一种清除僵尸网络的方法、系统、服务器、电子设备及存储介质技术方案

本发明专利技术实施例公开一种清除僵尸网络的方法、系统、服务器、电子设备及存储介质，涉及网络安全技术领域。所述方法包括：根据上线信息确定网内被感染主机；获取对应的网内被感染主机的操作指令特征；根据所述操作指令特征与僵尸网络指令库进行匹配，确定网内被感染主机上的僵尸网络程序所属的僵尸网络类型；所述僵尸网络指令库中包含：用于表征所述僵尸网络类型的操作指令特征；根据所述僵尸网络类型，模拟相应的僵尸网络控制端向所述网内被感染主机发送僵尸网络程序卸载指令，以卸载网内被感染主机上的僵尸网络程序。本发明专利技术便于有效解决网内主机感染僵尸网络不易清除的问题，从而在一定程度上提高网内主机的网络安全性；适用于网络安全防御场景中。络安全防御场景中。络安全防御场景中。

【技术实现步骤摘要】
一种清除僵尸网络的方法、系统、服务器、电子设备及存储介质


[0001]本专利技术涉及网络安全
，尤其涉及一种清除僵尸网络的方法、系统、服务器、电子设备及存储介质。

技术介绍

[0002]僵尸网络(Botnet)是随着自动智能程序的应用而逐渐发展起来的。从良性Bot程序的出现到恶意Bot程序的实现，从被动传播到利用蠕虫技术主动传播，从使用简单的IRC(Internet Relay Chat，因特网中继聊天)协议构成控制信道到构建复杂多变的P2P(Peer
‑
to
‑
peer，点对点技术，也称为对等互联网技术)结构的控制模式的服务器，利用WASTE文件(一种开放源码文件)共享协议进行相互通信。
[0003]专利技术人在实现本专利技术创造的过程中发现：由于这种协议分布式连接，就使得每一个僵尸主机可以很方便地找到其他的僵尸主机并进行通信，而当有一些Bot程序被查杀时，并不会影响到僵尸网络的生存。因此，这类僵尸网络具有不存在单点失效且实现相对复杂的特点，加之基于HTTP及DNS的控制模式，僵尸网络逐渐发展成规模庞大、功能多样、不易清除的恶意网络，给当前的网内主机的网络安全造成不容忽视的威胁。

技术实现思路

[0004]有鉴于此，本专利技术实施例提供一种清除僵尸网络的方法、系统、服务器、电子设备及存储介质，便于有效解决网内主机感染僵尸网络不易清除的问题，从而可以在一定程度上提高网内主机的网络安全性。
[0005]为达到上述专利技术目的，采用如下技术方案：<br/>[0006]第一方面，本专利技术实施例提供一种清除僵尸网络的方法，所述方法包括：监听网内主机的上线信息；根据所述上线信息确定网内被感染主机的身份标识信息；基于所述身份标识信息获取对应的网内被感染主机的操作指令特征；根据所述操作指令特征与僵尸网络指令库进行匹配，确定网内被感染主机上的僵尸网络程序所属的僵尸网络类型；所述僵尸网络指令库中包含：用于表征所述僵尸网络类型的操作指令特征；根据所述僵尸网络类型，模拟相应的僵尸网络控制端向所述网内被感染主机发送僵尸网络程序卸载指令，以卸载网内被感染主机上的僵尸网络程序。
[0007]可选地，所述根据所述僵尸网络类型，模拟相应的僵尸网络控制端向所述网内被感染主机发送僵尸网络程序卸载指令包括：根据所述僵尸网络类型，模拟相应的僵尸网络控制端；基于所述僵尸网络控制端，从所述僵尸网络指令库中查询是否存在对应的卸载指令；若是，则提取对应的卸载指令，并发送至所述网内被感染主机。
[0008]可选地，在所述基于所述僵尸网络控制端，从所述僵尸网络指令库中查询是否存在对应的卸载指令之后，所述方法还包括：若否，则从所述僵尸网络指令库中查询对应类型的僵尸网络专杀程序下载指令；提取对应的下载指令，并将所述下载指令发送至所述网内
被感染主机，以使所述网内被感染主机下载安装所述僵尸网络专杀程序。
[0009]可选地，在所述监听网内主机的上线信息之前，所述方法还包括：构建僵尸网络控制端程序；所述监听网内主机的上线信息包括：基于所述僵尸网络控制端程序监听所述网内主机的上线信息。
[0010]可选地，在所述构建僵尸网络控制端程序之前，所述方法还包括：获取僵尸网络样本的C2地址；所述C2地址包含：域名；将所述C2地址中的域名劫持到用户服务器，以阻断所述僵尸网络样本与真实僵尸网络控制端服务器的链接；对所述僵尸网络样本进行分析，建立僵尸网络指令库。
[0011]可选地，所述对所述僵尸网络样本进行分析，建立僵尸网络指令库包括：对所述僵尸网络样本进行分类；根据分类结果，建立各类僵尸网络对应的僵尸网络指令库；所述将所述C2地址中的域名劫持到用户服务器为：基于DNS技术，通过模拟僵尸网络真实控制端将所述C2地址中的域名劫持到用户服务器。
[0012]可选地，在建立各类僵尸网络对应的僵尸网络指令库之后，所述方法还包括：动态更新所述僵尸网络指令库。
[0013]可选地，所述动态更新所述僵尸网络指令库包括：定期获取新的僵尸网络样本，至少提取所述僵尸网络样本的操作指令特征及上线数据端口；将所述操作指令特征及上线数据端口添加到所述僵尸网络指令库中。
[0014]第二方面，本专利技术实施例还提供一种清除僵尸网络的系统，所述系统包括：监听程序模块，用于监听网内主机的上线信息；
[0015]第一确定程序模块，用于根据所述上线信息确定网内被感染主机的身份标识信息；获取程序模块，用于基于所述身份标识信息获取对应的网内被感染主机的操作指令特征；第二确定程序模块，用于根据所述操作指令特征与僵尸网络指令库进行匹配，确定网内被感染主机上的僵尸网络程序所属的僵尸网络类型；所述僵尸网络指令库中包含：用于表征所述僵尸网络类型的操作指令特征；发送程序模块，用于根据所述僵尸网络类型，模拟相应的僵尸网络控制端向所述网内被感染主机发送僵尸网络程序卸载指令，以卸载网内被感染主机上的僵尸网络程序。
[0016]第三方面，本专利技术还实施例提供一种服务器，所述服务器包括：主机，所述主机上部署有僵尸网络控制端程序及僵尸网络指令库，运行所述僵尸网络控制端程序，以用于执行第一方面任一所述的清除僵尸网络的方法
[0017]第四方面，本专利技术实施例提供一种电子设备，包括：一个或者多个处理器；存储器；所述存储器中存储有一个或者多个可执行程序，所述一个或者多个处理器读取存储器中存储的可执行程序代码，运行与可执行程序代码对应的清除僵尸网络的应用程序，以用于执行第一方面任一所述的清除僵尸网络的方法。
[0018]第五方面，本专利技术实施例提供一种计算机可读存储介质，所述计算机可读存储介质存储有一个或者多个程序，所述一个或者多个程序可被一个或者多个处理器执行，以实现前述第一方面任一所述的清除僵尸网络的方法。
[0019]本专利技术实施例提供的清除僵尸网络的方法、系统、服务器、电子设备及存储介质，通过监听网内主机的上线信息；根据所述上线信息确定网内被感染主机的身份标识信息；基于所述身份标识信息获取对应的网内被感染主机的操作指令特征；根据所述操作指令特
征与僵尸网络指令库进行匹配，确定网内被感染主机上的僵尸网络程序所属的僵尸网络类型；根据所述僵尸网络类型，采用模拟相应的僵尸网络控制端向所述网内被感染主机发送僵尸网络程序卸载指令，以卸载掉网内被感染主机上的僵尸网络程序。在上述过程中，通过确定出网内被感染主机上的僵尸网络程序所属的僵尸网络类型，并根据所属的僵尸网络类型，模拟相应的僵尸网络控制端(指的是僵尸网络真实控制端)，向所述网内被感染主机发送僵尸网络程序卸载指令，便于成功清除网内主机上的僵尸网络程序，并且不易恢复。由此，本专利技术实施例便于有效解决网内主机感染僵尸网络不易清除的问题，从而可以在一定程度上提高网内主机的网络安全性。
附图说明
[0020]为了更清楚地说明本专利技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本专利技术的一些实施例，对于本领域本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种清除僵尸网络的方法，其特征在于，所述方法包括步骤：监听网内主机的上线信息；根据所述上线信息确定网内被感染主机的身份标识信息；基于所述身份标识信息获取对应的网内被感染主机的操作指令特征；根据所述操作指令特征与僵尸网络指令库进行匹配，确定网内被感染主机上的僵尸网络程序所属的僵尸网络类型；所述僵尸网络指令库中包含：用于表征所述僵尸网络类型的操作指令特征；根据所述僵尸网络类型，模拟相应的僵尸网络控制端向所述网内被感染主机发送僵尸网络程序卸载指令，以卸载网内被感染主机上的僵尸网络程序。2.根据权利要求1所述的方法，其特征在于，所述根据所述僵尸网络类型，模拟相应的僵尸网络控制端向所述网内被感染主机发送僵尸网络程序卸载指令包括：根据所述僵尸网络类型，模拟相应的僵尸网络控制端；基于所述僵尸网络控制端，从所述僵尸网络指令库中查询是否存在对应的卸载指令；若是，则提取对应的卸载指令，并发送至所述网内被感染主机。3.根据权利要求2所述的方法，其特征在于，在所述基于所述僵尸网络控制端，从所述僵尸网络指令库中查询是否存在对应的卸载指令之后，所述方法还包括：若否，则从所述僵尸网络指令库中查询对应类型的僵尸网络专杀程序下载指令；提取对应的下载指令，并将所述下载指令发送至所述网内被感染主机，以使所述网内被感染主机下载安装所述僵尸网络专杀程序。4.根据权利要求1所述的方法，其特征在于，在所述监听网内主机的上线信息之前，所述方法还包括：构建僵尸网络控制端程序；所述监听网内主机的上线信息包括：基于所述僵尸网络控制端程序监听所述网内主机的上线信息。5.根据权利要求4所述的方法，其特征在于，在所述构建僵尸网络控制端程序之前，所述方法还包括：获取僵尸网络样本的C2地址；所述C2地址包含：域名；将所述C2地址中的域名劫持到用户服务器，以阻断所述僵尸网络样本与真实僵尸网络控制端服务器的链接；对所述僵尸网络样本进行分析，建立僵尸网络指令库。6.根据权利要求5所述的方法，其特征在于，所述对所述僵尸网络样本进行分析，建立僵尸网络指令库包括：对所述僵尸网络样本进行分类；根据分类结...

【专利技术属性】
技术研发人员：高泽霖，刘德昌，张慧云，
申请(专利权)人：安天科技集团股份有限公司，
类型：发明
国别省市：