專利名稱:一種僵尸網(wǎng)絡檢測方法及裝置的制作方法
技術領域:
本發(fā)明涉及計算機網(wǎng)絡���,特別是指一種僵尸網(wǎng)絡的檢測方法和裝置����。
背景技術:
僵尸網(wǎng)絡(Botnet)是指采用一種或多種傳播手段�,將大量主機感染僵尸程序病毒,從而在控制者和被感染主機之間所形成的一個可一對多控制的網(wǎng)絡����。攻擊者通過各種途徑傳播僵尸程序感染互聯(lián)網(wǎng)上的大量主機,而被感染的主機將通過一個控制信道接收攻擊者的指令�,組成一個僵尸網(wǎng)絡。僵尸網(wǎng)絡是互聯(lián)網(wǎng)上受到黑客集中控制的一群計算機,往往被黑客用來發(fā)起大規(guī)模網(wǎng)絡攻擊��,如分布式拒絕服務攻擊��、海量垃圾郵件攻擊等����。是一種一對多的控制關系,正式這種拓撲關系的原因�,使得攻擊者能夠以極低的代價高效地控制大量的資源為其服務。ICR (因特網(wǎng)中繼聊天)僵尸網(wǎng)絡的建立���、控制和攻擊過程如下控制者建立IRC聊天頻道���,生成包含IRC服務地址、聊天頻道���、用戶名��、密碼等信息的各個僵尸程序�����;控制者把所述僵尸程序植入受害者主機�,從而使得受害者主機變成僵尸主機;所述僵尸主機根據(jù)所述僵尸程序中的信息��,加入IRC聊天頻道��;控制者登陸受害者的聊天頻道����;僵尸主機等待攻擊和控制指令;控制者在受害者的聊天頻道發(fā)布一條攻擊或控制指令���;IRC服務器把該指令下發(fā)給聊天頻道內(nèi)的所有用戶��;各個受害者主機中植入的僵尸程序接收到命令后�,解析攻擊命令�����,發(fā)動對受害者主機的DDOS (分布式拒絕服務)攻擊�����。針對僵尸網(wǎng)絡目前的狀況�����,其檢測方法都是相互獨立的����,主要有三種檢測手段,SP報文特征分析檢測���、行為分析檢測和基于蜜罐系統(tǒng)捕獲����。這三種方法的原理及缺點列舉如下報文特征分析檢測室根據(jù)報文的特征來檢測IRC僵尸網(wǎng)絡�����。因為IRC僵尸網(wǎng)絡控制者和僵尸主機登錄于同一 IRC聊天頻道��,IRC聊天內(nèi)容能同時分發(fā)給控制者和僵尸主機��,特征檢測的方法因為沒有繼續(xù)對控制者和僵尸主機進行進一步地行為監(jiān)控����,從而容易把IRC服務器、控制者和僵尸主機三者混淆����?��;谛袨榉治鰴z測IRC僵尸網(wǎng)絡是依據(jù)用戶名的命名規(guī)律和IRC僵尸用戶長時間靜默等行為特點進行IRC僵尸網(wǎng)絡的檢測。行為分析檢測本身就具有一定的誤報和漏報���。并且IRC僵尸網(wǎng)絡控制者和僵尸網(wǎng)絡具有類似的行為特征����,這樣就很容易混淆IRC僵尸網(wǎng)絡的各個角色�。基于蜜罐系統(tǒng)捕獲僵尸網(wǎng)絡則是依據(jù)搭建的蜜罐���,被動等待僵尸網(wǎng)絡的入侵和控制����,這就存在不能對僵尸網(wǎng)絡做出實時響應以及后續(xù)人工參與分析工作量大等缺點�。
發(fā)明內(nèi)容
有鑒于此,本發(fā)明的目的在于提出一種僵尸網(wǎng)絡的檢測方法和裝置�����,該僵尸網(wǎng)絡的檢測方法和裝置能夠?qū)崟r地對僵尸網(wǎng)絡做出相應��,有效遏制僵尸網(wǎng)絡發(fā)起的惡意行為�����。
基于上述目的本發(fā)明提供的僵尸網(wǎng)絡的檢測方法�����,包括如下步驟I)進行僵尸網(wǎng)絡特征檢測并提取僵尸網(wǎng)絡信息�����;2)根據(jù)所述僵尸網(wǎng)絡信息進行行為檢測的監(jiān)控并把所述僵尸網(wǎng)絡信息存入監(jiān)控表����;3)定時掃描所述監(jiān)控表;4)將從監(jiān)控表中掃描的僵尸網(wǎng)絡信息寫入待寫數(shù)據(jù)庫�����?��?蛇x的��,所述監(jiān)控表包括控制者監(jiān)控表和英特網(wǎng)中繼聊天服務器監(jiān)控表���??蛇x的����,步驟2)進一步包括如下步驟51)獲得來自特征檢測消息隊列的僵尸網(wǎng)絡信息并同時進入步驟52);52)以源IP地址和僵尸工具名作為驗證碼計算哈希值并同時進入步驟53) ;53)判斷源IP地址和所述僵尸工具是否在控制者監(jiān)控表����;若是,則進入步驟510);若否����,則進入步驟54;510)更新節(jié)點時間;54)判斷源網(wǎng)絡間互聯(lián)協(xié)議地址和所述僵尸工具是否在英特網(wǎng)中繼聊天服務器監(jiān)控表�����;若是���,則進入步驟55);若否���,則進入步驟511) ;511)創(chuàng)建哈希節(jié)點,進入步驟512)����;
512)把目的網(wǎng)絡間互聯(lián)協(xié)議地址掛到上述哈希節(jié)點的通信對端單鏈表,進入步驟513);
