CN102045300A - 僵尸网络的检测方法、装置及检测系统 - Google Patents
僵尸网络的检测方法、装置及检测系统 Download PDFInfo
- Publication number
- CN102045300A CN102045300A CN2009101783309A CN200910178330A CN102045300A CN 102045300 A CN102045300 A CN 102045300A CN 2009101783309 A CN2009101783309 A CN 2009101783309A CN 200910178330 A CN200910178330 A CN 200910178330A CN 102045300 A CN102045300 A CN 102045300A
- Authority
- CN
- China
- Prior art keywords
- channel
- irc
- botnet
- doubtful
- irc botnet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例公开了一种僵尸网络的检测方法、装置及检测系统。其中的一种僵尸网络的检测方法,包括:获取网络流量中部分或全部互联网中继聊天IRC通信频道的报文;查找所述获取的各个IRC通信频道的报文包含的异常关键字;分别统计对应各个IRC通信频道查找出的所述异常关键字的数量,将在设定时长内统计出的异常关键字的数量超过设定阈值的IRC通信频道,确定为疑似IRC僵尸网络频道;验证所述疑似IRC僵尸网络频道是否为IRC僵尸网络频道。本发明实施例的技术方案能够相对快速准确的检测出多种僵尸网络,可适用多种场景;且实现方式相对简单。
Description
技术领域
本发明涉及通信技术领域,具体涉及一种僵尸网络的检测方法、装置及检测系统。
背景技术
僵尸网络(Botnet),是指采用一种或多种传播手段,将大量主机感染僵尸(bot)程序,从而在控制者和被感染主机(可简称:僵尸或肉机)之间形成的一个可一对多控制的网络。
互联网中继聊天(IRC,Internet Relay Chat)协议是一种基于文本的用于实现网络即时聊天的应用层协议。基于IRC协议的网络通信模式通常是客户端/服务器模式,客户端可在IRC服务器上创建IRC通信频道,其它客户端可以加入该客户端创建的IRC通信频道,并在该IRC通信频道进行聊天通信。
僵尸网络按照拓扑结构可以分为树状僵尸网络和星型僵尸网络。其中,基于IRC协议的僵尸网络(以下可简称IRC僵尸网络)通常是一种星型僵尸网络,参见图1,IRC僵尸网络的攻击方式通常如下:
(1)控制者(黑客)在IRC服务器上创建通信频道;
(2)僵尸(肉机)登陆IRC服务器并加入控制者事先创建的通信频道;
(3)控制者在事先创建的通信频道上发布攻击指令;
(4)僵尸监听并接收攻击指令,发起攻击。
可以理解,僵尸网络的存在将极大的威胁网络用户的信息安全,故而网络中的安全防护设备需要尽可能快速准确的检测出僵尸网络,以便于对其进行严密监控和摧毁。
在现有技术中,主要是通过包匹配来检测IRC僵尸网络,具体是获取来自IRC僵尸网络频道的恶意程序(样本),通过分析该样本获得基于该样本产生的报文的特征库,该特征库包含非常具体的报文特征。利用该特征库,能够精确的检测出来自对应IRC僵尸网络频道的报文,例如,当接收到来自IRC通信频道的报文后,将其和特征库的特征进行匹配,若其符合特征库中的特征,则确定该IRC通信频道为IRC僵尸网络频道。其中,确定出IRC僵尸网络频道,也就相当于确定出了IRC僵尸网络。
在对现有技术的研究和实践过程中,发明人发现,现有技术通过包匹配来检测IRC僵尸网络,首先需要做大量的样本分析,形成包含具体报文特征的特征库,但样本的获取通常十分困难,使得该检测方式的实现难度相对较大;且该方式通常不能检测出未获得样本的IRC僵尸网络频道,使得适用场景相对有限。
发明内容
本发明实施例提供一种僵尸网络的检测方法、装置及检测系统,能够相对快速准确的检测出多种僵尸网络,可适用多种场景;且实现方式相对简单。
为解决上述技术问题,本发明实施例提供以下技术方案:
一种僵尸网络的检测方法,包括:
获取网络流量中部分或全部互联网中继聊天IRC通信频道的报文;查找所述获取的各个IRC通信频道的报文包含的异常关键字;分别统计对应各个IRC通信频道查找出的所述异常关键字的数量,将在设定时长内统计出的异常关键字的数量超过设定阈值的IRC通信频道,确定为疑似IRC僵尸网络频道;验证所述疑似IRC僵尸网络频道是否为IRC僵尸网络频道。
一种僵尸网络的检测装置,包括:
获取模块,用于获取网络流量中部分或全部IRC通信频道的报文;
查找模块,用于查找所述获取模块获取的各个IRC通信频道的报文包含的异常关键字;
统计确定模块,用于分别统计所述查找模块对应各个IRC通信频道查找出的所述异常关键字的数量,将在设定时长内统计出的异常关键字的数量超过设定阈值的IRC通信频道,确定为疑似IRC僵尸网络频道;
验证模块,用于验证所述统计确定模块确定的所述疑似IRC僵尸网络频道是否为IRC僵尸网络频道。
一种检测系统,包括:
如上述实施例所述的僵尸网络的检测装置。
由上可见,本发明实施例采用的技术方案具有如下有益效果:通过查找和分别统计来自各个IRC通信频道的报文包含的异常关键字,将在设定时长内统计出的异常关键字的数量超过设定阈值的IRC通信频道,确定为疑似IRC僵尸网络频道,由于异常关键字容易确定且具有较好的普适性,故而采用上述方案能够相对快速准确的检测出多种僵尸网络,且实现方式相对简单。
