CN103023891B - 僵尸网络的检测方法及装置、僵尸网络的对抗方法及装置 - Google Patents
僵尸网络的检测方法及装置、僵尸网络的对抗方法及装置 Download PDFInfo
- Publication number
- CN103023891B CN103023891B CN201210499783.3A CN201210499783A CN103023891B CN 103023891 B CN103023891 B CN 103023891B CN 201210499783 A CN201210499783 A CN 201210499783A CN 103023891 B CN103023891 B CN 103023891B
- Authority
- CN
- China
- Prior art keywords
- botnet
- account
- corpse
- unit
- fusion
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Abstract
本发明涉及一种僵尸网络的检测方法及装置、僵尸网络的对抗方法及装置。僵尸网络的检测方法应用于基于社交网络的融合僵尸网络,包括:提取僵尸网络的通信特征;根据所述通信特征查找到所述僵尸网络的所有成员。本发明僵尸网络的检测方法及装置,能够有效检测出具有良好隐蔽性的融合僵尸网络,从而为捣毁融合僵尸网络奠定了基础,有助于提高网络安全性能。本发明僵尸网络的方法及对抗装置,能够捣毁具有良好隐蔽性的融合僵尸网络,提高了网络安全性能。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种僵尸网络的检测方法及装置、僵尸网络的对抗方法及装置。
背景技术
随着移动互联网的快速发展,僵尸网络正在从传统互联网络向融合网络(互联网、电信网、广电网、物联网)过渡,融合僵尸网络已成为未来互联网安全急需关注的热点问题。融合僵尸网络是一种承载于融合网络之上的僵尸网络,既有僵尸网络的特征,也有融合业务特征,其控制命令可以跨网通信,具备协同不同网络中僵尸终端进行协同恶意攻击行为特征。例如,互联网、电信网、广电网等网络融合为一个泛在的网络,可以支撑多种网络业务,即一个网络业务可以在不同的网络环境中正常运行(例如QQ、手机QQ等)。
而社交网络业务在传统互联网和移动互联网上的广泛应用以及实时异步松耦合的通信特点,为融合僵尸网络提供了控制能力更强、隐蔽性更好的控制信息平台载体。由此,当今出现一种基于社交网络控制的融合僵尸网络,僵尸控制者(Botmaster)通过公共社交网络服务器控制整个僵尸网络。在服务器的逻辑层,融合僵尸网络呈现特定控制账号的中心簇结构和无中心控制账号的P2P结构。同时融合僵尸网络的拓扑结构可由僵尸控制者自主定义和随时调整,从而大大提高了僵尸病毒的检测难度。通过研究表明,基于社交网络控制的融合僵尸网络具有良好的隐蔽性、健壮性和灵活性。这给基于社交网络控制的融合僵尸网络的检测和对抗带来了很大的难度。
发明内容
本发明所要解决的技术问题是提供一种僵尸网络的检测方法及装置、僵尸网络的对抗方法及装置,提高网络安全性能。
为解决上述技术问题,本发明提出了一种僵尸网络的检测方法,应用于基于社交网络的融合僵尸网络,包括:
提取僵尸网络的通信特征;
根据所述通信特征查找到所述僵尸网络的所有成员。
进一步地,上述僵尸网络的检测方法还可具有以下特点,所述提取僵尸网络的通信特征包括:
在僵尸网络中设置蜜罐和/或蜜网,截获僵尸程序;
通过所述僵尸程序判断该僵尸网络是否为僵尸控制者通过社交网络控制的融合僵尸网络;
若是,则根据预设的采集内容采集数据;
根据采集的数据提取僵尸网络的通信特征。
进一步地,上述僵尸网络的检测方法还可具有以下特点,所述提取僵尸网络的通信特征还包括:
记录僵尸网络的攻击目标和攻击事件;
根据所述攻击目标和攻击事件设置所述僵尸网络的危害度级别。
