一種僵尸網(wǎng)絡(luò)發(fā)現(xiàn)技術(shù)及裝置的制造方法
【專利說(shuō)明】一種僵尸網(wǎng)絡(luò)發(fā)現(xiàn)技術(shù)及裝置
[0001]
技術(shù)領(lǐng)域
[0002]本發(fā)明涉及一種檢測(cè)網(wǎng)絡(luò)病毒的方法����,具體來(lái)說(shuō),涉及一種僵尸網(wǎng)絡(luò)發(fā)現(xiàn)技術(shù)及
目.ο
[0003]
【背景技術(shù)】
[0004]僵尸網(wǎng)絡(luò)Botnet是指采用一種或多種傳播手段�����,將大量主機(jī)感染bot程序(僵尸程序)病毒�����,從而在控制者和被感染主機(jī)之間所形成的一個(gè)可一對(duì)多控制的網(wǎng)絡(luò)���。攻擊者通過(guò)各種途徑傳播僵尸程序感染互聯(lián)網(wǎng)上的大量主機(jī)�,而被感染的主機(jī)將通過(guò)一個(gè)控制信道接收攻擊者的指令,組成一個(gè)僵尸網(wǎng)絡(luò)��。之所以用僵尸網(wǎng)絡(luò)這個(gè)名字��,是為了更形象地讓人們認(rèn)識(shí)到這類危害的特點(diǎn):眾多的計(jì)算機(jī)在不知不覺中如同中國(guó)古老傳說(shuō)中的僵尸群一樣被人驅(qū)趕和指揮著�,成為被人利用的一種工具,然而目前并沒(méi)有一種技術(shù)可以有效的監(jiān)測(cè)僵尸病毒的入侵��。
[0005]針對(duì)相關(guān)技術(shù)中的問(wèn)題���,目前尚未提出有效的解決方案�����。
[0006]
【發(fā)明內(nèi)容】
[0007]本發(fā)明的目的是提供一種僵尸網(wǎng)絡(luò)發(fā)現(xiàn)技術(shù)及裝置��,以克服目前現(xiàn)有技術(shù)存在的上述不足���。
[0008]本發(fā)明的目的是通過(guò)以下技術(shù)方案來(lái)實(shí)現(xiàn):
一種僵尸網(wǎng)絡(luò)發(fā)現(xiàn)技術(shù),包括如下步驟:
抓取連接端的網(wǎng)絡(luò)流量信息��,并且根據(jù)網(wǎng)絡(luò)流量信息生成網(wǎng)絡(luò)流量圖��;
通過(guò)深度解析協(xié)議解析網(wǎng)絡(luò)流量信息并分析連接端的端口連接行為;
當(dāng)連接端口的訪問(wèn)協(xié)議是非知名協(xié)議���,則對(duì)該端口的IP地址進(jìn)行分析�����;
根據(jù)該連接端IP地址的異常訪問(wèn)確定該網(wǎng)絡(luò)的端口為僵尸網(wǎng)絡(luò)的控制端口�����。
[0009]進(jìn)一步的�����,確定連接端口的訪問(wèn)協(xié)議為非正常網(wǎng)絡(luò)協(xié)議的步驟包括:
將深度解析后的網(wǎng)絡(luò)協(xié)議和預(yù)制數(shù)據(jù)庫(kù)中的網(wǎng)絡(luò)協(xié)議進(jìn)行比較,根據(jù)數(shù)據(jù)庫(kù)中的黑名單標(biāo)記確定該待測(cè)網(wǎng)絡(luò)的協(xié)議為非正常網(wǎng)絡(luò)協(xié)議�。
[0010]進(jìn)一步的���,確定連接端IP地址的異常訪問(wèn)的判斷方法包括如下步驟:
根據(jù)其他網(wǎng)絡(luò)的IP地址對(duì)該連接端IP地址的訪問(wèn)數(shù)量確定該IP地址為異常訪問(wèn)端口 �;當(dāng)出現(xiàn)大量其他網(wǎng)絡(luò)的IP地址對(duì)該連接端的IP地址進(jìn)行訪問(wèn)時(shí),則確定該連接端口為僵尸網(wǎng)絡(luò)的控制端口�����。
[0011]進(jìn)一步的,當(dāng)確定待測(cè)網(wǎng)絡(luò)為僵尸網(wǎng)絡(luò)后��,將該網(wǎng)絡(luò)的網(wǎng)絡(luò)協(xié)議信息添加到預(yù)制數(shù)據(jù)庫(kù)中���,并且將該信息標(biāo)記為黑名單����。
