CN101360019A - 一种僵尸网络的检测方法、系统和设备 - Google Patents

Abstract

本发明实施例公开了一种僵尸网络的检测方法、系统和设备，属于网络通信安全领域。所述方法包括：接收待测网络的通信报文；根据所述通信报文提取所述通信报文的僵尸网络报文信息；根据所述僵尸网络报文信息，提取僵尸主机IP和控制者IP；根据所述提取的僵尸主机IP和控制者IP，查询所述所述僵尸主机IP和控制者IP对应的账号。所述系统包括：网络探针、监控分析中心和认证服务器。所述设备包括：监控分析中心。通过本发明提供的僵尸网络的检测方法，实时地检测出了僵尸网络，也可以对僵尸网络实时地做出响应，解决了现有技术中基于事后分析而不能实时检测和实时响应的问题，避免了僵尸网络产生危害，使得网络通信更加安全。

Description

一种僵尸网络的检测方法、系统和设备

技术领域

本发明涉及网络通信安全领域，特别涉及一种僵尸网络的检测方法、系统和设备。

背景技术

僵尸网络Botnet是采用一种或多种传播手段使大量主机感染僵尸Bot程序(僵尸工具)，从而在控制者和被感染主机(即僵尸主机)之间形成一个可一对多控制的网络。如图1所示为Botnet的基本网络结构，攻击者通过控制者对僵尸主机进行控制。

目前的僵尸网络主要有两种网络拓扑结构：

参见图2，一种是多级控制的树状僵尸网络拓扑结构：由受害者、僵尸主机、控制者和攻击者组成。其具体工作流程为：控制者开放端口；僵尸主机主动向控制者的监听窗口发起连接，向控制者通报自己；控制者主动连接上级控制者的监听窗口，向上级控制者通报自己；控制者向僵尸主机发指令，僵尸主机执行控制指令，发起攻击。该僵尸网络拓扑结构的行为特征是：多台僵尸主机向同一台控制者的相同端口发起连接；僵尸主机一般会定时向控制者通信。

参见图3，另一种是基于IRC协议实现的僵尸网络拓扑结构：由受害者、僵尸主机、IRC服务器和攻击者组成。其具体的工作流程为：控制者在IRC服务器上创建通信频道；僵尸主机登陆IRC服务器后自动加入控制者所创建的通信频道，等待控制者发起命令；控制者在IRC服务器上指定的通信频道上发命令；僵尸主机收到命令，执行命令，发起攻击。该僵尸网络拓扑结构的行为特征：僵尸主机一般会长时间在线；僵尸主机作为一个IRC服务器的聊天用户在聊天频道内长时间不发言。

僵尸网络构成了一个攻击平台，利用这个平台可以有效地发起多种攻击行为，导致整个基础信息网络或重要应用系统瘫痪、大量机密或个人隐私泄漏，还被用来从事网络欺诈等违法犯罪活动。常见的利用Botnet发动的攻击行为如DDOS(Distributed Denial of Service，分布式拒绝服务攻击)、发送垃圾邮件、窃取秘密、滥用资源，对整个网络和用户都造成了严重的危害。随着各种新的攻击类型的出现，Botnet还可能被用来发起新的未知攻击。

目前缓解僵尸网络攻击威胁的技术主要是提前预防或对攻击事件的事后处理。通常是国家网络安全监测部门在发现了某个大型站点或重要网络受到僵尸网络的攻击时，才开始动员大量的人力及相关部门进行协查，需要经过很长时间才能真正找到僵尸网络的最终控制者即攻击者和主要涉案人员，但是这段时间内所造成的经济损失是不可估量的。

目前对僵尸网络的检测主要有两种方法：

一、蜜糖技术。通过蜜罐等手段获得Bot程序样本，采用逆向工程等恶意代码分析手段，获得隐藏在代码中的登陆Botnet所需要的相关信息，使用定制的僵尸程序登录到僵尸网络中去，进一步采用应对措施。

