僵尸网络控制节点的检测方法及装置制造方法及图纸

本发明专利技术公开了一种僵尸网络控制节点的检测方法及装置，其中，方法包括：根据当前僵尸网络控制节点的IP生成高频网段，以快速定位可疑网络控制节点位置；根据高频网段IP的端口当前状态得到初始可疑网络控制节点集合，并与预设的常用端口列表得到可疑网络控制节点列表；根据可疑网络控制节点列表过滤获取高可疑网络控制节点列表；根据高可疑网络控制节点列表和僵尸网络家族的端口列表进行匹配和协议探测；根据分类结果对高可疑网络控制节点列表的高可疑网络控制节点进行协议校验；根据家族协议获取相应僵尸网络家族的网络控制节点。该方法对僵尸网络控制节点加速自动化主动分析探测，探测更多未知的僵尸网络控节点，提高探测效率，提高扫描效率。

Detection Method and Device of Botnet Control Node

【技术实现步骤摘要】
僵尸网络控制节点的检测方法及装置
本专利技术涉及计算机应用
，特别涉及一种僵尸网络控制节点的检测方法及装置。
技术介绍
实现自动化僵尸网络监控过程需要三个步骤，首先，家族识别和家族通讯协议逆向分析；其次，自动化监控、协议分析脚本；最后，僵尸网络控制节点批量输入进行批量自动化监控。当完成前两步后，需要输入更多的活跃僵尸网络控制节点，才能实现单家族僵尸网络密集监控，产出更多的监控数据。通过VirusTotal获取被探测到的样本进行样本提取以获取僵尸网络控制节点。通过样本提取僵尸网络控制节点是比较快的方式，但是，由于VirusTotal不可能确保完全捕获最新出现的同家族样本，也就无法完全获取最新的僵尸网络控制节点，而一般的网络控制节点探测方法耗时长，准确率低。因此，需要研发快速、准确探测僵尸网络控制节点的方法，获取更多同家族的未知僵尸网络控制节点。
技术实现思路
本专利技术旨在至少在一定程度上解决相关技术中的技术问题之一。为此，本专利技术的一个目的在于提出一种僵尸网络控制节点的检测方法，该方法可以有效提高探测效率，提高扫描效率。本专利技术的另一个目的在于提出一种僵尸网络控制节点的检测装置。为达到上述目的，本专利技术一方面实施例提出了一种僵尸网络控制节点的检测方法，包括以下步骤：根据当前僵尸网络控制节点的IP(InternetProtocol，网络之间互连的协议)生成高频网段，并对所述高频网段的每个IP发送SYN数据包，以确定所述每个IP的端口的当前状态；根据所述每个端口的当前状态得到初始可疑网络控制节点集合，并根据所述初始可疑网络控制节点集合与预设的常用端口列表得到可疑网络控制节点列表；根据所述可疑网络控制节点列表建立TCP(TransmissionControlProtocol，传输控制协议)连接，以获取高可疑网络控制节点列表；根据所述高可疑网络控制节点列表和僵尸网络家族的端口列表进行匹配和协议探测，以进行家族关联分类；根据所述分类结果对所述高可疑网络控制节点列表的高可疑网络控制节点进行协议校验，以识别家族协议；根据所述家族协议获取相应家族的僵尸网络控制节点。本专利技术实施例的僵尸网络控制节点的检测方法，通过对僵尸网络控制节点进行加速自动化主动分析探测，以探测更多的未知的僵尸网络控节点，从而根据监控到的数据进行自动化分析，挖掘更多的威胁情报，实现威胁情报态势感知，有效提高探测效率，提高扫描效率。另外，根据本专利技术上述实施例的僵尸网络控制节点的检测方法还可以具有以下附加的技术特征：进一步地，在本专利技术的一个实施例中，所述根据所述每个端口的当前状态得到初始可疑网络控制节点集合，进一步包括：根据所述每个IP的端口的当前状态得到所述每个IP的开放端口数；判断所述每个IP的开放端口数是否大于预设端口数；如果大于所述预设端口数，则剔除；如果小于所述预设端口数，则获取对应开放端口的低可疑网络控制节点的集合，以得到所述初始可疑网络控制节点集合。进一步地，在本专利技术的一个实施例中，所述根据所述高可疑网络控制节点列表和僵尸网络家族的端口列表进行匹配和协议探测，进一步包括：通过对已捕获的样本进行家族识别和家族通讯协议逆向分析获取所述僵尸网络家族的端口列表；通过所述高可疑网络控制节点列表和所述僵尸网络家族的端口列表匹配得到所述分类结果。