一種僵尸網(wǎng)絡(luò)發(fā)現(xiàn)技術(shù)及裝置的制造方法
【專利說(shuō)明】一種僵尸網(wǎng)絡(luò)發(fā)現(xiàn)技術(shù)及裝置
[0001]
技術(shù)領(lǐng)域
[0002]本發(fā)明涉及一種監(jiān)測(cè)網(wǎng)絡(luò)病毒的方法�,具體來(lái)說(shuō),涉及一種僵尸網(wǎng)絡(luò)發(fā)現(xiàn)技術(shù)及
目.ο
[0003]
【背景技術(shù)】
[0004]僵尸網(wǎng)絡(luò)Botnet是指采用一種或多種傳播手段�����,將大量主機(jī)感染bot程序(僵尸程序)病毒����,從而在控制者和被感染主機(jī)之間所形成的一個(gè)可一對(duì)多控制的網(wǎng)絡(luò)。攻擊者通過(guò)各種途徑傳播僵尸程序感染互聯(lián)網(wǎng)上的大量主機(jī)�����,而被感染的主機(jī)將通過(guò)一個(gè)控制信道接收攻擊者的指令,組成一個(gè)僵尸網(wǎng)絡(luò)���。之所以用僵尸網(wǎng)絡(luò)這個(gè)名字�����,是為了更形象地讓人們認(rèn)識(shí)到這類危害的特點(diǎn):眾多的計(jì)算機(jī)在不知不覺(jué)中如同中國(guó)古老傳說(shuō)中的僵尸群一樣被人驅(qū)趕和指揮著��,成為被人利用的一種工具�,然而目前并沒(méi)有一種技術(shù)可以有效的監(jiān)測(cè)僵尸病毒的入侵����。
[0005]針對(duì)相關(guān)技術(shù)中的問(wèn)題,目前尚未提出有效的解決方案���。
[0006]
【發(fā)明內(nèi)容】
[0007]本發(fā)明的目的是提供一種僵尸網(wǎng)絡(luò)發(fā)現(xiàn)技術(shù)及裝置�����,以克服目前現(xiàn)有技術(shù)存在的上述不足�。
[0008]本發(fā)明的目的是通過(guò)以下技術(shù)方案來(lái)實(shí)現(xiàn):
一種僵尸網(wǎng)絡(luò)發(fā)現(xiàn)技術(shù)��,包括如下步驟:
通過(guò)現(xiàn)有的抓包工具抓取同一網(wǎng)絡(luò)拓?fù)渲械母鱾€(gè)網(wǎng)絡(luò)設(shè)備的OSI七層的網(wǎng)絡(luò)信息流量����,利用數(shù)據(jù)生成設(shè)備將抓取的網(wǎng)絡(luò)流量生成流量數(shù)據(jù);
根據(jù)生成的網(wǎng)絡(luò)數(shù)據(jù)中的IP地址的網(wǎng)段信息和虛擬局域網(wǎng)的劃分信息以及相關(guān)數(shù)據(jù)的行為分析�����,生成相應(yīng)的網(wǎng)絡(luò)組織結(jié)構(gòu)圖�,并且根據(jù)網(wǎng)絡(luò)組織結(jié)構(gòu)圖生成網(wǎng)絡(luò)的流量模型;將服務(wù)器接收到的各個(gè)子設(shè)備的訪問(wèn)信息和形成的網(wǎng)絡(luò)流量模型進(jìn)行對(duì)比�����,并且判斷流量行為的相似性��;
當(dāng)訪問(wèn)信息和網(wǎng)絡(luò)流量模型對(duì)比之后流量行為正常�����,則進(jìn)一步更新網(wǎng)絡(luò)流量模型��;當(dāng)有發(fā)現(xiàn)有游離于網(wǎng)絡(luò)流量模型圖以外的可疑流量行為的時(shí)候則對(duì)該訪問(wèn)設(shè)備的IP地址進(jìn)行同源分析�,找出訪問(wèn)點(diǎn)的其他可疑入侵的連接設(shè)備。
[0009]進(jìn)一步的��,所述的網(wǎng)絡(luò)流量信息包括生成流量數(shù)據(jù)���,包括捕獲時(shí)間����,源ip,目的ip����,源端口,目的端口�,應(yīng)用協(xié)議,方向��,包數(shù)����,字節(jié)數(shù),標(biāo)識(shí)字段��,tcp序列號(hào)�。
