CN107733867B - 一种发现僵尸网络及防护的方法、系统和存储介质 - Google Patents
一种发现僵尸网络及防护的方法、系统和存储介质 Download PDFInfo
- Publication number
- CN107733867B CN107733867B CN201710817337.5A CN201710817337A CN107733867B CN 107733867 B CN107733867 B CN 107733867B CN 201710817337 A CN201710817337 A CN 201710817337A CN 107733867 B CN107733867 B CN 107733867B
- Authority
- CN
- China
- Prior art keywords
- address
- botnet
- suspicious
- dns
- cloud server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Information Transfer Between Computers (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种发现僵尸网络及防护的方法和系统,用以解决现有技术中发现僵尸网络的难度高、效率低,不能有效防止僵尸网络发起攻击的技术问题。其中,流量清洗设备将确定出的至少一个可疑IP地址发送至云服务器,云服务器将至少一个可疑IP地址发送至DNS分析设备,DNS分析设备基于至少一个可疑IP地址的DNS查询记录,确定是否存在僵尸网络,在DNS分析设备确定出存在的僵尸网络后,DNS分析设备可以阻断已确定的僵尸网络中的通信,云服务器可以更新自身的僵尸IP地址数据库,流量清洗设备可以根据更新后的僵尸IP地址数据库进行流量监控、流量清洗。
Description
技术领域
本发明涉及信息安全技术领域,尤其涉及一种发现僵尸网络及防护的方法和系统。
背景技术
僵尸网络(Botnet,又称机器人网络),指骇客利用感染僵尸程序(一种计算机病毒)的电脑等设备组织成一个个受控节点,通过控制服务器(Command and ControlServer,又称C&C、C2)对各受控节点操控的计算机网络。图1所示为一种僵尸网络的拓扑结构示意图。
僵尸网络中的各个受控节点通过向预定攻击目标发送伪造数据包或垃圾数据包,使预定攻击目标瘫痪并拒绝服务(DoS,Denial of Service)。通过僵尸网络发起的DoS攻击为分布式拒绝服务(DDoS,Distributed Denial of Service) 攻击,进行攻击的各个受控节点均具有真实的源IP地址。
现有技术中,通常由网络运营商对访问主要路由节点的大量IP地址进行 DNS流量分析,发现网络中可能存在的僵尸网络。然而,由于需要分析的数据量庞大,并且僵尸网络中受控节点的位置分布毫无规律,导致现有技术中发现僵尸网络的难度高、效率低,并且,由僵尸网络发起的DDoS攻击,也不能有效防护。
发明内容
本发明实施例提供一种发现僵尸网络及防护的方法和系统,用以解决现有技术中发现僵尸网络的难度高、效率低,不能有效防止僵尸网络发起攻击的技术问题。
第一方面,提供一种发现僵尸网络的方法,所述方法包括:
流量清洗设备将确定出的至少一个可疑IP地址发送至云服务器;
所述云服务器将所述至少一个可疑IP地址发送至DNS分析设备;
所述DNS分析设备基于所述至少一个可疑IP地址,确定是否存在僵尸网络。
在一种可能的实现方式中,所述方法还包括:
在确定存在所述僵尸网络时,所述DNS分析设备获得所述僵尸网络包括的至少一个僵尸IP地址,并向所述云服务器发送所述至少一个僵尸IP地址;
所述云服务器根据所述至少一个僵尸IP地址,更新自身用于存储僵尸IP 地址的僵尸IP地址数据库。
在一种可能的实现方式中,所述方法还包括:
在确定存在所述僵尸网络时,所述DNS分析设备获得所述僵尸网络包括的至少一个控制服务器域名;
所述DNS分析设备阻断用于查询所述至少一个控制服务器域名中任一控制服务器域名的DNS查询流量。
在一种可能的实现方式中,所述流量清洗设备将确定出的至少一个可疑IP 地址发送至云服务器,包括:
所述流量清洗设备将访问待保护设备的访问流量的访问行为信息,与流量基线进行比较,确定所述访问流量中存在异常访问行为的异常流量;
所述流量清洗设备通过所述云服务器,查询所述云服务器的僵尸IP地址数据库是否包括所述异常流量的源IP地址;
在为否时,所述流量清洗设备确定所述异常流量为可疑流量,并将所述可疑流量的至少一个源IP地址发送至所述云服务器;
在为是时,所述流量清洗设备阻断来自所述异常流量的源IP地址的流量。
在一种可能的实现方式中,所述DNS分析设备基于所述至少一个可疑IP 地址,确定是否存在僵尸网络,包括:
所述DNS分析设备通过分析所述至少一个可疑IP地址中各个可疑IP地址的DNS查询记录,判断所述各个可疑IP地址的DNS查询行为是否符合僵尸 IP地址的DNS查询行为特征,获得第一判断结果;和/或
判断所述各个可疑IP地址所查询的域名是否符合控制服务器域名的特征,获得第二判断结果;
所述DNS分析设备至少基于所述第一判断结果和/或所述第二判断结果,确定是否存在僵尸网络。
第二方面,提供一种发现僵尸网络的系统,所述系统包括流量清洗设备、云服务器和DNS分析设备,其中:
所述流量清洗设备,用于将确定出的至少一个可疑IP地址发送至所述云服务器;
所述云服务器,用于将所述至少一个可疑IP地址发送至所述DNS分析设备;
所述DNS分析设备,用于基于所述至少一个可疑IP地址,确定是否存在僵尸网络。
在一种可能的实现方式中,所述DNS分析设备还用于:
在确定存在所述僵尸网络时,获得所述僵尸网络包括的至少一个僵尸IP 地址,并向所述云服务器发送所述至少一个僵尸IP地址;
所述云服务器还用于:根据所述至少一个僵尸IP地址,更新自身用于存储僵尸IP地址的僵尸IP地址数据库。
在一种可能的实现方式中,所述DNS分析设备还用于:
在确定存在所述僵尸网络时,获得所述僵尸网络包括的至少一个控制服务器域名;以及
阻断用于查询所述至少一个控制服务器域名中任一控制服务器域名的 DNS查询流量。
在一种可能的实现方式中,所述流量清洗设备用于:
将访问待保护设备的访问流量的访问行为信息,与流量基线进行比较,确定所述访问流量中存在异常访问行为的异常流量;
通过所述云服务器,查询所述云服务器的僵尸IP地址数据库是否包括所述异常流量的源IP地址;
在为否时,确定所述异常流量为可疑流量,并将所述可疑流量的至少一个源IP地址发送至所述云服务器;
在为是时,阻断来自所述异常流量的源IP地址的流量。
在一种可能的实现方式中,所述DNS分析设备用于:
通过分析所述至少一个可疑IP地址中各个可疑IP地址的DNS查询记录,判断所述各个可疑IP地址的DNS查询行为是否符合僵尸IP地址的DNS查询行为特征,获得第一判断结果;和/或
判断所述各个可疑IP地址所查询的域名是否符合控制服务器域名的特征,获得第二判断结果;
至少基于所述第一判断结果和/或所述第二判断结果,确定是否存在僵尸网络。
第三方面,提供一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,当所述计算机程序被加载并运行时,执行如第一方面所述的发现僵尸网络的方法。
本发明实施例中,流量清洗设备确定出至少一个可疑IP地址后,将这些可疑IP地址发送至云服务器,云服务器将获得的至少一个可疑IP地址发送至 DNS分析设备,DNS分析设备基于从云服务器获得的至少一个可疑IP地址,确定是否存在僵尸网络。也就是说,本发明实施例提供的发现僵尸网络的方法中,形成了流量清洗设备、云服务器和DNS分析设备间发现僵尸网络的闭环,通过这一闭环,可以及时有效地发现可能存在的僵尸网络。
进一步地,本发明实施例中,DNS分析设备基于已经确定出的可疑IP地址确定是否存在僵尸网络,相较于现有技术中对毫无规律的大量IP地址进行 DNS流量分析的方式,本发明实施例中DNS分析设备在确定是否存在僵尸网络更加的有针对性,可以更加高效、准确地发现可能存在的僵尸网络,并且,由于缩小了DNS分析设备的分析范围,因而可以降低DNS分析设备进行DNS 流量分析的负担。
进一步地,本发明实施例中,在确定存在僵尸网络时,通过更新云服务器中僵尸IP地址数据库、阻断查询控制服务器域名的DNS查询流量等方式,瓦解僵尸网络,流量清洗设备可以根据僵尸IP地址数据库,识别攻击流量的僵尸主机,并阻断流量,防止待保护设备遭受僵尸网络攻击。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为现有技术中一种僵尸网络的拓扑结构示意图;
图2为本发明实施例中发现僵尸网络的方法的一种应用场景的网络拓扑结构示意图;
图3为本发明实施例中发现僵尸网络的方法的流程图;
图4为本发明实施例中发现僵尸网络的系统的连接关系示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。在不冲突的情况下,本发明中的实施例及实施例中的特征可以相互任意组合。并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
另外,本文中术语“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,本文中字符“/”,在不做特别说明的情况下,一般表示前后关联对象是一种“或”的关系。
第一方面,请参见图2,图2所示为本发明实施例中发现僵尸网络的方法的一种应用场景的网络拓扑结构示意图。其中,流量清洗设备、云服务器和 DNS分析设备通过网络连接,相互间可以进行通信。待保护设备位于流量清洗设备的网络后端,也就是说,访问待保护设备的访问流量需要经由流量清洗设备。DNS分析设备位于DNS服务器的网络前端,也就是说,访问DNS服务器的DNS查询流量需要经由DNS分析设备。
在具体的实施过程中,将待保护设备置于流量清洗设备的网络后端的实现方式有多种,可以是改变待保护设备与网络的物理连接关系,使得访问流量在物理链路上必须经过流量清洗设备;也可以是改变访问流量的路由规则,使得访问流量在路由规则上需要先经由流量清洗设备再到达待保护设备,等等。同样,将DNS分析设备置于DNS服务器的网络前端同样可以通过多种方式来实现,例如改变物理链路,改变路由规则,等等。
如图2所示,该应用场景下还包括有连接到网络的用户终端,用户终端可以通过网络向DNS服务器发送DNS查询数据包以查询某个域名对应的IP地址,也可以通过网络向待保护设备发送访问数据包以访问待保护设备,DNS 查询数据包在网络中传输形成DNS查询流量,访问数据包在网络中传输形成访问流量。如图2所示的n个用户终端中可以包括有正常的用户终端,也可以包括有感染僵尸程序的僵尸用户终端。其中,僵尸用户终端即为僵尸网络中一个受控节点,其在网络中用于通信的IP地址为僵尸IP地址。
在具体的实施过程中,图2所示的用户终端可以是手机、服务器、平板电脑、个人计算机、可穿戴式设备、智能家电等能够进行数据传输、处理的设备,本发明实施例中对于用户终端具体为何种设备不做限制。
为了更好的理解上述技术方案,下面将结合说明书附图以及具体的实施方式对上述技术方案进行详细的说明。
请参见图3,本发明实施例中的发现僵尸网络的方法的流程描述如下。
步骤301:流量清洗设备将确定出的至少一个可疑IP地址发送至云服务器。
本发明实施例中,流量清洗设备可以是具有对数据包进行解析、识别功能的网关、路由器等网络连接设备,也可以是如图1所示的流量清洗设备。本发明实施例中对于流量清洗设备在外观、物理结构上为何种设备不做限制。
通过对访问待保护设备的访问流量进行监控,流量清洗设备可以确定出访问流量中存在的可疑流量,可疑流量例如可以是访问流量中存在异常访问行为但无法确定为攻击流量的流量。其中,待保护设备可以是某种用户终端、整个局域网络,等等。在具体的实施过程中,流量清洗设备可以通过检测流量大小、检测数据包特征、检测会话、动态基线比较等方式中的一种或多种方式确定出访问流量中存在的可疑流量。
在具体的实施过程中,流量清洗设备在确定出可疑流量后,可以针对可疑流量采取多种处理方式。例如可以对来自可疑流量的源IP地址的流量进行限速处理,以在一定程度上缓解待保护设备的数据处理压力。但是,当发生DDoS 攻击时,由于受控节点数量巨大,因而进行限速处理的作用有限,并且无法根本地阻绝来自受控节点的攻击。
本发明实施例中,流量清洗设备在确定出可疑流量后,可以向云服务器发送确定出的可疑流量对应的可疑IP地址,该可疑IP地址即为可疑流量的源IP 地址。并且,本发明实施例中,流量清洗设备在确定出可疑流量后,可以进行限速处理,也向云服务器发送可疑IP地址;当然,流量清洗设备也可以只是向云服务器发送可疑IP地址,而不进行限速处理。
在具体的实施过程中,流量清洗设备可以是每确定出一个可疑IP地址,就像云服务器发送该可疑IP地址;流量清洗设备也可以是在确定出的可疑IP 地址达到一预设数量后,将这预设数量个可疑IP地址统一发送至云服务器;流量清洗设备还可以是每隔一预设时间段向云服务器统一发送这一预设时间段内确定出的可疑IP地址,等等,本发明实施例对此不做限制。
在一种可能的实施方式中,流量清洗设备将确定出的至少一个可疑IP地址发送至云服务器,可以通过如下的步骤实现:
第一步:流量清洗设备将访问待保护设备的访问流量的访问行为信息,与流量基线进行比较,确定访问流量中存在异常访问行为的异常流量。
本发明实施例中,访问流量的访问行为信息中可以包括有用于记录访问流量的访问行为的信息,例如可以包括有访问流量的访问频率、访问次数、所访问的内容等信息。一个访问流量的访问行为信息可以记录该访问流量的源IP 地址在单次或一段时间内访问待保护设备的具体访问行为。
其中,流量基线可以是基于访问待保护设备的历史访问流量中的正常流量建立的访问行为特征模型。在具体的实施过程中,流量基线至少可以包括两种,一种是基于用户设备的防护基线,另一种是基于待保护设备的防护基线。基于用户设备的流量基线主要用于判断访问流量在访问频率、访问次数等与待保护设备关联性较低的访问行为上是否存在异常;基于待保护设备的流量基线主要用于判断访问流量在访问待保护设备时所访问的内容、访问位置等与待保护设备关联性较强的访问行为是否存在异常。
在具体的实施过程中,流量清洗设备可以基于前述的流量基线中的一种或多种流量基线比较访问行为信息。
第二步:流量清洗设备通过云服务器,查询云服务器的僵尸IP地址数据库是否包括异常流量的源IP地址。
本发明实施例中,云服务器中可以包括有用于存储僵尸IP地址的僵尸IP 地址数据库。该僵尸IP地址数据库中的僵尸IP地址可以是由人工进行添加的,也可以是云服务器定期从互联网获得的,也可以是从本发明实施例中的DNS 分析设备获得的,等等。
流量清洗设备在确定异常流量后,自身可能无法进一步确定异常流量是否就是可疑流量,因而,流量清洗设备可以查询云服务器包括的僵尸IP地址数据库中是否包括有异常流量的源IP地址。其中,在为是时,表示所查询的异常流量的源IP地址为僵尸IP地址;在为否时,表明异常流量的源IP地址未被记录为僵尸IP地址,即该异常流量的源IP地址可能是正常流量对应的源IP地址,也可能是尚未发现该异常流量的源IP地址为僵尸IP地址。
第三步:在为否时,流量清洗设备就可以确定异常流量为可疑流量,并将可疑流量的至少一个源IP地址发送至云服务器;在为是时,流量清洗设备阻断来自异常流量的源IP地址的流量。
也就是说,在为是时,流量清洗设备可以确定该异常流量为来自僵尸IP 地址的流量,进而对来自该僵尸IP地址的流量进行清洗。
在具体的实施过程中,可疑流量可以包括有来自一个或多个源IP地址的流量,因而可疑流量可以对应于一个或多个源IP地址。
步骤302:云服务器将至少一个可疑IP地址发送至DNS分析设备。
本发明实施例中,云服务器从流量清洗设备接收到可疑IP地址后,可以将接收到的可疑IP地址发送至DNS分析设备。
在具体的实施过程中,云服务器可以与一个或多个流量清洗设备连接。当云服务器仅与一个流量清洗设备连接时,云服务器向DNS分析设备发送的至少一个可疑IP地址均来自同一个流量清洗设备;当云服务器器与多个流量清洗设备连接时,云服务器向DNS分析设备发送的至少一个可疑IP地址除了可以是来自同一个流量清洗设备的,也可以是来自不同的流量清洗设备的。
并且,在具体的实施过程中,云服务器可以对获得的可疑IP地址做进一步的整理,例如,云服务器可以将获得的可疑IP地址以可疑IP地址所属地区进行分类,也可以将获得的可疑IP地址以可疑IP地址所属DNS服务器进行分类,也可以将获得的可疑IP地址以可疑IP地址所属运营商进行分类,还可以以流量清洗设备确定出可疑IP地址的时间对获得的可疑IP地址进行分类,即可以将同一时刻/时间段确定出可疑IP地址划分为同一类,等等。进而,云服务器可以以类别为单元,向DNS分析设备发送可疑IP地址。
在具体的实施过程中,云服务器可以与一个或多个DNS分析设备连接。当云服务器与多个DNS分析设备连接时,云服务器可以根据可疑IP地址的分类,以类别为单元,向类别所对应的DNS分析设备发送属于该类别可疑IP地址。例如,某类可疑IP地址所属地区均为北京市朝阳区,则云服务器可以将该类的可疑IP地址发送至北京市朝阳区对应的DNS分析设备。
在具体的实施过程中,云服务器可以以预设的格式将至少一个可疑IP地址发送至DNS分析设备。例如,云服务器可以将需要发送的至少一个可疑IP 地址生成一可疑IP地址列表,进而,云服务器可以向DNS分析设备发送该可疑IP地址列表,等等。
本发明实施例中,在步骤301和步骤302之后,还可以包括:在确定存在所述僵尸网络时,DNS分析设备获得僵尸网络包括的至少一个僵尸IP地址; DNS分析设备向云服务器发送至少一个僵尸IP地址,用于云服务器更新自身存储僵尸IP地址的僵尸IP地址数据库,以在流量清洗设备通过云服务器确定可疑IP地址时,流量清洗设备基于更新后的僵尸IP地址数据库识别僵尸IP地址,并添加识别出的僵尸IP地址至本地黑名单。
本发明实施例中,在步骤301和步骤302之后,还可以包括:在确定存在所述僵尸网络时,DNS分析设备获得僵尸网络包括的至少一个控制服务器域名,并阻断用于查询至少一个控制服务器域名中任一控制服务器域名的DNS查询流量。
在一种可能的实施方式中,云服务器和DNS分析设备可以是同一个设备,例如,DNS分析设备可以具有云服务器的功能。该种情况下,流量清洗设备可以直接向DNS设备,省去中间的中转过程,提高发现僵尸网络的效率。
步骤303:DNS分析设备基于至少一个可疑IP地址,确定是否存在僵尸网络。
本发明实施例中,DNS分析设备从云服务器接收到至少一个可疑IP地址后,就可以基于这至少一个可疑IP地址,确定是否存在僵尸网络,并且,DNS 分析设备在确定存在僵尸网络的同时,还可以确定出该僵尸网络的控制主机域名、控制主机域名对应的IP地址,受控节点的IP地址(即僵尸IP地址),僵尸网络的拓扑结构,等等。
在具体的实施过程中,在确定出存在僵尸网络时,DNS分析设备可以判断出用于分析的至少一个可疑IP地址中哪些IP地址属于该僵尸网络。而在未确定出僵尸网络时,一种可能的原因是这些用于分析的至少一个可疑IP地址均为正常的IP地址,即这些IP地址所属的用户终端未感染僵尸程序,还有一种可能的原因是这些用于分析的至少一个可疑IP中存在僵尸IP地址,不过由于 DNS分析设备的判断能力有限,或由于可疑IP地址数量太少等因素导致未检测出存在的僵尸IP地址,等等。
在一种可能的实施方式中,DNS分析设备基于至少一个可疑IP地址,确定是否存在僵尸网络,可以通过如下的方式实现:
DNS分析设备分析至少一个可疑IP地址中各个可疑IP地址的DNS查询记录,例如对各个可疑IP地址的历史DNS查询行为进行分析,又例如对一预设的时间段内可疑IP地址的DNS查询行为进行分析,该预设的时间段可以包括获得可疑IP地址前的时间段,也可以包括获得可疑IP地址后的时间段。通过对DNS查询记录的分析、判断,可以确定是否存在僵尸网络。
在具体的实施过程中,DNS分析设备对各个可疑IP地址的DNS查询记录进行分析可以包括多种方式,本发明实施例中对于具体采用何种方式对各个可疑IP地址的DNS查询记录进行分析不做限制,并且,在具体实施过程中,DNS 分析设备可以仅采用其中的一种进行分析,也可以同步采用多种方式进行分析,等等。以下以其中的两种方式进行举例:
第一种方式:判断各个可疑IP地址的DNS查询行为是否符合僵尸IP地址的DNS查询行为特征,获得第一判断结果。
举例来说,可以判断僵尸IP地址是否长期保持对同一域名进行DNS查询,僵尸IP地址的DNS查询行为是否为周期性查询,进行查询时的TTL(Time To Live,生存时间)值是否低于预设TTL阈值,等等。
第二种方式:判断各个可疑IP地址所查询的域名是否符合控制服务器域名的特征,获得第二判断结果。
举例来说,可以对各个可疑IP地址所查询的各个域名进行判断,如判断域名对应的IP地址在地理位置上是否分散,域名的注册时间是否低于预设注册时间阈值,域名是否符合通常的域名设置规则,等等。
进而,DNS分析设备可以至少基于获得的第一判断结果和/或所述第二判断结果,确定是否存在僵尸网络。
在具体的实施过程中,当DNS分析设备所分析的至少一个可疑IP地址为多个可疑IP地址时,DNS分析设备对各个可疑IP地址的历史DNS查询行为进行分析可以是对多个可疑IP地址的共性和特征进行分析。
在一种可能的实施方式中,DNS分析设备在确定存在僵尸网络时,还可以获得僵尸网络包括的至少一个僵尸IP地址,并向云服务器发送获得的至少一个僵尸IP地址,进而,云服务器可以根据至少一个僵尸IP地址,更新自身用于存储僵尸IP地址的僵尸IP地址数据库。
本发明实施例中,DNS分析设备通过前述的对至少一个可疑IP地址进行的分析,一方面可以确定是否存在僵尸网络,另一方面还可以在确定存在僵尸网络时,确定出僵尸网络包括的至少一个僵尸IP地址,并且,DNS分析设备可以将确定出的至少一个僵尸IP地址发送至云服务器。
在具体的实施过程中,DNS分析设备可以是生成包括确定出的至少一个僵尸IP地址的僵尸IP地址列表,再向云服务器发送这个僵尸IP地址列表,等等。本发明实施例中对于DNS分析设备具体采用何种方式向云服务器发送确定出的至少一个僵尸IP地址不做限制
云服务器获得DNS分析设备发送的至少一个僵尸IP地址后,就可以根据这至少一个僵尸IP地址对自身的僵尸IP地址数据库进行更新。例如,云服务器可以将获得的至少一个僵尸IP地址添加到僵尸IP地址数据库中,也可以将获得的至少一个僵尸IP地址发布到互联网,等等。并且,在更新僵尸IP地址数据库之前,云服务器还可以对这些僵尸IP地址做进一步的校验,判断这些僵尸IP地址是否为真正的僵尸IP地址,具体来说,可以采用人工校验的方式,也可以采用数据分析、模型比较的方式,等等。
云服务器更新僵尸IP地址数据库后,当流量清洗设备再次遇到已经被确定为僵尸IP地址的可疑IP地址时,就可以在查询僵尸IP地址数据库后直接判断出该IP地址为僵尸IP地址。进而,流量清洗设备可以阻断该僵尸IP地址对待保护设备的访问流量,达到清洗流量的效果。一种可能的实施方式中,流量清洗设备可以在查询到某个可疑IP地址为僵尸IP地址时,将该僵尸IP地址添加到自身的黑名单,等等。
本发明实施例中,云服务器连接的DNS分析设备为多个时,云服务器可以从多个DNS分析设备获得发现的僵尸IP地址,实现僵尸IP地址数据共享,提高了整个系统防护僵尸网络的能力;同样,云服务器连接的流量清洗设备为多个时,其中的每个流量清洗设备除了可以在云服务器查询到根据自己确定的可疑IP地址确定出的僵尸IP地址,还可以查询到根据其它所有流量清洗设备确定的可疑IP地址确定出的僵尸IP地址,实现僵尸IP地址数据共享,提高了整个系统防护僵尸网络的能力。
在一种可能的实施方式中,DNS分析设备在确定存在所述僵尸网络时, DNS分析设备还可以获得僵尸网络包括的至少一个控制服务器域名,进而, DNS分析设备可以采取进一步的措施以阻断用于查询至少一个查询中任一控制服务器域名的DNS查询流量。
在具体的实施过程中,阻断访问查询控制服务器域名的DNS查询流量的方式有多种,以下以其中三种进行举例说明,并且,DNS分析设备可以同步采用其中的一种或多种阻断DNS查询流量。应当说明的是,下述的三种方式仅为举例,本发明实施例中的DNS分析设备除下述的三种方式外,还可以采用其它可行的阻断DNS查询流量的方式。
第一种阻断方式,DNS分析设备阻断经过自身去查询控制服务器域名的 DNS查询流量。例如,查询控制服务器域名的DNS查询流量需要经由DNS 分析设备时,DNS分析设备可以该DNS查询流量的数据包丢弃,等等。
第二种阻断方式,DNS分析设备可以向其它DNS分析设备发送确定出的控制服务器域名,进而其它DNS分析设备可以同步阻断查询控制服务器域名的DNS查询流量,达到更好的阻断效果。
第三种阻断方式,DNS分析设备可以将控制服务器域名上报给网络运营商,进而,可以通过网络运营商对控制服务器域名进行封锁。
本发明实施例中的发现僵尸网络的方法的主要原理可以是:通过增加“云服务器”,“DNS分析设备”,实现从流量清洗设备发现可疑僵尸主机,上传到“云服务器”形成怀疑主机列表,并同步将怀疑主机列表下发到“DNS分析设备”做DNS行为分析识别,“DNS分析设备”通过分析指定范围主机的DNS 行为的共性和特征做精确识别,形成僵尸网络主机(对应于僵尸IP地址)和控制服务器(对应于控制服务器域名)报表,并把僵尸网络主机列表反馈到“云服务器”形成信誉数据,供流量清洗设备防护查询使用,达到有效的识别僵尸网络,并及时阻断僵尸网络发起的攻击行为。
可见,本发明实施例中的发现僵尸网络的方法即可以包括发现僵尸网络的部分,也可以包括有防护的部分。
在一种可能的实施方式中,本发明实施例中的发现僵尸网络的方法可以通过如下的步骤实现:
(1)流量清洗设备通过基于防护对象的流量基线发现DDoS攻击行为;
(2)流量清洗设备通过基于用户的流量基线发现可疑的僵尸网络主机攻击行为;
(3)流量清洗设备查询云服务器的信誉IP表,识别可疑的僵尸网络主机是否是已知的僵尸主机,如果是未知的怀疑僵尸则上报到云服务器;
(4)云服务器下发该可疑主机给DNS分析设备;
(5)DNS分析设备,通过对指定的僵尸主机列表挖掘分析流量特性,识别出僵尸网络,并即时阻断僵尸网络主机到控制服务器的DNS查询过程,从而阻止僵尸网络的传播过程,并把确认的僵尸主机列表返回给云安全服务器;
(6)云安全主机接收返回僵尸主机列表形成信誉云数据,供流量清洗设备查询使用;
(7)清洗设备查询更新后的信誉云数据,确定僵尸网络主机,通过添加黑名单阻止攻击流量。
本发明实施例中,流量清洗设备确定出至少一个可疑IP地址后,将这些可疑IP地址发送至云服务器,云服务器将获得的至少一个可疑IP地址发送至 DNS分析设备,DNS分析设备基于从云服务器获得的至少一个可疑IP地址,确定是否存在僵尸网络。也就是说,本发明实施例提供的发现僵尸网络的方法中,形成了流量清洗设备、云服务器和DNS分析设备间发现僵尸网络的闭环,通过这一闭环,可以及时有效地发现可能存在的僵尸网络。
进一步地,本发明实施例中,DNS分析设备基于已经确定出的可疑IP地址确定是否存在僵尸网络,相较于现有技术中对毫无规律的大量IP地址进行 DNS流量分析的方式,本发明实施例中DNS分析设备在确定是否存在僵尸网络更加的有针对性,可以更加高效、准确地发现可能存在的僵尸网络,并且,由于缩小了DNS分析设备的分析范围,因而可以降低DNS分析设备进行DNS 流量分析的负担。
进一步地,本发明实施例中,在确定存在僵尸网络时,通过更新云服务器中僵尸IP地址数据库、阻断查询控制服务器域名的DNS查询流量等方式,可以提高流量清洗设备识别攻击流量的准确度,阻断受控节点和控制服务器之间的通信,瓦解僵尸网络,防止待保护设备继续受到攻击。
本发明实施例中,相较于现有技术,在部署上增加云服务器,实现信誉云 IP数据共享,增加DNS分析设备,实现可疑僵尸主机的及时分析发现;
并且,DNS分析设备通过僵尸主机的DNS查询的共性有效识别出僵尸网络,并及时阻断僵尸主机和僵尸控制服务器的通信;
并且,通过流量清洗设备,云服务器,DNS分析设备的实时联动实现对僵尸网络主机发起的DDoS的攻击的识别和有效防护。
第二方面,请参见图4,基于同一发明构思,本发明实施例还提供一种发现僵尸网络的系统,该系统包括流量清洗设备401、云服务器402和DNS分析设备403。其中,云服务器402分别与流量清洗设备401、DNS分析设备403 连接,当然,在具体的实施过程中,流量清洗设备401、云服务器402和DNS 分析设备403也可以如图2所示通过网络相互连接。本发明实施例中,该发现僵尸网络的系统可以应用于如图2所示的应用场景,执行第一方面所述的发现僵尸网络的方法,并且,发现僵尸网络的系统在执行发现僵尸网络的方法时的具体执行过程可以参照第一方面中的描述,在此不再赘述。其中:
流量清洗设备401,用于将确定出的至少一个可疑IP地址发送至云服务器 402;
云服务器402,用于将至少一个可疑IP地址发送至DNS分析设备403;
DNS分析设备403,用于基于至少一个可疑IP地址,确定是否存在僵尸网络。
在一种可能的实施方式中,DNS分析设备403还用于:
在确定存在僵尸网络时,获得僵尸网络包括的至少一个僵尸IP地址,并向云服务器402发送至少一个僵尸IP地址;
云服务器402还用于:根据至少一个僵尸IP地址,更新自身用于存储僵尸IP地址的僵尸IP地址数据库。
在一种可能的实施方式中,DNS分析设备403还用于:
在确定存在僵尸网络时,获得僵尸网络包括的至少一个控制服务器域名;
以及
阻断用于查询至少一个控制服务器域名中任一控制服务器域名的DNS查询流量。
在一种可能的实施方式中,流量清洗设备401用于:
将访问待保护设备的访问流量的访问行为信息,与流量基线进行比较,确定访问流量中存在异常访问行为的异常流量;
通过云服务器402,查询云服务器402的僵尸IP地址数据库是否包括异常流量的源IP地址;
在为否时,确定异常流量为可疑流量,并将可疑流量的至少一个源IP地址发送至云服务器402;
在为是时,阻断来自该异常流量的源IP地址的流量。
在一种可能的实施方式中,DNS分析设备403用于:
通过分析至少一个可疑IP地址中各个可疑IP地址的DNS查询记录,判断各个可疑IP地址的DNS查询行为是否符合僵尸IP地址的DNS查询行为特征,获得第一判断结果;和/或
判断各个可疑IP地址所查询的域名是否符合控制服务器域名的特征,获得第二判断结果;
至少基于第一判断结果和/或第二判断结果,确定是否存在僵尸网络。
第三方面,基于同一发明构思,本发明实施例还提供一种计算机可读存储介质,该计算机可读存储介质存储有计算机程序,当计算机程序被加载并运行时,可以执行如第一方面所述的发现僵尸网络的方法。并且,执行发现僵尸网络的方法时的具体实施过程可以参照第一方面的描述,在此不再赘述。
在具体的实施过程中,计算机可读存储介质包括:通用串行总线闪存盘(Universal Serial Bus flash drive,USB)、移动硬盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的存储介质。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备 (可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (7)
1.一种发现僵尸网络的方法,其特征在于,所述方法包括:
流量清洗设备将访问待保护设备的访问流量的访问行为信息,与流量基线进行比较,确定所述访问流量中存在异常访问行为的异常流量;
所述流量清洗设备通过云服务器,查询所述云服务器的僵尸IP地址数据库是否包括所述异常流量的源IP地址;
在为是时,所述流量清洗设备阻断来自所述异常流量的源IP地址的流量;
在为否时,所述流量清洗设备确定所述异常流量为可疑流量,并将所述可疑流量的至少一个源IP地址发送至所述云服务器;
所述云服务器将所述至少一个可疑IP地址发送至DNS分析设备;
所述DNS分析设备判断所述至少一个可疑IP地址的DNS查询行为是否符合僵尸IP地址的DNS查询行为特征,根据判断结果确定是否存在僵尸网络,所述僵尸IP地址的DNS查询行为特征包括:是否长期保持对同一域名进行DNS查询,或所述DNS查询行为是否为周期性查询,或进行查询时的生存时间值是否低于预设阈值;和/或
判断所述至少一个可疑IP地址查询的域名是否符合控制服务器域名的特征,根据判断结果确定是否存在僵尸网络,所述控制服务器域名的特征包括:所述域名对应的IP地址在地理上是否分散,或所述域名的注册时间是否低于预设时间阈值,或所述域名是否符合通常的域名设置规则。
2.如权利要求1所述的方法,其特征在于,所述方法还包括:
在确定存在所述僵尸网络时,所述DNS分析设备获得所述僵尸网络包括的至少一个僵尸IP地址,并向所述云服务器发送所述至少一个僵尸IP地址;
所述云服务器根据所述至少一个僵尸IP地址,更新自身用于存储僵尸IP地址的僵尸IP地址数据库。
3.如权利要求1所述的方法,其特征在于,所述方法还包括:
在确定存在所述僵尸网络时,所述DNS分析设备获得所述僵尸网络包括的至少一个控制服务器域名;
所述DNS分析设备阻断用于查询所述至少一个控制服务器域名中任一控制服务器域名的DNS查询流量。
4.一种发现僵尸网络的系统,其特征在于,所述系统包括流量清洗设备、云服务器和DNS分析设备,其中:
所述流量清洗设备,用于将访问待保护设备的访问流量的访问行为信息,与流量基线进行比较,确定所述访问流量中存在异常访问行为的异常流量;通过所述云服务器,查询所述云服务器的僵尸IP地址数据库是否包括所述异常流量的源IP地址;在为否时,确定所述异常流量为可疑流量,并将所述可疑流量的至少一个源IP地址发送至所述云服务器;在为是时,阻断来自所述异常流量的源IP地址的流量;
所述云服务器,用于将所述至少一个可疑IP地址发送至所述DNS分析设备;
所述DNS分析设备,用于基于所述至少一个可疑IP地址,判断所述至少一个可疑IP地址的DNS查询行为是否符合僵尸IP地址的DNS查询行为特征,根据判断结果确定是否存在僵尸网络,所述僵尸IP地址的DNS查询行为特征包括:是否长期保持对同一域名进行DNS查询,或所述DNS查询行为是否为周期性查询,或进行查询时的生存时间值是否低于预设阈值;和/或
判断所述至少一个可疑IP地址查询的域名是否符合控制服务器域名的特征,根据判断结果确定是否存在僵尸网络,所述控制服务器域名的特征包括:所述域名对应的IP地址在地理上是否分散,或所述域名的注册时间是否低于预设时间阈值,或所述域名是否符合通常的域名设置规则。
5.如权利要求4所述的系统,其特征在于,所述DNS分析设备还用于:
在确定存在所述僵尸网络时,获得所述僵尸网络包括的至少一个僵尸IP地址,并向所述云服务器发送所述至少一个僵尸IP地址;
所述云服务器还用于:根据所述至少一个僵尸IP地址,更新自身用于存储僵尸IP地址的僵尸IP地址数据库。
6.如权利要求4所述的系统,其特征在于,所述DNS分析设备还用于:
在确定存在所述僵尸网络时,获得所述僵尸网络包括的至少一个控制服务器域名;以及
阻断用于查询所述至少一个控制服务器域名中任一控制服务器域名的DNS查询流量。
7.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机程序,当所述计算机程序被加载并运行时,执行如权利要求1-3中任一权利要求所述的发现僵尸网络的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710817337.5A CN107733867B (zh) | 2017-09-12 | 2017-09-12 | 一种发现僵尸网络及防护的方法、系统和存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710817337.5A CN107733867B (zh) | 2017-09-12 | 2017-09-12 | 一种发现僵尸网络及防护的方法、系统和存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107733867A CN107733867A (zh) | 2018-02-23 |
| CN107733867B true CN107733867B (zh) | 2020-09-22 |
Family
ID=61206031
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710817337.5A Active CN107733867B (zh) | 2017-09-12 | 2017-09-12 | 一种发现僵尸网络及防护的方法、系统和存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107733867B (zh) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110795730A (zh) * | 2018-10-23 | 2020-02-14 | 北京安天网络安全技术有限公司 | 一种恶意文件彻底清除方法、系统及存储介质 |
| CN109450955B (zh) * | 2018-12-30 | 2022-04-05 | 北京世纪互联宽带数据中心有限公司 | 一种基于网络攻击的流量处理方法及装置 |
| CN111541655A (zh) * | 2020-04-08 | 2020-08-14 | 国家计算机网络与信息安全管理中心 | 网络异常流量检测方法、控制器及介质 |
| CN111526381B (zh) * | 2020-04-20 | 2021-07-09 | 北京创世云科技股份有限公司 | 一种优化直播资源的方法、装置及电子设备 |
| CN113179260B (zh) * | 2021-04-21 | 2022-09-23 | 国家计算机网络与信息安全管理中心河北分中心 | 僵尸网络的检测方法、装置、设备及介质 |
| CN117155614A (zh) * | 2023-08-09 | 2023-12-01 | 华能信息技术有限公司 | 一种僵尸网络发现方法、系统及存储介质 |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101621428B (zh) * | 2009-07-29 | 2012-02-22 | 成都市华为赛门铁克科技有限公司 | 一种僵尸网络检测方法及系统以及相关设备 |
| CN101702660B (zh) * | 2009-11-12 | 2011-12-14 | 中国科学院计算技术研究所 | 异常域名检测方法及系统 |
| CN102195843B (zh) * | 2010-03-02 | 2014-06-11 | 中国移动通信集团公司 | 一种流量控制系统和方法 |
| CN101924757B (zh) * | 2010-07-30 | 2013-12-18 | 中国电信股份有限公司 | 追溯僵尸网络的方法和系统 |
| CN102594825B (zh) * | 2012-02-22 | 2016-08-17 | 北京百度网讯科技有限公司 | 一种内网木马的检测方法和装置 |
| CN103152442B (zh) * | 2013-01-31 | 2016-06-01 | 中国科学院计算机网络信息中心 | 一种僵尸网络域名的检测与处理方法及系统 |
| US9325735B1 (en) * | 2013-10-31 | 2016-04-26 | Palo Alto Networks, Inc. | Selective sinkholing of malware domains by a security device via DNS poisoning |
| CN106375351B (zh) * | 2016-11-29 | 2019-09-24 | 神州网云(北京)信息技术有限公司 | 一种异常域名检测的方法及装置 |
-
2017
- 2017-09-12 CN CN201710817337.5A patent/CN107733867B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN107733867A (zh) | 2018-02-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107733867B (zh) | 一种发现僵尸网络及防护的方法、系统和存储介质 | |
| CN110445770B (zh) | 网络攻击源定位及防护方法、电子设备及计算机存储介质 | |
| US10735379B2 (en) | Hybrid hardware-software distributed threat analysis | |
| US20220045990A1 (en) | Methods and systems for api deception environment and api traffic control and security | |
| US11824875B2 (en) | Efficient threat context-aware packet filtering for network protection | |
| CN108701187B (zh) | 用于混合硬件软件分布式威胁分析的设备和方法 | |
| US11671402B2 (en) | Service resource scheduling method and apparatus | |
| KR101662605B1 (ko) | 모바일 네트워크 환경에서 네트워크 정보를 가입자 정보와 상관시키는 시스템 및 방법 | |
| EP2779574B1 (en) | Attack detection and prevention using global device fingerprinting | |
| EP3905622A1 (en) | Botnet detection method and system, and storage medium | |
| US9258289B2 (en) | Authentication of IP source addresses | |
| CN111193719A (zh) | 一种网络入侵防护系统 | |
| WO2021139643A1 (zh) | 加密攻击网络流量检测方法,其装置及电子设备 | |
| US20050278779A1 (en) | System and method for identifying the source of a denial-of-service attack | |
| Li et al. | Detecting saturation attacks based on self-similarity of OpenFlow traffic | |
| CN102404741B (zh) | 移动终端上网异常检测方法和装置 | |
| KR20140027616A (ko) | 웹 트랜잭션 밀집도 기반 에이치티티피 봇넷 탐지 장치 및 방법 | |
| CN110933111B (zh) | 一种基于DPI的DDoS攻击识别方法及装置 | |
| CA2982107A1 (en) | Systems and methods for generating network threat intelligence | |
| CN107579995A (zh) | 车载系统的网络防护方法及装置 | |
| CN112434304B (zh) | 防御网络攻击的方法、服务器及计算机可读存储介质 | |
| CN105100048A (zh) | WiFi网络安全鉴定方法、服务器、客户端装置和系统 | |
| CN112073376A (zh) | 一种基于数据面的攻击检测方法及设备 | |
| Fejrskov et al. | Detecting DNS hijacking by using NetFlow data | |
| CN113992421B (zh) | 一种报文处理方法、装置及电子设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP01 | Change in the name or title of a patent holder | ||
| CP01 | Change in the name or title of a patent holder |
Address after: 100089 Beijing city Haidian District Road No. 4 North wa Yitai three storey building Patentee after: NSFOCUS Technologies Group Co.,Ltd. Patentee after: NSFOCUS TECHNOLOGIES Inc. Address before: 100089 Beijing city Haidian District Road No. 4 North wa Yitai three storey building Patentee before: NSFOCUS INFORMATION TECHNOLOGY Co.,Ltd. Patentee before: NSFOCUS TECHNOLOGIES Inc. |