513)英特網(wǎng)中繼聊天服務器監(jiān)控表哈希節(jié)點的個數(shù)增加�����,進入步驟59);55)更新節(jié)點時間戳���,即更新節(jié)點時間�����,并同時進入步驟56);56)判斷目的網(wǎng)絡間互聯(lián)協(xié)議地址是否在該節(jié)點的通信對端鏈表中����;若是����,則進入步驟59);若否,則進入步驟57) �;57)創(chuàng)建通信對端單鏈表節(jié)點并同時進入步驟58);58)英特網(wǎng)中繼聊天服務器監(jiān)控表中的哈希節(jié)點的數(shù)目增加并同時進入步驟59) ;59)結(jié)束�����??蛇x的���,步驟3)進一步包括如下步驟61)判斷英特網(wǎng)中繼聊天服務器監(jiān)控表節(jié)點是否為空;若是��,則進入步驟610)�����,若否���,則進入步驟62);610)掃描控制者監(jiān)控表并進入步驟611);611)判斷控制者監(jiān)控表中的節(jié)點是否為空�;若是��,則進入步驟69 ;若否�����,則進入步驟612) ;612)判斷控制者監(jiān)控表的節(jié)點創(chuàng)建時間是否超過老化時間閾值���;若是��,則進入步驟613);若否���,則進入步驟615) �;613)把與控制者���、英特網(wǎng)中繼聊天服務器等相關的僵尸網(wǎng)絡信息放入待寫數(shù)據(jù)庫隊列并進入步驟614);614)刪除控制者監(jiān)控表節(jié)點并進入步驟615);615)讀取下一個單鏈表節(jié)點并返回步驟611) ;62)判斷英特網(wǎng)中繼聊天服務器監(jiān)控表節(jié)點的創(chuàng)建時間是否超過控制者監(jiān)控時間閾值且英特網(wǎng)中繼聊天服務器監(jiān)控表節(jié)點個數(shù)為1�,若是,則進入步驟616);若否��,則進入步驟63);616)把英特網(wǎng)中繼聊天服務器控制表節(jié)點加入控制者監(jiān)控表中����,其中控制者網(wǎng)絡間互聯(lián)協(xié)議地址賦值為服務器網(wǎng)絡間互聯(lián)協(xié)議地址,所述服務器網(wǎng)絡間互聯(lián)協(xié)議地址賦值為通信對端網(wǎng)絡間互聯(lián)協(xié)議地址����,并進入步驟617) ;617)刪除所述英特網(wǎng)中繼聊天服務器控制表節(jié)點,并進入步驟618);618)讀取下一個英特網(wǎng)中繼聊天服務器控制表節(jié)點���,并返回步驟61) ����;63)判斷英特網(wǎng)中繼聊天服務器監(jiān)控表節(jié)點創(chuàng)建的時間是否超過老化時間閾值����;若是�,則進入步驟64);若否����,則進入步驟619);64)判斷通信對端單鏈表是否為空;若是����,則刪除該英特網(wǎng)中繼聊天服務器監(jiān)控表節(jié)點;若否�,則進入步驟65) ;65)賦值��,即將通信對端鏈表中節(jié)點的網(wǎng)絡間互聯(lián)協(xié)議地址逐個作為僵尸網(wǎng)絡間互聯(lián)協(xié)議地址���,對所述通信對端鏈表中的僵尸網(wǎng)絡信息進行賦值并進入步驟66);66)將所述僵尸網(wǎng)絡信息放入待寫數(shù)據(jù)庫隊列并進入步驟67);67)刪除所述通信對端單鏈表并進入步驟68);68)取下一個通信對端單鏈表節(jié)點并返回步驟64) ;69)結(jié)束�。進一步�,本發(fā)明提供一種僵尸網(wǎng)絡的檢測裝置,包括特征檢測模塊��、行為檢測模塊�、定時掃描模塊、記錄模塊�;所述特征檢測模塊進行僵尸網(wǎng)絡特征檢測并提取僵尸網(wǎng)絡信息�����;所述行為檢測模塊根據(jù)所述僵尸網(wǎng)絡信息進行行為檢測的監(jiān)控并把所述僵尸網(wǎng)絡信息存入監(jiān)控表���;所述定時掃描模塊定時掃描所述監(jiān)控表;所述記錄模塊將從監(jiān)控表中掃描的僵尸網(wǎng)絡信息寫入待寫數(shù)據(jù)庫���。可選的����,所述監(jiān)控表包括控制者監(jiān)控表和英特網(wǎng)中繼聊天服務器監(jiān)控表?�?蛇x的����,所述行為檢測模塊在根據(jù)所述僵尸網(wǎng)絡信息進行行為檢測的監(jiān)控并把所述僵尸網(wǎng)絡信息存入監(jiān)控表時,執(zhí)行如下步驟51)獲得來自特征檢測消息隊列的僵尸網(wǎng)絡信息并同時進入步驟52);52)以源IP地址和僵尸工具名作為驗證碼計算哈希值并同時進入步驟53) �����;53)判斷源IP地址和所述僵尸工具是否在控制者監(jiān)控表����;若是��,則進入步驟510);若否����,則進入步驟54;510)更新節(jié)點時間�;54)判斷源網(wǎng)絡間互聯(lián)協(xié)議地址和所述僵尸工具是否在英特網(wǎng)中繼聊天服務器監(jiān)控表;若是�,則進入步驟55);若否,則進入步驟511) ;511)創(chuàng)建哈希節(jié)點�����,進入步驟512)�����;
