本申請實施例提供的僵尸網絡識別方法及裝置中，服務器從活躍傳感器接收發送第一消息請求的主機的主機信息，其中該主機將第一消息發送給多個活躍傳感器。服務器接收多個活躍傳感器的數量，將其作為第一數量，其中該多個活躍傳感器為接收到第一消息請求的活躍傳感器。服務器從沉默傳感器接收發送第一消息請求的主機的主機信息，其中該主機將第一消息請求發送給多個沉默傳感器。服務器接收多個沉默傳感器的數量，將其作為第二數量，其中該多個沉默傳感器為接收到第一消息請求的沉默傳感器。服務器判斷第一數量與第二數量之和是否超過第一預設閾值并且判斷第一數量與兩數量之和的比值是否超過第二預設閾值，是的話，給相應的主機記錄第一分值。

技術領域

本申請涉及互聯網領域，具體而言，涉及一種僵尸網絡識別方法及裝置。

背景技術

僵尸網絡中每個感染了惡意軟件(malware)的宿主主機跟遠程命令和控制服務器進行通訊，以便遠程命令和控制服務器指揮宿主主機對目標實施攻擊行為，比如Ddos攻擊。僵尸網絡是常見的危害性高且識別難度高的安全隱患。

現在常見的識別技術主要在于遠程命令和控制服務器的識別，因為攻擊的特點，僵尸網絡大多需要一個遠程命令和控制服務器進行通信。為了避免IP和固定域名被分析識別，遠程命令和控制服務器的域名采用域名生成算法生成。域名生成算法所生成的域名有一些常見的特征，比如域名的字符一般是隨機生成，而不像人為設置的域名常常是有含義的英文單詞或拼音。因此，現有的僵尸網絡識別算法常常根據這些常見的特征判斷與主機通信的服務器是否為遠程命令和控制服務器，進而判斷主機是否被惡意軟件感染。常見的僵尸網絡識別算法是在感染已經成功后進行識別的。

發明內容

有鑒于此，本申請實施例提供了一種僵尸網絡識別方法及裝置，通過對主機行為的識別盡可能地在初期對僵尸網絡進行識別，減少損失的發生。

為實現上述目的，本申請實施例提供了一種僵尸網絡識別方法，所述方法包括：服務器從活躍傳感器接收發送第一消息請求的主機的主機信息；其中，所述主機將第一消息請求發送給多個活躍傳感器；服務器接收多個活躍傳感器的數量，將其作為第一數量，其中該多個活躍傳感器為接收到第一消息請求的活躍傳感器；服務器從沉默傳感器接收所述發送第一消息請求的主機的主機信息；其中，所述主機將所述第一消息請求發送給多個沉默傳感器；服務器接收多個沉默傳感器的數量，將其作為第二數量，其中該多個沉默傳感器為接收到第一消息請求的沉默傳感器；所述服務器判斷所述第一數量與第二數量之和是否超過第一預設閾值；且第一數量與所述第一數量與第二數量之和的比值是否超過第二預設閾值；若是，則給所述主機記錄第一分值。

本申請實施例還提供了一種僵尸網絡識別裝置，所述裝置包括：活躍傳感器接收模塊，用于從活躍傳感器接收發送第一消息請求的主機的主機信息；其中，所述主機將第一消息請求發送給多個活躍傳感器；第一數量接收模塊，用于接收接收到第一消息請求的多個活躍傳感器的數量，將其作為第一數量；沉默傳感器接收模塊，用于從沉默傳感器接收所述發送第一消息請求的主機的主機信息；其中，所述主機將所述第一消息請求發送給多個沉默傳感器；第二數量接收模塊，用于接收接收到第一消息請求的多個沉默傳感器的數量，將其作為第二數量；判斷模塊，用于判斷所述第一數量與第二數量之和是否超過第一預設閾值；且第一數量與所述第一數量與第二數量之和的比值是否超過第二預設閾值；第一分值記錄模塊，用于給所述主機記錄第一分值。

本申請實施例提供的僵尸網絡識別方法及裝置的有益效果為：