附图说明
为了更清楚地说明本发明实施例和现有技术中的技术方案,下面将对实施例和现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1是现有技术提供的一种IRC僵尸网络的攻击示意图;
图2是本发明实施例一提供的一种僵尸网络的检测方法流程图;
图3是本发明实施例二提供的一种僵尸网络的检测方法流程图;
图4-a是本发明实施例三提供的一种僵尸网络的检测装置示意图;
图4-b是本发明实施例三提供的一种监测验证模块示意图;
图4-c是本发明实施例三提供的另一种监测验证模块示意图;
图4-d是本发明实施例三提供的另一种监测验证模块示意图。
具体实施方式
本发明实施例提供一种僵尸网络的检测方法、装置及检测系统,能够相对快速准确的检测出多种僵尸网络,可适用多种场景;且实现方式相对简单。
为使得本发明的发明目的、特征、优点能够更加的明显和易懂,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而非全部实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例一、
参见图2、本发明实施例一的一种僵尸网络的检测方法,可以包括:
210、获取网络流量中部分或全部IRC通信频道的报文。
其中,IRC通信频道的报文是基于IRC协议的报文。例如对于当前已知且十分可靠的IRC通信频道,可以不获取其报文,不对其进行检测;对于其它的IRC通信频道,则可获取其报文,对其进行检测。当然也可以获取来自各个IRC通信频道的报文,对每个IRC通信频道进行检测。
例如可以利用包识别技术(DPI)识别出网络流量的IRC协议报文,进而获取网络流量中部分或全部IRC通信频道的报文。
220、查找上述获取的各个IRC通信频道的报文包含的异常关键字。
在实际应用中,可以预先构建一个异常关键字库,该异常关键字库中的异常关键字例如可以包括各种IRC僵尸网络通用常见的异常命令字符串,通常可以认为,包含异常关键字的报文极有可能来自IRC僵尸网络频道。
其中,上述异常关键字是IRC僵尸网络通用常见的异常命令字符串,故而适用于几乎所有的IRC僵尸网络。可以选择多种方式获取或确定IRC僵尸网络中通用常见的异常命令字符串,以构建异常关键字库。
举例来说,可以选择模式匹配的方式、报文解析的方式或其它方式,查找上述获取的各个IRC通信频道的报文中是否包含有归属于异常关键字库中的一个或多个异常关键字。
230、分别统计对应各个IRC通信频道查找出的异常关键字的数量,将在设定时长内统计出的异常关键字的数量超过设定阈值的IRC通信频道,确定为疑似IRC僵尸网络频道。
在实际应用中,可以预先设定一个统计时长和一个异常关键字的数量阈值,其中,若在设定时长内统计出的来自某个IRC通信频道的报文包含异常关键字的数量超过设定阈值,可以认为该IRC通信频道极有可能为IRC僵尸网络频道,其极有可能已经被攻击者(黑客)控制,此时可以将其确定为疑似IRC僵尸网络频道。
240、验证上述疑似IRC僵尸网络频道是否为IRC僵尸网络频道。
在一种应用场景下,可以选择多种方式验证上述疑似IRC僵尸网络频道是否为IRC僵尸网络频道。例如可以利用IRC客户端登录到上述疑似IRC僵尸网络频道,通过监测该疑似IRC僵尸网络频道的行为模块,验证上述疑似IRC僵尸网络频道是否为IRC僵尸网络频道。
进一步的,若验证出上述疑似IRC僵尸网络频道为IRC僵尸网络频道,可以进行相应的告警处理;若验证出上述疑似IRC僵尸网络频道不是IRC僵尸网络频道,可以继续对其进行严密监控或进行其它处理。
需要说明的是,在IRC通信频道中,根据IRC协议,经常会下发明文指令(其中包含关键字)给客户端。本发明实施例中主要是利用IRC通信频道的该特性,通过异常关键字来检测其中的IRC僵尸网络频道。
需要说明的是,上述方案可以在网络中的安全防护设备上具体实施,该安全防护设备例如可以位于网关上,例如可以位于城域网的出口或其它出口,以便对整个网络进行监控,本发明不做限定。
由上可见,本发明实施例中通过查找和分别统计来自各个IRC通信频道的报文包含的异常关键字,将在设定时长内统计出的异常关键字的数量超过设定阈值的IRC通信频道,确定为疑似IRC僵尸网络频道,由于异常关键字容易确定且具有普适性,故而采用上述方案能够相对快速准确的检测出多种僵尸网络,且实现方式相对简单。
实施例二、
为便于更好的理解本发明实施例的技术方案,下面通过更为具体的实施例对本发明技术方案进行进一步详细的描述。
参见图3,本发明实施例二的一种僵尸网络的检测方法,可以包括:
301、获取网络流量中部分或全部IRC通信频道的报文。
在实际应用中,为减少对正常业务的影响,可以采用数据旁路技术旁路网络流量,然后利用包识别技术从旁路出的网络流量中识别出IRC协议报文,实现获取网络流量中部分或全部IRC通信频道的报文。
302、查找上述获取的各个IRC通信频道的报文包含的异常关键字。
在实际应用中,可以预先构建包含多个异常关键字的异常关键字库,该异常关键字库中的异常关键字可以包括:各种IRC僵尸网络通用常见的异常命令字符串,例如可以包括如下异常命令字符串中的部分或全部:
scan、bot、flood、ddos、fork、delete、login、logon、auth、killthread、clone、redirect、sysinfo、netinfo、ping、spy、dns、udp、syn、http://、download、.exe、update、exploit、advscan、lsass、dcom、beagle、dameware、asc、advscan、root.start、scan、ntscan、dl、dlxx、download.wget、http.update。
上述异常关键字是IRC僵尸网络通用常见的异常命令字符串,故而适用于几乎所有的IRC僵尸网络。可以认为,包含异常关键字的报文极有可能来自IRC僵尸网络频道。
其中,本实施主要选择模式匹配的方式,查找上述获取的各个IRC通信频道的报文中包含的归属于异常关键字库中的一个或多个异常关键字。
303、分别统计对应各个IRC通信频道查找出的异常关键字的数量,将在设定时长内统计出的异常关键字的数量超过设定阈值的IRC通信频道,确定为疑似IRC僵尸网络频道。
在实际应用中,可以预先设定一个统计时长(例如,半个小时)和一个异常关键字的数量阈值(例如,500个),并对应检测到的每个IRC通信频道设置一个计数器,利用每个IRC通信频道的计数器统计来自该IRC通信频道的报文包含的异常关键字的数量。
进一步的,由于某些IRC通信频道的报文可能会重复发送,例如报警报文可能会重复发几次,故而可以对内容相同的报文进行去重处理,即对于内容相同的多个报文包含的异常关键字只统计一次。
其中,若在设定时长内统计出的来自某个IRC通信频道的报文包含异常关键字的数量超过设定阈值,可以认为该IRC通信频道极有可能为IRC僵尸网络频道,其极有可能已经被攻击者(黑客)控制,此时可以将其确定为疑似IRC僵尸网络频道,并可以进行相应的告警处理。
进一步的,还可以对确定出疑似IRC僵尸网络频道进行进一步的验证,以减小误判的可能性,进一步提高检测的准备性。
304、登录确定的疑似IRC僵尸网络频道。
具体可以利用IRC客户端软件,登录到疑似IRC僵尸网络频道,伪装成该疑似IRC僵尸网络频道的在线用户,以便对其行为模式进行严密监控。
各个IRC通信频道的频道名称(标识)和登录密码均可以从来自该IRC通信频道的报文中获取到。因此,可以通过获取和解析相应的报文,获取登录到疑似IRC僵尸网络频道所需的密码等。
305、监测疑似IRC僵尸网络频道的行为模式,并根据监测到的其行为模式,对疑似IRC僵尸网络频道是否为僵尸网络频道进行验证。
其中,IRC僵尸网络频道具有比较明显的行为模式特点,可以通过监测疑似IRC僵尸网络频道是否具有IRC僵尸网络频道的行为模式特点,验证上述疑似IRC僵尸网络频道是否为IRC僵尸网络频道。
本实施例中主要提供以下三种检测方式,对疑似IRC僵尸网络频道是否为僵尸网络频道进行验证。
方式一:
a1、获取疑似IRC僵尸网络频道的聊天列表。
其中,利用IRC客户端登录到疑似IRC僵尸网络频道后,便可以直接获取到疑似IRC僵尸网络频道的聊天列表,其中,该聊天列表中记录有登录到该疑似IRC僵尸网络频道的所有用户的用户昵称(nickname)等信息。
a2、计算聊天列表中记录的用户昵称的相似度。
其中,IRC僵尸网络中的僵尸的用户昵称格式往往是雷同的,通常是通过某种算法生成的,具有一定的规律。例如:IP地址表示法,通常是将被感染了僵尸(bot)程序的主机的IP地址所在国的三位缩写放在开头,然后在后面加入指定长度的随机数字,如USA|8028032、CHA|8920340;系统表示法,通常是将被感染僵尸程序的主机的系统作为开始的字母如xp、2000等,然后再在后面加上指定长度的随机数字,如xp|8034,2000|80956等。
可见,僵尸的用户昵称的规律性和正常用户的用户昵称的随意性是很不相同的。故而可以通过计算聊天列表中记录的用户昵称的相似度,判断该疑似IRC僵尸网络频道是否为IRC僵尸网络频道。
具体可以是:对聊天列表中用户昵称进行昵称长度、字母个数、数字个数、字母数字等等进行分布的统计,以确定其相似度。
a3、若计算出的上述相似度大于设定的阈值,确定上述疑似IRC僵尸网络频道为IRC僵尸网络频道。
可以理解,若通过计算发现,聊天列表中用户昵称的相似度大于设定的阈值(例如,75%),可以确定该疑似IRC僵尸网络频道为IRC僵尸网络频道。
进一步的,若通过计算发现,聊天列表中用户昵称的相似度小于设定的阈值,例如可以继续对该疑似IRC僵尸网络频道进行严密监控,或进行其它操作。
方式二:
b1、在上述疑似IRC僵尸网络频道发布查询指令。
具体可以是:在疑似IRC僵尸网络频道发布一条或多条查询指令,例如可以发布LIST、WHOSE、INFO等等查询指令。由于IRC僵尸网络频道,为了不让管理员发现,会故意隐藏一些频道属性,使得很多指令不能被执行。因此,本实施例可以利用该特性对IRC僵尸网络频道进行检测。
b2、监测在设定的时长内是否接收到上述查询指令的正常响应。
通常而言,对于IRC僵尸网络频道不能被执行的查询指令,指令发送方是无法接收到正常响应的,故而可以监测在设定的时长内(例如,10秒)是否接收到上述查询指令的正常响应,根据监测结果确定该疑似IRC僵尸网络频道是否为IRC僵尸网络频道。
b3、若监测到在设定的时长内未接收到上述查询指令的正常响应,确定该疑似IRC僵尸网络频道为IRC僵尸网络频道。
可以理解,若通过监测发现,在设定的时长内未接收到上述查询指令的正常响应,则可以确定该疑似IRC僵尸网络频道为IRC僵尸网络频道。
