技術領域

本發明涉及網絡通信安全領域，尤其涉及一種僵尸主機的檢測方法及裝置。

背景技術

所謂的僵尸網絡(botnet)，是采用一種或多種傳播手段，將大量主機感染僵尸程序(bot程序)，從而在控制者和被感染主機之間所形成的一個可一對多控制的網絡。它是一種新型攻擊方式，為攻擊者提供了隱匿、靈活且高效的一對多命令與控制機制，通過傳播僵尸程序來控制大量僵尸主機，從而實現信息竊取、分布式拒絕服務攻擊和垃圾郵件發送等攻擊目的。

鑒于僵尸主機帶來的危害性，目前，通常采用蜜網技術、異常行為檢測技術、IRC協議解析還原等技術來檢測僵尸主機。具體地，采用蜜網技術檢測僵尸主機的處理流程為：首先構造蜜網(所謂蜜網是有蜜罐拓撲組成的網絡，蜜罐是一些偽裝成易于被攻擊的目標主機)；然后在一定的時間周期內，搜集網絡中的攻擊流量，統計這些流量的特征：例如流量的峰值大小、以及流量的平均速率等；最后根據這些流量特征來匹配出現有網絡下的攻擊行為，進而判斷攻擊方是否被僵尸等病毒程序所控制，在是的情況下，此攻擊方就被檢測出是僵尸主機。

采用異常行為技術檢測僵尸主機的處理流程為：首先需要在網絡中構建蠕蟲、病毒、等攻擊特征數據庫；然后檢測網絡中的異常行為，并將檢測出的異常行為與構建的攻擊特征數據庫進行匹配，來進一步判斷攻擊方的攻擊行為，從而檢測出僵尸主機。

從上述這兩種檢測方式可以看出，采用前者的檢測方式，雖然可以檢測出網絡中的攻擊方(即僵尸主機)，但是只能被動的接收網絡中的攻擊流量，這就造成檢測不夠及時，并且檢測出的準確率較差；采用后者的檢測方式，由于需要事先知道攻擊方的特征及行為，才能構建出攻擊特征數據庫，這就造成檢測具有一定的滯后性，仍然存在檢測不及時，且檢測準確率較差的問題。

發明內容

本發明實施例提供了一種僵尸主機的檢測方法及裝置，用以解決現有僵尸主機的檢測方式準確率低且及時性較差的問題。

基于上述問題，本發明實施例提供的一種僵尸主機的檢測方法，包括：

獲取設定時間內網絡中各待檢測主機的郵件流量信息，所述郵件流量信息包括各待檢測主機的IP地址、IP地址的入流量信息、IP地址的出流量信息、IP地址與服務器的交互信息；

根據獲取到的郵件流量信息，選擇符合預設條件的IP地址，并計算選擇出的IP地址中每個IP地址所對應的待檢測主機的可能性度量值；所述預設條件通過下述方式實現：計算在所述設定時間內每個待檢測主機的IP地址的入流量與出流量的平均速率、該IP地址與服務器交互的平均個數和該IP地址與服務器交互的平均次數；判斷該IP地址的入流量與出流量的平均速率的比值是否小于第一閾值、該IP地址與服務器交互的平均個數是否大于第二閾值和該IP地址與服務器交互的平均次數是否大于第三閾值；若判斷出均為是時，選出該IP地址；所述可能性度量值表征待檢測主機是僵尸主機的目標閾值；

判斷計算出的每個IP地址的可能性度量值是否大于第四閾值，若是，則將該IP地址所對應的待檢測主機，確定為僵尸主機。

本發明實施例提供的一種僵尸主機的檢測裝置，包括：

獲取模塊，用于獲取設定時間內網絡中各待檢測主機的郵件流量信息，所述郵件流量信息包括各待檢測主機的IP地址、IP地址的入流量信息、IP地址的出流量信息、IP地址與服務器的交互信息；

選擇計算模塊，用于根據獲取到的郵件流量信息，選擇符合預設條件的IP地址，并計算選擇出的IP地址中每個IP地址所對應的待檢測主機的可能性度量值，所述選擇計算模塊，具體用于計算在所述設定時間內每個待檢測主機的IP地址的入流量與出流量的平均速率、該IP地址與服務器交互的平均個數和該IP地址與服務器交互的平均次數；判斷該IP地址的入流量與出流量的平均速率的比值是否小于第一閾值、該IP地址與服務器交互的平均個數是否大于第二閾值和該IP地址與服務器交互的平均次數是否大于第三閾值；若判斷出均為是時，選出該IP地址；所述可能性度量值表征待檢測主機是僵尸主機的目標閾值；

判斷模塊，用于判斷計算出的每個IP地址的可能性度量值是否大于第四閾值；

確定模塊，用于在判斷模塊判斷為是時，則將該IP地址所對應的待檢測主機，確定為僵尸主機。