CN104796386B - 一种僵尸网络的检测方法、装置和系统 - Google Patents
一种僵尸网络的检测方法、装置和系统 Download PDFInfo
- Publication number
- CN104796386B CN104796386B CN201410027082.9A CN201410027082A CN104796386B CN 104796386 B CN104796386 B CN 104796386B CN 201410027082 A CN201410027082 A CN 201410027082A CN 104796386 B CN104796386 B CN 104796386B
- Authority
- CN
- China
- Prior art keywords
- data
- attack behavior
- behavior data
- source
- source address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Computer And Data Communications (AREA)
- Information Transfer Between Computers (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明适用于计算机网络安全领域,提供了一种僵尸网络的检测方法、装置和系统,该方法包括:获取在网络节点捕获的攻击行为数据;解析所述攻击行为数据,获取所述攻击行为数据中包括的有效负载payload数据;查找所述有效负载payload数据中包括的恶意程序下载的源地址和发送下载请求的来源IP;根据所述源地址和所述来源IP确定所述僵尸网络中的计算机。和现有技术的通过名称匹配的方式相比,本发明所述僵尸网络的检测方法能够有效的避免误报漏报现象,有效的提高检测的准确率。
Description
技术领域
本发明属于计算机网络安全领域,尤其涉及一种僵尸网络的检测方法、装置和系统。
背景技术
僵尸网络是指采用一种或者多种传播手段将大量主机感染僵尸程序,从而在控制者和被感染主机之间形成一个一对多的控制网络,其中,被感染主机称之为僵尸计算机,控制这些僵尸计算机的主机称为僵尸服务器。
随着网络带宽的增速以及计算机和网络设备的硬件性能的提升,使僵尸网络传播的速度越来越快,其活动越来越猖獗。由僵尸网络构成一个攻击平台,利用这个平台可以有效地发起各种各样的攻击行为,包括如拒绝服务攻击、发送垃圾邮件、窃取秘密、滥用资源和僵尸网络挖矿等等,可以导致整个基础信息网络或者重要应用系统瘫痪、导致大量机密或个人隐私泄漏或用来从事网络欺诈等其他违法犯罪活动,其危害性极其严重。
为有效的检测出僵尸网络,从而减少由僵尸网络带来的危害,现有技术中通常使用用户名nickname进行僵尸网络检测,但由于nickname的规律需要统计发现,可能会出现漏报或者误报的现象,其检测准确率不高。
发明内容
本发明实施例的目的在于提供一种僵尸网络的检测方法,以解决现有技术使用用户名nickname进行检测僵尸网络时,容易出现漏报或者误报的现象,其检测准确率不高的问题。
本发明实施例是这样实现的,一种僵尸网络的检测方法,所述方法包括:
获取在网络节点捕获的攻击行为数据;
解析所述攻击行为数据,获取所述攻击行为数据中包括的有效负载payload数据,所述有效负载payload数据为攻击行为数据中实现恶意动作的代码部分;
查找所述有效负载payload数据中包括的恶意程序下载的源地址和发送下载请求的来源IP;
根据所述源地址和所述来源IP确定所述僵尸网络中的计算机。
本发明实施例的另一目的在于提供一种僵尸网络的检测装置,所述装置包括:
数据接收单元,用于获取在网络节点捕获的攻击行为数据;
解析获取单元,用于解析所述攻击行为数据,获取所述攻击行为数据中包括的有效负载payload数据,所述有效负载payload数据为攻击行为数据中实现恶意动作的代码部分;
查找单元,用于查找所述有效负载payload数据中包括的恶意程序下载的源地址和发送下载请求的来源IP;
确定单元,用于根据所述源地址和所述来源IP确定所述僵尸网络中的计算机。
本发明实施例还提供了一种僵尸网络的检测系统,所述系统包括设置于被检测网络中的各个节点位置的数据捕获装置,以及与各个数据捕获装置相连的数据分析服务器,所述数据捕获装置用于获取在网络节点传送的攻击行为数据,所述数据分析服务器用于接收各个节点位置的数据捕获装置捕获的攻击行为数据,获取所述攻击行为数据中包括的有效负载payload数据,根据所述有效负载payload数据查找其中包括的恶意程序下载的源地址和发送下载请求的来源IP,根据所述源地址和所述来源IP确定所述僵尸网络中的计算机。
