The invention provides a method and system for discovering botnets and protection, so as to solve the technical problems of finding botnets in existing technology, such as high difficulty and low efficiency, and can not effectively prevent botnets from launching attacks. The flow of cleaning equipment will be determined at least a suspicious IP address is sent to the cloud server, cloud server will be at least a suspicious IP address is sent to the DNS analysis, DNS analysis equipment for at least a suspicious IP address of the DNS query based on records, to determine whether the presence of the zombie network, in the DNS analysis equipment determines that there Botnet, DNS analysis equipment can block the botnet communication have been identified, the cloud server can update the zombie IP address of the database, the flow of the cleaning equipment can according to the updated zombie IP address database for traffic monitoring, traffic cleaning.
【技术实现步骤摘要】
一种发现僵尸网络及防护的方法和系统
本专利技术涉及信息安全
,尤其涉及一种发现僵尸网络及防护的方法和系统。
技术介绍
僵尸网络(Botnet,又称机器人网络),指骇客利用感染僵尸程序(一种计算机病毒)的电脑等设备组织成一个个受控节点,通过控制服务器(CommandandControlServer,又称C&C、C2)对各受控节点操控的计算机网络。图1所示为一种僵尸网络的拓扑结构示意图。僵尸网络中的各个受控节点通过向预定攻击目标发送伪造数据包或垃圾数据包,使预定攻击目标瘫痪并拒绝服务(DoS,DenialofService)。通过僵尸网络发起的DoS攻击为分布式拒绝服务(DDoS,DistributedDenialofService)攻击,进行攻击的各个受控节点均具有真实的源IP地址。现有技术中,通常由网络运营商对访问主要路由节点的大量IP地址进行DNS流量分析,发现网络中可能存在的僵尸网络。然而,由于需要分析的数据量庞大,并且僵尸网络中受控节点的位置分布毫无规律,导致现有技术中发现僵尸网络的难度高、效率低,并且,由僵尸网络发起的DDoS攻击,也不能有效防护。
技术实现思路
本专利技术实施例提供一种发现僵尸网络及防护的方法和系统,用以解决现有技术中发现僵尸网络的难度高、效率低,不能有效防止僵尸网络发起攻击的技术问题。第一方面,提供一种发现僵尸网络的方法,所述方法包括:流量清洗设备将确定出的至少一个可疑IP地址发送至云服务器;所述云服务器将所述至少一个可疑IP地址发送至DNS分析设备;所述DNS分析设备基于所述至少一个可疑IP地址,确定是否存在僵尸网络 ...
【技术保护点】
一种发现僵尸网络的方法,其特征在于,所述方法包括:流量清洗设备将确定出的至少一个可疑IP地址发送至云服务器;所述云服务器将所述至少一个可疑IP地址发送至DNS分析设备;所述DNS分析设备基于所述至少一个可疑IP地址,确定是否存在僵尸网络。
【技术特征摘要】
1.一种发现僵尸网络的方法,其特征在于,所述方法包括:流量清洗设备将确定出的至少一个可疑IP地址发送至云服务器;所述云服务器将所述至少一个可疑IP地址发送至DNS分析设备;所述DNS分析设备基于所述至少一个可疑IP地址,确定是否存在僵尸网络。2.如权利要求1所述的方法,其特征在于,所述方法还包括:在确定存在所述僵尸网络时,所述DNS分析设备获得所述僵尸网络包括的至少一个僵尸IP地址,并向所述云服务器发送所述至少一个僵尸IP地址;所述云服务器根据所述至少一个僵尸IP地址,更新自身用于存储僵尸IP地址的僵尸IP地址数据库。3.如权利要求1所述的方法,其特征在于,所述方法还包括:在确定存在所述僵尸网络时,所述DNS分析设备获得所述僵尸网络包括的至少一个控制服务器域名;所述DNS分析设备阻断用于查询所述至少一个控制服务器域名中任一控制服务器域名的DNS查询流量。4.如权利要求1-3中任一权利要求所述的方法,其特征在于,所述流量清洗设备将确定出的至少一个可疑IP地址发送至云服务器,包括:所述流量清洗设备将访问待保护设备的访问流量的访问行为信息,与流量基线进行比较,确定所述访问流量中存在异常访问行为的异常流量;所述流量清洗设备通过所述云服务器,查询所述云服务器的僵尸IP地址数据库是否包括所述异常流量的源IP地址;在为否时,所述流量清洗设备确定所述异常流量为可疑流量,并将所述可疑流量的至少一个源IP地址发送至所述云服务器;在为是时,所述流量清洗设备阻断来自所述异常流量的源IP地址的流量。5.如权利要求1-3中任一权利要求所述的方法,其特征在于,所述DNS分析设备基于所述至少一个可疑IP地址,确定是否存在僵尸网络,包括:所述DNS分析设备通过分析所述至少一个可疑IP地址中各个可疑IP地址的DNS查询记录,判断所述各个可疑IP地址的DNS查询行为是否符合僵尸IP地址的DNS查询行为特征,获得第一判断结果;和/或判断所述各个可疑IP地址所查询的域名是否符合控制服务器域名的特征,获得第二判断结果;所述DNS分析设备至少基于所述第一判断结果和/或所述第二判断结果,确定是否存在僵尸网络。6.一种发现僵尸网...
【专利技术属性】
技术研发人员:赵跃明,
申请(专利权)人:北京神州绿盟信息安全科技股份有限公司,北京神州绿盟科技有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。