进一步地，在本专利技术的一个实施例中，所述根据所述分类结果对所述高可疑网络控制节点列表的高可疑网络控制节点进行协议校验，进一步包括：对所述高可疑网络控制节点进行各僵尸网络家族确认包专有协议校验，以识别相应家族的僵尸网络控制节点。进一步地，在本专利技术的一个实施例中，所述根据所述家族协议获取相应家族的僵尸网络控制节点，进一步包括：利用沙箱或者木马自动化分析引擎持续对木马分析并解析出新的僵尸网络控制节点，推送拓展新的僵尸网络控制节点的IP和端口，以得到所述所有的僵尸网络控制节点。为达到上述目的，本专利技术另一方面实施例提出了一种僵尸网络控制节点的检测装置，包括：第一获取模块，用于根据当前僵尸网络控制节点的IP生成高频网段，并对所述高频网段的每个IP发送SYN数据包，以确定所述每个IP的端口的当前状态；采集模块，用于根据所述每个端口的当前状态得到初始可疑网络控制节点集合，并根据所述初始可疑网络控制节点集合与预设的常用端口列表得到可疑网络控制节点列表；第二获取模块，用于根据所述可疑网络控制节点列表建立TCP连接，以获取高可疑网络控制节点列表；探测模块，用于根据所述高可疑网络控制节点列表和僵尸网络家族的端口列表进行匹配和协议探测，以进行家族关联分类；校验模块，用于根据所述分类结果对所述高可疑网络控制节点列表的高可疑网络控制节点进行协议校验，以识别家族协议；第三获取模块，用于根据所述家族协议获取相应家族的僵尸网络控制节点。本专利技术实施例的僵尸网络控制节点的检测装置，通过对僵尸网络控制节点进行加速自动化主动分析探测，以探测更多的未知的僵尸网络控节点，从而根据监控到的数据进行自动化分析，挖掘更多的威胁情报，实现威胁情报态势感知，有效提高探测效率，提高扫描效率。另外，根据本专利技术上述实施例的僵尸网络控制节点的检测装置还可以具有以下附加的技术特征：进一步地，在本专利技术的一个实施例中，所述采集模块，进一步包括：采集单元，用于根据所述每个IP的端口的当前状态得到所述每个IP的开放端口数；判断单元，用于判断所述每个IP的开放端口数是否大于预设端口数；剔除单元，用于如果大于所述预设端口数，则剔除；以及第一获取单元，用于如果小于所述预设端口数，则获取对应开放端口的低可疑网络控制节点的集合，以得到所述初始可疑网络控制节点集合。进一步地，在本专利技术的一个实施例中，所述探测模块，进一步包括：第二获取单元，用于通过对已捕获的样本进行家族识别和家族通讯协议逆向分析获取所述僵尸网络家族的端口列表；匹配单元，用于通过所述高可疑网络控制节点列表和所述僵尸网络家族的端口列表匹配得到所述分类结果。进一步地，在本专利技术的一个实施例中，所述校验模块，进一步包括：校验单元，用于对所述高可疑网络控制节点进行各僵尸网络家族确认包专有协议校验，以识别相应家族的僵尸网络控制节点。进一步地，在本专利技术的一个实施例中，所述第三获取模块，进一步包括：利用沙箱或者木马自动化分析引擎持续对木马分析并解析出新的僵尸网络控制节点，推送拓展新的僵尸网络控制节点的IP和端口，以得到所述所有的僵尸网络控制节点。本专利技术附加的方面和优点将在下面的描述中部分给出，部分将从下面的描述中变得明显，或通过本专利技术的实践了解到。附图说明本专利技术上述的和/或附加的方面和优点从下面结合附图对实施例的描述中将变得明显和容易理解，其中：图1为根据本专利技术实施例的僵尸网络控制节点的检测方法的流程图；图2为根据本专利技术一个实施例的僵尸网络控制节点快速探测的流程图；图3为根据本专利技术实施例的僵尸网络控制节点的检测装置的结构示意图。具体实施方式下面详细描述本专利技术的实施例，所述实施例的示例在附图中示出，其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的，旨在用于解释本专利技术，而不能理解为对本专利技术的限制。下面参照附图描述根据本专利技术实施例提出的僵尸网络控制节点的检测方法及装置，首先将参照附图描述根据本本文档来自技高网...

【技术保护点】
1.一种僵尸网络控制节点的检测方法，其特征在于，包括以下步骤：根据当前僵尸网络控制节点的IP生成高频网段，并对所述高频网段的每个IP发送SYN数据包，以确定所述每个IP的端口的当前状态；根据所述每个端口的当前状态得到初始可疑网络控制节点集合，并根据所述初始可疑网络控制节点集合与预设的常用端口列表得到可疑网络控制节点列表；根据所述可疑网络控制节点列表建立TCP连接，以获取高可疑网络控制节点列表；根据所述高可疑网络控制节点列表和僵尸网络家族的端口列表进行匹配和协议探测，以进行家族关联分类；根据所述分类结果对所述高可疑网络控制节点列表的高可疑网络控制节点进行协议校验，以识别家族协议；以及根据所述家族协议获取对应僵尸网络家族的网络控制节点。

【技术特征摘要】
1.一种僵尸网络控制节点的检测方法，其特征在于，包括以下步骤：根据当前僵尸网络控制节点的IP生成高频网段，并对所述高频网段的每个IP发送SYN数据包，以确定所述每个IP的端口的当前状态；根据所述每个端口的当前状态得到初始可疑网络控制节点集合，并根据所述初始可疑网络控制节点集合与预设的常用端口列表得到可疑网络控制节点列表；根据所述可疑网络控制节点列表建立TCP连接，以获取高可疑网络控制节点列表；根据所述高可疑网络控制节点列表和僵尸网络家族的端口列表进行匹配和协议探测，以进行家族关联分类；根据所述分类结果对所述高可疑网络控制节点列表的高可疑网络控制节点进行协议校验，以识别家族协议；以及根据所述家族协议获取对应僵尸网络家族的网络控制节点。2.根据权利要求1所述的僵尸网络控制节点的检测方法，其特征在于，所述根据所述每个端口的当前状态得到初始可疑网络控制节点集合，进一步包括：根据所述每个IP的端口的当前状态得到所述每个IP的开放端口数；判断所述每个IP的开放端口数是否大于预设端口数；如果大于所述预设端口数，则剔除；以及如果小于所述预设端口数，则获取对应开放端口的低可疑网络控制节点的集合，以得到所述初始可疑网络控制节点集合。3.根据权利要求1所述的僵尸网络控制节点的检测方法，其特征在于，所述根据所述高可疑网络控制节点列表和僵尸网络家族的端口列表进行匹配和协议探测，进一步包括：通过对已捕获的样本进行家族识别和家族通讯协议逆向分析获取所述僵尸网络家族的端口列表；通过所述高可疑网络控制节点列表和所述僵尸网络家族的端口列表匹配得到所述分类结果。4.根据权利要求1或3所述的僵尸网络控制节点的检测方法，其特征在于，所述根据所述分类结果对所述高可疑网络控制节点列表的高可疑网络控制节点进行协议校验，进一步包括：对所述高可疑网络控制节点进行各僵尸网络家族确认包专有协议校验，以识别相应家族的僵尸网络控制节点。5.根据权利要求1-4任一项所述的僵尸网络控制节点的检测方法，其特征在于，所述根据所述家族协议获取相应家族的僵尸网络控制节点，进一步包括：利用沙箱或者木马自动化分析引擎持续对木马分析并解析出新的僵尸网络控制节点，推送拓展新的僵尸网络控制节点的IP和端口，以得到所述所有的僵尸网络...

【专利技术属性】
技术研发人员：康学斌，黄云宇，李珍玲，王小丰，肖新光，
申请(专利权)人：哈尔滨安天科技股份有限公司，
类型：发明
国别省市：黑龙江,23