CN103139206A - 一种僵尸主机的检测方法及装置 - Google Patents

一种僵尸主机的检测方法及装置 Download PDF

Info

Publication number
CN103139206A
CN103139206A CN2013100378152A CN201310037815A CN103139206A CN 103139206 A CN103139206 A CN 103139206A CN 2013100378152 A CN2013100378152 A CN 2013100378152A CN 201310037815 A CN201310037815 A CN 201310037815A CN 103139206 A CN103139206 A CN 103139206A
Authority
CN
China
Prior art keywords
address
main frame
detected
flow information
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN2013100378152A
Other languages
English (en)
Other versions
CN103139206B (zh
Inventor
周俊峰
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nsfocus Technologies Inc
Nsfocus Technologies Group Co Ltd
Original Assignee
NSFOCUS Information Technology Co Ltd
Beijing NSFocus Information Security Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NSFOCUS Information Technology Co Ltd, Beijing NSFocus Information Security Technology Co Ltd filed Critical NSFOCUS Information Technology Co Ltd
Priority to CN201310037815.2A priority Critical patent/CN103139206B/zh
Publication of CN103139206A publication Critical patent/CN103139206A/zh
Application granted granted Critical
Publication of CN103139206B publication Critical patent/CN103139206B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Abstract

本发明实施例提供了一种僵尸主机的检测方法及装置,该方法包括:获取设定时间内网络中各待检测主机的邮件流量信息;根据获取到的邮件流量信息,选择符合预设条件的IP地址,并计算选择出的IP地址中每个IP地址所对应的待检测主机的可能性度量值;依次判断计算出的每个IP地址的可能性度量值是否大于第四阈值,在是的情况下,将该IP地址所对应的待检测主机,确定为僵尸主机。本发明实施例可以周期性获取待检测主机的邮件流量信息,这种检测方式比较及时;并且根据这些邮件流量信息、按照预设的条件处理之后,可以获得僵尸主机可能性稍高的IP地址,再经过一定的算法处理得出网络中的僵尸主机,提高检测的效率和准确率。

