CN106850571A - 僵尸网络家族的识别方法和装置 - Google Patents
僵尸网络家族的识别方法和装置 Download PDFInfo
- Publication number
- CN106850571A CN106850571A CN201611250388.6A CN201611250388A CN106850571A CN 106850571 A CN106850571 A CN 106850571A CN 201611250388 A CN201611250388 A CN 201611250388A CN 106850571 A CN106850571 A CN 106850571A
- Authority
- CN
- China
- Prior art keywords
- packet
- identified
- classification
- bag
- characteristic vector
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例提供了一种僵尸网络家族的识别方法和装置,其中的方法包括:对待识别数据包进行聚类,以得到所述待识别数据包对应的数据包类别;依据所述数据包类别中各待识别数据包的字段特征,生成所述数据包类别对应的待识别特征向量;利用预置僵尸网络家族的预置特征对所述待识别特征向量进行识别,以得到所述待识别特征向量对应的目标僵尸网络家族。本发明实施例利用预置特征对数据包类别对应的僵尸网络家族进行识别,能够实现对于整个僵尸网络家族的识别,进而帮助在跟踪僵尸网络的过程中找到真正的攻击者,以提高网络安全性。
Description
技术领域
本发明涉及网络安全技术领域,特别是涉及一种僵尸网络家族的识别方法和装置。
背景技术
Botnet(僵尸网络)是指攻击者采用一种或多种传播手段,将大量主机感染bot(僵尸程序),从而在C&C(Command and Control Server,命令与控制服务器)和僵尸主机(被感染主机)之间所形成的一个可一对多控制的僵尸网络。参照图1,示出了现有技术中一种僵尸网络系统的结构示意图,具体包括:攻击者101、命令与控制服务器102、僵尸主机103、以及攻击目标104。其中,攻击者101通过命令与控制服务器C&C102向僵尸主机103发送预先定义好的控制指令,控制僵尸103主机对攻击目标104执行恶意行为,如发起DDos(Distributed Denial of Service,分布式拒绝服务)攻击、窃取主机敏感信息、更新升级恶意程序等。
为了躲避监测和提高隐蔽性,僵尸网络的攻击者往往通过自动化恶意工具建立一些采用自定义私有协议的小型化僵尸网络家族,攻击者通过僵尸网络家族中的C&C控制僵尸主机对攻击目标进行攻击。
现有技术中虽然已经存在对僵尸网络进行检测的相关技术,利用这些检测技术可以得到大量关于僵尸网络的数据,从而识别出发送攻击的僵尸主机。然而,发明人在实施本发明的过程中发现,由于攻击者的源IP地址通常都是伪造的,发送攻击的主机通常是僵尸主机,因此现有技术往往仅能检测出僵尸主机,而难以识别整个僵尸网络家族,从而难以找到僵尸网络真正的攻击者,无法有效地跟踪僵尸网络,这无疑影响了网络的安全性。
发明内容
鉴于上述问题,提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的一种僵尸网络家族的识别方法和装置。
依据本发明的一个方面,提供了一种僵尸网络家族的识别方法,包括:
对待识别数据包进行聚类,以得到所述待识别数据包对应的数据包类别;
依据所述数据包类别中各待识别数据包的字段特征,生成所述数据包类别对应的待识别特征向量;
利用预置僵尸网络家族的预置特征对所述待识别特征向量进行识别,以得到所述待识别特征向量对应的目标僵尸网络家族。
可选地,所述对待识别数据包进行聚类,以得到所述待识别数据包对应的数据包类别的步骤,包括:
按照预置字段特征对所述待识别数据包进行分组,以得到若干数据包分组;其中,所述预置字段特征包括源地址、源端口、以及数据包类型;
针对各数据包分组内待识别数据包的时间戳,将两两间隔小于间隔阈值的待识别数据包划分到同一数据包类别中。
可选地,所述方法还包括:
判断所述数据包类别中待识别数据包的数量是否大于数量阈值,若是,则保留所述数据包类别;否则丢弃所述数据包类别;和/或
判断所述数据包类别中待识别数据包的源地址的种类是否大于种类阈值,若是,则保留所述数据包类别;否则丢弃所述数据包类别。
可选地,所述依据所述数据包类别中各待识别数据包的字段特征,生成所述数据包类别对应的待识别特征向量的步骤,包括:
依据所述数据包类别中各待识别数据包的字段特征,生成所述待识别数据包对应的包特征向量;
将所述数据包类别中所有待识别数据包对应的包特征向量进行组合,以得到所述数据包类别对应的待识别特征向量。
可选地,所述利用预置僵尸网络家族的预置特征对所述待识别特征向量进行识别,以得到所述待识别特征向量对应的目标僵尸网络家族的步骤,包括:
依据所述数据包类别中各待识别数据包对应的包特征向量,生成所述数据包类别对应的包特征矩阵;
确定所述包特征矩阵的列对应的熵值;
判断所述熵值与所述预置特征是否匹配,若匹配,则确定所述待识别数据包对应的目标僵尸网络家族为所述预置特征对应的预置僵尸网络家族。
可选地,所述待识别数据包包括原始攻击数据包和/或反向散射数据包;所述方法还包括:
在攻击端收集所述原始攻击数据包;和/或
通过蜜罐或者暗网收集所述反向散射数据包。
可选地,所述反向散射数据包包括SYN-ACK数据包;
所述待识别数据包的字段特征包括:源地址、源端口、以及初始序列号。
可选地,所述反向散射数据包包括DNS responses数据包;
所述待识别数据包的字段特征包括:源地址、源端口、事务标识、以及查询域名。
根据本发明的另一方面,提供了一种僵尸网络家族的识别装置,包括:
聚类模块,用于对待识别数据包进行聚类,以得到所述待识别数据包对应的数据包类别;
向量生成模块,用于依据所述数据包类别中各待识别数据包的字段特征,生成所述数据包类别对应的待识别特征向量;
识别模块,用于利用预置僵尸网络家族的预置特征对所述待识别特征向量进行识别,以得到所述待识别特征向量对应的目标僵尸网络家族。
可选地,所述聚类模块,包括:
分组子模块,用于按照预置字段特征对所述待识别数据包进行分组,以得到若干数据包分组;其中,所述预置字段特征包括源地址、源端口、以及数据包类型;
划分子模块,用于针对各数据包分组内待识别数据包的时间戳,将两两间隔小于间隔阈值的待识别数据包划分到同一数据包类别中。
可选地,所述装置还包括:
第一判断模块,用于判断所述数据包类别中待识别数据包的数量是否大于数量阈值,若是,则保留所述数据包类别;否则丢弃所述数据包类别;和/或
第二判断模块,用于判断所述数据包类别中待识别数据包的源地址的种类是否大于种类阈值,若是,则保留所述数据包类别;否则丢弃所述数据包类别。
可选地,所述向量生成模块,包括:
第一生成子模块,用于依据所述数据包类别中各待识别数据包的字段特征,生成所述待识别数据包对应的包特征向量;
第二生成子模块,用于将所述数据包类别中所有待识别数据包对应的包特征向量进行组合,以得到所述数据包类别对应的待识别特征向量。
可选地,所述识别模块,包括:
矩阵生成子模块,用于依据所述数据包类别中各待识别数据包对应的包特征向量,生成所述数据包类别对应的包特征矩阵;
熵值确定子模块,用于确定所述包特征矩阵的列对应的熵值;
家族识别子模块,用于判断所述熵值与所述预置特征是否匹配,若匹配,则确定所述待识别数据包对应的目标僵尸网络家族为所述预置特征对应的预置僵尸网络家族。
可选地,所述待识别数据包包括原始攻击数据包和/或反向散射数据包;所述装置还包括:
第一收集模块,用于在攻击端收集所述原始攻击数据包;和/或
第二收集模块,用于通过蜜罐或者暗网收集所述反向散射数据包。
可选地,所述反向散射数据包包括SYN-ACK数据包;
所述待识别数据包的字段特征包括:源地址、源端口、以及初始序列号。
可选地,所述反向散射数据包包括DNS responses数据包;
所述待识别数据包的字段特征包括:源地址、源端口、事务标识、以及查询域名。
根据本发明实施例提供的一种僵尸网络家族的识别方法和装置,利用同一僵尸网络家族的攻击数据包通常具有相同或相似特征的特点,预先获取预置僵尸网络家族的预置特征;并且,在待识别数据包的识别过程中,可以基于聚类得到数据包类别及其对应的待识别特征向量,并利用上述预置特征对待识别特征向量进行识别,以识别出各数据包类别对应的僵尸网络家族;由于本发明实施例利用上述预置特征对数据包类别对应的僵尸网络家族进行识别,因此能够实现对于整个僵尸网络家族的识别,进而帮助在跟踪僵尸网络的过程中找到真正的攻击者,以提高网络安全性。
上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式。
附图说明
通过阅读下文可选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出可选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1示出了现有技术中一种僵尸网络示意图;
图2示出了根据本发明一个实施例的一种僵尸网络家族的识别方法的步骤流程图;
图3示出了根据本发明一个实施例的一种僵尸网络家族的识别装置的结构框图。
具体实施方式
下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
本发明实施例提供了一种僵尸网络家族的识别方案,该方案可以利用同一僵尸网络家族的攻击数据包通常具有相同或相似特征的特点,对僵尸网络家族进行识别,对应的识别过程包括:首先将待识别数据包聚类为不同的数据包类别,使得同一数据包类别中的待识别数据包具有较高的相似度,然后根据字段特征生成数据包类别对应的待识别特征向量,所述待识别特征向量可以反映某一数据包类别中各待识别数据包所具有的共同特征;最后利用预置僵尸网络家族的预置特征对所述待识别特征向量进行识别,可以得到所述待识别特征向量对应的目标僵尸网络家族。通过本发明实施例可以在检测DDoS攻击的过程中,识别DDoS攻击对应的僵尸网络家族,以更有效地跟踪僵尸网络,提高网络安全性。
参照图2,示出了根据本发明一个实施例的一种僵尸网络家族的识别方法的步骤流程图,具体可以包括如下步骤:
步骤201、对待识别数据包进行聚类,以得到所述待识别数据包对应的数据包类别;
步骤202、依据所述数据包类别中各待识别数据包的字段特征,生成所述数据包类别对应的待识别特征向量;
步骤203、利用预置僵尸网络家族的预置特征对所述待识别特征向量进行识别,以得到所述待识别特征向量对应的目标僵尸网络家族。
本发明实施例适用于在检测DDoS攻击的过程中,识别DDoS攻击对应的僵尸网络家族,以更有效地跟踪僵尸网络,提高网络安全性。可以理解,本发明实施例可以应用于任意类型的攻击场景,本发明实施例主要以DDoS攻击的场景为例进行说明,其他类型的攻击场景,如窃取主机敏感信息的攻击场景、发送垃圾邮件的攻击场景等,相互参照即可。
在实际应用中,同一僵尸网络家族的僵尸主机通常会被指示去执行相同的攻击,这样,各台僵尸主机便会具有相似的通信模式以及相同的攻击行为,也即各台僵尸主机会采用相同的算法生成攻击数据包,因此,来自同一僵尸网络家族的攻击数据包通常具有相同的字段特征。因此,本发明实施例利用僵尸网络家族的攻击数据包具有相同字段特征的这一特点,对待识别数据包进行聚类,以得到所述待识别数据包对应的数据包类别,使得不同的数据包类别对应不同的僵尸网络家族的攻击,且同一个数据包类别中包括来自同一僵尸网络家族攻击的多个攻击数据包;由此,通过本发明实施例,可以识别攻击数据包对应的僵尸网络家族。
在本发明的一种可选实施例中,所述待识别数据包具体可以包括:原始攻击数据包和/或反向散射数据包。
在本发明的另一种可选实施例中,获取待识别数据包的方式可以为,从攻击端直接收集攻击数据包作为待识别数据包,这种方式可以快捷地获取待识别数据包,并且能够准确地检测僵尸网络家族。然而,攻击数据包的保密性往往增加攻击数据包的收集难度,也即使得从攻击端直接收集攻击数据包比较困难。
针对上述攻击数据包的保密性往往增加攻击数据包的收集难度的问题,在本发明的再一种可选实施例中,获取待识别数据包的方式可以为,通过蜜罐或者暗网收集反向散射数据包作为待识别数据包。反向散射数据包可以通过暗网收集,然而在具体应用中部署暗网需要通过授权的网络设备(如路由器)在IGP(Interior Gateway Protocol,内部网关协议)路由器中注入网络地址,部署成本较高。更有效可行且成本较低的方式是通过蜜罐收集反向散射数据包。具体地,可以在每个蜜罐上运行一个守护进程(如tcpdump)来捕获到达蜜罐的所有流量,进而从捕获的流量中确定待识别数据包,以对待识别数据包进行聚类和识别。
在具体应用中,DDoS攻击通过大量僵尸主机向攻击目标发送大量看似合法的攻击数据包,从而造成网络阻塞或服务器资源耗尽进而导致拒绝服务,DDoS攻击又被称为“洪水式攻击”,常见的DDOS攻击方式包括SYN(synchronous,握手信号)Flood(握手信号洪水攻击)、ACK(Acknowledgement,确认字符)Flood(确认字符洪水攻击)、ICMP(InternetControl Message Protocol,因特网控制报文协议)Flood(控制报文洪水攻击)、DNS(Domain Name System,域名系统)Flood(域名洪水攻击)等。本发明实施例中主要以最为常见的两种攻击方式为例说明僵尸网络家族的识别过程,即SYN Flood和DNS Flood,对应的反向散射数据包分别为SYN-ACK和DNS responses,其它攻击方式的识别过程类似,相互参照即可,在此不作赘述。
可选地,本发明实施例可以将蜜罐收集的SYN-ACK和DNS responses反向散射数据包作为待识别数据包,通过对SYN-ACK和DNS responses进行分析可以得到其中所包含的字段特征,如源/目的地IP地址、源/目的端口、TCP ISN(初始序列号)、DNS事务标识、DNS查询域名等,进而可以根据这些字段特征对待识别数据包进行聚类、生成待识别特征向量、以及根据待识别向量识别僵尸网络家族。
由于大量的僵尸主机通常同时对同一个攻击目标发起攻击,因此,目的IP地址、目的端口等信息通常是固定的,而攻击数据包的源IP地址通常是伪造的、随机的,因此,为了简化聚类的计算量,本发明实施例可以从上述字段特征中提取更为关键的字段特征用于聚类以及计算待识别特征向量。可选地,在所述反向散射数据包为SYN-ACK时,所述待识别数据包的字段特征包括:源地址、源端口、以及初始序列号。在所述反向散射数据包为DNSresponses时,所述待识别数据包的字段特征包括:源地址、源端口、事务标识、以及DNS查询域名。
在本发明的一种可选实施例中,所述对待识别数据包进行聚类,以得到所述待识别数据包对应的数据包类别的步骤,具体可以包括:
步骤S2011、按照预置字段特征对所述待识别数据包进行分组,以得到若干数据包分组;其中,所述预置字段特征包括源地址、源端口、以及数据包类型;
步骤S2012、针对各数据包分组内待识别数据包的时间戳,将两两间隔小于间隔阈值的待识别数据包划分到同一数据包类别中。
在实际应用中,通过蜜罐捕获的流量中不仅包括识别僵尸网络家族所需的DDoS反向散射数据包,还包括蜜罐的正常数据包,为了提高识别的准确性,本发明实施例对蜜罐捕获的所有流量进行过滤,在过滤掉其中的正常数据包之后,对DDoS反向散射数据包进行聚类以及识别。具体地,本发明实施例可以预先设置聚类规则,首先,由于同一个数据包类别中的各待识别数据包通常具有相同的字段特征,因此,可以按照预置字段特征对所述待识别数据包进行分组,所述预置字段特征具体可以包括源地址、源端口、以及数据包类型,使得在同一分组中的待识别数据包具有相同的源地址、源端口、以及数据包类型。例如,可以按照三元组<源IP地址,源端口,数据包类型>对所述待识别数据包进行分组,其中,数据包类型可以包括SYN-ACK类型以及DNS responses类型,由此,在对所述待识别数据包进行分组后,可以得到SYN-ACK类型对应的数据包分组以及DNS responses类型对应的数据包分组。可以理解,本发明实施例对于分组时选取的预置字段特征的种类和数量不加以限制,例如,所述预置字段特征可以包括源IP地址、目的IP地址、源端口、目的端口、初始序列号等。
其次,由于僵尸网络具有时间上持续性的特点,通常在持续时间内快速地发送攻击数据包,因此,本发明实施例的上述聚类规则中还需要对分组后的待识别数据包按照时间戳进行进一步划分,具体地,判断接收待识别数据包之间的时间间隔,如果两个待识别数据包之间的时间戳间隔小于预设的间隔阈值(如2秒),则认为这两个待识别数据包属于同一种攻击,可以将这两个待识别数据包划分到同一数据包类别中。
再者,由于DDoS反向散射数据包的数量通常远大于蜜罐的正常数据包,则在接收到的待识别数据包的数量较小时,可以认为是蜜罐的正常流量。此外,僵尸网络中攻击数据包的源IP地址通常是伪造的,并且是随机生成的,因此,如果接收到的待识别据包都来自某一个固定的源IP地址,则所述待识别数据包可能为蜜罐的正常数据包。因此,为了过滤掉正常的蜜罐流量得到真正的DDoS反向散射流量,可选地,所述方法还可以包括如下步骤:
判断所述数据包类别中待识别数据包的数量是否大于数量阈值,若是,则保留所述数据包类别;否则丢弃所述数据包类别;和/或
判断所述数据包类别中待识别数据包的源地址的种类是否大于种类阈值,若是,则保留所述数据包类别;否则丢弃所述数据包类别。
参照表1,示出了本发明的一种聚类策略的具体示意。
表1
其中,所述间隔阈值以及种类阈值可以根据实际情况进行设置,本发明实施例对于间隔阈值、数量阈值以及种类阈值的具体数值不加以限制,例如可以设置间隔阈值为2秒、3秒等;设置数量阈值为30、50等;设置种类阈值为3、4、5等。
可以理解,上述对反向散射数据包SYN-ACK和DNS responses进行聚类仅作为本发明的一种应用示例,在实际应用中,所述反向散射数据包还可以包括TCP RST(Reset theconnection,复位连接)数据包等,本发明实施例对于所述反向散射数据包的具体类型不加以限制。
在本发明的一种可选实施例中,所述依据所述数据包类别中各待识别数据包的字段特征,生成所述数据包类别对应的待识别特征向量的步骤,具体可以包括:
步骤S2021、依据所述数据包类别中各待识别数据包的字段特征,生成所述待识别数据包对应的包特征向量;
步骤S2022、将所述数据包类别中所有待识别数据包对应的包特征向量进行组合,以得到所述数据包类别对应的待识别特征向量。
在本发明实施例中,可以为每一个数据包类别中各待识别数据包生成对应的包特征向量,该包特征向量用于生成数据包类别对应的待识别特征向量,从而可以根据该待识别特征向量识别数据包类别对应的僵尸网络家族。具体地,所述包特征向量可以由一个字段序列组成,该字段序列为根据收集的反向散射数据包分析得到的相同字段特征所组成的字段序列。可以理解,所述字段特征具体可以为字段值,或者还可以为对字段值进行处理得到的特征值等,本发明实施例对于所述字段特征的具体形式不加以限制。
参照表2,示出了本发明的一种SYN-ACK反向散射数据包对应的包特征向量,以及参照表3,示出了本发明的一种DNS responses反向散射数据包对应的包特征向量。
表2
字段特征 | 字节 | 描述 |
源IP | sip_o1,sip_o2,sip_o3,sip_o4 | 对应SYN-ACK的目的IP |
目的IP | dip_o1,dip_o2,dip_o3,dip_o4 | 对应SYN-ACK的源IP |
TCP ISN | isn_b1,isn_b2,isn_b3,isn_b4 | 对应SYN-ACK的响应序列号 |
源端口 | sprot_h,sprot_l | 对应SYN-ACK的目的端口 |
目的端口 | dprot_h,dprot_l | 对应SYN-ACK的源端口 |
表3
在本发明的一种应用示例中,通过对收集的SYN-ACK反向散射数据包聚类得到数据包类别1:{A1、A2、A3、…An},其中包括待识别数据包A1、A2、A3、…An,且每个待识别数据包可以包括如下字段特征:源IP地址、目的IP地址、TCP ISN(初始序列号)、源端口和目的端口。其中,源IP地址指的是发送攻击数据包的主机的IP地址,也即对应的是蜜罐接收到的SYN-ACK反向散射数据包的目的IP。
在本发明实施例中,源IP地址可以使用4个字节来表示,例如,对于源IP地址192.168.0.0,可以使用sip_o1,sip_o2,sip_o3,sip_o4等字节来表示,其中,sip_o1,sip_o2,sip_o3,sip_o4各占1个字节,同样地,目的IP地址使用dip_o1,dip_o2,dip_o3,dip_o4这4个字节表示,TCP ISN使用isn_b1,isn_b2,isn_b3,isn_b4这4个字节表示,源端口使用sprot_h,sprot_l这两个字节表示,目的端口使用dprot_h,dprot_l这两个字节表示,则对于A1、A2、A3、…An中的每一个待识别数据包,可以根据其对应的源IP地址、目的IP地址、TCPISN、源端口和目的端口生成16个字节的包特征向量。
为了简化聚类的计算量,本发明实施例从上述字段特征中提取部分关键的字段特征用于聚类以及计算待识别特征向量。例如,SYN-ACK反向散射数据包对应的包特征向量可以简化为:[sip_o1,sip_o2,sip_o3,sip_o4,sport_h,sport_l];DNS responses反向散射数据包对应的包特征向量可以简化为[sport_h,sport_l,tid_h,tid_l]。
可以理解,在实际应用中,本发明实施例对于所述包特征向量的具体形式以及包含的字段特征不加以限制。例如,所述包特征向量可以为数组或者结构体等任意形式。SYN-ACK反向散射数据包对应的包特征向量还可以为[isn_b1,isn_b2,isn_b3,isn_b4,sport_h,sport_l],DNS responses反向散射数据包对应的包特征向量还可以为[sip_o1,sip_o2,sip_o3,sip_o4,tid_h,tid_l]等。
在生成包特征向量之后,可以将所述数据包类别中所有待识别数据包对应的包特征向量进行组合,以得到所述数据包类别对应的待识别特征向量。具体地,可以按照预设顺序将所述数据包类别中所有待识别数据包对应的包特征向量进行连接,以得到所述数据包类别对应的待识别特征向量。例如,可以按照待识别数据包的时间戳顺序,将所述数据包类别中所有待识别数据包对应的包特征向量进行连接,以得到所述数据包类别对应的待识别特征向量。或者,还可以对所述数据包类别中所有待识别数据包对应的包特征向量按照预设方式进行组合,得到对应的多维向量,作为所述数据包类别对应的待识别特征向量等。可以理解,本发明实施例对于生成所述数据包类别对应的待识别特征向量的具体方式不加以限制。
在本发明的一种应用示例中,按照A1、A2、A3、…An待识别数据包的时间戳顺序,将其分别对应的包特征向量[sip_o1,sip_o2,sip_o3,sip_o4,sport_h,sport_l]进行连接,得到数据包类别1对应的待识别特征向量。当然,在实际应用中,本发明实施例并不局限于按照时间戳顺序生成待识别特征向量,还可以按照其它连接顺序得到数据包类别对应的待识别特征向量。
在本发明实施例中,每个数据包类别可以对应一个待识别特征向量,且该待识别特征向量可以对应某个僵尸网络家族,本发明实施例利用预置僵尸网络家族的预置特征对数据包类别对应的待识别特征向量进行识别,可以推断出对应的僵尸网络家庭。
在本发明的一种可选实施例中,所述利用预置僵尸网络家族的预置特征对所述待识别特征向量进行识别,以得到所述待识别特征向量对应的目标僵尸网络家族的步骤,具体可以包括:
步骤S2031、依据所述数据包类别中各待识别数据包对应的包特征向量,生成所述数据包类别对应的包特征矩阵;
步骤S2032、确定所述包特征矩阵的列对应的熵值;
步骤S2033、判断所述熵值与所述预置特征是否匹配,若匹配,则确定所述待识别数据包对应的目标僵尸网络家族为所述预置特征对应的预置僵尸网络家族。
具体地,本发明实施例将数据包类别中的所有待识别数据包对应的包特征向量组合形成一个包特征矩阵,并且计算每个包特征矩阵的列的熵值,所述熵值可以反映所述包特征矩阵中每一列元素的随机程度,如果某一列中各元素的值差别越大,则该列的熵值越大;反之,如果某一列中各元素的值差别越小,则该列的熵值也越小,当某一列中各元素的值相同时,该列的熵值则为0。所述预置特征为对大量已知僵尸程序样本进行分析,得到的特定类型的僵尸网络家族的攻击数据包所具有的特定特征,例如,包特征矩阵中的哪些列具有怎样的熵值,通过将上述计算得到的熵值与预置特征进行匹配,即可得到数据包类别对应的僵尸网络家族。在本发明的一种应用示例中,假设通过对采集的大量的僵尸程序样本进行分析,得知僵尸网络家族B的攻击数据包的字段通常包含有固定的字节值,例如,所有攻击数据包的源IP地址的第一个字节均相同,那么对收集的攻击数据包进行聚类得到的数据包类别的包特征矩阵具有相同的列,则该列的熵值为0。因此,可以设置预置僵尸网络家族X的预置特征为0。在本发明实施例中,以Pi表示数据包类别对应的待识别特征向量的某一个特征值,也即包特征矩阵中第i列对应的熵值,如果某一数据包类别对应的待识别特征向量的包特征矩阵中第13列的熵值为0,如P13=0x00,则可以确定该数据包类别对应的僵尸网络家族为僵尸网络家族X。再或者,如果预置僵尸网络家族Y的预置特征为存在两组相等的熵值,如{(P9=P13),(P10=P14)},即对应的包特征矩阵中第9列的熵值与第13列的熵值相等,则认为该数据包类别对应僵尸网络家族Y。
在实际应用中,所述预置僵尸网络家族的预置特征可用于标识预置僵尸网络家族的特征,在实际应用中,可以通过人工分析得到上述预置特征,或者,可以在一个可控的环境中运行预置僵尸网络家族的样本,对该预置僵尸网络家族的攻击数据包对应的数据包类别生成对应的特征向量,利用机器学习的方式对该特征向量进行聚类,以自动学习僵尸网络家庭的攻击数据包对应的预置特征。可以理解,本发明实施例对于预置僵尸网络家族的预置特征的获取方式不加以限制。
应用示例
下面通过具体的应用示例说明本发明的实现过程。在本应用示例中,首先通过使用28个具有公共IP地址的蜜罐收集近10个月的反向散射数据包,并且设置聚类策略如表4所示。根据表4所示的聚类策略对收集的反向散射数据包进行聚类,得到2333个SYN-ACK数据包类别,也即2333个SYN-ACK攻击,以及1835个DNS数据包类别,也即1835个DNS攻击。
表4
策略 | SYN-ACK | DNS |
间隔阈值 | 30毫秒 | 30毫秒 |
数量阈值 | 80 | 3 |
类型阈值 | 10 | 2 |
然后分别对2333个SYN-ACK数据包类别中的各待识别数据计算得到对应的包特征向量,根据包特征向量得到各SYN-ACK数据包类别对应的待识别特征向量,最后根据待识别特征向量对2333个SYN-ACK数据包类别对应的僵尸网络家族进行识别。对于1835个DNS数据包类别的处理过程类似,最终得到如表5所示的识别结果。
表5
类别 | 预置特征 | 匹配的数据包类别 | 目标僵尸网络家族 |
SYN-ACK | 1318 | 家族B | |
SYN-ACK | 131 | 家族D | |
DNS | 626 | 家族E | |
DNS | 21 | 未知家族 |
综上,本发明实施例利用同一僵尸网络家族的攻击数据包通常具有相同或相似特征的特点,预先获取预置僵尸网络家族的预置特征;并且,在待识别数据包的识别过程中,可以基于聚类得到数据包类别及其对应的待识别特征向量,并利用上述预置特征对待识别特征向量进行识别,以识别出各数据包类别对应的僵尸网络家族;由于本发明实施例利用上述预置特征对数据包类别对应的僵尸网络家族进行识别,因此能够实现对于整个僵尸网络家族的识别,进而帮助在跟踪僵尸网络的过程中找到真正的攻击者,以提高网络安全性。
参照图3,示出了根据本发明一个实施例的一种僵尸网络家族的识别装置的结构框图,具体可以包括如下模块:
聚类模块301,用于对待识别数据包进行聚类,以得到所述待识别数据包对应的数据包类别;
向量生成模块302,用于依据所述数据包类别中各待识别数据包的字段特征,生成所述数据包类别对应的待识别特征向量;
识别模块303,用于利用预置僵尸网络家族的预置特征对所述待识别特征向量进行识别,以得到所述待识别特征向量对应的目标僵尸网络家族。
在本发明的一种可选实施例中,所述聚类模块301,包括:
分组子模块,用于按照预置字段特征对所述待识别数据包进行分组,以得到若干数据包分组;其中,所述预置字段特征包括源地址、源端口、以及数据包类型;
划分子模块,用于针对各数据包分组内待识别数据包的时间戳,将两两间隔小于间隔阈值的待识别数据包划分到同一数据包类别中。
在本发明的另一种可选实施例中,所述装置还可以包括:
第一判断模块,用于判断所述数据包类别中待识别数据包的数量是否大于数量阈值,若是,则保留所述数据包类别;否则丢弃所述数据包类别;和/或
第二判断模块,用于判断所述数据包类别中待识别数据包的源地址的种类是否大于种类阈值,若是,则保留所述数据包类别;否则丢弃所述数据包类别。
在本发明的又一种可选实施例中,所述向量生成模块302,具体可以包括:
第一生成子模块,用于依据所述数据包类别中各待识别数据包的字段特征,生成所述待识别数据包对应的包特征向量;
第二生成子模块,用于将所述数据包类别中所有待识别数据包对应的包特征向量进行组合,以得到所述数据包类别对应的待识别特征向量。
在本发明的再一种可选实施例中,所述识别模块303,具体可以包括:
矩阵生成子模块,用于依据所述数据包类别中各待识别数据包对应的包特征向量,生成所述数据包类别对应的包特征矩阵;
熵值确定子模块,用于确定所述包特征矩阵的列对应的熵值;
家族识别子模块,用于判断所述熵值与所述预置特征是否匹配,若匹配,则确定所述待识别数据包对应的目标僵尸网络家族为所述预置特征对应的预置僵尸网络家族。
在本发明的再一种可选实施例中,所述待识别数据包包括原始攻击数据包和/或反向散射数据包;所述装置还可以包括:
第一收集模块,用于在攻击端收集所述原始攻击数据包;和/或
第二收集模块,用于通过蜜罐或者暗网收集所述反向散射数据包。
在本发明的再一种可选实施例中,所述反向散射数据包包括SYN-ACK数据包;
所述待识别数据包的字段特征包括:源地址、源端口、以及初始序列号。
在本发明的再一种可选实施例中,所述反向散射数据包包括DNS responses数据包;
所述待识别数据包的字段特征包括:源地址、源端口、事务标识、以及查询域名。
对于装置实施例而言,由于其与方法实施例基本相似,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
在此提供的算法和显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述,构造这类系统所要求的结构是显而易见的。此外,本发明也不针对任何特定编程语言。应当明白,可以利用各种编程语言实现在此描述的本发明的内容,并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。
在此处所提供的说明书中,说明了大量具体细节。然而,能够理解,本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。
类似地,应当理解,为了精简本公开并帮助理解各个发明方面中的一个或多个,在上面对本发明的示例性实施例的描述中,本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释成反映如下意图:即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说,如下面的权利要求书所反映的那样,发明方面在于少于前面公开的单个实施例的所有特征。因此,遵循具体实施方式的权利要求书由此明确地并入该具体实施方式,其中每个权利要求本身都作为本发明的单独实施例。
本领域那些技术人员可以理解,可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件,以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外,可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述,本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。
此外,本领域的技术人员能够理解,尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如,在下面的权利要求书中,所要求保护的实施例的任意之一都可以以任意的组合方式来使用。
本发明的各个部件实施例可以以硬件实现,或者以在一个或者多个处理器上运行的软件模块实现,或者以它们的组合实现。本领域的技术人员应当理解,可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例的僵尸网络家族的识别方法和装置中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如,计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上,或者可以具有一个或者多个信号的形式。这样的信号可以从因特网平台上下载得到,或者在载体信号上提供,或者以任何其他形式提供。
应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制,并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包括”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。
本发明公开了A1、一种僵尸网络家族的识别方法,包括:
对待识别数据包进行聚类,以得到所述待识别数据包对应的数据包类别;
依据所述数据包类别中各待识别数据包的字段特征,生成所述数据包类别对应的待识别特征向量;
利用预置僵尸网络家族的预置特征对所述待识别特征向量进行识别,以得到所述待识别特征向量对应的目标僵尸网络家族。
A2、如A1所述的方法,所述对待识别数据包进行聚类,以得到所述待识别数据包对应的数据包类别的步骤,包括:
按照预置字段特征对所述待识别数据包进行分组,以得到若干数据包分组;其中,所述预置字段特征包括源地址、源端口、以及数据包类型;
针对各数据包分组内待识别数据包的时间戳,将两两间隔小于间隔阈值的待识别数据包划分到同一数据包类别中。
A3、如A2所述的方法,所述方法还包括:
判断所述数据包类别中待识别数据包的数量是否大于数量阈值,若是,则保留所述数据包类别;否则丢弃所述数据包类别;和/或
判断所述数据包类别中待识别数据包的源地址的种类是否大于种类阈值,若是,则保留所述数据包类别;否则丢弃所述数据包类别。
A4、如A1所述的方法,所述依据所述数据包类别中各待识别数据包的字段特征,生成所述数据包类别对应的待识别特征向量的步骤,包括:
依据所述数据包类别中各待识别数据包的字段特征,生成所述待识别数据包对应的包特征向量;
将所述数据包类别中所有待识别数据包对应的包特征向量进行组合,以得到所述数据包类别对应的待识别特征向量。
A5、如A4所述的方法,所述利用预置僵尸网络家族的预置特征对所述待识别特征向量进行识别,以得到所述待识别特征向量对应的目标僵尸网络家族的步骤,包括:
依据所述数据包类别中各待识别数据包对应的包特征向量,生成所述数据包类别对应的包特征矩阵;
确定所述包特征矩阵的列对应的熵值;
判断所述熵值与所述预置特征是否匹配,若匹配,则确定所述待识别数据包对应的目标僵尸网络家族为所述预置特征对应的预置僵尸网络家族。
A6、如A1至A5中任一所述的方法,所述待识别数据包包括原始攻击数据包和/或反向散射数据包;所述方法还包括:
在攻击端收集所述原始攻击数据包;和/或
通过蜜罐或者暗网收集所述反向散射数据包。
A7、如A6所述的方法,所述反向散射数据包包括SYN-ACK数据包;
所述待识别数据包的字段特征包括:源地址、源端口、以及初始序列号。
A8、如A6所述的方法,所述反向散射数据包包括DNS responses数据包;
所述待识别数据包的字段特征包括:源地址、源端口、事务标识、以及查询域名。
本发明公开了B9、一种僵尸网络家族的识别装置,包括:
聚类模块,用于对待识别数据包进行聚类,以得到所述待识别数据包对应的数据包类别;
向量生成模块,用于依据所述数据包类别中各待识别数据包的字段特征,生成所述数据包类别对应的待识别特征向量;
识别模块,用于利用预置僵尸网络家族的预置特征对所述待识别特征向量进行识别,以得到所述待识别特征向量对应的目标僵尸网络家族。
B10、如B9所述的装置,所述聚类模块,包括:
分组子模块,用于按照预置字段特征对所述待识别数据包进行分组,以得到若干数据包分组;其中,所述预置字段特征包括源地址、源端口、以及数据包类型;
划分子模块,用于针对各数据包分组内待识别数据包的时间戳,将两两间隔小于间隔阈值的待识别数据包划分到同一数据包类别中。
B11、如B10所述的装置,所述装置还包括:
第一判断模块,用于判断所述数据包类别中待识别数据包的数量是否大于数量阈值,若是,则保留所述数据包类别;否则丢弃所述数据包类别;和/或
第二判断模块,用于判断所述数据包类别中待识别数据包的源地址的种类是否大于种类阈值,若是,则保留所述数据包类别;否则丢弃所述数据包类别。
B12、如B9所述的装置,所述向量生成模块,包括:
第一生成子模块,用于依据所述数据包类别中各待识别数据包的字段特征,生成所述待识别数据包对应的包特征向量;
第二生成子模块,用于将所述数据包类别中所有待识别数据包对应的包特征向量进行组合,以得到所述数据包类别对应的待识别特征向量。
B13、如B12所述的装置,所述识别模块,包括:
矩阵生成子模块,用于依据所述数据包类别中各待识别数据包对应的包特征向量,生成所述数据包类别对应的包特征矩阵;
熵值确定子模块,用于确定所述包特征矩阵的列对应的熵值;
家族识别子模块,用于判断所述熵值与所述预置特征是否匹配,若匹配,则确定所述待识别数据包对应的目标僵尸网络家族为所述预置特征对应的预置僵尸网络家族。
B14、如权利要求B9至B13中任一所述的装置,所述待识别数据包包括原始攻击数据包和/或反向散射数据包;所述装置还包括:
第一收集模块,用于在攻击端收集所述原始攻击数据包;和/或
第二收集模块,用于通过蜜罐或者暗网收集所述反向散射数据包。
B15、如B14所述的装置,所述反向散射数据包包括SYN-ACK数据包;
所述待识别数据包的字段特征包括:源地址、源端口、以及初始序列号。
B16、如B14所述的装置,所述反向散射数据包包括DNS responses数据包;
所述待识别数据包的字段特征包括:源地址、源端口、事务标识、以及查询域名。
Claims (10)
1.一种僵尸网络家族的识别方法,其特征在于,所述方法包括:
对待识别数据包进行聚类,以得到所述待识别数据包对应的数据包类别;
依据所述数据包类别中各待识别数据包的字段特征,生成所述数据包类别对应的待识别特征向量;
利用预置僵尸网络家族的预置特征对所述待识别特征向量进行识别,以得到所述待识别特征向量对应的目标僵尸网络家族。
2.如权利要求1所述的方法,其特征在于,所述对待识别数据包进行聚类,以得到所述待识别数据包对应的数据包类别的步骤,包括:
按照预置字段特征对所述待识别数据包进行分组,以得到若干数据包分组;其中,所述预置字段特征包括源地址、源端口、以及数据包类型;
针对各数据包分组内待识别数据包的时间戳,将两两间隔小于间隔阈值的待识别数据包划分到同一数据包类别中。
3.如权利要求2所述的方法,其特征在于,所述方法还包括:
判断所述数据包类别中待识别数据包的数量是否大于数量阈值,若是,则保留所述数据包类别;否则丢弃所述数据包类别;和/或
判断所述数据包类别中待识别数据包的源地址的种类是否大于种类阈值,若是,则保留所述数据包类别;否则丢弃所述数据包类别。
4.如权利要求1所述的方法,其特征在于,所述依据所述数据包类别中各待识别数据包的字段特征,生成所述数据包类别对应的待识别特征向量的步骤,包括:
依据所述数据包类别中各待识别数据包的字段特征,生成所述待识别数据包对应的包特征向量;
将所述数据包类别中所有待识别数据包对应的包特征向量进行组合,以得到所述数据包类别对应的待识别特征向量。
5.如权利要求4所述的方法,其特征在于,所述利用预置僵尸网络家族的预置特征对所述待识别特征向量进行识别,以得到所述待识别特征向量对应的目标僵尸网络家族的步骤,包括:
依据所述数据包类别中各待识别数据包对应的包特征向量,生成所述数据包类别对应的包特征矩阵;
确定所述包特征矩阵的列对应的熵值;
判断所述熵值与所述预置特征是否匹配,若匹配,则确定所述待识别数据包对应的目标僵尸网络家族为所述预置特征对应的预置僵尸网络家族。
6.如权利要求1至5中任一所述的方法,其特征在于,所述待识别数据包包括原始攻击数据包和/或反向散射数据包;所述方法还包括:
在攻击端收集所述原始攻击数据包;和/或
通过蜜罐或者暗网收集所述反向散射数据包。
7.如权利要求6所述的方法,其特征在于,所述反向散射数据包包括SYN-ACK数据包;
所述待识别数据包的字段特征包括:源地址、源端口、以及初始序列号。
8.如权利要求6所述的方法,其特征在于,所述反向散射数据包包括DNS responses数据包;
所述待识别数据包的字段特征包括:源地址、源端口、事务标识、以及查询域名。
9.一种僵尸网络家族的识别装置,其特征在于,所述装置包括:
聚类模块,用于对待识别数据包进行聚类,以得到所述待识别数据包对应的数据包类别;
向量生成模块,用于依据所述数据包类别中各待识别数据包的字段特征,生成所述数据包类别对应的待识别特征向量;
识别模块,用于利用预置僵尸网络家族的预置特征对所述待识别特征向量进行识别,以得到所述待识别特征向量对应的目标僵尸网络家族。
10.如权利要求9所述的装置,其特征在于,所述聚类模块,包括:
分组子模块,用于按照预置字段特征对所述待识别数据包进行分组,以得到若干数据包分组;其中,所述预置字段特征包括源地址、源端口、以及数据包类型;
划分子模块,用于针对各数据包分组内待识别数据包的时间戳,将两两间隔小于间隔阈值的待识别数据包划分到同一数据包类别中。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201611250388.6A CN106850571A (zh) | 2016-12-29 | 2016-12-29 | 僵尸网络家族的识别方法和装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201611250388.6A CN106850571A (zh) | 2016-12-29 | 2016-12-29 | 僵尸网络家族的识别方法和装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN106850571A true CN106850571A (zh) | 2017-06-13 |
Family
ID=59115265
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201611250388.6A Pending CN106850571A (zh) | 2016-12-29 | 2016-12-29 | 僵尸网络家族的识别方法和装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN106850571A (zh) |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108173884A (zh) * | 2018-03-20 | 2018-06-15 | 国家计算机网络与信息安全管理中心 | 基于网络攻击伴随行为的DDoS攻击群体分析方法 |
CN108809989A (zh) * | 2018-06-14 | 2018-11-13 | 北京中油瑞飞信息技术有限责任公司 | 一种僵尸网络的检测方法及装置 |
CN109104438A (zh) * | 2018-10-22 | 2018-12-28 | 杭州安恒信息技术股份有限公司 | 一种窄带物联网中的僵尸网络预警方法及装置 |
CN109788079A (zh) * | 2017-11-15 | 2019-05-21 | 瀚思安信(北京)软件技术有限公司 | Dga域名实时检测方法和装置 |
CN109962898A (zh) * | 2017-12-26 | 2019-07-02 | 哈尔滨安天科技股份有限公司 | 僵尸网络控制节点的检测方法及装置 |
CN110798482A (zh) * | 2019-11-11 | 2020-02-14 | 杭州安恒信息技术股份有限公司 | 基于linux网络过滤器的系统级蜜罐网络隔离系统 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101753377A (zh) * | 2009-12-29 | 2010-06-23 | 吉林大学 | 一种p2p_botnet实时检测方法及系统 |
WO2010108422A1 (zh) * | 2009-03-23 | 2010-09-30 | 华为技术有限公司 | 检测僵尸主机的方法、装置和系统 |
CN102333313A (zh) * | 2011-10-18 | 2012-01-25 | 中国科学院计算技术研究所 | 移动僵尸网络特征码生成方法和移动僵尸网络检测方法 |
CN103297433A (zh) * | 2013-05-29 | 2013-09-11 | 中国科学院计算技术研究所 | 基于网络数据流的http僵尸网络检测方法及系统 |
CN105007271A (zh) * | 2015-07-17 | 2015-10-28 | 中国科学院信息工程研究所 | 一种DDoS攻击僵尸网络的识别方法及系统 |
-
2016
- 2016-12-29 CN CN201611250388.6A patent/CN106850571A/zh active Pending
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2010108422A1 (zh) * | 2009-03-23 | 2010-09-30 | 华为技术有限公司 | 检测僵尸主机的方法、装置和系统 |
CN101753377A (zh) * | 2009-12-29 | 2010-06-23 | 吉林大学 | 一种p2p_botnet实时检测方法及系统 |
CN102333313A (zh) * | 2011-10-18 | 2012-01-25 | 中国科学院计算技术研究所 | 移动僵尸网络特征码生成方法和移动僵尸网络检测方法 |
CN103297433A (zh) * | 2013-05-29 | 2013-09-11 | 中国科学院计算技术研究所 | 基于网络数据流的http僵尸网络检测方法及系统 |
CN105007271A (zh) * | 2015-07-17 | 2015-10-28 | 中国科学院信息工程研究所 | 一种DDoS攻击僵尸网络的识别方法及系统 |
Cited By (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109788079A (zh) * | 2017-11-15 | 2019-05-21 | 瀚思安信(北京)软件技术有限公司 | Dga域名实时检测方法和装置 |
CN109962898A (zh) * | 2017-12-26 | 2019-07-02 | 哈尔滨安天科技股份有限公司 | 僵尸网络控制节点的检测方法及装置 |
CN109962898B (zh) * | 2017-12-26 | 2022-04-01 | 安天科技集团股份有限公司 | 僵尸网络控制节点的检测方法及装置 |
CN108173884A (zh) * | 2018-03-20 | 2018-06-15 | 国家计算机网络与信息安全管理中心 | 基于网络攻击伴随行为的DDoS攻击群体分析方法 |
CN108173884B (zh) * | 2018-03-20 | 2021-05-04 | 国家计算机网络与信息安全管理中心 | 基于网络攻击伴随行为的DDoS攻击群体分析方法 |
CN108809989A (zh) * | 2018-06-14 | 2018-11-13 | 北京中油瑞飞信息技术有限责任公司 | 一种僵尸网络的检测方法及装置 |
CN108809989B (zh) * | 2018-06-14 | 2021-04-23 | 北京中油瑞飞信息技术有限责任公司 | 一种僵尸网络的检测方法及装置 |
CN109104438A (zh) * | 2018-10-22 | 2018-12-28 | 杭州安恒信息技术股份有限公司 | 一种窄带物联网中的僵尸网络预警方法及装置 |
CN110798482A (zh) * | 2019-11-11 | 2020-02-14 | 杭州安恒信息技术股份有限公司 | 基于linux网络过滤器的系统级蜜罐网络隔离系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN106850571A (zh) | 僵尸网络家族的识别方法和装置 | |
CN109951500B (zh) | 网络攻击检测方法及装置 | |
US8042182B2 (en) | Method and system for network intrusion detection, related network and computer program product | |
CN105915532B (zh) | 一种失陷主机的识别方法及装置 | |
Indre et al. | Detection and prevention system against cyber attacks and botnet malware for information systems and Internet of Things | |
Zarras et al. | Automated generation of models for fast and precise detection of HTTP-based malware | |
Fraunholz et al. | Investigation of cyber crime conducted by abusing weak or default passwords with a medium interaction honeypot | |
CN104135474B (zh) | 基于主机出入度的网络异常行为检测方法 | |
JP7388613B2 (ja) | パケット処理方法及び装置、デバイス、並びに、コンピュータ可読ストレージ媒体 | |
CN107018084A (zh) | 基于sdn架构的ddos攻击防御网络安全系统和方法 | |
Mohammed et al. | Honeycyber: Automated signature generation for zero-day polymorphic worms | |
Grill et al. | Malware detection using http user-agent discrepancy identification | |
CN106302450A (zh) | 一种基于ddos攻击中恶意地址的检测方法及装置 | |
US10630708B2 (en) | Embedded device and method of processing network communication data | |
CN113572730A (zh) | 一种基于web的主动自动诱捕蜜罐的实现方法 | |
KR101210622B1 (ko) | Ip 공유기를 검출하는 방법 및 이를 수행하는 시스템 | |
CN108566384A (zh) | 一种流量攻击防护方法、装置、防护服务器及存储介质 | |
Haddadi et al. | How to choose from different botnet detection systems? | |
WO2013097600A1 (zh) | 签名库的匹配路径生成方法及相关装置 | |
CN112788065B (zh) | 一种基于蜜罐和沙箱的物联网僵尸网络追踪方法及装置 | |
Naik et al. | Vigilant dynamic honeypot assisted by dynamic fuzzy rule interpolation | |
KR20110029340A (ko) | 분산 서비스 거부 공격의 방어 시스템 | |
JP6538618B2 (ja) | 管理装置及び管理方法 | |
Sun et al. | A rough set approach for automatic key attributes identification of zero-day polymorphic worms | |
CN114978663A (zh) | 基于行为伪装的互联网安全服务系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20170613 |
|
WD01 | Invention patent application deemed withdrawn after publication |