CN101924757B - 追溯僵尸网络的方法和系统 - Google Patents
追溯僵尸网络的方法和系统 Download PDFInfo
- Publication number
- CN101924757B CN101924757B CN201010241080.1A CN201010241080A CN101924757B CN 101924757 B CN101924757 B CN 101924757B CN 201010241080 A CN201010241080 A CN 201010241080A CN 101924757 B CN101924757 B CN 101924757B
- Authority
- CN
- China
- Prior art keywords
- botnet
- flow
- dns
- database
- analysis subsystem
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开一种追溯僵尸网络的方法及系统,该方法包括:流量采集子系统不断采集网络上的流量数据信息,并将流量数据信息发送给流量信息数据库进行保存;流量分析子系统对网络流量进行监控;DNS关联分析子系统从僵尸网络数据库中提取出僵尸网络的特征,使用僵尸网络的特征在DNS访问数据库中进行搜索,寻找是否有访问僵尸网络的命令和控制服务器C&C Server域名的访问行为;如果发现有访问发生,DNS关联分析子系统记录访问C&C Server域名的每一个IP地址。本发明供的追溯僵尸网络的方法及系统,通过对网络流量特征和DNS访问请求进行分析、验证,从而发现僵尸网络并找出其控制的所有僵尸主机,对相应的服务器、僵尸主机采取相应拒绝服务、关闭服务器等的防范措施,进一步保证了网络安全。
Description
技术领域
本发明涉及通信网络安全领域,尤其涉及一种追溯僵尸网络的方法和系统。
背景技术
目前,发现僵尸网络的技术主要包括:入侵检测系统(IDS,Intrusion Detection System)、蜜罐技术和流量分析。其中,IDS依照一定的安全策略,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。IDS适合局域网出口,只能找到已被发现的僵尸网络。蜜罐技术类似情报收集系统,作为故意让人攻击的目标,引诱黑客前来攻击。一旦攻击者入侵后,就可以知晓其如何实施并得逞的,从而随时了解黑客发动的最新的攻击和漏洞。蜜罐还可以通过窃听黑客之间的联系,收集黑客所用的种种工具,并且掌握他们的社交网络。但是蜜罐技术需要大量部署且容易被黑客当作攻击跳板。流量分析可以找出部分的僵尸主机。这些技术只能在网络局部进行僵尸主机和僵尸网络的分析,很难对整个互联网的僵尸主机和僵尸网络进行定位,都不能找出特定僵尸网络的所有的僵尸主机;更不能对僵尸网络进行抑制。
综上所述,如何发现、追溯僵尸网络并找出其控制的所有僵尸主机成为本领域亟待解决的技术问题。
发明内容
本发明要解决的一个技术问题是提供一种追溯僵尸网络的方法和系统,通过对网络流量特征和DNS(域名系统,Domain Name System)访问请求进行分析,发现僵尸网络并找出其控制的所有僵尸主机。
本发明的一个方面提供了一种追溯僵尸网络的方法,该方法包括:流量采集子系统不断采集网络上的流量数据信息,并将流量数据信息发送给流量信息数据库进行保存;流量分析子系统对网络流量进行监控;如果网络情况正常,流量分析子系统从僵尸网络数据库中提取出僵尸网络的特征;根据僵尸网络的特征对从流量信息数据库中读取的流量数据信息进行分析,找出可疑的网络流量信息;并将核实确认的僵尸网络记录到僵尸网络数据库中;DNS关联分析子系统从僵尸网络数据库中提取出僵尸网络的特征,使用僵尸网络的特征在DNS访问数据库中进行搜索,寻找是否有访问僵尸网络的命令和控制服务器C&C Server域名的访问行为;如果发现有访问发生,DNS关联分析子系统记录访问C&CServer域名的每一个IP地址。
本发明提供的追溯僵尸网络的方法的一个实施例中,流量分析子系统对网络流量进行监控的步骤还包括:如果网络情况异常,流量分析子系统分析是否发生了大规模拒绝服务攻击,攻击的流量有多大;如果确认发生大规模拒绝服务攻击,流量分析子系统获取攻击源头的IP地址,并将获取的多个攻击源头IP地址发送给DNS关联分析子系统;DNS关联分析子系统找出攻击源头共同访问过的域名,检验所找出的域名,并验证是否是真正的C&C Server;如果C&C Server验证无误,则关闭C&C Server以终止大规模拒绝服务攻击。
本发明提供的追溯僵尸网络的方法的一个实施例中,该方法还包括:在步骤“流量采集子系统不断采集网络上的流量数据信息,并将流量数据信息存储在流量信息数据库中”之后,流量分析子系统对流量采集子系统采集的正常流量进行分析,并建立正常流量模型。
本发明提供的追溯僵尸网络的方法的一个实施例中,该方法还包括:僵尸网络数据库定期更新全球已发现的僵尸网络信息。
本发明提供的追溯僵尸网络的方法的一个实施例中,该方法还包括:在步骤“如果发现有访问发生,DNS关联分析子系统记录访问C&C Server域名的每一个IP地址”之后,DNS关联分析子系统根据IP地址的数量对于僵尸网络进行排序。
本发明提供的追溯僵尸网络的方法的一个实施例中,僵尸网络的特征包括:僵尸网络的名称、IP地址、端口号、C&C Server域名中的至少一种。