Description

一种僵尸主机的检测方法及装置
技术领域
本发明涉及网络通信安全领域,尤其涉及一种僵尸主机的检测方法及装置。
背景技术
所谓的僵尸网络(botnet),是采用一种或多种传播手段,将大量主机感染僵尸程序(bot程序),从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。它是一种新型攻击方式,为攻击者提供了隐匿、灵活且高效的一对多命令与控制机制,通过传播僵尸程序来控制大量僵尸主机,从而实现信息窃取、分布式拒绝服务攻击和垃圾邮件发送等攻击目的。
鉴于僵尸主机带来的危害性,目前,通常采用蜜网技术、异常行为检测技术、IRC协议解析还原等技术来检测僵尸主机。具体地,采用蜜网技术检测僵尸主机的处理流程为:首先构造蜜网(所谓蜜网是有蜜罐拓扑组成的网络,蜜罐是一些伪装成易于被攻击的目标主机);然后在一定的时间周期内,搜集网络中的攻击流量,统计这些流量的特征:例如流量的峰值大小、以及流量的平均速率等;最后根据这些流量特征来匹配出现有网络下的攻击行为,进而判断攻击方是否被僵尸等病毒程序所控制,在是的情况下,此攻击方就被检测出是僵尸主机。
采用异常行为技术检测僵尸主机的处理流程为:首先需要在网络中构建蠕虫、病毒、等攻击特征数据库;然后检测网络中的异常行为,并将检测出的异常行为与构建的攻击特征数据库进行匹配,来进一步判断攻击方的攻击行为,从而检测出僵尸主机。
从上述这两种检测方式可以看出,采用前者的检测方式,虽然可以检测出网络中的攻击方(即僵尸主机),但是只能被动的接收网络中的攻击流量,这就造成检测不够及时,并且检测出的准确率较差;采用后者的检测方式,由于需要事先知道攻击方的特征及行为,才能构建出攻击特征数据库,这就造成检测具有一定的滞后性,仍然存在检测不及时,且检测准确率较差的问题。
发明内容
本发明实施例提供了一种僵尸主机的检测方法及装置,用以解决现有僵尸主机的检测方式准确率低且及时性较差的问题。
基于上述问题,本发明实施例提供的一种僵尸主机的检测方法,包括:
获取设定时间内网络中各待检测主机的邮件流量信息,所述邮件流量信息包括各待检测主机的IP地址、IP地址的入流量信息、IP地址的出流量信息、IP地址与服务器的交互信息;
根据获取到的邮件流量信息,选择符合预设条件的IP地址,并计算选择出的IP地址中每个IP地址所对应的待检测主机的可能性度量值;所述预设条件通过下述方式实现:计算在所述设定时间内每个待检测主机的IP地址的入流量与出流量的平均速率、该IP地址与服务器交互的平均个数和该IP地址与服务器交互的平均次数;判断该IP地址的入流量与出流量的平均速率的比值是否小于第一阈值、该IP地址与服务器交互的平均个数是否大于第二阈值和该IP地址与服务器交互的平均次数是否大于第三阈值;若判断出均为是时,选出该IP地址;所述可能性度量值表征待检测主机是僵尸主机的目标阈值;
判断计算出的每个IP地址的可能性度量值是否大于第四阈值,若是,则将该IP地址所对应的待检测主机,确定为僵尸主机。
本发明实施例提供的一种僵尸主机的检测装置,包括:
获取模块,用于获取设定时间内网络中各待检测主机的邮件流量信息,所述邮件流量信息包括各待检测主机的IP地址、IP地址的入流量信息、IP地址的出流量信息、IP地址与服务器的交互信息;
选择计算模块,用于根据获取到的邮件流量信息,选择符合预设条件的IP地址,并计算选择出的IP地址中每个IP地址所对应的待检测主机的可能性度量值,所述选择计算模块,具体用于计算在所述设定时间内每个待检测主机的IP地址的入流量与出流量的平均速率、该IP地址与服务器交互的平均个数和该IP地址与服务器交互的平均次数;判断该IP地址的入流量与出流量的平均速率的比值是否小于第一阈值、该IP地址与服务器交互的平均个数是否大于第二阈值和该IP地址与服务器交互的平均次数是否大于第三阈值;若判断出均为是时,选出该IP地址;所述可能性度量值表征待检测主机是僵尸主机的目标阈值;
判断模块,用于判断计算出的每个IP地址的可能性度量值是否大于第四阈值;
确定模块,用于在判断模块判断为是时,则将该IP地址所对应的待检测主机,确定为僵尸主机。
本发明实施例的有益效果包括:本发明实施例提供的一种僵尸主机的检测方法及装置,在该方法中:首先获取设定时间内网络中各待检测主机的邮件流量信息,这些邮件流量信息包括各待检测主机的IP地址、IP地址的入流量信息、IP地址的出流量信息、IP地址与服务器的交互信息;然后根据这些邮件流量信息,选择符合预设条件的IP地址,并计算选择出的IP地址中每个IP地址所对应的待检测主机的可能性度量值;经过判断找出可能性度量值大于第四阈值的待检测主机,并将其确定为僵尸主机。在本发明实施例中,通过周期性地获取一些待检测主机的邮件流量信息,这样可以及时检测到网络中的僵尸主机;并且对上述邮件流量信息按照预设条件进行选择后(第一次筛选出经常发送垃圾邮件的IP地址),得到僵尸主机可能性稍高的IP地址,再经过上述算法确定出网络中哪些待检测主机是僵尸主机(第二次筛选),采用这种层层筛选的检测方式,提高了检测的效率和准确率。
附图说明
图1为本发明实施例提供的僵尸主机的检测方法流程图;
图2为本发明实施例提供的僵尸主机的检测装置的结构示意图。
具体实施方式
基于现有检测网络中僵尸主机的及时性较差及准确率较低的问题,本发明实施例提供一种僵尸主机的检测方法及装置,可以通过获取网络中各待检测主机的邮件流量数据,经过对此邮件流量数据进行层层筛选处理,最终及时、准确地检测出此网络中的僵尸主机,以便于对检测出的僵尸主机进行后续处理。
