技術領域

本發明涉及計算機網絡安全技術領域，尤其涉及一種識別DDoS僵尸網絡通信協議的方法及裝置。

背景技術

botnet也就是我們所說的僵尸網絡，是指采用一種或多種傳播手段，將大量主機感染bot(僵尸程序)，從而在控制者和被感染主機之間所形成的一個可一對多控制的網絡。控制僵尸網絡的攻擊者通常利用其擁有的botnet以DDoS(Distribution?Denial?of?Service，分布式拒絕服務)攻擊、銀行卡密碼竊取、垃圾郵件發送、敏感信息盜竊等攻擊方式進行牟利。

為了及早發現基于botnet的DDoS型攻擊，常采用主動跟蹤技術對基于botnet的DDoS型攻擊進行研究。主動跟蹤是指冒充某個DDoS?botnet的bot，主動連接到其C&C(Control&Command，控制命令)服務器，接收和解析其發出的指令但并不實際執行，而是將解析后的指令以日志形式保存和輸出。

如果需要對某個botnet進行跟蹤，需要了解其C&C協議，并編寫相應的跟蹤程序，使其主動連接C&C服務器，能接收、解析和保存對方的指令。現在常用的自動解析出C&C協議的方法有兩種，一種方法為基于虛擬機仿真執行來實現，這種方法缺點是技術非常復雜，而且基于指令仿真方式捕獲bot行為過程中會導致bot樣本的執行速度變慢，就有可能被botnet控制者檢測到，因此實際的可行性比較差，導致無法對新出現的C&C協議做出及時預警。

另外一種自動解析出C&C協議的方法是直接分析C&C通信報文—我們將bot與C&C服務器之間的通信稱為C&C通信，運用統計和機器學習手段來自動分析出C&C協議。這種技術的缺點是需要大量的C&C通信報文來作為機器學習依據，實際中很難滿足，導致無法對新出現的C&C協議做出及時預警。

綜上所述，現有技術方案中存在解析C&C協議的技術復雜度高、可能被botnet控制者檢測到以及需要大量的C&C通信報文來作為機器學習依據等問題，從而導致無法對新出現的C&C協議做出及時預警的問題。

發明內容

本發明實施例提供一種識別DDoS僵尸網絡通信協議的方法及裝置，用以解決現有技術方案中不能對新出現的C&C協議做出及時預警的問題。

本發明實施例提供的具體技術方案如下：

一種識別DDoS僵尸網絡通信協議的方法，包括：

獲取主機中運行的僵尸程序bot與服務器之間通信的命令報文和通信報文；

從獲取的通信報文中確定每次攻擊中每類攻擊的攻擊屬性信息；

根據所述每次攻擊中每類攻擊的攻擊屬性信息，從獲取的命令報文中確定攻擊命令報文；

根據所述攻擊命令報文和所述攻擊屬性信息，確定攻擊指令報文特征信息。

較佳地，如果未發生C&C通信，且已確定C&C服務器，將所述bot與C&C服務器之間傳輸的報文作為命令報文，將所述bot與非C&C服務器之間傳輸的報文作為通信報文；

如果未發生C&C通信，且未確定C&C服務器，將所述bot與當前通信的服務器作為C&C服務器，并將所述bot與所述C&C服務器之間傳輸的報文作為命令報文，將所述bot與非C&C服務器之間傳輸的報文作為通信報文；

如果已經發生C&C通信，則將當前所述bot與服務器之間傳輸的報文中目的網際協議IP地址和目的端口和C&C通信報文中目的網際協議IP地址和目的端口相同的報文作為命令報文，將當前所述bot與服務器之間傳輸的報文中目的網際協議IP地址和目的端口和C&C通信報文中目的網際協議IP地址和目的端口不相同的報文作為通信報文。

較佳地，根據每次攻擊中每類攻擊的攻擊屬性信息將攻擊行為開始之前最后一次收到的所述命令報文確定為攻擊開始指令；

根據每次攻擊中每類攻擊的攻擊屬性信息將攻擊行為停止之前最后一次收到的所述命令報文確定為攻擊停止指令；

將所述攻擊開始指令和所述攻擊停止指令作為攻擊命令報文。

較佳地，所述攻擊指令報文特征信息包括下列信息中的部分或全部：

報文類型字段的偏移和編碼；

攻擊類型字段的偏移和編碼；

攻擊目標與端口字段的偏移和編碼；

特定攻擊類型參數的偏移和編碼。