jiān)控�����;
本實施例中�����,檢測平臺在接收到安全檢測設(shè)備發(fā)送的攻擊者信息之后�, 若確定其中的攻擊者地址列表中的地址不屬于已知的僵尸網(wǎng)絡���,則對攻擊者
地址列表對應的各攻擊者進行報文監(jiān)控�。
103、 檢測平臺根據(jù)報文監(jiān)控的結(jié)果確定僵尸網(wǎng)絡控制者信息�����。
檢測平臺在對攻擊者進行報文監(jiān)控之后���,即可根據(jù)監(jiān)控的結(jié)果確定僵尸 網(wǎng)絡控制者信息�����,具體的確定過程將在后續(xù)實施例中進行詳細描述�。本實施例中����,檢測平臺可以根據(jù)安全檢測設(shè)備發(fā)送的攻擊者信息對各攻 擊者進行報文監(jiān)控,并根據(jù)報文監(jiān)控的結(jié)果確定僵尸網(wǎng)絡控制者信息�����,本發(fā) 明實施例的方案可以對正在進行攻擊的攻擊者進行實時的報文監(jiān)控����,從而獲 取到僵尸網(wǎng)絡的相關(guān)信息,因此本發(fā)明實施例的方案能夠?qū)崿F(xiàn)對僵尸網(wǎng)絡的 實時4全測。
上面從檢測平臺的角度對僵尸網(wǎng)絡檢測的過程進行了說明��,為便于理解����, 下面從安全檢測設(shè)備與檢測平臺之間交互的角度對上述僵尸網(wǎng)絡檢測過程進
行詳細描述����,請參閱圖2,本發(fā)明實施例中僵尸網(wǎng)絡4企測方法另 一實施例包括 201 、安全檢測設(shè)備檢測到數(shù)據(jù)攻擊����;
本實施例中,安全^r測"i殳備可以為DDOS檢觀H殳備�,或垃;及郵件(SPAM ) 檢測設(shè)備,或防火墻�����,或統(tǒng)一威脅管理(UTM, Unified Threat Management) 檢測設(shè)備�,或其他類型的安全檢測設(shè)備。
則對應的�����,安全4企測設(shè)備4全測到的數(shù)據(jù)攻擊為DDOS攻擊,或SPAM攻 擊�,或防火墻攻擊,或UTM攻擊����,或其他類型的數(shù)據(jù)攻擊。
需要說明的是�,本實施例中,安全檢測設(shè)備檢測數(shù)據(jù)攻擊的過程為本領(lǐng) 域技術(shù)人員的公知常識�����。
202�����、安全檢測設(shè)備生成攻擊者信息���;
本實施例中���,安全檢測設(shè)備檢測到數(shù)據(jù)攻擊之后,即可根據(jù)該數(shù)據(jù)攻擊 生成攻擊者信息�����,具體的攻擊者信息中至少包括攻擊者地址列表,另外還可 以包4#其他的一些信息��。
本實施例中的攻擊者信息可以包括"被攻擊對象互聯(lián)網(wǎng)協(xié)議(IP, Internet Protocol)地址�,,,"攻擊者IP地址列表"��,"攻擊類型","攻擊目的端口","攻 擊發(fā)起時間��,���,,"攻擊結(jié)束時間"����,"攻擊次數(shù)","攻擊特征"等��。 其中�����,"被攻擊對象IP地址"是指被數(shù)據(jù)攻擊的主機IP地址���; "攻擊者IP地址列表�����,��,是指發(fā)起數(shù)據(jù)攻擊的真實主機IP地址集合���; "攻擊類型"是指數(shù)據(jù)攻擊的具體類型�����,或者更細的子類型����; "攻擊目的端口 "是指被數(shù)據(jù)攻擊的主機端口 ���; "攻擊發(fā)起時間"是指數(shù)據(jù)攻擊發(fā)起的時間��; "攻擊結(jié)束時間"是指數(shù)據(jù)攻擊結(jié)束的時間����;"攻擊次數(shù)"是指主機被連續(xù)攻擊的次數(shù)����;
"攻擊特征"是指從攻擊報文中提取出的一些報文信息或采樣數(shù)據(jù)���。 需要說明的是,本實施例中所描述的攻擊者信息僅是一個具體的實例��, 在實際應用中��,該攻擊者信息還可以包括其他更多的信息��,具體此處不作限 定�����。
本實施例中是以IP地址作為地址的例子進行說明��,可以理解的是��,在實 際應用中��,同樣可以采用其他類型的地址�,具體類型此處不作限定�����。
203 ��、檢測平臺接收安全檢測設(shè)備發(fā)送的攻擊者信息;
安全檢測設(shè)備在生成攻擊者信息之后����,即可將該攻擊者信息發(fā)送至檢測 平臺。
204��、 判斷攻擊者地址列表中的地址是否屬于已知僵尸網(wǎng)絡����,若是,則執(zhí) 行步驟207,若否�����,則執(zhí)行步驟205;
