技術(shù)領(lǐng)域

本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，具體涉及一種僵尸網(wǎng)絡(luò)檢測(cè)方法及裝置。

背景技術(shù)

根據(jù)國家互聯(lián)網(wǎng)應(yīng)急中心發(fā)布的數(shù)據(jù)顯示，去年我國境內(nèi)僵尸網(wǎng)絡(luò)感染主機(jī)數(shù)量接近一千五百萬臺(tái)，同比增長56.9％。如此巨大規(guī)模的僵尸網(wǎng)絡(luò)，不僅給我國互聯(lián)網(wǎng)的健康發(fā)展帶來了極大的威脅和挑戰(zhàn)，也對(duì)我國在網(wǎng)絡(luò)安全方面的國際聲譽(yù)造成了影響。

目前在僵尸網(wǎng)絡(luò)的檢測(cè)技術(shù)方面，主要通過兩種方法。一種是通過搭建污水口服務(wù)器(sinkhole?server)來被動(dòng)吸引受感染主機(jī)的訪問；另一種是行為特征模式匹配技術(shù)。

以上兩種方法皆存在各自的局限性。第一種方法雖然實(shí)現(xiàn)起來較為簡單，識(shí)別率也相對(duì)較高，但由于是被動(dòng)檢測(cè)，能夠吸引到的受感染主機(jī)數(shù)量非常有限，不能有效的對(duì)大規(guī)模僵尸網(wǎng)絡(luò)實(shí)施檢測(cè)。目前業(yè)界更多采用的是第二種方法，即對(duì)僵尸網(wǎng)絡(luò)的流量、行為特征進(jìn)行歸納和學(xué)習(xí)，通過構(gòu)造相應(yīng)的數(shù)學(xué)模型來實(shí)現(xiàn)僵尸網(wǎng)絡(luò)的主動(dòng)檢測(cè)。這種方法在一定程度上提高了僵尸網(wǎng)絡(luò)的檢測(cè)規(guī)模，但是由于通常僵尸網(wǎng)絡(luò)自身的行為特征并不固定，且種類層出不窮，因此這種方法通常通用性較差，且存在檢測(cè)效率不高的弊端。

發(fā)明內(nèi)容

針對(duì)目前僵尸網(wǎng)絡(luò)檢測(cè)技術(shù)所存在的不足，本發(fā)明提供了一種通用的僵尸網(wǎng)絡(luò)主動(dòng)檢測(cè)方法及裝置，且該方法及裝置不依賴于僵尸網(wǎng)絡(luò)的種類以及自身行為特征，因此能夠?qū)Υ笠?guī)模僵尸網(wǎng)絡(luò)實(shí)施高效的檢測(cè)。

對(duì)于僵尸網(wǎng)絡(luò)而言，受感染主機(jī)需要經(jīng)常訪問某些特定的僵尸網(wǎng)絡(luò)服務(wù)器，以實(shí)現(xiàn)指令的定期傳達(dá)和更新，因此受感染主機(jī)通常會(huì)對(duì)某些特定域名表現(xiàn)出強(qiáng)烈的興趣，同樣地，僵尸網(wǎng)絡(luò)服務(wù)器所使用的域名也往往只會(huì)被那些受感染的主機(jī)所訪問。

本發(fā)明的僵尸網(wǎng)絡(luò)檢測(cè)方法，具體包括以下步驟：

1)對(duì)主機(jī)在某段時(shí)間內(nèi)的域名訪問數(shù)據(jù)進(jìn)行數(shù)據(jù)抽取，形成主機(jī)-域名交互矩陣；

2)對(duì)主機(jī)-域名交互矩陣中出現(xiàn)的主機(jī)集合進(jìn)行聚類，并根據(jù)聚類結(jié)果劃分主機(jī)集合；

3)將劃分后的各個(gè)主機(jī)集合與已知的受感染主機(jī)集合進(jìn)行比對(duì)，判斷劃分后的各個(gè)主機(jī)集合是否感染僵尸網(wǎng)絡(luò)。

進(jìn)一步地，步驟1)中，設(shè)定經(jīng)過抽取后的主機(jī)集合為U={u₁，u₂,...，u_M}，域名集合為D={d₁，d₂，...，d_N}，那么主機(jī)的域名訪問行為可以抽象為集合U與集合D之間的一種交互關(guān)系。這種關(guān)系可以進(jìn)一步表示為主機(jī)與域名之間的M×N階共現(xiàn)矩陣UD：

UD=[W(u_m，d_n)]M×N

其中w(u_m，d_n)表示該段時(shí)間內(nèi)主機(jī)u_m與域名d_n的共現(xiàn)次數(shù)(即u_m訪問d_n的次數(shù))，m代表1，2，...，M；n代表1，2，...，N。

進(jìn)一步地，步驟2)中，利用PLSA(Probabilitistic?Latent?Semantic?Analysis)聚類算法建立概率性類別模型，對(duì)該矩陣中出現(xiàn)的主機(jī)集合進(jìn)行聚類，并通過聚類質(zhì)量評(píng)估來選擇一個(gè)類別數(shù)量的最佳值，最終實(shí)現(xiàn)基于主機(jī)對(duì)域名興趣度的主機(jī)集合劃分。聚類質(zhì)量評(píng)估過程如下：

高質(zhì)量的類別劃分應(yīng)使相同類別內(nèi)的主機(jī)訪問行為相似性最高，而不同類別間的主機(jī)訪問行為相似性最低。為了對(duì)類別劃分的質(zhì)量進(jìn)行量化評(píng)估，對(duì)于每個(gè)類別k，計(jì)算該類別的獨(dú)立程度C_k：

C_k=C_ki／C_ko????????(12)

其中C_ki用來表示類別k內(nèi)部的域名集合和主機(jī)集合間的交互程度，C_ko用來表示類別k與其他類別問的交互程度。