512)把目的網(wǎng)絡間互聯(lián)協(xié)議地址掛到上述哈希節(jié)點的通信對端單鏈表�����,進入步驟513); 513)英特網(wǎng)中繼聊天服務器監(jiān)控表哈希節(jié)點的個數(shù)增加�,進入步驟59);55)更新節(jié)點時間戳,即更新節(jié)點時間��,并同時進入步驟56);56)判斷目的網(wǎng)絡間互聯(lián)協(xié)議地址是否在該節(jié)點的通信對端鏈表中;若是��,則進入步驟59);若否��,則進入步驟57);57)創(chuàng)建通信對端單鏈表節(jié)點并同時進入步驟58);58)英特網(wǎng)中繼聊天服務器監(jiān)控表中的哈希節(jié)點的數(shù)目增加并同時進入步驟59) ����;59)結(jié)束?����?蛇x的����,所述定時掃描模塊定時掃描所述監(jiān)控表時執(zhí)行如下步驟61)判斷英特網(wǎng)中繼聊天服務器監(jiān)控表節(jié)點是否為空�����;若是���,則進入步驟610)����,若否,則進入步驟62);610)掃描控制者監(jiān)控表并進入步驟611);611)判斷控制者監(jiān)控表中的節(jié)點是否為空�����;若是�����,則進入步驟69 ;若否���,則進入步驟612) ;612)判斷控制者監(jiān)控表的節(jié)點創(chuàng)建時間是否超過老化時間閾值��;若是���,則進入步驟613);若否,則進入步驟615) �����;613)把與控制者���、英特網(wǎng)中繼聊天服務器等相關的僵尸網(wǎng)絡信息放入待寫數(shù)據(jù)庫隊列并進入步驟614);614)刪除控制者監(jiān)控表節(jié)點并進入步驟615);615)讀取下一個單鏈表節(jié)點并返回步驟611) ����;62)判斷英特網(wǎng)中繼聊天服務器監(jiān)控表節(jié)點的創(chuàng)建時間是否超過控制者監(jiān)控時間閾值且英特網(wǎng)中繼聊天服務器監(jiān)控表節(jié)點個數(shù)為1,若是�,則進入步驟616);若否,則進入步驟63);616)把英特網(wǎng)中繼聊天服務器控制表節(jié)點加入控制者監(jiān)控表中����,其中控制者網(wǎng)絡間互聯(lián)協(xié)議地址賦值為服務器網(wǎng)絡間互聯(lián)協(xié)議地址,所述服務器網(wǎng)絡間互聯(lián)協(xié)議地址賦值為通信對端網(wǎng)絡間互聯(lián)協(xié)議地址��,并進入步驟617) ;617)刪除所述英特網(wǎng)中繼聊天服務器控制表節(jié)點�����,并進入步驟618);618)讀取下一個英特網(wǎng)中繼聊天服務器控制表節(jié)點��,并返回步驟61) �;63)判斷英特網(wǎng)中繼聊天服務器監(jiān)控表節(jié)點創(chuàng)建的時間是否超過老化時間閾值;若是����,則進入步驟64);若否�,則進入步驟619);64)判斷通信對端單鏈表是否為空;若是����,則刪除該英特網(wǎng)中繼聊天服務器監(jiān)控表節(jié)點��;若否���,則進入步驟65) ;65)賦值,即將通信對端鏈表中節(jié)點的網(wǎng)絡間互聯(lián)協(xié)議地址逐個作為僵尸網(wǎng)絡間互聯(lián)協(xié)議地址���,對所述通信對端鏈表中的僵尸網(wǎng)絡信息進行賦值并進入步驟66);66)將所述僵尸網(wǎng)絡信息放入待寫數(shù)據(jù)庫隊列并進入步驟67);67)刪除所述通信對端單鏈表并進入步驟68);68)取下一個通信對端單鏈表節(jié)點并返回步驟64) �����;69)結(jié)束�����。從上面所述可以看出�����,本發(fā)明提供的僵尸網(wǎng)絡的檢測方法����,有效地結(jié)合了報文特征分析檢測和基于行為分析檢測的優(yōu)勢有效結(jié)合起來�,首先根據(jù)報文特征識別出僵尸網(wǎng)絡,然后對僵尸網(wǎng)絡進行進一步行為分析和監(jiān)控從而精確識別出僵尸網(wǎng)絡的服務器�����、控制者、僵尸主機各個角色���,所有過程都是設備自動化完成��,不需要人工參與����,減輕工作量��,可以實時地對僵尸網(wǎng)絡做出響應�����,從而有效的從源頭上遏制僵尸網(wǎng)絡發(fā)起分布式拒絕服務(DistributedDenial of service,DD0S)攻擊等惡意行為�,使得網(wǎng)絡通信更加高效和安全。