當檢測平臺接收到安全檢測設(shè)備發(fā)送的攻擊者信息之后�����,即可從其中的 攻擊者地址列表判斷該列表中的地址是否屬于已知僵尸網(wǎng)絡��。
需要說明的是����,本實施例中,當檢測平臺檢測出一個新的僵尸網(wǎng)絡之后����, 即會將該僵尸網(wǎng)絡的相關(guān)信息��,例如控制者地址�,受控者地址等�����,存儲在本 地�,則后續(xù)獲取到攻擊者地址列表時,即可判斷該地址是否屬于已知的僵尸 網(wǎng)絡�����。
205����、 對攻擊者地址列表對應的各攻擊者進行報文監(jiān)控�; 本實施例中,若確定攻擊者地址列表中的地址不屬于已知僵尸網(wǎng)絡����,則
說明安全檢測設(shè)備檢測到的數(shù)據(jù)攻擊來自 一個未知的僵尸網(wǎng)絡,則檢測平臺 會對攻擊者進行報文監(jiān)控��,即截獲流經(jīng)攻擊者的報文,并進行分析����。
需要說明的是,本實施例中的報文監(jiān)控可以設(shè)置預置時長�,即在該時長 內(nèi)對攻擊者進行報文監(jiān)控。
206�����、 檢測平臺根據(jù)報文監(jiān)控結(jié)果確定僵尸網(wǎng)絡控制者信息�,并執(zhí)行步驟
208;
本實施例中,當檢測平臺對攻擊者進行報文監(jiān)控之后即得到監(jiān)控結(jié)果�����, 檢測平臺即可根據(jù)該監(jiān)控結(jié)果判斷在該預置時長之內(nèi)這些攻擊者與哪一個地 址之間的通信比較頻繁���,若檢測到各攻擊者都與同一個地址通信頻繁����,且頻繁程度超過了預置的門限�����,則可確定該地址對應的主機為僵尸網(wǎng)絡控制者, 該地址即僵尸網(wǎng)絡控制者地址���。
需要說明的是����,在確定了僵尸網(wǎng)絡控制者信息之后����,即可將該僵尸網(wǎng)絡 控制者的地址以及攻擊者的地址存儲在本地,并且設(shè)置該僵尸網(wǎng)絡為已知僵 尸網(wǎng)絡��。
207���、 檢測平臺根據(jù)本地存儲的信息查詢僵尸網(wǎng)絡控制者信息����; 本實施例中����,若確定攻擊者地址列表中的地址屬于已知僵尸網(wǎng)絡����,則由
于檢測平臺本地已經(jīng)保存了該已知僵尸網(wǎng)絡的相關(guān)信息�����,則可以直接查詢到 該僵尸網(wǎng)絡的控制者信息���。
208、 檢測平臺將僵尸網(wǎng)絡控制者信息發(fā)送至安全檢測設(shè)備�����。
本實施例中����,當檢測平臺確定了僵尸網(wǎng)絡控制者信息之后,即可將該僵 尸網(wǎng)絡控制者信息發(fā)送至安全檢測設(shè)備���,以便于安全檢測設(shè)備根據(jù)該僵尸網(wǎng) 絡控制者信息進行后續(xù)處理�����,例如攻擊反制等��。
需要說明的是���,本實施例中步驟208為可選步驟��,在某些情況下�,檢測 平臺無需將僵尸網(wǎng)絡控制者信息發(fā)送至安全檢測設(shè)備�,例如當安全檢測設(shè)備 為SPAM檢測設(shè)備時,該SPAM檢測設(shè)備一旦檢測到垃圾郵件攻擊�����,則可直 接將該郵件地址列入黑名單�,并拒收該地址發(fā)送的郵件,所以也可以無需發(fā) 送僵尸網(wǎng)絡控制者信息���。
本實施例中��,檢測平臺可以根據(jù)安全檢測設(shè)備發(fā)送的攻擊者信息對各攻 擊者進行報文監(jiān)控����,并根據(jù)報文監(jiān)控的結(jié)果確定僵尸網(wǎng)絡控制者信息�����,本發(fā) 明實施例的方案可以對正在進行攻擊的攻擊者進行實時的報文監(jiān)控����,從而獲 取到僵尸網(wǎng)絡的相關(guān)信息,因此本發(fā)明實施例的方案能夠?qū)崿F(xiàn)對僵尸網(wǎng)絡的 實時檢測�;
其次,本實施例中���,在確定僵尸網(wǎng)絡控制者信息時���,利用了僵尸網(wǎng)絡的 特性,查詢與各攻擊者通信最頻繁的地址作為僵尸網(wǎng)絡控制者的地址����,因此 能夠有效地提高檢測的準確性;
再次����,本實施例中,檢測平臺在確定了僵尸網(wǎng)絡控制者信息之后�����,可以 將該僵尸網(wǎng)絡控制者信息發(fā)送至安全檢測設(shè)備���,因此能夠使得安全檢測設(shè)備 可以進行溯源��,根據(jù)該僵尸網(wǎng)絡控制者信息執(zhí)行后續(xù)處理���,從而進一步保障了網(wǎng)絡安全性�����。