下面结合说明书附图,对本发明实施例提供的一种僵尸主机的检测方法及装置的具体实施方式进行说明。
本发明实施例提供的一种僵尸主机的检测方法,如图1所示,具体包括以下步骤:
S101:获取设定时间内网络中各待检测主机的邮件流量信息;
S102:根据获取到的邮件流量信息,选择符合预设条件的IP地址,并计算选择出的IP地址中每个IP地址所对应的待检测主机的可能性度量值;
S103:依次判断计算出的每个IP地址的可能性度量值是否大于第四阈值;若是,执行步骤S104,若否,执行步骤S105;
S104:将该IP地址所对应的待检测主机确定为僵尸主机;
S105:结束检测。
较佳地,在上述步骤S101中,具体可以通过下述方式来获取到各待检测主机的邮件流量信息:
获取设定时间内网络中所有主机的流量信息;
从流量信息中,选择邮件收发端口所对应的主机的流量信息,并将其作为各待检测主机的邮件流量信息。
需要说明的是,为了及时检测到僵尸主机,上述设定时间可以以秒为单位,并且根据实际需求进行设定,例如设定时间为60秒,当然也可以是其他数值,在此不对设定时间进行任何限定。
可选地,本发明实施例在获取网络中所有主机的流量信息时,采用数据交换(netflow)技术来获取。当然,也可采用其他方式来获取,本发明实施例并不对获取方式进行限定。
在本发明实施例中,对现有网络下检测出的僵尸主机的各种参数进行分析,发现在这些僵尸主机的所有流量(例如包括邮件流量、QQ流量等)中,邮件流量占有的比例最高,这说明网络中主机的邮件可以被作为攻击对象之一。基于此特性,本发明实施例通过对网络中各个主机的流量进行筛选,筛选出邮件流量,然后重点对这些邮件流量的主机进行后续检测,这样检测出的僵尸主机的准确率较高。
进一步地,本发明实施例是基于邮件收发端口是接收和发送邮件的专用端口这一特性,来对各个主机的流量信息进行筛选的,例如从流量信息中筛选出邮件收发端口为25或465的流量信息(即为邮件流量信息);这些邮件流量信息例如包括待检测主机的IP地址、IP地址的入流量信息、IP地址的出流量信息、IP地址与服务器的交互信息等。
进一步地,在获取到各待检测主机的邮件流量信息之后,会根据这些邮件流量信息,继续执行筛选流程,具体地,在上述步骤S102中,上述预设条件可以通过下述方式实现:
计算在设定时间内每个待检测主机的IP地址的入流量(incoming smtpconnections)与出流量(outgoing smtp connections)的平均速率、该IP地址与服务器交互的平均个数和该IP地址与服务器交互的平均次数;
判断该IP地址的入流量与出流量的平均速率的比值是否小于第一阈值、该IP地址与服务器交互的平均个数是否大于第二阈值和该IP地址与服务器交互的平均次数是否大于第三阈值;
在判断出均为是的情况下,就选出该IP地址。也就是说,在满足上述三个阈值中的一个或两个的情况下,该IP地址是不会被选出的。
优选地,上述第一阈值、第二阈值和第三阈值的取值根据网络中统计的邮件流量数据来确定,具体统计分析方法为:统计现有网络下所有主机的入流量、出流量、服务器交互数据等邮件流量数据,即统计每个主机在某一段时间内的入流量与出流量的平均速率、与服务器的交互平均个数及交互平均次数,然后对统计出的数值进行分析,得出下述结论:这些僵尸主机的入流量与出流量的平均速率比值大多数是在0.05以下,与服务器的交互的平均个数多在5台以上,并且与服务器的交互的平均次数多在30次以上。从这些统计数据中,发现处于上述这几个数值段的邮件流量主要体现为垃圾邮件流量,这说明网络中主机的垃圾邮件可被作为检测僵尸主机的检测对象之一,正是基于上述这种分析情况,将第一阈值被设定为0.05,第二阈值设定为5,第三阈值设定为30。当然,上述三者的取值还会受到实际网络的影响,但是取值浮动不会太大。
下面针对每个待检测主机的IP地址,分别说明一下该IP地址的入流量的平均速率、出流量的平均速率、与服务器交互的平均个数及与服务器交互的平均次数的计算过程:
计算该IP地址的入流量(即此IP地址在设定时间内接收邮件的入流量)的平均速率(单位:bps)的具体流程为:统计设定时间t内其它服务器(也就是简单邮件传输协议(simple mail)服务器)发往该IP地址的邮件的流量总和in_total,在这种情况下,in_total/t即为该设定时间段的平均速率,记为in_ratio_t,本发明实施例在实际计算该IP地址的入流量的平均速率时,采用抽样时间的方式来计算,即当抽样频率为n,抽样时间分别为t1,t2,...tn时,该IP地址的入流量的平均速率为:(in_ratio_t1+in_ratio_t2+…+in_ratio_tn)/n。
计算该IP地址的出流量的平均速率的具体流程为:统计设定时间t内经该IP地址发往其它smtp服务器的流量总和out_total,在这种情况下,out_total/t即为该设定时间段的平均速率,记为:ratio_t,这样当抽样频率为n,抽样时间分别为t1,t2,...tn时,该IP地址的出流量的平均速率为:(out_ratio_t1+out_ratio_t2+…+out_ratio_tn)/n。
计算该IP地址与服务器交互的平均个数(单位:个数/秒)的具体流程为:统计设定时间t内连接服务器的个数总和dist_dest_total,在这种情况下,dist_dest_total/t为该设定时间段的平均连接个数,记为:dist_dest_t,这样在抽样频率为n的情况下,该IP地址连接服务器的平均个数dist_dest为:(dist_dest_t1+dist_dest_t2+…+dist_dest_tn)/n。
