一种发现僵尸网络及防护的方法和系统技术方案

本发明专利技术提供一种发现僵尸网络及防护的方法和系统，用以解决现有技术中发现僵尸网络的难度高、效率低，不能有效防止僵尸网络发起攻击的技术问题。其中，流量清洗设备将确定出的至少一个可疑IP地址发送至云服务器，云服务器将至少一个可疑IP地址发送至DNS分析设备，DNS分析设备基于至少一个可疑IP地址的DNS查询记录，确定是否存在僵尸网络，在DNS分析设备确定出存在的僵尸网络后，DNS分析设备可以阻断已确定的僵尸网络中的通信，云服务器可以更新自身的僵尸IP地址数据库，流量清洗设备可以根据更新后的僵尸IP地址数据库进行流量监控、流量清洗。

A method and system for the discovery of Botnet and protection

The invention provides a method and system for discovering botnets and protection, so as to solve the technical problems of finding botnets in existing technology, such as high difficulty and low efficiency, and can not effectively prevent botnets from launching attacks. The flow of cleaning equipment will be determined at least a suspicious IP address is sent to the cloud server, cloud server will be at least a suspicious IP address is sent to the DNS analysis, DNS analysis equipment for at least a suspicious IP address of the DNS query based on records, to determine whether the presence of the zombie network, in the DNS analysis equipment determines that there Botnet, DNS analysis equipment can block the botnet communication have been identified, the cloud server can update the zombie IP address of the database, the flow of the cleaning equipment can according to the updated zombie IP address database for traffic monitoring, traffic cleaning.

【技术实现步骤摘要】
一种发现僵尸网络及防护的方法和系统
本专利技术涉及信息安全
，尤其涉及一种发现僵尸网络及防护的方法和系统。
技术介绍
僵尸网络(Botnet，又称机器人网络)，指骇客利用感染僵尸程序(一种计算机病毒)的电脑等设备组织成一个个受控节点，通过控制服务器(CommandandControlServer，又称C&C、C2)对各受控节点操控的计算机网络。图1所示为一种僵尸网络的拓扑结构示意图。僵尸网络中的各个受控节点通过向预定攻击目标发送伪造数据包或垃圾数据包，使预定攻击目标瘫痪并拒绝服务(DoS，DenialofService)。通过僵尸网络发起的DoS攻击为分布式拒绝服务(DDoS，DistributedDenialofService)攻击，进行攻击的各个受控节点均具有真实的源IP地址。现有技术中，通常由网络运营商对访问主要路由节点的大量IP地址进行DNS流量分析，发现网络中可能存在的僵尸网络。然而，由于需要分析的数据量庞大，并且僵尸网络中受控节点的位置分布毫无规律，导致现有技术中发现僵尸网络的难度高、效率低，并且，由僵尸网络发起的DDoS攻击，也不能有效防护。
技术实现思路
本专利技术实施例提供一种发现僵尸网络及防护的方法和系统，用以解决现有技术中发现僵尸网络的难度高、效率低，不能有效防止僵尸网络发起攻击的技术问题。第一方面，提供一种发现僵尸网络的方法，所述方法包括：流量清洗设备将确定出的至少一个可疑IP地址发送至云服务器；所述云服务器将所述至少一个可疑IP地址发送至DNS分析设备；所述DNS分析设备基于所述至少一个可疑IP地址，确定是否存在僵尸网络。在一种可能的实现方式中，所述方法还包括：在确定存在所述僵尸网络时，所述DNS分析设备获得所述僵尸网络包括的至少一个僵尸IP地址，并向所述云服务器发送所述至少一个僵尸IP地址；所述云服务器根据所述至少一个僵尸IP地址，更新自身用于存储僵尸IP地址的僵尸IP地址数据库。在一种可能的实现方式中，所述方法还包括：在确定存在所述僵尸网络时，所述DNS分析设备获得所述僵尸网络包括的至少一个控制服务器域名；所述DNS分析设备阻断用于查询所述至少一个控制服务器域名中任一控制服务器域名的DNS查询流量。在一种可能的实现方式中，所述流量清洗设备将确定出的至少一个可疑IP地址发送至云服务器，包括：所述流量清洗设备将访问待保护设备的访问流量的访问行为信息，与流量基线进行比较，确定所述访问流量中存在异常访问行为的异常流量；所述流量清洗设备通过所述云服务器，查询所述云服务器的僵尸IP地址数据库是否包括所述异常流量的源IP地址；在为否时，所述流量清洗设备确定所述异常流量为可疑流量，并将所述可疑流量的至少一个源IP地址发送至所述云服务器；在为是时，所述流量清洗设备阻断来自所述异常流量的源IP地址的流量。在一种可能的实现方式中，所述DNS分析设备基于所述至少一个可疑IP地址，确定是否存在僵尸网络，包括：所述DNS分析设备通过分析所述至少一个可疑IP地址中各个可疑IP地址的DNS查询记录，判断所述各个可疑IP地址的DNS查询行为是否符合僵尸IP地址的DNS查询行为特征，获得第一判断结果；和/或判断所述各个可疑IP地址所查询的域名是否符合控制服务器域名的特征，获得第二判断结果；所述DNS分析设备至少基于所述第一判断结果和/或所述第二判断结果，确定是否存在僵尸网络。第二方面，提供一种发现僵尸网络的系统，所述系统包括流量清洗设备、云服务器和DNS分析设备，其中：所述流量清洗设备，用于将确定出的至少一个可疑IP地址发送至所述云服务器；所述云服务器，用于将所述至少一个可疑IP地址发送至所述DNS分析设备；所述DNS分析设备，用于基于所述至少一个可疑IP地址，确定是否存在僵尸网络。在一种可能的实现方式中，所述DNS分析设备还用于：在确定存在所述僵尸网络时，获得所述僵尸网络包括的至少一个僵尸IP地址，并向所述云服务器发送所述至少一个僵尸IP地址；所述云服务器还用于：根据所述至少一个僵尸IP地址，更新自身用于存储僵尸IP地址的僵尸IP地址数据库。在一种可能的实现方式中，所述DNS分析设备还用于：在确定存在所述僵尸网络时，获得所述僵尸网络包括的至少一个控制服务器域名；以及阻断用于查询所述至少一个控制服务器域名中任一控制服务器域名的DNS查询流量。在一种可能的实现方式中，所述流量清洗设备用于：将访问待保护设备的访问流量的访问行为信息，与流量基线进行比较，确定所述访问流量中存在异常访问行为的异常流量；通过所述云服务器，查询所述云服务器的僵尸IP地址数据库是否包括所述异常流量的源IP地址；在为否时，确定所述异常流量为可疑流量，并将所述可疑流量的至少一个源IP地址发送至所述云服务器；在为是时，阻断来自所述异常流量的源IP地址的流量。在一种可能的实现方式中，所述DNS分析设备用于：通过分析所述至少一个可疑IP地址中各个可疑IP地址的DNS查询记录，判断所述各个可疑IP地址的DNS查询行为是否符合僵尸IP地址的DNS查询行为特征，获得第一判断结果；和/或判断所述各个可疑IP地址所查询的域名是否符合控制服务器域名的特征，获得第二判断结果；至少基于所述第一判断结果和/或所述第二判断结果，确定是否存在僵尸网络。第三方面，提供一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序指令，当所述计算机程序指令被加载并运行时，执行如第一方面所述的发现僵尸网络的方法。本专利技术实施例中，流量清洗设备确定出至少一个可疑IP地址后，将这些可疑IP地址发送至云服务器，云服务器将获得的至少一个可疑IP地址发送至DNS分析设备，DNS分析设备基于从云服务器获得的至少一个可疑IP地址，确定是否存在僵尸网络。也就是说，本专利技术实施例提供的发现僵尸网络的方法中，形成了流量清洗设备、云服务器和DNS分析设备间发现僵尸网络的闭环，通过这一闭环，可以及时有效地发现可能存在的僵尸网络。进一步地，本专利技术实施例中，DNS分析设备基于已经确定出的可疑IP地址确定是否存在僵尸网络，相较于现有技术中对毫无规律的大量IP地址进行DNS流量分析的方式，本专利技术实施例中DNS分析设备在确定是否存在僵尸网络更加的有针对性，可以更加高效、准确地发现可能存在的僵尸网络，并且，由于缩小了DNS分析设备的分析范围，因而可以降低DNS分析设备进行DNS流量分析的负担。进一步地，本专利技术实施例中，在确定存在僵尸网络时，通过更新云服务器中僵尸IP地址数据库、阻断查询控制服务器域名的DNS查询流量等方式，瓦解僵尸网络，流量清洗设备可以根据僵尸IP地址数据库，识别攻击流量的僵尸主机，并阻断流量，防止待保护设备遭受僵尸网络攻击。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本专利技术实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图。图1为现有技术中一种僵尸网络的拓扑结构示意图；图2为本专利技术实施例中发现僵尸网络的方法的一种应用场景的网络拓扑结构示意图；图3为本专利技术实施例中发现僵尸网络的方法的流程图；图4为本专利技术实施例中发现僵尸网络的系统本文档来自技高网...