為便于理解�����,下面以一具體實例對檢測平臺對未知僵尸網(wǎng)絡的檢測過程 進行詳細描述���,請參閱圖3,本發(fā)明實施例中僵尸網(wǎng)絡檢測方法再一實施例包
括
301 ��、安全檢測設(shè)備檢測到數(shù)據(jù)攻擊���;
本實施例中的步驟301與圖2所示的實施例中的步驟201相同�,此處不 再贅述���。
302 ~ 303�、安全檢測設(shè)備通過檢測平臺的后臺向檢測平臺的前臺發(fā)送攻 擊者黑名單列表�;
本實施例中的攻擊者黑名單列表中包含有各攻擊者的地址��。
304��、 檢測平臺的前臺對黑名單列表中的攻擊者進行監(jiān)控;
305�����、 檢測平臺的前臺向檢測平臺的后臺發(fā)送三元組信息����; 本實施例中,檢測平臺的前臺對攻擊者進行監(jiān)控之后得到監(jiān)控結(jié)果�����,即
三元組信息���,該三元組信息包括攻擊者的IP地址�,與攻擊者通訊的對端IP i也址以及通i孔端口 �����。
需要說明的是�����,本實施例中的三元組信息還可以進一步擴展為更多的元 素,包含更多的信息���,此處不作限定�。
306�����、 檢測平臺的后臺分析控制者信息��;
本實施例中����,檢測平臺的后臺接收到三元組信息之后,即可獲取與攻擊 者地址通訊的對端地址中重復出現(xiàn)次數(shù)最多的可疑地址����,并且判斷該可疑地 址在所有的與攻擊者地址通訊的對端地址中所占的比例是否大于預置門限 值,若是�����,則確定可疑地址為僵尸網(wǎng)絡控制者的地址��。,.
307��、 檢測平臺的后臺將僵尸網(wǎng)絡控制者的地址發(fā)送至檢測平臺的前臺���;
308��、 檢測平臺的前臺對該僵尸網(wǎng)絡控制者進行監(jiān)控; 檢測平臺的前臺獲取到僵尸網(wǎng)絡控制者的地址之后�,即可對該地址的通
訊進行監(jiān)控,從而獲得更多的僵尸網(wǎng)絡控制者的信息�����。
309����、 檢測平臺將監(jiān)控到的僵尸網(wǎng)絡控制者的報文發(fā)送至檢測平臺的后
臺
310、 檢測平臺的后臺更新本地數(shù)據(jù)庫�,保存僵尸網(wǎng)絡控制者的地址以及攻擊者的地址。本實施例中�,檢測平臺的后臺還可以通過步驟311將僵尸網(wǎng)絡控制者的 地址發(fā)送至安全檢測設(shè)備以便進行后續(xù)處理。下面以 一具體的應用場景以及實際的參數(shù)對上述的僵尸網(wǎng)絡檢測過程進行描述���,本實施例中以DDOS檢測設(shè)備作為安全檢測設(shè)備為例�,以DDOS攻 擊作為數(shù)據(jù)攻擊為例當DDOS檢測設(shè)備檢測到DDOS攻擊時,則會根據(jù)該DDOS攻擊生成攻 擊者信息�����,該攻擊者信息中包含有攻擊者地址列表��,具體的地址包括 "192.168.0.1", "192.168.0.2", "192.168.0.3"以及"192.168.0.4"����。檢測平臺接收到DDOS檢測設(shè)備發(fā)送的攻擊者信息中的攻擊者地址列表 之后,即可判斷本地是否已經(jīng)保存有這些地址�;若已經(jīng)保存有,則說明發(fā)起DDOS攻擊的僵尸網(wǎng)絡是一個已知的僵尸網(wǎng) 絡�,則檢測平臺在本地查詢該僵尸網(wǎng)絡的控制者地址為"192.168.0.5",則可 以將該僵尸網(wǎng)絡的控制者地址"192.168.0.5"發(fā)送至DDOS 4金測設(shè)備進行后 續(xù)處理。若尚未保存這些地址��,則說明發(fā)起DDOS攻擊的僵尸網(wǎng)絡是一個未知的 僵尸網(wǎng)絡�����,則檢測平臺可以對這些攻擊者進行報文監(jiān)控�����,具體可以設(shè)置一個 時長,例如為IO分鐘����,則檢測平臺會監(jiān)控IO分鐘內(nèi)流經(jīng)這些攻擊者的報文, 并生成三元組信息���,即"攻擊者IP地址��;通訊對端IP地址����;通訊端口��,�����,�����,例 如具體的三元組信息可以如下所示"192.168.0.1; 192.168.0.7; 111", "192.168.0.1; 192.168.0.7; 111"���, "192.168.0.1; 192.168.0.7; 111", "192.168.0.1; 192.168.0.7; 