在本发明实施例中,通过获取在网络节点捕获的攻击行为数据,获取攻击行为数据中包括的有效负载,在所述有效负载中查找其包括的恶意程序下载的源地址和发送下载请求的IP,根据所述源地址和所述来源IP确定所述僵尸网络中的计算机。本发明根据僵尸网络在传播的行为特点,从网络节点捕获到攻击行为数据查找到有效负载payload中包括的恶意程序下载的源地址和发送下载请求的来源IP,从而有效的确定僵尸网络中的计算机,和现有技术的通过名称匹配的方式相比,本发明所述僵尸网络的检测方法能够有效的避免误报漏报现象,有效的提高检测的准确率。
附图说明
图1是本发明第一实施例提供的僵尸网络的检测方法的实现流程图;
图2是本发明第二实施例提供的僵尸网络的检测方法的实现流程图;
图3是本发明第三实施例提供的僵尸网络检测系统的结构示意图;
图4是本发明第三实施例提供的僵尸网络的检测系统应用于网络检测的结构示意图;
图5为本发明第四实施例提供的僵尸网络的检测装置的结构框图;
图6为本发明第五实施例提供的设备的结构示意图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
当WEB应用越来越为丰富的同时,WEB服务器以其强大的计算能力、处理性能及蕴含的较高价值逐渐成为主要攻击目标,如注入攻击、信息泄露、弱口令攻击等。其中,通过僵尸网络控制的众多计算机对服务器的攻击也是一种常见的攻击形式。
为及时发现僵尸网络以便找到受侵害的计算机,目前常用一种使用用户名nickname进行检测僵尸网络的方法,由于加入到僵尸服务器中的所谓用户的名称(nickname)是由僵尸(bot)程序生成,所以这些bot的nickname应符合一定的生成算法,带有一定的规律性,如IP地址表示法就是将被感染了bot程序的主机的IP地址所在国的三位缩写放在开头,然后在后面加入指定长度的随机数字,如USA|8028032,CHA|8920340;系统表示法是将被感染bot程序的主机的系统作为开始的字母如xp、2000等,然后再在后面加上指定长度的随机数字,如xp|8034,2000|80956)。这些命名的特征可以从得到的bot源码中发现并总结出来。这些用户的nickname的规律性和正常的irc的用户nickname的随意性是不相同的,因此通过特征字符匹配http数据特征中的如nickname可以判断网络中irc僵尸网络。但由于这种方法中的nickname的规律需要统计发现,可能会出现漏报或者误报的现象,其检测准确率不高。
为快速有效的分析和检测到僵尸网络,本发明所述僵尸网络的检测方法,包括:获取在网络节点捕获的攻击行为数据;解析所述攻击行为数据,获取所述攻击行为数据中包括的有效负载payload数据,所述有效负载payload数据为攻击行为数据中实现恶意动作的代码部分;查找所述有效负载payload数据中包括的恶意程序下载的源地址和发送下载请求的来源IP;根据所述源地址和所述来源IP确定所述僵尸网络中的计算机。
本发明根据僵尸网络在传播的行为特点,从网络节点捕获到攻击行为数据查找到有效负载payload中包括的恶意程序下载的源地址和发送下载请求的来源IP,从而有效的确定僵尸网络中的计算机,和现有技术的通过名称匹配的方式相比,本发明所述僵尸网络的检测方法能够有效的避免误报漏报现象,有效的提高检测的准确率。
实施例一:
图1示出了本发明第一实施例提供的僵尸网络的检测方法的实现流程,详述如下:
在步骤S101中,获取在网络节点捕获的攻击行为数据。
具体的,获取在网络节点捕获的攻击行为数据,可以通过在网络节点设置的Web应用防火墙WAF系统,通过WAF系统捕获攻击行为数据,或者设置主动式入侵防御系统(英文简称为IPS,英文全称为Intrusion Prevention System)。
所述入侵预防系统IPS是计算机网络的安全设备,是对防病毒软件(AntivirusPrograms)和防火墙(Packet Filter,Application Gateway)的补充。入侵预防系统IPS是一种能够监视网络或网络设备的网络资料传输行为的计算机网络安全设备,能够即时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。
其中,所述Web应用防火墙WAF,其英文全称为:Web Application Firewall,WAF会对当前Web应用中的攻击进行防护,与传统防火墙不同,WAF工作于应用层,基于已知的攻击特征规则对流经的HTTP请求和应答进行检测和防护。从功能框架的角度来看,WAF包括防护引擎和攻击特征规则。
应用WAF的网络系统架构的具体防护过程如下:当在互联网上存在HTTP请求需要访问后端的Web服务器时,首先,该HTTP请求经过路由器的转发和传统的防火墙的防护,到达WAF,WAF的防护引擎利用所述规则对接收到的HTTP请求进行扫描,当发现包括攻击行为数据时,捕获到所述攻击行为数据,还可以采用拦截、放弃、断开连接等多种方式进行处理,经过WAF处理后的请求最终到达服务器群中HTTP请求对应的Web服务器。当然,WAF也可以接收到来自企业内网的请求,并进行如上所述的防护。
所述攻击行为数据,具体可以为所述请求的全部内容,当然也可以为仅包括其用于实施恶意行为的数据代码部分。
