僵尸主机识别方法及装置制造方法及图纸

本申请提供了一种僵尸主机识别方法及装置，其中一种方法用于服务器识别云计算网络中的僵尸主机，所述方法包括：接收僵尸主机发送的被确定为恶意进程的当前进程的网络连接信息；基于预先建立的中控机网络连接信息白名单库以及所述当前进程的网络连接信息确定出所述当前进程的网络连接信息中的僵尸网络中控机的网络连接信息；其中，所述僵尸网络中控机的网络连接信息包括僵尸网络中控机IP；查找与所述僵尸网络中控机IP关联的网络五元组；将查找出的网络五元组对应的主机作为识别出的云计算网络中的僵尸主机。本申请实现了快速、准确的识别僵尸主机。

【技术实现步骤摘要】
僵尸主机识别方法及装置
本申请涉及互联网
，尤其涉及一种僵尸主机识别方法及装置。
技术介绍
僵尸主机是指感染僵尸程序病毒，从而被黑客程序控制的计算机设备。该计算机设备可以是终端设备，也可以是云端设备，为描述方便，本申请以下实施例将待识别计算机设备称为待识别主机。在主机感染僵尸程序病毒后，该主机将存在一定的安全隐患，其可将僵尸程序病毒恶意传播给其他主机，且该主机中保存的譬如银行帐号及密码等都可被黑客随意“取用”。可见，不论是对网络安全运行还是用户数据安全的保护来说，僵尸程序病毒都是极具威胁的隐患。因此，及时识别僵尸主机从而控制僵尸程序病毒的恶意传播，可有效降低僵尸程序病毒对主机及网络安全造成的威胁。目前云端对于僵尸主机的识别方法为：在待识别主机网络流量异常时，触发对该主机执行识别操作，具体为：利用部署的专用识别设备(如IDS)根据网络协议包特征来识别。该僵尸主机识别方法的缺点包括：所述专用识别设备部署成本非常大，而且僵尸网络协议特征更新频率快，协议类型多，因此需要针对不断更新的僵尸网络协议来更新该专用识别设备的识别方法，运营成本会很大。另外，还存在部分比较隐蔽的网络协议不支持从网络特征上进行检测，因此该方法不但成本高且识别准确性低。
技术实现思路
本申请解决的技术问题之一是，提供一种僵尸主机识别方法及装置，实现了简便、准确的识别出僵尸主机。根据本申请一方面的一个实施例，提供了一种僵尸主机识别方法，所述方法包括：获取待识别主机当前进程的恶意代码特征；所述当前进程的恶意代码特征包括以下至少一个：当前进程是否存在对应的进程文件、当前进程对应的进程文件是否加壳、当前进程的进程文件的代码段散列值；根据所述当前进程的恶意代码特征判断所述当前进程是否为恶意进程；若所述当前进程是恶意进程，则将所述待识别主机识别为僵尸主机。根据本申请另一方面的一个实施例，提供了一种僵尸主机识别方法，用于识别网络中的僵尸主机，所述方法包括：接收僵尸主机发送的被确定为恶意进程的当前进程的网络连接信息；基于预先建立的中控机网络连接信息白名单库以及所述当前进程的网络连接信息确定出所述当前进程的网络连接信息中的僵尸网络中控机的网络连接信息；其中，所述僵尸网络中控机的网络连接信息包括僵尸网络中控机IP；查找与所述僵尸网络中控机IP关联的网络五元组；将查找出的网络五元组对应的主机作为识别出的云计算网络中的僵尸主机。根据本申请另一方面的一个实施例，提供了一种僵尸主机识别装置，所述装置包括：获取单元，用于获取待识别主机当前进程的恶意代码特征；所述当前进程的恶意代码特征包括以下至少一个：当前进程是否存在对应的进程文件、当前进程对应的进程文件是否加壳、当前进程的进程文件的代码段散列值；判断单元，用于根据所述当前进程的恶意代码特征判断所述当前进程是否为恶意进程；识别单元，用于在所述判断单元判断所述当前进程是恶意进程情况下，将所述待识别主机识别为僵尸主机；发送单元，用于发送所述被确定为恶意进程的当前进程的网络连接信息给服务器，以便服务器依据所述网络连接信息识别出其他僵尸主机。