进一步的,若通过监测发现,在设定的时长内接收到了上述查询指令的正常响应,例如可以继续对该疑似IRC僵尸网络频道进行严密监控,或进行其它操作。
方式三:
c1、监测上述疑似IRC僵尸网络频道的在线用户的聊天状态。
通常而言,对于IRC僵尸网络频道,若控制者(黑客)不在线上,聊天列表中的在线用户通常都会处于静默状态。作为聊天频道,在线用户长时间静默是不正常的。
故而可以通过监测上述疑似IRC僵尸网络频道的在线用户的聊天状态,判断该疑似IRC僵尸网络频道为IRC僵尸网络频道。
c2、若监测到超过设定比例的在线用户在设定时长内都处于静默状态,确定上述疑似IRC僵尸网络频道为IRC僵尸网络频道。
具体可以是:监测疑似IRC僵尸网络频道的在线用户的聊天状态,若监测到超过设定比例(例如,85%)的在线用户在设定时长(例如,15分钟)内都处于静默状态,只有例如PING、PONG这样的保活数据存在,确定上述疑似IRC僵尸网络频道为IRC僵尸网络频道。
进一步的,若通过监测发现,超过设定比例的在线用户在设定时长内处于发言聊天状态,例如可以继续对该疑似IRC僵尸网络频道进行严密监控,或进行其它操作。
在一种应用场景下,可以同时选择上述方式的一种或多种,对疑似IRC僵尸网络频道是否为僵尸网络频道进行多重验证,进一步提高验证的可靠性。
对于验证为IRC僵尸网络频道的IRC通信频道,可以进行告警处理,例如可以向管理员或网管中心上报告警信息,该告警信息可以携带该IRC僵尸网络频道的频道名称等信息。管理员或网管中心可以设法阻断该IRC僵尸网络频道的通信,将其摧毁;或对其进行通信限制和严密监控。
需要说明的是,上述方案可以在网络中的安全防护设备上具体实施,该安全防护设备例如可以位于网关上,例如可以位于城域网的出口或其它出口,以便对整个网络进行监控,本发明不做限定。
为便于更好的理解本实施例的技术方案,下面通过一个具体实例,对本发明上述技术方案做进一步详细的描述。
例如某一网络出口设置有安全防护设备A,设备A例如可以包括3个功能实体,即前台、后台和验证中心。
设备A的各个功能实体协同检测僵尸网络的过程可以如下:
前台利用包识别技术,获取网络流量中来自各个IRC通信频道的报文;利用模式匹配方式,查找获取的各个IRC通信频道的报文包含的异常关键字;将查找到的异常关键字通知给后台;
后台可以利用计数器,分别统计前台对应各个IRC通信频道查找出的异常关键字的数量,将在设定时长内统计出的异常关键字的数量超过设定阈值的IRC通信频道,确定为疑似IRC僵尸网络频道;并将疑似IRC僵尸网络频道的频道信息(包括频道名称和登录密码等)上报给验证中心,请求验证中心进一步验证该疑似IRC僵尸网络频道是否为IRC僵尸网络频道。
例如设定的统计时长为20分钟,设定的异常关键字阈值为300个,若后台在20分钟的时长内,统计出来自某个IRC通信频道的报文包含的异常关键字的数量超过了300个,则后台可以初步确定该IRC通信频道为疑似IRC僵尸网络频道;后台可以向验证中心上报该疑似IRC僵尸网络频道的频道信息,请求验证中心进一步验证该疑似IRC僵尸网络频道是否为IRC僵尸网络频道。
验证中心可以利用IRC客户端软件,登录到该疑似IRC僵尸网络频道;监测该疑似IRC僵尸网络频道的行为模式,根据监测到的行为模式,对该疑似IRC僵尸网络频道是否为僵尸网络频道进行验证。
验证中心例如可以选择上述三种验证方式中的任意一种或多种对疑似IRC僵尸网络频道进行验证,并向后台反馈验证结果;
若验证中心确定上述疑似IRC僵尸网络频道为僵尸网络频道,后台可以执行告警处理;若验证中心确定出上述疑似IRC僵尸网络频道不是僵尸网络频道,后台可以继续对其进行严密监控,或执行其它操作。
由上可见,本实施例中通过查找和分别统计来自各个IRC通信频道的报文包含的异常关键字,将在设定时长内统计出的异常关键字的数量超过设定阈值的IRC通信频道,确定为疑似IRC僵尸网络频道,由于异常关键字容易确定且具有普适性,故而采用上述方案能够相对快速准确的检测出多种IRC僵尸网络,且实现方式相对简单。
进一步的,对疑似IRC僵尸网络频道进行进一步的验证,能够尽可能减小误判的可能性,进一步提高IRC僵尸网络检测的准备性;多种验证方式可以灵活选择,能够适用于多种应用场景。
为便于更好的实施本发明实施例的上述技术方案,本发明实施例中还提供一种僵尸网络的检测系统。
实施例三、
参见图4-a、本发明实施例三的一种僵尸网络的检测装置400可以包括:获取模块410、查找模块420、统计确定模块430和验证模块440。
获取模块410,用于获取网络流量中部分或全部IRC通信频道的报文。
在实际应用中,获取模块410可以利用包识别技术识别出网络流量的IRC协议报文,进而获取网络流量中部分或全部IRC通信频道的报文。
查找模块420,用于查找获取模块410获取的各个IRC通信频道的报文中包含的异常关键字。
在实际应用中,系统可以预先构建一个异常关键字库,该异常关键字库中的异常关键字例如可以包括各种IRC僵尸网络通用常见的异常命令字符串。
在实际应用中,可以预先构建的异常关键字库,例如可以包括如下异常命令字符串中的部分或全部:
scan、bot、flood、ddos、fork、delete、login、logon、auth、killthread、clone、redirect、sysinfo、netinfo、ping、spy、dns、udp、syn、http://、download、.exe、update、exploit、advscan、lsass、dcom、beagle、dameware、asc、advscan、root.start、scan、ntscan、dl、dlxx、download.wget、http.update。
