本發(fā)明涉及網(wǎng)絡(luò)安全
技術(shù)領(lǐng)域：
，特別是涉及一種僵尸網(wǎng)絡(luò)家族的識別方法和裝置。
背景技術(shù)：
：Botnet(僵尸網(wǎng)絡(luò))是指攻擊者采用一種或多種傳播手段，將大量主機感染bot(僵尸程序)，從而在C&C(CommandandControlServer，命令與控制服務(wù)器)和僵尸主機(被感染主機)之間所形成的一個可一對多控制的僵尸網(wǎng)絡(luò)。參照圖1，示出了現(xiàn)有技術(shù)中一種僵尸網(wǎng)絡(luò)系統(tǒng)的結(jié)構(gòu)示意圖，具體包括：攻擊者101、命令與控制服務(wù)器102、僵尸主機103、以及攻擊目標(biāo)104。其中，攻擊者101通過命令與控制服務(wù)器C&C102向僵尸主機103發(fā)送預(yù)先定義好的控制指令，控制僵尸103主機對攻擊目標(biāo)104執(zhí)行惡意行為，如發(fā)起DDos(DistributedDenialofService，分布式拒絕服務(wù))攻擊、竊取主機敏感信息、更新升級惡意程序等。為了躲避監(jiān)測和提高隱蔽性，僵尸網(wǎng)絡(luò)的攻擊者往往通過自動化惡意工具建立一些采用自定義私有協(xié)議的小型化僵尸網(wǎng)絡(luò)家族，攻擊者通過僵尸網(wǎng)絡(luò)家族中的C&C控制僵尸主機對攻擊目標(biāo)進行攻擊?，F(xiàn)有技術(shù)中雖然已經(jīng)存在對僵尸網(wǎng)絡(luò)進行檢測的相關(guān)技術(shù)，利用這些檢測技術(shù)可以得到大量關(guān)于僵尸網(wǎng)絡(luò)的數(shù)據(jù)，從而識別出發(fā)送攻擊的僵尸主機。然而，發(fā)明人在實施本發(fā)明的過程中發(fā)現(xiàn)，由于攻擊者的源IP地址通常都是偽造的，發(fā)送攻擊的主機通常是僵尸主機，因此現(xiàn)有技術(shù)往往僅能檢測出僵尸主機，而難以識別整個僵尸網(wǎng)絡(luò)家族，從而難以找到僵尸網(wǎng)絡(luò)真正的攻擊者，無法有效地跟蹤僵尸網(wǎng)絡(luò)，這無疑影響了網(wǎng)絡(luò)的安全性。技術(shù)實現(xiàn)要素：鑒于上述問題，提出了本發(fā)明以便提供一種克服上述問題或者至少部分地解決上述問題的一種僵尸網(wǎng)絡(luò)家族的識別方法和裝置。依據(jù)本發(fā)明的一個方面，提供了一種僵尸網(wǎng)絡(luò)家族的識別方法，包括：對待識別數(shù)據(jù)包進行聚類，以得到所述待識別數(shù)據(jù)包對應(yīng)的數(shù)據(jù)包類別；依據(jù)所述數(shù)據(jù)包類別中各待識別數(shù)據(jù)包的字段特征，生成所述數(shù)據(jù)包類別對應(yīng)的待識別特征向量；利用預(yù)置僵尸網(wǎng)絡(luò)家族的預(yù)置特征對所述待識別特征向量進行識別，以得到所述待識別特征向量對應(yīng)的目標(biāo)僵尸網(wǎng)絡(luò)家族?？蛇x地，所述對待識別數(shù)據(jù)包進行聚類，以得到所述待識別數(shù)據(jù)包對應(yīng)的數(shù)據(jù)包類別的步驟，包括：按照預(yù)置字段特征對所述待識別數(shù)據(jù)包進行分組，以得到若干數(shù)據(jù)包分組；其中，所述預(yù)置字段特征包括源地址、源端口、以及數(shù)據(jù)包類型；針對各數(shù)據(jù)包分組內(nèi)待識別數(shù)據(jù)包的時間戳，將兩兩間隔小于間隔閾值的待識別數(shù)據(jù)包劃分到同一數(shù)據(jù)包類別中?？蛇x地，所述方法還包括：判斷所述數(shù)據(jù)包類別中待識別數(shù)據(jù)包的數(shù)量是否大于數(shù)量閾值，若是，則保留所述數(shù)據(jù)包類別；否則丟棄所述數(shù)據(jù)包類別；和/或判斷所述數(shù)據(jù)包類別中待識別數(shù)據(jù)包的源地址的種類是否大于種類閾值，若是，則保留所述數(shù)據(jù)包類別；否則丟棄所述數(shù)據(jù)包類別。可選地，所述依據(jù)所述數(shù)據(jù)包類別中各待識別數(shù)據(jù)包的字段特征，生成所述數(shù)據(jù)包類別對應(yīng)的待識別特征向量的步驟，包括：依據(jù)所述數(shù)據(jù)包類別中各待識別數(shù)據(jù)包的字段特征，生成所述待識別數(shù)據(jù)包對應(yīng)的包特征向量；將所述數(shù)據(jù)包類別中所有待識別數(shù)據(jù)包對應(yīng)的包特征向量進行組合，以得到所述數(shù)據(jù)包類別對應(yīng)的待識別特征向量?？蛇x地，所述利用預(yù)置僵尸網(wǎng)絡(luò)家族的預(yù)置特征對所述待識別特征向量進行識別，以得到所述待識別特征向量對應(yīng)的目標(biāo)僵尸網(wǎng)絡(luò)家族的步驟，包括：依據(jù)所述數(shù)據(jù)包類別中各待識別數(shù)據(jù)包對應(yīng)的包特征向量，生成所述數(shù)據(jù)包類別對應(yīng)的包特征矩陣；確定所述包特征矩陣的列對應(yīng)的熵值；判斷所述熵值與所述預(yù)置特征是否匹配，若匹配，則確定所述待識別數(shù)據(jù)包對應(yīng)的目標(biāo)僵尸網(wǎng)絡(luò)家族為所述預(yù)置特征對應(yīng)的預(yù)置僵尸網(wǎng)絡(luò)家族?？蛇x地，所述待識別數(shù)據(jù)包包括原始攻擊數(shù)據(jù)包和/或反向散射數(shù)據(jù)包；所述方法還包括：在攻擊端收集所述原始攻擊數(shù)據(jù)包；和/或通過蜜罐或者暗網(wǎng)收集所述反向散射數(shù)據(jù)包?？蛇x地，所述反向散射數(shù)據(jù)包包括SYN-ACK數(shù)據(jù)包；所述待識別數(shù)據(jù)包的字段特征包括：源地址、源端口、以及初始序列號。可選地，所述反向散射數(shù)據(jù)包包括DNSresponses數(shù)據(jù)包；所述待識別數(shù)據(jù)包的字段特征包括：源地址、源端口、事務(wù)標(biāo)識、以及查詢域名。根據(jù)本發(fā)明的另一方面，提供了一種僵尸網(wǎng)絡(luò)家族的識別裝置，包括：聚類模塊，用于對待識別數(shù)據(jù)包進行聚類，以得到所述待識別數(shù)據(jù)包對應(yīng)的數(shù)據(jù)包類別；向量生成模塊，用于依據(jù)所述數(shù)據(jù)包類別中各待識別數(shù)據(jù)包的字段特征，生成所述數(shù)據(jù)包類別對應(yīng)的待識別特征向量；識別模塊，用于利用預(yù)置僵尸網(wǎng)絡(luò)家族的預(yù)置特征對所述待識別特征向量進行識別，以得到所述待識別特征向量對應(yīng)的目標(biāo)僵尸網(wǎng)絡(luò)家族。