[發明專利]僵尸網絡識別方法及裝置有效
| 申請號: | 201710823565.3 | 申請日: | 2017-09-13 |
| 公開(公告)號: | CN107360199B | 公開(公告)日: | 2019-11-08 |
| 發明(設計)人: | 陳則潤;范淵 | 申請(專利權)人: | 杭州安恒信息技術股份有限公司 |
| 主分類號: | H04L29/06 | 分類號: | H04L29/06 |
| 代理公司: | 北京超凡宏宇專利代理事務所(特殊普通合伙) 11463 | 代理人: | 徐麗 |
| 地址: | 310051 浙江省*** | 國省代碼: | 浙江;33 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 傳感器 消息請求 主機 服務器接收 僵尸網絡 主機信息 預設 服務器 發送 服務器判斷 主機記錄 消息發 申請 | ||
1.一種僵尸網絡識別方法,其特征在于,所述方法包括:
服務器從活躍傳感器接收發送第一消息請求的主機的主機信息;其中,所述主機將第一消息請求發送給多個活躍傳感器,活躍傳感器為用于檢測主機是否感染惡意軟件而專門布設的傳感器,活躍傳感器在接收到消息請求后,會給發送消息請求的主機發送相應的回執消息;
服務器接收多個活躍傳感器的數量,將其作為第一數量,其中該多個活躍傳感器為接收到第一消息請求的活躍傳感器;
服務器從沉默傳感器接收所述發送第一消息請求的主機的主機信息;其中,所述主機將所述第一消息請求發送給多個沉默傳感器,沉默傳感器為用于檢測主機是否感染惡意軟件而專門布設的傳感器,沉默傳感器在接收到消息請求后,不會發送回執消息給發送消息請求的主機;
服務器接收多個沉默傳感器的數量,將其作為第二數量,其中該多個沉默傳感器為接收到第一消息請求的沉默傳感器;
所述服務器判斷所述第一數量與第二數量之和是否超過第一預設閾值;且
第一數量與所述第一數量與第二數量之和的比值是否超過第二預設閾值;
若是,則給所述主機記錄第一分值。
2.根據權利要求1所述的方法,其特征在于,
獲取主機訪問的目標地址;
將所述目標地址與預先存儲的資料地址進行比較,判斷所述資料地址中是否包括所述目標地址;
若否,給所述主機記錄第二分值。
3.根據權利要求2所述的方法,其特征在于,所述預先存儲的資料地址通過如下方法獲得:
獲取預設時間段內每個主機訪問的目標地址以及訪問每個目標地址的次數;
根據所述訪問每個目標地址的次數與訪問目標地址的次數之和,獲取每個主機訪問目標地址的概率;
將每個主機的地址、每個主機訪問的目標地址、每個主機分別訪問每個目標地址的次數以及每個主機分別訪問每個目標地址的概率進行存儲。
4.根據權利要求3所述的方法,其特征在于,所述方法還包括:
根據所述每個主機分別訪問每個目標地址的概率獲得概率的標準平方差;
若主機訪問目標地址的概率的標準平方差小于預設平方差值,給所述主機記錄第三分值。
5.根據權利要求1所述的方法,其特征在于,所述方法還包括:
選擇多個主機中的一個主機,獲取該主機的第一IP訪問記錄;
分別獲取多個主機中,除了該主機之外的主機的第二IP訪問記錄;
判斷所述第一IP訪問記錄與第二IP訪問記錄的重合的比例是否小于預設比例值;
若是,將所述第二IP訪問記錄與第一IP訪問記錄合并為新的第一IP訪問記錄,記錄該第二IP訪問記錄對應的主機信息,并執行“分別獲取多個主機中,除了該主機之外的主機的第二IP訪問記錄”步驟;
若否,執行“分別獲取多個主機中,除了該主機之外的主機的第二IP訪問記錄”步驟,直至完成多個主機的遍歷。
6.根據權利要求5所述的方法,其特征在于,所述方法還包括:
刪除第一IP訪問記錄對應的主機的主機信息以及記錄的主機信息,執行“選擇多個主機中的一個主機,獲取該主機的第一IP訪問記錄”步驟。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于杭州安恒信息技術股份有限公司,未經杭州安恒信息技術股份有限公司許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201710823565.3/1.html,轉載請聲明來源鉆瓜專利網。
