本發(fā)明公開了一種基于搜索引擎的命令控制節(jié)點(diǎn)地址查找機(jī)制，包括發(fā)布模塊、搜索模塊、關(guān)鍵字生成模塊、噪音記錄過濾、信息提取與轉(zhuǎn)換模塊，攻擊者事先通過免費(fèi)博客發(fā)布以日期MD5值為標(biāo)題、命令控制節(jié)點(diǎn)IP地址為內(nèi)容的博文，感染惡意代碼的主機(jī)以該日期MD5值為關(guān)鍵字訪問搜索引擎并得到搜索記錄集合，對該記錄集合進(jìn)行Top?K排序后，選取排名前K條與含有命令控制節(jié)點(diǎn)IP地址博文相關(guān)的記錄，并從此K條記錄的摘要部分提取命令控制節(jié)點(diǎn)IP地址，本申請的機(jī)制可通過多種搜索引擎發(fā)現(xiàn)并能準(zhǔn)確地提取命令控制節(jié)點(diǎn)信息。

技術(shù)領(lǐng)域

本發(fā)明涉及網(wǎng)絡(luò)空間安全領(lǐng)域領(lǐng)域，具體涉及一種基于搜索引擎的命令控制節(jié)點(diǎn)地址查找機(jī)制。

背景技術(shù)

近年來，由僵尸網(wǎng)絡(luò)(Botnet)與高級持續(xù)性威脅(Advanced Persistent Threat，APT)引發(fā)的網(wǎng)絡(luò)安全事件層出不窮，不僅影響廣大網(wǎng)民的利益，還危及我國公共互聯(lián)網(wǎng)安全運(yùn)行，給政府和國家信息安全帶來嚴(yán)重危害。

僵尸網(wǎng)絡(luò)與高級持續(xù)性威脅核心思想都是借助專用惡意代碼感染智能手機(jī)、平板、計(jì)算機(jī)等設(shè)備，使這些設(shè)備變成可受控節(jié)點(diǎn)(Bot)，攻擊者通過命令與控制(Commandand Control，C&C)節(jié)點(diǎn)對這些Bot進(jìn)行管理，Bot從這些C&C節(jié)點(diǎn)上獲得攻擊者發(fā)布的指令以對指定目標(biāo)實(shí)施信息竊取，DDoS攻擊、電子郵件轟炸、網(wǎng)絡(luò)釣魚欺騙、會(huì)話劫持等惡意行為。

可見，C&C節(jié)點(diǎn)是連接攻擊者與若干Bot之間的″接頭地點(diǎn)″。Bot只有在發(fā)現(xiàn)C&C節(jié)點(diǎn)并與之正常通信后，才能被攻擊者控制和使用，否則其威脅性和危險(xiǎn)性大大降低，不具備實(shí)用價(jià)值。因此，發(fā)現(xiàn)并獲取C&C節(jié)點(diǎn)信息(如IP地址，域名等)決定Botnet能夠正常運(yùn)作的前提。從目前公開發(fā)表的文獻(xiàn)來看，已揭示的Bot查找C&C節(jié)點(diǎn)信息方式可分為以下四類：

固定IP或者域名：C&C節(jié)點(diǎn)的IP地址或域名預(yù)先以硬編碼、配置文件等形式存在于惡意代碼中，Bot直接與這些IP地址或域名對應(yīng)的C&C節(jié)點(diǎn)通信，并加入相應(yīng)的僵尸網(wǎng)絡(luò)，Mega-D，Rustock是此種方式的典型代表。該方式的缺點(diǎn)是C&C節(jié)點(diǎn)的IP地址或域名可采用黑名單方法進(jìn)行過濾和攔截，C&C節(jié)點(diǎn)容易被追蹤和關(guān)停。

Domain-Flux：是指Bot使用惡意代碼自身內(nèi)嵌的域名生成算法(DomainGeneration Algorithm，DGA)產(chǎn)生包括C&C節(jié)點(diǎn)域名在內(nèi)的大量″偽隨機(jī)″域名，然后從中選取部分或全部進(jìn)行DNS解析訪問以試圖與其中真正的C&C節(jié)點(diǎn)取得通信。Conficker、Pushdo、Bobax均使用此技術(shù)。盡管該方式具有較好地隱蔽性和抗關(guān)停能力，但產(chǎn)生的DNS流量仍存在明顯特征，可在局部范圍內(nèi)被檢測與阻斷。

Fast-Flux：其原理是事先將一些具有公共IP地址的Bot偽裝成代理Bot，其它Bot與C&C節(jié)點(diǎn)的通信請求和應(yīng)答都必須通過這些代理Bot傳遞。為增強(qiáng)可用性和隱蔽性，代理Bot的IP地址也不斷在變化。但目前已有針對Fast-Flux的識別和檢測，并取得了較好效果。

P2P發(fā)現(xiàn)方式：Bot利用P2P協(xié)議自身的動(dòng)態(tài)發(fā)現(xiàn)機(jī)制來尋找C&C節(jié)點(diǎn)信息，如Phatbot、Nugache均屬于此種方式。該方式存在匿名性差問題，通過被檢測出的Bot節(jié)點(diǎn)容易暴露C&C節(jié)點(diǎn)或其它Bot信息，很多學(xué)者也已提出對該方式的識別和檢測方案。

發(fā)明內(nèi)容

針對上述方式的缺點(diǎn)，也為了符合APT和僵尸網(wǎng)絡(luò)中惡意代碼獲取C&C節(jié)點(diǎn)信息的潛伏性和隱蔽性特點(diǎn)，本發(fā)明提供了一種基于搜索引擎的命令控制節(jié)點(diǎn)地址查找機(jī)制，攻擊者事先通過免費(fèi)博客發(fā)布以日期MD5值為標(biāo)題、命令控制節(jié)點(diǎn)IP地址為內(nèi)容的博文，感染惡意代碼的主機(jī)以該日期MD5值為關(guān)鍵字訪問搜索引擎并得到搜索記錄集合，對該記錄集合進(jìn)行Top-K排序后，選取排名前K條與含有命令控制節(jié)點(diǎn)IP地址博文相關(guān)的記錄，并從此K條記錄的摘要部分提取命令控制節(jié)點(diǎn)IP地址，。