圖I為僵尸網(wǎng)絡攻擊指令的下達和轉(zhuǎn)發(fā)示意圖�����;圖2為控制者監(jiān)控表示意圖�;圖3為IRC服務器監(jiān)控表示意圖���;圖4為本發(fā)明實施例的僵尸網(wǎng)絡檢測流程示意圖�;圖5為本發(fā)明實施例的行為監(jiān)控進程的流程示意圖;圖6為本發(fā)明實施例的定時進程流程示意圖����。
具體實施例方式為使本發(fā)明的目的、技術方案和優(yōu)點更加清楚明白�,以下結(jié)合具體實施例,并參照附圖�,對本發(fā)明進一步詳細說明。本實施例中的僵尸網(wǎng)絡監(jiān)測方法����,通過部署網(wǎng)絡檢測設備,首先根據(jù)規(guī)則庫進行報文特征檢測�����,監(jiān)控到控制者和IRC服務器�����、IRC服務器和僵尸主機的通信報文���,并對其作丟棄處理���,從而阻斷僵尸網(wǎng)絡的通信�����。然后通過所述檢測設備建立控制者僵尸主機和IRC服務器監(jiān)控表����,進行IRC僵尸網(wǎng)絡的后續(xù)的行為分析和監(jiān)控����,以明確檢測出IRC服務器、控制者���、僵尸主機等IRC僵尸網(wǎng)絡的各個角色�����。圖I為僵尸網(wǎng)絡攻擊指令的下達和轉(zhuǎn)發(fā)示意圖?��?刂普呦掳l(fā)指令到IRC服務器;再由IRC服務器對所述控制者下發(fā)的指令進行轉(zhuǎn)發(fā)���,發(fā)送至僵尸主機,同時所述IRC服務器將指令轉(zhuǎn)發(fā)的信息發(fā)送給控制者��。對于同一個指令�����,IRC僵尸網(wǎng)絡會對應地產(chǎn)生三種類型的僵尸網(wǎng)絡報文����,包括控制者下發(fā)某條指令,由控制者到IRC服務器的報文;IRC服務器轉(zhuǎn)發(fā)該指令��,由IRC服務器到僵尸主機的報文;以及IRC服務器轉(zhuǎn)發(fā)該指令���,由IRC服務器到控制者的報文。對于所述指令�����,則設備首先根據(jù)規(guī)則庫進行報文特征檢測,識別出僵尸工具名、命令�,源IP (網(wǎng)絡間互聯(lián)協(xié)議)地址,目的IP地址等信息。設備把該信息放入控制者監(jiān)控鏈表和IRC服務器監(jiān)控表�����,進行后續(xù)的行為監(jiān)控。如圖2所示���,控制者監(jiān)控表21是哈希鏈表�,把控制者的信息在內(nèi)存中暫時緩存起來以用于行為監(jiān)測����。控制者IP地址和僵尸工具名作為驗證碼(key)算出哈希(hash)值�����,控制者監(jiān)控表21包括節(jié)點22( node )�,其主要信息包括控制者IP地址(CtrIIP : controIIP)���、IRC僵尸工具名(tool)��、節(jié)點創(chuàng)建時間、節(jié)點更新時間��。I如圖3所示�����,RC服務器監(jiān)控表31也是哈希鏈表���,IRC服務器IP地址和僵尸工具名作為key算出hash值�。其hash節(jié)點32主要信息包括IRC服務器IP地址(SerIP)�����、僵尸工具名(tool)���、該服務器通信的對端IP地址個數(shù)(num)��、與該服務器通信的對端IP單鏈表33��、節(jié)點創(chuàng)建時間���、節(jié)點更新時間。其中通信對端IP單鏈表33包括對端IP地址(OppIP)和標志(flag)。本發(fā)明實施例的具體檢測流程如圖4所示��,包括如下步驟�。步驟I :特征檢測進程。即僵尸網(wǎng)絡特征檢測以初步檢測僵尸網(wǎng)絡�;根據(jù)僵尸網(wǎng)絡中的報文內(nèi)容進行僵尸特征檢測并提取僵尸網(wǎng)絡信息,然后把源IP地址�����、目的IP地址��、僵尸工具名�����、僵尸工具的指令號等信息寫入到特征檢測消息隊列a��,并把檢測到的僵尸網(wǎng)絡報文丟棄���。步驟2:行為監(jiān)控進程。即僵尸網(wǎng)絡行為監(jiān)控以檢測出僵尸網(wǎng)絡�,從所述特征檢測消息隊列a獲取僵尸網(wǎng)絡信息,把相應信息存入控制者監(jiān)控表b和IRC服務器監(jiān)控表c進行行為檢測的監(jiān)控����。步驟3 :定時進程定時掃描控制者監(jiān)控表和IRC服務器監(jiān)控表���,把需要老化的信息及時老化,把需要存儲的信息放入待寫數(shù)據(jù)庫消息隊列d�����。為了提高查找效率�����,可以在系統(tǒng)初始化時的預分配上述各個監(jiān)控表中的節(jié)點�����,并為其建立活躍度表����。所述需要老化的信息包括節(jié)點,所述需要存儲的信息包括節(jié)點所包含的信息����。步驟4 :寫數(shù)據(jù)庫進程。從待寫數(shù)據(jù)庫消息隊列中提取消息��,把IRC僵尸網(wǎng)絡信息寫入所述待寫數(shù)據(jù)庫存儲起來。