[0012]—種僵尸網(wǎng)絡(luò)的發(fā)現(xiàn)裝置�����,包括流量抓取裝置�����、信息解析裝置���、端口處理裝置以及僵尸網(wǎng)絡(luò)控制端口判斷裝置;其中:
流量抓取裝置:用于抓取連接端的網(wǎng)絡(luò)流量信息��,并且根據(jù)網(wǎng)絡(luò)流量信息生成網(wǎng)絡(luò)流量圖�����;
信息解析裝置:用于通過(guò)深度解析協(xié)議解析網(wǎng)絡(luò)流量信息并分析連接端的端口連接行為��;
端口處理裝置:用于當(dāng)連接端口的訪問(wèn)協(xié)議是非知名協(xié)議��,則對(duì)該端口的IP地址進(jìn)行分析�;
僵尸網(wǎng)絡(luò)控制端口判斷裝置:用于根據(jù)該連接端IP地址的異常訪問(wèn)確定該網(wǎng)絡(luò)的端口為僵尸網(wǎng)絡(luò)的控制端口。
[0013]本發(fā)明的有益效果為:通過(guò)對(duì)惡意程序提取�,進(jìn)而確定網(wǎng)絡(luò)異常協(xié)議,根據(jù)協(xié)議判斷異常IP地址���,并且對(duì)IP的訪問(wèn)量來(lái)確定待測(cè)網(wǎng)絡(luò)的安全性,進(jìn)而使得本發(fā)明具有良好的實(shí)時(shí)監(jiān)測(cè)性���,并且能夠應(yīng)用于多種場(chǎng)合����,保證了對(duì)木馬程序的正確辨識(shí)率�����。
[0014]
【附圖說(shuō)明】
[0015]為了更清楚地說(shuō)明本發(fā)明實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案,下面將對(duì)實(shí)施例中所需要使用的附圖作簡(jiǎn)單地介紹�,顯而易見地���,下面描述中的附圖僅僅是本發(fā)明的一些實(shí)施例����,對(duì)于本領(lǐng)域普通技術(shù)人員來(lái)講����,在不付出創(chuàng)造性勞動(dòng)的前提下��,還可以根據(jù)這些附圖獲得其他的附圖�����。
[0016]圖1是根據(jù)本發(fā)明實(shí)施例的僵尸網(wǎng)絡(luò)發(fā)現(xiàn)技術(shù)判斷流程圖。
[0017]
【具體實(shí)施方式】
[0018]下面將結(jié)合本發(fā)明實(shí)施例中的附圖����,對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚、完整地描述���,顯然�,所描述的實(shí)施例僅僅是本發(fā)明一部分實(shí)施例�����,而不是全部的實(shí)施例��?���;诒景l(fā)明中的實(shí)施例��,本領(lǐng)域普通技術(shù)人員所獲得的所有其他實(shí)施例���,都屬于本發(fā)明保護(hù)的范圍���。
[0019]如圖1所示���,根據(jù)本發(fā)明的實(shí)施例所述的一種僵尸網(wǎng)絡(luò)發(fā)現(xiàn)技術(shù)�,包括如下步驟: 抓取連接端的網(wǎng)絡(luò)流量信息���,并且根據(jù)網(wǎng)絡(luò)流量信息生成網(wǎng)絡(luò)流量圖����;
通過(guò)深度解析協(xié)議解析網(wǎng)絡(luò)流量信息并分析連接端的端口連接行為����;
當(dāng)連接端口的訪問(wèn)協(xié)議是非知名協(xié)議���,則對(duì)該端口的IP地址進(jìn)行分析�����;
根據(jù)該連接端IP地址的異常訪問(wèn)確定該網(wǎng)絡(luò)的端口為僵尸網(wǎng)絡(luò)的控制端口�。
[0020]進(jìn)一步的���,確定連接端口的訪問(wèn)協(xié)議為非正常網(wǎng)絡(luò)協(xié)議的步驟包括:
將深度解析后的網(wǎng)絡(luò)協(xié)議和預(yù)制數(shù)據(jù)庫(kù)中的網(wǎng)絡(luò)協(xié)議進(jìn)行比較��,根據(jù)數(shù)據(jù)庫(kù)中的黑名單標(biāo)記確定該待測(cè)網(wǎng)絡(luò)的協(xié)議為非正常網(wǎng)絡(luò)協(xié)議�����。
[0021 ]進(jìn)一步的����,確定連接端IP地址的異常訪問(wèn)的判斷方法包括如下步驟:
根據(jù)其他網(wǎng)絡(luò)的IP地址對(duì)該連接端IP地址的訪問(wèn)數(shù)量確定該IP地址為異常訪問(wèn)端口 ;當(dāng)出現(xiàn)大量其他網(wǎng)絡(luò)的IP地址對(duì)該連接端的IP地址進(jìn)行訪問(wèn)時(shí)�,則確定該連接端口為僵尸網(wǎng)絡(luò)的控制端口����。
[0022]進(jìn)一步的,當(dāng)確定待測(cè)網(wǎng)絡(luò)為僵尸網(wǎng)絡(luò)后���,將該網(wǎng)絡(luò)的網(wǎng)絡(luò)協(xié)議信息添加到預(yù)制數(shù)據(jù)庫(kù)中����,并且將該信息標(biāo)記為黑名單。
[0023]—種僵尸網(wǎng)絡(luò)的發(fā)現(xiàn)裝置����,包括流量抓取裝置、信息解析裝置、端口處理裝置以及僵尸網(wǎng)絡(luò)控制端口判斷裝置;其中:
流量抓取裝置:用于抓取連接端的網(wǎng)絡(luò)流量信息��,并且根據(jù)網(wǎng)絡(luò)流量信息生成網(wǎng)絡(luò)流量圖����;
信息解析裝置:用于通過(guò)深度解析協(xié)議解析網(wǎng)絡(luò)流量信息并分析連接端的端口連接行為;
端口處理裝置:用于當(dāng)連接端口的訪問(wèn)協(xié)議是非知名協(xié)議,則對(duì)該端口的IP地址進(jìn)行分析�����;
僵尸網(wǎng)絡(luò)控制端口判斷裝置:用于根據(jù)該連接端IP地址的異常訪問(wèn)確定該網(wǎng)絡(luò)的端口為僵尸網(wǎng)絡(luò)的控制端口���。
[0024]綜上所述��,借助于本發(fā)明的上述技術(shù)方案���,通過(guò)對(duì)惡意程序提取,進(jìn)而確定網(wǎng)絡(luò)異常協(xié)議�,根據(jù)協(xié)議判斷異常IP地址,并且對(duì)IP的訪問(wèn)量來(lái)確定待測(cè)網(wǎng)絡(luò)的安全性����,進(jìn)而使得本發(fā)明具有良好的實(shí)時(shí)監(jiān)測(cè)性�,并且能夠應(yīng)用于多種場(chǎng)合�,保證了對(duì)木馬程序的正確辨識(shí)率。
[0025]以上所述僅為本發(fā)明的較佳實(shí)施例而已�,并不用以限制本發(fā)明���,凡在本發(fā)明的精神和原則之內(nèi)����,所作的任何修改、等同替換��、改進(jìn)等��,均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)���。
【主權(quán)項(xiàng)】
1.一種僵尸網(wǎng)絡(luò)發(fā)現(xiàn)技術(shù)��,其特征在于����,包括如下步驟: 抓取連接端的網(wǎng)絡(luò)流量信息,并且根據(jù)網(wǎng)絡(luò)流量信息生成網(wǎng)絡(luò)流量圖; 通過(guò)深度解析協(xié)議解析網(wǎng)絡(luò)流量信息并分析連接端的端口連接行為����; 當(dāng)連接端口的訪問(wèn)協(xié)議是非知名協(xié)議,則對(duì)該端口的IP地址進(jìn)行分析; 根據(jù)該連接端IP地址的異常訪問(wèn)確定該網(wǎng)絡(luò)的端口為僵尸網(wǎng)絡(luò)的控制端口���。2.根據(jù)權(quán)利要求1所述的僵尸網(wǎng)絡(luò)發(fā)現(xiàn)技術(shù)�����,其特征在于���,確定連接端口的訪問(wèn)協(xié)議為非正常網(wǎng)絡(luò)協(xié)議的步驟包括: 將深度解析后的網(wǎng)絡(luò)協(xié)議和預(yù)制數(shù)據(jù)庫(kù)中的網(wǎng)絡(luò)協(xié)議進(jìn)行比較���,根據(jù)數(shù)據(jù)庫(kù)中的黑名單標(biāo)記確定該待測(cè)網(wǎng)絡(luò)的協(xié)議為非正常網(wǎng)絡(luò)協(xié)議。3.根據(jù)權(quán)利要求1所述的僵尸網(wǎng)絡(luò)發(fā)現(xiàn)技術(shù)�,其特征在于,確定連接端IP地址的異常訪問(wèn)的判斷方法包括如下步驟: 根據(jù)其他網(wǎng)絡(luò)的IP地址對(duì)該連接端IP地址的訪問(wèn)數(shù)量確定該IP地址為異常訪問(wèn)端口 ����;當(dāng)出現(xiàn)大量其他網(wǎng)絡(luò)的IP地址對(duì)該連接端的IP地址進(jìn)行訪問(wèn)時(shí),則確定該連接端口為僵尸網(wǎng)絡(luò)的控制端口��。4.根據(jù)權(quán)利要求1到3中任意一項(xiàng)所述的僵尸網(wǎng)絡(luò)發(fā)現(xiàn)技術(shù)����,其特征在于�,當(dāng)確定待測(cè)網(wǎng)絡(luò)為僵尸網(wǎng)絡(luò)后,將該網(wǎng)絡(luò)的網(wǎng)絡(luò)協(xié)議信息添加到預(yù)制數(shù)據(jù)庫(kù)中���,并且將該信息標(biāo)記為黑名單。5.—種僵尸網(wǎng)絡(luò)的發(fā)現(xiàn)裝置�����,其特征在于��,包括流量抓取裝置�、信息解析裝置、端口處理裝置以及僵尸網(wǎng)絡(luò)控制端口判斷裝置;其中: 流量抓取裝置:用于抓取連接端的網(wǎng)絡(luò)流量信息���,并且根據(jù)網(wǎng)絡(luò)流量信息生成網(wǎng)絡(luò)流量圖����; 信息解析裝置:用于通過(guò)深度解析協(xié)議解析網(wǎng)絡(luò)流量信息并分析連接端的端口連接行為; 端口處理裝置:用于當(dāng)連接端口的訪問(wèn)協(xié)議是非知名協(xié)議�,則對(duì)該端口的IP地址進(jìn)行分析��; 僵尸網(wǎng)絡(luò)控制端口判斷裝置:用于根據(jù)該連接端IP地址的異常訪問(wèn)確定該網(wǎng)絡(luò)的端口為僵尸網(wǎng)絡(luò)的控制端口�。
【專利摘要】本發(fā)明公開了一種僵尸網(wǎng)絡(luò)發(fā)現(xiàn)技術(shù),包括如下步驟:抓取連接端的網(wǎng)絡(luò)流量信息����,并且根據(jù)網(wǎng)絡(luò)流量信息生成網(wǎng)絡(luò)流量圖���;通過(guò)深度解析協(xié)議解析網(wǎng)絡(luò)流量信息并分析連接端的端口連接行為�;當(dāng)連接端口的訪問(wèn)協(xié)議是非知名協(xié)議�����,則對(duì)該端口的IP地址進(jìn)行分析���;根據(jù)該連接端IP地址的異常訪問(wèn)確定該網(wǎng)絡(luò)的端口為僵尸網(wǎng)絡(luò)的控制端口���。本發(fā)明的有益效果為:通過(guò)對(duì)惡意程序提取�,進(jìn)而確定網(wǎng)絡(luò)異常協(xié)議�,根據(jù)協(xié)議判斷異常IP地址�,并且對(duì)IP的訪問(wèn)量來(lái)確定待測(cè)網(wǎng)絡(luò)的安全性,進(jìn)而使得本發(fā)明具有良好的實(shí)時(shí)監(jiān)測(cè)性���,并且能夠應(yīng)用于多種場(chǎng)合��,保證了對(duì)木馬程序的正確辨識(shí)率���。
【IPC分類】H04L29/06
【公開號(hào)】CN105491032
【申請(qǐng)?zhí)枴緾N201510856975
【發(fā)明人】?jī)?chǔ)來(lái)斌
【申請(qǐng)人】睿峰網(wǎng)云(北京)科技股份有限公司
【公開日】2016年4月13日
【申請(qǐng)日】2015年11月30日