一种基于主动探测的僵尸网络家族检测方法技术

本发明专利技术涉及一种基于主动探测的僵尸网络家族检测方法，控制中心通过网络通道与僵尸主机端口连接进行通信包传递，包括步骤如下：1)扫描僵尸网络，提取得到疑似控制中心和若干活跃端口信息；2)根据僵尸网络中僵尸程序样本和其控制中心端的通信特征通过所述活跃端口与所述疑似控制中心进行协议交互；3)将所述协议交互后的反馈包与该疑似控制中心进行特征匹配；4)根据设定阀值判定僵尸网络控制中心，并对该控制中心通信进行监控；5)根据监测结果，查找出所述僵尸网络家族中所有僵尸主机。本发明专利技术是一种协议无关的方法：根据已分析出的僵尸程序样本和其控制端的通讯特征，采用本发明专利技术方法，即可对整个僵尸网络家族进行检测和监控。

【技术实现步骤摘要】

【技术保护点】

【技术特征摘要】

【专利技术属性】
技术研发人员：韩心慧，张慧琳，龚晓锐，邹维，韦韬，
申请(专利权)人：北京大学，
类型：发明
国别省市：