僵尸主机的检测方法、检测装置及防火墙制造方法及图纸

本发明专利技术公开了一种僵尸主机的检测方法、检测装置及防火墙。该检测方法包括：检测网关的内部主机的网络行为，以得到主机行为；识别主机行为，以得到主机行为的行为特征；根据行为特征判断主机行为是否属于预设行为库中的行为，其中，预设行为库中包括僵尸主机的多个行为；以及当确定多个主机行为属于预设行为库中的行为时，根据多个主机行为判断网关内部主机是否为僵尸主机。通过本发明专利技术，提高了僵尸主机检测率，减小僵尸检测的误判率。

【技术实现步骤摘要】
僵尸主机的检测方法、检测装置及防火墙
本专利技术涉及网络安全领域，具体而言，涉及一种僵尸主机的检测方法、检测装置及防火墙。
技术介绍
僵尸网络(Botnet)是各类网络中常见的一种威胁，它通过邮件、网页脚本等各种形式向主机发送恶意代码并执行，从而达到控制主机成为僵尸主机(Zombie)的目的。其主要危害包括攻击外网某服务或者窃取企业敏感信息等，一旦发生这些攻击行为，会对网络资源产生很大消耗，也可能会泄露企业机密。因此有必要尽可能在攻击的初期就检测出可能存在的僵尸主机，避免威胁范围扩大。传统检测僵尸主机的方法大概可以分为两种类型：第一种类型为特征匹配的方法，第二种类型为异常检测的方法。特征匹配的检测方法为大多数防病毒厂商所采用，已经在商业市场上广泛使用，其一般的操作步骤如下：通过不同的渠道获取僵尸网络相关的恶意代码样本；对样本进行静态和动态分析，提取样本中的特有代码片段，该代码片段可以唯一区分该样本和其他不同的代码，类似于人的指纹信息，该代码片段被称为样本特征；将样本特征作为特征库的组成部分，加载到特定的检测系统中；当检测系统获得一个软件或可执行代码时，使用特征库中的所有样本特征进行匹配，如果匹配成功，则表明输入为某个僵尸网络相关的恶意软件；否则认为输入安全。该方法所存在的缺点主要分为两个方面，首先，该方法对恶意代码的检出率依赖于有效样本的数量，恶意代码可以通过各种隐匿手段实现，如加密、混淆、多态、变形等技术手段，因此基于特征匹配的分析方法存在漏检的缺陷；其次，该方法的检测有效性也依赖于特征码的质量，也就是软件指纹信息有效性，如果特征码提取不合适，可能导致将无害的文件误判恶意代码，从而存在错检的缺陷。基于异常检测的方法是目前逐渐被各类安全公司所广泛采纳的技术，它根据识别可执行软件在运行系统中的行为判断该软件是否为恶意软件。具体地，基于异常检测的方法一般采用以下步骤：对正常软件的行为进行定义，确定一般正常软件操作的行为准则，譬如读写文件，创建进程，读写注册表，访问网络等；当检测系统获得一个软件或可执行代码时，监测该软件或代码的执行行为，当行为违背正常软件的操作行为准则时，发出告警，并提示操作风险。该方法可以有效地发现潜在的未知恶意软件，但是该检测技术也存在明显的缺点，主要集中在误报率方面，由于正常行为准则的定义比较困难，因此一般会存在正常行为准则定义不足的问题，从而导致误报。综上所述，由于僵尸主机相关恶意代码的复杂度提高，特别是加密、混淆、变形等技术的广泛应用，采用上述的僵尸主机检测方法的准确性低，容易出现漏检、错检等问题。针对相关技术中僵尸主机检测方法的准确性低的问题，目前尚未提出有效的解决方案。
技术实现思路