进一步地,上述僵尸网络的检测方法还可具有以下特点,所述通过所述僵尸程序判断该僵尸网络是否为僵尸控制者通过社交网络控制的融合僵尸网络包括:
判断僵尸程序中是否包含登陆公共服务器的账号,若包含则该僵尸网络为僵尸控制者通过社交网络控制的融合僵尸网络。
进一步地,上述僵尸网络的检测方法还可具有以下特点,所述根据所述通信特征查找到所述僵尸网络的所有成员包括:
根据僵尸网络的通信特征制定挖掘策略;
按照挖掘策略在社交网络中挖掘出所有僵尸的账号;
根据挖掘到的僵尸的账号溯源僵尸网络控制者的账号和设备标识。
为解决上述技术问题,本发明还提出了一种僵尸网络的检测装置,应用于基于社交网络的融合僵尸网络,包括:
提取模块,用于提取僵尸网络的通信特征;
查找模块,用于根据所述提取模块提取的通信特征查找到所述僵尸网络的所有成员。
进一步地,上述僵尸网络的检测装置还可具有以下特点,所述提取模块包括:
截获单元,用于在僵尸网络中设置蜜罐和/或蜜网,截获僵尸程序;
判断单元,用于通过所述截获单元截获的僵尸程序判断该僵尸网络是否为僵尸控制者通过社交网络控制的融合僵尸网络;
采集单元,用于在所述判断单元的判断结果为是时,根据预设的采集内容采集数据;
提取单元,用于根据所述采集单元采集的数据提取僵尸网络的通信特征。
进一步地,上述僵尸网络的检测装置还可具有以下特点,所述提取模块还包括:
记录单元,用于记录僵尸网络的攻击目标和攻击事件;
设置单元,用于根据所述记录单元记录的攻击目标和攻击事件设置所述僵尸网络的危害度级别。
进一步地,上述僵尸网络的检测装置还可具有以下特点,所述判断单元包括:
第一判断子单元,用于判断僵尸程序中是否包含登陆公共服务器的账号,若包含则该僵尸网络为僵尸控制者通过社交网络控制的融合僵尸网络。
进一步地,上述僵尸网络的检测装置还可具有以下特点,所述查找模块包括:
挖掘策略制定单元,用于根据僵尸网络的通信特征制定挖掘策略;
挖掘单元,用于按照所述挖掘策略制定单元制定的挖掘策略在社交网络中挖掘出所有僵尸的账号;
溯源单元,用于根据所述挖掘单元挖掘到的僵尸的账号溯源僵尸网络控制者的账号和设备标识。
为解决上述技术问题,本发明还提出了一种僵尸网络的对抗方法,应用于基于社交网络的融合僵尸网络,包括:
根据所述僵尸网络的检测方法检测到僵尸网络的所有成员;
在所述检测完成后制定对抗策略;
按照所述对抗策略发出对抗命令,销毁所述僵尸网络;
其中,根据僵尸网络的检测方法检测到僵尸网络的所有成员具体包括:提取僵尸网络的通信特征;所述僵尸网络的通信特征包括:何种社交网络承载、ID聚集关系和控制命令到达的日周期关系;
所述提取僵尸网络的通信特征包括:
在僵尸网络中设置蜜罐和/或蜜网,截获僵尸程序;
通过所述僵尸程序判断该僵尸网络是否为僵尸控制者通过社交网络控制的融合僵尸网络;所述通过所述僵尸程序判断该僵尸网络是否为僵尸控制者通过社交网络控制的融合僵尸网络包括:
判断僵尸程序中是否包含登陆公共服务器的账号,若包含则该僵尸网络为僵尸控制者通过社交网络控制的融合僵尸网络;
若是,则根据预设的采集内容采集数据;
根据采集的数据提取僵尸网络的通信特征;
根据所述通信特征查找到所述僵尸网络的所有成员;所述僵尸网络的所有成员包括该僵尸网络中所有僵尸的账号、僵尸网络控制者的账号和僵尸终端、僵尸网络控制者的网络终端标识;
所述根据所述通信特征查找到所述僵尸网络的所有成员包括:
根据僵尸网络的通信特征制定挖掘策略;
按照挖掘策略在社交网络中挖掘出所有僵尸的账号;
根据挖掘到的僵尸的账号溯源僵尸网络控制者的账号和设备标识。
为解决上述技术问题,本发明还提出了一种僵尸网络的对抗装置,应用于基于社交网络的融合僵尸网络,包括:
所述僵尸网络的检测装置,用于根据所述僵尸网络的检测方法查找到僵尸网络的所有成员;
对抗策略制定模块,用于在所述僵尸网络的检测装置完成检测后制定对抗策略;
对抗模块,用于按照所述对抗策略制定模块制定的对抗策略发出对抗命令,销毁所述僵尸网络;
其中,所述僵尸网络的检测装置具体包括:
提取模块,用于提取僵尸网络的通信特征;所述僵尸网络的通信特征包括:何种社交网络承载、ID聚集关系和控制命令到达的日周期关系;
所述提取模块包括:
截获单元,用于在僵尸网络中设置蜜罐和/或蜜网,截获僵尸程序;
判断单元,用于通过所述截获单元截获的僵尸程序判断该僵尸网络是否为僵尸控制者通过社交网络控制的融合僵尸网络;所述判断单元包括:
第一判断子单元,用于判断僵尸程序中是否包含登陆公共服务器的账号,若包含则该僵尸网络为僵尸控制者通过社交网络控制的融合僵尸网络;
采集单元,用于在所述判断单元的判断结果为是时,根据预设的采集内容采集数据;
提取单元,用于根据所述采集单元采集的数据提取僵尸网络的通信特征;
查找模块,用于根据所述提取模块提取的通信特征查找到所述僵尸网络的所有成员;所述僵尸网络的所有成员包括该僵尸网络中所有僵尸的账号、僵尸网络控制者的账号和僵尸终端、僵尸网络控制者的网络终端标识;
所述查找模块包括:
挖掘策略制定单元,用于根据僵尸网络的通信特征制定挖掘策略;
挖掘单元,用于按照所述挖掘策略制定单元制定的挖掘策略在社交网络中挖掘出所有僵尸的账号;
溯源单元,用于根据所述挖掘单元挖掘到的僵尸的账号溯源僵尸网络控制者的账号和设备标识;
其中,根据僵尸网络的检测方法检测到僵尸网络的所有成员具体包括:提取僵尸网络的通信特征;所述僵尸网络的通信特征包括:何种社交网络承载、ID聚集关系和控制命令到达的日周期关系;
所述提取僵尸网络的通信特征包括:
在僵尸网络中设置蜜罐和/或蜜网,截获僵尸程序;
通过所述僵尸程序判断该僵尸网络是否为僵尸控制者通过社交网络控制的融合僵尸网络;所述通过所述僵尸程序判断该僵尸网络是否为僵尸控制者通过社交网络控制的融合僵尸网络包括:
判断僵尸程序中是否包含登陆公共服务器的账号,若包含则该僵尸网络为僵尸控制者通过社交网络控制的融合僵尸网络;
若是,则根据预设的采集内容采集数据;
根据采集的数据提取僵尸网络的通信特征;
根据所述通信特征查找到所述僵尸网络的所有成员;所述僵尸网络的所有成员包括该僵尸网络中所有僵尸的账号、僵尸网络控制者的账号和僵尸终端、僵尸网络控制者的网络终端标识;
所述根据所述通信特征查找到所述僵尸网络的所有成员包括:
根据僵尸网络的通信特征制定挖掘策略;
按照挖掘策略在社交网络中挖掘出所有僵尸的账号;
根据挖掘到的僵尸的账号溯源僵尸网络控制者的账号和设备标识。
本发明僵尸网络的检测方法及装置,能够有效检测出具有良好隐蔽性的融合僵尸网络,从而为捣毁融合僵尸网络奠定了基础,有助于提高网络安全性能。本发明僵尸网络的方法及对抗装置,能够捣毁具有良好隐蔽性的融合僵尸网络,提高了网络安全性能。
附图说明
图1为本发明实施例中提取僵尸网络的通信特征的流程图;
图2为本发明实施例中僵尸网络的检测装置的结构框图;
图3为本发明实施例中僵尸网络的对抗装置的结构框图。
具体实施方式
以下结合附图对本发明的原理和特征进行描述,所举实例只用于解释本发明,并非用于限定本发明的范围。
针对基于社交网络的融合僵尸网络,本发明提出了一种僵尸网络的检测方法,该方法包括如下步骤:
步骤一,提取僵尸网络的通信特征;
僵尸网络的通信特征可以包括如下内容:1、何种社交网络承载;2、ID聚集关系(即账号间的关系),例如僵尸一的账号为bto21s,僵尸二的账号为bto32e,则聚集关系为bto关键词等类似信息;3、控制命令到达的日周期关系等。
步骤二,根据通信特征,查找到僵尸网络的所有成员。
僵尸网络的所有成员包括该僵尸网络中所有僵尸的账号和僵尸网络控制者的账号。该账号可以是僵尸终端、僵尸网络控制者在社交网络中的账号(比如微博账号、QQ账号等),如果需要溯源,则还可以进一步获得僵尸终端、僵尸网络控制者的网络终端标识(例如IP号、手机号等)。
图1为本发明实施例中提取僵尸网络的通信特征的流程图。如图1所示,步骤一可以包括如下子步骤:
步骤101,在僵尸网络中设置蜜罐和/或蜜网,截获僵尸程序;
截获僵尸程序,需要进行分析,首先分析一些静态信息(比如僵尸程序通信方式、是否采用加密、它的传播模块、通信模块、恶意行为模块等),之后,不断截获收到的控制命令进行分析,得到更多的情报。