计算该IP地址与服务器交互的平均次数(单位:次数/秒)的具体流程为:在设定时间t内统计该IP地址连接服务器的次数总和num_out_smtpconn_total,在这种情况下,num_out_smtpconn_total/t即为该时间段的平均连接次数,记为:num_out_smtpconn_t,这样在抽样频率为n的情况下,该IP地址连接服务器的平均次数num_out_smtpconn为:(num_out_smtpconn_t1+num_out_smtpconn_t2+…+num_out_smtpconn_tn)/n。
在本发明实施例中,经过上述计算及判断流程,得到了符合上述预设条件的IP地址,也就是说,对这些邮件流量信息进行筛选分类,筛选出待检测主机是僵尸主机的可能性较高的IP地址,这样,再对这些IP地址进行后续处理,提高确定僵尸主机过程的效率。
具体地,在上述步骤S102中,可以通过下述方式计算得到选择出的IP地址中每个IP地址所对应的待检测主机的可能性度量值:
针对选择出的IP地址中的每个IP地址,使用下述可能性度量公式计算该IP地址对应的待检测主机的可能性度量值M(表征待检测主机是僵尸主机的目标阈值):
M=(a/5+b/5+c/5+d/5+e/5)×5,
其中,
Figure BDA00002801354800071
Figure BDA00002801354800081
Figure BDA00002801354800082
Figure BDA00002801354800083
也就是说,,当该IP地址在设定时间内的入流量的平均速率为0时,a=1;反之,a=0;
当该IP地址在设定时间内连接服务器的平均个数大于1时,b=1;反之,b=0;
当该IP地址在设定时间内连接服务器的空闲率大于80%时,c=1;反之,c=0;
当该IP地址在设定时间内的出流量方差大于1时,d=1;反之,d=0;
当该IP地址在设定时间内的简单邮件传输协议(Simple Mail TransferProtocol,smtp)流量峰值个数大于五倍出流量的方差与出流量的期望值之和时,e=1;反之,e=0。
进一步地,在本发明实施例中,计算该IP地址在设定时间内与服务器交互的平均空闲率的具体流程为:在设定时间t内:统计选择出的IP地址中任一IP地址连接服务器的空闲时间idle,在这种情况下,idle/t即为该时间段的空闲率,记为:idle_t,这样在抽样频率为n的情况下,上述平均空闲率per_idle_time为:(per_idle_time_t1+per_idle_time_t2+…+per_idle_time_tn)/n。
另外,使用下述方差公式来计算该IP地址在设定时间内的出流量方差(σ的单位:(b/s)2),其中,xt为设定时间t内选择出的IP地址中任一IP地址发送垃圾邮件总的出流量,n为抽样频率。
在本发明实施例中,上述公式中a、b、c、d和e的取值是根据网络中统计的垃圾邮件流量数据来确定的,具体的分析方法为:采用正态分布概率模型来分析现有网络下发送垃圾邮件的主机的入流量、与服务器连接的个数、与服务器连接的空闲率、出流量方差(由正态分布概率模型本身的性质来决定的)和流量峰值点等垃圾邮件流量数据(目前能够参考的流量数据),即统计这些主机在某一段时间内的入流量的平均速率、与服务器的交互平均个数、平均空闲率、出流量方差和峰值点个数,然后对统计出的数值进行分析,得出下述结论:在主机的入流量的平均速率接近于0、与服务器连接的平均个数大于1、与服务器连接的平均空闲率大于80%、出流量方差大于1且峰值点个数大于5σ+μ(峰值点个数与出流量方差的对应关系,由正态分布概率模型决定)的情况下,这些主机是僵尸主机的概率最高,在其他数值情况下,是僵尸主机的概率较小。
基于前述这些分析数据,如果只考虑这五个数据参数中部分数据,那么,检测出的僵尸主机就会有遗漏,由此,本发明实施例将这五个数据参数全部考虑在内,即a、b、c、d和e的取值均用1和0来表示,1表示是僵尸主机的概率最高的情况,0表示是僵尸主机的概率最低的情况,这样可以更准确的检测出僵尸主机。当然,不同网络下上述统计数据会有所变化,这样a、b、c、d和e的概率高、低情况也会有所不同,在此不再一一说明。
在执行完上述步骤S102之后,执行上述步骤S103时,实际上是对S102步骤得到的IP地址中再次筛选的过程,筛选出可能性度量值大于第四阈值(第四阈值的取值根据实际网络来确定)的IP地址,将这些IP地址所对应的主机检测为僵尸主机。
在采用本发明实施例提供的上述检测方法进行检测时,假设设定时间为60秒,在获取到此段时间内网络中各待检测主机的邮件流量信息后,例如下表1所示(表1中未示出入流量相关信息),这些IP地址中的每个IP地址都对应一些参数,这些参数根据上述计算流程得到;然后从表1中再选择出IP地址的入流量信息、出流量信息及与服务器的交互信息符合上述预设条件的IP地址,例如在表1中,以IP地址为218.201.63.98为例,假设它在60秒内的入流量的平均速率与出流量的平均速率的比值(第一阈值为0.05)小于0.05,那么,它对应的连接服务器的平均个数(第二阈值为5)dist_smtpconn=7,显然大于5,并且它对应的连接服务器的平均次数(第三阈值为30)num_out_smtpconn=33,显然大于30,可见,此IP地址满足上述预设条件,即将它们加入选择出的IP地址中;再根据可能性度量公式,就得到这些IP地址中每个IP地址所对应的主机是僵尸主机的可能性度量值(如下表2所示),仍以IP地址为218.201.63.98为例,使用可能性度量公式计算出此IP地址所对应的主机的可能性度量值为a+b+c+d+e=3;最后再根据设定阈值进一步确定哪些IP地址所对应的主机是僵尸主机。