本发明的另一个方面提供了一种追溯僵尸网络的系统,该系统包括:流量采集子系统,用于不断采集网络上的流量数据信息,并将流量数据信息发送给流量信息数据库;数据库子系统,用于接收并存储流量采集子系统发送的流量数据信息;存储僵尸网络的特征,并在接收到流量分析子系统和DNS关联分析子系统的查询请求后,返回包含僵尸网络的特征的查询结果;以及记录DNS访问请求的详细信息;核心分析子系统,用于对网络流量进行监控;在网络情况正常时,从僵尸网络数据库中提取出僵尸网络的特征;根据僵尸网络的特征对从流量信息数据库中读取的流量数据信息进行分析,找出可疑的网络流量信息;并将核实确认的僵尸网络记录到僵尸网络数据库中;以及使用僵尸网络的特征在DNS访问数据库中进行搜索,寻找是否有访问僵尸网络的命令和控制服务器C&C Server域名的访问行为;如果发现有访问发生,DNS关联分析子系统记录访问C&C Server域名的每一个IP地址。
本发明提供的追溯僵尸网络的系统的一个实施例中,该系统还包括:DNS信息采集子系统,用于获取DNS访问信息,并将DNS访问信息存储于DNS访问数据库中。
本发明提供的追溯僵尸网络的系统的一个实施例中,核心分析子系统进一步包括:流量分析子系统,用于对网络流量进行监控;在网络情况正常时,从僵尸网络数据库中提取出僵尸网络的特征;根据僵尸网络的特征对从流量信息数据库中读取的流量数据信息进行分析,找出可疑的网络流量信息;并将核实确认的僵尸网络记录到僵尸网络数据库中;DNS关联分析子系统,用于在网络情况正常时,从僵尸网络数据库中提取出僵尸网络的特征,使用僵尸网络的特征在DNS访问数据库中进行搜索,寻找是否有访问僵尸网络的命令和控制服务器C&C Server域名的访问行为;如果发现有访问发生,DNS关联分析子系统记录访问C&C Server域名的每一个IP地址。
本发明提供的追溯僵尸网络的系统的一个实施例中,流量分析子系统还用于:在对网络流量进行监控时,如果网络情况异常,分析是否发生了大规模拒绝服务攻击,攻击的流量有多大;如果确认发生大规模拒绝服务攻击,则获取攻击源头的IP地址,并将获取的多个攻击源头IP地址发送给DNS关联分析子系统;DNS关联分析子系统还用于,在网络情况异常时,接收到流量分析子系统发送的多个攻击源头IP地址后,找出攻击源头共同访问过的域名,检验所找出的域名,并验证是否是真正的C&C Server;如果C&C Server验证无误,则关闭C&CServer以终止大规模拒绝服务攻击。
本发明提供的追溯僵尸网络的系统的一个实施例中,流量分析子系统还用于对流量采集子系统采集的正常流量进行分析,并建立正常流量模型。
本发明提供的追溯僵尸网络的系统的一个实施例中,数据库子系统进一步包括:流量信息数据库,用于接收并存储流量采集子系统发送的流量数据信息;僵尸网络数据库,用于存储僵尸网络的特征,并在接收到流量分析子系统和DNS关联分析子系统的查询请求后,返回包含僵尸网络的特征的查询结果;以及DNS访问数据库,用于记录DNS访问请求的详细信息。
本发明提供的追溯僵尸网络的系统的一个实施例中,僵尸网络数据库定期更新全球已发现的僵尸网络信息。
本发明提供的追溯僵尸网络的系统的一个实施例中,DNS关联分析子系统还用于根据IP地址的数量对于僵尸网络进行排序。
本发明提供的追溯僵尸网络的系统的一个实施例中,僵尸网络的特征包括:僵尸网络的名称、IP地址、端口号、C&C Server域名中的至少一种。
本发明提供的追溯僵尸网络的系统的一个实施例中,DNS访问请求的详细信息包括:访问源地址、目标域名、访问方式、访问时间、访问次数中的至少一种。
本发明供的追溯僵尸网络的方法及系统,通过对网络流量特征和DNS访问请求进行分析,发现僵尸网络并找出其控制的所有僵尸主机,从而采取相应的防范措施以保证网络安全。
附图说明
图1示出本发明实施例提供的一种追溯僵尸网络的方法的流程图;
图2示出本发明提供的追溯僵尸网络的方法的另一个实施例的流程图;
图3示出本发明实施例提供的一种追溯僵尸网络的系统的结构示意图;
图4示出本发明提供的追溯僵尸网络的系统的另一个实施例的结构示意图;
图5示出本发明提供的追溯僵尸网络的系统的另一个实施例的结构示意图;
图6示出本发明提供的追溯僵尸网络的系统的另一个实施例的结构示意图;
图7示出本发明提供的追溯僵尸网络的系统的一个具体实施方式的结构示意图。
具体实施方式
下面参照附图对本发明进行更全面的描述,其中说明本发明的示例性实施例。
图1示出本发明实施例提供的一种追溯僵尸网络的方法的流程图。
如图1所示,追溯僵尸网络的方法100包括:步骤102,流量采集子系统不断采集网络上的流量数据信息,并将所述流量数据信息发送给流量信息数据库进行保存。例如,流量采集子系统是用于进行网络流量信息收集的系统,它可以采用粗力度采集模块、或细粒度采集模块,又或者是具有粗力度采集和细力度采集模块两个部分的构造;其中粗力度模块所执行的流量采集方式可以采用目前网络设备上自带的流量采样功能,如NetFlow、CFlow、SFlow、NetStream等;这些流量采样技术都是对流经该网络设备的网络数据包进行抽样分析,而不是针对每一个数据包进行分析。细粒度采集模块可以采用数据包监听技术,其对每一个流经该网络设备的数据包进行解包分析。细粒度采集方式比粗力度采集方式更加消耗系统资源,但采集结果更加准确。
步骤104,流量分析子系统对网络流量进行监控。例如,流量分析子系统对网络流量进行监控主要涉及:分析目前的网络流量是否正常,分析网络上目前是否正在发生大规模拒绝服务攻击,以及分析网络上是否有僵尸网络的活动。根据网络状况,流量分析子系统执行不同的监控流程;例如,如果网络情况正常,流量分析子系统从僵尸网络数据库中提取出僵尸网络的特征(僵尸网络的特征包括:僵尸网络的名称、IP地址、端口号、C&C Server域名中的至少一种;具体可以提取出如IP地址、端口号等);根据僵尸网络的特征对从流量信息数据库中读取的流量数据信息进行分析,找出可疑的网络流量信息;并将核实确认的僵尸网络记录到僵尸网络数据库中。具体来说,流量分析子系统通过提取僵尸网络指纹信息(包括:僵尸网络名称、类型、C&C Server域名、C&C Server所在区域、Bot程序、网络规模、僵尸主机列表中的至少一种,其中僵尸网络的类型根据其通信模式主要包括:IRC型、HTTP型、P2P型;“Bot程序”就是僵尸程序,在指纹信息中是指僵尸程序的md5摘要;“网络规模”是该僵尸网络的控制主机的多少,如千级、万级还是百万级;“僵尸主机列表”,简单说是通过流量分析子系统获取线索,通过DNS的关联分析获取僵尸主机列表),与目前网路的流量特征进行对比,从而找出流量中僵尸网络的活动情况。