本专利技术的主要目的在于提供一种僵尸主机的检测方法、检测装置及防火墙，以解决僵尸主机检测方法的准确性低的问题。为了实现上述目的，根据本专利技术的一个方面，提供了一种僵尸主机的检测方法方法。根据本专利技术的…方法包括：检测网关的内部主机的网络行为，以得到主机行为；识别主机行为，以得到主机行为的行为特征；根据行为特征判断主机行为是否属于预设行为库中的行为，其中，预设行为库中包括僵尸主机的多个行为；以及当确定多个主机行为属于预设行为库中的行为时，根据多个主机行为判断网关内部主机是否为僵尸主机。进一步地，根据多个主机行为判断网关内部主机是否为僵尸主机包括：采用以下公式计算内部主机的告警参数，其中，Valert为告警参数，多个主机行为的个数为n，Wi为第i个主机行为对应的预设的权重系数，Vi为第i个主机行为对应的预设的告警分值，n为自然数，i为小于n的自然数；当告警参数满足预设的告警条件时，确定网关内部主机为僵尸主机。进一步地，在计算内部主机的告警参数之前，根据多个主机行为判断网关内部主机是否为僵尸主机还包括：判断多个主机行为中是否包括预设关联行为组中的全部行为，其中，预设关联行为组至少包括僵尸主机的两个行为；以及当多个主机行为中包括预设关联行为组中的全部行为时，计算内部主机的告警参数。进一步地，该方法还包括：当主机行为属于预设行为库中的行为时，通过存储装置主机行为；扫描存储装置中存储的主机行为的时间是否超时；当超时的主机行为不与任何一个非超时的主机行为在同一预设关联行为组时，将超时的主机行为从存储模块中删除。进一步地，根据行为特征判断主机行为是否属于预设行为库中的行为包括：根据行为特征判断主机行为是否属于下列行为：访问恶意URL/IP的第一行为；执行来自网关的外部的扫描的第二行为；执行来自网关的外部的入侵探测的第三行为；获取网关外部的恶意文件的第四行为；建立向网关外部的C&C通道，并通过C&C通道传递数据和信息的第五行为；通过P2P模式向网关外部传递数据和信息的第六行为；扫描网关外部的主机，以感染网关外部的主机的第七行为；对网关外部发动DDOS攻击的第八行为；以及对网关外部发动Spam攻击的第九行为，当主机行为属于第一行为至第九行为中的任意一个行为时，确定主机行为属于预设行为库中的行为。进一步地，判断多个主机行为中是否包括预设关联行为组中的全部行为包括：判断多个主机行为是否包括第一预设关联行为组中的全部行为，其中，第一预设关联行为组由第一行为和第四行为至第九行为中任一行为构成；判断多个主机行为是否包括第二预设关联行为组中的全部行为，其中，第二预设关联行为组由第二行为和第四行为至第九行为中任一行为构成；判断多个主机行为是否包括第三预设关联行为组中的全部行为，其中，第三预设关联行为组由第三行为和第四行为至第九行为中任一行为构成；以及判断多个主机行为是否包括第四预设关联行为组中的全部行为，其中，第四预设关联行为组由第四行为至第九行为中任两个行为构成。为了实现上述目的，根据本专利技术的另一方面，提供了一种僵尸主机的检测装置，该装置用于执行上述本专利技术所提供的任一种僵尸主机的检测方法。为了实现上述目的，根据本专利技术的另一方面，提供了一种僵尸主机的检测装置。根据本专利技术的僵尸主机的检测装置包括检测单元和分析单元，其中，检测单元用于检测网关的内部主机的行为，以得到主机行为，分析单元包括：识别模块，用于识别检测模块得到的主机行为，以得到主机行为的行为特征；第一判断模块，用于根据行为特征判断主机行为是否属于预设行为库中的行为，其中，预设行为库中包括僵尸主机的多个行为；以及第二判断模块，用于当确定多个主机行为属于预设行为库中的行为时，根据多个主机行为确定网关内部主机是否为僵尸主机。进一步地，第二判断模块包括：计算子模块，用于采用以下公式计算内部主机的告警参数，其中，Valert为告警参数，多个主机行为的个数为n，Wi为第i个主机行为对应的预设的权重系数，Vi为第i个主机行为对应的预设的告警分值，n为自然数，i为小于n的自然数；确定子模块，用于当告警参数满足预设的告警条件时，确定网关内部主机为僵尸主机。进一步地，第二判断模块还包括：判断子模块，用于在计算内部主机的告警参数之前，判断多个主机行为中是否包括预设关联行为组中的全部行为，其中，预设关联行为组至少包括僵尸主机的两个行为本文档来自技高网...