以下表2为例,假设设定阈值为2),那么表2中IP地址为218.201.63.98、218.207.9.148、218.201.83.229和125.85.40.102所对应的主机就确定为僵尸主机。
表1
Figure BDA00002801354800101
其中,在表1中,out_smtpconn代表该IP地址发送垃圾邮件的出流量的平均速率;
dist_smtpconn代表该IP地址连接服务器(也就是与服务器交互)的平均个数;
num_out_smtpconn代表该IP地址连接服务器的平均次数;
per_idle_time代表该IP地址连接服务器的平均空闲率;
deviation代表该IP地址的出流量的方差;
peaks代表该IP地址的出流量的峰值个数。
表2
IP 可能性度量值 a b c d e
218.201.63.98 3 1 0 1 1 0
218.207.9.148 3 1 0 1 1 0
218.201.83.229 3 0 1 1 1 0
218.201.83.229 3 0 1 1 1 0
125.85.40.102 2 0 0 1 1 0
218.201.83.229 2 0 1 1 0 0
218.201.83.229 1 0 0 1 0 0
125.85.40.102 1 0 0 1 0 0
218.201.83.229 1 0 0 1 0 0
125.85.40.102 1 0 0 1 0 0
218.201.63.98 1 0 0 1 0 0
218.201.83.229 1 0 0 1 0 0
218.201.83.229 1 0 0 1 0 0
218.201.63.98 1 0 0 1 0 0
125.85.40.102 1 0 0 1 0 0
本发明实施例提供的检测方法,通过对获取到的待检测主机的邮件流量信息进行计算以及判断后,筛选出发送垃圾邮件的IP地址;然后计算这些IP地址对应的待检测主机的可能性度量值,从计算出的这些可能性度量值中再次筛选出符合阈值条件的IP地址,将这次筛选出的IP地址对应的待检测主机确定为僵尸主机。这种层层筛选的方式,可以提高检测的效率和准确率。
基于同一发明构思,本发明实施例还提供了一种僵尸主机的检测装置,由于该装置解决问题的原理与前述僵尸主机的检测方法相似,因此该装置的实施可以参见前述方法的实施,重复之处不再赘述。
本发明实施例提供一种僵尸主机的检测装置,如图2所示,具体包括:
获取模块201,用于获取设定时间内网络中各待检测主机的圾邮件流量信息,前述邮件流量信息包括各待检测主机的IP地址、IP地址的入流量信息、IP地址的出流量信息、IP地址与服务器的交互信息;
选择计算模块202,用于根据获取到的邮件流量信息,选择符合预设条件的IP地址,并计算选择出的IP地址中每个IP地址所对应的待检测主机的可能性度量值,选择计算模块202,具体用于计算在设定时间内每个待检测主机的IP地址的入流量与出流量的平均速率、该IP地址与服务器交互的平均个数和该IP地址与服务器交互的平均次数;判断该IP地址的入流量与出流量的平均速率的比值是否小于第一阈值、该IP地址与服务器交互的平均个数是否大于第二阈值和该IP地址与服务器交互的平均次数是否大于第三阈值;若判断出均为是时,选出该IP地址;可能性度量值表征待检测主机是僵尸主机的目标阈值;
判断模块203,用于判断计算出的每个IP地址的可能性度量值是否大于第四阈值;
确定模块204,用于在判断模块203判断为是时,则将该IP地址所对应的待检测主机确定为僵尸主机。
较佳地,上述获取模块201,具体用于获取设定时间内网络中所有主机的流量信息;从流量信息中,选择邮件收发端口所对应的主机的流量信息,并将其作为各待检测主机的邮件流量信息。
较佳地,上述选择计算模块202,具体用于针对选择出的IP地址中的每个IP地址,使用下述可能性度量公式计算该IP地址对应的待检测主机的可能性度量值M:M=(a/5+b/5+c/5+d/5+e/5)×5,其中,
Figure BDA00002801354800121
Figure BDA00002801354800122
Figure BDA00002801354800123
Figure BDA00002801354800132
本发明实施例提供的一种僵尸主机的检测方法及装置,在该方法中:首先获取设定时间内网络中各待检测主机的邮件流量信息,这些邮件流量信息可以包括各待检测主机的IP地址、IP地址的入流量信息、IP地址的出流量信息、IP地址与服务器的交互信息;然后根据这些邮件流量信息,选择符合预设条件的IP地址,并计算选择出的IP地址中每个IP地址所对应的待检测主机的可能性度量值;经过判断找出可能性度量值大于第四阈值的待检测主机,并将其确定为僵尸主机。在本发明实施例中,通过周期性地获取一些待检测主机的邮件流量信息,这样可以及时检测到网络中的僵尸主机;并且对上述流量信息按照预设条件进行选择后(第一次筛选出经常发送垃圾邮件的IP地址),可以得到僵尸主机可能性稍高的IP地址,再经过上述算法就可以确定出网络中哪些待检测主机是僵尸主机(第二次筛选),采用这种层层筛选的检测方式,检测的准确率和效率较高。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。