稍后,还将在其它实施例中对流量分析子系统执行的具体监控流程作进一步的详细介绍。
步骤106,DNS关联分析子系统从僵尸网络数据库中提取出僵尸网络的特征,使用僵尸网络的特征在DNS访问数据库中进行搜索,寻找是否有访问僵尸网络的命令和控制服务器C&C Server域名的访问行为。例如,DNS关联分析子系统根据僵尸网络的特征(僵尸网络的特征包括:僵尸网络的名称、IP地址、端口号、C&C Server域名中的至少一种,具体可以提取出如C&C Server域名等)在DNS访问数据库中进行搜索,其可以根据指定的IP地址,分析出该IP地址的访问记录;或者根据指定单个域名,分析出访问该域名的所有IP地址;或者根据指定的多个IP地址,分析出这些IP地址共同访问过的域名。
步骤108,如果发现有访问发生,DNS关联分析子系统记录访问C&C Server域名的每一个IP地址,即追溯到的僵尸主机的IP地址。
本发明提供的追溯僵尸网络的方法的一个实施例中,该方法还包括:在步骤102之后,流量分析子系统对流量采集子系统采集的正常流量进行分析,并建立正常流量模型。正常流量模型可以包括:网络流量大小范围、每秒包个数范围、随时间而变的流量曲线、各种协议在流量中的比例分布等参数。正常模型建立后,就可以判断目前网络状态是正常还是异常,从而在流量分析子系统对网络流量进行监控时有针对性的启动不同的处理机制。
本发明提供的追溯僵尸网络的方法的一个实施例中,该方法还包括:僵尸网络数据库定期更新全球已发现的僵尸网络信息。
本发明提供的追溯僵尸网络的方法的一个实施例中,该方法还包括:在步骤108之后,DNS关联分析子系统根据IP地址的数量对于僵尸网络进行排序。
本发明提供的追溯僵尸网络的方法的一个实施例,通过流量分析子系统对网络流量特征进行分析、核实,以及通过DNS关联分析子系统对DNS访问请求进行分析、验证,从而发现僵尸网络并找出其控制的所有僵尸主机,对相应的服务器、僵尸主机采取相应拒绝服务、关闭服务器等的防范措施以保证网络安全。
图2示出本发明提供的追溯僵尸网络的方法的另一个实施例的流程图。
如图2所示,追溯僵尸网络的方法200包括步骤202、204-209和211,其中步骤202、204、206和208可以分别执行与图1所示的步骤102、104、106和108相同或相似的技术内容,为简洁起见,这里不再赘述其技术内容。
如图2所示,在步骤204“流量分析子系统对网络流量进行监控”时,如果网络情况异常,则执行步骤205,流量分析子系统分析是否发生了大规模拒绝服务攻击,攻击的流量有多大。
步骤207,如果确认发生大规模拒绝服务攻击,流量分析子系统获取攻击源头的IP地址,并将获取的多个攻击源头IP地址发送给DNS关联分析子系统;DNS关联分析子系统找出攻击源头共同访问过的域名,检验所找出的域名,并验证是否是真正的C&C Server;从而去掉可能的干扰项(这是因为共同访问的域名也可能包含大型的门户网站,因此必须剔除该类型或类似的干扰项)。
步骤211,如果C&C Server验证无误,则关闭C&C Server;终止大规模拒绝服务攻击。
图3示出本发明实施例提供的一种追溯僵尸网络的系统的结构示意图。
如图3所示,追溯僵尸网络的系统300包括流量采集子系统302、数据库子系统304和核心分析子系统306,其中
流量采集子系统302,用于不断采集网络上的流量数据信息,并将流量数据信息发送给流量信息数据库。
数据库子系统304,用于接收并存储流量采集子系统发送的流量数据信息;存储僵尸网络的特征,并在接收到流量分析子系统和DNS关联分析子系统的查询请求后,返回包含僵尸网络的特征的查询结果;以及记录DNS访问请求的详细信息。
核心分析子系统306,用于对网络流量进行监控;在网络情况正常时,从僵尸网络数据库中提取出僵尸网络的特征;根据僵尸网络的特征对从流量信息数据库中读取的流量数据信息进行分析,找出可疑的网络流量信息;并将核实确认的僵尸网络记录到僵尸网络数据库中;以及使用僵尸网络的特征在DNS访问数据库中进行搜索,寻找是否有访问僵尸网络的命令和控制服务器C&C Server域名的访问行为;如果发现有访问发生,DNS关联分析子系统记录访问C&C Server域名的每一个IP地址。
本发明提供的追溯僵尸网络的系统的一个实施例中,核心分析子系统还用于:在网络情况异常时,接收到流量分析子系统发送的多个攻击源头IP地址后,找出攻击源头共同访问过的域名,检验所找出的域名,并验证是否是真正的C&C Server;如果C&C Server验证无误,则关闭C&C Server以终止大规模拒绝服务攻击。
本发明还提供的追溯僵尸网络的系统的一个实施例中,流量分析子系统还用于对流量采集子系统采集的正常流量进行分析,并建立正常流量模型。正常流量模型可以包括:网络流量大小范围、每秒包个数范围、随时间而变的流量曲线、各种协议在流量中的比例分布等参数。正常模型建立后,就可以判断目前网络状态是正常还是异常,从而在流量分析子系统对网络流量进行监控时有针对性的启动不同的处理机制。
本发明提供的追溯僵尸网络的系统的一个实施例中,DNS关联分析子系统还用于根据IP地址的数量对于僵尸网络进行排序。
本发明提供的追溯僵尸网络的系统的一个实施例,通过核心分析子系统对网络流量特征和DNS访问请求进行分析、验证,从而发现僵尸网络并找出其控制的所有僵尸主机,对相应的服务器、僵尸主机采取相应拒绝服务、关闭服务器等的防范措施以保证网络安全。