在步骤S102中,解析所述攻击行为数据,获取所述攻击行为数据中包括的有效负载payload数据,所述有效负载payload数据为攻击行为数据中实现恶意动作的代码部分。
木马病毒或者其它病毒恶意程序,通常会做一些有害的或者恶性的动作。比如木马病毒,它通过将自身伪装吸引用户下载执行,向施种木马者提供打开审美观点种木马者电脑的门户,使施种木马者可以任意毁坏、窃取被种木马者的文件,甚至远程操控被种者的电脑。而其它病毒如蠕虫病毒,会通过不断复制自身功能到其它计算机,破坏计算机中的文件。在上述攻击行为数据中中实现这些恶意动作的代码部分叫做有效负载payload。不同的病毒具体执行不同的恶意动作,因此,payload可以实现任何运行在受害者环境中的程序所能做的事情,如能够执行的动作包括破坏文件删除文件,向病毒的作者或者任意的接收者发送敏感信息,以及提供通向被感染计算机的后门。
由于病毒一般由两个部分组成:有效载荷payload和混淆部件,其中有效载荷是用来执行恶意动作的代码,而混淆部件则是病毒用来保护自身免于被查杀的。
为使得对恶意动作行为进行有效的分析,需要先提取出病毒中包括的有效负载部分数据,所述解析所述攻击行为数据,获取所述攻击行为数据中包括的有效负载payload数据步骤具体可以为:
将所述攻击行为数据与预先定义的恶意动作执行代码的关键词进行比较,判断在所述攻击行为数据中,是否包括所述预先定义的恶意动作执行代码的关键词;
如果包括所述预先定义的恶意动作执行代码的关键词,则确定包括所述恶意动作执行代码关键词所在的行或语句为有效负载payload数据。
所述预先定义的恶意动作执行代码的关键词可以通过最新的病毒库中包括的病毒关键词库中获取,当然也可以用户根据需要进行定义。
在步骤S103中,查找所述有效负载payload数据中包括的恶意程序下载的源地址和发送下载请求的来源IP。
目前最常见的僵尸网络的传播扩张都是基于IRC(英文全称为Internet RelayChat,中文全称为:因特网中继聊天)协议的,这个应用层协议提供了一个IRC的服务器和聊天频道进行相互的实时对话。IRC协议采用客户端/服务器的C/S模式,可以使客户端连接到IRC服务器,用户可以建立或选择加入感兴趣的频道,每个用户都可以将消息发送给频道内所有其他用户,也可以单独发给某个用户。频道的管理员可以设置频道的属性,比如设置密码、设置频道为隐藏模式。
攻击者编写自己的IRC僵尸程序,所述僵尸程序只支持部分IRC命令,其将收到的消息作为命令进行解释执行。攻击者编写好僵尸程序,建立起自己的IRC服务器后,攻击者会采用不同的方式将僵尸程序植入用户计算机,例如:通过蠕虫进行主动传播、利用系统漏洞直接侵入计算机、利用社会工程学,通过电子邮件或者即时聊天工具,欺骗用户下载并执行僵尸程序、利用IRC协议的DCC命令,直接通过IRC服务器进行传播、还可以在网页中嵌入恶意代码等待用户浏览。
当僵尸程序在被感染计算机上运行后,以一个随机的Nickname和内置密码连接到特定的IRC服务器,并加入指定的频道。攻击者随时登陆该频道,并发送认证消息,认证通过后,随即向活跃的僵尸程序(或者暂时非活跃的僵尸程序)发送控制指令。僵尸计算机读取所有发送到频道的消息或者是频道的标题,如果是已通过认证的攻击者的可识别的指令,则立即执行。
通常这些指令涉及更新僵尸程序、传输或下载指定文件、远程控制连接、发起拒绝服务攻击、开启代理服务器等等。
随着僵尸程序大范围的快速传播,攻击者渐渐将原本不相关的计算机联系起来,通过预设的僵尸程序的指令,连接到指定的IRC服务器,接受攻击者的控制,形成一个庞大的网络体系,这就是僵尸网络的形成。而后由这个平台发起更多的、更加隐秘的扩展入侵行为。
因此,在僵尸网络的发展过程中,需要不断的从僵尸服务器下载僵尸程序、木马等恶意程序,从而感染更多的计算机。
所述查找所述有效负载payload数据中包括的恶意程序下载的源地址和发送下载请求的来源IP步骤具体可以包括:
将有效负载payload数据与预先定义下载关键词进行比较,查找在所述有效负载payload数据中包括下载关键词;
根据在所述有效负载payload数据中查找的下载关键词,确定所述下载关键词对应的恶意程序下载的源地址和发送下载请求的来源IP。
当然,步骤S102和步骤S103中通过关键词查找有效负载payload数据和恶意程序下载的源地址和发送下载请求的来源IP的方法,只是其中一种更优的的实施方式,本领域一般技术人员可以明白,还可以采用诸如程序结构分析的方式等进行查找相应的数据。
在步骤S104中,根据所述源地址和所述来源IP确定所述僵尸网络中的计算机。
根据僵尸网络的传播特点,通过有效负载中包括的攻击行为数据进行恶意程序下载请求发出的僵尸计算机,与一般的计算机用户的请求构成区别。当获取到所述有效负载payload数据中包括的恶意程序下载的源地址和发送下载请求的来源IP时(如通过下载请求后紧跟的下载链接、请求下载所述恶意程序的请求来源IP),即可根据源地址信息和来源IP地址信息,相应的得到僵尸网络中的僵尸计算机和僵尸服务器的地址。