二、网络流量研究。通过研究僵尸主机行为的网络流量变化(比如不同时间段的流量大小)，使用离线和在线的两种分析方法实现对僵尸网络的判断。

在对现有技术进行分析后，发明人发现：蜜糖技术不能实时地检测僵尸网络的通信报文，也不能迅速而准确的定位僵尸网络及其操纵者；网络流量研究能实时地检测僵尸网络的通信报文但不能实时地对僵尸网络作出响应。

发明内容

为了能够实时地检测出僵尸网络并能实时地对僵尸网络作出响应，本发明实施例提供了一种僵尸网络的检测方法。所述技术方案如下：

一方面，提供了一种僵尸网络的检测方法，所述方法包括：

接收待测网络的通信报文；

根据所述通信报文提取所述通信报文的僵尸网络报文信息；

根据所述僵尸网络报文信息，提取僵尸主机IP和控制者IP；

根据所述提取的僵尸主机IP和控制者IP，查询所述僵尸主机IP和控制者IP对应的账号。

一方面，提供了一种僵尸网络的检测系统，所述系统包括：网络探针、监控分析中心和认证服务器；

所述网络探针，用于接收所述待测网络的通信报文，根据所述通信报文提取所述通信报文的僵尸网络报文信息；

所述监控分析中心，用于根据所述僵尸网络报文信息，提取僵尸主机IP和控制者IP；

所述认证服务器，用于根据所述僵尸主机IP和控制者IP查询所述请求中IP对应的账号。

另一方面，提供了一种监控分析中心，所述监控分析中心用于根据所述僵尸网络报文信息，提取僵尸主机IP和控制者IP，根据所述提取的僵尸主机IP和控制者IP查询所述僵尸主机IP和控制者IP对应的账号。

本发明实施例提供的技术方案的有益效果是：通过本发明提供的僵尸网络的检测方法，实时地检测出了僵尸网络，也可以对僵尸网络实时地做出响应，解决了现有技术中基于事后分析而不能实时检测和实时响应的问题，避免了僵尸网络产生的危害，使得网络通信更加安全。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1是现有技术提供的僵尸网络的基本网络架构示意图；

图2是现有技术提供的多级控制的树状僵尸网络拓扑结构示意图；

图3是现有技术提供的基于IRC协议的僵尸网络拓扑结构示意图；

图4是本发明提供的僵尸网络检测系统架构示意图；

图5是本发明实施例1提供的一种僵尸网络的检测方法的流程示意图；

图6是本发明实施例2提供的一种僵尸网络的检测方法的流程示意图；

图7是本发明实施例3提供的一种僵尸网络的检测方法的流程示意图；

图8是本发明实施例4提供的一种僵尸网络的检测系统示意图；

图9是本发明实施例4提供的一种僵尸网络的检测系统的具体示意图；

图10是本发明实施例4提供的一种僵尸网络的检测系统的另一具体示意图；

图11是本发明实施例5提供的一种监控分析中心的示意图；

图12是本发明实施例5提供的一种监控分析中心的另一示意图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚，下面将结合附图对本发明实施方式作进一步地详细描述。显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

僵尸网络是多级控制的，要追踪到幕后的攻击者，首先要追踪给僵尸主机发送指令的控制者，然后通过监控该控制者找到上一级控制者，一级一级的追溯，直到真正的攻击者。本发明实施例提出的僵尸网络检测系统BIS(Botnet Inspection System)可以实时地检测出已知或未知的僵尸网络的僵尸主机及其控制者，掌握僵尸网络的信息并实施监控，也可实时地对僵尸网络采取响应措施。

参见图4，本发明实施例提供的僵尸网络检测系统架构示意图。僵尸网络检测系统包括：网络探针(a)、设备管理中心(b)、监控分析中心(c)、数据库DB(d)、WEB(e)和其他安全设备(f)；其中，网络探针(a)，对网络流量进行实时检测并将检测结果报给监控分析中心；设备管理中心(b)，对网络探针(a)、监控分析中心(c)、数据库DB(d)、WEB(e)和其他安全设备(f)等设备进行管理、提供与防火墙的可靠连接以及设备间业务数据的交互；监控分析中心(c)，对网络探针(a)的检测结果进行汇总分析、把网络探针(a)的检测结果以及监控分析中心(c)的分析结果存入数据库DB(d)、负责和系统其他安全设备(f)比如防火墙、其他僵尸网络检测系统进行通信；数据库DB(d)，保存界面策略、配置项、僵尸网络信息及辅助检测结果；WEB(e)，提供僵尸网络检测配置界面、僵尸网络信息显示界面、设备管理界面；其他安全设备(f)，和僵尸网络检测系统联动，将检测出来的僵尸主机或攻击IP地址告知监控分析中心(c)，比如防火墙、其他僵尸网络检测系统等。