举例来说,查找模块420可以选择模式匹配的方式、报文解析的方式或其它方式,查找上述获取的各个IRC通信频道的报文中是否包含有归属于异常关键字库中的一个或多个异常关键字。
统计确定模块430,用于分别统计查找模块420对应各个IRC通信频道查找出的异常关键字的数量,将在设定时长内统计出的异常关键字的数量超过设定阈值的IRC通信频道,确定为疑似IRC僵尸网络频道。
在实际应用中,统计确定模块430可以预先设定一个统计时长和一个异常关键字的数量阈值,其中,若在设定时长内统计出的来自某个IRC通信频道的报文包含异常关键字的数量超过设定阈值,可以认为该IRC通信频道极有可能为IRC僵尸网络频道,其极有可能已经被攻击者控制,此时可以将其确定为疑似IRC僵尸网络频道。
验证模块440,用于验证统计确定模块430确定的疑似IRC僵尸网络频道是否为IRC僵尸网络频道。
在一种应用场景下,验证模块440可以选择多种方式验证上述疑似IRC僵尸网络频道是否为IRC僵尸网络频道。例如可以利用IRC客户端登录到上述疑似IRC僵尸网络频道,通过监测该疑似IRC僵尸网络频道的行为模块,验证上述疑似IRC僵尸网络频道是否为IRC僵尸网络频道。
进一步的,若验证出上述疑似IRC僵尸网络频道为IRC僵尸网络频道,可以进行相应的告警处理;若验证出上述疑似IRC僵尸网络频道不是IRC僵尸网络频道,可以继续对其进行严密监控或进行其它处理。
在一种应用场景下,查找模块420可以采用模式配置的方式,查找上述获取的各个IRC通信频道的报文包含的异常关键字。
在一种应用场景下,验证模块440可以包括:频道登录模块441和监测验证模块442。
其中,频道登录模块441,用于登录到统计确定模块430确认出的疑似IRC僵尸网络频道。
监测验证模块442,用于监测上述疑似IRC僵尸网络频道的行为模式,根据监测到的所述行为模式,验证上述疑似IRC僵尸网络频道是否为僵尸网络频道。
参见图4-b,在一种应用场景下,监测验证模块442可以包括:获取子模块4421、计算子模块4422和第一确定子模块4423。
其中,获取子模块4421,用于获取上述疑似IRC僵尸网络频道的聊天列表。
计算子模块4422,用于计算聊天列表中记录的用户昵称的相似度。
第一确定子模块4423,用于在计算子模块4422计算出的上述相似度大于设定的阈值时,确定上述疑似IRC僵尸网络频道为IRC僵尸网络频道。
参见图4-c,在一种应用场景下,监测验证模块442可以包括:指令发布子模块4424、响应监测子模块4425和第二确定子模块4426,其中:
指令发布子模块4424,用于在上述疑似IRC僵尸网络频道发布查询指令;
响应监测子模块4425,用于监测在设定的时长内是否接收到上述指令发布子模块4424发布的查询指令的正常响应;
第二确定子模块4426,用于在响应监测子模块4425监测出在设定的时长内没有接收到上述查询指令的正常响应时,确定上述疑似IRC僵尸网络频道为IRC僵尸网络频道。
参见图4-d,在一种应用场景下,监测验证模块442可以包括:状态监测子模块4427和第三确定子模块4428,其中:
状态监测子模块4427,用于监测上述疑似IRC僵尸网络频道的在线用户的聊天状态;
第三确定子模块4428,用于在状态监测子模块4427监测到超过设定比例的在线用户在设定时长内都处于静默状态时,确定上述疑似IRC僵尸网络频道为IRC僵尸网络频道。
进一步的,本实施例僵尸网络的检测装置400可以用于实现上述方法实施例中检测僵尸网络的全部方法。本实施例僵尸网络的检测装置400的各个功能模块可以设置于一个或多个设备上。
可以理解是的,本实施例僵尸网络的检测系统的各个功能模块的功能可以根据上述方法实施例中的方法具体实现,其具体实现过程可参照上述实施例中的相关描述,此处不再赘述。
由上可见,本实施例僵尸网络的检测装置400通过查找和分别统计来自各个IRC通信频道的报文包含的异常关键字,将在设定时长内统计出的异常关键字的数量超过设定阈值的IRC通信频道,确定为疑似IRC僵尸网络频道,由于异常关键字容易确定且具有普适性,故而采用上述方案能够相对快速准确的检测出多种IRC僵尸网络,且实现方式相对简单。
进一步的,本发明实施例还提供一种检测系统,该检测系统可以包括如实施例三中的僵尸网络的检测装置400。
需要说明的是,对于前述的各方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本发明并不受所描述的动作顺序的限制,因为依据本发明,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定是本发明所必须的。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
综上所述,本发明实施例中,通过查找和分别统计来自各个IRC通信频道的报文包含的异常关键字,将在设定时长内统计出的异常关键字的数量超过设定阈值的IRC通信频道,确定为疑似IRC僵尸网络频道,由于异常关键字容易确定且具有普适性,故而采用上述方案能够相对快速准确的检测出多种IRC僵尸网络,且实现方式相对简单。
进一步的,对疑似IRC僵尸网络频道进行进一步的验证,能够尽可能减小误判的可能性,进一步提高IRC僵尸网络检测的准备性;多种验证方式可以灵活选择,能够适用于多种应用场景。