本发明实施例通过获取在网络节点捕获的攻击行为数据,获取攻击行为数据中包括的有效负载,在所述有效负载中查找其包括的恶意程序下载的源地址和发送下载请求的IP,根据所述源地址和所述来源IP确定所述僵尸网络中的计算机。本发明根据僵尸网络在传播的行为特点,从网络节点捕获到攻击行为数据查找到有效负载payload中包括的恶意程序下载的源地址和发送下载请求的来源IP,从而有效的确定僵尸网络中的计算机,和现有技术的通过名称匹配的方式相比,本发明所述僵尸网络的检测方法能够有效的避免误报漏报现象,有效的提高检测的准确率。
实施例二:
图2示出了本发明第二实施例提供的僵尸网络的检测方法的实现流程,详述如下:
在步骤S201中,获取在网络节点捕获的攻击行为数据。
在步骤S202中,解析所述攻击行为数据,获取所述攻击行为数据中包括的有效负载payload数据,所述有效负载payload数据为攻击行为数据中实现恶意动作的代码部分。
在步骤S203中,查找所述有效负载payload数据中包括的恶意程序下载的源地址和发送下载请求的来源IP。
在步骤S204中,在所述有效负载payload数据中,判断由不同计算机发送的相同的恶意程序下载源地址出现的次数是否大于预定次数。
由于在特定的情况下,可能会存在用户误触发对恶意程序的下载请求,如用户点击一些非法网站所触的恶意程序的下载请求,在这种情况下,可能会对于误触发恶意程序下载请求的计算机出现误判断。
为避免这种情况出现,本发明实施例中步骤S204中,对有效负载中发送的相同的恶意程序下载源地址出现的次数进行统计,当大于预定的次数时,则进步步骤S205中进行判定,否则可以暂不对所述下载请求来源对应的计算机和恶意程序下载的源地址对应的计算机进行判定。
进一步的,为了避免同一计算机发送多次下载请求,在统计下载请求时还需要区分不同的计算机,从而能够得到更为有效的统计数据。
在步骤S205中,如果由不同计算机发送的相同的恶意程序下载源地址出现的次数大于预定次数,则所述恶意程序下载源地址对应的主机确定为僵尸服务器,发送对应下载请求的来源IP所对应的计算机确定为僵尸计算机。
当不同计算机发送的相同的恶意程序下载源地址出现的次数大于预定次数,表示多个不同来源的攻击请求payload中下载的恶意程序指向同一个下载源,则认为这是一个僵尸网络攻击行为。这批攻击来源,即发送对应下载请求的来源,被认定为已被攻陷的被控僵尸计算机;而下载源,即所述恶意程序下载源地址对应的主机,被判定为僵尸网络节点或僵尸服务器。
本发明实施例与实施例一相比,在判定僵尸网络的条件中增加了包括“判断由不同计算机发送的相同的恶意程序下载源地址出现的次数是否大于预定次数”的步骤,从而使得对于判定僵尸网络时能够避免因用户误触发导致的误判断的情形,进一步提高了其检测的准确性。
实施例三:
图3示出了本发明第三实施例提供的僵尸网络的检测系统结构示意图,详述如下:
本发明实施例所述的僵尸网络的检测系统,包括设置于被检测网络中的各个节点位置的数据捕获装置,以及与各个数据捕获装置相连的数据分析服务器,所述数据捕获装置用于获取在网络节点传送的攻击行为数据,所述数据分析服务器用于接收各个节点位置的数据捕获装置捕获的攻击行为数据,获取所述攻击行为数据中包括的有效负载payload数据,根据所述有效负载payload数据查找其中包括的恶意程序下载的源地址和发送下载请求的来源IP,根据所述源地址和所述来源IP确定所述僵尸网络中的计算机。
在图3中,所述网络节点可以为部分主要的核心交换机节点,或者其它重要的数据交换设备处,用于使与其相连的计算机之间数据转发或交换。
所述数据捕获装置,可以为设置于网络节点处的WAF系统,当然还可以使用其它数据过滤器进行筛选所需要的数据,图3中的WAF系统只是其中一种较好的实施方式。
所述数据分析服务器,用于连接各个数据分析装置,将所述数据分析装置得到的攻击行为数据进行解析,获取所述攻击行为数据中包括的有效负载payload数据,并查找所述有效负载payload数据中包括的恶意程序下载的源地址和发送下载请求的来源IP,从而相应的确定僵尸网络中的计算机。
其中,所述数据分析服务器还具体用于在所述有效负载payload数据中,判断由不同计算机发送的相同的恶意程序下载源地址出现的次数是否大于预定次数;如果由不同计算机发送的相同的恶意程序下载源地址出现的次数大于预定次数,则所述恶意程序下载源地址对应的主机确定为僵尸服务器,发送对应下载请求的来源IP所对应的计算机确定为僵尸计算机。
本发明实施例中所述数据分析服务器还可以包括多个分布或集成于各个网络节点位置,也可以由各个网络节点发送至同一独立的数据分析服务器。
图4为本发明第三实施例所述的僵尸网络检测系统的应用示意图中,由僵尸服务器控制多台僵尸计算机,所述僵尸计算机即图3中的攻击源1和攻击源N,通过核心交换机的路由转发,向业务机发送包括病毒的攻击行为数据,业务机被攻击后,执行相应的操作下载木马等恶意程序,使得僵尸服务器能够得以控制被攻击的业务机。本发明实施例的所述的核心交换机旁路有Web应用防火墙WAF系统,所述WAF系统捕获攻击行为数据,并将所述行为数据汇集至数据分析服务器进行数据分析。
