【技术实现步骤摘要】
僵尸网络检测方法、系统及存储介质
本专利技术涉及网络安全
,尤其涉及一种僵尸网络检测方法、系统及存储介质。
技术介绍
僵尸网络(Botnet)是指采用一种或多种传播手段,使得大量主机感染僵尸程序(BOT程序)病毒,从而在控制者与被感染主机之间形成的一个可一对多命令与控制(CommandandControl,C&C)的网络。攻击者通过各种途径传播僵尸程序感染互联网上的大量主机,而被感染的主机通过一个控制信道接受攻击者的指令,组成一个僵尸网络。这种攻击方式为攻击者提供了隐匿、灵活且高效的一对多命令与控制机制,使得攻击者能够实现信息窃取、分布式拒绝攻击和垃圾邮件发送等攻击目的,成为当前网络安全领域的重要威胁。目前,检测僵尸网络的主流方法还是通过网络流量分析,通过对网络数据流量的聚类或关联检测来实现。这种方法多是通过被监测网络中广泛分布的多个交换机、网关设备等网络设备上的数据流信息中包含的特征信息,如源IP地址、目的IP地址、数据包大小、端口号、协议等信息来进行聚类分析,发现属于僵尸网络的网络流量的异常行为,或...
【技术保护点】
1.一种僵尸网络检测方法,其特征在于,所述方法应用于僵尸网络检测系统,所述方法包括:/n获取被监测网络中的原始网络流量数据,对所述原始网络流量数据进行预处理,得到预处理后的网络流量数据;/n基于所述预处理后的网络流量数据构建终端访问关系图;/n从所述终端访问关系图中挖掘出访问多个相同域名的终端标识列表,得到候选节点组合,基于预设的筛选规则,对所述候选节点组合进行筛选,得到僵尸网络节点的检测结果。/n
【技术特征摘要】
1.一种僵尸网络检测方法,其特征在于,所述方法应用于僵尸网络检测系统,所述方法包括:
获取被监测网络中的原始网络流量数据,对所述原始网络流量数据进行预处理,得到预处理后的网络流量数据;
基于所述预处理后的网络流量数据构建终端访问关系图;
从所述终端访问关系图中挖掘出访问多个相同域名的终端标识列表,得到候选节点组合,基于预设的筛选规则,对所述候选节点组合进行筛选,得到僵尸网络节点的检测结果。
2.根据权利要求1所述的方法,其特征在于,所述获取被监测网络中的原始网络流量数据的步骤包括:
获取被监测网络中预设时间范围内的实时流量数据或流量日志文件,作为原始网络流量数据,所述实时流量数据或流量日志文件至少包括终端的域名查询请求和/或终端访问域名的HTTP连接请求。
3.根据权利要求2所述的方法,其特征在于,所述对所述原始网络流量数据进行预处理,得到预处理后的网络流量数据的步骤包括:
对所述原始网络流量数据进行时间区间分组;
从时间区间分组后的网络流量数据中提取有效字段,所述有效字段至少包括:时间戳、终端标识、访问域名三个关键字段;
对包含有所述有效字段的网络流量数据进行清洗,过滤冗余数据及白名单,得到数据结构为<时间戳、终端标识、访问域名>的日志序列。
4.根据权利要求3所述的方法,其特征在于,所述基于所述预处理后的网络流量数据构建终端访问关系图的步骤包括:
从预处理后的网络流量数据中提取对应时间区间内终端网络行为中标识终端信息的终端标识和终端访问或查询的域名信息;
基于提取的终端标识和终端访问或查询的域名信息,以域名为中心将同一时间区间内的终端标识信息进行聚合,形成<时间标识、域名、访问域名的终端标识集合>的聚合结构;
基于所述聚合结构,构建和更新域名节点与访问域名的终端标识列表间的邻接关系图,得到终端访问关系图。
5.根据权利要求4所述的方法,其特征在于,所述从所述终端访问关系图中挖掘出访问多个相同域名的终端标识列表,得到候选节点组合的步骤:
基于所述终端访问关系图中的邻接关系构建链表并排序;
基于排序后的链表构建访问模式树;
提取所述访问模式树的每一条路径上的节点集合作为终端标识集合,以及路径终点节点的<时间标识#域名>列表作为对应的终端标识共同访问的访问域名集合,得到访问多个相同域名的终端标识列表,作为所述候选节点组合。
6.根据权利要求5所述的方法,其特征在于,所述基于所述终端访问关系图中的邻接关系构建链表并排序的步骤包括:
基于所述终端访问关系图,将每个域名节点和其对应的邻接关系节点均构建为一条链表,其中,链表中以<时间标识#访问域名>节点作为链表头节点,后续节点为终端标识节点,终端标识节点的排列顺序按照节点在整个关系图中的度数进行降序排序;
对不同链表之间进行顺序排列,其中,排列规则基于访问域名节点在整个关系图中的度数进行降序排序。
7.根据权利要求6所述的方法,其特征在于,所...
【专利技术属性】
技术研发人员:成黎,田甜,李依馨,罗熙,杨婧,王利明,
申请(专利权)人:中兴通讯股份有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。