本发明专利技术涉及一种基于威胁情报的僵尸网络检测方法及检测系统,检测模块启动并加载本地更新的所有威胁情报至本地威胁情报库,获得第一审计数据与本地威胁情报库中的数据匹配,保存第一审计数据,匹配成功则保存风险数据到数据库,获得第一审计数据的源IP在T时间内的第二审计数据,基于风险数据对威胁事件进行分类,将第一审计数据、第二审计数据和分类后的数据关联,以存在网络请求行为符合僵尸网络特征的若干个IP为僵尸网络。本发明专利技术基于精准的威胁情报检测,并且可以从云端实时更新下载威胁情报,误报率和漏报率低;先根据威胁情报检测到风险,再对发生风险的这些源IP进行网络行为分析,判断是否符合僵尸网络的行为特征,误报率和漏报率低。
A detection method and system of Botnet based on Threat Intelligence
【技术实现步骤摘要】
一种基于威胁情报的僵尸网络检测方法及检测系统
本专利技术涉及数字信息的传输,例如电报通信的
,特别涉及一种以协议为特征的、基于威胁情报的僵尸网络检测方法及检测系统。
技术介绍
僵尸网络是互联网连接设备的集合,其中包括被常见类型的恶意文件感染和控制的PC、服务器、移动设备,或者物联网设备。通常来说,用户不知道僵尸网络会感染他们的系统,在收到钓鱼邮件并打开含有恶意文件的附件、或被误导的情况下下载了恶意文件后,将致使他们的计算机感染僵尸程序,进而被网络犯罪分子控制,用户并不知道僵尸程序的网络行为;僵尸网络往往被黑客用来发起大规模的网络攻击,如分布式拒绝服务攻击(DDoS)、发送海量垃圾邮件、窃取主机敏感信息、挖矿等,同时黑客控制的这些计算机所保存的信息,譬如银行帐户的密码、社会安全号码等,也都可被黑客随意“取用”。由于用户的计算机设备感染僵尸程序后,僵尸程序会与C&C服务器通信,C&C服务器会下发命令,对其进行远程控制,故不论是对网络安全运行还是用户数据安全的保护来说,僵尸网络都是极具威胁的隐患,破坏性影响很大。现有技术中,专利申请号为201810615711.8的中国专利公开了一种僵尸网络的检测方法及装置,包括从网络上抓取第一待测网络数据包;按照预先训练的随机森林条件熵模型对第一待测网络数据包进行检验,滤掉由随机森林条件熵模型检测出的僵尸网络第一疑似数据包;按照预先训练的四元组模型和二元组模型,对滤掉僵尸网络第一疑似数据包后剩余的第二待测网络数据包进行检测,得到僵尸网络第二疑似数据包。此专利提高了对多样化的僵尸网络的检测效果。专利申请号为201610222674.5的中国专利公开了一种基于DNS流量特征的僵尸网络检测方法,将合法主域名和非法主域名组合起来形成目标集合;处理提取长度大于6的域名作为研究对象;分别计算域名熵值、构词法特征、语音特征和分组特征;放入随机森林分类器得到训练模型。现有技术存在相同的缺点,即试错周期长,实施阶段漏报率和误报率不可控,需要长时间的优化并调整数据分析的判断细节,例如,熵值、构词法特征等,实际流量中数据包的多样性也需要大量的测试。
技术实现思路
本专利技术解决了现有技术中,对于僵尸网络的检测普遍存在试错周期长,实施阶段漏报率和误报率不可控,需要长时间的优化并调整数据分析的判断细节,实际流量中数据包的多样性需要大量的测试的问题,提供了一种优化的基于威胁情报的僵尸网络检测方法及检测系统。本专利技术所采用的技术方案是,一种基于威胁情报的僵尸网络检测方法,所述方法包括以下步骤:步骤1:检测模块启动,加载本地更新的所有威胁情报至本地威胁情报库;步骤2:若检测模块获得基于采集的网络流量的第一审计数据,则进行下一步,否则,重复步骤2;步骤3:检测模块以第一审计数据与本地威胁情报库中的数据进行匹配,若匹配成功,则保存第一审计数据、风险数据到数据库,进行下一步,否则,保存第一审计数据,返回步骤2;步骤4:获得当前第一审计数据的源IP在T时间内的第二审计数据;步骤5:基于风险数据对威胁事件进行分类;步骤6:将第一审计数据、第二审计数据和分类后的数据进行关联和分析,将网络请求行为的特征符合僵尸网络特征的所有IP确认为僵尸网络。优选地,若情报更新模块从云端下载了更新的威胁情报数据,则情报更新模块发送通知给检测模块,检测模块增量加载最近更新的威胁情报数据。优选地,所述第一审计数据和第二审计数据包括源IP、请求时间、目的地址、发送的请求信息、返回信息、返回码。优选地,所述步骤3中,风险数据包括当前审计数据的域名的威胁程度、所属黑客组织、所属病毒家族、威胁类型、域名注册信息。优选地,所述步骤4中,T为0.5~2小时。优选地,所述步骤5包括以下步骤:步骤5.1:基于风险数据对威胁事件分类至若干威胁类型;步骤5.2:针对每个威胁类型,以目的IP和/或恶意域名聚类为若干子集;步骤5.3:输出所有的子集。优选地,所述步骤6包括以下步骤:步骤6.1:取任一未处理的子集;步骤6.2:若当前子集中存在至少1个源IP超过1次访问同一个目的IP和/或访问相同的恶意域名,则分析当前源IP的审计数据是否存在僵尸网络特征,若是,则判定这些IP对应的主机已经感染了僵尸程序,否则进行下一步;步骤6.3:是否还存在未处理的子集,若是,返回步骤6.1,否则,输出确认的僵尸网络。