图4示出本发明提供的追溯僵尸网络的系统的另一个实施例的结构示意图。
如图4所示,追溯僵尸网络的系统400主要包括:流量采集子系统402、数据库子系统404和核心分析子系统406,其中;其中流量采集子系统402和数据库子系统404分别可以是与图3所示流量采集子系统302、数据库子系统304具有相同或相似的功能模块;为简洁起见,这里不再赘述。
如图4所示,核心分析子系统406进一步包括:流量分析子系统4060和DNS关联分析子系统4062,其中
流量分析子系统4060,用于对网络流量进行监控;在网络情况正常时,从僵尸网络数据库中提取出僵尸网络的特征;根据僵尸网络的特征对从流量信息数据库中读取的流量数据信息进行分析,找出可疑的网络流量信息;并将核实确认的僵尸网络记录到僵尸网络数据库中。
DNS关联分析子系统4062,用于在网络情况正常时,从僵尸网络数据库中提取出僵尸网络的特征,使用僵尸网络的特征在DNS访问数据库中进行搜索,寻找是否有访问僵尸网络的命令和控制服务器C&CServer域名的访问行为;如果发现有访问发生,DNS关联分析子系统记录访问C&C Server域名的每一个IP地址。
本发明提供的追溯僵尸网络的系统的一个实施例中,流量分析子系统还用于:在对网络流量进行监控时,如果网络情况异常,分析是否发生了大规模拒绝服务攻击,攻击的流量有多大;如果确认发生大规模拒绝服务攻击,则获取攻击源头的IP地址,并将获取的多个攻击源头IP地址发送给DNS关联分析子系统。
本发明提供的追溯僵尸网络的系统的一个实施例中,DNS关联分析子系统还用于:在网络情况正常时,从僵尸网络数据库中提取出僵尸网络的特征,使用僵尸网络的特征在DNS访问数据库中进行搜索,寻找是否有访问僵尸网络的命令和控制服务器C&C Server域名的访问行为;如果发现有访问发生,DNS关联分析子系统记录访问C&C Server域名的每一个IP地址。
总体来说,本发明提供的流量分析子系统在正常的情况下通过对网络正常流量的学习建立正常流量模型,设立正常网络流量的参数。流量分析子系统通过提取僵尸网络指纹信息,与目前网路的流量特征进行对比,从而找出流量中僵尸网络的活动情况。在网络异常的情况下,流量分析子系统启动溯源功能,迅速定位攻击的源头和控制中心,对源头迅速采取措施。DNS关联分析子系统是在DNS访问数据库基础上进行关联分析的系统。它完成的功能主要有:给出指定单个IP地址,分析出该IP地址的访问记录;给出指定单个域名,分析出访问该域名的所有IP地址;给出指定的多个IP地址,分析出这些IP地址共同访问过的域名。
图5示出本发明提供的追溯僵尸网络的系统的另一个实施例的结构示意图。
如图5所示,追溯僵尸网络的系统500主要包括:流量采集子系统502、数据库子系统504、核心分析子系统506和DNS信息采集子系统508,其中;其中流量采集子系统502、数据库子系统504、核心分析子系统506分别可以是与图3所示流量采集子系统302、数据库子系统304和核心分析子系统306具有相同或相似的功能模块;为简洁起见,这里不再赘述。
如图5所示,追溯僵尸网络的系统500还包括:DNS信息采集子系统508,用于获取DNS访问信息,并将DNS访问信息存储于数据库子系统504中。例如,DNS信息采集子系统采集的DNS访问信息可以存储在数据库子系统的DNS访问数据库中。
具体来说,本发明中采用的DNS信息采集子系统,可以通过对目前的DNS信息采集子系统的改进版,例如,通过分光等方式将DNS访问流量镜像出来,记录访问的源地址和目标域名等信息,并将结果存储于DNS访问数据库中。
图6示出本发明提供的追溯僵尸网络的系统的另一个实施例的结构示意图。
如图6所示,追溯僵尸网络的系统600主要包括:流量采集子系统602、数据库子系统604、核心分析子系统606和DNS信息采集子系统608;其中流量采集子系统602、核心分析子系统606和DNS信息采集子系统608分别可以是与图5所示流量采集子系统502、核心分析子系统506和DNS信息采集子系统508具有相同或相似的功能模块;为简洁起见,这里不再赘述。
如图6所示,数据库子系统604进一步包括:流量信息数据库6040、僵尸网络数据库6042和DNS访问数据库6044;其中
流量信息数据库6040,用于接收并存储流量采集子系统发送的流量数据信息。流量信息数据库是将网络设备上面收集到的流量数据存储到数据库中,其中,流量数据包括:IP源地址、IP目的地址、源端口、目的端口、三层协议类型和服务级别中的至少一种信息。
僵尸网络数据库6042,用于存储僵尸网络的特征,并在接收到流量分析子系统和DNS关联分析子系统的查询请求后,返回包含僵尸网络的特征的查询结果。其中,僵尸网络的特征包括:僵尸网络的名称、IP地址、端口号、C&C Server域名中的至少一种。僵尸网络数据库是对于各种僵尸网络建立的存储档案,它包括两个部分。一部分是目前全球已经发现的僵尸网络,另一部分是本网络发现的新型僵尸网络。僵尸网络数据库中对于僵尸网络的数据包括以下几个部分:僵尸网络名称、类型、C&C Server域名、C&C Server所在区域、Bot程序、网络规模、僵尸主机列表。
DNS访问数据库6044,用于记录DNS访问请求的详细信息。具体来说,DNS访问请求的详细信息包括:访问源地址、目标域名、访问方式、访问时间、访问次数中的至少一种。
本发明提供的追溯僵尸网络的系统的一个实施例中,僵尸网络数据库还用于定期更新全球已发现的僵尸网络信息。
图7示出本发明提供的追溯僵尸网络的系统的一个具体实施方式的结构示意图。
如图7所示,追溯僵尸网络的系统700主要包括:流量采集子系统702、数据库子系统704、核心分析子系统706和DNS信息采集子系统708;其中数据库子系统704进一步包括:流量信息数据库7040、僵尸网络数据库7042和DNS访问数据库7044;核心分析子系统706进一步包括:流量分析子系统7070和DNS关联分析子系统7062。
