A system and method generates a cluster of known malicious entities with one or more known malicious IP addresses, one or more known malicious domains and known malicious domains and known malicious IP addresses. The system and method perform flow matching between multiple source IP addresses and multiple destination IP addresses for each known malicious entity cluster. There are several host streams, in which each host stream has a source IP address or destination IP address that matches a specific IP address in a known malicious entity cluster; the system and method detects the botnets of each known malicious entity cluster from the multiple host streams corresponding to each known malicious entity cluster by analyzing the difference of flow characteristics between botnets and botnets. Control machine.
【技术实现步骤摘要】
【国外来华专利技术】僵尸主控机发现系统和方法
本公开总体上涉及检测网络威胁,具体地,涉及发现网络威胁的僵尸主控机(botmaster)。
技术介绍
僵尸网络是已知的并且由以协调方式工作的多个计算机系统组成。僵尸网络可以出于合法目的而存在,但经常被用于不法目的,在该不法目的中,僵尸网络的每个计算机资源都可能被恶意代码感染。僵尸主控机是控制属于僵尸网络的一部分的其它多个计算机系统的计算机。期望能够发现多个计算机系统中的被攻击的群组以及僵尸主控机。附图说明图1例示了高级攻击者群组的示例;图2例示了僵尸主控机发现过程;图3例示了僵尸主控机发现系统和设备的实现;图4例示了僵尸主控机发现系统和设备的僵尸主控机发现组件的更多细节;图5例示了僵尸主控机发现过程的另一实现;图6A和图6B例示了属于僵尸主控机发现过程的一部分的域-IP聚类过程的更多细节;图7A和图7B例示了属于僵尸主控机发现过程的一部分的流匹配和分析过程的更多细节;图8A和图8B例示了属于僵尸主控机发现过程的一部分的僵尸主控机检测过程的更多细节;以及图9例示了对所检测到的僵尸主控机进行显示的POC用户界面。具体实施方式本公开尤其适用于所实现的僵尸主控机发现系统和方法,并将在此背景中描述本公开。然而,应当理解,由于该系统和方法可以以本公开范围内的其它方式实现,所以该系统和方法具有更大的实用性。图1例示了高级攻击者群组100的示例,该高级攻击者群组100可以由下文描述的系统和方法发现。攻击者群组100可以接收可由一个或更多个命令与控制(C&C)计算机106接收的正常互联网协议(IP)通信量102,该一个或更多个命令与控制(C ...
【技术保护点】
1.一种设备,该设备包括:处理器;存储器;所述处理器执行多行计算机代码,并且所述多行计算机代码的执行使得所述处理器被配置为在具有以下项的网络上执行处理:多个已知恶意域;均具有已知恶意互联网协议IP地址的多个服务器,其中,各个服务器与所述多个域中的一个或更多个相关联;与所述多个服务器中的一个或更多个相关联的多个主机,其中,所述主机是僵尸和僵尸主控机中的一个,所述僵尸是被感染的主机且成为用于网络犯罪目的的资源的一部分,所述僵尸主控机包含用于网络犯罪目的的僵尸,所述处理还包括:生成多个已知恶意实体集群,已知恶意实体为一个或更多个已知恶意IP地址、一个或更多个已知恶意域、以及已知恶意域和已知恶意IP地址;在多个源IP地址与多个目的地IP地址之间执行各个已知恶意实体集群中的各个IP地址的流匹配,以识别多个主机流,其中,每个主机流具有与已知恶意实体集群中的特定IP地址相匹配的源IP地址或目的地IP地址;以及通过分析僵尸与僵尸主控机之间的流特征差异,来从与各个已知恶意实体集群相对应的所述多个主机流中检测出各个已知恶意实体集群的僵尸主控机。
【技术特征摘要】
【国外来华专利技术】2016.06.23 US 15/191,3301.一种设备,该设备包括:处理器;存储器;所述处理器执行多行计算机代码,并且所述多行计算机代码的执行使得所述处理器被配置为在具有以下项的网络上执行处理:多个已知恶意域;均具有已知恶意互联网协议IP地址的多个服务器,其中,各个服务器与所述多个域中的一个或更多个相关联;与所述多个服务器中的一个或更多个相关联的多个主机,其中,所述主机是僵尸和僵尸主控机中的一个,所述僵尸是被感染的主机且成为用于网络犯罪目的的资源的一部分,所述僵尸主控机包含用于网络犯罪目的的僵尸,所述处理还包括:生成多个已知恶意实体集群,已知恶意实体为一个或更多个已知恶意IP地址、一个或更多个已知恶意域、以及已知恶意域和已知恶意IP地址;在多个源IP地址与多个目的地IP地址之间执行各个已知恶意实体集群中的各个IP地址的流匹配,以识别多个主机流,其中,每个主机流具有与已知恶意实体集群中的特定IP地址相匹配的源IP地址或目的地IP地址;以及通过分析僵尸与僵尸主控机之间的流特征差异,来从与各个已知恶意实体集群相对应的所述多个主机流中检测出各个已知恶意实体集群的僵尸主控机。2.根据权利要求1所述的设备,其中,所述处理器被配置为生成多个已知恶意实体集群的事实还包括:所述处理器被配置为,使用具有多个已知恶意互联网协议IP地址和多个已知恶意域的黑名单以及将特定域映射到特定IP地址的域名服务数据集,对所述多个已知恶意实体集群进行聚类。3.根据权利要求1所述的设备,该设备还包括连接至所述处理器的一个或更多个存储单元,所述一个或更多个存储单元存储具有多个已知恶意互联网协议IP地址和多个已知恶意域的黑名单、将特定域映射到特定IP地址的域名服务数据集以及传送数字数据所用的网络流数据集,该网络流数据集包含连接到目的地IP地址/源IP地址的源IP地址/目的地IP地址。4.根据权利要求1所述的设备,其中,所述处理器被配置为计算流特征,以对成为具有类似...
【专利技术属性】
技术研发人员:胡博,井上昌幸,高桥健司,
申请(专利权)人:日本电信电话株式会社,
类型:发明
国别省市:日本,JP
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。