僵尸主控机发现系统和方法技术方案

一种系统和方法生成多个已知恶意实体集群，已知恶意实体是一个或更多个已知恶意IP地址、一个或更多个已知恶意域以及已知恶意域和已知恶意IP地址；该系统和方法在多个源IP地址与多个目的地IP地址之间执行各个已知恶意实体集群中的各个IP地址的流匹配，以识别多个主机流，其中，各个主机流具有与已知恶意实体集群中的特定IP地址相匹配的源IP地址或目的地IP地址；该系统和方法通过分析僵尸与僵尸主控机之间的流特征差异来从与各个已知恶意实体集群相对应的所述多个主机流中检测出各个已知恶意实体集群的僵尸主控机。

Botnet host computer discovery system and system

A system and method generates a cluster of known malicious entities with one or more known malicious IP addresses, one or more known malicious domains and known malicious domains and known malicious IP addresses. The system and method perform flow matching between multiple source IP addresses and multiple destination IP addresses for each known malicious entity cluster. There are several host streams, in which each host stream has a source IP address or destination IP address that matches a specific IP address in a known malicious entity cluster; the system and method detects the botnets of each known malicious entity cluster from the multiple host streams corresponding to each known malicious entity cluster by analyzing the difference of flow characteristics between botnets and botnets. Control machine.

【技术实现步骤摘要】
【国外来华专利技术】僵尸主控机发现系统和方法
本公开总体上涉及检测网络威胁，具体地，涉及发现网络威胁的僵尸主控机(botmaster)。
技术介绍
僵尸网络是已知的并且由以协调方式工作的多个计算机系统组成。僵尸网络可以出于合法目的而存在，但经常被用于不法目的，在该不法目的中，僵尸网络的每个计算机资源都可能被恶意代码感染。僵尸主控机是控制属于僵尸网络的一部分的其它多个计算机系统的计算机。期望能够发现多个计算机系统中的被攻击的群组以及僵尸主控机。附图说明图1例示了高级攻击者群组的示例；图2例示了僵尸主控机发现过程；图3例示了僵尸主控机发现系统和设备的实现；图4例示了僵尸主控机发现系统和设备的僵尸主控机发现组件的更多细节；图5例示了僵尸主控机发现过程的另一实现；图6A和图6B例示了属于僵尸主控机发现过程的一部分的域-IP聚类过程的更多细节；图7A和图7B例示了属于僵尸主控机发现过程的一部分的流匹配和分析过程的更多细节；图8A和图8B例示了属于僵尸主控机发现过程的一部分的僵尸主控机检测过程的更多细节；以及图9例示了对所检测到的僵尸主控机进行显示的POC用户界面。具体实施方式本公开尤其适用于所实现的僵尸主控机发现系统和方法，并将在此背景中描述本公开。然而，应当理解，由于该系统和方法可以以本公开范围内的其它方式实现，所以该系统和方法具有更大的实用性。图1例示了高级攻击者群组100的示例，该高级攻击者群组100可以由下文描述的系统和方法发现。攻击者群组100可以接收可由一个或更多个命令与控制(C&C)计算机106接收的正常互联网协议(IP)通信量102，该一个或更多个命令与控制(C&C)计算机106可以控制一个或更多个受害计算机108执行攻击者群组的不法行为。每个受害计算机108是由不为计算机系统的用户/所有者所知的攻击者群组控制的计算机系统。攻击者群组还可以具有可联接至所述一个或更多个C&C106的一个或更多个关联命令与控制计算机系统110。所述一个或更多个C&C106和所述一个或更多个关联C&C110可以动作，以控制/感染受害计算机108。此外，攻击者群组100还可以包括联接至每个C&C106、C&C110的主控计算机104(有时称为僵尸主控机)，并且主控计算机104控制每个C&C106、C&C110。下文描述的系统和方法可以用于如下文所述使用各种实体数据源来发现每个C&C106、C&C110以及主控计算机104。图2例示了僵尸主控机发现过程200，该僵尸主控机发现过程200示出了来自于网络的一个或更多个僵尸(bot)计算机202和僵尸主控机204，该网络可以包括一个或更多个主机206、具有IP地址(C2IP)的一个或更多个命令与控制计算机208以及一个或更多个域/统一资源定位符(URL)210。每个僵尸202可以是下载不法代码的用户，但不是由下文描述的网络流数据所暗示的僵尸主控机。相反地，僵尸主控机204可以具有与僵尸202不同的基于网络流的行为，并且可以是僵尸主控机。如图2所示，每个主机206可以作为僵尸202或僵尸主控机204的主机。每个主机206可以由命令与控制计算机208中的至少一个进行控制，其中，每个命令与控制计算机具有其自己的IP地址。每个命令与控制计算机208可以具有一个或更多个所示的域/URL210。基于以上结构以及各种计算机系统之间的关系，所述系统和方法部分利用了要素之间的网络流来识别C&C和僵尸主控机204。如图2所示地使用该系统，该系统可以通过IP/域集群使用下文描述的网络流特征来发现僵尸主控机204以及相关联的C2IP208。该系统还可以通过下文详细描述的网络流来提取C2集群和僵尸主控机候选的通信模式。系统还可以通过黑名单数据和被动DNS数据对恶意代理IP/URL(域/IP通量)进行聚类。在该系统和方法中，该系统和方法的目标是发现攻击者群组和僵尸主控机。输入到系统的数据可以是黑名单数据、被动DNS数据和网络流数据。该系统和方法可以对域-IP集群进行聚类、提取C2集群模式和连接到每个集群的主机以及提取僵尸主控机。图3例示了僵尸主控机发现系统和设备300的实现。在本实现中，僵尸主控机检测组件308可以是作为服务的软件，其中，用户可以使用一个或更多个计算机装置302通过通信路径306联接至僵尸主控机检测组件308并与僵尸主控机检测组件308交换数据。另选地，僵尸主控机检测组件308可以嵌入网络安全系统中或者是网络安全系统的一部分，或者可以在独立的计算机系统上实现。僵尸主控机检测组件308可以使用已经存储在系统的存贮器310中的数据、用户使用计算装置302提交的数据或者相对于僵尸主控机检测组件308远程存储的数据来执行僵尸主控机发现过程，并且可以返回基于用户的僵尸主控机发现结果数据。在一些实施方式中，僵尸主控机检测组件308可以通过通信路径306从一个或更多个实体数据源304接收数据。每个计算装置302可以是基于处理器的装置，该装置具有诸如SRAM或DRAM的存储器、诸如闪存或硬盘驱动器的永久存储器、显示器和通信电路(有线或无线)，该通信电路允许计算装置联接至僵尸主控机发现组件308并与僵尸主控机发现组件308交换数据。例如，每个计算装置302可以是智能电话装置(诸如苹果iPhone手机或基于安卓操作系统的装置)、蜂窝式电话、个人电脑、膝上型电脑、平板电脑、终端装置等。在一些实施方式中，计算装置可以具有可促进与僵尸主控机发现组件308的通信的移动应用程序或浏览器应用程序。通信路径306可以是有线通信路径、无线通信路径或有线通信路径和无线通信路径的组合。例如，通信路径306可以是互联网、以太网、数字数据网络、蜂窝数字数据网络、WiFi网络、LAN、WAN等。通信路径306可以使用已知或尚待开发的协议，以促进僵尸主控机发现组件308、各个计算装置302以及实体数据源304之间的数据交换。例如，当计算装置302使用浏览器应用程序利用HTML格式的网页交换数据时，通信路径可以使用已知的TCP/IP和HTTP/HTTPS协议。所述一个或更多个实体数据源304可以是僵尸主控机发现组件308的本地数据源，或者可以是远离僵尸主控机发现组件308的数据源，或者是二者的组合。通常，所述一个或更多个实体数据源304可以存储关于特定计算机网络的数据，诸如其IP地址、网络流数据、域名等(统称为“僵尸主控机发现数据”)，并且僵尸主控机发现组件308可以利用该数据执行下文描述的僵尸主控机发现过程。僵尸主控机发现组件308可以在硬件或软件中实现。当僵尸主控机发现组件308是在软件中实现时，僵尸主控机发现组件308可以是多行计算机代码/指令，这些计算机代码/指令可以由作为僵尸主控机发现组件308的宿主的计算源(诸如服务器计算机、刀片服务器等)的一个或更多个处理器执行，使得该处理器被配置为执行僵尸主控机发现组件308的下文描述的操作。当僵尸主控机发现组件308在硬件中实现时，僵尸主控机发现组件308可以是诸如集成电路、门阵列、微控制器、微处理器等的硬件装置，该硬件装置被操作执行僵尸主控机发现组件308的下文描述的操作。存贮器310可以存本文档来自技高网...