【技术保护点】
一种发现僵尸网络的方法，其特征在于，所述方法包括：流量清洗设备将确定出的至少一个可疑IP地址发送至云服务器；所述云服务器将所述至少一个可疑IP地址发送至DNS分析设备；所述DNS分析设备基于所述至少一个可疑IP地址，确定是否存在僵尸网络。

【技术特征摘要】
1.一种发现僵尸网络的方法，其特征在于，所述方法包括：流量清洗设备将确定出的至少一个可疑IP地址发送至云服务器；所述云服务器将所述至少一个可疑IP地址发送至DNS分析设备；所述DNS分析设备基于所述至少一个可疑IP地址，确定是否存在僵尸网络。2.如权利要求1所述的方法，其特征在于，所述方法还包括：在确定存在所述僵尸网络时，所述DNS分析设备获得所述僵尸网络包括的至少一个僵尸IP地址，并向所述云服务器发送所述至少一个僵尸IP地址；所述云服务器根据所述至少一个僵尸IP地址，更新自身用于存储僵尸IP地址的僵尸IP地址数据库。3.如权利要求1所述的方法，其特征在于，所述方法还包括：在确定存在所述僵尸网络时，所述DNS分析设备获得所述僵尸网络包括的至少一个控制服务器域名；所述DNS分析设备阻断用于查询所述至少一个控制服务器域名中任一控制服务器域名的DNS查询流量。4.如权利要求1-3中任一权利要求所述的方法，其特征在于，所述流量清洗设备将确定出的至少一个可疑IP地址发送至云服务器，包括：所述流量清洗设备将访问待保护设备的访问流量的访问行为信息，与流量基线进行比较，确定所述访问流量中存在异常访问行为的异常流量；所述流量清洗设备通过所述云服务器，查询所述云服务器的僵尸IP地址数据库是否包括所述异常流量的源IP地址；在为否时，所述流量清洗设备确定所述异常流量为可疑流量，并将所述可疑流量的至少一个源IP地址发送至所述云服务器；在为是时，所述流量清洗设备阻断来自所述异常流量的源IP地址的流量。5.如权利要求1-3中任一权利要求所述的方法，其特征在于，所述DNS分析设备基于所述至少一个可疑IP地址，确定是否存在僵尸网络，包括：所述DNS分析设备通过分析所述至少一个可疑IP地址中各个可疑IP地址的DNS查询记录，判断所述各个可疑IP地址的DNS查询行为是否符合僵尸IP地址的DNS查询行为特征，获得第一判断结果；和/或判断所述各个可疑IP地址所查询的域名是否符合控制服务器域名的特征，获得第二判断结果；所述DNS分析设备至少基于所述第一判断结果和/或所述第二判断结果，确定是否存在僵尸网络。6.一种发现僵尸网...

【专利技术属性】
技术研发人员：赵跃明，
申请(专利权)人：北京神州绿盟信息安全科技股份有限公司，北京神州绿盟科技有限公司，
类型：发明
国别省市：北京,11