[發(fā)明專利]僵尸網(wǎng)絡(luò)主控端檢測(cè)方法和裝置有效
| 申請(qǐng)?zhí)枺?/td> | 201610842711.2 | 申請(qǐng)日: | 2016-09-22 |
| 公開(kāi)(公告)號(hào): | CN107864110B | 公開(kāi)(公告)日: | 2021-02-02 |
| 發(fā)明(設(shè)計(jì))人: | 史國(guó)水;汪來(lái)富;沈軍;金華敏 | 申請(qǐng)(專利權(quán))人: | 中國(guó)電信股份有限公司 |
| 主分類號(hào): | H04L29/06 | 分類號(hào): | H04L29/06 |
| 代理公司: | 中國(guó)貿(mào)促會(huì)專利商標(biāo)事務(wù)所有限公司 11038 | 代理人: | 許蓓 |
| 地址: | 100033 *** | 國(guó)省代碼: | 北京;11 |
| 權(quán)利要求書: | 查看更多 | 說(shuō)明書: | 查看更多 |
| 摘要: | |||
| 搜索關(guān)鍵詞: | 僵尸 網(wǎng)絡(luò) 主控 檢測(cè) 方法 裝置 | ||
1.一種僵尸網(wǎng)絡(luò)主控端檢測(cè)方法,其特征在于,包括:
分析網(wǎng)絡(luò)流Netflow數(shù)據(jù),獲取攻擊信息,所述攻擊信息包括攻擊源地址信息和時(shí)間信息;
獲取若干業(yè)務(wù)流量數(shù)據(jù),包括:獲取所述攻擊時(shí)間信息對(duì)應(yīng)的攻擊時(shí)間段內(nèi)的若干業(yè)務(wù)流量數(shù)據(jù);其中,所述業(yè)務(wù)流量數(shù)據(jù)包括業(yè)務(wù)流量的源地址信息和目的地址信息,所述攻擊時(shí)間段在攻擊發(fā)生時(shí)間之前的預(yù)設(shè)時(shí)間內(nèi);
搜索若干業(yè)務(wù)流量數(shù)據(jù)中與所述攻擊源地址信息相同的業(yè)務(wù)流量的目的地址信息;
將搜索到的業(yè)務(wù)流量的目的地址信息對(duì)應(yīng)的業(yè)務(wù)流量的源地址信息確定為僵尸網(wǎng)絡(luò)的主控端。
2.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述搜索若干業(yè)務(wù)流量數(shù)據(jù)中與所述攻擊源地址信息相同的業(yè)務(wù)流量的源地址信息包括:
將業(yè)務(wù)流量數(shù)據(jù)進(jìn)行深度包檢測(cè),獲得包括業(yè)務(wù)流量的源地址信息和目的地址信息的檢測(cè)結(jié)果;
搜索所述檢測(cè)結(jié)果中與所述攻擊源地址信息相同的業(yè)務(wù)流量的源地址信息;
其中,所述源地址信息包括源網(wǎng)絡(luò)協(xié)議地址和源端口號(hào),所述目的地址信息包括目的網(wǎng)絡(luò)協(xié)議地址和目的端口號(hào)。
3.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述分析Netflow數(shù)據(jù),獲取攻擊信息包括:
獲取Netflow數(shù)據(jù),所述Netflow數(shù)據(jù)包括網(wǎng)絡(luò)流量的地址信息、時(shí)間信息,以及流量包數(shù)量和/或流量字節(jié)數(shù);
根據(jù)Netflow數(shù)據(jù),統(tǒng)計(jì)所述地址信息對(duì)應(yīng)的流量包數(shù)量或流量包總量隨時(shí)間變化的趨勢(shì);
將所述目的地址信息對(duì)應(yīng)的流量包數(shù)量或流量包總量隨時(shí)間變化的趨勢(shì)與標(biāo)準(zhǔn)變化趨勢(shì)模型進(jìn)行比較;
根據(jù)與所述標(biāo)準(zhǔn)變化趨勢(shì)模型不匹配的Netflow數(shù)據(jù)生成攻擊信息。
4.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述分析Netflow數(shù)據(jù),獲取攻擊信息包括:
獲取Netflow數(shù)據(jù),所述Netflow數(shù)據(jù)包括網(wǎng)絡(luò)流量的源地址信息、時(shí)間信息、網(wǎng)絡(luò)協(xié)議和流量包數(shù)量;
統(tǒng)計(jì)同一源地址信息在預(yù)設(shè)的時(shí)間內(nèi)發(fā)送的具有相同網(wǎng)絡(luò)協(xié)議的流量包數(shù)量的總和;
判斷所述流量包數(shù)量的總和是否超過(guò)所述相同網(wǎng)絡(luò)協(xié)議對(duì)應(yīng)的閾值;
如果所述流量包數(shù)量的總和超過(guò)所述相同網(wǎng)絡(luò)協(xié)議對(duì)應(yīng)的閾值,根據(jù)所述預(yù)設(shè)的時(shí)間內(nèi)所述源地址信息產(chǎn)生的Netflow數(shù)據(jù)生成攻擊信息。
5.一種僵尸網(wǎng)絡(luò)主控端檢測(cè)裝置,其特征在于,包括:
Netflow分析模塊,用于分析Netflow數(shù)據(jù),獲取攻擊信息,所述攻擊信息包括攻擊源地址信息和攻擊時(shí)間信息;
業(yè)務(wù)流量數(shù)據(jù)獲取模塊,用于獲取若干業(yè)務(wù)流量數(shù)據(jù),包括:獲取所述攻擊時(shí)間信息對(duì)應(yīng)的攻擊時(shí)間段內(nèi)的若干業(yè)務(wù)流量數(shù)據(jù);其中,所述業(yè)務(wù)流量數(shù)據(jù)包括業(yè)務(wù)流量的源地址信息和目的地址信息,所述攻擊時(shí)間段在攻擊發(fā)生時(shí)間之前的預(yù)設(shè)時(shí)間內(nèi);
地址搜索模塊,用于搜索若干業(yè)務(wù)流量數(shù)據(jù)中與所述攻擊源地址信息相同的業(yè)務(wù)流量的目的地址信息;
主控端檢測(cè)模塊,用于將搜索到的業(yè)務(wù)流量的目的地址信息對(duì)應(yīng)的業(yè)務(wù)流量的源地址信息確定為僵尸網(wǎng)絡(luò)的主控端。
6.根據(jù)權(quán)利要求5所述的裝置,其特征在于,所述地址搜索模塊包括:
深度包檢測(cè)單元,用于將業(yè)務(wù)流量數(shù)據(jù)進(jìn)行深度包檢測(cè),獲得包括業(yè)務(wù)流量的源地址信息和目的地址信息的檢測(cè)結(jié)果;
地址搜索單元,用于搜索所述檢測(cè)結(jié)果中與所述攻擊源地址信息相同的業(yè)務(wù)流量的源地址信息;
其中,所述源地址信息包括源網(wǎng)絡(luò)協(xié)議地址和源端口號(hào),所述目的地址信息包括目的網(wǎng)絡(luò)協(xié)議地址和目的端口號(hào)。
該專利技術(shù)資料僅供研究查看技術(shù)是否侵權(quán)等信息,商用須獲得專利權(quán)人授權(quán)。該專利全部權(quán)利屬于中國(guó)電信股份有限公司,未經(jīng)中國(guó)電信股份有限公司許可,擅自商用是侵權(quán)行為。如果您想購(gòu)買此專利、獲得商業(yè)授權(quán)和技術(shù)合作,請(qǐng)聯(lián)系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201610842711.2/1.html,轉(zhuǎn)載請(qǐng)聲明來(lái)源鉆瓜專利網(wǎng)。
- 一種檢測(cè)僵尸網(wǎng)絡(luò)的方法及其系統(tǒng)
- 一種僵尸網(wǎng)絡(luò)的發(fā)現(xiàn)方法及其系統(tǒng)
- 一種僵尸網(wǎng)絡(luò)追蹤方法
- 一種基于主動(dòng)探測(cè)的僵尸網(wǎng)絡(luò)家族檢測(cè)方法
- 一種移動(dòng)互聯(lián)網(wǎng)中僵尸木馬防護(hù)方法及其系統(tǒng)
- 一種僵尸網(wǎng)絡(luò)檢測(cè)方法及裝置
- 僵尸網(wǎng)絡(luò)的檢測(cè)方法及裝置、僵尸網(wǎng)絡(luò)的對(duì)抗方法及裝置
- 用于主動(dòng)防御分布式拒絕服務(wù)攻擊的方法和系統(tǒng)
- 僵尸賬號(hào)的檢測(cè)方法和裝置
- 僵尸網(wǎng)絡(luò)屬性識(shí)別方法、防御方法及裝置
- 網(wǎng)絡(luò)和網(wǎng)絡(luò)終端
- 網(wǎng)絡(luò)DNA
- 網(wǎng)絡(luò)地址自適應(yīng)系統(tǒng)和方法及應(yīng)用系統(tǒng)和方法
- 網(wǎng)絡(luò)系統(tǒng)及網(wǎng)絡(luò)至網(wǎng)絡(luò)橋接器
- 一種電力線網(wǎng)絡(luò)中根節(jié)點(diǎn)網(wǎng)絡(luò)協(xié)調(diào)方法和系統(tǒng)
- 一種多網(wǎng)絡(luò)定位方法、存儲(chǔ)介質(zhì)及移動(dòng)終端
- 網(wǎng)絡(luò)裝置、網(wǎng)絡(luò)系統(tǒng)、網(wǎng)絡(luò)方法以及網(wǎng)絡(luò)程序
- 從重復(fù)網(wǎng)絡(luò)地址自動(dòng)恢復(fù)的方法、網(wǎng)絡(luò)設(shè)備及其存儲(chǔ)介質(zhì)
- 神經(jīng)網(wǎng)絡(luò)的訓(xùn)練方法、裝置及存儲(chǔ)介質(zhì)
- 網(wǎng)絡(luò)管理方法和裝置
- 檢測(cè)裝置、檢測(cè)方法和檢測(cè)組件
- 檢測(cè)方法、檢測(cè)裝置和檢測(cè)系統(tǒng)
- 檢測(cè)裝置、檢測(cè)方法以及記錄介質(zhì)
- 檢測(cè)設(shè)備、檢測(cè)系統(tǒng)和檢測(cè)方法
- 檢測(cè)芯片、檢測(cè)設(shè)備、檢測(cè)系統(tǒng)和檢測(cè)方法
- 檢測(cè)裝置、檢測(cè)設(shè)備及檢測(cè)方法
- 檢測(cè)芯片、檢測(cè)設(shè)備、檢測(cè)系統(tǒng)
- 檢測(cè)組件、檢測(cè)裝置以及檢測(cè)系統(tǒng)
- 檢測(cè)裝置、檢測(cè)方法及檢測(cè)程序
- 檢測(cè)電路、檢測(cè)裝置及檢測(cè)系統(tǒng)