【技术保护点】
1.一种设备，该设备包括：处理器；存储器；所述处理器执行多行计算机代码，并且所述多行计算机代码的执行使得所述处理器被配置为在具有以下项的网络上执行处理：多个已知恶意域；均具有已知恶意互联网协议IP地址的多个服务器，其中，各个服务器与所述多个域中的一个或更多个相关联；与所述多个服务器中的一个或更多个相关联的多个主机，其中，所述主机是僵尸和僵尸主控机中的一个，所述僵尸是被感染的主机且成为用于网络犯罪目的的资源的一部分，所述僵尸主控机包含用于网络犯罪目的的僵尸，所述处理还包括：生成多个已知恶意实体集群，已知恶意实体为一个或更多个已知恶意IP地址、一个或更多个已知恶意域、以及已知恶意域和已知恶意IP地址；在多个源IP地址与多个目的地IP地址之间执行各个已知恶意实体集群中的各个IP地址的流匹配，以识别多个主机流，其中，每个主机流具有与已知恶意实体集群中的特定IP地址相匹配的源IP地址或目的地IP地址；以及通过分析僵尸与僵尸主控机之间的流特征差异，来从与各个已知恶意实体集群相对应的所述多个主机流中检测出各个已知恶意实体集群的僵尸主控机。

【技术特征摘要】
【国外来华专利技术】2016.06.23 US 15/191,3301.一种设备，该设备包括：处理器；存储器；所述处理器执行多行计算机代码，并且所述多行计算机代码的执行使得所述处理器被配置为在具有以下项的网络上执行处理：多个已知恶意域；均具有已知恶意互联网协议IP地址的多个服务器，其中，各个服务器与所述多个域中的一个或更多个相关联；与所述多个服务器中的一个或更多个相关联的多个主机，其中，所述主机是僵尸和僵尸主控机中的一个，所述僵尸是被感染的主机且成为用于网络犯罪目的的资源的一部分，所述僵尸主控机包含用于网络犯罪目的的僵尸，所述处理还包括：生成多个已知恶意实体集群，已知恶意实体为一个或更多个已知恶意IP地址、一个或更多个已知恶意域、以及已知恶意域和已知恶意IP地址；在多个源IP地址与多个目的地IP地址之间执行各个已知恶意实体集群中的各个IP地址的流匹配，以识别多个主机流，其中，每个主机流具有与已知恶意实体集群中的特定IP地址相匹配的源IP地址或目的地IP地址；以及通过分析僵尸与僵尸主控机之间的流特征差异，来从与各个已知恶意实体集群相对应的所述多个主机流中检测出各个已知恶意实体集群的僵尸主控机。2.根据权利要求1所述的设备，其中，所述处理器被配置为生成多个已知恶意实体集群的事实还包括：所述处理器被配置为，使用具有多个已知恶意互联网协议IP地址和多个已知恶意域的黑名单以及将特定域映射到特定IP地址的域名服务数据集，对所述多个已知恶意实体集群进行聚类。3.根据权利要求1所述的设备，该设备还包括连接至所述处理器的一个或更多个存储单元，所述一个或更多个存储单元存储具有多个已知恶意互联网协议IP地址和多个已知恶意域的黑名单、将特定域映射到特定IP地址的域名服务数据集以及传送数字数据所用的网络流数据集，该网络流数据集包含连接到目的地IP地址/源IP地址的源IP地址/目的地IP地址。4.根据权利要求1所述的设备，其中，所述处理器被配置为计算流特征，以对成为具有类似...

【专利技术属性】
技术研发人员：胡博，井上昌幸，高桥健司，
申请(专利权)人：日本电信电话株式会社，
类型：发明
国别省市：日本,JP