流量采集子系统702,用于不断采集网络上的流量数据信息,并将流量数据信息发送给流量信息数据库。
流量信息数据库7040,用于接收并存储流量采集子系统发送的流量数据信息。流量信息数据库是将网络设备上面收集到的流量数据存储到数据库中,其中,流量数据包括:IP源地址、IP目的地址、源端口、目的端口、三层协议类型和服务级别中的至少一种信息。
僵尸网络数据库7042,用于存储僵尸网络的特征,并在接收到流量分析子系统和DNS关联分析子系统的查询请求后,返回包含僵尸网络的特征的查询结果。其中,僵尸网络的特征包括:僵尸网络的名称、IP地址、端口号、C&C Server域名中的至少一种。僵尸网络数据库是对于各种僵尸网络建立的存储档案,它包括两个部分。一部分是目前全球已经发现的僵尸网络,另一部分是本网络发现的新型僵尸网络。僵尸网络数据库中对于僵尸网络的数据包括以下几个部分:僵尸网络名称、类型、C&C Server域名、C&C Server所在区域、Bot程序、网络规模、僵尸主机列表。
DNS访问数据库7044,用于记录DNS访问请求的详细信息。具体来说,DNS访问请求的详细信息包括:访问源地址、目标域名、访问方式、访问时间、访问次数中的至少一种。
流量分析子系统7060,用于对网络流量进行监控;在网络情况正常时,从僵尸网络数据库中提取出僵尸网络的特征;根据僵尸网络的特征对从流量信息数据库中读取的流量数据信息进行分析,找出可疑的网络流量信息;并将核实确认的僵尸网络记录到僵尸网络数据库中。在对网络流量进行监控时,如果网络情况异常,分析是否发生了大规模拒绝服务攻击,攻击的流量有多大;如果确认发生大规模拒绝服务攻击,则获取攻击源头的IP地址,并将获取的多个攻击源头IP地址发送给DNS关联分析子系统。
DNS关联分析子系统7062,用于在网络情况正常时,从僵尸网络数据库中提取出僵尸网络的特征,使用僵尸网络的特征在DNS访问数据库中进行搜索,寻找是否有访问僵尸网络的命令和控制服务器C&CServer域名的访问行为;如果发现有访问发生,DNS关联分析子系统记录访问C&C Server域名的每一个IP地址。在网络情况正常时,从僵尸网络数据库中提取出僵尸网络的特征,使用僵尸网络的特征在DNS访问数据库中进行搜索,寻找是否有访问僵尸网络的命令和控制服务器C&C Server域名的访问行为;如果发现有访问发生,DNS关联分析子系统记录访问C&C Server域名的每一个IP地址。
参考前述本发明示例性的描述,本领域技术人员可以清楚的知晓本发明具有以下优点:
1、本发明提供的追溯僵尸网络的方法及系统的一个实施例,通过流量分析子系统对网络流量特征进行分析、核实,以及通过DNS关联分析子系统对DNS访问请求进行分析、验证,从而发现僵尸网络并找出其控制的所有僵尸主机,对相应的服务器、僵尸主机采取相应拒绝服务、关闭服务器等的防范措施,进一步保证了网络安全。
2、本发明提供的追溯僵尸网络的方法及系统的一个实施例,采用分析互联网流量特征结合DNS访问请求进行关联分析的方法,可以对互联网上活动的僵尸网络进行检测,在攻击发生时可以对攻击源头的僵尸网络进行追溯,找出控制僵尸网络的实际攻击者,监控范围大、智能性高、灵活快速,不需要人工分析僵尸程序、提高了工作效率,能够在僵尸网络的形成和发起攻击的早期进行僵尸网络的检测和抑制。
3、本发明提供的追溯僵尸网络的方法及系统的一个实施例,方案实现简单,能够结合现有的电信运营商网络情况,只要在现网设备进行相应配置,添置必要的分析设备就可以用于对僵尸网络的检测和追溯,具有较高的实用价值。
4、本发明提供的追溯僵尸网络的方法及系统的一个实施例,相比于目前业界僵尸网络监控方案主要立足于主机和局域网的局限,本发明从运营商网络出发,适用环境更广泛,分析结果更全面;而且本发明采取多种信息互相验证方式,具有全面、实时、准确的特点,有效规避了同类技术多单一判断的方式可能造成的误报等缺点。
本发明的描述是为了示例和描述起见而给出的,而并不是无遗漏的或者将本发明限于所公开的形式。很多修改和变化对于本领域的普通技术人员而言是显然的。选择和描述实施例是为了更好说明本发明的原理和实际应用,并且使本领域的普通技术人员能够理解本发明从而设计适于特定用途的带有各种修改的各种实施例。
Claims (14)
1.一种追溯僵尸网络的方法,其特征在于,所述方法包括:
流量采集子系统不断采集网络上的流量数据信息,并将所述流量数据信息发送给流量信息数据库进行保存;
流量分析子系统对网络流量进行监控;
如果网络情况正常,所述流量分析子系统从僵尸网络数据库中提取出僵尸网络的特征;根据所述僵尸网络的特征对从所述流量信息数据库中读取的所述流量数据信息进行分析,找出可疑的网络流量信息;并将核实确认的僵尸网络记录到所述僵尸网络数据库中;
DNS关联分析子系统从所述僵尸网络数据库中提取出所述僵尸网络的特征,使用所述僵尸网络的特征在DNS访问数据库中进行搜索,寻找是否有访问所述僵尸网络的命令和控制服务器C&C Server域名的访问行为;
如果发现有访问发生,所述DNS关联分析子系统记录访问所述C&C Server域名的每一个IP地址。
2.根据权利要求1所述的方法,其特征在于,所述流量分析子系统对网络流量进行监控的步骤还包括:
如果所述网络情况异常,所述流量分析子系统分析是否发生了大规模拒绝服务攻击,攻击的流量有多大;
如果确认发生大规模拒绝服务攻击,所述流量分析子系统获取攻击源头的IP地址,并将获取的多个攻击源头IP地址发送给所述DNS关联分析子系统;
所述DNS关联分析子系统找出所述攻击源头共同访问过的域名,检验所找出的域名,并验证是否是真正的C&C Server;
如果所述C&C Server验证无误,则关闭所述C&C Server以终止大规模拒绝服务攻击。
