本發明公開了一種基于樹莓派設計的基于樹莓派設計的家用路由器的僵尸網絡分析方法，包括以下步驟：A.利用python中的pyshark庫進行網絡端口監聽來提取網絡流量信息，并將提取的信息進行數據保存；B.根據步驟A中獲取的數據進行計算獲取流量特征；C.將步驟B計算出的流量特征的值通過權重進行累加，得到威脅值，D.對威脅值進行匹配檢測，從而判定該網絡流量是否為僵尸網絡流量。本發明的方法采用對路由器的網絡流量進行提取計算，再對計算后的結果對比分析的方法，解決現有小型家用路由器對于檢測和處理僵尸網絡的準確性不足的問題。

技術領域

本發明涉及物聯網技術領域，特別涉及一種基于樹莓派設計的家用路由器的僵尸網絡分析方法。

背景技術

隨著社會信息化和互聯網的不斷發展，各種物聯網設備也深入人們的生活。這些物聯網設備在帶給人們生活方便的同時，也成為不法分子攻擊的目標和利用的工具。

“僵尸網絡”是一種危害及其嚴重的互聯網惡意攻擊模式，僵尸網絡利用漏洞攻擊目標系統，然后操控指令下載木馬病毒隱匿在物聯網設備中，使其成為被操控的“傀儡”。僵尸網絡的危害包括但不限于：利用大量僵尸客戶端發動DDos攻擊、感染其他系統成為新的僵尸客戶端、發送垃圾郵件和網絡釣魚、信息盜取。可見僵尸網絡是具有傳播性且高度可控的高危信息安全威脅方式。

僵尸網絡的工作流程始于發現和利用漏洞：或通過社工手段，或通過系統漏洞，或通過殘留木馬后門，或通過密碼猜解/破解。而在與CC(命令與控制)通信告知新的客戶端上線時，如今的僵尸網絡已出現各種加密通信信道，以避免IDS、防火墻或其他方式的網絡偵聽，與CC通信的目的在于更新可能存在的客戶端模塊、CC端的客戶端名稱列表、IP地址或信道名稱，正如木馬攻擊時服務器端上線時通知客戶端一般。CC是僵尸客戶端與僵尸牧人的通信中轉：僵尸牧人對CC發送指令，CC對僵尸客戶端發送指令。

目前，對于企業或機構來說，檢測僵尸網絡是否已感染內網系統可以通過網絡和系統兩個層面進行檢測，網絡層面包括流量檢測、防火墻/NIDS、日志分析，系統層面包括搭建蜜罐和日志分析。但是對于家庭網絡來說，目前市面上還沒有專門用來檢測僵尸網絡的小型家用路由器。因此，家用物聯網設備難以得到保護。如何制作一款小型家用路由器，并通過檢測手段。對僵尸網絡進行阻斷和隔離以打擊僵尸網絡犯罪的同時，對僵尸網絡流量日志進行采集，進行其行為研究顯得非常必要。

僵尸網絡與其他病毒唯一的區別在于僵尸網絡擁有統一的高度可控的系統，僵尸客戶端的分布不局限于某個國家或地區且僵尸網絡的流量和正常的流量幾乎沒有任何區別。因此不能依靠單個流量來判斷是否為僵尸網絡流量，需要大量的數據作對比分析以及精準地計算方式。精確的判斷僵尸網絡的存在具有很大的難度。

發明內容

本發明的目的是克服上述背景技術中不足，提供一種基于樹莓派設計的家用路由器的僵尸網絡分析方法，采用對路由器的網絡流量進行提取計算，再對計算后的結果對比分析的方法，解決現有小型家用路由器對于檢測和處理僵尸網絡的準確性不足的問題。

為了達到上述的技術效果，本發明采取以下技術方案：

一種基于樹莓派設計的基于樹莓派設計的家用路由器的僵尸網絡分析方法，包括以下步驟：

A.利用python中的pyshark庫進行網絡端口監聽來提取網絡流量信息，并將提取的信息進行數據保存；

B.根據步驟A中獲取的數據進行計算獲取流量特征；

C.將步驟B計算出的流量特征的值通過權重進行累加，得到威脅值，其中，各特征值的具體權重的設計可由用戶根據實際情況自行設定；

D.對威脅值進行匹配檢測，從而判定該網絡流量是否為僵尸網絡流量。

進一步地，所述步驟A中具體是將提取的信息以[key:value]值對的形式保存為json格式的數據。