本發(fā)明提供一種CC信道判別方法及系統(tǒng)，包括：獲取待識(shí)別流量；基于行為刻畫對(duì)所述待識(shí)別流量進(jìn)行分類，得到具有預(yù)設(shè)種類個(gè)數(shù)和預(yù)設(shè)行為特征個(gè)數(shù)的若干個(gè)原始特征；對(duì)所述若干個(gè)原始特征進(jìn)行特征選擇，得到待判斷行為特征；基于預(yù)設(shè)機(jī)器學(xué)習(xí)算法識(shí)別所述待判斷行為特征，得到時(shí)間槽信道類型推斷結(jié)果；根據(jù)預(yù)設(shè)CC信道特征對(duì)所述時(shí)間槽信道類型推斷結(jié)果進(jìn)行綜合判定，得到CC信道架構(gòu)類型判定結(jié)果。本發(fā)明通過監(jiān)控單一主機(jī)網(wǎng)絡(luò)流量，提出的行為特征、時(shí)間槽劃分、推理和綜合判斷的機(jī)制適用于具備復(fù)雜網(wǎng)絡(luò)行為的惡意程序，且運(yùn)用特征選擇方法在確保判別正確性的前提下有效提升了信道架構(gòu)類型分析的速度。

技術(shù)領(lǐng)域

本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，尤其涉及一種CC信道判別方法及系統(tǒng)。

背景技術(shù)

CC信道(CommandControl Channel:CC Channel)是僵尸網(wǎng)絡(luò)程序，以及木馬等先進(jìn)網(wǎng)絡(luò)惡意程序的一種必不可少的功能組件。CC信道負(fù)責(zé)在惡意程序以及控制服務(wù)器/攻擊者間不斷傳輸最新的操作與攻擊命令、被感染主機(jī)與設(shè)備狀態(tài)、命令執(zhí)行結(jié)果等重要信息，以使攻擊者充分掌握當(dāng)前攻擊態(tài)勢(shì)、支撐后續(xù)攻擊決策、實(shí)現(xiàn)組合攻擊。簡而言之，CC信道所承擔(dān)的功能尤為重要、且不可或缺。因此，在檢測到CC信道存在后，對(duì)其本身相關(guān)特性進(jìn)行準(zhǔn)確和深入分析，對(duì)于消除當(dāng)前惡意程序威脅、提取其關(guān)鍵特征用于未來防范工作、追溯和定位控制服務(wù)器乃至攻擊者本身等，意義十分重大。

傳統(tǒng)的CC信道大多采用了客戶端-服務(wù)器(Client-Server，CS)的信道架構(gòu)，即惡意程序僅與單一或少量數(shù)個(gè)較為固定的控制服務(wù)器構(gòu)建CC信道，此類信道構(gòu)建簡單，易于部署。然而，此種CC信道也容易被傳統(tǒng)的網(wǎng)絡(luò)防御措施封鎖，如黑名單、防火墻、入侵防御系統(tǒng)等。因此，一些新式的惡意程序采用了基于端點(diǎn)-端點(diǎn)(Peer-Peer，P2P)的新式信道架構(gòu)，即惡意程序不再與固定的控制服務(wù)器，而是和動(dòng)態(tài)知曉地址的其他惡意程序端點(diǎn)建立CC信道。因此，其可突破傳統(tǒng)的網(wǎng)絡(luò)防御措施封鎖。針對(duì)此種新式CC信道，一些研究者和機(jī)構(gòu)也提出了更具針對(duì)性的防御與威脅消除方法，如通過合法內(nèi)容和僵尸網(wǎng)絡(luò)密鑰生成虛假的僵尸網(wǎng)絡(luò)命令來癱瘓P2P僵尸網(wǎng)絡(luò)。此外，針對(duì)P2P網(wǎng)絡(luò)的一系列封鎖措施也可用于應(yīng)對(duì)此類新式CC信道。然而，此類新式防御措施不僅部署和運(yùn)行開銷較大，亦容易干擾正常P2P類網(wǎng)絡(luò)通信和應(yīng)用程序，故不適用于常態(tài)化的部署和用于應(yīng)對(duì)任意架構(gòu)類型的CC。因此，應(yīng)當(dāng)在檢測到CC信道存在后，準(zhǔn)確且快速地判別其信道架構(gòu)類型，進(jìn)而做出正確的防御決策。

為判別CC信道架構(gòu)類型，當(dāng)前已存在的方法按監(jiān)視和分析的對(duì)象可大致劃分為基于群體、以及基于單一主機(jī)這兩種。基于群體的分析判別方法需要同時(shí)監(jiān)控一定數(shù)量的受感染主機(jī)/網(wǎng)絡(luò)惡意程序節(jié)點(diǎn)、乃至整個(gè)受監(jiān)控網(wǎng)絡(luò)，并通過分析不同節(jié)點(diǎn)間的交互關(guān)系及群體特征來做出判斷。例如，通過兩兩節(jié)點(diǎn)間的交互接觸關(guān)系來做出判斷，有提出的BotGrep方法則依賴于結(jié)構(gòu)化P2P僵尸網(wǎng)絡(luò)CC通信圖的快速混合特性，并利用了通信流量中的空間關(guān)系，還有則是從P2P僵尸網(wǎng)絡(luò)流量中提取統(tǒng)計(jì)指紋并用于后續(xù)判別。基于單一主機(jī)的分析判別方法只需分析與單一受監(jiān)控和分析主機(jī)/網(wǎng)絡(luò)端點(diǎn)相關(guān)的流量數(shù)據(jù)即可做出判斷，如PeerRush方法提取了與單一主機(jī)相關(guān)的多項(xiàng)統(tǒng)計(jì)特征，并通過一個(gè)二分類器來決定其流量是否由P2P網(wǎng)絡(luò)程序所產(chǎn)生，進(jìn)而通過一系列單分類器來決定其是否由P2P僵尸網(wǎng)絡(luò)產(chǎn)生、即是否存在P2P類型的CC流量，還有提出的BotSuer方法對(duì)非P2P流量進(jìn)行過濾、聚集P2P流并從類簇中提取統(tǒng)計(jì)指紋用于后續(xù)的判別過程中。

然而，上述主要的CC信道架構(gòu)類型判別方法均存在著一些局限性。基于群體分析的判別方法由于需要同時(shí)監(jiān)視一定數(shù)量的受感染主機(jī)/網(wǎng)絡(luò)惡意程序節(jié)點(diǎn)、乃至整個(gè)受監(jiān)控網(wǎng)絡(luò)，其部署和使用條件較高，不僅實(shí)用性欠佳，也無法用于分析保護(hù)網(wǎng)絡(luò)場景中，僅存在少量乃至單一受感染主機(jī)的情形。基于單一主機(jī)的分析判別方法，盡管不存在上述局限，但很多只能給出諸如某類惡意程序/僵尸網(wǎng)絡(luò)的惡意標(biāo)簽判定，無法做到對(duì)P2P和CS類型CC信道的區(qū)分。部分方法雖然可判別P2P和CS類型CC信道，但判別模型訓(xùn)練和分析過程耗時(shí)過長，不僅不利于為不斷適應(yīng)最新威脅而定期重訓(xùn)練判別模型，也對(duì)實(shí)時(shí)的CC信道判別和后續(xù)的防御措施的及時(shí)部署與展開產(chǎn)生負(fù)面影響。

發(fā)明內(nèi)容