本发明实施例所述系统与实施例一和实施例二中所述方法对应,通过从网络节点捕获到攻击行为数据查找到有效负载payload中包括的恶意程序下载的源地址和发送下载请求的来源IP,从而有效的确定僵尸网络中的计算机,和现有技术的通过名称匹配的方式相比,本发明所述僵尸网络的检测方法能够有效的避免误报漏报现象,有效的提高检测的准确率。
实施例四:
图5示出了本发明第四实施例提供的僵尸网络的检测装置的结构框图,详述如下:
本发明实施例所述的僵尸网络的检测装置包括:
数据接收单元501,用于获取在网络节点捕获的攻击行为数据;
解析获取单元502,用于解析所述攻击行为数据,获取所述攻击行为数据中包括的有效负载payload数据,所述有效负载payload数据为攻击行为数据中实现恶意动作的代码部分;
查找单元503,用于查找所述有效负载payload数据中包括的恶意程序下载的源地址和发送下载请求的来源IP;
确定单元504,用于根据所述源地址和所述来源IP确定所述僵尸网络中的计算机。
进一步的,所述数据接收单元501具体用于接收由在网络节点捕获的攻击行为数据,所述攻击行为数据为设置于网络节点处的Web应用防火墙WAF系统或入侵预防系统IPS捕获的攻击行为数据。
进一步的,所述解析获取单元502包括:
第一比较子单元,用于将所述攻击行为数据与预先定义的恶意动作执行代码的关键词进行比较,判断在所述攻击行为数据中,是否包括所述预先定义的恶意动作执行代码的关键词;
有效负载确定子单元,用于如果包括所述预先定义的恶意动作执行代码的关键词,则确定包括所述恶意动作执行代码关键词所在的行或语句为有效负载payload数据。
更进一步的,所述确定单元504包括:
判断子单元,用于在所述有效负载payload数据中,判断由不同计算机发送的相同的恶意程序下载源地址出现的次数是否大于预定次数;
僵尸网络确定子单元,如果由不同计算机发送的相同的恶意程序下载源地址出现的次数大于预定次数,则所述恶意程序下载源地址对应的主机确定为僵尸服务器,发送对应下载请求的来源IP所对应的计算机确定为僵尸计算机。
进一步的所述查找单元503包括:
第二比较子单元,用于将有效负载payload数据与预先定义下载关键词进行比较,查找在所述有效负载payload数据中包括下载关键词;
地址确定子单元,用于根据在所述有效负载payload数据中查找的下载关键词,确定所述下载关键词对应的恶意程序下载的源地址和发送下载请求的来源IP。
本发明实施例所述僵尸网络的检测装置与实施例一至实施例三中所述的僵尸网络的检测方法对应,在此不作重复赘述。
实施例五:
图6为本发明第五实施例提供的图6为本发明第四实施例提供的终端的结构框图,本实施例所述终端,包括:存储器620、网络模块670、处理器680、以及电源690等部件。本领域技术人员可以理解,图6中示出的终端结构并不构成对终端的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
下面结合图6对终端的各个构成部件进行具体的介绍:
存储器620可用于存储软件程序以及模块,处理器680通过运行存储在存储器620的软件程序以及模块,从而执行终端的各种功能应用以及数据处理。存储器620可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序(比如声音播放功能、图像播放功能等)等;存储数据区可存储根据终端的使用所创建的数据(比如音频数据、电话本等)等。此外,存储器620可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。
网络模块670可以包括无线保真(wireless fidelity,WiFi)模块,有线网络模块或者射频模块,其中无线保真模块属于短距离无线传输技术,终端通过网络模块670可以帮助用户收发电子邮件、浏览网页和访问流式媒体等,它为用户提供了无线的宽带互联网访问。虽然图6示出了网络模块670,但是可以理解的是,其并不属于终端的必须构成,完全可以根据需要在不改变发明的本质的范围内而省略。
处理器680是终端的控制中心,利用各种接口和线路连接整个终端的各个部分,通过运行或执行存储在存储器620内的软件程序和/或模块,以及调用存储在存储器620内的数据,执行终端的各种功能和处理数据,从而对终端进行整体监控。可选的,处理器680可包括一个或多个处理单元;优选的,处理器680可集成应用处理器和调制解调处理器,其中,应用处理器主要处理操作系统、用户界面和应用程序等,调制解调处理器主要处理无线通信。可以理解的是,上述调制解调处理器也可以不集成到处理器680中。
终端还包括给各个部件供电的电源690(比如电池),优选的,电源可以通过电源管理系统与处理器680逻辑相连,从而通过电源管理系统实现管理充电、放电、以及功耗管理等功能。
尽管未示出,终端还可以包括输入设备、显示设备、音频电路、摄像头、蓝牙模块等,在此不再赘述。
在本发明实施例中,该终端所包括的处理器680还具有以下功能:执行僵尸网络的检测方法,包括:
获取在网络节点捕获的攻击行为数据;
解析所述攻击行为数据,获取所述攻击行为数据中包括的有效负载payload数据,所述有效负载payload数据为攻击行为数据中实现恶意动作的代码部分;
查找所述有效负载payload数据中包括的恶意程序下载的源地址和发送下载请求的来源IP;
根据所述源地址和所述来源IP确定所述僵尸网络中的计算机。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
Claims (12)
1.一种僵尸网络的检测方法,其特征在于,所述方法包括:
获取在网络节点捕获的攻击行为数据;
解析所述攻击行为数据,获取所述攻击行为数据中包括的有效负载payload数据,所述有效负载payload数据为攻击行为数据中实现恶意动作的代码部分;
将所述有效负载payload数据与预先定义的下载关键词进行比较,查找在所述有效负载payload数据中包括的下载关键词;
根据在所述有效负载payload数据中查找的下载关键词,确定所述下载关键词对应的恶意程序下载的源地址和发送下载请求的来源IP;
根据所述源地址和所述来源IP确定所述僵尸网络中的计算机。
2.根据权利要求1所述方法,其特征在于,所述获取在网络节点捕获的攻击行为数据步骤具体为:
接收由在网络节点捕获的攻击行为数据,所述攻击行为数据为设置于网络节点处的Web应用防火墙WAF系统或入侵预防系统IPS捕获的攻击行为数据。
3.根据权利要求1所述方法,其特征在于,所述解析所述攻击行为数据,获取所述攻击行为数据中包括的有效负载payload数据步骤包括:
将所述攻击行为数据与预先定义的恶意动作执行代码的关键词进行比较,判断在所述攻击行为数据中,是否包括所述预先定义的恶意动作执行代码的关键词;
如果包括所述预先定义的恶意动作执行代码的关键词,则确定包括所述恶意动作执行代码关键词所在的行或语句为有效负载payload数据。
4.根据权利要求1所述方法,其特征在于,所述根据所述源地址和所述来源IP确定所述僵尸网络中的计算机具体为:
在所述有效负载payload数据中,判断由不同计算机发送的相同的恶意程序下载源地址出现的次数是否大于预定次数;
如果由不同计算机发送的相同的恶意程序下载源地址出现的次数大于预定次数,则所述恶意程序下载源地址对应的主机确定为僵尸服务器,发送对应下载请求的来源IP所对应的计算机确定为僵尸计算机。
5.一种僵尸网络的检测装置,其特征在于,所述装置包括:
数据接收单元,用于获取在网络节点捕获的攻击行为数据;
解析获取单元,用于解析所述攻击行为数据,获取所述攻击行为数据中包括的有效负载payload数据,所述有效负载payload数据为攻击行为数据中实现恶意动作的代码部分;
查找单元,用于查找所述有效负载payload数据中包括的恶意程序下载的源地址和发送下载请求的来源IP,包括:第二比较子单元,用于将所述有效负载payload数据与预先定义的下载关键词进行比较,查找在所述有效负载payload数据中包括的下载关键词;地址确定子单元,用于根据在所述有效负载payload数据中查找的下载关键词,确定所述下载关键词对应的恶意程序下载的源地址和发送下载请求的来源IP;
确定单元,用于根据所述源地址和所述来源IP确定所述僵尸网络中的计算机。
6.根据权利要求5所述装置,其特征在于,所述数据接收单元具体用于接收由在网络节点捕获的攻击行为数据,所述攻击行为数据为设置于网络节点处的Web应用防火墙WAF系统或入侵预防系统IPS捕获的攻击行为数据。
7.根据权利要求5所述装置,其特征在于,所述解析获取单元包括:
第一比较子单元,用于将所述攻击行为数据与预先定义的恶意动作执行代码的关键词进行比较,判断在所述攻击行为数据中,是否包括所述预先定义的恶意动作执行代码的关键词;
有效负载确定子单元,用于如果包括所述预先定义的恶意动作执行代码的关键词,则确定包括所述恶意动作执行代码关键词所在的行或语句为有效负载payload数据。
8.根据权利要求5所述装置,其特征在于,所述确定单元包括:
判断子单元,用于在所述有效负载payload数据中,判断由不同计算机发送的相同的恶意程序下载源地址出现的次数是否大于预定次数;
僵尸网络确定子单元,如果由不同计算机发送的相同的恶意程序下载源地址出现的次数大于预定次数,则所述恶意程序下载源地址对应的主机确定为僵尸服务器,发送对应下载请求的来源IP所对应的计算机确定为僵尸计算机。
9.一种僵尸网络的检测系统,其特征在于,所述系统包括设置于被检测网络中的各个节点位置的数据捕获装置,以及与各个数据捕获装置相连的数据分析服务器,所述数据捕获装置用于获取在网络节点传送的攻击行为数据,所述数据分析服务器用于接收各个节点位置的数据捕获装置捕获的攻击行为数据,获取所述攻击行为数据中包括的有效负载payload数据,将所述有效负载payload数据与预先定义的下载关键词进行比较,查找在所述有效负载payload数据中包括的下载关键词;根据在所述有效负载payload数据中查找的下载关键词,确定所述下载关键词对应的恶意程序下载的源地址和发送下载请求的来源IP,根据所述源地址和所述来源IP确定所述僵尸网络中的计算机。