上述步驟中����,行為監(jiān)控進程的流程圖如圖5所示,包括如下步驟步驟51 :獲取僵尸網(wǎng)絡信息�。本步驟中,獲得來自特征檢測消息隊列的僵尸網(wǎng)絡信息并同時進入步驟52���。步驟52 :計算hash值��。本步驟中���,以源IP地址和僵尸工具名作為key計算hash值并同時進入步驟53。其中����,hash值代表在hash沖突鏈中的索引。其中����,hash沖突鏈包含多個單鏈表,每個所述索引對應一個單鏈表���。步驟53 :判斷控制者監(jiān)控表����。本步驟中�,判斷源IP地址和所述僵尸工具是否在控制者監(jiān)控表;若是���,則進入步驟510 ;若否�����,則進入步驟54���。步驟510 :更新節(jié)點時間。步驟54 :判斷IRC服務器監(jiān)控表�。本步驟中,判斷源IP地址和所述僵尸工具是否在IRC服務器監(jiān)控表�;若是,則進入步驟55 ;若否��,則進入步驟511�。步驟511 :創(chuàng)建hash節(jié)點,進入步驟512�。步驟512 :把信息掛入通信對端單鏈表。本步驟中��,把目的IP地址掛到上述hash節(jié)點的通信對端單鏈表,進入步驟513���。步驟513 :增加節(jié)點個數(shù)���。本步驟中,IRC服務器監(jiān)控表hash節(jié)點的個數(shù)增加,進入步驟59����。步驟55 :更新節(jié)點時間戳,即更新節(jié)點時間�,并同時進入步驟56。步驟56 :判斷通信對端鏈表��。本步驟中���,判斷目的IP地址是否在該節(jié)點的通信對端鏈表中�;若是�,則進入步驟59 ;若否,則進入步驟57�。步驟57 :創(chuàng)建通信對端單鏈表節(jié)點。本步驟中����,創(chuàng)建通信對端單鏈表節(jié)點并同時進入步驟58�。步驟58 :節(jié)點數(shù)目增加��。本步驟中���,IRC服務器監(jiān)控表中的hash節(jié)點的數(shù)目增加并同時進入步驟59。步驟59:結(jié)束���。圖6為圖4中定時進程的流程圖�����,在此進程中����,定時器定時掃描IRC服務器監(jiān)控表���,對超出控制者監(jiān)控時間閾值且通信對端數(shù)目為I的節(jié)點判斷為是控制者發(fā)往IRC服務器的報文����,從而確定出控制者和IRC服務器����。對于和所述僵尸服務器IRC通信的對端則判定為僵尸主機�。至此明確出IRC僵尸網(wǎng)絡的IRC服務器�����、控制者和僵尸主機等各角色��。具體的�,所述定時進程包括如下步驟步驟61 :判斷IRC服務器監(jiān)控表節(jié)點是 否為空;若是����,則進入步驟610,若否�����,則進入步驟62�����。步驟62 :判斷節(jié)點創(chuàng)建時間是否超過閾值且節(jié)點個數(shù)是否為1�,判斷IRC服務器監(jiān)控表節(jié)點的創(chuàng)建時間是否超過控制者監(jiān)控時間閾值IRC服務器監(jiān)控表節(jié)點個數(shù)為1,若是�,則進入步驟616 ;若否,則進入步驟63。步驟63 :判斷IRC服務器監(jiān)控表節(jié)點創(chuàng)建的時間是否超過老化時間閾值���;若是���,則進入步驟64 ;若否,則進入步驟619�����。步驟64 :判斷通信對端單鏈表是否為空����;若是��,則刪除該IRC服務器監(jiān)控表節(jié)點��;若否���,則進入步驟65��。步驟65 :賦值����,即將通信對端鏈表中節(jié)點的IP地址逐個作為僵尸IP地址,SerIP作為服務器IP地址���,對所述通信對端鏈表中的僵尸網(wǎng)絡信息進行賦值并進入步驟66���。步驟66 :放入待寫數(shù)據(jù)庫隊列,即將所述僵尸網(wǎng)絡信息放入待寫數(shù)據(jù)庫隊列并進入步驟67�。步驟67 :刪除單鏈表節(jié)點。在本步驟中,刪除所述通信對端單鏈表節(jié)點并進入步驟68����。步驟68 :取下一個通信對端單鏈表節(jié)點并返回步驟64。步驟69:結(jié)束����。步驟610 :掃描控制者監(jiān)控表并進入步驟611。步驟611 :判斷控制者監(jiān)控表中的節(jié)點是否為空����;若是,則進入步驟69 ;若否����,則進入步驟612。步驟612 :判斷控制者監(jiān)控表的節(jié)點創(chuàng)建時間是否超過老化時間閾值����;若是�����,則進入步驟613 ;若否��,則進入步驟615����。步驟613 :把相關信息放入待寫數(shù)據(jù)庫隊列���。在本步驟中,把與控制者����、IRC服務器等相關的僵尸網(wǎng)絡信息放入待寫數(shù)據(jù)庫隊列并進入步驟614。步驟614 :刪除控制者監(jiān)控表節(jié)點并進入步驟615�。步驟615 :讀取下一個單鏈表節(jié)點并返回步驟611。步驟616:賦值��。在本步驟中��,把IRC服務器控制表節(jié)點加入控制者監(jiān)控表中�,其中CtrlIP賦值為SerIP,SerIP賦值為通信對端IP地址,并進入步驟617��。步驟617 :刪除所述IRC服務器控制表節(jié)點�����,并進入步驟618�����。步驟618 :讀取下一個IRC服務器 控制表節(jié)點��,并返回步驟61�����。從上面所述可以看出����,本發(fā)明所提供的僵尸網(wǎng)絡監(jiān)測方法,能夠根據(jù)特征檢測準確有效地識別出IRC僵尸網(wǎng)絡����,并根據(jù)后續(xù)行為檢測準確識別出IRC僵尸網(wǎng)絡中的各個角色,從而可以對僵尸網(wǎng)路做出實時相應�����,從源頭上遏制僵尸網(wǎng)絡的惡意行為。進一步���,本發(fā)明提供一種僵尸網(wǎng)絡的檢測裝置�����,該裝置運用本發(fā)明所提供的僵尸網(wǎng)絡檢測方法進行僵尸網(wǎng)絡的檢測���。具體的,所述僵尸網(wǎng)絡檢測裝置包括征檢測模塊�����、行為檢測模塊�、定時掃描模塊���、記錄模塊�;所述特征檢測模塊進行僵尸網(wǎng)絡特征檢測并提取僵尸網(wǎng)絡信息���;所述行為檢測模塊根據(jù)所述僵尸網(wǎng)絡信息進行行為檢測的監(jiān)控并把所述僵尸網(wǎng)絡信息存入監(jiān)控表���;所述定時掃描模塊定時掃描所述監(jiān)控表��;所述記錄模塊將從監(jiān)控表中掃描的僵尸網(wǎng)絡信息寫入待寫數(shù)據(jù)庫���。所述行為檢測模塊在根據(jù)所述僵尸網(wǎng)絡信息進行行為檢測的監(jiān)控并把所述僵尸網(wǎng)絡信息存入監(jiān)控表時,按照圖5所示的流程執(zhí)行�����。所述定時掃描模塊定時掃描所述監(jiān)控表時��,按照圖6所示的流程執(zhí)行���。從上面所述可以看出�����,本發(fā)明提供的僵尸網(wǎng)絡檢測裝置��,通過其各個模塊之間相互結(jié)合���,能夠?qū)┦W(wǎng)絡進行及時、高效的檢測���,避免了因為沒有進一步監(jiān)控而把IRC服務器����、控制者和僵尸主機三者混淆;同時也避免誤報或漏報����,從而不會混淆IRC僵尸網(wǎng)絡的各個角色。從而�����,本發(fā)明所提供的僵尸網(wǎng)絡檢測裝置�,能夠有效阻止攻擊者的集中控制,能夠更高效地保護用戶的資源和信息安全����。
所屬領域的普通技術人員應當理解以上所述僅為本發(fā)明的具體實施例而已,并不用于限制本發(fā)明��,凡在本發(fā)明的精神和原則之內(nèi)�����,所做的任何修改��、等同替換�、改進等,均應包含在本發(fā)明的保護范圍之內(nèi)���。
權利要求
1.一種僵尸網(wǎng)絡的檢測方法�,其特征在于�����,包括如下步驟 1)進行僵尸網(wǎng)絡特征檢測并提取僵尸網(wǎng)絡信息�����; 2)根據(jù)所述僵尸網(wǎng)絡信息進行行為檢測的監(jiān)控并把所述僵尸網(wǎng)絡信息存入監(jiān)控表���; 3)定時掃描所述監(jiān)控表���; 4)將從監(jiān)控表中掃描的僵尸網(wǎng)絡信息寫入待寫數(shù)據(jù)庫。
2.根據(jù)權利要求I所述的僵尸網(wǎng)絡的檢測方法���,其特征在于�,所述監(jiān)控表包括控制者監(jiān)控表和英特網(wǎng)中繼聊天服務器監(jiān)控表�。
3.根據(jù)權利要求I所述的僵尸網(wǎng)絡的檢測方法����,其特征在于�����,步驟2)進一步包括如下步驟 51)獲得來自特征檢測消息隊列的僵尸網(wǎng)絡信息并同時進入步驟52)��; 52)以源IP地址和僵尸工具名作為驗證碼計算哈希值并同時進入步驟53)���; 53)判斷源IP地址和所述僵尸工具是否在控制者監(jiān)控表�����;若是��,則進入步驟510);若否�����,則進入步驟54; 510)更新節(jié)點時間����; 54)判斷源網(wǎng)絡間互聯(lián)協(xié)議地址和所述僵尸工具是否在英特網(wǎng)中繼聊天服務器監(jiān)控表����;若是,則進入步驟55);若否�,則進入步驟511); 511)創(chuàng)建哈希節(jié)點�,進入步驟512); 512)把目的網(wǎng)絡間互聯(lián)協(xié)議地址掛到上述哈希節(jié)點的通信對端單鏈表���,進入步驟513)�; 513)英特網(wǎng)中繼聊天服務器監(jiān)控表哈希節(jié)點的個數(shù)增加�����,進入步驟59)��; 55)更新節(jié)點時間戳����,即更新節(jié)點時間,并同時進入步驟56)��; 56)判斷目的網(wǎng)絡間互聯(lián)協(xié)議地址是否在該節(jié)點的通信對端鏈表中�����;若是,則進入步驟59);若否�����,則進入步驟57)�����; 57)創(chuàng)建通信對端單鏈表節(jié)點并同時進入步驟58)��; 58)英特網(wǎng)中繼聊天服務器監(jiān)控表中的哈希節(jié)點的數(shù)目增加并同時進入步驟59)���; 59)結(jié)束��。
4.根據(jù)權利要求I所述的僵尸網(wǎng)絡的檢測方法�,其特征在于�����,步驟3)進一步包括如下步驟 61)判斷英特網(wǎng)中繼聊天服務器監(jiān)控表節(jié)點是否為空�;若是,則進入步驟610)�,若否����,則進入步驟62)����; 610)掃描控制者監(jiān)控表并進入步驟611)�����;611)判斷控制者監(jiān)控表中的節(jié)點是否為空��;若是�,則進入步驟69;若否,則進入步驟612)��; 612)判斷控制者監(jiān)控表的節(jié)點創(chuàng)建時間是否超過老化時間閾值�;若是,則進入步驟613);若否��,則進入步驟615)��; 613)把與控制者���、英特網(wǎng)中繼聊天服務器等相關的僵尸網(wǎng)絡信息放入待寫數(shù)據(jù)庫隊列并進入步驟614)����; 614)刪除控制者監(jiān)控表節(jié)點并進入步驟615); 615)讀取下一個單鏈表節(jié)點并返回步驟611)��;62)判斷英特網(wǎng)中繼聊天服務器監(jiān)控表節(jié)點的創(chuàng)建時間是否超過控制者監(jiān)控時間閾值且英特網(wǎng)中繼聊天服務器監(jiān)控表節(jié)點個數(shù)為1���,若是�,則進入步驟616);若否��,則進入步驟63)��; 616)把英特網(wǎng)中繼聊天服務器控制表節(jié)點加入控制者監(jiān)控表中���,其中控制者網(wǎng)絡間互聯(lián)協(xié)議地址賦值為服務器網(wǎng)絡間互聯(lián)協(xié)議地址��,所述服務器網(wǎng)絡間互聯(lián)協(xié)議地址賦值為通信對端網(wǎng)絡間互聯(lián)協(xié)議地址��,并進入步驟617)���; 617)刪除所述英特網(wǎng)中繼聊天服務器控制表節(jié)點,并進入步驟618); 618)讀取下一個英特網(wǎng)中繼聊天服務器控制表節(jié)點��,并返回步驟61)���; 63)判斷英特網(wǎng)中繼聊天服務器監(jiān)控表節(jié)點創(chuàng)建的時間是否超過老化時間閾值���;若是�,則進入步驟64);若否���,則進入步驟619)���; 64)判斷通信對端單鏈表是否為空����;若是,則刪除該英特網(wǎng)中繼聊天服務器監(jiān)控表節(jié)點���;若否�����,則進入步驟65); 65)賦值�,即將通信對端鏈表中節(jié)點的網(wǎng)絡間互聯(lián)協(xié)議地址逐個作為僵尸網(wǎng)絡間互聯(lián)協(xié)議地址�,對所述通信對端鏈表中的僵尸網(wǎng)絡信息進行賦值并進入步驟66); 66)將所述僵尸網(wǎng)絡信息放入待寫數(shù)據(jù)庫隊列并進入步驟67)�; 67)刪除所述通信對端單鏈表節(jié)點并進入步驟68)��; 68)取下一個通信對端單鏈表節(jié)點并返回步驟64)���; 69)結(jié)束。
5.一種僵尸網(wǎng)絡的檢測裝置�,其特征在于,包括特征檢測模塊���、行為檢測模塊�����、定時掃描模塊��、記錄模塊�;所述特征檢測模塊進行僵尸網(wǎng)絡特征檢測并提取僵尸網(wǎng)絡信息�;所述行為檢測模塊根據(jù)所述僵尸網(wǎng)絡信息進行行為檢測的監(jiān)控并把所述僵尸網(wǎng)絡信息存入監(jiān)控表;所述定時掃描模塊定時掃描所述監(jiān)控表���;所述記錄模塊將從監(jiān)控表中掃描的僵尸網(wǎng)絡信息寫入待寫數(shù)據(jù)庫�����。
6.根據(jù)權利要求5所述的僵尸網(wǎng)絡的檢測裝置�����,其特征在于�,所述監(jiān)控表包括控制者監(jiān)控表和英特網(wǎng)中繼聊天服務器監(jiān)控表。
7.根據(jù)權利要求5所述的僵尸網(wǎng)絡的檢測裝置�,其特征在于,所述行為檢測模塊在根據(jù)所述僵尸網(wǎng)絡信息進行行為檢測的監(jiān)控并把所述僵尸網(wǎng)絡信息存入監(jiān)控表時���,執(zhí)行如下步驟 51)獲得來自特征檢測消息隊列的僵尸網(wǎng)絡信息并同時進入步驟52)���; 52)以源IP地址和僵尸工具名作為驗證碼計算哈希值并同時進入步驟53); 53)判斷源IP地址和所述僵尸工具是否在控制者監(jiān)控表���;若是,則進入步驟510);若否�,則進入步驟54; 510)更新節(jié)點時間; 54)判斷源網(wǎng)絡間互聯(lián)協(xié)議地址和所述僵尸工具是否在英特網(wǎng)中繼聊天服務器監(jiān)控表�;若是,則進入步驟55);若否�,則進入步驟511); 511)創(chuàng)建哈希節(jié)點��,進入步驟512)����; 512)把目的網(wǎng)絡間互聯(lián)協(xié)議地址掛到上述哈希節(jié)點的通信對端單鏈表�,進入步驟513)�����; 513)英特網(wǎng)中繼聊天服務器監(jiān)控表哈希節(jié)點的個數(shù)增加�,進入步驟59);55)更新節(jié)點時間戳�����,即更新節(jié)點時間�,并同時進入步驟56); 56)判斷目的網(wǎng)絡間互聯(lián)協(xié)議地址是否在該節(jié)點的通信對端鏈表中����;若是,則進入步驟59);若否�����,則進入步驟57)�����; 57)創(chuàng)建通信對端單鏈表節(jié)點并同時進入步驟58); 58)英特網(wǎng)中繼聊天服務器監(jiān)控表中的哈希節(jié)點的數(shù)目增加并同時進入步驟59)��; 59)結(jié)束�。
8.根據(jù)權利要求5所述的僵尸網(wǎng)絡的檢測裝置,其特征在于��,所述定時掃描模塊定時掃描所述監(jiān)控表時執(zhí)行如下步驟 61)判斷英特網(wǎng)中繼聊天服務器監(jiān)控表節(jié)點是否為空���;若是�����,則進入步驟610)��,若否��,則進入步驟62); 610)掃描控制者監(jiān)控表并進入步驟611)�; 611)判斷控制者監(jiān)控表中的節(jié)點是否為空;若是�,則進入步驟69;若否,則進入步驟612)����; 612)判斷控制者監(jiān)控表的節(jié)點創(chuàng)建時間是否超過老化時間閾值����;若是����,則進入步驟613);若否,則進入步驟615)���; 613)把與控制者�����、英特網(wǎng)中繼聊天服務器等相關的僵尸網(wǎng)絡信息放入待寫數(shù)據(jù)庫隊列并進入步驟614)��; 614)刪除控制者監(jiān)控表節(jié)點并進入步驟615)��; 615)讀取下一個單鏈表節(jié)點并返回步驟611)�����; 62)判斷英特網(wǎng)中繼聊天服務器監(jiān)控表節(jié)點的創(chuàng)建時間是否超過控制者監(jiān)控時間閾值且英特網(wǎng)中繼聊天服務器監(jiān)控表節(jié)點個數(shù)為1��,若是�,則進入步驟616);若否,則進入步驟63)��; 616)把英特網(wǎng)中繼聊天服務器控制表節(jié)點加入控制者監(jiān)控表中��,其中控制者網(wǎng)絡間互聯(lián)協(xié)議地址賦值為服務器網(wǎng)絡間互聯(lián)協(xié)議地址�,所述服務器網(wǎng)絡間互聯(lián)協(xié)議地址賦值為通信對端網(wǎng)絡間互聯(lián)協(xié)議地址,并進入步驟617)��; 617)刪除所述英特網(wǎng)中繼聊天服務器控制表節(jié)點�,并進入步驟618); 618)讀取下一個英特網(wǎng)中繼聊天服務器控制表節(jié)點,并返回步驟61)�����; 63)判斷英特網(wǎng)中繼聊天服務器監(jiān)控表節(jié)點創(chuàng)建的時間是否超過老化時間閾值��;若是��,則進入步驟64);若否����,則進入步驟619); 64)判斷通信對端單鏈表是否為空�����;若是��,則刪除該英特網(wǎng)中繼聊天服務器監(jiān)控表節(jié)點����;若否,則進入步驟65); 65)賦值��,即將通信對端鏈表中節(jié)點的網(wǎng)絡間互聯(lián)協(xié)議地址逐個作為僵尸網(wǎng)絡間互聯(lián)協(xié)議地址�,對所述通信對端鏈表中的僵尸網(wǎng)絡信息進行賦值并進入步驟66); 66)將所述僵尸網(wǎng)絡信息放入待寫數(shù)據(jù)庫隊列并進入步驟67)����; 67)刪除所述通信對端單鏈表節(jié)點并進入步驟68); 68)取下一個通信對端單鏈表節(jié)點并返回步驟64)��; 69)結(jié)束�����。
全文摘要
本發(fā)明公開了一種僵尸網(wǎng)絡的檢測方法及裝置�。該僵尸網(wǎng)絡的檢測方法包括如下步驟進行僵尸網(wǎng)絡特征檢測并提取僵尸網(wǎng)絡信息;根據(jù)所述僵尸網(wǎng)絡信息進行行為檢測的監(jiān)控并把所述僵尸網(wǎng)絡信息存入監(jiān)控表�;定時掃描所述監(jiān)控表;將從監(jiān)控表中掃描的僵尸網(wǎng)絡信息寫入待寫數(shù)據(jù)庫�����。所述僵尸網(wǎng)絡檢測裝置按照本發(fā)明所提供的僵尸網(wǎng)絡檢測方法進行僵尸網(wǎng)絡的檢測。
文檔編號H04L29/06GK102932373SQ201210477769
公開日2013年2月13日 申請日期2012年11月22日 優(yōu)先權日2012年11月22日
發(fā)明者李安坤, 吳烜, 丁洪震 申請人:北京榮之聯(lián)科技股份有限公司