The invention provides a method for detecting botnet based on C&C communication state transition, including training stage: dividing training set data stream into four groups, adding labels, extracting features, generating state chain, constructing candidate model base and calculating probability threshold; forecasting stage: dividing the data stream to be measured into four groups. To extract features and generate chains of States to be tested; to extract protocol types and match models in candidate model base one by one, if they do not match, discard them, and if the matching is successful, then proceed to the next step; to calculate test probability, and to match according to preset schemes, mismatch, discard them, otherwise save the model and test probability; finally, from the successful matching. The candidate model with the highest matching degree is selected as the final model, and the model label can be used to determine whether the data stream to be tested is botnet or not. The state of the flow is easy to extract, and it does not need complex statistical work and traffic content extraction. The detection performance is improved. The Markov chain is established based on the state transition relationship for detection with high efficiency.
【技术实现步骤摘要】
一种基于C&C通信状态转换检测僵尸网络的方法
本专利技术涉及网络安全
,尤其涉及一种基于C&C通信状态转换检测僵尸网络的方法。
技术介绍
C&C服务器的全称是CommandandControlServer,即“命令及控制服务器”。随着恶意木马产业的发展,很多木马早已摆脱了过去“单打独斗”的作战方式,而是通过网络相互关联起来,通过指挥大量受到感染的计算机共同行动,进而发挥出协同效果。这样既可以集中起来同时对某个目标进行打击,也可以互相分散各自所承受的风险。这其中,进行指挥的关键节点便是C&C服务器。这些服务器用于控制DDoS僵尸网络,垃圾信息网络,银行木马,以及用于传播钓鱼和恶意软件感染所收集到的数据的服务器。C&C服务器一方面可以接收被控制计算机(也被称为肉鸡)上面活跃的木马传来的信息,了解肉鸡的系统环境、可用能力甚至是隐私信息等秘密;另一方面也可以向肉鸡发送控制指令,指示肉鸡中的木马执行预定义的恶意动作,满足控制者各种不同的需求,甚至可以对木马进行在线升级,使木马具备更多作恶能力,进而造成更大破坏。每一个C&C服务器必须对应一个具体的IP之后,才能被木马访问。部分木马在代码中直接指定了服务器IP,而另一部分木马使用域名,这些域名经过解析之后,也能转换为服务器具体的IP信息。为什么malware需要主动和C&C服务通讯?因为多数情况下malware是通过钓鱼邮件啊等方法下载到感染宿主机,攻击者并不能主动得知malware被谁下载,也不能主动得知宿主机的状态(是否开机是否联网等),除非malware主动告 ...
【技术保护点】
1.一种基于C&C通信状态转换检测僵尸网络的方法,其特征在于,包括训练阶段和预测阶段,训练阶段包括如下步骤,A1、对收集的训练集数据流按照源I P、目的I P、目的端口和协议类型四元组进行提取分组,并根据训练集数据流中的已知标签人工进行识别;A2、提取训练集数据流的特征,包括每条流的大小、持续时间和周期,按阈值对上述三种特征进行处理划分等级,对特征状态进行编码,并利用上述三种特征来参数化流的状态,生成状态链;A3、根据状态链生成候选的马尔科夫模型,并保存生成该候选的马尔科夫模型的原始概率,训练阶段各个已知分组数据生成的所有候选的马尔科夫模型构成预测阶段使用的候选模型库,并根据训练集数据流训练得到判断概率的概率阈值,在预测阶段使用;预测阶段包括如下步骤,B1、将待测数据流按照步骤A1、A2中对数据流的处理方式进行四元组划分、提取特征并生成待测状态链;B2、对待测状态链提取状态链的协议类型,若有协议类型,则与候选模型库中候选马尔科夫模型逐一匹配,若协议类型与候选马尔科夫模型的协议不匹配,丢弃此候选马尔科夫模型,选择下一个候选马尔科夫模型重新匹配,若无协议类型或者协议类型与候选马尔科夫模型一 ...
【技术特征摘要】
1.一种基于C&C通信状态转换检测僵尸网络的方法,其特征在于,包括训练阶段和预测阶段,训练阶段包括如下步骤,A1、对收集的训练集数据流按照源IP、目的IP、目的端口和协议类型四元组进行提取分组,并根据训练集数据流中的已知标签人工进行识别;A2、提取训练集数据流的特征,包括每条流的大小、持续时间和周期,按阈值对上述三种特征进行处理划分等级,对特征状态进行编码,并利用上述三种特征来参数化流的状态,生成状态链;A3、根据状态链生成候选的马尔科夫模型,并保存生成该候选的马尔科夫模型的原始概率,训练阶段各个已知分组数据生成的所有候选的马尔科夫模型构成预测阶段使用的候选模型库,并根据训练集数据流训练得到判断概率的概率阈值,在预测阶段使用;预测阶段包括如下步骤,B1、将待测数据流按照步骤A1、A2中对数据流的处理方式进行四元组划分、提取特征并生成待测状态链;B2、对待测状态链提取状态链的协议类型,若有协议类型,则与候选模型库中候选马尔科夫模型逐一匹配,若协议类型与候选马尔科夫模型的协议不匹配,丢弃此候选马尔科夫模型,选择下一个候选马尔科夫模型重新匹配,若无协议类型或者协议类型与候选马尔科夫模型一致,则进行下一步;B3、计算该待测状态链是由该匹配成功的候选马尔科夫模型产生的测试概率,若测试概率与该候选马尔科夫模型对应的原始概率之差的绝对值大于概率阈值,则视为不匹配,丢弃该候选马尔科夫模型,选择下一个候选马尔科夫模型重新匹配,否则保存该候选马尔科夫模型及测试概率,并选择...
【专利技术属性】
技术研发人员:姚兴仁,
申请(专利权)人:长扬科技北京有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。