本發明公開了一種基于云服務的實時僵尸網絡檢測方法，包括數據采集、數據分析判別、制作僵尸網絡肉機IP地址黑名單和向硬件防火墻和數據采集系統分發黑名單等步驟。本發明相比現有技術具有以下優點：利用ElasticSearch云遠遠超出單個服務器的計算和存儲能力處理海量采樣數據，利用僵尸網絡短時間、大流量的攻擊特點，使用DBSCAN聚類算法，找出目標數據類別，提取IP地址，能夠快速篩查出僵尸網絡肉機的IP地址，使用Simhash和DJBhash對樣本字段信息進行加工，獲得可用數據用于標記樣本數據庫，幫助簡化計算流程，識別效率大大提升。

技術領域

本發明涉及網絡安全技術領域，尤其涉及的是一種基于云服務的實時僵尸網絡檢測方法。

背景技術

僵尸網絡是指采用一種或多種傳播手段，將大量主機感僵尸程序病毒，從而在控制者和被感染主機之間所形成的一個可一對多控制的網絡。攻擊者通過各種途徑傳播僵尸程序感染互聯網上的大量主機，而被感染的主機將通過一個控制信道接收攻擊者的指令，組成一個僵尸網絡。之所以用僵尸網絡這個名字，是為了更形象地讓人們認識到這類危害的特點：眾多的計算機在不知不覺中如同僵尸群一樣被人驅趕和指揮著，成為被人利用的一種工具。

根據《今日美國》報紙2008年的一篇報告稱，平均每天連接到互聯網的8億臺電腦中有40％的電腦是用來發送垃圾郵件、病毒和竊取敏感個人數據的僵尸電腦。如何快速和大批量的檢測僵尸網絡并進行攔截已經成為互聯網行業亟待解決的重要課題。

發明內容

本發明的目的在于克服現有技術的不足，提供了一種基于云服務的實時僵尸網絡檢測方法。

本發明是通過以下技術方案實現的：一種基于云服務的實時僵尸網絡檢測方法，其特征在于步驟如下：

步驟一、數據采集，通過數據采集系統采集硬件防火墻受到的攻擊行為的原始數據，并上傳至ElasticSearch云系統儲存；

步驟二、數據分析，利用ElasticSearch云系統，使用DBSCAN算法對步驟一中上傳至ElasticSearch云系統的數據進行處理，將處理結果中數據類別最多的一類數據定義為僵尸網絡類別，僵尸網絡類別的聚類數據稱為模板數據，比對模板數據和原始數據，獲得僵尸網絡類別的源IP數組；

步驟三、提取僵尸網絡類別的源IP數組中僵尸網絡肉機的IP地址，制作黑名單儲存于ElasticSearch云系統中；

步驟四、將ElasticSearch云系統中儲存的黑名單分發到硬件防火墻和數據采集系統。

作為對上述方案的進一步改進，所述步驟一中，通過數據采集系統采集硬件防火墻受到的攻擊行為的原始數據的過程中，基于時間序列進行抽樣，形成采樣樣本，采樣樣本中每個樣本的字段信息包括源IP地址，源PORT，目的IP地址，目的PORT，協議類型、采樣時間、數據大小和數據包內容信息，其中除數據包內容信息外其他參數均為數值型，數據包內容信息為字符型數據；

對數據包內容信息進行DJBhash計算，得到DJBhash值；

對采樣樣本的每個樣本的各個字段信息進行Simhash計算，得到內容Simhash值，記錄Simhash值的二進制數字段為該樣本的數據庫ID，Simhash值中1出現的個數為該樣本的類別標志；

將DJBhash值、Simhash值和樣本的所有字段信息作為原始數據上傳至ElasticSearch云系統。

作為對上述方案的進一步改進，所述步驟三中，提取類別標識數字出現次數最多的三類樣本的源IP地址，去重后制作成黑名單儲存在ElasticSearch云系統中。