本发明专利技术公开一种检测僵木蠕网络的方法及系统,涉及互联网安全领域,其中,该方法包括:报文检测设备获取网络指定区域的僵木蠕样本报文中的控制端信息;将僵木蠕样本报文中的控制端信息发送给流检测设备;流检测设备根据僵木蠕样本报文中的控制端信息对网络中的流量进行采样,以获取相应的僵木蠕被控制端地址信息;流检测设备将获取的僵木蠕被控制端地址信息发送给僵木蠕检测平台,以便僵木蠕检测平台构建僵木蠕网络拓扑结构。本发明专利技术的方法及系统,基于深度报文检测和深度流检测两种类型的分布式测量结点实现对僵木蠕网络更广泛的追踪,采用抽样报文方法以减少流量,实现对高速链路的网络流量进行测量,对僵木蠕网络的拓扑结构进行较为准确的推断。
【技术实现步骤摘要】
检测僵木蠕网络的方法以及系统
本专利技术涉及互联网安全
,尤其涉及一种检测僵木蠕网络的方法以及系统。
技术介绍
僵木蠕网络是指攻击者利用互联网用户的计算机秘密建立的可以远程统一控制的僵尸网络(Botnet)计算机群,目前僵木蠕网络主要采用木马控制,通过蠕虫、恶意网站来传播。木马是基于远程控制的黑客工具,其实质是一种“客户/服务”型的网络程序,木马程序表面上看上去具有某种很有用的功能,实际上隐藏着可以控制整个计算机系统,打开后门,危害系统安全的功能;蠕虫是一种病毒,通过网络传播感染存在漏洞的主机,自动复制,通常无需人们交互,蠕虫产生的流量占据了运营商大量有效带宽。僵木蠕网络往往被黑客用来发起大规模的网络攻击,如分布式拒绝服务攻击(DDoS)、海量垃圾邮件等,同时黑客控制的这些计算机所保存的信息,譬如银行帐户的密码与社会安全号码等也都可被黑客随意“取用”。因此,不论是对网络安全运行还是用户数据安全的保护来说,僵木蠕网络都是极具威胁的隐患。发现一个僵木蠕网络是非常困难的,因为黑客通常远程、隐蔽地控制分散在网络上的“僵尸主机”,这些主机的用户往往并不知情。因此,僵木蠕网络的威胁也成为目前一个国际上十分关注的问题,检测僵木蠕网络已成为新一代互联网安全发展的迫切需求。因此,有必要提出一种检测僵木蠕网络的方法以解决现有技术中存在的上述技术问题。
技术实现思路
本公开要解决的一个技术问题是如何提供一种更准确和高效的检测僵木蠕网络的方法以及系统,可以实现对高速链路的网络流量进行测量,并对僵木蠕网络的拓扑结构进行较为准确的推断。本公开提供一种检测僵木蠕网络的方法,包括:报文检测设备获取网络指定区域的僵木蠕样本报文中的控制端信息;将所述僵木蠕样本报文中的控制端信息发送给流检测设备;流检测设备根据所述僵木蠕样本报文中的控制端信息,对网络中的流量进行采样,以获取相应的僵木蠕被控制端地址信息;流检测设备将获取的僵木蠕被控制端地址信息发送给僵木蠕检测平台,以便僵木蠕检测平台构建僵木蠕网络拓扑结构。进一步地,僵木蠕样本报文中的控制端信息包括命令与控制IP及控制端口、蠕虫源IP及传播端口、恶意网站IP及访问端口信息。进一步地,报文检测设备获取网络指定区域的僵木蠕样本报文中的控制端信息的步骤包括:判断获取的样本报文中的控制端信息是否位于事先设定的黑名单中;若获取的样本报文中的控制端信息包括在事先设定的黑名单中,则确定所述控制端信息是的僵木蠕网络控制端信息。进一步地,若获取的样本报文中的控制端信息未包括在事先设定的黑名单中,则进一步判断是否在白名单中;若在白名单中,则确定不是僵木蠕网络控制端信息;若不在白名单中,则将所述控制端信息放入灰名单,并向用户告警。进一步地,在告警后,若接收用户的用于确定所述控制端信息是僵木蠕网络控制端信息的确认不合法消息,则将所述控制端信息添加到黑名单中;若接收到用户的用于确认所述控制端信息不是僵木蠕网络控制端信息的确认合法信息,则将所述控制端信息添加到白名单中。进一步地,所述流检测设备将获取的僵木蠕被控制端地址信息发送给僵木蠕检测平台,以便僵木蠕检测平台构建僵木蠕网络拓扑结构之后,还包括:在建立拓扑结构之后,统计所述僵木蠕的控制规模,所述控制规模包括所述僵木蠕对僵尸主机的控制程度以及所述僵木蠕的传播程度。本专利技术还提供一种检测僵木蠕网络的系统,包括报文检测设备、流检测设备以及僵木蠕检测平台,其中,报文检测设备用于获取网络指定区域的僵木蠕样本报文中的控制端信息;将所述僵木蠕样本报文中的控制端信息发送给流检测设备;流检测设备用于根据所述僵木蠕样本报文中的控制端信息,对网络中的流量进行采样,以获取相应的僵木蠕被控制端地址信息;将获取的僵木蠕被控制端地址信息发送给僵木蠕检测平台;僵木蠕检测平台用于构建僵木蠕网络拓扑结构。进一步地,僵木蠕样本报文中的控制端信息包括命令与控制IP及控制端口、蠕虫源IP及传播端口、恶意网站IP及访问端口信息。进一步地,报文检测设备还用于判断获取的样本报文中的控制端信息是否位于事先设定的黑名单中;若获取的样本报文中的控制端信息包括在事先设定的黑名单中,则确定所述控制端信息是的僵木蠕网络控制端信息。进一步地,报文检测设备用于若获取的样本报文中的控制端信息未包括在事先设定的黑名单中,则进一步判断是否在白名单中,若在白名单中,则确定不是僵木蠕网络控制端信息;若不在白名单中,则将所述控制端信息放入灰名单,并向用户告警。进一步地,报文检测设备用于在告警后,若接收用户的用于确定所述控制端信息是僵木蠕网络控制端信息的确认不合法消息,则将所述控制端信息添加到黑名单中;若接收到用户的用于确认所述控制端信息不是僵木蠕网络控制端信息的确认合法信息,则将所述控制端信息添加到白名单中。进一步地,僵木蠕检测平台用于在建立拓扑结构之后,统计所述僵木蠕的控制规模,所述控制规模包括所述僵木蠕对僵尸主机的控制程度以及所述僵木蠕的传播程度。本公开提供的检测僵木蠕网络的方法以及系统,采用抽样多数据源的方法,基于DPI深度报文检测和DFI深度流检测两种类型的分布式测量结点实现对僵木蠕网络更广泛的追踪,同时采用抽样报文方法以减少流量,可以实现对高速链路的网络流量进行测量,并对僵木蠕网络的拓扑结构进行较为准确的推断。附图说明图1示出本专利技术一个实施例的检测僵木蠕网络的方法的流程图。图2示出本专利技术一个实施例的检测僵木蠕网络的方法示意图。图3示出本专利技术一个实施例的一种检测僵木蠕网络的系统示意图。具体实施方式下面参照附图对本专利技术进行更全面的描述,其中说明本专利技术的示例性实施例。图1示出本专利技术一个实施例的检测僵木蠕网络的方法的流程图。如图1所示,该方法主要包括:步骤100,报文检测设备获取网络指定区域的僵木蠕样本报文中的控制端信息。步骤102,将所述僵木蠕样本报文中的控制端信息发送给流检测设备。步骤104,流检测设备根据所述僵木蠕样本报文中的控制端信息,对网络中的流量进行采样,以获取相应的僵木蠕被控制端地址信息。步骤106,流检测设备将获取的僵木蠕被控制端地址信息发送给僵木蠕检测平台,以便僵木蠕检测平台构建僵木蠕网络拓扑结构。在一个实施例中,僵木蠕样本报文中的控制端信息包括C&C(commandandcontrol,命令与控制)IP/控制端口、蠕虫源IP/传播端口和恶意网站IP/访问端口信息。在一个实施例中,报文检测设备获取网络指定区域的僵木蠕样本报文中的控制端信息的步骤包括:判断获取的样本报文中的控制端信息是否位于事先设定的黑名单中;若获取的样本报文中的控制端信息包括在事先设定的黑名单中,则确定所述控制端信息是的僵木蠕网络控制端信息。在一个实施例中,若获取的样本报文中的控制端信息未包括在事先设定的黑名单中,则进一步判断是否在白名单中,若在白名单中,则确定不是僵木蠕网络控制端信息;若不在白名单中,则将所述控制端信息放入灰名单,并向用户告警。在一个实施例中,在告警后,若接收用户的用于确定所述控制端信息是僵木蠕网络控制端信息的确认不合法消息,则将所述控制端信息添加到黑名单中;若接收到用户的用于确认所述控制端信息不是僵木蠕网络控制端信息的确认合法信息,则将所述控制端信息添加到白名单中。在一个实施例中,所述流检测设备将获取的本文档来自技高网...
【技术保护点】
一种检测僵木蠕网络的方法,其特征在于,包括:报文检测设备获取网络指定区域的僵木蠕样本报文中的控制端信息;将所述僵木蠕样本报文中的控制端信息发送给流检测设备;流检测设备根据所述僵木蠕样本报文中的控制端信息,对网络中的流量进行采样,以获取相应的僵木蠕被控制端地址信息;流检测设备将获取的僵木蠕被控制端地址信息发送给僵木蠕检测平台,以便僵木蠕检测平台构建僵木蠕网络拓扑结构。
【技术特征摘要】
1.一种检测僵木蠕网络的方法,其特征在于,包括:报文检测设备获取网络指定区域的僵木蠕样本报文中的控制端信息;将所述僵木蠕样本报文中的控制端信息发送给流检测设备;流检测设备根据所述僵木蠕样本报文中的控制端信息,对网络中的流量进行采样,以获取相应的僵木蠕被控制端地址信息;流检测设备将获取的僵木蠕被控制端地址信息发送给僵木蠕检测平台,以便僵木蠕检测平台构建僵木蠕网络拓扑结构。2.根据权利要求1所述的方法,其特征在于,僵木蠕样本报文中的控制端信息包括命令与控制IP及控制端口、蠕虫源IP及传播端口、恶意网站IP及访问端口信息。3.根据权利要求1所述的方法,其特征在于,报文检测设备获取网络指定区域的僵木蠕样本报文中的控制端信息的步骤包括:判断获取的样本报文中的控制端信息是否位于事先设定的黑名单中;若获取的样本报文中的控制端信息包括在事先设定的黑名单中,则确定所述控制端信息是的僵木蠕网络控制端信息。4.根据权利要求3所述的方法,其特征在于,若获取的样本报文中的控制端信息未包括在事先设定的黑名单中,则进一步判断是否在白名单中;若在白名单中,则确定不是僵木蠕网络控制端信息;若不在白名单中,则将所述控制端信息放入灰名单,并向用户告警。5.根据权利要求4所述的方法,其特征在于,在告警后,若接收用户的用于确定所述控制端信息是僵木蠕网络控制端信息的确认不合法消息,则将所述控制端信息添加到黑名单中;若接收到用户的用于确认所述控制端信息不是僵木蠕网络控制端信息的确认合法信息,则将所述控制端信息添加到白名单中。6.根据权利要求1所述的方法,其特征在于,所述流检测设备将获取的僵木蠕被控制端地址信息发送给僵木蠕检测平台,以便僵木蠕检测平台构建僵木蠕网络拓扑结构之后,还包括:在建立僵木蠕网络拓扑结构之后,统计所述僵木蠕的控制规模,所述控制规模包括所述僵木蠕对僵尸主机的...
【专利技术属性】
技术研发人员:罗志强,史国水,沈军,金华敏,
申请(专利权)人:中国电信股份有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。