技術(shù)領(lǐng)域

本發(fā)明實(shí)施例涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，特別涉及一種僵尸網(wǎng)絡(luò)檢測(cè)方法、裝置以及網(wǎng)絡(luò)安全防護(hù)設(shè)備。

背景技術(shù)

僵尸網(wǎng)絡(luò)(Botnet)是采用一種或者多種傳播手段，將大量主機(jī)感染僵尸工具Bot程序，從而在控制者和被感染主機(jī)之間形成一個(gè)可一對(duì)多控制的網(wǎng)絡(luò)，其中僵尸工具Bot是robot的縮寫，其可執(zhí)行預(yù)定義的功能，可以被預(yù)定義的命令所遠(yuǎn)程控制、并具有一定人工智能的程序。僵尸主機(jī)就是指含有僵尸工具或者其他遠(yuǎn)程控制程序，使其可被攻擊者遠(yuǎn)程控制的計(jì)算機(jī)。

僵尸網(wǎng)絡(luò)構(gòu)成一個(gè)攻擊平臺(tái)，利用這個(gè)平臺(tái)可以發(fā)起各種各樣的網(wǎng)絡(luò)攻擊行為，從而導(dǎo)致整個(gè)基礎(chǔ)信息網(wǎng)絡(luò)或者重要應(yīng)用系統(tǒng)癱瘓，也可以導(dǎo)致大量機(jī)密或者個(gè)人隱私泄露，還可以被用來(lái)從事網(wǎng)絡(luò)欺詐等其他違法犯罪活動(dòng)。例如，利用Botnet可以發(fā)起DDOS、發(fā)送垃圾郵件、竊取機(jī)密、濫用資源等網(wǎng)絡(luò)攻擊行為，這些行為無(wú)論對(duì)整個(gè)網(wǎng)絡(luò)還是用戶自身都造成了嚴(yán)重的后果。

目前僵尸網(wǎng)絡(luò)主要有兩種網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，其中一種網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖1所示，其為多級(jí)控制的樹狀拓?fù)浣Y(jié)構(gòu)，在該網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)下，控制者開放監(jiān)聽端口，僵尸主動(dòng)向控制者的監(jiān)聽端口發(fā)起連接，向控制者通報(bào)自己，控制者主動(dòng)連接上級(jí)控制者的監(jiān)聽端口，向上級(jí)控制者通報(bào)自己，控制者向僵尸主機(jī)指令，僵尸主機(jī)執(zhí)行控制者指令，發(fā)起攻擊。該網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)下的特點(diǎn)是，多臺(tái)僵尸主機(jī)會(huì)向同一臺(tái)控制者的相同端口發(fā)起連接，僵尸主機(jī)一般會(huì)定時(shí)向控制者通信，控制者同一時(shí)間會(huì)向多臺(tái)僵尸主機(jī)發(fā)相同指令。

圖2給出了第二種網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，這是一種基于IRC協(xié)議實(shí)現(xiàn)的僵尸網(wǎng)絡(luò)，其控制者在IRC服務(wù)器上創(chuàng)建通信頻道，僵尸主機(jī)登陸IRC服務(wù)器并加入攻擊者事先創(chuàng)建的頻道，等待控制者發(fā)起指令，控制者在IRC指定頻道上發(fā)指令，僵尸主機(jī)收到指令后執(zhí)行指令，并發(fā)起攻擊?；贗RC協(xié)議實(shí)現(xiàn)的僵尸網(wǎng)絡(luò)具有如下的特征，僵尸計(jì)算機(jī)一般會(huì)長(zhǎng)時(shí)間在線，僵尸計(jì)算機(jī)作為一個(gè)IRC服務(wù)器的聊天用戶在聊天頻道內(nèi)長(zhǎng)時(shí)間不發(fā)言。另外還存在基于P2P結(jié)構(gòu)的僵尸網(wǎng)絡(luò)。

現(xiàn)有技術(shù)中對(duì)僵尸網(wǎng)絡(luò)的檢測(cè)通常有兩種，一種是樣本分析的方法，即通過(guò)蜜罐等手段獲取僵尸工具Bot程序樣本，采用逆向工程等惡意代碼分析手段，獲得隱藏在代碼中的登錄Botnet所需要的相關(guān)信息，使用定制的僵尸程序登錄到僵尸網(wǎng)絡(luò)中去，進(jìn)一步采取應(yīng)對(duì)措施；二是網(wǎng)絡(luò)特征檢測(cè)的方法，即通過(guò)研究僵尸計(jì)算機(jī)獲取協(xié)議規(guī)則，然后根據(jù)DPI技術(shù)進(jìn)行檢測(cè)，這種方法也是需要先獲取僵尸工具程序樣本。

發(fā)明人在實(shí)現(xiàn)本發(fā)明的過(guò)程中發(fā)現(xiàn)：上述的檢測(cè)方法均需要獲得僵尸工具程序樣本，并且只能檢測(cè)已知的僵尸網(wǎng)絡(luò)。

發(fā)明內(nèi)容

本發(fā)明實(shí)施例的目的是提供一種僵尸網(wǎng)絡(luò)檢測(cè)方法、裝置以及網(wǎng)絡(luò)安全防護(hù)設(shè)備，以實(shí)現(xiàn)對(duì)未知僵尸網(wǎng)絡(luò)的檢測(cè)。

為實(shí)現(xiàn)上述目的，本發(fā)明實(shí)施例提供了一種僵尸網(wǎng)絡(luò)檢測(cè)方法，包括：

根據(jù)待檢測(cè)網(wǎng)絡(luò)中的主機(jī)發(fā)送的第一數(shù)據(jù)包中的關(guān)鍵字信息獲得疑似僵尸主機(jī)信息和疑似僵尸控制主機(jī)信息；

對(duì)疑似僵尸主機(jī)的行為特性進(jìn)行分析以識(shí)別僵尸主機(jī)和僵尸控制主機(jī)。

本發(fā)明實(shí)施例還提供了一種僵尸網(wǎng)絡(luò)檢測(cè)裝置，包括：

獲取模塊，用于根據(jù)待檢測(cè)網(wǎng)絡(luò)中的主機(jī)發(fā)送的第一數(shù)據(jù)包中的關(guān)鍵字信息獲得疑似僵尸主機(jī)信息和疑似僵尸控制主機(jī)信息；

行為分析模塊，用于對(duì)疑似僵尸主機(jī)的行為特性進(jìn)行分析以識(shí)別僵尸主機(jī)和僵尸控制主機(jī)。

本發(fā)明實(shí)施例還提供了一種網(wǎng)絡(luò)安全防護(hù)設(shè)備，包括上述的僵尸網(wǎng)絡(luò)檢測(cè)裝置。

本發(fā)明實(shí)施例提供的僵尸網(wǎng)絡(luò)檢測(cè)方法、裝置以及網(wǎng)絡(luò)安全防護(hù)設(shè)備，通過(guò)對(duì)待檢測(cè)網(wǎng)絡(luò)中的主機(jī)發(fā)送的第一數(shù)據(jù)包進(jìn)行關(guān)鍵字分析，根據(jù)關(guān)鍵字信息確認(rèn)疑似僵尸主機(jī)和疑似僵尸控制主機(jī)，然后再對(duì)疑似僵尸主機(jī)的行為進(jìn)行監(jiān)控，若其實(shí)施了僵尸主機(jī)行為中的一種，則可確認(rèn)該主機(jī)為僵尸主機(jī)，該僵尸主機(jī)發(fā)送的第一數(shù)據(jù)包的目標(biāo)主機(jī)為僵尸控制主機(jī)，通過(guò)上述的檢測(cè)方法，能夠有效的發(fā)現(xiàn)未知的僵尸網(wǎng)絡(luò)中的僵尸主機(jī)及僵尸控制主機(jī)。

附圖說(shuō)明

為了更清楚地說(shuō)明本發(fā)明實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案，下面將對(duì)實(shí)施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡(jiǎn)單地介紹，顯而易見地，下面描述中的附圖僅僅是本發(fā)明的一些實(shí)施例，對(duì)于本領(lǐng)域普通技術(shù)人員來(lái)講，在不付出創(chuàng)造性勞動(dòng)性的前提下，還可以根據(jù)這些附圖獲得其他的附圖。

圖1為現(xiàn)有技術(shù)中一種僵尸網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)；

圖2為現(xiàn)有技術(shù)中第二種僵尸網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)；

圖3為本發(fā)明僵尸網(wǎng)絡(luò)檢測(cè)方法實(shí)施例一的流程示意圖；

圖4為本發(fā)明僵尸網(wǎng)絡(luò)檢測(cè)方法實(shí)施例二的流程示意圖；