111", "192.168.0.2; 192.168.0.7; 111", "192.168.0.2; 192.168.0.7; 111", "192.168.0.2; 192.168.0.7; 111", "192.168.0.3; 192.168.0.7; 111", "192.168.0.3; 192.168.0.7; 111", "192.168.0.3; 192.168.0.7; 111", "192.168.0.4; 192.168.0.9; 155", "192.168.0.4; 192.168.0.7; 111"�, "192.168.0.4; 192.168.0.7; 111"。由上可以看出���,這四個攻擊者在10分鐘總共進行了 13次通訊�,其中有 12次通訊都是與地址為"192.168.0.7"的主機進行的���,且通訊端口都為lll, 僅有一次是與地址為"192.168.0.9"的主機進行的�����,也就是i兌����,攻擊者與地址為"192.168.0.7"的主機通訊非常頻繁�����,根據(jù)僵尸網(wǎng)絡的特性可知���,該 "192.168.0.7"地址為可疑地址�����,假設(shè)在實際應用中設(shè)置有一門限值�����,具體數(shù)值與實際應用相關(guān),例如為90%,即表示各攻擊者在所有的通訊中有90%的通訊都是與同 一主機進行的,則本實施例中的四個攻擊者與地址為 "192.168.0.9"的主才幾通訊的次數(shù)占總通訊次數(shù)的比例為12/13,大于90%,則可以確定該可疑地址"192.168.0.7"為僵尸網(wǎng)絡控制者的地址��。檢測平臺將該僵尸網(wǎng)絡控制者的地址以及攻擊者的地址進行保存,則該僵尸網(wǎng)絡即設(shè)置為已知僵尸網(wǎng)絡。檢測平臺還可以景僵尸網(wǎng)絡控制者的地址發(fā)送至DDOS檢測設(shè)備進行溯 源以便執(zhí)行后續(xù)處理。本實施例中���,檢測平臺可以根據(jù)安全檢測設(shè)備發(fā)送的攻擊者信息對各攻 擊者進行報文監(jiān)控,并根據(jù)報文監(jiān)控的結(jié)果確定僵尸網(wǎng)絡控制者信息����,本發(fā) 明實施例的方案可以對正在進行攻擊的攻擊者進行實時的報文監(jiān)控,從而獲 取到僵尸網(wǎng)絡的相關(guān)信息�����,因此本發(fā)明實施例的方案能夠?qū)崿F(xiàn)對僵尸網(wǎng)絡的 實時檢測�;其次�����,本實施例中,在確定僵尸網(wǎng)絡控制者信息時��,利用了僵尸網(wǎng)絡的 特性��,查詢與各攻擊者通信最頻繁的地址作為僵尸網(wǎng)絡控制者的地址�����,因此 能夠有效地提高檢測的準確性����;再次,本實施例中��,檢測平臺在確定了僵尸網(wǎng)絡控制者信息之后�,可以 將該僵尸網(wǎng)絡控制者信息發(fā)送至安全檢測設(shè)備,因此能夠使得安全檢測設(shè)備 可以進行溯源����,根據(jù)該僵尸網(wǎng)絡控制者信息執(zhí)行后續(xù)處理,從而進一步保障 了網(wǎng)絡安全性�。下面介紹本發(fā)明實施例中的僵尸網(wǎng)絡檢測系統(tǒng),請參閱圖4,本發(fā)明實施 例中的僵尸網(wǎng)絡檢測系統(tǒng)一個實施例包括安全檢測設(shè)備401�����,用于檢測數(shù)據(jù)攻擊,并根據(jù)數(shù)據(jù)攻擊生成攻擊者信息�����, 攻擊者信息中至少包括攻擊者地址列表�;檢測平臺402,用于接收安全檢測設(shè)備發(fā)送的攻擊者信息����,若確定攻擊者 地址列表中的地址不屬于已知的僵尸網(wǎng)絡,則對攻擊者地址列表對應的各攻 擊者進行報文監(jiān)控����,根據(jù)報文監(jiān)控的結(jié)果確定僵尸網(wǎng)絡控制者信息。本實施例中的檢測平臺402還用于將確定的僵尸網(wǎng)絡控制者信息發(fā)送至安全檢測設(shè)備401;安全檢測設(shè)備401還用于接收檢測平臺402發(fā)送的僵尸網(wǎng)絡控制者信息���。 本實施例中的安全檢測設(shè)備可以為DDOS檢測設(shè)備�����,或SPAM檢測設(shè)備,或防火墻�,或UTM檢測設(shè)備。為便于理解����,下面以一具體應用場景對本發(fā)明實施例中的僵尸網(wǎng)絡檢測系統(tǒng)進行i兌明本實施例中����,安全4企測設(shè)備401可以為DDOS 4企測設(shè)備����,或垃圾郵件 (SPAM)檢測設(shè)備,或防火墻����,或UTM檢測設(shè)備,或其他類型的安全檢測 設(shè)備��。則對應的��,安全檢測設(shè)備401檢測到的數(shù)據(jù)攻擊為DDOS攻擊��,或SPAM 攻擊��,或防火墻攻擊���,或UTM攻擊�,或其他類型的數(shù)據(jù)攻擊�����。需要說明的是,本實施例中���,安全檢測設(shè)備401 4全測數(shù)據(jù)攻擊的過程為 本領(lǐng)域技術(shù)人員的公知常識�����。安全檢測設(shè)備401檢測到數(shù)據(jù)攻擊之后��,即可根據(jù)該數(shù)據(jù)攻擊生成攻擊 者信息����,具體的攻擊者信息中至少包括攻擊者地址列表�,另外還可以包括其 他的一些信息。安全檢測設(shè)備401在生成攻擊者信息之后����,即可將該攻擊者信息發(fā)送至 4全測平臺402。當檢測平臺402接收到安全檢測設(shè)備401發(fā)送的攻擊者信息之后��,即可 從其中的攻擊者地址列表判斷該列表中的地址是否屬于已知僵尸網(wǎng)絡����。需要說明的是,當檢測平臺402檢測出一個新的僵尸網(wǎng)絡之后,即會將 該僵尸網(wǎng)絡的相關(guān)信息��,例如包括控制者地址���,受控者地址等�����,存儲在本地�, 則后續(xù)獲取到攻擊者地址列表時�����,即可判斷該地址是否屬于已知的僵尸網(wǎng)絡�����。若確定攻擊者地址列表中的地址不屬于已知僵尸網(wǎng)絡�,則說明安全檢測 設(shè)備401檢測到的數(shù)據(jù)攻擊來自 一個未知的僵尸網(wǎng)絡,則檢測平臺402會對 攻擊者進行報文監(jiān)控���,即截獲流經(jīng)攻擊者的報文��,并進行分析����。檢測平臺402對攻擊者進行報文監(jiān)控之后即得到監(jiān)控結(jié)果,檢測平臺402 即可根據(jù)該監(jiān)控結(jié)果判斷在該預置時長之內(nèi)這些攻擊者與哪一個地址之間的各攻擊者都與同一個地址通信頻繁���,且頻繁程度超 過了預置的門限���,則可確定該地址對應的主機為僵尸網(wǎng)絡控制者,該地址即 僵尸網(wǎng)絡控制者地址�����。需要說明的是�,在檢測平臺402確定了僵尸網(wǎng)絡控制者信息之后,檢測 平臺402即可將該僵尸網(wǎng)絡控制者的地址以及攻擊者的地址存儲在本地�����,并 且設(shè)置該僵尸網(wǎng)絡為已知僵尸網(wǎng)絡��。若確定攻擊者地址列表中的地址屬于已知僵尸網(wǎng)絡��,則由于檢測平臺402 本地已經(jīng)保存了該已知僵尸網(wǎng)絡的相關(guān)信息����,則可以直4矣查詢到該僵尸網(wǎng)絡 的控制者信息�����。當檢測平臺402確定了僵尸網(wǎng)絡控制者信息之后,即可將該僵尸網(wǎng)絡控 制者信息發(fā)送至安全檢測設(shè)備401�,以便于安全檢測設(shè)備401根據(jù)該僵尸網(wǎng)絡 控制者信息進行后續(xù)處理,例如攻擊反制等���。本實施例中��,檢測平臺402可以根據(jù)安全檢測設(shè)備401發(fā)送的攻擊者信 息對各攻擊者進行報文監(jiān)控��,并根據(jù)報文監(jiān)控的結(jié)果確定僵尸網(wǎng)絡控制者信 息����,本發(fā)明實施例的方案可以對正在進行攻擊的攻擊者進行實時的報文監(jiān)控����, 從而獲取到僵尸網(wǎng)絡的相關(guān)信息,因此本發(fā)明實施例的方案能夠?qū)崿F(xiàn)對僵尸 網(wǎng)纟各的實時檢測�����;其次,本實施例中���,檢測平臺402在確定僵尸網(wǎng)絡控制者信息時�����,利用 了僵尸網(wǎng)絡的特性����,查詢與各攻擊者通信最頻繁的地址作為僵尸網(wǎng)絡控制者 的地址�����,因此能夠有效地提高檢測的準確性�;再次,本實施例中����,檢測平臺402在確定了僵尸網(wǎng)絡控制者信息之后, 可以將該僵尸網(wǎng)絡控制者信息發(fā)送至安全檢測設(shè)備401,因此能夠使得安全檢 測設(shè)備401可以進行溯源�����,根據(jù)該僵尸網(wǎng)絡控制者信息執(zhí)行后續(xù)處理�����,從而 進一步保障了網(wǎng)絡安全性。