3.根据权利要求1所述的方法,其特征在于,所述方法还包括:
在流量采集子系统不断采集网络上的流量数据信息,并将所述流量数据信息发送给流量信息数据库进行保存的步骤之后,所述流量分析子系统对所述流量采集子系统采集的正常流量进行分析,并建立正常流量模型。
4.根据权利要求1所述的方法,其特征在于,所述方法还包括:
所述僵尸网络数据库定期更新全球已发现的僵尸网络信息。
5.根据权利要求1所述的方法,其特征在于,所述方法还包括:
在如果发现有访问发生,所述DNS关联分析子系统记录访问所述C&C Server域名的每一个IP地址的步骤之后,所述DNS关联分析子系统根据所述IP地址的数量对于所述僵尸网络进行排序。
6.根据权利要求1-5中任意一项所述的方法,其特征在于,所述僵尸网络的特征包括:僵尸网络的名称、IP地址、端口号、C&CServer域名中的至少一种。
7.一种追溯僵尸网络的系统,其特征在于,所述系统包括流量采集子系统、数据库子系统和核心分析子系统,其中:
流量采集子系统,用于不断采集网络上的流量数据信息,并将所述流量数据信息发送给流量信息数据库;
数据库子系统,包括:
流量信息数据库,用于接收并存储所述流量采集子系统发送的所述流量数据信息;
僵尸网络数据库,用于存储僵尸网络的特征,并在接收到流量分析子系统和DNS关联分析子系统的查询请求后,返回包含僵尸网络的特征的查询结果;以及
DNS访问数据库,用于记录DNS访问请求的详细信息;
核心分析子系统,包括:
流量分析子系统,用于对网络流量进行监控;在网络情况正常时,从所述僵尸网络数据库中提取出僵尸网络的特征;根据所述僵尸网络的特征对从所述流量信息数据库中读取的所述流量数据信息进行分析,找出可疑的网络流量信息;并将核实确认的僵尸网络记录到所述僵尸网络数据库中;
DNS关联分析子系统,用于在网络情况正常时,从所述僵尸网络数据库中提取出所述僵尸网络的特征,使用所述僵尸网络的特征在DNS访问数据库中进行搜索,寻找是否有访问所述僵尸网络的命令和控制服务器C&C Server域名的访问行为;如果发现有访问发生,所述DNS关联分析子系统记录访问所述C&C Server域名的每一个IP地址。
8.根据权利要求7所述的系统,其特征在于,所述系统还包括:DNS信息采集子系统,用于获取DNS访问信息,并将所述DNS访问信息存储于DNS访问数据库中。
9.根据权利要求7所述的系统,其特征在于,所述流量分析子系统还用于:在对网络流量进行监控时,如果所述网络情况异常,分析是否发生了大规模拒绝服务攻击,攻击的流量有多大;如果确认发生大规模拒绝服务攻击,则获取攻击源头的IP地址,并将获取的多个攻击源头IP地址发送给所述DNS关联分析子系统;
所述DNS关联分析子系统还用于,在网络情况异常时,接收到所述流量分析子系统发送的多个攻击源头IP地址后,找出所述攻击源头共同访问过的域名,检验所找出的域名,并验证是否是真正的C&CServer;如果所述C&C Server验证无误,则关闭所述C&C Server以终止大规模拒绝服务攻击。
10.根据权利要求7所述的系统,其特征在于,所述流量分析子系统还用于对所述流量采集子系统采集的正常流量进行分析,并建立正常流量模型。
11.根据权利要求7所述的系统,其特征在于,所述僵尸网络数据库定期更新全球已发现的僵尸网络信息。
12.根据权利要求7所述的系统,其特征在于,所述DNS关联分析子系统还用于根据所述IP地址的数量对于所述僵尸网络进行排序。
13.根据权利要求7-12中任意一项所述的系统,其特征在于,所述僵尸网络的特征包括:僵尸网络的名称、IP地址、端口号、C&CServer域名中的至少一种。
14.根据权利要求7-12中任意一项所述的系统,其特征在于,所述DNS访问请求的详细信息包括:访问源地址、目标域名、访问方式、访问时间、访问次数中的至少一种。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201010241080.1A CN101924757B (zh) | 2010-07-30 | 2010-07-30 | 追溯僵尸网络的方法和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201010241080.1A CN101924757B (zh) | 2010-07-30 | 2010-07-30 | 追溯僵尸网络的方法和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101924757A CN101924757A (zh) | 2010-12-22 |
| CN101924757B true CN101924757B (zh) | 2013-12-18 |
Family
ID=43339401
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201010241080.1A Active CN101924757B (zh) | 2010-07-30 | 2010-07-30 | 追溯僵尸网络的方法和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101924757B (zh) |
Families Citing this family (26)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102404741B (zh) * | 2011-11-30 | 2015-05-20 | 中国联合网络通信集团有限公司 | 移动终端上网异常检测方法和装置 |
| CN102447596A (zh) * | 2011-12-27 | 2012-05-09 | 成都众询科技有限公司 | 一种高速网络流量监测系统 |
