一种僵尸网络发现技术及装置制造方法及图纸

本发明专利技术公开了一种僵尸网络发现技术，包括如下步骤：抓取网络信息流量并且生成流量数据；根据生成的网络数据中的IP地址的网段信息和VLAN划分信息以及相关数据的行为分析，将网络设备划分成相应的网络组织结构图，并且根据网络组织结构图生成网络流量模型图；根据网络流量模型图和设备的访问行为进行对比；并且根据对比情况判断可疑的访问源。本发明专利技术的有益效果为：通过抓取网络信息生成数据流量模型，并且利用数据流量模型访问的设备信息进行流量对比进而来判断访问设备的安全性，并且可以找出可疑访问设备的相关可疑访问源，本发明专利技术保证网络设备的使用安全性。

Botnet detection technology and device

The invention discloses a botnet detection technology, which comprises the following steps: information flow network and generate traffic data capture; according to the analysis of network data generated in the IP address of the network information and the VLAN division of information and related data, the network devices into the network organization structure diagram, and according to the organizational structure of the network map generation network traffic model; comparing the access behavior of network traffic model and equipment; and to determine the suspicious access source according to the comparison. The invention has the advantages that crawls through the network information to generate data flow model, traffic flow model and comparison using data access device information and to determine the safety of access equipment, and can identify suspicious access equipment related suspicious access to the source, the invention ensures the safety of network equipment.

【技术实现步骤摘要】

本专利技术涉及一种监测网络病毒的方法，具体来说，涉及一种僵尸网络发现技术及装置。
技术介绍
僵尸网络Botnet是指采用一种或多种传播手段，将大量主机感染bot程序（僵尸程序）病毒，从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。攻击者通过各种途径传播僵尸程序感染互联网上的大量主机，而被感染的主机将通过一个控制信道接收攻击者的指令，组成一个僵尸网络。之所以用僵尸网络这个名字，是为了更形象地让人们认识到这类危害的特点：众多的计算机在不知不觉中如同中国古老传说中的僵尸群一样被人驱赶和指挥着，成为被人利用的一种工具，然而目前并没有一种技术可以有效的监测僵尸病毒的入侵。针对相关技术中的问题，目前尚未提出有效的解决方案。
技术实现思路
本专利技术的目的是提供一种僵尸网络发现技术及装置，以克服目前现有技术存在的上述不足。本专利技术的目的是通过以下技术方案来实现：一种僵尸网络发现技术，包括如下步骤：通过现有的抓包工具抓取同一网络拓扑中的各个网络设备的OSI七层的网络信息流量，利用数据生成设备将抓取的网络流量生成流量数据；根据生成的网络数据中的IP地址的网段信息和虚拟局域网的划分信息以及相关数据的行为分析，生成相应的网络组织结构图，并且根据网络组织结构图生成网络的流量模型；将服务器接收到的各个子设备的访问信息和形成的网络流量模型进行对比，并且判断流量行为的相似性；当访问信息和网络流量模型对比之后流量行为正常，则进一步更新网络流量模型；当有发现有游离于网络流量模型图以外的可疑流量行为的时候则对该访问设备的IP地址进行同源分析，找出访问点的其他可疑入侵的连接设备。进一步的，所述的网络流量信息包括生成流量数据，包括捕获时间，源ip，目的ip，源端口，目的端口，应用协议，方向，包数，字节数，标识字段，tcp序列号。进一步的，所述网络流量模型包括新建连接数、并发连接数、目的服务器类型、目的服务器地址、平均包长度、连接时间、连接目标的组织机构信息。一种僵尸网络的发现装置，包括流量抓取装置、网络流量模型建立装置、相似性判断装置、网络流量模型更新装置、可疑设备查找装置；其中:流量抓取装置:通过现有的抓包工具抓取同一网络拓扑中的各个网络设备的OSI七层的网络信息流量，利用数据生成设备将抓取的网络流量生成流量数据；网络流量模型建立装置:根据生成的网络数据中的IP地址的网段信息和虚拟局域网的划分信息以及相关数据的行为分析，生成相应的网络组织结构图，并且根据网络组织结构图生成网络流量模型；相似性判断装置:将服务器接收到的各个子设备的访问信息和形成的网络流量模型进行对比，并且判断流量行为的相似性；网络流量模型更新装置:当访问信息和网络流量模型对比之后流量行为正常，则进一步更新网络流量模型；可疑设备查找装置:当有发现有游离于网络流量模型图以外的可疑流量行为的时候则对该访问设备的IP地址进行同源分析，找出访问点的其他可疑入侵的连接设备。本专利技术的有益效果为：通过抓取网络信息生成数据流量模型，并且利用数据流量模型访问的设备信息进行流量对比进而来判断访问设备的安全性，并且可以找出可疑访问设备的相关可疑访问源，本专利技术保证网络设备的使用安全性。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本专利技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。图1是根据本专利技术实施例的僵尸网络发现技术判断流程图。具体实施方式下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本专利技术一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员所获得的所有其他实施例，都属于本专利技术保护的范围。如图1所示，根据本专利技术的实施例所述的一种僵尸网络发现技术，包括如下步骤：通过现有的抓包工具抓取同一网络拓扑中的各个网络设备的OSI七层的网络信息流量，利用数据生成设备将抓取的网络流量生成流量数据；根据生成的网络数据中的IP地址的网段信息和虚拟局域网的划分信息以及相关数据的行为分析，生成相应的网络组织结构图，并且根据网络组织结构图生成网络的流量模型；将服务器接收到的各个子设备的访问信息和形成的网络流量模型进行对比，并且判断流量行为的相似性；其中，其中方式包括比新建连接和/或并发连接数量超过平时5倍以上，或者目的服务器分散，平均包长度发生较大变化等。进而判断访问流量的可疑性。当访问信息和网络流量模型对比之后流量行为正常，则进一步更新网络流量模型；当有发现有游离于网络流量模型图以外的可疑流量行为的时候则对该访问设备的IP地址进行同源分析，找出访问点的其他可疑入侵的连接设备。进一步的，所述的网络流量信息包括生成流量数据，包括捕获时间，源ip，目的ip，源端口，目的端口，应用协议，方向，包数，字节数，标识字段，tcp序列号。进一步的，所述网络流量模型包括新建连接数、并发连接数、目的服务器类型、目的服务器地址、平均包长度、连接时间、连接目标的组织机构信息。一种僵尸网络的发现装置，包括流量抓取装置、网络流量模型建立装置、相似性判断装置、网络流量模型更新装置、可疑设备查找装置；其中:流量抓取装置:通过现有的抓包工具抓取同一网络拓扑中的各个网络设备的OSI七层的网络信息流量，利用数据生成设备将抓取的网络流量生成流量数据；网络流量模型建立装置:根据生成的网络数据中的IP地址的网段信息和虚拟局域网的划分信息以及相关数据的行为分析，生成相应的网络组织结构图，并且根据网络组织结构图生成网络流量模型；相似性判断装置:将服务器接收到的各个子设备的访问信息和形成的网络流量模型进行对比，并且判断流量行为的相似性；网络流量模型更新装置:当访问信息和网络流量模型对比之后流量行为正常，则进一步更新网络流量模型；可疑设备查找装置:当有发现有游离于网络流量模型图以外的可疑流量行为的时候则对该访问设备的IP地址进行同源分析，找出访问点的其他可疑入侵的连接设备。综上所述，借助于本专利技术的上述技术方案，通过抓取网络信息生成数据流量模型，并且利用数据流量模型访问的设备信息进行流量对比进而来判断访问设备的安全性，并且可以找出可疑访问设备的相关可疑访问源，本专利技术保证网络设备的使用安全性。以上所述仅为本专利技术的较佳实施例而已，并不用以限制本专利技术，凡在本专利技术的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本专利技术的保护范围之内。本文档来自技高网...

【技术保护点】
一种僵尸网络发现技术，其特征在于，包括如下步骤：通过现有的抓包工具抓取同一网络拓扑中的各个网络设备的OSI七层的网络信息流量，利用数据生成设备将抓取的网络流量生成流量数据；根据生成的网络数据中的IP地址的网段信息和虚拟局域网的划分信息以及相关数据的行为分析，生成相应的网络组织结构图，并且根据网络组织结构图生成网络流量模型；将服务器接收到的各个子设备的访问信息和形成的网络流量模型进行对比，并且判断流量行为的相似性；当访问信息和网络流量模型对比之后流量行为正常，则进一步更新网络流量模型；当有发现有游离于网络流量模型图以外的可疑流量行为的时候则对该访问设备的IP地址进行同源分析，找出访问点的其他可疑入侵的连接设备。

【技术特征摘要】
1.一种僵尸网络发现技术，其特征在于，包括如下步骤：
通过现有的抓包工具抓取同一网络拓扑中的各个网络设备的OSI七层的网络信息流量，利用数据生成设备将抓取的网络流量生成流量数据；
根据生成的网络数据中的IP地址的网段信息和虚拟局域网的划分信息以及相关数据的行为分析，生成相应的网络组织结构图，并且根据网络组织结构图生成网络流量模型；
将服务器接收到的各个子设备的访问信息和形成的网络流量模型进行对比，并且判断流量行为的相似性；
当访问信息和网络流量模型对比之后流量行为正常，则进一步更新网络流量模型；
当有发现有游离于网络流量模型图以外的可疑流量行为的时候则对该访问设备的IP地址进行同源分析，找出访问点的其他可疑入侵的连接设备。
2.根据权利要求1所述的，其特征在于，所述的网络流量信息包括生成流量数据，包括捕获时间，源ip，目的ip，源端口，目的端口，应用协议，方向，包数，字节数，标识字段，tcp序列号。
3.根据权利要求1所述的僵尸网络发现技术，其特征在于，所述网络流量模型包括新建连接数、并发连接...

【专利技术属性】
技术研发人员：沈能辉，
申请(专利权)人：睿峰网云北京科技股份有限公司，
类型：发明
国别省市：北京;11