[0010]進(jìn)一步的,所述網(wǎng)絡(luò)流量模型包括新建連接數(shù)�����、并發(fā)連接數(shù)、目的服務(wù)器類型���、目的服務(wù)器地址、平均包長(zhǎng)度��、連接時(shí)間�、連接目標(biāo)的組織機(jī)構(gòu)信息。
[0011]—種僵尸網(wǎng)絡(luò)的發(fā)現(xiàn)裝置�����,包括流量抓取裝置��、網(wǎng)絡(luò)流量模型建立裝置��、相似性判斷裝置�����、網(wǎng)絡(luò)流量模型更新裝置�����、可疑設(shè)備查找裝置;其中:
流量抓取裝置:通過(guò)現(xiàn)有的抓包工具抓取同一網(wǎng)絡(luò)拓?fù)渲械母鱾€(gè)網(wǎng)絡(luò)設(shè)備的OSI七層的網(wǎng)絡(luò)信息流量,利用數(shù)據(jù)生成設(shè)備將抓取的網(wǎng)絡(luò)流量生成流量數(shù)據(jù);
網(wǎng)絡(luò)流量模型建立裝置:根據(jù)生成的網(wǎng)絡(luò)數(shù)據(jù)中的IP地址的網(wǎng)段信息和虛擬局域網(wǎng)的劃分信息以及相關(guān)數(shù)據(jù)的行為分析����,生成相應(yīng)的網(wǎng)絡(luò)組織結(jié)構(gòu)圖�,并且根據(jù)網(wǎng)絡(luò)組織結(jié)構(gòu)圖生成網(wǎng)絡(luò)流量模型���;
相似性判斷裝置:將服務(wù)器接收到的各個(gè)子設(shè)備的訪問(wèn)信息和形成的網(wǎng)絡(luò)流量模型進(jìn)行對(duì)比��,并且判斷流量行為的相似性;
網(wǎng)絡(luò)流量模型更新裝置:當(dāng)訪問(wèn)信息和網(wǎng)絡(luò)流量模型對(duì)比之后流量行為正常�,則進(jìn)一步更新網(wǎng)絡(luò)流量模型����;
可疑設(shè)備查找裝置:當(dāng)有發(fā)現(xiàn)有游離于網(wǎng)絡(luò)流量模型圖以外的可疑流量行為的時(shí)候則對(duì)該訪問(wèn)設(shè)備的IP地址進(jìn)行同源分析,找出訪問(wèn)點(diǎn)的其他可疑入侵的連接設(shè)備。
[0012]本發(fā)明的有益效果為:通過(guò)抓取網(wǎng)絡(luò)信息生成數(shù)據(jù)流量模型���,并且利用數(shù)據(jù)流量模型訪問(wèn)的設(shè)備信息進(jìn)行流量對(duì)比進(jìn)而來(lái)判斷訪問(wèn)設(shè)備的安全性��,并且可以找出可疑訪問(wèn)設(shè)備的相關(guān)可疑訪問(wèn)源,本發(fā)明保證網(wǎng)絡(luò)設(shè)備的使用安全性�。
[0013]
【附圖說(shuō)明】
[0014]為了更清楚地說(shuō)明本發(fā)明實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案���,下面將對(duì)實(shí)施例中所需要使用的附圖作簡(jiǎn)單地介紹��,顯而易見(jiàn)地�,下面描述中的附圖僅僅是本發(fā)明的一些實(shí)施例,對(duì)于本領(lǐng)域普通技術(shù)人員來(lái)講,在不付出創(chuàng)造性勞動(dòng)的前提下,還可以根據(jù)這些附圖獲得其他的附圖�����。
[0015]圖1是根據(jù)本發(fā)明實(shí)施例的僵尸網(wǎng)絡(luò)發(fā)現(xiàn)技術(shù)判斷流程圖���。
[0016]
【具體實(shí)施方式】
[0017]下面將結(jié)合本發(fā)明實(shí)施例中的附圖��,對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚、完整地描述�,顯然��,所描述的實(shí)施例僅僅是本發(fā)明一部分實(shí)施例���,而不是全部的實(shí)施例�?����;诒景l(fā)明中的實(shí)施例����,本領(lǐng)域普通技術(shù)人員所獲得的所有其他實(shí)施例��,都屬于本發(fā)明保護(hù)的范圍���。
[0018]如圖1所示�����,根據(jù)本發(fā)明的實(shí)施例所述的一種僵尸網(wǎng)絡(luò)發(fā)現(xiàn)技術(shù)�,包括如下步驟:
通過(guò)現(xiàn)有的抓包工具抓取同一網(wǎng)絡(luò)拓?fù)渲械母鱾€(gè)網(wǎng)絡(luò)設(shè)備的OSI七層的網(wǎng)絡(luò)信息流量���,利用數(shù)據(jù)生成設(shè)備將抓取的網(wǎng)絡(luò)流量生成流量數(shù)據(jù)�����;
根據(jù)生成的網(wǎng)絡(luò)數(shù)據(jù)中的IP地址的網(wǎng)段信息和虛擬局域網(wǎng)的劃分信息以及相關(guān)數(shù)據(jù)的行為分析��,生成相應(yīng)的網(wǎng)絡(luò)組織結(jié)構(gòu)圖�����,并且根據(jù)網(wǎng)絡(luò)組織結(jié)構(gòu)圖生成網(wǎng)絡(luò)的流量模型�;將服務(wù)器接收到的各個(gè)子設(shè)備的訪問(wèn)信息和形成的網(wǎng)絡(luò)流量模型進(jìn)行對(duì)比����,并且判斷流量行為的相似性;其中,其中方式包括比新建連接和/或并發(fā)連接數(shù)量超過(guò)平時(shí)5倍以上,或者目的服務(wù)器分散�����,平均包長(zhǎng)度發(fā)生較大變化等�����。進(jìn)而判斷訪問(wèn)流量的可疑性���。
[0019]當(dāng)訪問(wèn)信息和網(wǎng)絡(luò)流量模型對(duì)比之后流量行為正常���,則進(jìn)一步更新網(wǎng)絡(luò)流量模型�����;
當(dāng)有發(fā)現(xiàn)有游離于網(wǎng)絡(luò)流量模型圖以外的可疑流量行為的時(shí)候則對(duì)該訪問(wèn)設(shè)備的IP地址進(jìn)行同源分析�,找出訪問(wèn)點(diǎn)的其他可疑入侵的連接設(shè)備。
[°02°]進(jìn)一步的��,所述的網(wǎng)絡(luò)流量信息包括生成流量數(shù)據(jù)���,包括捕獲時(shí)間,源ip����,目的ip��,源端口��,目的端口��,應(yīng)用協(xié)議���,方向�,包數(shù)���,字節(jié)數(shù)�����,標(biāo)識(shí)字段���,tcp序列號(hào)。
[0021]進(jìn)一步的�,所述網(wǎng)絡(luò)流量模型包括新建連接數(shù)�、并發(fā)連接數(shù)��、目的服務(wù)器類型�、目的服務(wù)器地址、平均包長(zhǎng)度�����、連接時(shí)間���、連接目標(biāo)的組織機(jī)構(gòu)信息��。
[0022]—種僵尸網(wǎng)絡(luò)的發(fā)現(xiàn)裝置�,包括流量抓取裝置����、網(wǎng)絡(luò)流量模型建立裝置��、相似性判斷裝置�、網(wǎng)絡(luò)流量模型更新裝置、可疑設(shè)備查找裝置;其中:
流量抓取裝置:通過(guò)現(xiàn)有的抓包工具抓取同一網(wǎng)絡(luò)拓?fù)渲械母鱾€(gè)網(wǎng)絡(luò)設(shè)備的OSI七層的網(wǎng)絡(luò)信息流量���,利用數(shù)據(jù)生成設(shè)備將抓取的網(wǎng)絡(luò)流量生成流量數(shù)據(jù)��;
網(wǎng)絡(luò)流量模型建立裝置:根據(jù)生成的網(wǎng)絡(luò)數(shù)據(jù)中的IP地址的網(wǎng)段信息和虛擬局域網(wǎng)的劃分信息以及相關(guān)數(shù)據(jù)的行為分析�����,生成相應(yīng)的網(wǎng)絡(luò)組織結(jié)構(gòu)圖����,并且根據(jù)網(wǎng)絡(luò)組織結(jié)構(gòu)圖生成網(wǎng)絡(luò)流量模型�;
相似性判斷裝置:將服務(wù)器接收到的各個(gè)子設(shè)備的訪問(wèn)信息和形成的網(wǎng)絡(luò)流量模型進(jìn)行對(duì)比,并且判斷流量行為的相似性����;
網(wǎng)絡(luò)流量模型更新裝置:當(dāng)訪問(wèn)信息和網(wǎng)絡(luò)流量模型對(duì)比之后流量行為正常,則進(jìn)一步更新網(wǎng)絡(luò)流量模型�����;
可疑設(shè)備查找裝置:當(dāng)有發(fā)現(xiàn)有游離于網(wǎng)絡(luò)流量模型圖以外的可疑流量行為的時(shí)候則對(duì)該訪問(wèn)設(shè)備的IP地址進(jìn)行同源分析���,找出訪問(wèn)點(diǎn)的其他可疑入侵的連接設(shè)備。
[0023]綜上所述���,借助于本發(fā)明的上述技術(shù)方案�����,通過(guò)抓取網(wǎng)絡(luò)信息生成數(shù)據(jù)流量模型����,并且利用數(shù)據(jù)流量模型訪問(wèn)的設(shè)備信息進(jìn)行流量對(duì)比進(jìn)而來(lái)判斷訪問(wèn)設(shè)備的安全性����,并且可以找出可疑訪問(wèn)設(shè)備的相關(guān)可疑訪問(wèn)源��,本發(fā)明保證網(wǎng)絡(luò)設(shè)備的使用安全性���。
[0024]以上所述僅為本發(fā)明的較佳實(shí)施例而已,并不用以限制本發(fā)明��,凡在本發(fā)明的精神和原則之內(nèi)�����,所作的任何修改���、等同替換���、改進(jìn)等,均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)��。
【主權(quán)項(xiàng)】
1.一種僵尸網(wǎng)絡(luò)發(fā)現(xiàn)技術(shù)��,其特征在于�,包括如下步驟: 通過(guò)現(xiàn)有的抓包工具抓取同一網(wǎng)絡(luò)拓?fù)渲械母鱾€(gè)網(wǎng)絡(luò)設(shè)備的OSI七層的網(wǎng)絡(luò)信息流量,利用數(shù)據(jù)生成設(shè)備將抓取的網(wǎng)絡(luò)流量生成流量數(shù)據(jù); 根據(jù)生成的網(wǎng)絡(luò)數(shù)據(jù)中的IP地址的網(wǎng)段信息和虛擬局域網(wǎng)的劃分信息以及相關(guān)數(shù)據(jù)的行為分析����,生成相應(yīng)的網(wǎng)絡(luò)組織結(jié)構(gòu)圖,并且根據(jù)網(wǎng)絡(luò)組織結(jié)構(gòu)圖生成網(wǎng)絡(luò)流量模型�;將服務(wù)器接收到的各個(gè)子設(shè)備的訪問(wèn)信息和形成的網(wǎng)絡(luò)流量模型進(jìn)行對(duì)比,并且判斷流量行為的相似性����; 當(dāng)訪問(wèn)信息和網(wǎng)絡(luò)流量模型對(duì)比之后流量行為正常,則進(jìn)一步更新網(wǎng)絡(luò)流量模型����; 當(dāng)有發(fā)現(xiàn)有游離于網(wǎng)絡(luò)流量模型圖以外的可疑流量行為的時(shí)候則對(duì)該訪問(wèn)設(shè)備的IP地址進(jìn)行同源分析�,找出訪問(wèn)點(diǎn)的其他可疑入侵的連接設(shè)備。2.根據(jù)權(quán)利要求1所述的��,其特征在于�,所述的網(wǎng)絡(luò)流量信息包括生成流量數(shù)據(jù),包括捕獲時(shí)間���,源ip����,目的ip,源端口�����,目的端口�,應(yīng)用協(xié)議,方向����,包數(shù),字節(jié)數(shù)�,標(biāo)識(shí)字段,tcp序列號(hào)�。3.根據(jù)權(quán)利要求1所述的僵尸網(wǎng)絡(luò)發(fā)現(xiàn)技術(shù),其特征在于���,所述網(wǎng)絡(luò)流量模型包括新建連接數(shù)�、并發(fā)連接數(shù)�、目的服務(wù)器類型、目的服務(wù)器地址���、平均包長(zhǎng)度�����、連接時(shí)間��、連接目標(biāo)的組織機(jī)構(gòu)信息���。4.一種僵尸網(wǎng)絡(luò)的發(fā)現(xiàn)裝置���,其特征在于,包括流量抓取裝置�����、網(wǎng)絡(luò)流量模型建立裝置���、相似性判斷裝置���、網(wǎng)絡(luò)流量模型更新裝置�����、可疑設(shè)備查找裝置;其中: 流量抓取裝置:通過(guò)現(xiàn)有的抓包工具抓取同一網(wǎng)絡(luò)拓?fù)渲械母鱾€(gè)網(wǎng)絡(luò)設(shè)備的OSI七層的網(wǎng)絡(luò)信息流量���,利用數(shù)據(jù)生成設(shè)備將抓取的網(wǎng)絡(luò)流量生成流量數(shù)據(jù)���; 網(wǎng)絡(luò)流量模型建立裝置:根據(jù)生成的網(wǎng)絡(luò)數(shù)據(jù)中的IP地址的網(wǎng)段信息和虛擬局域網(wǎng)的劃分信息以及相關(guān)數(shù)據(jù)的行為分析���,生成相應(yīng)的網(wǎng)絡(luò)組織結(jié)構(gòu)圖,并且根據(jù)網(wǎng)絡(luò)組織結(jié)構(gòu)圖生成網(wǎng)絡(luò)流量模型�����; 相似性判斷裝置:將服務(wù)器接收到的各個(gè)子設(shè)備的訪問(wèn)信息和形成的網(wǎng)絡(luò)流量模型進(jìn)行對(duì)比�����,并且判斷流量行為的相似性��; 網(wǎng)絡(luò)流量模型更新裝置:當(dāng)訪問(wèn)信息和網(wǎng)絡(luò)流量模型對(duì)比之后流量行為正常����,則進(jìn)一步更新網(wǎng)絡(luò)流量模型; 可疑設(shè)備查找裝置:當(dāng)有發(fā)現(xiàn)有游離于網(wǎng)絡(luò)流量模型圖以外的可疑流量行為的時(shí)候則對(duì)該訪問(wèn)設(shè)備的IP地址進(jìn)行同源分析����,找出訪問(wèn)點(diǎn)的其他可疑入侵的連接設(shè)備。
【專利摘要】本發(fā)明公開(kāi)了一種僵尸網(wǎng)絡(luò)發(fā)現(xiàn)技術(shù)����,包括如下步驟:抓取網(wǎng)絡(luò)信息流量并且生成流量數(shù)據(jù)�����;根據(jù)生成的網(wǎng)絡(luò)數(shù)據(jù)中的IP地址的網(wǎng)段信息和VLAN劃分信息以及相關(guān)數(shù)據(jù)的行為分析���,將網(wǎng)絡(luò)設(shè)備劃分成相應(yīng)的網(wǎng)絡(luò)組織結(jié)構(gòu)圖,并且根據(jù)網(wǎng)絡(luò)組織結(jié)構(gòu)圖生成網(wǎng)絡(luò)流量模型圖����;根據(jù)網(wǎng)絡(luò)流量模型圖和設(shè)備的訪問(wèn)行為進(jìn)行對(duì)比;并且根據(jù)對(duì)比情況判斷可疑的訪問(wèn)源��。本發(fā)明的有益效果為:通過(guò)抓取網(wǎng)絡(luò)信息生成數(shù)據(jù)流量模型�,并且利用數(shù)據(jù)流量模型訪問(wèn)的設(shè)備信息進(jìn)行流量對(duì)比進(jìn)而來(lái)判斷訪問(wèn)設(shè)備的安全性,并且可以找出可疑訪問(wèn)設(shè)備的相關(guān)可疑訪問(wèn)源����,本發(fā)明保證網(wǎng)絡(luò)設(shè)備的使用安全性。
【IPC分類】H04L29/06
【公開(kāi)號(hào)】CN105516096
【申請(qǐng)?zhí)枴緾N201510856177
【發(fā)明人】沈能輝
【申請(qǐng)人】睿峰網(wǎng)云(北京)科技股份有限公司
【公開(kāi)日】2016年4月20日
【申請(qǐng)日】2015年11月30日