优选地,所述情报更新模块定期检查云端的威胁情报库更新的威胁情报数据,选择是否从云端更新威胁情报数据。一种采用所述的基于威胁情报的僵尸网络检测方法的检测系统,所述检测系统包括:一情报更新模块,用于定期检查云端威胁情报库最近的更新情况并确定是否需要从云端更新威胁情报数据;一威胁情报库,用于将情报更新模块从云端下载的威胁情报数据保存到本地;一网络流量采集与解析模块,用于获取网络流量数据并解析为审计数据;一检测模块,用于加载威胁情报库并与网络流量采集与解析模块解析后的审计数据进行匹配得到风险数据;一分析模块,用于对检测模块输出的结果进行分析。优选地,所述云端包括:一云端威胁情报库,用于保存全量威胁情报数据;一情报查询和更新接口,用于与情报更新模块对接,提供威胁情报查询接口和情报更新接口。本专利技术提供了一种优化的基于威胁情报的僵尸网络检测方法及检测系统,检测模块启动并加载本地更新的所有威胁情报至本地威胁情报库,当检测模块获得基于采集的网络流量的第一审计数据,则以第一审计数据与本地威胁情报库中的数据进行匹配,保存第一审计数据,若匹配成功,则同时保存风险数据到数据库,获得当前第一审计数据的源IP在T时间内的第二审计数据,基于风险数据对威胁事件进行分类,将第一审计数据、第二审计数据和分类后的数据进行关联,查找存在网络请求行为符合僵尸网络特征的若干个IP,确认为僵尸网络。本专利技术基于威胁情报进行网络协议解析、威胁检测,进而识别僵尸网络的控制端和僵尸主机,检测得到僵尸网络,及时发现网络威胁,减少僵尸网络对个人用户或者企业造成的危害。本专利技术的有益效果在于:(1)基于精准的威胁情报检测,并且可以从云端实时更新下载威胁情报,误报率和漏报率低;(2)先根据威胁情报检测到风险,再对发生风险的这些源IP进行网络行为分析,判断是否符合僵尸网络的行为特征,误报率和漏报率低。附图说明图1为本专利技术的方法流程图;图2为本专利技术的系统结构示意图,其中,箭头表示数据传输的方向。具体实施方式下面结合实施例对本专利技术做进一步的详细描述,但本专利技术的保护范围并不限于此。本专利技术涉及一种基于威胁情报的僵尸网络检测方法,僵尸网络控制端为了躲避检测,僵尸主机(受控端)通常通过C&C域名去访问控制端,接收指令,而僵尸网络本身又具有群体性、持续性、周期性的行为特征,可以对DNS协议的流本文档来自技高网...
【技术保护点】
1.一种基于威胁情报的僵尸网络检测方法,其特征在于:所述方法包括以下步骤:/n步骤1:检测模块启动,加载本地更新的所有威胁情报至本地威胁情报库;/n步骤2:若检测模块获得基于采集的网络流量的第一审计数据,则进行下一步,否则,重复步骤2;/n步骤3:检测模块以第一审计数据与本地威胁情报库中的数据进行匹配,若匹配成功,则保存第一审计数据、风险数据到数据库,进行下一步,否则,保存第一审计数据,返回步骤2;/n步骤4:获得当前第一审计数据的源IP在T时间内的第二审计数据;/n步骤5:基于风险数据对威胁事件进行分类;/n步骤6:将第一审计数据、第二审计数据和分类后的数据进行关联和分析,将网络请求行为的特征符合僵尸网络特征的所有IP确认为僵尸网络。/n
【技术特征摘要】
1.一种基于威胁情报的僵尸网络检测方法,其特征在于:所述方法包括以下步骤:
步骤1:检测模块启动,加载本地更新的所有威胁情报至本地威胁情报库;
步骤2:若检测模块获得基于采集的网络流量的第一审计数据,则进行下一步,否则,重复步骤2;
步骤3:检测模块以第一审计数据与本地威胁情报库中的数据进行匹配,若匹配成功,则保存第一审计数据、风险数据到数据库,进行下一步,否则,保存第一审计数据,返回步骤2;
步骤4:获得当前第一审计数据的源IP在T时间内的第二审计数据;
步骤5:基于风险数据对威胁事件进行分类;
步骤6:将第一审计数据、第二审计数据和分类后的数据进行关联和分析,将网络请求行为的特征符合僵尸网络特征的所有IP确认为僵尸网络。
2.根据权利要求1所述的一种基于威胁情报的僵尸网络检测方法,其特征在于:若情报更新模块从云端下载了更新的威胁情报数据,则情报更新模块发送通知给检测模块,检测模块增量加载最近更新的威胁情报数据。
3.根据权利要求1所述的一种基于威胁情报的僵尸网络检测方法,其特征在于:所述第一审计数据和第二审计数据包括源IP、请求时间、目的地址、发送的请求信息、返回信息、返回码。
4.根据权利要求1所述的一种基于威胁情报的僵尸网络检测方法,其特征在于:所述步骤3中,风险数据包括当前审计数据的域名的威胁程度、所属黑客组织、所属病毒家族、威胁类型、域名注册信息。
5.根据权利要求1所述的一种基于威胁情报的僵尸网络检测方法,其特征在于:所述步骤4中,T为0.5~2小时。
6.根据权利要求1所述的一种基于威胁情报的僵尸网络检测方法,其特征在于:所述步骤5包括以下步骤:
步骤5.1:基于风险数据对威胁事件分类至若干...
【专利技术属性】
技术研发人员:程华才,范渊,
申请(专利权)人:杭州安恒信息技术股份有限公司,
类型:发明
国别省市:浙江;33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。