本發明提供一種發現僵尸網絡及防護的方法和系統，用以解決現有技術中發現僵尸網絡的難度高、效率低，不能有效防止僵尸網絡發起攻擊的技術問題。其中，流量清洗設備將確定出的至少一個可疑IP地址發送至云服務器，云服務器將至少一個可疑IP地址發送至DNS分析設備，DNS分析設備基于至少一個可疑IP地址的DNS查詢記錄，確定是否存在僵尸網絡，在DNS分析設備確定出存在的僵尸網絡后，DNS分析設備可以阻斷已確定的僵尸網絡中的通信，云服務器可以更新自身的僵尸IP地址數據庫，流量清洗設備可以根據更新后的僵尸IP地址數據庫進行流量監控、流量清洗。

技術領域

本發明涉及信息安全技術領域，尤其涉及一種發現僵尸網絡及防護的方法和系統。

背景技術

僵尸網絡(Botnet，又稱機器人網絡)，指駭客利用感染僵尸程序(一種計算機病毒)的電腦等設備組織成一個個受控節點，通過控制服務器(Command and ControlServer，又稱CC、C2)對各受控節點操控的計算機網絡。圖1所示為一種僵尸網絡的拓撲結構示意圖。

僵尸網絡中的各個受控節點通過向預定攻擊目標發送偽造數據包或垃圾數據包，使預定攻擊目標癱瘓并拒絕服務(DoS，Denial of Service)。通過僵尸網絡發起的DoS攻擊為分布式拒絕服務(DDoS，Distributed Denial of Service) 攻擊，進行攻擊的各個受控節點均具有真實的源IP地址。

現有技術中，通常由網絡運營商對訪問主要路由節點的大量IP地址進行 DNS流量分析，發現網絡中可能存在的僵尸網絡。然而，由于需要分析的數據量龐大，并且僵尸網絡中受控節點的位置分布毫無規律，導致現有技術中發現僵尸網絡的難度高、效率低，并且，由僵尸網絡發起的DDoS攻擊，也不能有效防護。

發明內容

本發明實施例提供一種發現僵尸網絡及防護的方法和系統，用以解決現有技術中發現僵尸網絡的難度高、效率低，不能有效防止僵尸網絡發起攻擊的技術問題。

第一方面，提供一種發現僵尸網絡的方法，所述方法包括：

流量清洗設備將確定出的至少一個可疑IP地址發送至云服務器；

所述云服務器將所述至少一個可疑IP地址發送至DNS分析設備；

所述DNS分析設備基于所述至少一個可疑IP地址，確定是否存在僵尸網絡。

在一種可能的實現方式中，所述方法還包括：

在確定存在所述僵尸網絡時，所述DNS分析設備獲得所述僵尸網絡包括的至少一個僵尸IP地址，并向所述云服務器發送所述至少一個僵尸IP地址；

所述云服務器根據所述至少一個僵尸IP地址，更新自身用于存儲僵尸IP 地址的僵尸IP地址數據庫。

在一種可能的實現方式中，所述方法還包括：

在確定存在所述僵尸網絡時，所述DNS分析設備獲得所述僵尸網絡包括的至少一個控制服務器域名；

所述DNS分析設備阻斷用于查詢所述至少一個控制服務器域名中任一控制服務器域名的DNS查詢流量。

在一種可能的實現方式中，所述流量清洗設備將確定出的至少一個可疑IP 地址發送至云服務器，包括：

所述流量清洗設備將訪問待保護設備的訪問流量的訪問行為信息，與流量基線進行比較，確定所述訪問流量中存在異常訪問行為的異常流量；

所述流量清洗設備通過所述云服務器，查詢所述云服務器的僵尸IP地址數據庫是否包括所述異常流量的源IP地址；

在為否時，所述流量清洗設備確定所述異常流量為可疑流量，并將所述可疑流量的至少一個源IP地址發送至所述云服務器；