【技术保护点】
一种僵尸主机的检测方法，其特征在于，包括：检测网关的内部主机的网络行为，以得到主机行为；识别所述主机行为，以得到所述主机行为的行为特征；根据所述行为特征判断所述主机行为是否属于预设行为库中的行为，其中，所述预设行为库中包括僵尸主机的多个行为；以及当确定多个所述主机行为属于所述预设行为库中的行为时，根据多个所述主机行为判断所述网关内部主机是否为僵尸主机。

【技术特征摘要】
1.一种僵尸主机的检测方法，其特征在于，包括：检测网关的内部主机的网络行为，以得到主机行为；识别所述主机行为，以得到所述主机行为的行为特征；根据所述行为特征判断所述主机行为是否属于预设行为库中的行为，其中，所述预设行为库中包括僵尸主机的多个行为；以及当确定多个所述主机行为属于所述预设行为库中的行为时，根据多个所述主机行为判断所述网关内部主机是否为僵尸主机，其中，根据多个所述主机行为判断所述网关内部主机是否为僵尸主机包括：采用以下公式计算所述内部主机的告警参数，其中，Valert为所述告警参数，多个所述主机行为的个数为n，Wi为第i个主机行为对应的预设的权重系数，Vi为所述第i个主机行为对应的预设的告警分值，n为自然数，i为小于n的自然数；当所述告警参数满足预设的告警条件时，确定所述网关内部主机为僵尸主机；其中，所述预设行为库中包括第一行为、第二行为、第三行为、第四行为、第五行为、第六行为、第七行为、第八行为和第九行为，在计算所述内部主机的告警参数之前，根据多个所述主机行为判断所述网关内部主机是否为僵尸主机还包括：判断多个所述主机行为中是否包括预设关联行为组中的全部行为，其中，所述预设关联行为组至少包括僵尸主机的两个行为，其中，第一预设关联行为组由所述第一行为和所述第四行为至所述第九行为中任一行为构成，第二预设关联行为组由所述第二行为和所述第四行为至所述第九行为中任一行为构成，第三预设关联行为组由所述第三行为和所述第四行为至所述第九行为中任一行为构成，第四预设关联行为组由所述第四行为至所述第九行为中任两个行为构成；以及当多个所述主机行为中包括所述预设关联行为组中的全部行为时，计算所述内部主机的告警参数。2.根据权利要求1所述的僵尸主机的检测方法，其特征在于，还包括：当所述主机行为属于所述预设行为库中的行为时，通过存储装置所述主机行为；扫描所述存储装置中存储的主机行为的时间是否超时；当超时的主机行为不与任何一个非超时的主机行为在同一预设关联行为组时，将所述超时的主机行为从所述存储模块中删除。3.根据权利要求1所述的僵尸主机的检测方法，其特征在于，根据所述行为特征判断所述主机行为是否属于预设行为库中的行为包括：根据所述行为特征判断所述主机行为是否属于下列行为：访问恶意URL/IP的所述第一行为；执行来自所述网关的外部的扫描的所述第二行为；执行来自所述网关的外部的入侵探测的所述第三行为；获取所述网关外部的恶意文件的所述第四行为；建立向所述网关外部的C&C通道，并通过所述C&C通道传递数据和信息的所述第五行为；通过P2P模式向所述网关外部传递数据和信息的所述第六行为；扫描所述网关外部的主机，以感染所述网关外部的主机的所述第七行为；对所述网关外部发动DDOS攻击的所述第八行为；以及对所述网关外部发动Spam攻击的所述第九行为，当所述主机行为属于所述第一行为至所述第九行为中的任意一个行为时，确定所述主机行为属于所述预设行为...

【专利技术属性】
技术研发人员：周明中，周伦，
申请(专利权)人：苏州山石网络有限公司，
类型：发明
国别省市：