为了对本发明实施例提供的僵尸网络检测系统进行详细的阐述，参见下述各实施例。

实施例1

本发明实施例提供了一种僵尸网络的检测方法，该方法通过将通信报文与存储在规则库中的规则进行规则匹配识别出僵尸网络报文，从而实现对僵尸网络的检测。

僵尸网络检测系统在进行检测之前，已经形成规则库存储在数据库中。其中，规则库形成过程的步骤具体为：

步骤A：僵尸网络检测系统分析已经检测出的或者是已有的僵尸网络中僵尸主机与控制者的通信报文，从通信报文中提取僵尸报文特征，形成特征库；

其中，通信报文中提取的僵尸报文特征具体为僵尸工具名、协议类型、僵尸网络类型等。

步骤B：将该特征库转化为可以被计算机识别的规则库，并将转化后的规则库加密后存储到数据库DB中。

该规则库中的僵尸网络报文的特征规则具体描述为：

[-PROTO Protocol-SRVID SrvType-APPID id-APPNAME AppType-RET RetValue\

                -ACTION ActionType-RELATE RelateType-RULEID ruleid]

其中，PROTO：协议类型，如tcp/udp/icmp等；

SRVID：服务类型，如5-voip、6-p2p、97-ftp等；

APPID：僵尸网络类型，如1代表树状僵尸网络，2代表IRC僵尸网络，3代表p2p僵尸网络；

APPNAME：应用名称，对应僵尸工具名；

RET：返回值，对应返回包的报文方向，如1-僵尸主机到控制者报文、2-控制者到僵尸主机的报文；

ACTION：匹配模式，如单包匹配、多包匹配、端口匹配等；

RELATE：关联，多个特征是否关联；

RULEID：规则序号，即第几条规则。

根据上述对僵尸网络报文的特征规则描述，举例说明。比如上行僵尸，僵尸主机每隔30秒主动向控制端发送长度为6字节报文内容为：4D 54 49 7A 0D 0A的TCP报文，其规则如下：

-PROTO TCP-SRVID 16-APPID 1-APPNAME shangxing-RET 1\

      -ACTION SINGLE_PKT-RELATE NO\

       -KEY 0:LOAD_BEGIN:BIG_ENDIAN:6:EQUAL:BIN:4D54497A0D0A\

       -LOADLEN 0:LOAD_BEGIN:BIG_ENDIAN:0:EQUAL:BIN:0006

上述详细介绍了数据库中存储的特征库的形成过程，该规则库是僵尸网络检测系统对僵尸网络进行特征检测的前提条件，下面描述形成规则库后僵尸网络检测系统对僵尸网络进行检测的方法，参见图5，具体步骤如下：

步骤101：僵尸网络检测系统的网络探针接收待测网络的通信报文。

步骤102：网络探针把接收到的通信报文与从规则库中获取的规则进行规则匹配，如果匹配成功，则执行步骤103；否则，结束；

其中，网络探针从规则库中获取规则的具体过程为：僵尸网络检测系统启动时，网络探针自动向路由设备SRS(Service Route System)请求规则，SRS读取数据库DB中的规则，并将其传给网络探针，网络探针将获取的规则放入自身的内存中，当接收到通信报文时，网络探针将接收到的通信报文与获取的规则在自身的内存中进行规则匹配；如果规则库有更新，则网络探针又会重新从数据库DB中获取规则；