可選地，所述聚類模塊，包括：分組子模塊，用于按照預(yù)置字段特征對所述待識別數(shù)據(jù)包進行分組，以得到若干數(shù)據(jù)包分組；其中，所述預(yù)置字段特征包括源地址、源端口、以及數(shù)據(jù)包類型；劃分子模塊，用于針對各數(shù)據(jù)包分組內(nèi)待識別數(shù)據(jù)包的時間戳，將兩兩間隔小于間隔閾值的待識別數(shù)據(jù)包劃分到同一數(shù)據(jù)包類別中?？蛇x地，所述裝置還包括：第一判斷模塊，用于判斷所述數(shù)據(jù)包類別中待識別數(shù)據(jù)包的數(shù)量是否大于數(shù)量閾值，若是，則保留所述數(shù)據(jù)包類別；否則丟棄所述數(shù)據(jù)包類別；和/或第二判斷模塊，用于判斷所述數(shù)據(jù)包類別中待識別數(shù)據(jù)包的源地址的種類是否大于種類閾值，若是，則保留所述數(shù)據(jù)包類別；否則丟棄所述數(shù)據(jù)包類別?？蛇x地，所述向量生成模塊，包括：第一生成子模塊，用于依據(jù)所述數(shù)據(jù)包類別中各待識別數(shù)據(jù)包的字段特征，生成所述待識別數(shù)據(jù)包對應(yīng)的包特征向量；第二生成子模塊，用于將所述數(shù)據(jù)包類別中所有待識別數(shù)據(jù)包對應(yīng)的包特征向量進行組合，以得到所述數(shù)據(jù)包類別對應(yīng)的待識別特征向量?？蛇x地，所述識別模塊，包括：矩陣生成子模塊，用于依據(jù)所述數(shù)據(jù)包類別中各待識別數(shù)據(jù)包對應(yīng)的包特征向量，生成所述數(shù)據(jù)包類別對應(yīng)的包特征矩陣；熵值確定子模塊，用于確定所述包特征矩陣的列對應(yīng)的熵值；家族識別子模塊，用于判斷所述熵值與所述預(yù)置特征是否匹配，若匹配，則確定所述待識別數(shù)據(jù)包對應(yīng)的目標(biāo)僵尸網(wǎng)絡(luò)家族為所述預(yù)置特征對應(yīng)的預(yù)置僵尸網(wǎng)絡(luò)家族。可選地，所述待識別數(shù)據(jù)包包括原始攻擊數(shù)據(jù)包和/或反向散射數(shù)據(jù)包；所述裝置還包括：第一收集模塊，用于在攻擊端收集所述原始攻擊數(shù)據(jù)包；和/或第二收集模塊，用于通過蜜罐或者暗網(wǎng)收集所述反向散射數(shù)據(jù)包?？蛇x地，所述反向散射數(shù)據(jù)包包括SYN-ACK數(shù)據(jù)包；所述待識別數(shù)據(jù)包的字段特征包括：源地址、源端口、以及初始序列號?？蛇x地，所述反向散射數(shù)據(jù)包包括DNSresponses數(shù)據(jù)包；所述待識別數(shù)據(jù)包的字段特征包括：源地址、源端口、事務(wù)標(biāo)識、以及查詢域名。根據(jù)本發(fā)明實施例提供的一種僵尸網(wǎng)絡(luò)家族的識別方法和裝置，利用同一僵尸網(wǎng)絡(luò)家族的攻擊數(shù)據(jù)包通常具有相同或相似特征的特點，預(yù)先獲取預(yù)置僵尸網(wǎng)絡(luò)家族的預(yù)置特征；并且，在待識別數(shù)據(jù)包的識別過程中，可以基于聚類得到數(shù)據(jù)包類別及其對應(yīng)的待識別特征向量，并利用上述預(yù)置特征對待識別特征向量進行識別，以識別出各數(shù)據(jù)包類別對應(yīng)的僵尸網(wǎng)絡(luò)家族；由于本發(fā)明實施例利用上述預(yù)置特征對數(shù)據(jù)包類別對應(yīng)的僵尸網(wǎng)絡(luò)家族進行識別，因此能夠?qū)崿F(xiàn)對于整個僵尸網(wǎng)絡(luò)家族的識別，進而幫助在跟蹤僵尸網(wǎng)絡(luò)的過程中找到真正的攻擊者，以提高網(wǎng)絡(luò)安全性。上述說明僅是本發(fā)明技術(shù)方案的概述，為了能夠更清楚了解本發(fā)明的技術(shù)手段，而可依照說明書的內(nèi)容予以實施，并且為了讓本發(fā)明的上述和其它目的、特征和優(yōu)點能夠更明顯易懂，以下特舉本發(fā)明的具體實施方式。附圖說明通過閱讀下文可選實施方式的詳細描述，各種其他的優(yōu)點和益處對于本領(lǐng)域普通技術(shù)人員將變得清楚明了。附圖僅用于示出可選實施方式的目的，而并不認(rèn)為是對本發(fā)明的限制。而且在整個附圖中，用相同的參考符號表示相同的部件。在附圖中：圖1示出了現(xiàn)有技術(shù)中一種僵尸網(wǎng)絡(luò)示意圖；圖2示出了根據(jù)本發(fā)明一個實施例的一種僵尸網(wǎng)絡(luò)家族的識別方法的步驟流程圖；圖3示出了根據(jù)本發(fā)明一個實施例的一種僵尸網(wǎng)絡(luò)家族的識別裝置的結(jié)構(gòu)框圖。具體實施方式下面將參照附圖更詳細地描述本公開的示例性實施例。雖然附圖中顯示了本公開的示例性實施例，然而應(yīng)當(dāng)理解，可以以各種形式實現(xiàn)本公開而不應(yīng)被這里闡述的實施例所限制。相反，提供這些實施例是為了能夠更透徹地理解本公開，并且能夠?qū)⒈竟_的范圍完整的傳達給本領(lǐng)域的技術(shù)人員。本發(fā)明實施例提供了一種僵尸網(wǎng)絡(luò)家族的識別方案，該方案可以利用同一僵尸網(wǎng)絡(luò)家族的攻擊數(shù)據(jù)包通常具有相同或相似特征的特點，對僵尸網(wǎng)絡(luò)家族進行識別，對應(yīng)的識別過程包括：首先將待識別數(shù)據(jù)包聚類為不同的數(shù)據(jù)包類別，使得同一數(shù)據(jù)包類別中的待識別數(shù)據(jù)包具有較高的相似度，然后根據(jù)字段特征生成數(shù)據(jù)包類別對應(yīng)的待識別特征向量，所述待識別特征向量可以反映某一數(shù)據(jù)包類別中各待識別數(shù)據(jù)包所具有的共同特征；最后利用預(yù)置僵尸網(wǎng)絡(luò)家族的預(yù)置特征對所述待識別特征向量進行識別，可以得到所述待識別特征向量對應(yīng)的目標(biāo)僵尸網(wǎng)絡(luò)家族。通過本發(fā)明實施例可以在檢測DDoS攻擊的過程中，識別DDoS攻擊對應(yīng)的僵尸網(wǎng)絡(luò)家族，以更有效地跟蹤僵尸網(wǎng)絡(luò)，提高網(wǎng)絡(luò)安全性。參照圖2，示出了根據(jù)本發(fā)明一個實施例的一種僵尸網(wǎng)絡(luò)家族的識別方法的步驟流程圖，具體可以包括如下步驟：步驟201、對待識別數(shù)據(jù)包進行聚類，以得到所述待識別數(shù)據(jù)包對應(yīng)的數(shù)據(jù)包類別；步驟202、依據(jù)所述數(shù)據(jù)包類別中各待識別數(shù)據(jù)包的字段特征，生成所述數(shù)據(jù)包類別對應(yīng)的待識別特征向量；步驟203、利用預(yù)置僵尸網(wǎng)絡(luò)家族的預(yù)置特征對所述待識別特征向量進行識別，以得到所述待識別特征向量對應(yīng)的目標(biāo)僵尸網(wǎng)絡(luò)家族。本發(fā)明實施例適用于在檢測DDoS攻擊的過程中，識別DDoS攻擊對應(yīng)的僵尸網(wǎng)絡(luò)家族，以更有效地跟蹤僵尸網(wǎng)絡(luò)，提高網(wǎng)絡(luò)安全性?？梢岳斫猓景l(fā)明實施例可以應(yīng)用于任意類型的攻擊場景，本發(fā)明實施例主要以DDoS攻擊的場景為例進行說明，其他類型的攻擊場景，如竊取主機敏感信息的攻擊場景、發(fā)送垃圾郵件的攻擊場景等，相互參照即可。在實際應(yīng)用中，同一僵尸網(wǎng)絡(luò)家族的僵尸主機通常會被指示去執(zhí)行相同的攻擊，這樣，各臺僵尸主機便會具有相似的通信模式以及相同的攻擊行為，也即各臺僵尸主機會采用相同的算法生成攻擊數(shù)據(jù)包，因此，來自同一僵尸網(wǎng)絡(luò)家族的攻擊數(shù)據(jù)包通常具有相同的字段特征。因此，本發(fā)明實施例利用僵尸網(wǎng)絡(luò)家族的攻擊數(shù)據(jù)包具有相同字段特征的這一特點，對待識別數(shù)據(jù)包進行聚類，以得到所述待識別數(shù)據(jù)包對應(yīng)的數(shù)據(jù)包類別，使得不同的數(shù)據(jù)包類別對應(yīng)不同的僵尸網(wǎng)絡(luò)家族的攻擊，且同一個數(shù)據(jù)包類別中包括來自同一僵尸網(wǎng)絡(luò)家族攻擊的多個攻擊數(shù)據(jù)包；由此，通過本發(fā)明實施例，可以識別攻擊數(shù)據(jù)包對應(yīng)的僵尸網(wǎng)絡(luò)家族。在本發(fā)明的一種可選實施例中，所述待識別數(shù)據(jù)包具體可以包括：原始攻擊數(shù)據(jù)包和/或反向散射數(shù)據(jù)包。在本發(fā)明的另一種可選實施例中，獲取待識別數(shù)據(jù)包的方式可以為，從攻擊端直接收集攻擊數(shù)據(jù)包作為待識別數(shù)據(jù)包，這種方式可以快捷地獲取待識別數(shù)據(jù)包，并且能夠準(zhǔn)確地檢測僵尸網(wǎng)絡(luò)家族。然而，攻擊數(shù)據(jù)包的保密性往往增加攻擊數(shù)據(jù)包的收集難度，也即使得從攻擊端直接收集攻擊數(shù)據(jù)包比較困難。針對上述攻擊數(shù)據(jù)包的保密性往往增加攻擊數(shù)據(jù)包的收集難度的問題，在本發(fā)明的再一種可選實施例中，獲取待識別數(shù)據(jù)包的方式可以為，通過蜜罐或者暗網(wǎng)收集反向散射數(shù)據(jù)包作為待識別數(shù)據(jù)包。反向散射數(shù)據(jù)包可以通過暗網(wǎng)收集，然而在具體應(yīng)用中部署暗網(wǎng)需要通過授權(quán)的網(wǎng)絡(luò)設(shè)備(如路由器)在IGP(InteriorGatewayProtocol，內(nèi)部網(wǎng)關(guān)協(xié)議)路由器中注入網(wǎng)絡(luò)地址，部署成本較高。更有效可行且成本較低的方式是通過蜜罐收集反向散射數(shù)據(jù)包。具體地，可以在每個蜜罐上運行一個守護進程(如tcpdump)來捕獲到達蜜罐的所有流量，進而從捕獲的流量中確定待識別數(shù)據(jù)包，以對待識別數(shù)據(jù)包進行聚類和識別。在具體應(yīng)用中，DDoS攻擊通過大量僵尸主機向攻擊目標(biāo)發(fā)送大量看似合法的攻擊數(shù)據(jù)包，從而造成網(wǎng)絡(luò)阻塞或服務(wù)器資源耗盡進而導(dǎo)致拒絕服務(wù)，DDoS攻擊又被稱為“洪水式攻擊”，常見的DDOS攻擊方式包括SYN(synchronous，握手信號)Flood(握手信號洪水攻擊)、ACK(Acknowledgement，確認(rèn)字符)Flood(確認(rèn)字符洪水攻擊)、ICMP(InternetControlMessageProtocol，因特網(wǎng)控制報文協(xié)議)Flood(控制報文洪水攻擊)、DNS(DomainNameSystem，域名系統(tǒng))Flood(域名洪水攻擊)等。本發(fā)明實施例中主要以最為常見的兩種攻擊方式為例說明僵尸網(wǎng)絡(luò)家族的識別過程，即SYNFlood和DNSFlood，對應(yīng)的反向散射數(shù)據(jù)包分別為SYN-ACK和DNSresponses，其它攻擊方式的識別過程類似，相互參照即可，在此不作贅述?？蛇x地，本發(fā)明實施例可以將蜜罐收集的SYN-ACK和DNSresponses反向散射數(shù)據(jù)包作為待識別數(shù)據(jù)包，通過對SYN-ACK和DNSresponses進行分析可以得到其中所包含的字段特征，如源/目的地IP地址、源/目的端口、TCPISN(初始序列號)、DNS事務(wù)標(biāo)識、DNS查詢域名等，進而可以根據(jù)這些字段特征對待識別數(shù)據(jù)包進行聚類、生成待識別特征向量、以及根據(jù)待識別向量識別僵尸網(wǎng)絡(luò)家族。由于大量的僵尸主機通常同時對同一個攻擊目標(biāo)發(fā)起攻擊，因此，目的IP地址、目的端口等信息通常是固定的，而攻擊數(shù)據(jù)包的源IP地址通常是偽造的、隨機的，因此，為了簡化聚類的計算量，本發(fā)明實施例可以從上述字段特征中提取更為關(guān)鍵的字段特征用于聚類以及計算待識別特征向量。可選地，在所述反向散射數(shù)據(jù)包為SYN-ACK時，所述待識別數(shù)據(jù)包的字段特征包括：源地址、源端口、以及初始序列號。在所述反向散射數(shù)據(jù)包為DNSresponses時，所述待識別數(shù)據(jù)包的字段特征包括：源地址、源端口、事務(wù)標(biāo)識、以及DNS查詢域名。在本發(fā)明的一種可選實施例中，所述對待識別數(shù)據(jù)包進行聚類，以得到所述待識別數(shù)據(jù)包對應(yīng)的數(shù)據(jù)包類別的步驟，具體可以包括：步驟S2011、按照預(yù)置字段特征對所述待識別數(shù)據(jù)包進行分組，以得到若干數(shù)據(jù)包分組；其中，所述預(yù)置字段特征包括源地址、源端口、以及數(shù)據(jù)包類型；步驟S2012、針對各數(shù)據(jù)包分組內(nèi)待識別數(shù)據(jù)包的時間戳，將兩兩間隔小于間隔閾值的待識別數(shù)據(jù)包劃分到同一數(shù)據(jù)包類別中。在實際應(yīng)用中，通過蜜罐捕獲的流量中不僅包括識別僵尸網(wǎng)絡(luò)家族所需的DDoS反向散射數(shù)據(jù)包，還包括蜜罐的正常數(shù)據(jù)包，為了提高識別的準(zhǔn)確性，本發(fā)明實施例對蜜罐捕獲的所有流量進行過濾，在過濾掉其中的正常數(shù)據(jù)包之后，對DDoS反向散射數(shù)據(jù)包進行聚類以及識別。具體地，本發(fā)明實施例可以預(yù)先設(shè)置聚類規(guī)則，首先，由于同一個數(shù)據(jù)包類別中的各待識別數(shù)據(jù)包通常具有相同的字段特征，因此，可以按照預(yù)置字段特征對所述待識別數(shù)據(jù)包進行分組，所述預(yù)置字段特征具體可以包括源地址、源端口、以及數(shù)據(jù)包類型，使得在同一分組中的待識別數(shù)據(jù)包具有相同的源地址、源端口、以及數(shù)據(jù)包類型。例如，可以按照三元組<源IP地址，源端口，數(shù)據(jù)包類型>對所述待識別數(shù)據(jù)包進行分組，其中，數(shù)據(jù)包類型可以包括SYN-ACK類型以及DNSresponses類型，由此，在對所述待識別數(shù)據(jù)包進行分組后，可以得到SYN-ACK類型對應(yīng)的數(shù)據(jù)包分組以及DNSresponses類型對應(yīng)的數(shù)據(jù)包分組?？梢岳斫猓景l(fā)明實施例對于分組時選取的預(yù)置字段特征的種類和數(shù)量不加以限制，例如，所述預(yù)置字段特征可以包括源IP地址、目的IP地址、源端口、目的端口、初始序列號等。其次，由于僵尸網(wǎng)絡(luò)具有時間上持續(xù)性的特點，通常在持續(xù)時間內(nèi)快速地發(fā)送攻擊數(shù)據(jù)包，因此，本發(fā)明實施例的上述聚類規(guī)則中還需要對分組后的待識別數(shù)據(jù)包按照時間戳進行進一步劃分，具體地，判斷接收待識別數(shù)據(jù)包之間的時間間隔，如果兩個待識別數(shù)據(jù)包之間的時間戳間隔小于預(yù)設(shè)的間隔閾值(如2秒)，則認(rèn)為這兩個待識別數(shù)據(jù)包屬于同一種攻擊，可以將這兩個待識別數(shù)據(jù)包劃分到同一數(shù)據(jù)包類別中。再者，由于DDoS反向散射數(shù)據(jù)包的數(shù)量通常遠大于蜜罐的正常數(shù)據(jù)包，則在接收到的待識別數(shù)據(jù)包的數(shù)量較小時，可以認(rèn)為是蜜罐的正常流量。此外，僵尸網(wǎng)絡(luò)中攻擊數(shù)據(jù)包的源IP地址通常是偽造的，并且是隨機生成的，因此，如果接收到的待識別據(jù)包都來自某一個固定的源IP地址，則所述待識別數(shù)據(jù)包可能為蜜罐的正常數(shù)據(jù)包。因此，為了過濾掉正常的蜜罐流量得到真正的DDoS反向散射流量，可選地，所述方法還可以包括如下步驟：判斷所述數(shù)據(jù)包類別中待識別數(shù)據(jù)包的數(shù)量是否大于數(shù)量閾值，若是，則保留所述數(shù)據(jù)包類別；否則丟棄所述數(shù)據(jù)包類別；和/或判斷所述數(shù)據(jù)包類別中待識別數(shù)據(jù)包的源地址的種類是否大于種類閾值，若是，則保留所述數(shù)據(jù)包類別；否則丟棄所述數(shù)據(jù)包類別。參照表1，示出了本發(fā)明的一種聚類策略的具體示意。表1其中，所述間隔閾值以及種類閾值可以根據(jù)實際情況進行設(shè)置，本發(fā)明實施例對于間隔閾值、數(shù)量閾值以及種類閾值的具體數(shù)值不加以限制，例如可以設(shè)置間隔閾值為2秒、3秒等；設(shè)置數(shù)量閾值為30、50等；設(shè)置種類閾值為3、4、5等?？梢岳斫?，上述對反向散射數(shù)據(jù)包SYN-ACK和DNSresponses進行聚類僅作為本發(fā)明的一種應(yīng)用示例，在實際應(yīng)用中，所述反向散射數(shù)據(jù)包還可以包括TCPRST(Resettheconnection，復(fù)位連接)數(shù)據(jù)包等，本發(fā)明實施例對于所述反向散射數(shù)據(jù)包的具體類型不加以限制。在本發(fā)明的一種可選實施例中，所述依據(jù)所述數(shù)據(jù)包類別中各待識別數(shù)據(jù)包的字段特征，生成所述數(shù)據(jù)包類別對應(yīng)的待識別特征向量的步驟，具體可以包括：步驟S2021、依據(jù)所述數(shù)據(jù)包類別中各待識別數(shù)據(jù)包的字段特征，生成所述待識別數(shù)據(jù)包對應(yīng)的包特征向量；步驟S2022、將所述數(shù)據(jù)包類別中所有待識別數(shù)據(jù)包對應(yīng)的包特征向量進行組合，以得到所述數(shù)據(jù)包類別對應(yīng)的待識別特征向量。在本發(fā)明實施例中，可以為每一個數(shù)據(jù)包類別中各待識別數(shù)據(jù)包生成對應(yīng)的包特征向量，該包特征向量用于生成數(shù)據(jù)包類別對應(yīng)的待識別特征向量，從而可以根據(jù)該待識別特征向量識別數(shù)據(jù)包類別對應(yīng)的僵尸網(wǎng)絡(luò)家族。具體地，所述包特征向量可以由一個字段序列組成，該字段序列為根據(jù)收集的反向散射數(shù)據(jù)包分析得到的相同字段特征所組成的字段序列?？梢岳斫?，所述字段特征具體可以為字段值，或者還可以為對字段值進行處理得到的特征值等，本發(fā)明實施例對于所述字段特征的具體形式不加以限制。參照表2，示出了本發(fā)明的一種SYN-ACK反向散射數(shù)據(jù)包對應(yīng)的包特征向量，以及參照表3，示出了本發(fā)明的一種DNSresponses反向散射數(shù)據(jù)包對應(yīng)的包特征向量。表2字段特征字節(jié)描述源IPsip_o1，sip_o2，sip_o3，sip_o4對應(yīng)SYN-ACK的目的IP目的IPdip_o1，dip_o2，dip_o3，dip_o4對應(yīng)SYN-ACK的源IPTCPISNisn_b1，isn_b2，isn_b3，isn_b4對應(yīng)SYN-ACK的響應(yīng)序列號源端口sprot_h，sprot_l對應(yīng)SYN-ACK的目的端口目的端口dprot_h，dprot_l對應(yīng)SYN-ACK的源端口表3在本發(fā)明的一種應(yīng)用示例中，通過對收集的SYN-ACK反向散射數(shù)據(jù)包聚類得到數(shù)據(jù)包類別1：{A1、A2、A3、…An}，其中包括待識別數(shù)據(jù)包A1、A2、A3、…An，且每個待識別數(shù)據(jù)包可以包括如下字段特征：源IP地址、目的IP地址、TCPISN(初始序列號)、源端口和目的端口。其中，源IP地址指的是發(fā)送攻擊數(shù)據(jù)包的主機的IP地址，也即對應(yīng)的是蜜罐接收到的SYN-ACK反向散射數(shù)據(jù)包的目的IP。在本發(fā)明實施例中，源IP地址可以使用4個字節(jié)來表示，例如，對于源IP地址192.168.0.0，可以使用sip_o1，sip_o2，sip_o3，sip_o4等字節(jié)來表示，其中，sip_o1，sip_o2，sip_o3，sip_o4各占1個字節(jié)，同樣地，目的IP地址使用dip_o1，dip_o2，dip_o3，dip_o4這4個字節(jié)表示，TCPISN使用isn_b1，isn_b2，isn_b3，isn_b4這4個字節(jié)表示，源端口使用sprot_h，sprot_l這兩個字節(jié)表示，目的端口使用dprot_h，dprot_l這兩個字節(jié)表示，則對于A1、A2、A3、…An中的每一個待識別數(shù)據(jù)包，可以根據(jù)其對應(yīng)的源IP地址、目的IP地址、TCPISN、源端口和目的端口生成16個字節(jié)的包特征向量。為了簡化聚類的計算量，本發(fā)明實施例從上述字段特征中提取部分關(guān)鍵的字段特征用于聚類以及計算待識別特征向量。例如，SYN-ACK反向散射數(shù)據(jù)包對應(yīng)的包特征向量可以簡化為：[sip_o1，sip_o2，sip_o3，sip_o4,sport_h,sport_l]；DNSresponses反向散射數(shù)據(jù)包對應(yīng)的包特征向量可以簡化為[sport_h,sport_l,tid_h,tid_l]?？梢岳斫?，在實際應(yīng)用中，本發(fā)明實施例對于所述包特征向量的具體形式以及包含的字段特征不加以限制。例如，所述包特征向量可以為數(shù)組或者結(jié)構(gòu)體等任意形式。SYN-ACK反向散射數(shù)據(jù)包對應(yīng)的包特征向量還可以為[isn_b1,isn_b2,isn_b3,isn_b4,sport_h,sport_l]，DNSresponses反向散射數(shù)據(jù)包對應(yīng)的包特征向量還可以為[sip_o1,sip_o2,sip_o3,sip_o4,tid_h,tid_l]等。在生成包特征向量之后，可以將所述數(shù)據(jù)包類別中所有待識別數(shù)據(jù)包對應(yīng)的包特征向量進行組合，以得到所述數(shù)據(jù)包類別對應(yīng)的待識別特征向量。具體地，可以按照預(yù)設(shè)順序?qū)⑺鰯?shù)據(jù)包類別中所有待識別數(shù)據(jù)包對應(yīng)的包特征向量進行連接，以得到所述數(shù)據(jù)包類別對應(yīng)的待識別特征向量。例如，可以按照待識別數(shù)據(jù)包的時間戳順序，將所述數(shù)據(jù)包類別中所有待識別數(shù)據(jù)包對應(yīng)的包特征向量進行連接，以得到所述數(shù)據(jù)包類別對應(yīng)的待識別特征向量?；蛘撸€可以對所述數(shù)據(jù)包類別中所有待識別數(shù)據(jù)包對應(yīng)的包特征向量按照預(yù)設(shè)方式進行組合，得到對應(yīng)的多維向量，作為所述數(shù)據(jù)包類別對應(yīng)的待識別特征向量等?？梢岳斫?，本發(fā)明實施例對于生成所述數(shù)據(jù)包類別對應(yīng)的待識別特征向量的具體方式不加以限制。在本發(fā)明的一種應(yīng)用示例中，按照A1、A2、A3、…An待識別數(shù)據(jù)包的時間戳順序，將其分別對應(yīng)的包特征向量[sip_o1，sip_o2，sip_o3，sip_o4,sport_h,sport_l]進行連接，得到數(shù)據(jù)包類別1對應(yīng)的待識別特征向量。當(dāng)然，在實際應(yīng)用中，本發(fā)明實施例并不局限于按照時間戳順序生成待識別特征向量，還可以按照其它連接順序得到數(shù)據(jù)包類別對應(yīng)的待識別特征向量。在本發(fā)明實施例中，每個數(shù)據(jù)包類別可以對應(yīng)一個待識別特征向量，且該待識別特征向量可以對應(yīng)某個僵尸網(wǎng)絡(luò)家族，本發(fā)明實施例利用預(yù)置僵尸網(wǎng)絡(luò)家族的預(yù)置特征對數(shù)據(jù)包類別對應(yīng)的待識別特征向量進行識別，可以推斷出對應(yīng)的僵尸網(wǎng)絡(luò)家庭。在本發(fā)明的一種可選實施例中，所述利用預(yù)置僵尸網(wǎng)絡(luò)家族的預(yù)置特征對所述待識別特征向量進行識別，以得到所述待識別特征向量對應(yīng)的目標(biāo)僵尸網(wǎng)絡(luò)家族的步驟，具體可以包括：步驟S2031、依據(jù)所述數(shù)據(jù)包類別中各待識別數(shù)據(jù)包對應(yīng)的包特征向量，生成所述數(shù)據(jù)包類別對應(yīng)的包特征矩陣；步驟S2032、確定所述包特征矩陣的列對應(yīng)的熵值；步驟S2033、判斷所述熵值與所述預(yù)置特征是否匹配，若匹配，則確定所述待識別數(shù)據(jù)包對應(yīng)的目標(biāo)僵尸網(wǎng)絡(luò)家族為所述預(yù)置特征對應(yīng)的預(yù)置僵尸網(wǎng)絡(luò)家族。具體地，本發(fā)明實施例將數(shù)據(jù)包類別中的所有待識別數(shù)據(jù)包對應(yīng)的包特征向量組合形成一個包特征矩陣，并且計算每個包特征矩陣的列的熵值，所述熵值可以反映所述包特征矩陣中每一列元素的隨機程度，如果某一列中各元素的值差別越大，則該列的熵值越大；反之，如果某一列中各元素的值差別越小，則該列的熵值也越小，當(dāng)某一列中各元素的值相同時，該列的熵值則為0。所述預(yù)置特征為對大量已知僵尸程序樣本進行分析，得到的特定類型的僵尸網(wǎng)絡(luò)家族的攻擊數(shù)據(jù)包所具有的特定特征，例如，包特征矩陣中的哪些列具有怎樣的熵值，通過將上述計算得到的熵值與預(yù)置特征進行匹配，即可得到數(shù)據(jù)包類別對應(yīng)的僵尸網(wǎng)絡(luò)家族。在本發(fā)明的一種應(yīng)用示例中，假設(shè)通過對采集的大量的僵尸程序樣本進行分析，得知僵尸網(wǎng)絡(luò)家族B的攻擊數(shù)據(jù)包的字段通常包含有固定的字節(jié)值，例如，所有攻擊數(shù)據(jù)包的源IP地址的第一個字節(jié)均相同，那么對收集的攻擊數(shù)據(jù)包進行聚類得到的數(shù)據(jù)包類別的包特征矩陣具有相同的列，則該列的熵值為0。因此，可以設(shè)置預(yù)置僵尸網(wǎng)絡(luò)家族X的預(yù)置特征為0。在本發(fā)明實施例中，以Pi表示數(shù)據(jù)包類別對應(yīng)的待識別特征向量的某一個特征值，也即包特征矩陣中第i列對應(yīng)的熵值，如果某一數(shù)據(jù)包類別對應(yīng)的待識別特征向量的包特征矩陣中第13列的熵值為0，如P13＝0x00，則可以確定該數(shù)據(jù)包類別對應(yīng)的僵尸網(wǎng)絡(luò)家族為僵尸網(wǎng)絡(luò)家族X。再或者，如果預(yù)置僵尸網(wǎng)絡(luò)家族Y的預(yù)置特征為存在兩組相等的熵值，如{(P9＝P13),(P10＝P14)}，即對應(yīng)的包特征矩陣中第9列的熵值與第13列的熵值相等，則認(rèn)為該數(shù)據(jù)包類別對應(yīng)僵尸網(wǎng)絡(luò)家族Y。在實際應(yīng)用中，所述預(yù)置僵尸網(wǎng)絡(luò)家族的預(yù)置特征可用于標(biāo)識預(yù)置僵尸網(wǎng)絡(luò)家族的特征，在實際應(yīng)用中，可以通過人工分析得到上述預(yù)置特征，或者，可以在一個可控的環(huán)境中運行預(yù)置僵尸網(wǎng)絡(luò)家族的樣本，對該預(yù)置僵尸網(wǎng)絡(luò)家族的攻擊數(shù)據(jù)包對應(yīng)的數(shù)據(jù)包類別生成對應(yīng)的特征向量，利用機器學(xué)習(xí)的方式對該特征向量進行聚類，以自動學(xué)習(xí)僵尸網(wǎng)絡(luò)家庭的攻擊數(shù)據(jù)包對應(yīng)的預(yù)置特征?？梢岳斫猓景l(fā)明實施例對于預(yù)置僵尸網(wǎng)絡(luò)家族的預(yù)置特征的獲取方式不加以限制。應(yīng)用示例下面通過具體的應(yīng)用示例說明本發(fā)明的實現(xiàn)過程。在本應(yīng)用示例中，首先通過使用28個具有公共IP地址的蜜罐收集近10個月的反向散射數(shù)據(jù)包，并且設(shè)置聚類策略如表4所示。根據(jù)表4所示的聚類策略對收集的反向散射數(shù)據(jù)包進行聚類，得到2333個SYN-ACK數(shù)據(jù)包類別，也即2333個SYN-ACK攻擊，以及1835個DNS數(shù)據(jù)包類別，也即1835個DNS攻擊。表4策略SYN-ACKDNS間隔閾值30毫秒30毫秒數(shù)量閾值803類型閾值102然后分別對2333個SYN-ACK數(shù)據(jù)包類別中的各待識別數(shù)據(jù)計算得到對應(yīng)的包特征向量，根據(jù)包特征向量得到各SYN-ACK數(shù)據(jù)包類別對應(yīng)的待識別特征向量，最后根據(jù)待識別特征向量對2333個SYN-ACK數(shù)據(jù)包類別對應(yīng)的僵尸網(wǎng)絡(luò)家族進行識別。對于1835個DNS數(shù)據(jù)包類別的處理過程類似，最終得到如表5所示的識別結(jié)果。表5類別預(yù)置特征匹配的數(shù)據(jù)包類別目標(biāo)僵尸網(wǎng)絡(luò)家族SYN-ACK{(P9＝P13),(P10＝P14)}1318家族BSYN-ACK{(P13＝0x00),(P10＝0x01)}131家族DDNS{(P4＝P11+1),(P3＝P12)}626家族EDNS{(P3＝P9),(P4＝P10)}21未知家族綜上，本發(fā)明實施例利用同一僵尸網(wǎng)絡(luò)家族的攻擊數(shù)據(jù)包通常具有相同或相似特征的特點，預(yù)先獲取預(yù)置僵尸網(wǎng)絡(luò)家族的預(yù)置特征；并且，在待識別數(shù)據(jù)包的識別過程中，可以基于聚類得到數(shù)據(jù)包類別及其對應(yīng)的待識別特征向量，并利用上述預(yù)置特征對待識別特征向量進行識別，以識別出各數(shù)據(jù)包類別對應(yīng)的僵尸網(wǎng)絡(luò)家族；由于本發(fā)明實施例利用上述預(yù)置特征對數(shù)據(jù)包類別對應(yīng)的僵尸網(wǎng)絡(luò)家族進行識別，因此能夠?qū)崿F(xiàn)對于整個僵尸網(wǎng)絡(luò)家族的識別，進而幫助在跟蹤僵尸網(wǎng)絡(luò)的過程中找到真正的攻擊者，以提高網(wǎng)絡(luò)安全性。參照圖3，示出了根據(jù)本發(fā)明一個實施例的一種僵尸網(wǎng)絡(luò)家族的識別裝置的結(jié)構(gòu)框圖，具體可以包括如下模塊：聚類模塊301，用于對待識別數(shù)據(jù)包進行聚類，以得到所述待識別數(shù)據(jù)包對應(yīng)的數(shù)據(jù)包類別；向量生成模塊302，用于依據(jù)所述數(shù)據(jù)包類別中各待識別數(shù)據(jù)包的字段特征，生成所述數(shù)據(jù)包類別對應(yīng)的待識別特征向量；識別模塊303，用于利用預(yù)置僵尸網(wǎng)絡(luò)家族的預(yù)置特征對所述待識別特征向量進行識別，以得到所述待識別特征向量對應(yīng)的目標(biāo)僵尸網(wǎng)絡(luò)家族。在本發(fā)明的一種可選實施例中，所述聚類模塊301，包括：分組子模塊，用于按照預(yù)置字段特征對所述待識別數(shù)據(jù)包進行分組，以得到若干數(shù)據(jù)包分組；其中，所述預(yù)置字段特征包括源地址、源端口、以及數(shù)據(jù)包類型；劃分子模塊，用于針對各數(shù)據(jù)包分組內(nèi)待識別數(shù)據(jù)包的時間戳，將兩兩間隔小于間隔閾值的待識別數(shù)據(jù)包劃分到同一數(shù)據(jù)包類別中。在本發(fā)明的另一種可選實施例中，所述裝置還可以包括：第一判斷模塊，用于判斷所述數(shù)據(jù)包類別中待識別數(shù)據(jù)包的數(shù)量是否大于數(shù)量閾值，若是，則保留所述數(shù)據(jù)包類別；否則丟棄所述數(shù)據(jù)包類別；和/或第二判斷模塊，用于判斷所述數(shù)據(jù)包類別中待識別數(shù)據(jù)包的源地址的種類是否大于種類閾值，若是，則保留所述數(shù)據(jù)包類別；否則丟棄所述數(shù)據(jù)包類別。在本發(fā)明的又一種可選實施例中，所述向量生成模塊302，具體可以包括：第一生成子模塊，用于依據(jù)所述數(shù)據(jù)包類別中各待識別數(shù)據(jù)包的字段特征，生成所述待識別數(shù)據(jù)包對應(yīng)的包特征向量；第二生成子模塊，用于將所述數(shù)據(jù)包類別中所有待識別數(shù)據(jù)包對應(yīng)的包特征向量進行組合，以得到所述數(shù)據(jù)包類別對應(yīng)的待識別特征向量。在本發(fā)明的再一種可選實施例中，所述識別模塊303，具體可以包括：矩陣生成子模塊，用于依據(jù)所述數(shù)據(jù)包類別中各待識別數(shù)據(jù)包對應(yīng)的包特征向量，生成所述數(shù)據(jù)包類別對應(yīng)的包特征矩陣；熵值確定子模塊，用于確定所述包特征矩陣的列對應(yīng)的熵值；家族識別子模塊，用于判斷所述熵值與所述預(yù)置特征是否匹配，若匹配，則確定所述待識別數(shù)據(jù)包對應(yīng)的目標(biāo)僵尸網(wǎng)絡(luò)家族為所述預(yù)置特征對應(yīng)的預(yù)置僵尸網(wǎng)絡(luò)家族。在本發(fā)明的再一種可選實施例中，所述待識別數(shù)據(jù)包包括原始攻擊數(shù)據(jù)包和/或反向散射數(shù)據(jù)包；所述裝置還可以包括：第一收集模塊，用于在攻擊端收集所述原始攻擊數(shù)據(jù)包；和/或第二收集模塊，用于通過蜜罐或者暗網(wǎng)收集所述反向散射數(shù)據(jù)包。在本發(fā)明的再一種可選實施例中，所述反向散射數(shù)據(jù)包包括SYN-ACK數(shù)據(jù)包；所述待識別數(shù)據(jù)包的字段特征包括：源地址、源端口、以及初始序列號。在本發(fā)明的再一種可選實施例中，所述反向散射數(shù)據(jù)包包括DNSresponses數(shù)據(jù)包；所述待識別數(shù)據(jù)包的字段特征包括：源地址、源端口、事務(wù)標(biāo)識、以及查詢域名。對于裝置實施例而言，由于其與方法實施例基本相似，所以描述的比較簡單，相關(guān)之處參見方法實施例的部分說明即可。在此提供的算法和顯示不與任何特定計算機、虛擬系統(tǒng)或者其它設(shè)備固有相關(guān)。各種通用系統(tǒng)也可以與基于在此的示教一起使用。根據(jù)上面的描述，構(gòu)造這類系統(tǒng)所要求的結(jié)構(gòu)是顯而易見的。此外，本發(fā)明也不針對任何特定編程語言。應(yīng)當(dāng)明白，可以利用各種編程語言實現(xiàn)在此描述的本發(fā)明的內(nèi)容，并且上面對特定語言所做的描述是為了披露本發(fā)明的最佳實施方式。在此處所提供的說明書中，說明了大量具體細節(jié)。然而，能夠理解，本發(fā)明的實施例可以在沒有這些具體細節(jié)的情況下實踐。在一些實例中，并未詳細示出公知的方法、結(jié)構(gòu)和技術(shù)，以便不模糊對本說明書的理解。類似地，應(yīng)當(dāng)理解，為了精簡本公開并幫助理解各個發(fā)明方面中的一個或多個，在上面對本發(fā)明的示例性實施例的描述中，本發(fā)明的各個特征有時被一起分組到單個實施例、圖、或者對其的描述中。然而，并不應(yīng)將該公開的方法解釋成反映如下意圖：即所要求保護的本發(fā)明要求比在每個權(quán)利要求中所明確記載的特征更多的特征。更確切地說，如下面的權(quán)利要求書所反映的那樣，發(fā)明方面在于少于前面公開的單個實施例的所有特征。因此，遵循具體實施方式的權(quán)利要求書由此明確地并入該具體實施方式，其中每個權(quán)利要求本身都作為本發(fā)明的單獨實施例。本領(lǐng)域那些技術(shù)人員可以理解，可以對實施例中的設(shè)備中的模塊進行自適應(yīng)性地改變并且把它們設(shè)置在與該實施例不同的一個或多個設(shè)備中?？梢园褜嵤├械哪K或單元或組件組合成一個模塊或單元或組件，以及此外可以把它們分成多個子模塊或子單元或子組件。除了這樣的特征和/或過程或者單元中的至少一些是相互排斥之外，可以采用任何組合對本說明書(包括伴隨的權(quán)利要求、摘要和附圖)中公開的所有特征以及如此公開的任何方法或者設(shè)備的所有過程或單元進行組合。除非另外明確陳述，本說明書(包括伴隨的權(quán)利要求、摘要和附圖)中公開的每個特征可以由提供相同、等同或相似目的的替代特征來代替。此外，本領(lǐng)域的技術(shù)人員能夠理解，盡管在此所述的一些實施例包括其它實施例中所包括的某些特征而不是其它特征，但是不同實施例的特征的組合意味著處于本發(fā)明的范圍之內(nèi)并且形成不同的實施例。例如，在下面的權(quán)利要求書中，所要求保護的實施例的任意之一都可以以任意的組合方式來使用。本發(fā)明的各個部件實施例可以以硬件實現(xiàn)，或者以在一個或者多個處理器上運行的軟件模塊實現(xiàn)，或者以它們的組合實現(xiàn)。本領(lǐng)域的技術(shù)人員應(yīng)當(dāng)理解，可以在實踐中使用微處理器或者數(shù)字信號處理器(DSP)來實現(xiàn)根據(jù)本發(fā)明實施例的僵尸網(wǎng)絡(luò)家族的識別方法和裝置中的一些或者全部部件的一些或者全部功能。本發(fā)明還可以實現(xiàn)為用于執(zhí)行這里所描述的方法的一部分或者全部的設(shè)備或者裝置程序(例如，計算機程序和計算機程序產(chǎn)品)。這樣的實現(xiàn)本發(fā)明的程序可以存儲在計算機可讀介質(zhì)上，或者可以具有一個或者多個信號的形式。這樣的信號可以從因特網(wǎng)平臺上下載得到，或者在載體信號上提供，或者以任何其他形式提供。應(yīng)該注意的是上述實施例對本發(fā)明進行說明而不是對本發(fā)明進行限制，并且本領(lǐng)域技術(shù)人員在不脫離所附權(quán)利要求的范圍的情況下可設(shè)計出替換實施例。在權(quán)利要求中，不應(yīng)將位于括號之間的任何參考符號構(gòu)造成對權(quán)利要求的限制。單詞“包括”不排除存在未列在權(quán)利要求中的元件或步驟。位于元件之前的單詞“一”或“一個”不排除存在多個這樣的元件。本發(fā)明可以借助于包括有若干不同元件的硬件以及借助于適當(dāng)編程的計算機來實現(xiàn)。在列舉了若干裝置的單元權(quán)利要求中，這些裝置中的若干個可以是通過同一個硬件項來具體體現(xiàn)。單詞第一、第二、以及第三等的使用不表示任何順序。可將這些單詞解釋為名稱。本發(fā)明公開了A1、一種僵尸網(wǎng)絡(luò)家族的識別方法，包括：對待識別數(shù)據(jù)包進行聚類，以得到所述待識別數(shù)據(jù)包對應(yīng)的數(shù)據(jù)包類別；依據(jù)所述數(shù)據(jù)包類別中各待識別數(shù)據(jù)包的字段特征，生成所述數(shù)據(jù)包類別對應(yīng)的待識別特征向量；利用預(yù)置僵尸網(wǎng)絡(luò)家族的預(yù)置特征對所述待識別特征向量進行識別，以得到所述待識別特征向量對應(yīng)的目標(biāo)僵尸網(wǎng)絡(luò)家族。A2、如A1所述的方法，所述對待識別數(shù)據(jù)包進行聚類，以得到所述待識別數(shù)據(jù)包對應(yīng)的數(shù)據(jù)包類別的步驟，包括：按照預(yù)置字段特征對所述待識別數(shù)據(jù)包進行分組，以得到若干數(shù)據(jù)包分組；其中，所述預(yù)置字段特征包括源地址、源端口、以及數(shù)據(jù)包類型；針對各數(shù)據(jù)包分組內(nèi)待識別數(shù)據(jù)包的時間戳，將兩兩間隔小于間隔閾值的待識別數(shù)據(jù)包劃分到同一數(shù)據(jù)包類別中。A3、如A2所述的方法，所述方法還包括：判斷所述數(shù)據(jù)包類別中待識別數(shù)據(jù)包的數(shù)量是否大于數(shù)量閾值，若是，則保留所述數(shù)據(jù)包類別；否則丟棄所述數(shù)據(jù)包類別；和/或判斷所述數(shù)據(jù)包類別中待識別數(shù)據(jù)包的源地址的種類是否大于種類閾值，若是，則保留所述數(shù)據(jù)包類別；否則丟棄所述數(shù)據(jù)包類別。A4、如A1所述的方法，所述依據(jù)所述數(shù)據(jù)包類別中各待識別數(shù)據(jù)包的字段特征，生成所述數(shù)據(jù)包類別對應(yīng)的待識別特征向量的步驟，包括：依據(jù)所述數(shù)據(jù)包類別中各待識別數(shù)據(jù)包的字段特征，生成所述待識別數(shù)據(jù)包對應(yīng)的包特征向量；將所述數(shù)據(jù)包類別中所有待識別數(shù)據(jù)包對應(yīng)的包特征向量進行組合，以得到所述數(shù)據(jù)包類別對應(yīng)的待識別特征向量。A5、如A4所述的方法，所述利用預(yù)置僵尸網(wǎng)絡(luò)家族的預(yù)置特征對所述待識別特征向量進行識別，以得到所述待識別特征向量對應(yīng)的目標(biāo)僵尸網(wǎng)絡(luò)家族的步驟，包括：依據(jù)所述數(shù)據(jù)包類別中各待識別數(shù)據(jù)包對應(yīng)的包特征向量，生成所述數(shù)據(jù)包類別對應(yīng)的包特征矩陣；確定所述包特征矩陣的列對應(yīng)的熵值；判斷所述熵值與所述預(yù)置特征是否匹配，若匹配，則確定所述待識別數(shù)據(jù)包對應(yīng)的目標(biāo)僵尸網(wǎng)絡(luò)家族為所述預(yù)置特征對應(yīng)的預(yù)置僵尸網(wǎng)絡(luò)家族。A6、如A1至A5中任一所述的方法，所述待識別數(shù)據(jù)包包括原始攻擊數(shù)據(jù)包和/或反向散射數(shù)據(jù)包；所述方法還包括：在攻擊端收集所述原始攻擊數(shù)據(jù)包；和/或通過蜜罐或者暗網(wǎng)收集所述反向散射數(shù)據(jù)包。A7、如A6所述的方法，所述反向散射數(shù)據(jù)包包括SYN-ACK數(shù)據(jù)包；所述待識別數(shù)據(jù)包的字段特征包括：源地址、源端口、以及初始序列號。A8、如A6所述的方法，所述反向散射數(shù)據(jù)包包括DNSresponses數(shù)據(jù)包；所述待識別數(shù)據(jù)包的字段特征包括：源地址、源端口、事務(wù)標(biāo)識、以及查詢域名。本發(fā)明公開了B9、一種僵尸網(wǎng)絡(luò)家族的識別裝置，包括：聚類模塊，用于對待識別數(shù)據(jù)包進行聚類，以得到所述待識別數(shù)據(jù)包對應(yīng)的數(shù)據(jù)包類別；向量生成模塊，用于依據(jù)所述數(shù)據(jù)包類別中各待識別數(shù)據(jù)包的字段特征，生成所述數(shù)據(jù)包類別對應(yīng)的待識別特征向量；識別模塊，用于利用預(yù)置僵尸網(wǎng)絡(luò)家族的預(yù)置特征對所述待識別特征向量進行識別，以得到所述待識別特征向量對應(yīng)的目標(biāo)僵尸網(wǎng)絡(luò)家族。B10、如B9所述的裝置，所述聚類模塊，包括：分組子模塊，用于按照預(yù)置字段特征對所述待識別數(shù)據(jù)包進行分組，以得到若干數(shù)據(jù)包分組；其中，所述預(yù)置字段特征包括源地址、源端口、以及數(shù)據(jù)包類型；劃分子模塊，用于針對各數(shù)據(jù)包分組內(nèi)待識別數(shù)據(jù)包的時間戳，將兩兩間隔小于間隔閾值的待識別數(shù)據(jù)包劃分到同一數(shù)據(jù)包類別中。B11、如B10所述的裝置，所述裝置還包括：第一判斷模塊，用于判斷所述數(shù)據(jù)包類別中待識別數(shù)據(jù)包的數(shù)量是否大于數(shù)量閾值，若是，則保留所述數(shù)據(jù)包類別；否則丟棄所述數(shù)據(jù)包類別；和/或第二判斷模塊，用于判斷所述數(shù)據(jù)包類別中待識別數(shù)據(jù)包的源地址的種類是否大于種類閾值，若是，則保留所述數(shù)據(jù)包類別；否則丟棄所述數(shù)據(jù)包類別。B12、如B9所述的裝置，所述向量生成模塊，包括：第一生成子模塊，用于依據(jù)所述數(shù)據(jù)包類別中各待識別數(shù)據(jù)包的字段特征，生成所述待識別數(shù)據(jù)包對應(yīng)的包特征向量；第二生成子模塊，用于將所述數(shù)據(jù)包類別中所有待識別數(shù)據(jù)包對應(yīng)的包特征向量進行組合，以得到所述數(shù)據(jù)包類別對應(yīng)的待識別特征向量。B13、如B12所述的裝置，所述識別模塊，包括：矩陣生成子模塊，用于依據(jù)所述數(shù)據(jù)包類別中各待識別數(shù)據(jù)包對應(yīng)的包特征向量，生成所述數(shù)據(jù)包類別對應(yīng)的包特征矩陣；熵值確定子模塊，用于確定所述包特征矩陣的列對應(yīng)的熵值；家族識別子模塊，用于判斷所述熵值與所述預(yù)置特征是否匹配，若匹配，則確定所述待識別數(shù)據(jù)包對應(yīng)的目標(biāo)僵尸網(wǎng)絡(luò)家族為所述預(yù)置特征對應(yīng)的預(yù)置僵尸網(wǎng)絡(luò)家族。B14、如權(quán)利要求B9至B13中任一所述的裝置，所述待識別數(shù)據(jù)包包括原始攻擊數(shù)據(jù)包和/或反向散射數(shù)據(jù)包；所述裝置還包括：第一收集模塊，用于在攻擊端收集所述原始攻擊數(shù)據(jù)包；和/或第二收集模塊，用于通過蜜罐或者暗網(wǎng)收集所述反向散射數(shù)據(jù)包。B15、如B14所述的裝置，所述反向散射數(shù)據(jù)包包括SYN-ACK數(shù)據(jù)包；所述待識別數(shù)據(jù)包的字段特征包括：源地址、源端口、以及初始序列號。B16、如B14所述的裝置，所述反向散射數(shù)據(jù)包包括DNSresponses數(shù)據(jù)包；所述待識別數(shù)據(jù)包的字段特征包括：源地址、源端口、事務(wù)標(biāo)識、以及查詢域名。當(dāng)前第1頁1 2 3