10.根据权利要求9所述系统,其特征在于,所述数据捕获装置为设置于网络节点处的Web应用防火墙WAF系统。
11.根据权利要求9所述系统,其特征在于,所述数据分析服务器具体用于在所述有效负载payload数据中,判断由不同计算机发送的相同的恶意程序下载源地址出现的次数是否大于预定次数;如果由不同计算机发送的相同的恶意程序下载源地址出现的次数大于预定次数,则所述恶意程序下载源地址对应的主机确定为僵尸服务器,发送对应下载请求的来源IP所对应的计算机确定为僵尸计算机。
12.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时,实现如权利要求1-4中任一项所述的僵尸网络的检测方法的各个步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410027082.9A CN104796386B (zh) | 2014-01-21 | 2014-01-21 | 一种僵尸网络的检测方法、装置和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410027082.9A CN104796386B (zh) | 2014-01-21 | 2014-01-21 | 一种僵尸网络的检测方法、装置和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104796386A CN104796386A (zh) | 2015-07-22 |
| CN104796386B true CN104796386B (zh) | 2020-02-11 |
Family
ID=53560899
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410027082.9A Active CN104796386B (zh) | 2014-01-21 | 2014-01-21 | 一种僵尸网络的检测方法、装置和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104796386B (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107342967B (zh) * | 2016-05-03 | 2020-07-31 | 安碁资讯股份有限公司 | 僵尸网络检测系统及其方法 |
| CN110119858A (zh) * | 2018-02-05 | 2019-08-13 | 南京易司拓电力科技股份有限公司 | 基于大数据的电网调度自动化系统的数据质量评估方法 |
| CN109150871B (zh) * | 2018-08-14 | 2021-02-19 | 创新先进技术有限公司 | 安全检测方法、装置、电子设备及计算机可读存储介质 |
| CN110430199B (zh) * | 2019-08-08 | 2021-11-05 | 杭州安恒信息技术股份有限公司 | 识别物联网僵尸网络攻击源的方法与系统 |
| CN117896175B (zh) * | 2024-03-04 | 2024-08-20 | 北京浩瀚深度信息技术股份有限公司 | 一种通过漏洞传播的恶意样本的捕获方法 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101360019A (zh) * | 2008-09-18 | 2009-02-04 | 华为技术有限公司 | 一种僵尸网络的检测方法、系统和设备 |
| CN101404658A (zh) * | 2008-10-31 | 2009-04-08 | 北京锐安科技有限公司 | 一种检测僵尸网络的方法及其系统 |
| CN101588276A (zh) * | 2009-06-29 | 2009-11-25 | 成都市华为赛门铁克科技有限公司 | 一种检测僵尸网络的方法及其装置 |
| CN101714931A (zh) * | 2009-11-26 | 2010-05-26 | 成都市华为赛门铁克科技有限公司 | 一种未知恶意代码的预警方法、设备和系统 |
-
2014
- 2014-01-21 CN CN201410027082.9A patent/CN104796386B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101360019A (zh) * | 2008-09-18 | 2009-02-04 | 华为技术有限公司 | 一种僵尸网络的检测方法、系统和设备 |
| CN101404658A (zh) * | 2008-10-31 | 2009-04-08 | 北京锐安科技有限公司 | 一种检测僵尸网络的方法及其系统 |