本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,该程序可以存储于一计算机可读存储介质中,存储介质可以包括:只读存储器(ROM,Read-Only Memory)、随机存储器(RAM,Random Access Memory)、磁盘或光盘等。
以上对本发明实施例所提供的一种僵尸网络的检测方法、装置及检测系统进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (12)
1.一种僵尸网络的检测方法,其特征在于,包括:
获取网络流量中部分或全部互联网中继聊天IRC通信频道的报文;
查找所述获取的各个IRC通信频道的报文包含的异常关键字;
分别统计对应各个IRC通信频道查找出的所述异常关键字的数量,将在设定时长内统计出的异常关键字的数量超过设定阈值的IRC通信频道,确定为疑似IRC僵尸网络频道;
验证所述疑似IRC僵尸网络频道是否为IRC僵尸网络频道。
2.根据权利要求1所述的方法,其特征在于,所述查找所述获取的各个IRC通信频道的报文包含的异常关键字,包括:
采用模式配置的方式,查找所述获取的各个IRC通信频道的报文包含的异常关键字。
3.根据权利要求1或2所述的方法,其特征在于,所述验证所述疑似IRC僵尸网络频道是否为IRC僵尸网络频道,包括:
登录到所述疑似IRC僵尸网络频道;
监测所述疑似IRC僵尸网络频道的行为模式,根据监测到的所述行为模式,验证所述疑似IRC僵尸网络频道是否为IRC僵尸网络频道。
4.根据权利要求3所述的方法,其特征在于,
所述监测所述疑似IRC僵尸网络频道的行为模式,根据监测到的所述行为模式,验证所述疑似IRC僵尸网络频道是否为IRC僵尸网络频道,包括:
获取所述疑似IRC僵尸网络频道的聊天列表;
计算聊天列表中记录的用户昵称的相似度;
若计算出的所述相似度大于设定的阈值,确定所述疑似IRC僵尸网络频道为IRC僵尸网络频道。
5.根据权利要求3所述的方法,其特征在于,
所述监测所述疑似IRC僵尸网络频道的行为模式,根据监测到的所述行为模式,验证所述疑似IRC僵尸网络频道是否为IRC僵尸网络频道,包括:
在所述疑似IRC僵尸网络频道发布查询指令;
监测在设定的时长内是否接收到所述查询指令的正常响应;
若否,确定所述疑似IRC僵尸网络频道为IRC僵尸网络频道。
6.根据权利要求3所述的方法,其特征在于,
所述监测所述疑似IRC僵尸网络频道的行为模式,根据监测到的所述行为模式,验证所述疑似IRC僵尸网络频道是否为IRC僵尸网络频道,包括:
监测所述疑似IRC僵尸网络频道的在线用户的聊天状态;
若监测到超过设定比例的在线用户在设定时长内都处于静默状态,确定所述疑似IRC僵尸网络频道为IRC僵尸网络频道。
7.一种僵尸网络的检测装置,其特征在于,包括:
获取模块,用于获取网络流量中部分或全部IRC通信频道的报文;
查找模块,用于查找所述获取模块获取的各个IRC通信频道的报文包含的异常关键字;
统计确定模块,用于分别统计所述查找模块对应各个IRC通信频道查找出的所述异常关键字的数量,将在设定时长内统计出的异常关键字的数量超过设定阈值的IRC通信频道,确定为疑似IRC僵尸网络频道;
验证模块,用于验证所述统计确定模块确定的所述疑似IRC僵尸网络频道是否为IRC僵尸网络频道。
8.根据权利要求7所述装置,其特征在于,所述验证模块包括:
频道登录模块,用于登录到所述疑似IRC僵尸网络频道;
监测验证模块,用于监测所述疑似IRC僵尸网络频道的行为模式,根据监测到的所述行为模式,验证所述疑似IRC僵尸网络频道是否为僵尸网络频道。
9.根据权利要求8所述装置,其特征在于,所述监测验证模块包括:
获取子模块,用于获取所述疑似IRC僵尸网络频道的聊天列表;
计算子模块,用于计算聊天列表中记录的用户昵称的相似度;
第一确定子模块,用于在所述计算子模块计算出的所述相似度大于设定的阈值时,确定所述疑似IRC僵尸网络频道为IRC僵尸网络频道。
10.根据权利要求8所述装置,其特征在于,所述监测验证模块包括:
指令发布子模块,用于在所述疑似IRC僵尸网络频道发布查询指令;
响应监测子模块,用于监测在设定的时长内是否接收到所述指令发布子模块发布的查询指令的正常响应;
第二确定子模块,用于在所述响应监测子模块监测出在设定的时长内没有接收到所述查询指令的正常响应时,确定所述疑似IRC僵尸网络频道为IRC僵尸网络频道。
11.根据权利要求8所述装置,其特征在于,所述监测验证模块包括:
状态监测子模块,用于监测所述疑似IRC僵尸网络频道的在线用户的聊天状态;
第三确定子模块,用于在所述状态监测子模块监测到超过设定比例的在线用户在设定时长内都处于静默状态时,确定所述疑似IRC僵尸网络频道为IRC僵尸网络频道。
12.一种检测系统,其特征在于,包括:
如权利要求7至11任一项所述装置。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2009101783309A CN102045300A (zh) | 2009-10-16 | 2009-10-16 | 僵尸网络的检测方法、装置及检测系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2009101783309A CN102045300A (zh) | 2009-10-16 | 2009-10-16 | 僵尸网络的检测方法、装置及检测系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN102045300A true CN102045300A (zh) | 2011-05-04 |
Family
ID=43911087
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2009101783309A Pending CN102045300A (zh) | 2009-10-16 | 2009-10-16 | 僵尸网络的检测方法、装置及检测系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN102045300A (zh) |
Cited By (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102571796A (zh) * | 2012-01-13 | 2012-07-11 | 电子科技大学 | 一种移动互联网中僵尸木马防护方法及其系统 |
CN102970309A (zh) * | 2012-12-25 | 2013-03-13 | 苏州山石网络有限公司 | 僵尸主机的检测方法、检测装置及防火墙 |
CN103825879A (zh) * | 2013-11-29 | 2014-05-28 | 中国科学院信息工程研究所 | 社交僵尸网络的检测方法及装置 |
CN103927481A (zh) * | 2013-12-17 | 2014-07-16 | 哈尔滨安天科技股份有限公司 | 一种基于字符串调整权值的恶意代码检测方法及系统 |
CN105025028A (zh) * | 2015-07-28 | 2015-11-04 | 中国工程物理研究院计算机应用研究所 | 基于流量分析的ip黑洞发现方法 |
CN107743112A (zh) * | 2016-10-31 | 2018-02-27 | 腾讯科技(深圳)有限公司 | 一种身份验证方法、装置和系统 |
CN110225064A (zh) * | 2019-07-02 | 2019-09-10 | 恒安嘉新(北京)科技股份公司 | 监测僵尸网络攻击行为的方法、装置、设备和存储介质 |
CN111526381A (zh) * | 2020-04-20 | 2020-08-11 | 北京创世云科技有限公司 | 一种优化直播资源的方法、装置及电子设备 |
CN112134732A (zh) * | 2020-09-10 | 2020-12-25 | 南京大学 | 一种用于DDoS攻击的取证方法及系统 |
CN113220526A (zh) * | 2021-05-06 | 2021-08-06 | 国家计算机网络与信息安全管理中心 | 一种僵尸网络的家族规模的异常检测方法及装置 |
-
2009
- 2009-10-16 CN CN2009101783309A patent/CN102045300A/zh active Pending
Cited By (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102571796A (zh) * | 2012-01-13 | 2012-07-11 | 电子科技大学 | 一种移动互联网中僵尸木马防护方法及其系统 |
CN102571796B (zh) * | 2012-01-13 | 2014-07-16 | 电子科技大学 | 一种移动互联网中僵尸木马防护方法及其系统 |
CN102970309B (zh) * | 2012-12-25 | 2016-12-28 | 山石网科通信技术有限公司 | 僵尸主机的检测方法、检测装置及防火墙 |
CN102970309A (zh) * | 2012-12-25 | 2013-03-13 | 苏州山石网络有限公司 | 僵尸主机的检测方法、检测装置及防火墙 |
CN103825879A (zh) * | 2013-11-29 | 2014-05-28 | 中国科学院信息工程研究所 | 社交僵尸网络的检测方法及装置 |
CN103927481A (zh) * | 2013-12-17 | 2014-07-16 | 哈尔滨安天科技股份有限公司 | 一种基于字符串调整权值的恶意代码检测方法及系统 |
CN105025028A (zh) * | 2015-07-28 | 2015-11-04 | 中国工程物理研究院计算机应用研究所 | 基于流量分析的ip黑洞发现方法 |
CN105025028B (zh) * | 2015-07-28 | 2018-07-24 | 中国工程物理研究院计算机应用研究所 | 基于流量分析的ip黑洞发现方法 |
CN107743112A (zh) * | 2016-10-31 | 2018-02-27 | 腾讯科技(深圳)有限公司 | 一种身份验证方法、装置和系统 |
CN110225064A (zh) * | 2019-07-02 | 2019-09-10 | 恒安嘉新(北京)科技股份公司 | 监测僵尸网络攻击行为的方法、装置、设备和存储介质 |
CN111526381A (zh) * | 2020-04-20 | 2020-08-11 | 北京创世云科技有限公司 | 一种优化直播资源的方法、装置及电子设备 |