| CN102685133B (zh) * | 2012-05-14 | 2014-11-19 | 中国科学院计算机网络信息中心 | 主机标识追溯方法及系统、终端、中心服务器 |
| CN103023891B (zh) * | 2012-11-29 | 2017-03-15 | 中国科学院信息工程研究所 | 僵尸网络的检测方法及装置、僵尸网络的对抗方法及装置 |
| CN103905391B (zh) * | 2012-12-26 | 2018-01-30 | 腾讯科技(深圳)有限公司 | 僵尸网络命令和控制协议的获取方法及装置 |
| CN103152442B (zh) * | 2013-01-31 | 2016-06-01 | 中国科学院计算机网络信息中心 | 一种僵尸网络域名的检测与处理方法及系统 |
| CN103345605B (zh) * | 2013-06-06 | 2016-01-06 | 西安交通大学 | 一种恶意代码感染主机规模估计系统和方法 |
| CN103997489B (zh) * | 2014-05-09 | 2017-02-22 | 北京神州绿盟信息安全科技股份有限公司 | 一种识别DDoS僵尸网络通信协议的方法及装置 |
| CN104954367B (zh) * | 2015-06-04 | 2019-02-12 | 饶小毛 | 一种互联网全向跨域DDoS攻击防护方法 |
| CN105007271B (zh) * | 2015-07-17 | 2019-01-18 | 中国科学院信息工程研究所 | 一种DDoS攻击僵尸网络的识别方法及系统 |
| KR102149531B1 (ko) * | 2015-11-09 | 2020-08-31 | 한국전자통신연구원 | 넷플로우 기반 연결 핑거프린트 생성 및 경유지 역추적 방법 |
| CN105516096B (zh) * | 2015-11-30 | 2018-10-30 | 睿峰网云(北京)科技股份有限公司 | 一种僵尸网络发现技术及装置 |
| CN106850501A (zh) * | 2015-12-04 | 2017-06-13 | 中国电信股份有限公司 | 检测僵木蠕网络的方法以及系统 |
| CN109391599A (zh) * | 2017-08-10 | 2019-02-26 | 蓝盾信息安全技术股份有限公司 | 一种基于https流量特征分析的僵尸网络通讯信号的检测系统 |
| CN107733867B (zh) * | 2017-09-12 | 2020-09-22 | 北京神州绿盟信息安全科技股份有限公司 | 一种发现僵尸网络及防护的方法、系统和存储介质 |
| CN107733927B (zh) * | 2017-11-28 | 2021-10-19 | 深信服科技股份有限公司 | 一种僵尸网络文件检测的方法、云服务器、装置及系统 |
| US10708281B1 (en) * | 2018-04-16 | 2020-07-07 | Akamai Technologies, Inc. | Content delivery network (CDN) bot detection using primitive and compound feature sets |
| CN109597869A (zh) * | 2018-11-30 | 2019-04-09 | 杭州芸品绿信息科技有限公司 | 恶意网站制作的犯罪团伙筛选方法 |
| CN109787964B (zh) * | 2018-12-29 | 2021-04-27 | 北京零平数据处理有限公司 | 进程行为溯源装置和方法 |
| CN110392039A (zh) * | 2019-06-10 | 2019-10-29 | 浙江高速信息工程技术有限公司 | 基于日志和流量采集的网络系统事件溯源方法及系统 |
| CN111212039A (zh) * | 2019-12-23 | 2020-05-29 | 杭州安恒信息技术股份有限公司 | 基于dns流量的主机挖矿行为检测方法 |
| CN112839029B (zh) * | 2020-12-22 | 2023-02-17 | 河南省信息咨询设计研究有限公司 | 一种僵尸网络活跃度的分析方法与系统 |
| CN113271303A (zh) * | 2021-05-13 | 2021-08-17 | 国家计算机网络与信息安全管理中心 | 一种基于行为相似性分析的僵尸网络检测方法及系统 |
| CN114500122B (zh) * | 2022-04-18 | 2022-07-01 | 国家计算机网络与信息安全管理中心江苏分中心 | 一种基于多源数据融合的特定网络行为分析方法和系统 |
| CN115102785B (zh) * | 2022-07-25 | 2022-11-18 | 远江盛邦(北京)网络安全科技股份有限公司 | 一种针对网络攻击的自动溯源系统及方法 |
| CN117155614A (zh) * | 2023-08-09 | 2023-12-01 | 华能信息技术有限公司 | 一种僵尸网络发现方法、系统及存储介质 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101651579A (zh) * | 2009-09-15 | 2010-02-17 | 成都市华为赛门铁克科技有限公司 | 识别僵尸网络的方法及网关设备 |
