【技术实现步骤摘要】
僵尸主机识别方法及装置
本申请涉及互联网
,尤其涉及一种僵尸主机识别方法及装置。
技术介绍
僵尸主机是指感染僵尸程序病毒,从而被黑客程序控制的计算机设备。该计算机设备可以是终端设备,也可以是云端设备,为描述方便,本申请以下实施例将待识别计算机设备称为待识别主机。在主机感染僵尸程序病毒后,该主机将存在一定的安全隐患,其可将僵尸程序病毒恶意传播给其他主机,且该主机中保存的譬如银行帐号及密码等都可被黑客随意“取用”。可见,不论是对网络安全运行还是用户数据安全的保护来说,僵尸程序病毒都是极具威胁的隐患。因此,及时识别僵尸主机从而控制僵尸程序病毒的恶意传播,可有效降低僵尸程序病毒对主机及网络安全造成的威胁。目前云端对于僵尸主机的识别方法为:在待识别主机网络流量异常时,触发对该主机执行识别操作,具体为:利用部署的专用识别设备(如IDS)根据网络协议包特征来识别。该僵尸主机识别方法的缺点包括:所述专用识别设备部署成本非常大,而且僵尸网络协议特征更新频率快,协议类型多,因此需要针对不断更新的僵尸网络协议来更新该专用识别设备的识别方法,运营成本会很大。另外,还存在部分比较隐蔽的网络协议不支持从网络特征上进行检测,因此该方法不但成本高且识别准确性低。
技术实现思路
本申请解决的技术问题之一是,提供一种僵尸主机识别方法及装置,实现了简便、准确的识别出僵尸主机。根据本申请一方面的一个实施例,提供了一种僵尸主机识别方法,所述方法包括:获取待识别主机当前进程的恶意代码特征;所述当前进程的恶意代码特征包括以下至少一个:当前进程是否存在对应的进程文件、当前进程对应的进程文件是否加壳、当 ...
【技术保护点】
一种僵尸主机识别方法,其特征在于,包括:获取待识别主机当前进程的恶意代码特征,所述当前进程的恶意代码特征包括:当前进程的进程文件的代码段散列值;根据所述当前进程的恶意代码特征判断所述当前进程是否为恶意进程;若所述当前进程是恶意进程,则将所述待识别主机识别为僵尸主机。
【技术特征摘要】
1.一种僵尸主机识别方法,其特征在于,包括:获取待识别主机当前进程的恶意代码特征,所述当前进程的恶意代码特征包括:当前进程的进程文件的代码段散列值;根据所述当前进程的恶意代码特征判断所述当前进程是否为恶意进程;若所述当前进程是恶意进程,则将所述待识别主机识别为僵尸主机。2.如权利要求1所述的方法,其特征在于,所述根据所述当前进程的恶意代码特征判断所述当前进程是否为恶意进程的步骤包括:判断预先建立的代码段散列值病毒库中是否存在与所述当前进程的进程文件的代码段散列值匹配的代码段散列值;若存在与所述当前进程的进程文件的代码段散列值匹配的代码段散列值,则确定当前进程是恶意进程。3.如权利要求1所述的方法,其特征在于,所述当前进程的恶意代码特征还包括:当前进程是否存在对应的进程文件,则所述根据所述当前进程的恶意代码特征判断所述当前进程是否为恶意进程的步骤包括:判断所述当前进程是否存在对应的进程文件;若所述当前进程不存在对应的进程文件,则确定所述当前进程为恶意进程。4.如权利要求3所述的方法,其特征在于,所述当前进程的恶意代码特征还包括:当前进程对应的进程文件是否加壳,所述根据所述当前进程的恶意代码特征判断所述当前进程是否为恶意进程的步骤还包括:在所述当前进程存在对应的进程文件的情况下,判断所述当前进程的进程文件是否加壳;若所述当前进程的进程文件加壳,且进程文件为可执行与可连接ELF格式的进程文件,则确定所述当前进程为恶意进程。5.如权利要求4所述的方法,其特征在于,所述根据所述当前进程的恶意代码特征判断所述当前进程是否为恶意进程的步骤包括:判断所述当前进程是否存在对应的进程文件;若所述当前进程存在对应的进程文件,则判断所述当前进程的进程文件加壳;若所述当前进程的进程文件未加壳,则判断预先建立的、存储于服务器上的代码段散列值病毒库中是否存在与所述当前进程的进程文件的代码段散列值匹配的代码段散列值;若存在与所述当前进程的进程文件的代码段散列值匹配的代码段散列值,则确定当前进程是恶意进程。6.如权利要求1所述的方法,其特征在于,所述网络连接信息包括以下至少一项:IP、域名、统一资源定位符、端口。7.如权利要求1所述的方法,其特征在于,所述方法还包括:发送所述被确定为恶意进程的当前进程的网络连接信息给服务器,以便服务器依据所述网络连接信息识别出其他僵尸主机。8.一种僵尸主机识别方法,其特征在于,用于识别网络中的僵尸主机,所述方法包括:接收僵尸主机发送的被确定为恶意进程的当前进程的网络连接信息;基于预先建立的中控机网络连接信息白名单库以及所述当前进程的网络连接信息确定出所述当前进程的网络连接信息中的僵尸网络中控机的网络连接信息;其中,所述僵尸网络中控机的网络连接信息包括僵尸网络中控机IP;查找与所述僵尸网络中控机IP关联的网络五元组;将查找出的网络五元组对应的主机作为识别出的云计算网络中的僵尸主机。9.如权利要求8所述的方法,其特征在于,所述基于预先建立的中控机网络连接信息白名单库以及所述当前进程的网络连接信息确定出所述当前进程的网络连接信息中的僵尸网络中控机的网络连接信息的步骤包括:将当前进程的网络连接信息分别与所述中控机网络连接信息白名单库中对应的网络连接信息匹配;若中控机网络连接信息白名单库中存在至少一项网络连接信息与当前进程的网络连接信息中对应的网络连接...
【专利技术属性】
技术研发人员:叶根深,崔一山,
申请(专利权)人:阿里巴巴集团控股有限公司,
类型:发明
国别省市:开曼群岛,KY
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。