上述规则匹配可以有多种匹配方式，比如单包匹配、多包匹配、端口匹配等；

其中，单包匹配是根据一个报文的特征即可匹配规则；

多包匹配是根据多个报文的特征匹配一条规则；

端口匹配是根据报文中的端口信息匹配规则；

上述规则匹配成功是指一条规则的所有参数(如协议类型、服务类型、僵尸网络类型、应用名称、匹配模式等，不同的规则其所携带的参数不同)一致才能匹配成功。

步骤103：待测网络的通信报文规则匹配成功后，网络探针提取通信报文中的僵尸网络报文信息，并发送该信息到僵尸网络检测系统的监控分析中心；

其中，该步骤具体为：网络探针根据匹配的规则，返回匹配成功的规则中的相应值，比如PROTO、SRVID、APPID，AppType，RET和数据流方向等信息，这些信息就是僵尸网络报文信息，网络探针把该信息封装为消息包，发送给监控分析中心。

步骤104：监控分析中心接收到网络探针发来的僵尸网络报文信息后，从该信息中解析出僵尸网络信息，将解析出的僵尸网络信息缓存起来，并向Radius服务器发送查询僵尸主机IP和控制者IP的帐号请求；查询IP帐号请求中携带所查询僵尸主机IP和控制者IP地址；

从僵尸网络报文信息中解析出僵尸网络信息的具体为：

监控分析中心根据僵尸网络报文信息中的规则返回值RET(RET：返回值，对应返回包的报文方向，如1-僵尸主机到控制者报文、2-控制者到僵尸主机的报文)和数据流的传输方向(判断信息中数据流流入流出的方向)的不同确定本地IP和远端IP是僵尸主机还是控制者，从而获得僵尸主机IP、僵尸主机IP端口、控制者IP、控制者IP端口等信息；例如A和B之间的通信报文进行规则匹配成功后形成的僵尸网络报文信息中，如果数据流方向是从A流向B，RET值为1(1-僵尸主机到控制者报文)，则可以判定A为僵尸主机，B为控制者；

僵尸工具的类型从僵尸网络报文信息中的APPID中直接得出，如1代表树状僵尸网络，2代表IRC僵尸网络，3代表p2p僵尸网络；

僵尸工具的名称从僵尸网络报文信息中的APPNAME中直接得出，直接存储无需分析；发现僵尸网络时间和更新僵尸网络时间是监控分析中心直接获取自己的机器时间；

发现僵尸网络的方式在僵尸网络报文信息中携带。

其中，上述僵尸网络信息具体为：僵尸主机Ip、僵尸主机IP端口、控制者IP、控制者IP端口、IRC服务器IP、IRC服务器端口、僵尸工具、发现僵尸网络时间、更新僵尸网络时间、发现僵尸网络方式；

上述的僵尸网络信息可以具体缓存在监控分析中心的内存中，等待查询僵尸主机和控制者的1P帐号过程；

步骤105：Radius服务器接收到该查询请求后，在Radius服务器中查询请求中IP对应的账号，并将查到的IP账号发给监控分析中心，监控分析中心将缓存的僵尸网络信息和查询到的IP账号一起存入数据库；

上述Radius服务器是认证服务器，比如拨号用户上网时需要先到Radius服务器，认证其帐号、密码、权限以及余额等；而在组网时Radius服务器事先知道当前用户的IP对应的帐户名，所以向其查询IP的帐号，这样可以把动态IP归一化；

监控分析中心和Radius服务器是有接口的，接口上有接口函数；

在Radius服务器中查询请求中IP对应的账号的具体步骤为：Radius服务器接收到监控分析中心发来的上述查询请求后，通过接口函数提取请求中的IP，并在Radius服务器查询该IP对应的的账号，然后再通过接口函数将IP及其对应的帐号发送回监控分析中心。

另外，整个系统可以有专门的数据库服务器，上述各步骤中提到的数据库可以设置在这些服务器上。

本发明实施例根据报文内容通过规则匹配进行僵尸网络的特征检测，实时地检测出了僵尸网络，也可以对僵尸网络实时地做出响应，解决了现有技术中基于事后分析而不能实时检测和实时响应的问题，避免了僵尸网络产生的危害，使得网络通信更加安全。

实施例2

如果僵尸网络的通信报文是无特征的或加密后特征消失的，或者是一种新的僵尸网络工具，本发明实施例针对上述情况提供了一种僵尸网络的检测方法。该方法是根据僵尸主机与控制者之间的网络行为与正常用户之间的网络行为不同，识别出其中的僵尸主机和控制者，并将它们之间的僵尸网络通信报文保存起来，用于人工提取报文特征，完善实施例1中的报文特征库。参见图6，具体步骤如下：

步骤201：僵尸网络检测系统的监控分析中心接收待检测的IP地址列表，并将该IP地址列表发送给网络探针；

其中，上述待检测的IP地址列表，具体为来自防火墙、其它分布部署的僵尸网络检测系统检测到的发动攻击的或者任何被怀疑的IP地址列表；

由于发动攻击的IP地址未必是僵尸主机，所以需要对发动攻击的IP地址进行具体检测以便确认僵尸主机和控制者。

步骤202：网络探针接收该IP地址列表，并对该IP地址列表中的IP地址进行监控，从源地址或目的地址为该IP地址的通信报文中提取僵尸网络报文信息，并发送给监控分析中心；

其中，网络探针建有数据流表，从数据流的相关信息提取僵尸网络报文信息；

上述僵尸网络报文信息具体指僵尸主机IP、端口、通信对端IP、对端端口、报文协议类型、报文方向、报文数量、报文字节数等。

步骤203：监控分析中心接收网络探针发来的僵尸网络报文信息，对该信息进行僵尸网络行为统计分析，从而确定僵尸主机IP和控制者IP，并将该僵尸网络报文信息缓存起来，向Radius服务器发送查询僵尸主机和控制者的IP帐号请求；其中，对僵尸网络报文信息进行统计分析具体为：多台僵尸主机向同一台控制者的相同端口发起连接；僵尸主机会定时与控制者通信；控制者同一时间会向多台僵尸主机发相同指令；僵尸主机长时间在线但沉默不发言等网络特征；针对同端口多连接这个行为特征，可以统计某段时间内连接同一IP的攻击IP数目，如果超过阈值就说明被连接的IP是控制者IP，这些攻击IP是僵尸主机的IP，这样就可以确定僵尸网络行为和控制者；

查询IP帐号请求中携带所查询僵尸主机和控制者的IP地址。

步骤204：Radius服务器接收到该查询请求后，在Radius服务器中查询请求中IP对应的账号，并将查到的IP账号发给监控分析中心，监控分析中心将缓存的僵尸网络报文信息和查询到的IP账号一起存入数据库；监控分析中心和Radius服务器是有接口的，接口上有接口函数；

在Radius服务器中查询请求中IP对应的账号的具体步骤为：Radius服务器接收到监控分析中心发来的上述查询请求后，通过接口函数提取请求中的IP，并在Radius服务器查询该IP对应的的账号，然后再通过接口函数将IP及其对应的帐号发送回监控分析中心。

另外，可以设置专门的数据库服务器，上述各步骤中提到的数据库设置在这些数据库服务器上。

另外，僵尸网络报文信息存入数据库服务器后，以便以后通过人工分析再提取新的报文特征的，并将提取的新报文特征存入报文特征库再转化为新的规则库，从而使规则库更加完善。

本发明实施例通过对僵尸网络的行为进行检测，实时地检测出了僵尸网络，也可以对僵尸网络实时地做出响应，解决了现有技术中基于事后分析而不能实时检测和实时响应的问题，并将控制者和僵尸主机之间的僵尸网络通信报文保存起来，用于后续人工提取报文特征，完善报文特征库，避免了僵尸网络产生的危害，使得网络通信更加安全。

实施例3

为了更好的掌握僵尸网络的信息，本发明实施例还提供两种辅助手段：主动检测和远程抓包，用于对僵尸网络信息的确认；其中，这两种辅助手段又有人工和自动化两种方式；下面具体描述使用这两种手段对僵尸网络进行检测的具体实现步骤。

(一)参见图7，主动检测的具体步骤如下：

步骤301：僵尸网络检测系统模拟僵尸主机向怀疑为控制者的IP发送僵尸网络通信报文；

其中，僵尸网络检测系统提供的僵尸网络通信报文即为探测报文，具有内容被屏蔽的探测选项，在某些情况下允许用户自己构造探测报文，让用户有更大的自由度；

被怀疑为控制者的具体行为特征表现为：有定时通信、同端口多链接、长时间在线、长时间不发言等行为特征。

步骤302：对已发送的僵尸网络通信报文僵尸网络检测系统检测是否有回应，如果是，执行步骤303；否则，结束。

步骤303：如果对发送的僵尸网络通信报文有回应，则对回应的内容进行特征检测或者行为检测，判断是否是疑似控制者的回应报文，如果是，执行步骤304；否则，结束。

步骤304：如果检测回应的内容是疑似控制者的回应报文，确定该主机是控制者。

(二)远程抓包的具体步骤：对某IP地址的通信报文进行检测时，把目的地址或源地址为该IP的通信报文保存起来进行分析；僵尸网络检测系统提供支持五元组过滤条件的抓包，即：源IP、目的IP、源端口、目的端口、报文协议；

本发明实施例通过对僵尸网络进行主动检测和远程抓包，实时地检测出了僵尸网络，也可以对僵尸网络实时地做出响应，解决了现有技术中基于事后分析而不能实时检测和实时响应的问题，更好的掌握了僵尸网络的信息，为僵尸网络检测系统提供辅助手段，而这两种辅助手段又有人工和自动化两种方式，更加灵活，使得僵尸网络检测系统功能更加完善强大，最大程度上避免了僵尸网络产生的危害，使得网络通信更加安全。

实施例4

参见图8，本发明实施例提供了一种僵尸网络的检测系统，系统包括：网络探针401、监控分析中心402和认证服务器403；

网络探针401，用于接收待测网络的通信报文，根据通信报文提取通信报文的僵尸网络报文信息；

监控分析中心402，用于根据僵尸网络报文信息，提取僵尸主机IP和控制者IP；

认证服务器403，用于根据提取的僵尸主机IP和控制者IP，查询僵尸主机IP和控制者IP对应的账号。

(一)其中，当进行特征检测时，参见图9，网络探针401包括：接收模块4011、匹配模块4012和提取模块4013；

接收模块4011，用于接收待测网络的通信报文；

匹配模块4012，用于将接收模块4011接收的待测网络的通信报文与规则库中获取的规则进行规则匹配；

提取模块4013，用于如果匹配模块4012匹配成功，则通信报文为僵尸网络报文，提取僵尸网络报文中的僵尸网络报文信息；该僵尸网络报文信息包括PROTO、SRVID、APPID，AppType，规则返回值RET和数据流方向等信息。

相应地，监控分析中心402包括：判断模块4021；

判断模块4021，用于从提取模块4013提取的僵尸网络报文信息中的规则返回值RET和数据流的传输方向的不同判断本地IP和远端IP是僵尸主机还是控制者，从而确定僵尸主机IP和控制者IP。

(二)其中，当进行行为检测时，参见图10，网络探针401包括：接收模块4014和提取模块4015，

接收模块4014，用于接收待检测的IP地址列表，并对IP地址列表中的IP地址进行监控，获取源地址或目的地址为IP地址的通信报文；

提取模块4015，用于确定通信报文为僵尸网络报文，通信报文的信息为僵尸网络报文信息。

相应地，监控分析中心402包括：统计模块4022和确定模块4023；

统计模块4022，用于对所述僵尸网络报文信息进行僵尸网络行为统计分析；

确定模块4023，用于根据所述统计模块的统计结果，确定僵尸主机IP和控制者IP。

进一步地，监控分析中心还包括分析模块4024；

分析模块4024，用于对僵尸网络报文信息进行分析，提取新的报文特征，并将提取的新报文特征转化为新的规则，存入规则库中。

(三)其中，当采用远程抓包时，监控分析中心402还包括获取模块；

获取模块，用于根据源IP、目的IP、源端口、目的端口、报文协议通过远程抓包获取待测网络中对应的通信报文。

本发明实施例提供了一种僵尸网络的检测系统，实时地检测出了僵尸网络，也可以对僵尸网络实时地做出响应，解决了现有技术中基于事后分析而不能实时检测和实时响应的问题，避免了僵尸网络产生的危害，使得网络通信更加安全。

实施例5

本发明实施例提供了一种监控分析中心，监控分析中心用于根据僵尸网络报文信息，提取僵尸主机IP和控制者IP，根据僵尸主机IP和控制者IP查询请求中IP对应的账号。

(一)其中，当进行特征检测时，参见图11，监控分析中心包括：判断模块501；

判断模块501，用于从僵尸网络报文信息中的规则返回值和数据流的传输方向的不同判断本地IP和远端IP是僵尸主机还是控制者，从而确定僵尸主机IP和控制者IP。

(二)其中，当进行行为检测时，参见图12，监控分析中心包括：统计模块502和确定模块503；

统计模块502，用于对所述僵尸网络报文信息进行僵尸网络行为统计分析；

确定模块503，用于根据所述统计模块502的统计结果，确定僵尸主机IP和控制者IP。

进一步地，监控分析中心具体还包括分析模块504；

分析模块504，用于对僵尸网络报文信息进行分析，提取新的报文特征，并将提取的新报文特征转化为新的规则，存入规则库中。

(三)其中，当采用远程抓包时，监控分析中心还包括获取模块；

获取模块，用于根据源IP、目的IP、源端口、目的端口、报文协议通过远程抓包获取待测网络中对应的通信报文。

本发明实施例提供了一种监控分析中心，实时地检测出了僵尸网络，也可以对僵尸网络实时地做出响应，解决了现有技术中基于事后分析而不能实时检测和实时响应的问题，避免了僵尸网络产生的危害，使得网络通信更加安全。

综上所述，本发明实施例提供了一种僵尸网络的检测方法对引入的网络流量进行报文特征分析，识别出僵尸网络中的僵尸主机及其控制者，记录僵尸网络信息并发出告警；本发明提供的一种僵尸网络的检测系统还可以同分布部署的其他检测系统、防火墙等网络安全设备联动，获取攻击源的IP地址重点监控，对引入网络流量的网络行为进行分析，找出操控它们的控制者；另外，本发明提供的一种僵尸网络的检测方法还提供主动检测和远程抓包等辅助检测手段，对僵尸网络信息进行确认，确保该系统识别的准确度。

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的程序可存储于一计算机可读取存储介质中，该程序在执行时，可包括如上述各方法的实施例的流程。其中，所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory，ROM)或随机存储记忆体(Random Access Memory，RAM)等。

以上所述仅为本发明的较佳实施例，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims (19)

1、一种僵尸网络的检测方法，其特征在于，所述方法包括：

接收待测网络的通信报文；

根据所述通信报文提取所述通信报文的僵尸网络报文信息；

根据所述僵尸网络报文信息，提取僵尸主机IP和控制者IP；

根据所述提取的僵尸主机IP和控制者IP，查询所述僵尸主机IP和控制者IP对应的账号。

2、如权利要求1所述的方法，其特征在于，所述根据所述通信报文提取所述通信报文的僵尸网络报文信息包括：

将所述通信报文与规则库中获取的规则进行规则匹配；

如果匹配成功，所述通信报文为僵尸网络报文，提取所述僵尸网络报文中的僵尸网络报文信息。

3、如权利要求2所述的方法，其特征在于，所述根据所述僵尸网络报文信息，提取僵尸主机IP和控制者IP包括：

从所述僵尸网络报文信息中的规则返回值和数据流的传输方向的不同确定本地IP和远端IP是僵尸主机还是控制者。

4、如权利要求1所述的方法，其特征在于，所述接收待测网络的通信报文包括：

接收待检测的IP地址列表；

对所述IP地址列表中的IP地址进行监控，获取源地址或目的地址为所述IP地址的通信报文。

5、如权利要求4所述的方法，其特征在于，

所述通信报文为僵尸网络报文，所述通信报文的信息为僵尸网络报文信息；

相应地，所述根据所述僵尸网络报文信息，提取僵尸主机IP和控制者IP包括：

对所述僵尸网络报文信息进行僵尸网络行为统计分析，根据僵尸主机与控制者的网络行为不同于正常用户的网络行为，识别出其中的僵尸主机及其控制者，得到僵尸主机IP和控制者IP。

6、如权利要求5所述的方法，其特征在于，所述方法还包括：

对所述僵尸网络报文信息进行分析，提取新的报文特征，并将提取的新报文特征转化为新的规则，存入规则库中。

7、如权利要求1所述的方法，其特征在于，所述接收待测网络的通信报文包括：

根据源IP、目的IP、源端口、目的端口、报文协议通过远程抓包获取待测网络中对应的通信报文。

8、一种僵尸网络的检测系统，其特征在于，所述系统包括：网络探针、监控分析中心和认证服务器；

所述网络探针，用于接收所述待测网络的通信报文，根据所述通信报文提取所述通信报文的僵尸网络报文信息；

所述监控分析中心，用于根据所述僵尸网络报文信息，提取僵尸主机IP和控制者IP；

所述认证服务器，用于根据所述监控分析中心提取的僵尸主机IP和控制者IP，查询所述僵尸主机IP和控制者IP对应的账号。

9、如权利要求8所述的系统，其特征在于，所述网络探针包括：接收模块、匹配模块和提取模块；

所述接收模块，用于接收所述待测网络的通信报文；

所述匹配模块，用于将所述接收模块接收的所述待测网络的通信报文与规则库中获取的规则进行规则匹配；

所述提取模块，用于如果所述匹配模块匹配成功，则所述通信报文为僵尸网络报文，提取所述僵尸网络报文中的僵尸网络报文信息。

10、如权利要求9所述的系统，其特征在于，所述监控分析中心包括：判断模块；

所述判断模块，用于从所述僵尸网络报文信息中的规则返回值和数据流的传输方向的不同判断本地IP和远端IP是僵尸主机还是控制者，从而确定僵尸主机IP和控制者IP。

11、如权利要求8所述的系统，其特征在于，所述网络探针包括：接收模块和提取模块；

所述接收模块，用于接收待检测的IP地址列表，并对所述IP地址列表中的IP地址进行监控，获取源地址或目的地址为所述IP地址的通信报文；

所述提取模块，用于确定所述通信报文为僵尸网络报文，所述通信报文的信息为僵尸网络报文信息。

12、如权利要求11所述的系统，其特征在于，所述监控分析中心包括：统计模块和确定模块；

所述统计模块，用于对所述僵尸网络报文信息进行僵尸网络行为统计分析；

所述确定模块，用于根据所述统计模块的统计结果，确定僵尸主机IP和控制者IP。

13、如权利要求12所述的系统，其特征在于，所述监控分析中心还包括分析模块；

所述分析模块，用于对所述僵尸网络报文信息进行分析，提取新的报文特征，并将提取的新报文特征转化为新的规则，存入规则库中。

14、如权利要求8所述的系统，其特征在于，所述监控分析中心还包括获取模块；

所述获取模块，用于根据源IP、目的IP、源端口、目的端口、报文协议通过远程抓包获取待测网络中对应的通信报文。

15、一种监控分析中心，其特征在于，所述监控分析中心用于根据所述僵尸网络报文信息，提取僵尸主机IP和控制者IP；根据所述提取的僵尸主机IP和控制者IP，查询所述僵尸主机IP和控制者IP对应的账号。

16、如权利要求15所述的监控分析中心，其特征在于，所述监控分析中心包括：判断模块；

所述判断模块，用于从所述僵尸网络报文信息中的规则返回值和数据流的传输方向的不同判断本地IP和远端IP是僵尸主机还是控制者，从而确定僵尸主机IP和控制者IP。

17、如权利要求15所述的监控分析中心，其特征在于，所述监控分析中心包括：统计模块和确定模块；

所述统计模块，用于对所述僵尸网络报文信息进行僵尸网络行为统计分析；

所述确定模块，用于根据所述统计模块的统计结果，确定僵尸主机IP和控制者IP。

18、如权利要求17所述的监控分析中心，其特征在于，所述监控分析中心还包括分析模块；

所述分析模块，用于对所述僵尸网络报文信息进行分析，提取新的报文特征，并将提取的新报文特征转化为新的规则，存入规则库中。

19、如权利要求15所述的监控分析中心，其特征在于，所述监控分析中心还包括获取模块；

所述获取模块，用于根据源IP、目的IP、源端口、目的端口、报文协议通过远程抓包获取待测网络中对应的通信报文。

Images