【技术实现步骤摘要】
一种基于网络日志的僵尸网络检测方法及系统
本专利技术涉及网络安全、大数据分析领域,具体涉及一种基于网络日志的僵尸网络检测方法及系统。
技术介绍
僵尸网络由互联网中一些受到恶意程序的感染而被操控的设备组成,常被用于执行僵尸网络攻击和发送垃圾邮件等功能。知名的僵尸网络包括Zeus,Spyeye,BlackEnergy,Citadel,Kelihos,Medfos,Storm,Waledac,Skynet,ZeroAccess,Virut.n,Rbot,andEldorado等。下面以Mirai为例,介绍僵尸网络的典型行为。自2016年8月以来,Mirai恶意程序开始蔓延,逐步形成了一个庞大的僵尸网络,并制造了多起引起广泛关注的僵尸网络情报,包括2016年10月美国大量网站不可用事件,及同年11月德国电信断网事件。Mirai扫描并感染物联网设备,包括DVR、监控摄像头等。Mirai僵尸网络会被用来进行有意的僵尸网络攻击,主要攻击类型包括SYN泛洪、UDP泛洪、VSE(ValveSourceEngine)查询泛洪、GRE泛洪、ACK泛洪、伪随机DNS标签前缀攻击和HTTP...
【技术保护点】
1.一种基于网络日志的僵尸网络检测方法,其特征在于,包括以下步骤:1)通过分析网络日志,捕获符合僵尸网络特征的主机IP,获得僵尸网络成员列表;2)针对每一个僵尸网络成员进行微观分析,并针对全部僵尸网络成员进行宏观统计分析,获得僵尸网络情报。
【技术特征摘要】
2017.08.23 CN 20171072942451.一种基于网络日志的僵尸网络检测方法,其特征在于,包括以下步骤:1)通过分析网络日志,捕获符合僵尸网络特征的主机IP,获得僵尸网络成员列表;2)针对每一个僵尸网络成员进行微观分析,并针对全部僵尸网络成员进行宏观统计分析,获得僵尸网络情报。2.根据权利要求1所述的方法,其特征在于,步骤1)针对僵尸网络的多种特征,分别获得疑似僵尸网络主机成员列表,然后基于多种疑似僵尸网络主机成员列表,通过相互印证获得准确的僵尸网络成员名单。3.根据权利要求2所述的方法,其特征在于,步骤1)捕获疑似僵尸网络成员的方式包括:如果已知目标僵尸网络所利用的漏洞对应的端口号,则将对这一端口进行网络扫描的主机认做疑似僵尸网络成员;如果已知目标僵尸网络的主控域名,则将对该域名进行多次请求的主机认作疑似僵尸网络成员。4.根据权利要求1所述的方法,其特征在于,所述网络日志包括IP通联日志和域名访问日志;所述僵尸网络特征包括端口扫描特征、主控IP访问特征和主控域名访问特征。5.根据权利要求1所述的方法,其特征在于,所述微观分析,包括捕获新的被感染对象,追溯感染源,以及检测DDoS攻击流量;所述宏观统计分析,包括僵尸网络成员间主被控拓扑关系分析,以及僵尸网络感染疫情态势分析。6.根据权利要求5所述的方法,其特征在于,所述捕获新的被感染对象,是捕捉H在时间T后的对外扫描行为,...
【专利技术属性】
技术研发人员:李明哲,刘丙双,涂波,张洛什,尚秋里,苗权,康春建,刘鑫沛,摆亮,李传海,戴帅夫,张建宇,
申请(专利权)人:长安通信科技有限责任公司,国家计算机网络与信息安全管理中心,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。