| CN101741862A (zh) * | 2010-01-22 | 2010-06-16 | 西安交通大学 | 基于数据包序列特征的irc僵尸网络检测系统和检测方法 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7779467B2 (en) * | 2005-12-22 | 2010-08-17 | Electronics And Telecommunications Research Institute | N grouping of traffic and pattern-free internet worm response system and method using N grouping of traffic |
-
2010
- 2010-07-30 CN CN201010241080.1A patent/CN101924757B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101651579A (zh) * | 2009-09-15 | 2010-02-17 | 成都市华为赛门铁克科技有限公司 | 识别僵尸网络的方法及网关设备 |
| CN101741862A (zh) * | 2010-01-22 | 2010-06-16 | 西安交通大学 | 基于数据包序列特征的irc僵尸网络检测系统和检测方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101924757A (zh) | 2010-12-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101924757B (zh) | 追溯僵尸网络的方法和系统 | |
| US10721243B2 (en) | Apparatus, system and method for identifying and mitigating malicious network threats | |
| KR101010302B1 (ko) | Irc 및 http 봇넷 보안 관제를 위한 관리 시스템 및 그 방법 | |
| Pilli et al. | Network forensic frameworks: Survey and research challenges | |
| US9166994B2 (en) | Automation discovery to identify malicious activity | |
| US9680861B2 (en) | Historical analysis to identify malicious activity | |
| US20160191549A1 (en) | Rich metadata-based network security monitoring and analysis | |
| CN105027510B (zh) | 网络监视装置和网络监视方法 | |
| KR101391781B1 (ko) | 웹 트랜잭션 밀집도 기반 에이치티티피 봇넷 탐지 장치 및 방법 | |
| WO2022083226A1 (zh) | 异常识别方法和系统、存储介质及电子装置 | |
| US20110153811A1 (en) | System and method for modeling activity patterns of network traffic to detect botnets | |
| US20140059216A1 (en) | Methods and systems for network flow analysis | |
| CN105659245A (zh) | 上下文感知的网络取证 | |
| CN113691566B (zh) | 基于空间测绘和网络流量统计的邮件服务器窃密检测方法 | |
| US9479523B2 (en) | System and method for automated configuration of intrusion detection systems | |
| CN115134099B (zh) | 基于全流量的网络攻击行为分析方法及装置 | |
| CN105187367A (zh) | 基于大数据发现的僵尸木马病毒检测及管控方法 | |
| CN111885041A (zh) | 一种基于蜜罐威胁数据的攻击场景重构方法 | |
| Frye et al. | An ontology-based system to identify complex network attacks | |
| Kaushik et al. | Network forensic system for ICMP attacks | |
| Thi et al. | Federated learning-based cyber threat hunting for apt attack detection in SDN-enabled networks | |
| CN112217777A (zh) | 攻击回溯方法及设备 | |
| Cukier et al. | A statistical analysis of attack data to separate attacks | |
| Shaheen et al. | A proactive design to detect denial of service attacks using SNMP-MIB ICMP variables | |
| KR101084681B1 (ko) | 봇넷 탐지를 위한 네트워크 트래픽의 행위 패턴 모델링 시스템과 봇넷 탐지를 위한 네트워크 트래픽의 행위 패턴 모델링 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |