CN103825879A - 社交僵尸网络的检测方法及装置 - Google Patents
社交僵尸网络的检测方法及装置 Download PDFInfo
- Publication number
- CN103825879A CN103825879A CN201310631253.4A CN201310631253A CN103825879A CN 103825879 A CN103825879 A CN 103825879A CN 201310631253 A CN201310631253 A CN 201310631253A CN 103825879 A CN103825879 A CN 103825879A
- Authority
- CN
- China
- Prior art keywords
- account
- social
- botnet
- microblogging
- suspicious
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明涉及一种社交僵尸网络的检测方法及装置。社交僵尸网络的检测方法包括:步骤一,获取微博帐号的传播路径图;步骤二,将微博账号的传播路径图与预存的社交僵尸网络传播路径图相比较,若两者一致,则将该微博账号记录为可疑账号;步骤三,在记录的可疑账号的数量达到设定数目时,根据可疑账号的结构判断可疑账号是否为社交僵尸网络,所述账号的结构是指该账号的名称组成。本发明的社交僵尸网络的检测方法及装置,基于社交僵尸网络与正常社交网络的传播路径图不同以及社交僵尸网络的结构相似性来对移动僵尸网络进行检测,提高了对移动僵尸网络的检测能力。
Description
技术领域
本发明涉及网络技术领域,尤其涉及一种社交僵尸网络的检测方法及装置。
背景技术
随着移动智能设备的普及,安全问题也开始频繁的出现在移动智能设备上,僵尸网络也开始从传统互联网深入到移动互联网,目前大多数移动僵尸网络都是选择Twitter或Facebook作为命令控制信道,这样更具有隐秘性和可操作性。但针对僵尸网络的检测技术大多还使用传统僵尸网络的检测方法。
下边对传统僵尸网络的常用检测方法作一介绍。
在传统僵尸网络检测领域的检测技术主要分为网络层检测和终端检测。
网络层的检测,主要体现在流量上,其特点是:
1、高网络延迟:在各式各样的数据在网络介质中通过网络协议(如TCP/IP)进行传输,如果信息量过大不加以限制,超额的网络流量就会导致设备反应缓慢,造成网络延迟;
2、高流量:僵尸网络形成后,由于和服务器之间的联系,会造成巨大的通信流量;
3、某端口的异常流量:为了能接收来自网络的命令,僵尸木马程序需要打开主机上一个端口来通信。
4、非正常系统行为。
终端层的检测,主要体现在终端行为上,其特点是:
1、通信内容:在僵尸网络中,僵尸之间的通信内容往往具有协同性和相似性;
2、昵称、命令序列:在僵尸网络中,僵尸之间的昵称、命令序列也往往具有相似;
3、协议特征:僵尸网络的协议为了满足自身的需要,其协议都有相应的特点,通过僵尸网络协议的解析还原,在一定程度上可以辅助判断僵尸网络的存在。
图1为社交僵尸网络的一般结构图。所有的僵尸程序入侵到移动设备3,僵尸控制者2通过在微博服务器1注册微博帐号来发表命令。所有的僵尸端通过关注这个微博帐号来接收命令。僵尸控制者2通过微博服务器1以图片或链接形式发布命令。
社交僵尸网络传播手段和传统传播手段一样,大体分为主动传播和被动传播这两种传播方式。其中,主动传播方式为:每个主机被感染僵尸后,自动通过twitter或facebook自动转发给其他联系人。被动传播方式为:每个主机感染僵尸后,立即执行,不再传播,其传播主要通过其他途径,例如漏洞攻击、邮件、恶意网站脚本等人体工程学方法。
其中,被动传播方式的社交僵尸网络拓扑结构有两种类型,即图2A所示的中心型拓扑结构和图2B所示的p2p型拓扑结构。
在中心型的社交僵尸网络中,僵尸控制者A1要登录到唯一的微博帐号A2来发布命令,其他所有僵尸终端A3都收听此微博帐号,接收命令。僵尸终端A3接收到命令后,直接执行,不再转发(被动传播)。
在p2p型的社交僵尸网络中,每一个僵尸终端B2都有一个微博帐号,并且都互相收听对方,此时僵尸控制者B1只需登录任何一个僵尸端B2就可以发布命令,其他僵尸终端B2都可以收到,同样收到后,立即执行,不进行转发(被动传播)。此类型僵尸网络有两个特点:1、登录任何一个帐号都可以发布恶意命令;2、各个僵尸终端的微博帐号由于是自动生成,具有结构相似性。
可见,由于在一些移动僵尸网络中,越来越多的僵尸网络通过Twitter或Facebook来作为控制命令信道,而传统检测方法还是停留在流量异常、昵称异常等的检测上边,因而使用传统检测方法对移动僵尸网络进行检测效果不太理想。
发明内容
本发明所要解决的技术问题是提供一种社交僵尸网络的检测方法及装置,提高对移动僵尸网络的检测能力。
为解决上述技术问题,本发明提出了一种社交僵尸网络的检测方法,包括:
步骤一,获取微博帐号的传播路径图;
步骤二,将微博账号的传播路径图与预存的社交僵尸网络传播路径图相比较,若两者一致,则将该微博账号记录为可疑账号;
步骤三,在记录的可疑账号的数量达到设定数目时,根据可疑账号的结构判断可疑账号是否为社交僵尸网络,所述账号的结构是指该账号的名称组成。
进一步地,上述社交僵尸网络的检测方法还可具有以下特点,所述步骤一包括:
在微博服务器获取发布微博信息的微博账号;
跟踪该微博账号,检测到该微博帐号的传播路径图。
进一步地,上述社交僵尸网络的检测方法还可具有以下特点,所述预存的社交僵尸网络的传播路径图的特征为该传播路径图中所有的接收微博账号接收到微博后不再二次转发,且接收微博账号的数目大于设定阈值。
进一步地,上述社交僵尸网络的检测方法还可具有以下特点,所述步骤三包括:
若设定数目的可疑账号中,所有可疑账号的结构相同,即所有可疑账号均为同一微博账号,则该微博账号为社交僵尸网络。
进一步地,上述社交僵尸网络的检测方法还可具有以下特点,所述步骤三包括:
若设定数目的可疑账号中,所有可疑账号的结构相似,则该设定数目的可疑账号均为社交僵尸网络,其中,结构相似是指账号的组成具有相似性。
为解决上述技术问题,本发明提出了一种社交僵尸网络的检测装置,包括顺次相连的获取模块、查找模块和判断模块,其中:
获取模块,用于获取微博帐号的传播路径图;
查找模块,用于将微博账号的传播路径图与预存的社交僵尸网络传播路径图相比较,若两者一致,则将该微博账号记录为可疑账号;
判断模块,用于在记录的可疑账号的数量达到设定数目时,根据可疑账号的结构判断可疑账号是否为社交僵尸网络,所述账号的结构是指该账号的名称组成。
进一步地,上述社交僵尸网络的检测装置还可具有以下特点,所述获取模块包括:
获取单元,用于在微博服务器获取发布微博信息的微博账号;
跟踪单元,用于跟踪该微博账号,检测到该微博帐号的传播路径图。
进一步地,上述社交僵尸网络的检测装置还可具有以下特点,所述预存的社交僵尸网络的传播路径图的特征为该传播路径图中所有的接收微博账号接收到微博后不再二次转发,且接收微博账号的数目大于设定阈值。
进一步地,上述社交僵尸网络的检测装置还可具有以下特点,所述判断模块包括:
第一判断单元,用于在该设定数目的可疑账号中,所有可疑账号的结构相同,即所有可疑账号均为同一微博账号时,判定该微博账号为社交僵尸网络。
进一步地,上述社交僵尸网络的检测装置还可具有以下特点,所述判断模块包括:
第二判断单元,用于在该设定数目的可疑账号中,所有可疑账号的结构相似时,判定该设定数目的可疑账号均为社交僵尸网络,其中,结构相似是指账号的组成具有相似性。
本发明的社交僵尸网络的检测方法及装置,基于社交僵尸网络与正常社交网络的传播路径图不同以及社交僵尸网络的结构相似性来对移动僵尸网络进行检测,提高了对移动僵尸网络的检测能力。
附图说明
图1为社交僵尸网络的一般结构图;
图2A为中心型拓扑结构的社交僵尸网络示意图;
图2B为p2p型拓扑结构的社交僵尸网络示意图;
图3A是正常社交网络的传播路径图;
图3B为可疑社交网络的传播路径图;
图4为本发明实施例中社交僵尸网络的检测方法的流程图;
图5为本发明实施例中社交僵尸网络的检测装置的结构图。
具体实施方式
以下结合附图对本发明的原理和特征进行描述,所举实例只用于解释本发明,并非用于限定本发明的范围。
本发明的社交僵尸网络的检测方法适用于被动传播方式的中心型拓扑结构和p2p型拓扑结构的社交僵尸网络。
社交僵尸网络的传播路径图肯定与正常的社交网站不一样。如图3所示,图3A是正常社交网络的传播路径图,图3B为可疑社交网络的传播路径图。因为正常社交网络不可能只传播一次,而对于社交僵尸网络,僵尸控制者登上微博端,把控制命令发给各个僵尸终端,各个僵尸终端只负责执行就行了,因此其传播路径图往往是一次性的。但根据此,仅仅能判断微博账号是可疑的,因为现实的微博里边可能存在这样的模型,比如知名度不高的个人微博,所以还需要再进行第二次判断:当一个微博帐号被判断为可疑账号的时候,对其进行记录保存,当收集大量的可疑帐号时,对这些可疑账号进行比较分析。因为僵尸网络帐号都是自动生成,因此僵尸网络帐号具有结构相似性。若发现每次都是此微博帐号,或这些微博帐号虽然不同,但这些微博帐号的结构类似,比如:bot-01,bot-02,bot-03,就可以判断为僵尸网络。基于上述原理,本发明提出了一种社交僵尸网络的检测方法。
图4为本发明实施例中社交僵尸网络的检测方法的流程图。如图4所示,本实施例中,社交僵尸网络的检测方法的流程可以包括如下步骤:
步骤S401,获取微博帐号的传播路径图;
具体地,可以先在微博服务器获取发布微博信息的微博账号,然后跟踪该微博账号,检测到该微博帐号的传播路径图。
步骤S402,将微博账号的传播路径图与预存的社交僵尸网络传播路径图相比较,若两者一致,则将该微博账号记录为可疑账号;
其中,可疑账号是指传播路径图与预存的社交僵尸网络的传播路径图一致的微博账号。
其中,预存的社交僵尸网络传播路径图的特征为该传播路径图中所有的接收微博账号接收到微博后不再二次转发,且接收微博账号的数目大于设定阈值。
在查找到可疑账号后,可以向关注此可疑帐号的用户通知此微博帐号可疑。
可疑帐号将被记录下来,并在以后通信过程中,时刻关注此可疑帐号。
步骤S403,在记录的可疑账号的数量达到设定数目时,根据可疑账号的结构判断可疑账号是否为社交僵尸网络,其中,账号的结构是指该账号的名称组成。
有如下两种情况可以认定为社交僵尸网络:
一种是,若设定数目的可疑账号中,所有可疑账号的结构相同,即所有可疑账号均为同一微博账号,则该微博账号为社交僵尸网络。
另一种是,若设定数目的可疑账号中,所有可疑账号的结构相似,则该设定数目的可疑账号均为社交僵尸网络,其中,结构相似是指账号的组成具有相似性。
比如说:在微博服务器发现了10次与预存的社交僵尸网络的传播路径图一致的传播路径图,每一次都会把对应的微博帐号记录下来,然后检测这10个微博帐号的结构组成,此时分两种情况:若10个微博帐号都一样,则判定为社交僵尸网络;若这10个微博帐号中每个微博帐号都不一样,但每个微博帐号的结构都相似,比如:bot-01,bot-02,bot-03等等,此时也判定为社交僵尸网络。
在本发明实施例中,在步骤S403之后还可以包括如下步骤:将社交僵尸网络的判断结果发送给用户。这样,用户就可以知道哪些微博账号是社交僵尸网络,从而避免自己的主机被感染。
本发明的社交僵尸网络的检测方法,基于社交僵尸网络与正常社交网络的传播路径图不同以及社交僵尸网络的结构相似性来对移动僵尸网络进行检测,提高了对移动僵尸网络的检测能力。
本发明还提出了一种社交僵尸网络的检测装置,用以执行上述的社交僵尸网络的检测方法。
图5为本发明实施例中社交僵尸网络的检测装置的结构图。如图5所示,本实施例中,社交僵尸网络的检测装置包括顺次相连的获取模块510、查找模块520和判断模块530。其中,获取模块510用于获取微博帐号的传播路径图。查找模块520用于将微博账号的传播路径图与预存的社交僵尸网络传播路径图相比较,若两者一致,则将该微博账号记录为可疑账号。判断模块530用于在记录的可疑账号的数量达到设定数目时,根据可疑账号的结构判断可疑账号是否为社交僵尸网络,其中,账号的结构是指该账号的名称组成。
在本发明实施例中,获取模块510可以进一步包括获取单元和跟踪单元。其中,获取单元用于在微博服务器获取发布微博信息的微博账号。跟踪单元用于跟踪该微博账号,检测到该微博帐号的传播路径图。
其中,预存的社交僵尸网络传播路径图的特征为该传播路径图中所有的接收微博账号接收到微博后不再二次转发,且接收微博账号的数目大于设定阈值。
在本发明实施例中,判断模块530可以包括第一判断单元。第一判断单元用于在该设定数目的可疑账号中,所有可疑账号的结构相同,即所有可疑账号均为同一微博账号时,判定该微博账号为社交僵尸网络。
在本发明实施例中,判断模块530还可以包括第二判断单元。第二判断单元用于在该设定数目的可疑账号中,所有可疑账号的结构相似时,判定该设定数目的可疑账号均为社交僵尸网络,其中,结构相似是指账号的组成具有相似性。
本发明的社交僵尸网络的检测装置,基于社交僵尸网络与正常社交网络的传播路径图不同以及社交僵尸网络的结构相似性来对移动僵尸网络进行检测,提高了对移动僵尸网络的检测能力。
以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种社交僵尸网络的检测方法,其特征在于,包括:
步骤一,获取微博帐号的传播路径图;
步骤二,将微博账号的传播路径图与预存的社交僵尸网络传播路径图相比较,若两者一致,则将该微博账号记录为可疑账号;
步骤三,在记录的可疑账号的数量达到设定数目时,根据可疑账号的结构判断可疑账号是否为社交僵尸网络,所述账号的结构是指该账号的名称组成。
2.根据权利要求1所述的社交僵尸网络的检测方法,其特征在于,所述步骤一包括:
在微博服务器获取发布微博信息的微博账号;
跟踪该微博账号,检测到该微博帐号的传播路径图。
3.根据权利要求1所述的社交僵尸网络的检测方法,其特征在于,所述预存的社交僵尸网络的传播路径图的特征为该传播路径图中所有的接收微博账号接收到微博后不再二次转发,且接收微博账号的数目大于设定阈值。
4.根据权利要求1所述的社交僵尸网络的检测方法,其特征在于,所述步骤三包括:
若设定数目的可疑账号中,所有可疑账号的结构相同,即所有可疑账号均为同一微博账号,则该微博账号为社交僵尸网络。
5.根据权利要求1所述的社交僵尸网络的检测方法,其特征在于,所述步骤三包括:
若设定数目的可疑账号中,所有可疑账号的结构相似,则该设定数目的可疑账号均为社交僵尸网络,其中,结构相似是指账号的组成具有相似性。
6.一种社交僵尸网络的检测装置,其特征在于,包括顺次相连的获取模块、查找模块和判断模块,其中:
获取模块,用于获取微博帐号的传播路径图;
查找模块,用于将微博账号的传播路径图与预存的社交僵尸网络传播路径图相比较,若两者一致,则将该微博账号记录为可疑账号;
判断模块,用于在记录的可疑账号的数量达到设定数目时,根据可疑账号的结构判断可疑账号是否为社交僵尸网络,所述账号的结构是指该账号的名称组成。
7.根据权利要求6所述的社交僵尸网络的检测装置,其特征在于,所述获取模块包括:
获取单元,用于在微博服务器获取发布微博信息的微博账号;
跟踪单元,用于跟踪该微博账号,检测到该微博帐号的传播路径图。
8.根据权利要求6所述的社交僵尸网络的检测装置,其特征在于,所述预存的社交僵尸网络的传播路径图的特征为该传播路径图中所有的接收微博账号接收到微博后不再二次转发,且接收微博账号的数目大于设定阈值。
9.根据权利要求6所述的社交僵尸网络的检测装置,其特征在于,所述判断模块包括:
第一判断单元,用于在该设定数目的可疑账号中,所有可疑账号的结构相同,即所有可疑账号均为同一微博账号时,判定该微博账号为社交僵尸网络。
10.根据权利要求6所述的社交僵尸网络的检测装置,其特征在于,所述判断模块包括:
第二判断单元,用于在该设定数目的可疑账号中,所有可疑账号的结构相似时,判定该设定数目的可疑账号均为社交僵尸网络,其中,结构相似是指账号的组成具有相似性。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310631253.4A CN103825879A (zh) | 2013-11-29 | 2013-11-29 | 社交僵尸网络的检测方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310631253.4A CN103825879A (zh) | 2013-11-29 | 2013-11-29 | 社交僵尸网络的检测方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN103825879A true CN103825879A (zh) | 2014-05-28 |
Family
ID=50760707
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310631253.4A Pending CN103825879A (zh) | 2013-11-29 | 2013-11-29 | 社交僵尸网络的检测方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103825879A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2017211157A1 (zh) * | 2016-06-07 | 2017-12-14 | 中兴通讯股份有限公司 | 关联账户的监控方法及装置 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102045300A (zh) * | 2009-10-16 | 2011-05-04 | 成都市华为赛门铁克科技有限公司 | 僵尸网络的检测方法、装置及检测系统 |
| CN102394798A (zh) * | 2011-11-16 | 2012-03-28 | 北京交通大学 | 一种基于多元特征的微博信息传播行为预测方法及系统 |
| CN102831130A (zh) * | 2011-06-16 | 2012-12-19 | 富士通株式会社 | 一种用于在互联网上发布特定消息的装置及方法 |
| CN103023891A (zh) * | 2012-11-29 | 2013-04-03 | 中国科学院信息工程研究所 | 僵尸网络的检测方法及装置、僵尸网络的对抗方法及装置 |
| CN103095499A (zh) * | 2013-01-17 | 2013-05-08 | 上海交通大学 | 一种在微博平台中捕获水军的方法 |
| CN103179025A (zh) * | 2013-03-20 | 2013-06-26 | 微梦创科网络科技(中国)有限公司 | 一种基于用户传播力的微博推送方法及装置 |
| CN103279887A (zh) * | 2013-04-26 | 2013-09-04 | 华东师范大学 | 一种基于信息理论的微博传播可视化分析方法与系统 |
| US8578493B1 (en) * | 2011-05-10 | 2013-11-05 | Narus, Inc. | Botnet beacon detection |
-
2013
- 2013-11-29 CN CN201310631253.4A patent/CN103825879A/zh active Pending
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102045300A (zh) * | 2009-10-16 | 2011-05-04 | 成都市华为赛门铁克科技有限公司 | 僵尸网络的检测方法、装置及检测系统 |
| US8578493B1 (en) * | 2011-05-10 | 2013-11-05 | Narus, Inc. | Botnet beacon detection |
| CN102831130A (zh) * | 2011-06-16 | 2012-12-19 | 富士通株式会社 | 一种用于在互联网上发布特定消息的装置及方法 |
| CN102394798A (zh) * | 2011-11-16 | 2012-03-28 | 北京交通大学 | 一种基于多元特征的微博信息传播行为预测方法及系统 |
| CN103023891A (zh) * | 2012-11-29 | 2013-04-03 | 中国科学院信息工程研究所 | 僵尸网络的检测方法及装置、僵尸网络的对抗方法及装置 |
| CN103095499A (zh) * | 2013-01-17 | 2013-05-08 | 上海交通大学 | 一种在微博平台中捕获水军的方法 |
| CN103179025A (zh) * | 2013-03-20 | 2013-06-26 | 微梦创科网络科技(中国)有限公司 | 一种基于用户传播力的微博推送方法及装置 |
| CN103279887A (zh) * | 2013-04-26 | 2013-09-04 | 华东师范大学 | 一种基于信息理论的微博传播可视化分析方法与系统 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2017211157A1 (zh) * | 2016-06-07 | 2017-12-14 | 中兴通讯股份有限公司 | 关联账户的监控方法及装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR102163280B1 (ko) | 엣지 컴퓨팅 기반 네트워크 모니터링 방법, 장치 및 시스템 | |
| US10193915B2 (en) | Computerized system and method for automatically determining malicious IP clusters using network activity data | |
| KR101890272B1 (ko) | 보안이벤트 자동 검증 방법 및 장치 | |
| US8844034B2 (en) | Method and apparatus for detecting and defending against CC attack | |
| CN103297433B (zh) | 基于网络数据流的http僵尸网络检测方法及系统 | |
| EP2863611B1 (en) | Device for detecting cyber attack based on event analysis and method thereof | |
| CN103179132B (zh) | 一种检测和防御cc攻击的方法及装置 | |
| CN106936791B (zh) | 拦截恶意网址访问的方法和装置 | |
| US9660959B2 (en) | Network traffic analysis to enhance rule-based network security | |
| KR101272670B1 (ko) | 사용자 단말의 접속 네트워크 식별 장치, 방법 및 컴퓨터 판독 가능한 기록 매체 | |
| WO2013152610A1 (zh) | 钓鱼网站检测方法及设备 | |
| US20120030351A1 (en) | Management server, communication cutoff device and information processing system | |
| CN108768921B (zh) | 一种基于特征检测的恶意网页发现方法及系统 | |
| US20120173712A1 (en) | Method and device for identifying p2p application connections | |
| Kheir et al. | Mentor: positive DNS reputation to skim-off benign domains in botnet C&C blacklists | |
| Cai et al. | Detecting HTTP botnet with clustering network traffic | |
| CN104811462A (zh) | 一种接入网关重定向方法及接入网关 | |
| Kaur et al. | Botnet and botnet detection techniques in cyber realm | |
| CN104253785A (zh) | 危险网址识别方法、装置及系统 | |
| CN102891861A (zh) | 一种基于客户端的钓鱼网站检测方法及其装置 | |
| US10855704B1 (en) | Neutralizing malicious locators | |
| US11496594B1 (en) | Regulation methods for proxy services | |
| KR20130065322A (ko) | 에스엔에스 트랩 수집 시스템 및 그에 의한 유알엘 수집 방법 | |
| CN103023891B (zh) | 僵尸网络的检测方法及装置、僵尸网络的对抗方法及装置 | |
| CN103825879A (zh) | 社交僵尸网络的检测方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20140528 |
|
| RJ01 | Rejection of invention patent application after publication |