【技术实现步骤摘要】
僵尸主机的检测方法、检测装置及防火墙
本专利技术涉及网络安全领域,具体而言,涉及一种僵尸主机的检测方法、检测装置及防火墙。
技术介绍
僵尸网络(Botnet)是各类网络中常见的一种威胁,它通过邮件、网页脚本等各种形式向主机发送恶意代码并执行,从而达到控制主机成为僵尸主机(Zombie)的目的。其主要危害包括攻击外网某服务或者窃取企业敏感信息等,一旦发生这些攻击行为,会对网络资源产生很大消耗,也可能会泄露企业机密。因此有必要尽可能在攻击的初期就检测出可能存在的僵尸主机,避免威胁范围扩大。传统检测僵尸主机的方法大概可以分为两种类型:第一种类型为特征匹配的方法,第二种类型为异常检测的方法。特征匹配的检测方法为大多数防病毒厂商所采用,已经在商业市场上广泛使用,其一般的操作步骤如下:通过不同的渠道获取僵尸网络相关的恶意代码样本;对样本进行静态和动态分析,提取样本中的特有代码片段,该代码片段可以唯一区分该样本和其他不同的代码,类似于人的指纹信息,该代码片段被称为样本特征;将样本特征作为特征库的组成部分,加载到特定的检测系统中;当检测系统获得一个软件或可执行代码时,使用特征库中的所有样本特征进行匹配,如果匹配成功,则表明输入为某个僵尸网络相关的恶意软件;否则认为输入安全。该方法所存在的缺点主要分为两个方面,首先,该方法对恶意代码的检出率依赖于有效样本的数量,恶意代码可以通过各种隐匿手段实现,如加密、混淆、多态、变形等技术手段,因此基于特征匹配的分析方法存在漏检的缺陷;其次,该方法的检测有效性也依赖于特征码的质量,也就是软件指纹信息有效性,如果特征码提取不合适,可能导致将 ...
【技术保护点】
一种僵尸主机的检测方法,其特征在于,包括:检测网关的内部主机的网络行为,以得到主机行为;识别所述主机行为,以得到所述主机行为的行为特征;根据所述行为特征判断所述主机行为是否属于预设行为库中的行为,其中,所述预设行为库中包括僵尸主机的多个行为;以及当确定多个所述主机行为属于所述预设行为库中的行为时,根据多个所述主机行为判断所述网关内部主机是否为僵尸主机。
【技术特征摘要】
1.一种僵尸主机的检测方法,其特征在于,包括:检测网关的内部主机的网络行为,以得到主机行为;识别所述主机行为,以得到所述主机行为的行为特征;根据所述行为特征判断所述主机行为是否属于预设行为库中的行为,其中,所述预设行为库中包括僵尸主机的多个行为;以及当确定多个所述主机行为属于所述预设行为库中的行为时,根据多个所述主机行为判断所述网关内部主机是否为僵尸主机,其中,根据多个所述主机行为判断所述网关内部主机是否为僵尸主机包括:采用以下公式计算所述内部主机的告警参数,其中,Valert为所述告警参数,多个所述主机行为的个数为n,Wi为第i个主机行为对应的预设的权重系数,Vi为所述第i个主机行为对应的预设的告警分值,n为自然数,i为小于n的自然数;当所述告警参数满足预设的告警条件时,确定所述网关内部主机为僵尸主机;其中,所述预设行为库中包括第一行为、第二行为、第三行为、第四行为、第五行为、第六行为、第七行为、第八行为和第九行为,在计算所述内部主机的告警参数之前,根据多个所述主机行为判断所述网关内部主机是否为僵尸主机还包括:判断多个所述主机行为中是否包括预设关联行为组中的全部行为,其中,所述预设关联行为组至少包括僵尸主机的两个行为,其中,第一预设关联行为组由所述第一行为和所述第四行为至所述第九行为中任一行为构成,第二预设关联行为组由所述第二行为和所述第四行为至所述第九行为中任一行为构成,第三预设关联行为组由所述第三行为和所述第四行为至所述第九行为中任一行为构成,第四预设关联行为组由所述第四行为至所述第九行为中任两个行为构成;以及当多个所述主机行为中包括所述预设关联行为组中的全部行为时,计算所述内部主机的告警参数。2.根据权利要求1所述的僵尸主机的检测方法,其特征在于,还包括:当所述主机行为属于所述预设行为库中的行为时,通过存储装置所述主机行为;扫描所述存储装置中存储的主机行为的时间是否超时;当超时的主机行为不与任何一个非超时的主机行为在同一预设关联行为组时,将所述超时的主机行为从所述存储模块中删除。3.根据权利要求1所述的僵尸主机的检测方法,其特征在于,根据所述行为特征判断所述主机行为是否属于预设行为库中的行为包括:根据所述行为特征判断所述主机行为是否属于下列行为:访问恶意URL/IP的所述第一行为;执行来自所述网关的外部的扫描的所述第二行为;执行来自所述网关的外部的入侵探测的所述第三行为;获取所述网关外部的恶意文件的所述第四行为;建立向所述网关外部的C&C通道,并通过所述C&C通道传递数据和信息的所述第五行为;通过P2P模式向所述网关外部传递数据和信息的所述第六行为;扫描所述网关外部的主机,以感染所述网关外部的主机的所述第七行为;对所述网关外部发动DDOS攻击的所述第八行为;以及对所述网关外部发动Spam攻击的所述第九行为,当所述主机行为属于所述第一行为至所述第九行为中的任意一个行为时,确定所述主机行为属于所述预设行为...
【专利技术属性】
技术研发人员:周明中,周伦,
申请(专利权)人:苏州山石网络有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。