步骤102,通过僵尸程序判断该僵尸网络是否为僵尸控制者通过社交网络控制的融合僵尸网络,若是则执行步骤103,否则结束本次检测过程;
具体地,如果僵尸程序中包含登陆公共服务器的账号,则该僵尸网络为僵尸控制者通过社交网络控制的融合僵尸网络,否则,如果僵尸程序中不包含登陆公共服务器的账号,则该僵尸网络不是僵尸控制者通过社交网络控制的融合僵尸网络。
步骤103,根据预设的采集内容采集数据;
具体地,可以根据预设的采集内容从僵尸程序中的控制命令C&C(Command andControl,控制命令)中采集数据。采集的数据可以包括社交网络ID、社交网络的邻居僵尸节点ID。
控制命令的具体载体包括文本、图片、视频、音频等。
采集内容可以包括待攻击的目标、待发生的攻击事件信息、僵尸程序更新命令信息、更新服务器信息、C&C变化信息等。采集内容可以根据挖掘结果随时进行调整。例如,僵尸B一直从僵尸A收听控制命令,现在修改为从僵尸X这里收听控制命令,或者是僵尸B转发的控制命令列表添加了新的僵尸id等信息。
从社交网络ID中可以获知哪种社交网络和哪个公司的社交网络的信息(例如新浪微博、腾讯微博等),邻居僵尸节点ID即社交网账号(例如新浪微博账号)。
步骤104,根据采集的数据确定僵尸网络的通信特征。
步骤一还可以包括:
步骤105,记录僵尸网络的攻击目标和攻击事件;
步骤106,根据记录的攻击目标和攻击事件设置僵尸网络的危害度级别。
危害度级别是设置防御优先级的基础,危害度级别越高,防御优先级越高。
步骤二可以包括如下子步骤:
步骤201,根据僵尸网络的通信特征制定挖掘策略;
挖掘策略可以采用如下三种中的任意一种:
一是,基于账号账号(例如僵尸客户端的微博账号)的社会关系进行挖掘;通过这种策略可以找到僵尸网络在社交网络中承载的账号,账号间的关系即为拓扑结构。
二是,基于内容(文本、图像、音频、视频等)进行挖掘;这种策略用于找到僵尸网络成员节点。例如,挖掘含有“XXX”微博消息(文本)、挖掘微博加载的图片、语音和视频信息等。例如,僵尸控制者发送的有效控制消息为“ABCd”(文本消息),那么通过挖掘含有“ABCd”的所有微博,就可以查找到所有发过“ABCd”消息的账号,再逐一排查账号的行为特征或者多次关联账号组,求交集,从而得出其他僵尸网络成员节点。
三是,上述两种挖掘策略的结合。
步骤202,按照挖掘策略在社交网络中挖掘出所有僵尸的账号;
步骤203,根据挖掘到的僵尸的账号溯源僵尸网络控制者的账号和设备标识(设备IP地址或者手机号)。
这里的溯源是指通过挖掘发现所有僵尸的账号后的溯源。下面以微薄为例,说明几种溯源的具体过程。
溯源方法一:(1)查找收发微博(微博消息即是控制命令)时间,锁定目标(僵尸控制者总是控制命令的发起者);(2)获取该账号发送微薄时主机的IP地址或者手机号;如果不能执行步骤(2),则执行步骤(3),联系微博服务商,令其提供该账号登陆信息。
溯源方法二:(1)挖掘这些微博账号日在线的时间规律,往往僵尸控制者的上下线特征与受控僵尸不同;(2)获取该账号发送微薄时主机的IP地址或者手机号;如果不能执行步骤(2),则执行步骤(3),联系微博服务商,令其提供该账号登陆信息。
溯源方法三:(1)收发微博的数量,僵尸控制者收发微博的数量和比例往往与受控僵尸不同;(2)获取该账号发送微薄时主机的IP地址或者手机号;如果不能执行步骤(2),则执行步骤(3),联系微博服务商,令其提供该账号登陆信息。
本发明僵尸网络的检测方法,能够有效检测出具有良好隐蔽性的融合僵尸网络,从而为捣毁融合僵尸网络奠定了基础,有助于提高网络安全性能。
本发明还提出了一种僵尸网络的检测装置,用以执行上述的僵尸网络的检测方法。本发明的僵尸网络的检测装置应用于基于社交网络的融合僵尸网络。