根据本申请另一方面的一个实施例，提供了一种僵尸主机识别装置，用于识别网络中的僵尸主机，所述装置包括：接收单元，用于接收僵尸主机发送的被确定为恶意进程的当前进程的网络连接信息；确定单元，用于基于预先建立的中控机网络连接信息白名单库以及所述当前进程的网络连接信息确定出所述当前进程的网络连接信息中的僵尸网络中控机的网络连接信息；其中，所述僵尸网络中控机的网络连接信息包括僵尸网络中控机IP；查找单元，用于查找与所述僵尸网络中控机IP关联的网络五元组；识别单元，用于将查找出的网络五元组对应的主机作为识别出的云计算网络中的僵尸主机。本申请实施例通过获取待识别主机当前进程的恶意代码特征，利用该恶意代码特征来识别当前进程是否为恶意进程，可有效识别同类型恶意文件的变种。若利用恶意代码特征识别出当前进程是恶意进程，则将该待识别主机识别为僵尸主机。实现了主机本身识别是否为僵尸主机，且在识别为僵尸主机情况下发送恶意进程的网络连接信息给服务器，从而服务器可以依据该网络连接信息快速识别出其他僵尸主机。因此，本申请不但可以识别出同类型恶意文件的变种，而且有效提高了识别效率及识别准确率。另外，本申请实施例通过接收僵尸主机发送的恶意进程的网络连接信息，对该恶意进程的网络连接信息利用预先建立的中控机网络连接信息白名单库进行误报数据的过滤，从而确定出接收的恶意进程的网络连接信息中的僵尸网络中控机的网络连接信息，并依据该僵尸网络中控机的网络连接信息快速确定出其他僵尸主机，实现了服务器端简便、快速、有效的识别僵尸主机，且有效降低了运营成本。本领域普通技术人员将了解，虽然下面的详细说明将参考图示实施例、附图进行，但本申请并不仅限于这些实施例。而是，本申请的范围是广泛的，且意在仅通过后附的权利要求限定本申请的范围。附图说明通过阅读参照以下附图所作的对非限制性实施例所作的详细描述，本申请的其它特征、目的和优点将会变得更明显：图1是根据本申请一个实施例的僵尸主机识别方法的流程图。图2是根据本申请一个实施例的根据所述当前进程的恶意代码特征判断所述当前进程是否为恶意进程的方法的流程图。图3是根据本申请另一个实施例的僵尸主机识别方法的流程图。图4是根据本申请一个实施例的僵尸主机识别装置的结构示意图。图5是根据本申请另一个实施例的僵尸主机识别装置的结构示意图。本领域普通技术人员将了解，虽然下面的详细说明将参考图示实施例、附图进行，但本申请并不仅限于这些实施例。而是，本申请的范围是广泛的，且意在仅通过后附的权利要求限定本申请的范围。具体实施方式在更加详细地讨论示例性实施例之前应当提到的是，一些示例性实施例被描述成作为流程图描绘的处理或方法。虽然流程图将各项操作描述成顺序的处理，但是其中的许多操作可以被并行地、并发地或者同时实施。此外，各项操作的顺序可以被重新安排。当其操作完成时所述处理可以被终止，但是还可以具有未包括在附图中的附加步骤。所述处理可以对应于方法、函数、规程、子例程、子程序等等。所述计算机设备包括用户设备与网络设备。其中，所述用户设备包括但不限于电脑、智能手机、PDA等；所述网络设备包括但不限于单个网络服务器、多个网络服务器组成的服务器组或基于云计算(CloudComputing)的由大量计算机或网络服务器构成的云，其中，云计算是分布式计算的一种，由一群松散耦合的计算机集组成的一个超级虚拟计算机。其中，所述计算机设备可单独运行来实现本申请，也可接入网络并通过与网络中的其他计算机设备的交互操作来实现本申请。其中，所述计算机设备所处的网络包括但不限于互联网、广域网、城域网、局域网、VPN网络等。需要说明的是，所述用户设备、网络设备和网络等仅为举例，其他现有的或今后可能出现的计算机设备或网络如可适用于本申请，也应包含在本申请保护范围以内，并以引用方式包含于此。后面所讨论的方法(其中一些通过流程图示出)可以通过硬件、软件、固件、中间件、微代码、硬件描述语言或者其任意组合来实施。当用软件、固件、中间件或微代码来实施时，用以实施必要任务的程序代码或代码段可以被存储在机器或计算机可读介质(比如存储介质)中。(一个或多个)处理器可本文档来自技高网...

【技术保护点】
一种僵尸主机识别方法，其特征在于，包括：获取待识别主机当前进程的恶意代码特征，所述当前进程的恶意代码特征包括：当前进程的进程文件的代码段散列值；根据所述当前进程的恶意代码特征判断所述当前进程是否为恶意进程；若所述当前进程是恶意进程，则将所述待识别主机识别为僵尸主机。

【技术特征摘要】
1.一种僵尸主机识别方法，其特征在于，包括：获取待识别主机当前进程的恶意代码特征，所述当前进程的恶意代码特征包括：当前进程的进程文件的代码段散列值；根据所述当前进程的恶意代码特征判断所述当前进程是否为恶意进程；若所述当前进程是恶意进程，则将所述待识别主机识别为僵尸主机。2.如权利要求1所述的方法，其特征在于，所述根据所述当前进程的恶意代码特征判断所述当前进程是否为恶意进程的步骤包括：判断预先建立的代码段散列值病毒库中是否存在与所述当前进程的进程文件的代码段散列值匹配的代码段散列值；若存在与所述当前进程的进程文件的代码段散列值匹配的代码段散列值，则确定当前进程是恶意进程。3.如权利要求1所述的方法，其特征在于，所述当前进程的恶意代码特征还包括：当前进程是否存在对应的进程文件，则所述根据所述当前进程的恶意代码特征判断所述当前进程是否为恶意进程的步骤包括：判断所述当前进程是否存在对应的进程文件；若所述当前进程不存在对应的进程文件，则确定所述当前进程为恶意进程。4.如权利要求3所述的方法，其特征在于，所述当前进程的恶意代码特征还包括：当前进程对应的进程文件是否加壳，所述根据所述当前进程的恶意代码特征判断所述当前进程是否为恶意进程的步骤还包括：在所述当前进程存在对应的进程文件的情况下，判断所述当前进程的进程文件是否加壳；若所述当前进程的进程文件加壳，且进程文件为可执行与可连接ELF格式的进程文件，则确定所述当前进程为恶意进程。5.如权利要求4所述的方法，其特征在于，所述根据所述当前进程的恶意代码特征判断所述当前进程是否为恶意进程的步骤包括：判断所述当前进程是否存在对应的进程文件；若所述当前进程存在对应的进程文件，则判断所述当前进程的进程文件加壳；若所述当前进程的进程文件未加壳，则判断预先建立的、存储于服务器上的代码段散列值病毒库中是否存在与所述当前进程的进程文件的代码段散列值匹配的代码段散列值；若存在与所述当前进程的进程文件的代码段散列值匹配的代码段散列值，则确定当前进程是恶意进程。6.如权利要求1所述的方法，其特征在于，所述网络连接信息包括以下至少一项：IP、域名、统一资源定位符、端口。7.如权利要求1所述的方法，其特征在于，所述方法还包括：发送所述被确定为恶意进程的当前进程的网络连接信息给服务器，以便服务器依据所述网络连接信息识别出其他僵尸主机。8.一种僵尸主机识别方法，其特征在于，用于识别网络中的僵尸主机，所述方法包括：接收僵尸主机发送的被确定为恶意进程的当前进程的网络连接信息；基于预先建立的中控机网络连接信息白名单库以及所述当前进程的网络连接信息确定出所述当前进程的网络连接信息中的僵尸网络中控机的网络连接信息；其中，所述僵尸网络中控机的网络连接信息包括僵尸网络中控机IP；查找与所述僵尸网络中控机IP关联的网络五元组；将查找出的网络五元组对应的主机作为识别出的云计算网络中的僵尸主机。9.如权利要求8所述的方法，其特征在于，所述基于预先建立的中控机网络连接信息白名单库以及所述当前进程的网络连接信息确定出所述当前进程的网络连接信息中的僵尸网络中控机的网络连接信息的步骤包括：将当前进程的网络连接信息分别与所述中控机网络连接信息白名单库中对应的网络连接信息匹配；若中控机网络连接信息白名单库中存在至少一项网络连接信息与当前进程的网络连接信息中对应的网络连接...

【专利技术属性】
技术研发人员：叶根深，崔一山，
申请(专利权)人：阿里巴巴集团控股有限公司，
类型：发明
国别省市：开曼群岛,KY