The invention discloses a botnet detection technology, which comprises the following steps: information flow network and generate traffic data capture; according to the analysis of network data generated in the IP address of the network information and the VLAN division of information and related data, the network devices into the network organization structure diagram, and according to the organizational structure of the network map generation network traffic model; comparing the access behavior of network traffic model and equipment; and to determine the suspicious access source according to the comparison. The invention has the advantages that crawls through the network information to generate data flow model, traffic flow model and comparison using data access device information and to determine the safety of access equipment, and can identify suspicious access equipment related suspicious access to the source, the invention ensures the safety of network equipment.
【技术实现步骤摘要】
本专利技术涉及一种监测网络病毒的方法,具体来说,涉及一种僵尸网络发现技术及装置。
技术介绍
僵尸网络Botnet是指采用一种或多种传播手段,将大量主机感染bot程序(僵尸程序)病毒,从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。攻击者通过各种途径传播僵尸程序感染互联网上的大量主机,而被感染的主机将通过一个控制信道接收攻击者的指令,组成一个僵尸网络。之所以用僵尸网络这个名字,是为了更形象地让人们认识到这类危害的特点:众多的计算机在不知不觉中如同中国古老传说中的僵尸群一样被人驱赶和指挥着,成为被人利用的一种工具,然而目前并没有一种技术可以有效的监测僵尸病毒的入侵。针对相关技术中的问题,目前尚未提出有效的解决方案。
技术实现思路
本专利技术的目的是提供一种僵尸网络发现技术及装置,以克服目前现有技术存在的上述不足。本专利技术的目的是通过以下技术方案来实现:一种僵尸网络发现技术,包括如下步骤:通过现有的抓包工具抓取同一网络拓扑中的各个网络设备的OSI七层的网络信息流量,利用数据生成设备将抓取的网络流量生成流量数据;根据生成的网络数据中的IP地址的网段信息和虚拟局域网的划分信息以及相关数据的行为分析,生成相应的网络组织结构图,并且根据网络组织结构图生成网络的流量模型;将服务器接收到的各个子设备的访问信息和形成的网络流量模型进行对比,并且判断流量行为的相似性;当访问信息和网络流量模型对比之后流量行为正常,则进一步更新网络流量模型;当有发现有游离于网络流量模 ...
【技术保护点】
一种僵尸网络发现技术,其特征在于,包括如下步骤:通过现有的抓包工具抓取同一网络拓扑中的各个网络设备的OSI七层的网络信息流量,利用数据生成设备将抓取的网络流量生成流量数据;根据生成的网络数据中的IP地址的网段信息和虚拟局域网的划分信息以及相关数据的行为分析,生成相应的网络组织结构图,并且根据网络组织结构图生成网络流量模型;将服务器接收到的各个子设备的访问信息和形成的网络流量模型进行对比,并且判断流量行为的相似性;当访问信息和网络流量模型对比之后流量行为正常,则进一步更新网络流量模型;当有发现有游离于网络流量模型图以外的可疑流量行为的时候则对该访问设备的IP地址进行同源分析,找出访问点的其他可疑入侵的连接设备。
【技术特征摘要】
1.一种僵尸网络发现技术,其特征在于,包括如下步骤:
通过现有的抓包工具抓取同一网络拓扑中的各个网络设备的OSI七层的网络信息流量,利用数据生成设备将抓取的网络流量生成流量数据;
根据生成的网络数据中的IP地址的网段信息和虚拟局域网的划分信息以及相关数据的行为分析,生成相应的网络组织结构图,并且根据网络组织结构图生成网络流量模型;
将服务器接收到的各个子设备的访问信息和形成的网络流量模型进行对比,并且判断流量行为的相似性;
当访问信息和网络流量模型对比之后流量行为正常,则进一步更新网络流量模型;
当有发现有游离于网络流量模型图以外的可疑流量行为的时候则对该访问设备的IP地址进行同源分析,找出访问点的其他可疑入侵的连接设备。
2.根据权利要求1所述的,其特征在于,所述的网络流量信息包括生成流量数据,包括捕获时间,源ip,目的ip,源端口,目的端口,应用协议,方向,包数,字节数,标识字段,tcp序列号。
3.根据权利要求1所述的僵尸网络发现技术,其特征在于,所述网络流量模型包括新建连接数、并发连接...
【专利技术属性】
技术研发人员:沈能辉,
申请(专利权)人:睿峰网云北京科技股份有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。