图2为本发明实施例中僵尸网络的检测装置的结构框图。如图2所示,本实施例中,僵尸网络的检测装置200可以包括提取模块210和查找模块220。提取模块210用于提取僵尸网络的通信特征。查找模块220用于根据提取模块210提取的通信特征查找到僵尸网络的所有成员。
在本发明实施例中,提取模块210可以进一步包括截获单元、判断单元、采集单元和提取单元。截获单元、判断单元、采集单元和提取单元顺次相连。其中,截获单元用于在僵尸网络中设置蜜罐和/或蜜网,截获僵尸程序。判断单元用于通过截获单元截获的僵尸程序判断该僵尸网络是否为僵尸控制者通过社交网络控制的融合僵尸网络。采集单元用于在判断单元的判断结果为是时,根据预设的采集内容采集数据。提取单元用于根据采集单元采集的数据提取僵尸网络的通信特征。
其中,判断单元可以进一步包括第一判断子单元。第一判断子单元用于判断僵尸程序中是否包含登陆公共服务器的账号,若包含则该僵尸网络为僵尸控制者通过社交网络控制的融合僵尸网络。
在本发明实施例中,提取模块210还可以进一步包括记录单元和设置单元。记录单元用于记录僵尸网络的攻击目标和攻击事件。设置单元用于根据记录单元记录的攻击目标和攻击事件设置僵尸网络的危害度级别。
在本发明实施例中,查找模块220可以进一步包括挖掘策略制定单元、挖掘单元和溯源单元。挖掘策略制定单元用于根据僵尸网络的通信特征制定挖掘策略。挖掘单元用于按照挖掘策略制定单元所指定的挖掘策略在社交网络中挖掘出所有僵尸的账号。溯源单元用于根据挖掘单元挖掘到的僵尸的账号溯源僵尸网络控制者的账号和设备标识。
本发明僵尸网络的检测的检测装置,通过执行上述的僵尸网络的检测方法,能够有效检测出具有良好隐蔽性的融合僵尸网络,从而为捣毁融合僵尸网络奠定了基础,有助于提高网络安全性能。
在上述的僵尸网络的检测方法的基础上,本发明还提出了一种僵尸网络的对抗方法,该对抗方法包括如下步骤:
步骤a,根据本发明上述提出的僵尸网络的检测方法检测到僵尸网络的所有成员;
步骤b,在步骤a的检测完成后制定对抗策略;
具体地,可以根据蜜罐和/或蜜网获得的信息和在社交网络服务器上挖掘得出的结论,制定对抗策略。
由于每个僵尸网络都具备网络的特征,因此,僵尸之间都应存在相应的关系,这种关系称之为僵尸网络成员的社会关系(因为并不是所有僵尸都会和僵尸控制者有直接关系,但是会存在间接关系,僵尸网络中僵尸与僵尸之间的关系类似于人与人之间的关系,因此称为社会关系)。
对抗策略的内容可以包括如下三点。
1、捣毁僵尸网络,包括:a)封社交网的账号;b)发送伪造的自毁命令;
2、劫持僵尸网络(修改控制命令信道,接管僵尸网络(重置僵尸社交网账号的社会关系))
3、溯源僵尸网络控制者。
步骤c,按照步骤b制定的对抗策略发出对抗命令,销毁僵尸网络。
本发明僵尸网络的对抗方法,能够捣毁具有良好隐蔽性的融合僵尸网络,提高了网络安全性能。
本发明还提出了一种僵尸网络的对抗装置,用以执行上述的僵尸网络的对抗方法。
图3为本发明实施例中僵尸网络的对抗装置的结构框图。如图3所示,本实施例中,僵尸网络的对抗装置包括僵尸网络的检测装置200、对抗策略制定模块300和对抗模块400。其中,僵尸网络的检测装置200用于根据本发明上述的僵尸网络的检测方法检测到僵尸网络的所有成员。对抗策略制定模块300用于在僵尸网络的检测装置的检测完成后制定对抗策略。对抗模块400用于按照对抗策略制定模块制定的对抗策略发出对抗命令,销毁僵尸网络。
其中,僵尸网络的检测装置可以是上述僵尸网络的检测装置中的任意一种,例如图2所示的僵尸网络的检测装置。
本发明僵尸网络的对抗装置,能够捣毁具有良好隐蔽性的融合僵尸网络,提高了网络安全性能。
以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (6)
1.一种僵尸网络的检测方法,应用于基于社交网络的融合僵尸网络,其特征在于,包括:
提取僵尸网络的通信特征;所述僵尸网络的通信特征包括:何种社交网络承载、ID聚集关系和控制命令到达的日周期关系;
所述提取僵尸网络的通信特征包括:
在僵尸网络中设置蜜罐和/或蜜网,截获僵尸程序;
通过所述僵尸程序判断该僵尸网络是否为僵尸控制者通过社交网络控制的融合僵尸网络;所述通过所述僵尸程序判断该僵尸网络是否为僵尸控制者通过社交网络控制的融合僵尸网络包括:
判断僵尸程序中是否包含登陆公共服务器的账号,若包含则该僵尸网络为僵尸控制者通过社交网络控制的融合僵尸网络;
若是,则根据预设的采集内容采集数据;
根据采集的数据提取僵尸网络的通信特征;
根据所述通信特征查找到所述僵尸网络的所有成员;所述僵尸网络的所有成员包括该僵尸网络中所有僵尸的账号、僵尸网络控制者的账号和僵尸终端、僵尸网络控制者的网络终端标识;
所述根据所述通信特征查找到所述僵尸网络的所有成员包括:
根据僵尸网络的通信特征制定挖掘策略;
按照挖掘策略在社交网络中挖掘出所有僵尸的账号;
根据挖掘到的僵尸的账号溯源僵尸网络控制者的账号和设备标识。
2.根据权利要求1所述的僵尸网络的检测方法,其特征在于,所述提取僵尸网络的通信特征还包括:
记录僵尸网络的攻击目标和攻击事件;
根据所述攻击目标和攻击事件设置所述僵尸网络的危害度级别。
3.一种僵尸网络的检测装置,应用于基于社交网络的融合僵尸网络,其特征在于,包括:
提取模块,用于提取僵尸网络的通信特征;所述僵尸网络的通信特征包括:何种社交网络承载、ID聚集关系和控制命令到达的日周期关系;
所述提取模块包括:
截获单元,用于在僵尸网络中设置蜜罐和/或蜜网,截获僵尸程序;
判断单元,用于通过所述截获单元截获的僵尸程序判断该僵尸网络是否为僵尸控制者通过社交网络控制的融合僵尸网络;所述判断单元包括:
第一判断子单元,用于判断僵尸程序中是否包含登陆公共服务器的账号,若包含则该僵尸网络为僵尸控制者通过社交网络控制的融合僵尸网络;
采集单元,用于在所述判断单元的判断结果为是时,根据预设的采集内容采集数据;
提取单元,用于根据所述采集单元采集的数据提取僵尸网络的通信特征;
查找模块,用于根据所述提取模块提取的通信特征查找到所述僵尸网络的所有成员;所述僵尸网络的所有成员包括该僵尸网络中所有僵尸的账号、僵尸网络控制者的账号和僵尸终端、僵尸网络控制者的网络终端标识;
所述查找模块包括:
挖掘策略制定单元,用于根据僵尸网络的通信特征制定挖掘策略;
挖掘单元,用于按照所述挖掘策略制定单元制定的挖掘策略在社交网络中挖掘出所有僵尸的账号;
溯源单元,用于根据所述挖掘单元挖掘到的僵尸的账号溯源僵尸网络控制者的账号和设备标识。
4.根据权利要求3所述的僵尸网络的检测装置,其特征在于,所述提取模块还包括:
记录单元,用于记录僵尸网络的攻击目标和攻击事件;
设置单元,用于根据所述记录单元记录的攻击目标和攻击事件设置所述僵尸网络的危害度级别。
5.一种僵尸网络的对抗方法,应用于基于社交网络的融合僵尸网络,其特征在于,包括:
根据权利要求1所述的僵尸网络的检测方法检测到僵尸网络的所有成员;
在所述检测完成后制定对抗策略;
按照所述对抗策略发出对抗命令,销毁所述僵尸网络。
6.一种僵尸网络的对抗装置,应用于基于社交网络的融合僵尸网络,其特征在于,包括:
权利要求3所述的僵尸网络的检测装置,用于根据权利要求1所述的僵尸网络的检测方法查找到僵尸网络的所有成员;
对抗策略制定模块,用于在所述僵尸网络的检测装置完成检测后制定对抗策略;
对抗模块,用于按照所述对抗策略制定模块制定的对抗策略发出对抗命令,销毁所述僵尸网络。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210499783.3A CN103023891B (zh) | 2012-11-29 | 2012-11-29 | 僵尸网络的检测方法及装置、僵尸网络的对抗方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210499783.3A CN103023891B (zh) | 2012-11-29 | 2012-11-29 | 僵尸网络的检测方法及装置、僵尸网络的对抗方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103023891A CN103023891A (zh) | 2013-04-03 |
| CN103023891B true CN103023891B (zh) | 2017-03-15 |
Family
ID=47972022
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210499783.3A Expired - Fee Related CN103023891B (zh) | 2012-11-29 | 2012-11-29 | 僵尸网络的检测方法及装置、僵尸网络的对抗方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103023891B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103532969A (zh) * | 2013-10-23 | 2014-01-22 | 国家电网公司 | 一种僵尸网络检测方法、装置及处理器 |
| CN103825879A (zh) * | 2013-11-29 | 2014-05-28 | 中国科学院信息工程研究所 | 社交僵尸网络的检测方法及装置 |
| CN103944901B (zh) * | 2014-04-18 | 2016-11-09 | 中国科学院信息工程研究所 | 社交僵尸网络控制节点的检测方法及装置 |
| CN109104438B (zh) * | 2018-10-22 | 2021-06-18 | 杭州安恒信息技术股份有限公司 | 窄带物联网中的僵尸网络预警方法、装置及可读存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101404658A (zh) * | 2008-10-31 | 2009-04-08 | 北京锐安科技有限公司 | 一种检测僵尸网络的方法及其系统 |
| CN101753562A (zh) * | 2009-12-28 | 2010-06-23 | 成都市华为赛门铁克科技有限公司 | 僵尸网络的检测方法、装置及网络安全防护设备 |
| CN101924757A (zh) * | 2010-07-30 | 2010-12-22 | 中国电信股份有限公司 | 追溯僵尸网络的方法和系统 |
| CN102546298A (zh) * | 2012-01-06 | 2012-07-04 | 北京大学 | 一种基于主动探测的僵尸网络家族检测方法 |
-
2012
- 2012-11-29 CN CN201210499783.3A patent/CN103023891B/zh not_active Expired - Fee Related
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101404658A (zh) * | 2008-10-31 | 2009-04-08 | 北京锐安科技有限公司 | 一种检测僵尸网络的方法及其系统 |
| CN101753562A (zh) * | 2009-12-28 | 2010-06-23 | 成都市华为赛门铁克科技有限公司 | 僵尸网络的检测方法、装置及网络安全防护设备 |
| CN101924757A (zh) * | 2010-07-30 | 2010-12-22 | 中国电信股份有限公司 | 追溯僵尸网络的方法和系统 |
| CN102546298A (zh) * | 2012-01-06 | 2012-07-04 | 北京大学 | 一种基于主动探测的僵尸网络家族检测方法 |
Non-Patent Citations (1)
| Title |
|---|
| 一种基于社交网络的移动僵尸网络研究;李跃等;《计算机研究与发展》;20121015(第S2期);第1页-第7页 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103023891A (zh) | 2013-04-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Wang et al. | A mobile malware detection method using behavior features in network traffic | |
| US10193915B2 (en) | Computerized system and method for automatically determining malicious IP clusters using network activity data | |
| EP2942919B1 (en) | Social network honeypot | |
| CN102420782B (zh) | 一种通过即时通信进行网页共享的方法、客户端及系统 | |
| US20210258791A1 (en) | Method for http-based access point fingerprint and classification using machine learning | |
| WO2022083417A1 (zh) | 一种数据包处理方法、装置、电子设备、计算机可读存储介质以及计算机程序产品 | |
| CA2762677C (en) | Multiple hypothesis tracking | |
| CN103632084A (zh) | 恶意特征数据库的建立方法、恶意对象检测方法及其装置 | |
| CN103607399A (zh) | 基于暗网的专用ip网络安全监测系统及方法 | |
| CN105323247A (zh) | 一种用于移动终端的入侵检测系统 | |
| CN110213212A (zh) | 一种设备的分类方法和装置 | |
| CN101605074A (zh) | 基于网络通讯行为特征监测木马的方法与系统 | |
| CN103023891B (zh) | 僵尸网络的检测方法及装置、僵尸网络的对抗方法及装置 | |
| CN103595732A (zh) | 一种网络攻击取证的方法及装置 | |
| CN111859374B (zh) | 社会工程学攻击事件的检测方法、装置以及系统 | |
| CN103475663B (zh) | 基于网络通信行为特征的木马识别方法 | |
| CN111510463B (zh) | 异常行为识别系统 | |
| KR20190028076A (ko) | 공격자 가시화 방법 및 장치 | |
| CN104135479A (zh) | 云端实时防御方法及系统 | |
| CN113259356A (zh) | 大数据环境下的威胁情报与终端检测响应方法及系统 | |
| CN109756467A (zh) | 一种钓鱼网站的识别方法及装置 | |
| CN108737332A (zh) | 一种基于机器学习的中间人攻击预测方法 | |
| KR20130065322A (ko) | 에스엔에스 트랩 수집 시스템 및 그에 의한 유알엘 수집 방법 | |
| Sadineni et al. | Ready-iot: A novel forensic readiness model for internet of things | |
| CN115941224A (zh) | 一种网络访问信息管理方法、装置和计算机可读存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20170315 Termination date: 20211129 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |