技術領域

本發明涉及網絡安全領域，特別涉及同源僵尸網絡判別方法。

背景技術

僵尸網絡(botnet)是指攻擊者出于惡意目的，傳播僵尸程序控制大量主機，并通過一對多的命令與控制信道(Command?and?Control，C&C)所組成的網絡。僵尸網絡為攻擊者提供了隱匿、靈活且高效的一對多命令與控制機制，僵尸網絡的控制者可以控制大量僵尸主機來實現信息竊取、分布式拒絕服務攻擊和垃圾郵件發送等攻擊目的。僵尸網絡正步入快速發展期，對因特網安全造成了嚴重威脅。

僵尸網絡主要分為IRC(Internet?Relay?chat)僵尸網絡、HTTP僵尸網絡和P2P僵尸網絡。IRC僵尸網絡是最早產生而且目前仍然大量存在的一類僵尸網絡，該類僵尸網絡的控制者基于標準IRC協議在IRC聊天服務器上構建命令與控制信道，并通過所述的命令與控制信道實現對大量受控主機的僵尸程序版本更新、惡意攻擊等行為的控制。在圖1中示出了IRC僵尸網絡中的控制者、命令與控制服務器(如IRC服務器)、受控主機(bot)以及被攻擊對象間的關系。HTTP僵尸網絡與IRC僵尸網絡的功能結構相似，所不同的是HTTP僵尸網絡控制器是以WEB網站方式構建的。P2P僵尸網絡是一種較新型的僵尸網絡，在P2P僵尸網絡中僵尸程序同時承擔客戶端和服務器的雙重角色。

由于圖1所示的IRC僵尸網絡的結構特點，使得僵尸網絡具有健壯性差、存在單點失效等問題，因此，網絡安全管理人員可通過摧毀單個IRC服務器來切斷僵尸網絡控制者與bot間的聯系，導致整個僵尸網絡癱瘓。為了逃避網絡安全人員的監管，如圖2(a)所示，部署在bot上的僵尸程序使用域名而非固定的IP地址來連接IRC服務器，僵尸網絡控制者使用動態域名服務將僵尸程序連接的域名映射到其控制的多臺IRC服務器上，一旦正在工作的某一臺IRC服務器失效，僵尸網絡的受控主機會連接到其他的IRC服務器，從而保證了整個僵尸網絡的繼續運轉。另外，在現實生活中也存在將僵尸網絡的控制權轉移從而換取經濟利益的行為，在這一行為中也會涉及到IRC服務器的改變。以上通過主動或被動方式改變僵尸網絡中的IRC服務器的行為被稱為僵尸網絡的遷移。在現實生活中，某些大型僵尸網絡采用了分層管理模式，如圖2(b)所示，多個IRC服務器控制各自不同的bot群體，而所有的IRC服務器同時由僵尸網絡控制者統一控制。

從上面對僵尸網絡遷移以及僵尸網絡的分層管理模式的描述可以看出，現有的僵尸網絡存在以下特點：IRC服務器與僵尸網絡控制者之間并不一定是一一對應關系，而且IRC服務器與僵尸網絡控制者的對應關系可能隨時間發生轉變。

現有技術中已經存在對僵尸網絡進行檢測的相關技術，利用這些檢測技術可以得到大量關于僵尸網絡的數據。為了便于網絡安全管理，需要從檢測到的大量僵尸網絡中識別出哪些僵尸網絡屬于同一僵尸網絡，這一識別過程通過僵尸網絡相似性度量模型完成。本申請中所述的同一僵尸網絡是指控制者相同的僵尸網絡。

在現有技術中也存在對僵尸網絡做相似性度量的方法和系統。如在參考文獻1“Guofei?Gu，Roberto?Perdisci，Junjie?Zhang，and?Wenke?Lee.BotMiner：Clustering?Analysis?of?Network?Traffic?for?Protocol-and?Structure-IndependentBotnet?Detection.USENIX?Security，2008.139-154”中公開了一種采用聚類的數據分析方法。利用僵尸網絡中IRC服務器與bot的一對多映射關系，該方法可以有效地檢測IRC服務器與bot的C&C通訊，以此獲得IRC服務器與bot的對應關系，并將檢測到的一個IRC服務器看成一個僵尸網絡。但實際上，IRC服務器與僵尸網絡之間并不必然地存在一一對應關系。將一個IRC服務器看作一個僵尸網絡的做法會導致分析僵尸網絡情況時出現錯誤和偏差。在IRC僵尸網絡中，bot與控制者是實體，IRC服務器只是中間橋梁，因此如果要準確地掌握僵尸網絡，應當掌握的是僵尸網絡控制者與bot間的對應關系。但由于在前文中所提到的僵尸網絡的特點使得現有技術很難用數據分析方法來獲得僵尸網絡控制者與IRC服務器對應關系?？傊瑓⒖嘉墨I1所列出的方法在識別僵尸網絡時由于方法本身的缺陷，很容易發生識別錯誤的現象。