下面介紹本發(fā)明實施例中的檢測平臺實施例�,請參閱圖5,本發(fā)明實施例 中的檢測平臺 一個實施例包括接收單元501,用于接收安全檢測設(shè)備發(fā)送的攻擊者信息,攻擊者信息為 安全檢測設(shè)備檢測到數(shù)據(jù)攻擊時生成�,攻擊者信息中至少包括攻擊者地址列表;判斷單元502,用于判斷攻擊者地址列表中的地址是否屬于已知的僵尸網(wǎng)絡�;報文監(jiān)控單元503,用于當攻擊者地址列表中的地址不屬于已知的僵尸網(wǎng) 絡時�����,對攻擊者地址列表對應的各攻擊者進行報文監(jiān)控�;確定單元504��,用于根據(jù)報文監(jiān)控單元503的報文監(jiān)控結(jié)果確定僵尸網(wǎng)絡 控制者信息�����。本發(fā)明實施例中����,報文監(jiān)控單元503可以根據(jù)安全檢測設(shè)備發(fā)送的攻擊 者信息對各攻擊者進行報文監(jiān)控,確定單元504根據(jù)報文監(jiān)控的結(jié)果確定僵 尸網(wǎng)絡控制者信息��,本發(fā)明實施例的方案可以對正在進行攻擊的攻擊者進行 實時的報文監(jiān)控,從而獲取到僵尸網(wǎng)絡的相關(guān)信息�����,因此本發(fā)明實施例的方 案能夠?qū)崿F(xiàn)對僵尸網(wǎng)絡的實時檢測�����。為便于理解���,下面對本發(fā)明實施例中的4全測平臺進行詳細介紹�,請參閱 圖6,本發(fā)明實施例中的檢測平臺另 一實施例包括接收單元601,用于接收安全檢測設(shè)備發(fā)送的攻擊者信息�����,攻擊者信息為 安全檢測設(shè)備檢測到數(shù)據(jù)攻擊時生成��,攻擊者信息中至少包括攻擊者地址列表����;判斷單元602,用于判斷攻擊者地址列表中的地址是否屬于已知的僵尸網(wǎng)絡�;報文監(jiān)控單元603,用于當攻擊者地址列表中的地址不屬于已知的僵尸網(wǎng) 絡時,對攻擊者地址列表對應的各攻擊者進行報文監(jiān)控����;確定單元604,用于根據(jù)報文監(jiān)控單元603的報文監(jiān)控結(jié)果確定僵尸網(wǎng)絡 控制者信息�。本實施例中確定單元604確定僵尸網(wǎng)絡控制者信息的過程與前述圖2所 示的實施例中檢測平臺確定僵尸網(wǎng)絡控制者信息的過程類似����,此處不再贅述。 本實施例中的檢測平臺還可以進一步包括設(shè)置單元605,用于存儲僵尸網(wǎng)絡控制者的地址以及攻擊者的地址���,并設(shè) 置僵尸網(wǎng)絡控制者所在的僵尸網(wǎng)絡為已知的僵尸網(wǎng)絡�。 本實施例中的檢測平臺還可以進一 步包括查詢單元606����,用于當攻擊者地址列表中的地址屬于已知的僵尸網(wǎng)絡時�����,根據(jù)本地存儲的信息查詢僵尸網(wǎng)絡控制者信息��。 本實施例中的檢測平臺還可以進一步包括發(fā)送單元607����,用于將僵尸網(wǎng)絡控制者信息發(fā)送至安全檢測設(shè)備。需要i兌明的是�,本實施例中的確定單元604還可以進一步包括生成子單元6041���,用于按照報文監(jiān)控的結(jié)果生成三元組信息,所述三元 組信息包括攻擊者地址���,與所述攻擊者地址通訊的對端i也址�����,以及通訊端口�����;獲取子單元6042,用于獲取與所述攻擊者地址通訊的對端地址中重復出 現(xiàn)次數(shù)最多的可疑地址�;校驗子單元6043�,用于判斷所述可疑地址在所有的與所述攻擊者地址通 訊的對端地址中所占的比例是否大于預置門限值,若是���,則確定所述可疑地 址為僵尸網(wǎng)絡控制者的地址��。本實施例中����,生成子單元6041生成三元組信息的過程�����,獲取子單元6042 獲取可疑地址的過程,以及校驗子單元6043進行校驗的過程與前述圖3所述 的過程類似�����,此處不再贅述����。本發(fā)明實施例中,報文監(jiān)控單元603可以根據(jù)安全檢測設(shè)備發(fā)送的攻擊 者信息對各攻擊者進行報文監(jiān)控���,確定單元604根據(jù)報文監(jiān)控的結(jié)果確定僵 尸網(wǎng)絡控制者信息�����,本發(fā)明實施例的方案可以對正在進行攻擊的攻擊者進行 實時的報文監(jiān)控,從而獲取到僵尸網(wǎng)絡的相關(guān)信息����,因此本發(fā)明實施例的方 案能夠?qū)崿F(xiàn)對僵尸網(wǎng)絡的實時檢測。是可以通過程序來指令相關(guān)的硬件完成����,所述的程序可以存儲于一種計算機 可讀存儲介質(zhì)中���,上述提到的存儲介質(zhì)可以是只讀存儲器,磁盤或光盤等�����。以上對本發(fā)明所提供的 一種僵尸網(wǎng)絡檢測方法及系統(tǒng)以及相關(guān)設(shè)備進行 了詳細介紹�,對于本領(lǐng)域的一般技術(shù)人員,依據(jù)本發(fā)明實施例的思想�����,在具 體實施方式及應用范圍上均會有改變之處�,綜上所述,本說明書內(nèi)容不應理 解為對本發(fā)明的限制���。
權(quán)利要求
1���、一種僵尸網(wǎng)絡檢測方法,其特征在于����,包括檢測平臺接收安全檢測設(shè)備發(fā)送的攻擊者信息,所述攻擊者信息為所述安全檢測設(shè)備檢測到數(shù)據(jù)攻擊時生成,所述攻擊者信息中至少包括攻擊者地址列表�����;若檢測平臺確定所述攻擊者地址列表中的地址不屬于已知的僵尸網(wǎng)絡�,則對所述攻擊者地址列表對應的各攻擊者進行報文監(jiān)控;檢測平臺根據(jù)報文監(jiān)控的結(jié)果確定僵尸網(wǎng)絡控制者信息�。
2、 根據(jù)權(quán)利要求1所述的方法�,其特征在于,所述安全檢測設(shè)備為分布式拒絕服務檢測設(shè)備��,所述安全檢測設(shè)備^f企測 到的數(shù)據(jù)攻擊為分布式拒絕服務攻擊�����;或���,所述安全檢測設(shè)備為垃圾郵件檢測設(shè)備��,所述安全檢測設(shè)備檢測到的數(shù) 據(jù)攻擊為垃圾郵件攻擊����;或����,所述安全檢測設(shè)備為防火墻,所述安全檢測設(shè)備檢測到的數(shù)據(jù)攻擊為防 火墻攻擊��;或���,所述安全檢測設(shè)備為統(tǒng)一威脅管理檢測設(shè)備���,所述安全檢測設(shè)備檢測到的數(shù)據(jù)攻擊為統(tǒng)一威脅管理攻擊。
3��、 根據(jù)權(quán)利要求1或2所述的方法�����,其特征在于����,所述檢測平臺根據(jù)報 文監(jiān)控的結(jié)果確定僵尸網(wǎng)絡控制者信息包括檢測平臺按照報文監(jiān)控的結(jié)果生成三元組信息,所述三元組信息包括攻 擊者地址���,與所述攻擊者地址通訊的對端地址��,以及通訊端口��;檢測平臺獲取與所述攻擊者地址通訊的對端地址中重復出現(xiàn)次數(shù)最多的 可疑地址���;檢測平臺判斷所述可疑地址在所有的與所述攻擊者地址通訊的對端地址 中所占的比例是否大于預置門限值�,若是��,則確定所述可疑地址為僵尸網(wǎng)絡 控制者的地址����。
4、 根據(jù)權(quán)利要求3所述的方法����,其特征在于,所述確定所述可疑地址為 僵尸網(wǎng)絡控制者的地址之后還包括存儲所述僵尸網(wǎng)絡控制者的地址以及攻擊者的地址�,并設(shè)置所述僵尸網(wǎng) 絡控制者所在的僵尸網(wǎng)絡為已知的僵尸網(wǎng)絡。
5��、 根據(jù)權(quán)利要求1或2所述的方法�����,其特征在于��,所述檢測平臺根據(jù)報 文監(jiān)控的結(jié)果確定僵尸網(wǎng)絡控制者信息之后還包括檢測平臺將確定的僵尸網(wǎng)絡控制者信息發(fā)送至所述安全檢測設(shè)備���。
6�����、 根據(jù)權(quán)利要求1或2所述的方法����,其特征在于����,所述方法還包括 若檢測平臺確定所述攻擊者地址列表中的地址屬于已知的僵尸網(wǎng)絡,則根據(jù)本地存儲的信息查詢所述僵尸網(wǎng)絡控制者信息�;檢測平臺將確定的僵尸網(wǎng)絡控制者信息發(fā)送至所述安全檢測設(shè)備。
7��、 一種僵尸網(wǎng)絡檢測系統(tǒng)�,其特征在于,包括安全檢測設(shè)備�,用于檢測數(shù)據(jù)攻擊,并根據(jù)數(shù)據(jù)攻擊生成攻擊者信息���, 所述攻擊者信息中至少包括攻擊者地址列表���;檢測平臺�����,用于接收所述安全檢測設(shè)備發(fā)送的攻擊者信息�����,若確定所述 攻擊者地址列表中的地址不屬于已知的僵尸網(wǎng)絡�����,則對所述攻擊者地址列表 對應的各攻擊者進行報文監(jiān)控��,根據(jù)報文監(jiān)控的結(jié)果確定僵尸網(wǎng)絡控制者信 息����。
8��、 根據(jù)權(quán)利要求7所述的僵尸網(wǎng)絡檢測系統(tǒng)���,其特征在于�����,所述檢測平 臺還用于將確定的僵尸網(wǎng)絡控制者信息發(fā)送至所述安全檢測設(shè)備���;所述安全檢測設(shè)備還用于接收所述檢測平臺發(fā)送的僵尸網(wǎng)絡控制者信自
9����、 根據(jù)權(quán)利要求7或8所述的僵尸網(wǎng)絡檢測系統(tǒng)�,其特征在于�, 所述安全檢測設(shè)備為分布式拒絕服務檢測設(shè)備,所述安全檢測設(shè)備檢測到的攻擊為分布式拒絕服務攻擊����;或,所述安全檢測設(shè)備為垃圾郵件檢測設(shè)備����,所述安全檢測設(shè)備檢測到的攻 擊為垃圾郵件攻擊;或����,所述安全檢測設(shè)備為防火墻,所述安全檢測設(shè)備檢測到的攻擊為防火墻 攻擊5 或5所述安全檢測設(shè)備為統(tǒng)一威脅管理檢測設(shè)備���,所述安全4企測設(shè)備檢測到 的攻擊為統(tǒng)一威脅管理攻擊���。
10��、 一種檢測平臺��,其特征在于�����,包括接收單元�����,用于接收安全檢測設(shè)備發(fā)送的攻擊者信息����,所述攻擊者信息為所述安全檢測設(shè)備檢測到數(shù)據(jù)攻擊時生成��,所述攻擊者信息中至少包括攻擊者地址列表���;判斷單元���,用于判斷所述攻擊者地址列表中的地址是否屬于已知的僵尸網(wǎng)絡;報文監(jiān)控單元��,用于當所述攻擊者地址列表中的地址不屬于已知的僵尸 網(wǎng)絡時�,對所述攻擊者地址列表對應的各攻擊者進行報文監(jiān)控�;確定單元�����,用于根據(jù)所述報文監(jiān)控單元的報文監(jiān)控結(jié)果確定僵尸網(wǎng)絡控 制者信息���。
11�、 根據(jù)權(quán)利要求IO所述的檢測平臺����,其特征在于�����,所述檢測平臺還包括設(shè)置單元����,用于存儲僵尸網(wǎng)絡控制者的地址以及攻擊者的地址,并設(shè)置 所述僵尸網(wǎng)絡控制者所在的僵尸網(wǎng)絡為已知的僵尸網(wǎng)絡�。
12、 根據(jù)權(quán)利要求IO所述的檢測平臺�����,其特征在于,所述檢測平臺還包括查詢單元���,用于當所述攻擊者地址列表中的地址屬于已知的僵尸網(wǎng)絡時���, 根據(jù)本地存儲的信息查詢所述僵尸網(wǎng)絡控制者信息。
13��、 根據(jù)權(quán)利要求10至12中任一項所述的檢測平臺����,其特征在于,所 述檢測平臺還包括發(fā)送單元�,用于將僵尸網(wǎng)絡控制者信息發(fā)送至所述安全檢測設(shè)備。
14���、 根據(jù)權(quán)利要求10至12中任一項所述的檢測平臺��,其特征在于���,所 述確定單元包括生成子單元,用于按照報文監(jiān)控的結(jié)果生成三元組信息�,所述三元組信 息包括攻擊者地址,與所述攻擊者地址通訊的對端地址,以及通訊端口��;獲取子單元��,用于獲取與所述攻擊者地址通訊的對端地址中重復出現(xiàn)次 數(shù)最多的可疑地址���;校驗子單元�����,用于判斷所述可疑地址在所有的與所述攻擊者地址通訊的 對端地址中所占的比例是否大于預置門限值�,若是���,則確定所述可疑地址為 僵尸網(wǎng)絡控制者的地址�。
全文摘要
本發(fā)明實施例公開了一種僵尸網(wǎng)絡檢測方法及系統(tǒng)以及相關(guān)設(shè)備���,用于對僵尸網(wǎng)絡進行實時檢測。本發(fā)明實施例方法包括檢測平臺接收安全檢測設(shè)備發(fā)送的攻擊者信息�����,所述攻擊者信息為所述安全檢測設(shè)備檢測到數(shù)據(jù)攻擊時生成�,所述攻擊者信息中至少包括攻擊者地址列表;若檢測平臺確定所述攻擊者地址列表中的地址不屬于已知的僵尸網(wǎng)絡,則對所述攻擊者地址列表對應的各攻擊者進行報文監(jiān)控�;檢測平臺根據(jù)報文監(jiān)控的結(jié)果確定僵尸網(wǎng)絡控制者信息。本發(fā)明實施例還提供一種僵尸網(wǎng)絡檢測系統(tǒng)以及相關(guān)設(shè)備��。本發(fā)明實施例可以對僵尸網(wǎng)絡進行有效地實時檢測�����。
文檔編號H04L12/26GK101621428SQ200910160680
公開日2010年1月6日 申請日期2009年7月29日 優(yōu)先權(quán)日2009年7月29日
發(fā)明者武 蔣 申請人:成都市華為賽門鐵克科技有限公司