| CN101588276A (zh) * | 2009-06-29 | 2009-11-25 | 成都市华为赛门铁克科技有限公司 | 一种检测僵尸网络的方法及其装置 |
| CN101714931A (zh) * | 2009-11-26 | 2010-05-26 | 成都市华为赛门铁克科技有限公司 | 一种未知恶意代码的预警方法、设备和系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104796386A (zh) | 2015-07-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107888607B (zh) | 一种网络威胁检测方法、装置及网络管理设备 | |
| US10354072B2 (en) | System and method for detection of malicious hypertext transfer protocol chains | |
| Mahmoud et al. | A survey on botnet architectures, detection and defences. | |
| US10095866B2 (en) | System and method for threat risk scoring of security threats | |
| KR101554809B1 (ko) | 프로토콜 핑거프린팅 및 평판 상관을 위한 시스템 및 방법 | |
| Falliere | Sality: Story of a peer-to-peer viral network | |
| Ghafir et al. | A survey on botnet command and control traffic detection | |
| CN104796386B (zh) | 一种僵尸网络的检测方法、装置和系统 | |
| Affinito et al. | The evolution of Mirai botnet scans over a six-year period | |
| WO2017083435A1 (en) | System and method for threat risk scoring of security threats | |
| KR100973076B1 (ko) | 분산 서비스 거부 공격 대응 시스템 및 그 방법 | |
| Zhao et al. | A review on IoT botnet | |
| CN114301647A (zh) | 态势感知中漏洞信息的预测防御方法、装置及系统 | |
| US9787711B2 (en) | Enabling custom countermeasures from a security device | |
| Xie et al. | HoneyIM: Fast detection and suppression of instant messaging malware in enterprise-like networks | |
| Tang et al. | Concept, characteristics and defending mechanism of worms | |
| CN114928564A (zh) | 安全组件的功能验证方法及装置 | |
| Mudgerikar et al. | Iot attacks and malware | |
| Panimalar et al. | A review on taxonomy of botnet detection | |
| JP6635029B2 (ja) | 情報処理装置、情報処理システム及び通信履歴解析方法 | |
| Xie et al. | Secure instant messaging in enterprise-like networks | |
| Singh et al. | Detection and prevention of non-PC botnets | |
| Kebande et al. | Botnet’s obfuscated C&C infrastructure take-down approaches based on monitoring centralized Zeus bot variant’s propagation model | |
| ZHANG et al. | 5-2 A Holistic Perspective on Understanding and Breaking Botnets: Challenges and Countermeasures | |
| Ilavarasan et al. | A Survey on host-based Botnet identification |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |