僵尸網絡屬性識別方法、防御方法及裝置的制造方法
【專利摘要】本發(fā)明目的在于提供一種僵尸網絡屬性識別方法、防御方法及裝置，用以識別出僵尸網絡的屬性或實現遠程清除僵尸網絡中的僵尸程序。所述識別方法包括：識別網絡流量中的僵尸網絡通信數據流量和正常網絡通信數據流量；從識別的僵尸網絡通信數據流量中提取基礎通信屬性，從提取的基礎通信屬性中識別出僵尸網絡結構和僵尸網絡命令屬性；所述僵尸網絡結構包括主控端和若干被控端；從正常網絡通信流量中識別出僵尸網絡結構中各節(jié)點環(huán)境屬性；根據識別的僵尸網絡屬性，遠程利用僵尸網絡自身命令完成僵尸程序清除。
【專利說明】
僵尸網絡屬性識別方法、防御方法及裝置
技術領域
[0001]本發(fā)明涉及網絡技術領域，特別是涉及一種僵尸網絡屬性識別方法、防御方法及
目.0
【背景技術】
[0002]僵尸網絡(Botnet)是指采用一種或多種傳播手段，使大量主機感染僵尸程序(bot程序)，從而在控制者和被感染主機(僵尸或肉雞)之間所形成的一對多控制的網絡。作為一種由傳統惡意軟件技術發(fā)展而來的攻擊技術，僵尸網絡以遠程控制木馬為基礎，被黑客用來發(fā)起大規(guī)模網絡攻擊，如分布式拒絕服務攻擊(Distributed Denial of Service ,DD0S)、海量垃圾郵件等，造成網絡癱瘓或資源濫用；同時可對被感染主機上的各類信息進行竊取，如各類機密信息、個人隱私、銀行卡賬號等，對個人和國家安全造成極大的危害。
[0003]僵尸網絡的屬性主要包括構成網絡的一個主節(jié)點一主控端(IP、通信端口、操作系統、瀏覽器等)、多個僵尸主機節(jié)點一被控端(IP、通信端口、操作系統、瀏覽器等)、僵尸類型、常用命令等方面的內容。
[0004]對于僵尸網絡的研究包括防御或抑制、迀移、傳播、檢測、分析、監(jiān)視、可視化等各個方面，而僵尸網絡的屬性識別為僵尸網絡的監(jiān)視、防御與反制提供了有效前提。

【發(fā)明內容】

[0005]本發(fā)明目的在于提供一種僵尸網絡屬性識別方法、防御方法及裝置，用以識別出僵尸網絡的屬性或實現遠程清除僵尸網絡中的僵尸程序。
[0006]本發(fā)明目的主要是通過以下技術方案實現的:
[0007]根據本發(fā)明的一個方面，本發(fā)明提供一種僵尸網絡屬性識別方法，包括:
[0008]識別網絡流量中的僵尸網絡通信數據流量和正常網絡通信數據流量；
[0009]從識別的僵尸網絡通信數據流量中提取基礎通信屬性，從提取的基礎通信屬性中識別出僵尸網絡結構和僵尸網絡命令屬性;所述僵尸網絡結構包括主控端和若干被控端；
[0010]從正常網絡通信流量中識別出僵尸網絡結構中各節(jié)點環(huán)境屬性。
[0011]進一步，識別網絡流量中的僵尸網絡通信數據流量和正常網絡通信數據流量的步驟，具體包括:
[0012]基于預先提取的僵尸網絡通信特征指紋識別網絡流量中的僵尸網絡通信數據流量和正常網絡通信數據流量。
[0013]進一步，所述基礎通信屬性包括IP地址、端口信息、協議信息、通信時間和包內容；
[0014]從提取的基礎通信屬性中識別出僵尸網絡結構和僵尸網絡命令屬性的步驟，具體包括:
[0015]從包內容識別出僵尸網絡命令屬性；