Claims (6)

1.一种僵尸主机的检测方法,其特征在于,包括:
获取设定时间内网络中各待检测主机的邮件流量信息,所述邮件流量信息包括各待检测主机的IP地址、IP地址的入流量信息、IP地址的出流量信息、IP地址与服务器的交互信息;
根据获取到的邮件流量信息,选择符合预设条件的IP地址,并计算选择出的IP地址中每个IP地址所对应的待检测主机的可能性度量值;所述预设条件通过下述方式实现:计算在所述设定时间内每个待检测主机的IP地址的入流量与出流量的平均速率、该IP地址与服务器交互的平均个数和该IP地址与服务器交互的平均次数;判断该IP地址的入流量与出流量的平均速率的比值是否小于第一阈值、该IP地址与服务器交互的平均个数是否大于第二阈值和该IP地址与服务器交互的平均次数是否大于第三阈值;若判断出均为是时,选出该IP地址;所述可能性度量值表征待检测主机是僵尸主机的目标阈值;
依次判断计算出的每个IP地址的可能性度量值是否大于第四阈值,若是,则将该IP地址所对应的待检测主机确定为僵尸主机。
2.如权利要求1所述的方法,其特征在于,通过下述方式获取到各待检测主机的邮件流量信息:
获取所述设定时间内所述网络中所有主机的流量信息;
从所述流量信息中,选择邮件收发端口所对应的主机的流量信息,并将其作为各待检测主机的邮件流量信息。
3.如权利要求1或2所述的方法,其特征在于,通过下述方式计算选择出的IP地址中每个IP地址所对应的待检测主机的可能性度量值:
针对选择出的IP地址中的每个IP地址,使用下述公式计算该IP地址对应的待检测主机的可能性度量值M:
M=(a/5+b/5+c/5+d/5+e/5)×5,
其中,
Figure FDA00002801354700021
Figure FDA00002801354700022
Figure FDA00002801354700023
Figure FDA00002801354700024
Figure FDA00002801354700025
4.一种僵尸主机的检测装置,其特征在于,包括:
获取模块,用于获取设定时间内网络中各待检测主机的邮件流量信息,所述邮件流量信息包括各待检测主机的IP地址、IP地址的入流量信息、IP地址的出流量信息、IP地址与服务器的交互信息;
选择计算模块,用于根据获取到的邮件流量信息,选择符合预设条件的IP地址,并计算选择出的IP地址中每个IP地址所对应的待检测主机的可能性度量值,所述选择计算模块,具体用于计算在所述设定时间内每个待检测主机的IP地址的入流量与出流量的平均速率、该IP地址与服务器交互的平均个数和该IP地址与服务器交互的平均次数;判断该IP地址的入流量与出流量的平均速率的比值是否小于第一阈值、该IP地址与服务器交互的平均个数是否大于第二阈值和该IP地址与服务器交互的平均次数是否大于第三阈值;若判断出均为是时,选出该IP地址;所述可能性度量值表征待检测主机是僵尸主机的目标阈值;
判断模块,用于依次判断计算出的每个IP地址的可能性度量值是否大于第四阈值;
确定模块,用于在判断模块判断为是时,则将该IP地址所对应的待检测主机确定为僵尸主机。
5.如权利要求4所述的装置,其特征在于,所述获取模块,具体用于获取所述设定时间内所述网络中所有主机的流量信息;从所述流量信息中,选择邮件收发端口所对应的主机的流量信息,并将其作为各待检测主机的邮件流量信息。
6.如权利要求4所述的装置,其特征在于,所述选择计算模块,具体用于针对选择出的IP地址中的每个IP地址,使用下述公式计算该IP地址对应的待检测主机的可能性度量值M:M=(a/5+b/5+c/5+d/5+e/5)×5,其中,
Figure FDA00002801354700031
Figure FDA00002801354700032
Figure FDA00002801354700033
Figure FDA00002801354700034
CN201310037815.2A 2013-01-31 2013-01-31 一种僵尸主机的检测方法及装置 Active CN103139206B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201310037815.2A CN103139206B (zh) 2013-01-31 2013-01-31 一种僵尸主机的检测方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201310037815.2A CN103139206B (zh) 2013-01-31 2013-01-31 一种僵尸主机的检测方法及装置

