技術領域

本發明涉及網絡技術領域，尤其涉及一種社交僵尸網絡的檢測方法及裝置。

背景技術

隨著移動智能設備的普及，安全問題也開始頻繁的出現在移動智能設備上，僵尸網絡也開始從傳統互聯網深入到移動互聯網，目前大多數移動僵尸網絡都是選擇Twitter或Facebook作為命令控制信道，這樣更具有隱秘性和可操作性。但針對僵尸網絡的檢測技術大多還使用傳統僵尸網絡的檢測方法。

下邊對傳統僵尸網絡的常用檢測方法作一介紹。

在傳統僵尸網絡檢測領域的檢測技術主要分為網絡層檢測和終端檢測。

網絡層的檢測，主要體現在流量上，其特點是：

1、高網絡延遲：在各式各樣的數據在網絡介質中通過網絡協議(如TCP/IP)進行傳輸，如果信息量過大不加以限制，超額的網絡流量就會導致設備反應緩慢，造成網絡延遲；

2、高流量：僵尸網絡形成后，由于和服務器之間的聯系，會造成巨大的通信流量；

3、某端口的異常流量：為了能接收來自網絡的命令，僵尸木馬程序需要打開主機上一個端口來通信。

4、非正常系統行為。

終端層的檢測，主要體現在終端行為上，其特點是：

1、通信內容：在僵尸網絡中，僵尸之間的通信內容往往具有協同性和相似性；

2、昵稱、命令序列：在僵尸網絡中，僵尸之間的昵稱、命令序列也往往具有相似；

3、協議特征：僵尸網絡的協議為了滿足自身的需要，其協議都有相應的特點，通過僵尸網絡協議的解析還原，在一定程度上可以輔助判斷僵尸網絡的存在。

圖1為社交僵尸網絡的一般結構圖。所有的僵尸程序入侵到移動設備3，僵尸控制者2通過在微博服務器1注冊微博帳號來發表命令。所有的僵尸端通過關注這個微博帳號來接收命令。僵尸控制者2通過微博服務器1以圖片或鏈接形式發布命令。

社交僵尸網絡傳播手段和傳統傳播手段一樣，大體分為主動傳播和被動傳播這兩種傳播方式。其中，主動傳播方式為：每個主機被感染僵尸后，自動通過twitter或facebook自動轉發給其他聯系人。被動傳播方式為：每個主機感染僵尸后，立即執行，不再傳播，其傳播主要通過其他途徑，例如漏洞攻擊、郵件、惡意網站腳本等人體工程學方法。

其中，被動傳播方式的社交僵尸網絡拓撲結構有兩種類型，即圖2A所示的中心型拓撲結構和圖2B所示的p2p型拓撲結構。

在中心型的社交僵尸網絡中，僵尸控制者A1要登錄到唯一的微博帳號A2來發布命令，其他所有僵尸終端A3都收聽此微博帳號，接收命令。僵尸終端A3接收到命令后，直接執行，不再轉發（被動傳播）。

在p2p型的社交僵尸網絡中，每一個僵尸終端B2都有一個微博帳號，并且都互相收聽對方，此時僵尸控制者B1只需登錄任何一個僵尸端B2就可以發布命令，其他僵尸終端B2都可以收到，同樣收到后，立即執行，不進行轉發（被動傳播）。此類型僵尸網絡有兩個特點：1、登錄任何一個帳號都可以發布惡意命令；2、各個僵尸終端的微博帳號由于是自動生成，具有結構相似性。

可見，由于在一些移動僵尸網絡中，越來越多的僵尸網絡通過Twitter或Facebook來作為控制命令信道，而傳統檢測方法還是停留在流量異常、昵稱異常等的檢測上邊，因而使用傳統檢測方法對移動僵尸網絡進行檢測效果不太理想。

發明內容

本發明所要解決的技術問題是提供一種社交僵尸網絡的檢測方法及裝置，提高對移動僵尸網絡的檢測能力。

為解決上述技術問題，本發明提出了一種社交僵尸網絡的檢測方法，包括：

步驟一，獲取微博帳號的傳播路徑圖；

步驟二，將微博賬號的傳播路徑圖與預存的社交僵尸網絡傳播路徑圖相比較，若兩者一致，則將該微博賬號記錄為可疑賬號；

步驟三，在記錄的可疑賬號的數量達到設定數目時，根據可疑賬號的結構判斷可疑賬號是否為社交僵尸網絡，所述賬號的結構是指該賬號的名稱組成。

進一步地，上述社交僵尸網絡的檢測方法還可具有以下特點，所述步驟一包括：

在微博服務器獲取發布微博信息的微博賬號；

跟蹤該微博賬號，檢測到該微博帳號的傳播路徑圖。

進一步地，上述社交僵尸網絡的檢測方法還可具有以下特點，所述預存的社交僵尸網絡的傳播路徑圖的特征為該傳播路徑圖中所有的接收微博賬號接收到微博后不再二次轉發，且接收微博賬號的數目大于設定閾值。

進一步地，上述社交僵尸網絡的檢測方法還可具有以下特點，所述步驟三包括：