[0016]基于一對多的網絡結構特征和僵尸網絡命令屬性中發(fā)送命令主體，從IP地址和端口信息識別出僵尸網絡結構。
[0017]進一步，從正常網絡通信流量中識別出僵尸網絡結構中各節(jié)點環(huán)境屬性的步驟，具體包括:
[0018]從協議頭中識別出所述僵尸網絡結構各節(jié)點的操作系統和瀏覽器;和/或采用協議識別方式識別出所述僵尸網絡結構各節(jié)點的軟件環(huán)境。
[0019]根據本發(fā)明的另一個方面，本發(fā)明還提供一種僵尸網絡防御方法，包括:
[0020]采用本發(fā)明所述的識別方法識別出僵尸網絡結構、僵尸網絡命令屬性和各節(jié)點環(huán)境屬性；
[0021]以中間人方式劫持僵尸網絡結構中的通信會話，基于僵尸網絡命令屬性遠程清除僵尸網絡結構中的僵尸程序。
[0022]進一步，以中間人方式劫持僵尸網絡結構中的惡意會話的步驟，具體包括:
[0023]將被控端連接主控端的通信以中間人方式完成通信會話的劫持，由防御主機完成與被控端的通信響應。
[0024]進一步，基于僵尸網絡命令屬性清除僵尸網絡結構中僵尸程序的步驟，具體包括:
[0025]從僵尸網絡命令屬性中篩選出可清除僵尸程序的僵尸網絡命令或可使僵尸程序失效的僵尸網絡命令，以仿冒或重放的方式，給被控端發(fā)送命令，以使被控端清除僵尸程序或使僵尸程序失效。
[0026]根據本發(fā)明的另一個方面，本發(fā)明還提供一種僵尸網絡屬性識別裝置，包括:
[0027]網絡流量分類模塊，用于識別網絡流量中的僵尸網絡通信數據流量和正常網絡通信數據流量；
[0028]僵尸網絡屬性識別模塊，用于從識別的僵尸網絡通信數據流量中提取基礎通信屬性，從提取的基礎通信屬性中識別出僵尸網絡結構和僵尸網絡命令屬性;所述僵尸網絡結構包括主控?而和右干被控?而;以及
[0029]從正常網絡通信流量中識別出僵尸網絡結構中各節(jié)點環(huán)境屬性。
[0030]根據本發(fā)明的再一個方面，本發(fā)明還提供一種僵尸網絡防御裝置，包括:
[0031]網絡流量分類模塊，用于識別網絡流量中的僵尸網絡通信數據流量和正常網絡通信數據流量；
[0032]僵尸網絡屬性識別模塊，用于從識別的僵尸網絡通信數據流量中提取基礎通信屬性，從提取的基礎通信屬性中識別出僵尸網絡結構和僵尸網絡命令屬性;所述僵尸網絡結構包括主控端和若干被控端；以及從正常網絡通信流量中識別出僵尸網絡結構中各節(jié)點環(huán)境屬性；
[0033]僵尸網絡通信轉發(fā)模塊，用于以中間人方式劫持僵尸網絡結構中的通信會話；
[0034]命令下發(fā)模塊，用于基于僵尸網絡命令屬性遠程清除僵尸網絡結構中僵尸程序。
[0035]進一步，所述防御裝置還包括:
[0036]命令篩選與配置模塊，用于從僵尸網絡命令屬性中篩選出可清除僵尸程序的僵尸網絡命令或可使僵尸程序失效的僵尸網絡命令。
[0037]本發(fā)明有益效果如下:
[0038]本發(fā)明提供的識別方法可以有效識別出僵尸網絡的屬性。本發(fā)明提供的防御方法，在通信屬性及全部網絡流量中獲取更全面的僵尸網絡屬性，并通過僵尸網絡自身功能，結合中間人方式，實現了僵尸網絡的遠程、大規(guī)模的快速清除，解決了一般網絡防御手段中僵尸主機更換網絡環(huán)境后仍受危害的問題，提高僵尸網絡的防御效果。
【附圖說明】
[0039]圖1是本發(fā)明實施例中一種僵尸網絡防御方法的流程圖；
[0040]圖2是本發(fā)明實施例中一種僵尸網絡防御裝置的結構示意圖。
【具體實施方式】
[0041]為了識別出僵尸網絡的屬性或實現清除僵尸網絡中的僵尸程序，本發(fā)明提供了一種僵尸網絡屬性識別方法、防御方法及裝置，以下結合附圖以及實施例，對本發(fā)明進行進一步詳細說明。應當理解，此處所描述的具體實施例僅用以解釋本發(fā)明，并不限定本發(fā)明。
[0042]實施例一
[0043]本發(fā)明實施例提供一種僵尸網絡屬性識別方法，包括:
[0044]識別網絡流量中的僵尸網絡通信數據流量和正常網絡通信數據流量；
[0045]從識別的僵尸網絡通信數據流量中提取基礎通信屬性，從提取的基礎通信屬性中識別出僵尸網絡結構和僵尸網絡命令屬性;所述僵尸網絡結構包括主控端和若干被控端；
[0046]從正常網絡通信流量中識別出僵尸網絡結構中各節(jié)點環(huán)境屬性。
[0047]本發(fā)明實施例可以有效識別出僵尸網絡屬性，以下結合附圖詳細說明本發(fā)明實施例。
[0048]如圖1所示，本發(fā)明實施例方法包括:
[0049]步驟101，獲取網絡流量；
[0050]主動獲取網絡中全流量，尤其是TCP、HTTP、FTP、TFTP等數據包，以實時篩選網絡流量中是否存在僵尸網絡通信。僅應用于屬性識別時可以是串行網關設備，也可以是網絡出口處并行的鏡像設備，也可以是多處主機設備或交換或路由設備等，應用于防御時需是位于主機出口或網絡出口的串行設備。本實施例以串行方式為例。
[0051]步驟102，僵尸網絡流量檢測與判斷；
[0052]本發(fā)明實施例中，基于預先提取的僵尸網絡通信特征指紋識別網絡流量中的僵尸網絡通信數據流量和正常網絡通信數據流量。其中，僵尸網絡通信特征指紋可以使用逆向工具及抓包/嗅探工具等惡意代碼分析手段對通過對蜜罐/蜜網等獲取到的僵尸程序樣本進行網絡通信數據包分析，提取僵尸網絡通信行為及數據包指紋特征；也可通過自動化分析工具，獲取僵尸網絡數據包指紋特征;獲取到的指紋特征以覆蓋該類型僵尸網絡絕大部分通信數據包為有效;為提高覆蓋面，同一類型的僵尸網絡提取的通信特征指紋越多越有效。
[0053]僵尸網絡通信特征指紋可以是正常協議數據中的特殊約定字符(如數據部分特定位置的特定字符)、特殊的通信協議(如僵尸網絡的自定義協議)、特殊的通信數據包頭(如協議數據包頭部特定字段的特定值)、異常的通信協議行為(如僵尸網絡節(jié)點間的定時心跳)等內容，但不僅限于這些內容。
[0054]對于正常協議數據中的特殊約定字符，可視情況采用二進制或文本過濾方式識另IJ;對于特殊的通信協議和特殊的通信數據包頭可依據特殊協議特征或獲取包頭字段值判斷;對于異常的通信行為，從通信上下文進行判斷。如果通信數據流量是僵尸網絡流量，則根據特征判斷出僵尸網絡類型，進入步驟103;如果通信數據流量是正常網絡流量，則進入步驟104。
[0055]步驟103，從通信流量中提取基礎通信屬性；
[0056]網絡流量的分析與特征提取通常從Bit-level、Packet_level、Flow_level、Stream-level等層面展開。依據僵尸網絡的特性，對于僵尸網絡通信流量的分析與屬性提取從Flow-level層面更合適。因此本發(fā)明實施例中通信屬性是以Flow定義為主，即源IP地址和端口、目的IP地址和端口以及應用協議組成的五元組(源IP地址、源端口、目的IP地址、目的端口、應用協議)，同時補充通信時間、包號、數據載體等內容。
[0057]步驟104，判斷正常網絡流量是否是來自僵尸網絡節(jié)點的正常網絡訪問；
[0058]依據步驟103或步驟105識別出的僵尸網絡節(jié)點信息，主要是源IP、目的IP，或主控端IP、被控端IP，檢測正常網絡流量中來自僵尸網絡節(jié)點的正常網絡訪問，該實施例重點關注HTTP協議數據包。如果是來自僵尸網絡節(jié)點的正常網絡訪問流量，進入步驟106。
[0059]步驟105，基于提取出的通信屬性與數據載體識別出僵尸網絡的結構和命令屬性；也就是說，從包內容識別出僵尸網絡命令屬性;基于一對多的網絡結構特征和僵尸網絡命令屬性中發(fā)送命令主體，從IP地址和端口信息識別出僵尸網絡結構。
[0060]具體說，僵尸網絡的結構主要是識別出通信雙方主控端與被控端的身份。一個僵尸網絡的主控端也可以是另一個僵尸網絡的被控端。因此在分析時，需提取一段時間內的僵尸網絡流量，依據步驟103提取出的屬性、數據載體以及步驟102中特征對僵尸網絡結構和可用命令進行判斷。主要通過發(fā)送命令主體、通信關系(一對多)、端口信息等條件進行判斷。
[0061]步驟106，基于僵尸網絡節(jié)點的正常網絡訪問流量，提取節(jié)點環(huán)境屬性。也就是說，從協議頭中識別出所述僵尸網絡結構各節(jié)點的操作系統和瀏覽器;和/或采用協議識別方式識別出所述僵尸網絡結構各節(jié)點的軟件環(huán)境。
[0062]具體說，本發(fā)明實施例中重點關注節(jié)點的操作系統環(huán)境和瀏覽器環(huán)境;從HTTP協議頭中識別出僵尸網絡節(jié)點的操作系統和瀏覽器。進一步的，如果需要識別出更多的節(jié)點屬性，如關注節(jié)點上的軟件環(huán)境，可應用協議識別技術如DPI等，本發(fā)明并不限定。
[0063]實施例二
[0064]本發(fā)明實施例提供一種僵尸網絡防御方法，包括:
[0065]識別步驟:采用實施例一中所述的識別方法僵尸網絡結構、僵尸網絡命令屬性和各節(jié)點環(huán)境屬性；
[0066]防御步驟:以中間人方式劫持僵尸網絡結構中的通信會話，基于僵尸網絡命令屬性清除僵尸網絡結構中僵尸程序。
[0067]本發(fā)明實施例在通信屬性及全部網絡流量中獲取更全面的僵尸網絡屬性，并通過僵尸網絡自身功能，結合中間人方式，實現了僵尸網絡的遠程、大規(guī)模的快速清除，解決了一般網絡防御手段中僵尸主機更換網絡環(huán)境后仍受危害的問題，提高僵尸網絡的防御效果O
[0068]以下詳細說明本發(fā)明實施例。
[0069]本發(fā)明實施例中的識別步驟對應于實施例一的步驟11-106，因此本發(fā)明實施例不再贅述。
[0070]本發(fā)明防御步驟具體包括:
[0071 ]步驟107，以中間人方式劫持僵尸網絡通信;也就是說，將被控端連接主控端的通信以中間人方式完成通信會話的劫持，由防御主機完成與被控端的通信響應。
[0072]具體說，依據識別出的僵尸網絡屬性，在主機或網絡出口處，以中間人方式，將所發(fā)現的被控端連接主控端的通信以中間人方式完成惡意會話的劫持，由防御主機完成與被控端的通信響應。本實施例中使用僵尸網絡的主控端IP、主控端端口信息，獲取與主控端通信的數據包，修改數據包目的地址和端口信息，將流量轉向防御主機，由防御主機與被控端建立連接。
[0073]步驟108，對發(fā)現的被控端下發(fā)失效/清除命令;也就是說，從僵尸網絡命令屬性中篩選出可清除僵尸程序的僵尸網絡命令或可使僵尸程序失效的僵尸網絡命令，以仿冒或重放的方式，給被控端發(fā)送命令，以使被控端清除僵尸程序或使僵尸程序失效。
[0074]具體說，從步驟105識別出的僵尸網絡命令屬性中，篩選出可用的命令格式或命令數據包，在防御主機與被控端建立連接后，以仿冒或重放的方式，給被控端發(fā)送命令，如卸載、禁用、更新、修改控制端地址、下載執(zhí)行清除工具等，控制端執(zhí)行后即可完成僵尸工具的防御，保護被控節(jié)點在非防護環(huán)境中仍不受威脅。該方法適用于高效、大規(guī)模的僵尸網絡清理。
[0075]其中，在更新及下載執(zhí)行命令中，需根據步驟106識別出的僵尸網絡節(jié)點的環(huán)境屬性(如操作系統、瀏覽器等信息)，準備或制作適用于各類環(huán)境的更新包及清除工具，以確保命令的正確執(zhí)行。
[0076]本發(fā)明實施例對僵尸網絡屬性了解的清晰豐富，可以對僵尸網絡進行有效的防御越。具體說，在步驟102中提取出了僵尸網絡的類型屬性，在步驟103中提取出了僵尸網絡的節(jié)點信息，在步驟105中提取出了僵尸網絡的結構屬性，在步驟106中提取出了僵尸網絡的環(huán)境屬性，同時在此基礎上豐富僵尸網絡屬性，在步驟107和步驟108中結合中間人方式及僵尸網絡自身功能，便捷的實現了僵尸網絡的遠程清除。
[0077]實施例三
[0078]如圖2所示，本發(fā)明實施例提供一種僵尸網絡屬性識別裝置，為實施例一對應的裝置實施例，包括:
[0079]網絡流量分類模塊，用于獲取網絡全流量，識別網絡流量中的僵尸網絡通信數據流量和正常網絡通信數據流量；
[0080]僵尸網絡屬性識別模塊，用于根據僵尸網絡流量識別僵尸網絡類型、結構、命令，根據正常網絡流量識別節(jié)點環(huán)境；
[0081]具體說，用于從識別的僵尸網絡通信數據流量中提取基礎通信屬性，從提取的基礎通信屬性中識別出僵尸網絡結構和僵尸網絡命令屬性;所述僵尸網絡結構包括主控端和若干被控端；以及從正常網絡通信流量中識別出僵尸網絡結構中各節(jié)點環(huán)境屬性。
[0082]僵尸網絡屬性庫，主要用于存儲已識別的僵尸網絡及其屬性；
[0083]其中，網絡流量分類模塊具體用于基于僵尸網絡屬性庫預先存儲的僵尸網絡通信特征指紋識別網絡流量中的僵尸網絡通信數據流量和正常網絡通信數據流量。
[0084]僵尸網絡屬性識別模塊從協議頭中識別出所述僵尸網絡結構各節(jié)點的操作系統和瀏覽器;和/或采用協議識別方式識別出所述僵尸網絡結構各節(jié)點的軟件環(huán)境。
[0085]實施例四
[0086]如圖2所示，本發(fā)明實施例提供一種僵尸網絡防御裝置，為實施例二對應的裝置實施例，包括:
[0087]網絡流量分類模塊，用于獲取網絡全流量，識別網絡流量中的僵尸網絡通信數據流量和正常網絡通信數據流量；
[0088]僵尸網絡屬性識別模塊，用于根據僵尸網絡流量識別僵尸網絡類型、結構、命令，根據正常網絡流量識別節(jié)點環(huán)境；
[0089]具體說，用于從識別的僵尸網絡通信數據流量中提取基礎通信屬性，從提取的基礎通信屬性中識別出僵尸網絡結構和僵尸網絡命令屬性;所述僵尸網絡結構包括主控端和若干被控端；以及從正常網絡通信流量中識別出僵尸網絡結構中各節(jié)點環(huán)境屬性。
[0090]僵尸網絡屬性庫，主要用于存儲已識別的僵尸網絡及其屬性；
[0091]僵尸網絡通信轉發(fā)模塊，用于根據識別到的僵尸網絡類型、主控端IP、端口等信息，修改被控端與主控端連接的數據包目的地址與目的端口，完成僵尸網絡通信的通信;也就是說，用于以中間人方式劫持僵尸網絡結構中的通信會話;具體用于將被控端連接主控端的通信以中間人方式完成通信會話的劫持，由防御主機完成與被控端的通信響應。
[0092]命令篩選與配置模塊，用于從僵尸網絡命令屬性中篩選出可清除僵尸程序的僵尸網絡命令或可使僵尸程序失效的僵尸網絡命令;具體說用于根據被控端節(jié)點環(huán)境、僵尸網絡類型，選擇可用的命令，復制原命令參數或配置新命令參數；
[0093]可用命令庫:主要用于存儲已識別僵尸網絡類型的可用命令；
[0094]命令下發(fā)模塊，用于基于僵尸網絡命令屬性清除僵尸網絡結構中僵尸程序。具體用于以仿冒或重放的方式，給被控端發(fā)送命令，以使被控端清除僵尸程序或使僵尸程序失效。也就是說，用于將配置好的命令發(fā)送給被控端，使用僵尸工具自身功能實現僵尸網絡的防御。
[0095]其中，網絡流量分類模塊具體用于基于僵尸網絡屬性庫預先存儲的僵尸網絡通信特征指紋識別網絡流量中的僵尸網絡通信數據流量和正常網絡通信數據流量。
[0096]僵尸網絡屬性識別模塊從協議頭中識別出所述僵尸網絡結構各節(jié)點的操作系統和瀏覽器;和/或采用協議識別方式識別出所述僵尸網絡結構各節(jié)點的軟件環(huán)境。
[0097]實施例三和實施例四在具體實現時可以參閱實施例一和實施例二，具有實施例一和實施例二的技術效果，在此不再贅述。
[0098]盡管為示例目的，以上已經公開了本發(fā)明的優(yōu)選實施例，但本領域的技術人員將意識到各種改進、增加和取代也是可能的，因此，本發(fā)明的范圍應當不限于上述實施例。
【主權項】
1.一種僵尸網絡屬性識別方法，其特征在于，包括: 識別網絡流量中的僵尸網絡通信數據流量和正常網絡通信數據流量； 從識別的僵尸網絡通信數據流量中提取基礎通信屬性，從提取的基礎通信屬性中識別出僵尸網絡結構和僵尸網絡命令屬性;所述僵尸網絡結構包括主控端和若干被控端； 從正常網絡通信流量中識別出僵尸網絡結構中各節(jié)點環(huán)境屬性。2.如權利要求1所述的方法，其特征在于，識別網絡流量中的僵尸網絡通信數據流量和正常網絡通信數據流量的步驟，具體包括: 基于預先提取的僵尸網絡通信特征指紋識別網絡流量中的僵尸網絡通信數據流量和正常網絡通信數據流量。3.如權利要求1或2所述的方法，其特征在于， 所述基礎通信屬性包括IP地址、端口信息、協議信息、通信時間和包內容； 從提取的基礎通信屬性中識別出僵尸網絡結構和僵尸網絡命令屬性的步驟，具體包括: 從包內容識別出僵尸網絡命令屬性； 基于一對多的網絡結構特征和僵尸網絡命令屬性中發(fā)送命令主體，從IP地址和端口信息識別出僵尸網絡結構。4.如權利要求3述的方法，其特征在于，從正常網絡通信流量中識別出僵尸網絡結構中各節(jié)點環(huán)境屬性的步驟，具體包括: 從協議頭中識別出所述僵尸網絡結構各節(jié)點的操作系統和瀏覽器;和/或采用協議識別方式識別出所述僵尸網絡結構各節(jié)點的軟件環(huán)境。5.一種僵尸網絡防御方法，其特征在于，包括: 采用如權利要求1-4任意一項所述的識別方法識別出僵尸網絡結構、僵尸網絡命令屬性和各節(jié)點環(huán)境屬性； 以中間人方式劫持僵尸網絡結構中的通信會話，基于僵尸網絡命令屬性遠程清除僵尸網絡結構中的僵尸程序。6.如權利要求5所述的方法，其特征在于，以中間人方式劫持僵尸網絡結構中的惡意會話的步驟，具體包括: 將被控端連接主控端的通信以中間人方式完成通信會話的劫持，由防御主機完成與被控端的通信響應。7.如權利要求5或6所述的方法，其特征在于，基于僵尸網絡命令屬性清除僵尸網絡結構中僵尸程序的步驟，具體包括: 從僵尸網絡命令屬性中篩選出可清除僵尸程序的僵尸網絡命令或可使僵尸程序失效的僵尸網絡命令，以仿冒或重放的方式，給被控端發(fā)送命令，以使被控端清除僵尸程序或使僵尸程序失效。8.一種僵尸網絡屬性識別裝置，其特征在于，包括: 網絡流量分類模塊，用于識別網絡流量中的僵尸網絡通信數據流量和正常網絡通信數據流量； 僵尸網絡屬性識別模塊，用于從識別的僵尸網絡通信數據流量中提取基礎通信屬性，從提取的基礎通信屬性中識別出僵尸網絡結構和僵尸網絡命令屬性;所述僵尸網絡結構包括主控?而和右干被控?而;以及 從正常網絡通信流量中識別出僵尸網絡結構中各節(jié)點環(huán)境屬性。9.一種僵尸網絡防御裝置，其特征在于，包括: 網絡流量分類模塊，用于識別網絡流量中的僵尸網絡通信數據流量和正常網絡通信數據流量； 僵尸網絡屬性識別模塊，用于從識別的僵尸網絡通信數據流量中提取基礎通信屬性，從提取的基礎通信屬性中識別出僵尸網絡結構和僵尸網絡命令屬性;所述僵尸網絡結構包括主控端和若干被控端；以及從正常網絡通信流量中識別出僵尸網絡結構中各節(jié)點環(huán)境屬性； 僵尸網絡通信轉發(fā)模塊，用于以中間人方式劫持僵尸網絡結構中的通信會話； 命令下發(fā)模塊，用于基于僵尸網絡命令屬性遠程清除僵尸網絡結構中僵尸程序。10.如權利要求9所述的防御裝置，其特征在于，所述防御裝置還包括: 命令篩選與配置模塊，用于從僵尸網絡命令屬性中篩選出可清除僵尸程序的僵尸網絡命令或可使僵尸程序失效的僵尸網絡命令。
【文檔編號】H04L29/06GK105827630SQ201610286109
【公開日】2016年8月3日
【申請日】2016年5月3日
【發(fā)明人】孫波, 司成祥, 李應博, 魯驍, 杜雄杰, 房婧, 劉成, 李軼夫, 姚珊, 張偉, 姜棟, 張建松, 蓋偉麟
【申請人】國家計算機網絡與信息安全管理中心