CN111526381B (zh) * | 2020-04-20 | 2021-07-09 | 北京创世云科技股份有限公司 | 一种优化直播资源的方法、装置及电子设备 |
CN112134732A (zh) * | 2020-09-10 | 2020-12-25 | 南京大学 | 一种用于DDoS攻击的取证方法及系统 |
CN112134732B (zh) * | 2020-09-10 | 2021-10-26 | 南京大学 | 一种用于DDoS攻击的取证方法及系统 |
CN113220526A (zh) * | 2021-05-06 | 2021-08-06 | 国家计算机网络与信息安全管理中心 | 一种僵尸网络的家族规模的异常检测方法及装置 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN102045300A (zh) | 僵尸网络的检测方法、装置及检测系统 | |
KR101010302B1 (ko) | Irc 및 http 봇넷 보안 관제를 위한 관리 시스템 및 그 방법 | |
Cambiaso et al. | Slow DoS attacks: definition and categorisation | |
Lu et al. | Clustering botnet communication traffic based on n-gram feature selection | |
Camtepe et al. | Modeling and detection of complex attacks | |
Haddadi et al. | Benchmarking the effect of flow exporters and protocol filters on botnet traffic classification | |
Bagui et al. | Using machine learning techniques to identify rare cyber‐attacks on the UNSW‐NB15 dataset | |
KR100468232B1 (ko) | 분산된 침입탐지 에이전트와 관리자 시스템을 이용한네트워크 기반 침입자 역추적 시스템 및 그 방법 | |
EP2661049B1 (en) | System and method for malware detection | |
KR20200033092A (ko) | 엣지 컴퓨팅 기반 네트워크 모니터링 방법, 장치 및 시스템 | |
Tang et al. | SIP flooding attack detection with a multi-dimensional sketch design | |
Vania et al. | A review on botnet and detection technique | |
CN103297433A (zh) | 基于网络数据流的http僵尸网络检测方法及系统 | |
CN112769833B (zh) | 命令注入攻击的检测方法、装置、计算机设备和存储介质 | |
Yin | Towards Accurate Node‐Based Detection of P2P Botnets | |
Thakur et al. | Detection and prevention of botnets and malware in an enterprise network | |
Liu et al. | Real-time diagnosis of network anomaly based on statistical traffic analysis | |
Wang et al. | Behavior‐based botnet detection in parallel | |
CN116723019A (zh) | 破解行为检测方法、装置、电子设备及存储介质 | |
CN113596037B (zh) | 一种基于网络全流量中事件关系有向图的apt攻击检测方法 | |
US20200021647A1 (en) | Method of P2P Botnet Detection Based on Netflow Sessions | |
Camtepe et al. | A formal method for attack modeling and detection | |
Al-Dayil et al. | Detecting social media mobile botnets using user activity correlation and artificial immune system | |
Bhattacherjee | Stepping stone detection for tracing attack sources in Software-Defined Networks | |
CN114553513A (zh) | 一种通信检测方法、装置及设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C12 | Rejection of a patent application after its publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20110504 |