Publications (2)

Publication Number Publication Date
CN103139206A true CN103139206A (zh) 2013-06-05
CN103139206B CN103139206B (zh) 2016-06-01

Family

ID=48498512

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201310037815.2A Active CN103139206B (zh) 2013-01-31 2013-01-31 一种僵尸主机的检测方法及装置

Country Status (1)

Country Link
CN (1) CN103139206B (zh)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104021348A (zh) * 2014-06-26 2014-09-03 中国人民解放军国防科学技术大学 一种隐匿p2p程序实时检测方法及系统
CN105681250A (zh) * 2014-11-17 2016-06-15 中国信息安全测评中心 一种僵尸网络分布式实时检测方法和系统
CN109660452A (zh) * 2018-12-26 2019-04-19 北京神州绿盟信息安全科技股份有限公司 一种垃圾邮件源检测方法及装置
WO2021139643A1 (zh) * 2020-01-07 2021-07-15 南京林业大学 加密攻击网络流量检测方法,其装置及电子设备

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20100162396A1 (en) * 2008-12-22 2010-06-24 At&T Intellectual Property I, L.P. System and Method for Detecting Remotely Controlled E-mail Spam Hosts
CN102468987A (zh) * 2010-11-08 2012-05-23 清华大学 网络流特征向量提取方法

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20100162396A1 (en) * 2008-12-22 2010-06-24 At&T Intellectual Property I, L.P. System and Method for Detecting Remotely Controlled E-mail Spam Hosts
CN102468987A (zh) * 2010-11-08 2012-05-23 清华大学 网络流特征向量提取方法

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
WANG CHUN-DONG ETC: "Botnet Detection Based on Analysis of Mail Flow", 《BIOMEDICAL ENGINEERING AND INFORMATICS.2009.BMEI’09.2ND INTERNATIONAL CONFERENCE ON》, 19 October 2009 (2009-10-19) *
魏苏林等: "基于流量聚类分析的P2P僵尸网络检测模型", 《现代计算机》, 31 October 2012 (2012-10-31) *

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104021348A (zh) * 2014-06-26 2014-09-03 中国人民解放军国防科学技术大学 一种隐匿p2p程序实时检测方法及系统
CN104021348B (zh) * 2014-06-26 2017-01-11 中国人民解放军国防科学技术大学 一种隐匿p2p程序实时检测方法及系统
CN105681250A (zh) * 2014-11-17 2016-06-15 中国信息安全测评中心 一种僵尸网络分布式实时检测方法和系统
CN109660452A (zh) * 2018-12-26 2019-04-19 北京神州绿盟信息安全科技股份有限公司 一种垃圾邮件源检测方法及装置
CN109660452B (zh) * 2018-12-26 2021-11-02 绿盟科技集团股份有限公司 一种垃圾邮件源检测方法及装置
WO2021139643A1 (zh) * 2020-01-07 2021-07-15 南京林业大学 加密攻击网络流量检测方法,其装置及电子设备

Also Published As

Publication number Publication date
CN103139206B (zh) 2016-06-01

Similar Documents

Publication Publication Date Title
CN106921666B (zh) 一种基于协同理论的DDoS攻击防御系统及方法
CN110336830B (zh) 一种基于软件定义网络的DDoS攻击检测系统
CN110519290B (zh) 异常流量检测方法、装置及电子设备
CN101282340B (zh) 网络攻击处理方法及处理装置
US8001601B2 (en) Method and apparatus for large-scale automated distributed denial of service attack detection
CN102882881B (zh) 针对dns服务的拒绝服务攻击的数据过滤方法
CN104836702A (zh) 一种大流量环境下主机网络异常行为检测及分类方法
CN102271068A (zh) 一种dos/ddos攻击检测方法
CN111490975A (zh) 一种基于软件定义网络的分布式拒绝服务DDoS攻击溯源系统和方法
CN108683686B (zh) 一种随机子域名DDoS攻击检测方法
CN109768981B (zh) 一种在sdn架构下基于机器学习的网络攻击防御方法和系统
WO2010037261A1 (zh) 网络异常流量分析设备和方法
CN105282169A (zh) 基于SDN控制器阈值的DDoS攻击预警方法及其系统
CN101309150A (zh) 分布式拒绝服务攻击的防御方法、装置和系统
CN110011983B (zh) 一种基于流表特征的拒绝服务攻击检测方法
CN106603326B (zh) 基于异常反馈的NetFlow采样处理方法
CN107770132A (zh) 一种对算法生成域名进行检测的方法及装置
CN106534068B (zh) 一种ddos防御系统中清洗伪造源ip的方法和装置
CN106357660A (zh) 一种ddos防御系统中检测伪造源ip的方法和装置
CN105721494A (zh) 一种异常流量攻击检测处置的方法和装置
CN103139206A (zh) 一种僵尸主机的检测方法及装置
CN105187437A (zh) 一种sdn网络拒绝服务攻击的集中式检测系统
CN102801719B (zh) 基于主机流量功率谱相似性度量的僵尸网络检测方法
Yi et al. Source-based filtering scheme against DDOS attacks
CN113162939A (zh) 一种基于改进k近邻算法的SDN下DDoS攻击的检测防御系统

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
CP01 Change in the name or title of a patent holder
CP01 Change in the name or title of a patent holder

Address after: 100089 Beijing city Haidian District Road No. 4 North wa Yitai three storey building

Patentee after: NSFOCUS Technologies Group Co.,Ltd.

Patentee after: NSFOCUS TECHNOLOGIES Inc.

Address before: 100089 Beijing city Haidian District Road No. 4 North wa Yitai three storey building

Patentee before: NSFOCUS INFORMATION TECHNOLOGY Co.,Ltd.

Patentee before: NSFOCUS TECHNOLOGIES Inc.