本發明涉及僵尸網絡控制通道的動態監測方法和系統。用于動態監測僵尸網絡控制通道的方法包括：讀取與待監測的控制端對應的監測信息，將所述監測信息下發到控制通道中的多個測量節點，更新所述多個測量節點的狀態規則文件，并針對每個待監測的控制端，在所述多個測量節點中的每個測量節點處執行單點主動探測；收集所述多個測量節點處的探測結果，判斷控制端的狀態，并輸出活躍的控制端的信息；以及基于流量數據系統和活躍的控制端的信息，獲取控制通道中與活躍的控制端進行交互的抽樣數據，并基于所述抽樣數據，利用生物學統計模型估算與控制端對應的主機數值。

技術領域

本發明涉及通信網絡安全領域，更具體地，本發明涉及用于動態監測僵尸網絡控制通道的方法和系統。

背景技術

當前，基于僵尸網絡的DDoS的互聯網攻擊事件層出不窮。僵尸網絡從PC端快速蔓延到物聯網設備，所引起的DDoS攻擊規模以及攻擊力度不斷刷新歷史記錄。各種針對基礎網絡設施攻擊而導致的大面積斷網事件以及針對企業和機構的攻擊勒索事件不斷發生，成為當今互聯網最為嚴峻的安全威脅之一。

切實有效地掌握骨干網中的主流僵尸網絡的動態，不僅能更敏銳地感知DDoS攻擊事件，還為僵尸網絡的處置提供基礎。

因此，設計一種針對僵尸網絡的多點多任務并發監測方案成為本領域亟待解決的技術問題。

發明內容

現有方法大都是利用協議探測這種主動測量手段，對僵尸網絡的控制端進行識別探活。協議探測是一種常見的主動測量手段，即：依據探測對象的通信協議，構造發送數據包，并對接收到的數據進行解析和特征匹配。然而，這些方法缺少對控制端的動態監測和深入分析，也并未對僵尸網絡主機規模進行進一步的測量評估。

本發明的目的是針對現在技術中的不足，提出一種針對僵尸網絡的監測方案，該方法利用樣本逆向工程和協議探測技術，實施與僵尸網絡的控制端深度交互，判定并記錄控制端的狀態；并且利用生物統計模型(諸如Chapman模型)和控制通道內的抽樣統計數據，評估僵尸網絡的受控主機規模。

在下文中給出了關于本發明的簡要概述，以便提供關于本發明的一些方面的基本理解。但是，應當理解，這個概述并不是關于本發明的窮舉性概述。它并不是意圖用來確定本發明的關鍵性部分或重要部分，也不是意圖用來限定本發明的范圍。其目的僅僅是以簡化的形式給出關于本發明的某些概念，以此作為稍后給出的更詳細描述的前序。

本發明的一個方面涉及一種用于動態監測僵尸網絡控制通道的方法，包括：讀取與待監測的控制端對應的監測信息，將所述監測信息下發到控制通道中的多個測量節點，更新所述多個測量節點的狀態規則文件，并針對每個待監測的控制端，在所述多個測量節點中的每個測量節點處執行單點主動探測；收集所述多個測量節點處的探測結果，判斷控制端的狀態，并輸出活躍的控制端的信息；以及基于流量數據系統和活躍的控制端的信息，獲取控制通道中與活躍的控制端進行交互的抽樣數據，并基于所述抽樣數據，利用生物學統計模型估算與控制端對應的主機數值。

本發明的一個方面涉及一種用于動態監測僵尸網絡控制通道的系統，包括：探測系統，被配置為讀取與待監測的控制端對應的監測信息，將所述監測信息下發到控制通道中的多個測量節點，更新所述多個測量節點的狀態規則文件，并針對每個待監測的控制端，在所述多個測量節點中的每個測量節點處執行單點主動探測；判斷系統，被配置為收集并分析所述多個測量節點的探測結果，判斷控制端的狀態，并輸出活躍的控制端的信息；以及評估系統，被配置為基于流量數據系統和活躍的控制端的信息，獲取控制通道中與控制端進行交互的抽樣數據，并基于所述抽樣數據，利用生物學統計模型估算與控制端對應的主機數值。

本發明的一個方面涉及一種用于動態監測僵尸網絡控制通道的裝置，包括：存儲器；以及處理器，所述處理器耦合到所述存儲器，并且被配置為執行上述用于動態監測僵尸網絡控制通道的方法。