CN111327632B - 一种僵尸主机检测方法、系统、设备及存储介质 - Google Patents
一种僵尸主机检测方法、系统、设备及存储介质 Download PDFInfo
- Publication number
- CN111327632B CN111327632B CN202010150698.0A CN202010150698A CN111327632B CN 111327632 B CN111327632 B CN 111327632B CN 202010150698 A CN202010150698 A CN 202010150698A CN 111327632 B CN111327632 B CN 111327632B
- Authority
- CN
- China
- Prior art keywords
- host
- program
- user
- information
- program information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/144—Detection or countermeasures against botnets
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Debugging And Monitoring (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本申请公开了一种僵尸主机检测方法、系统、设备及存储介质,本方法通过防火墙设备与其进行检测的用户主机之间的联动关系,在防火墙设备检测到用户主机具有僵尸主机行为之后,进一步通过用户主机获取导致其具有僵尸主机行为的相关程序的信息,因此用户能够通过防火墙获悉导致用户主机具有僵尸主机行为的异常程序,进而确保了用户能够有针对性的清除僵尸主机中的异常程序。此外,本申请还提供一种僵尸主机检测系统、设备及存储介质,有益效果同上所述。
Description
技术领域
本申请涉及网络安全领域,特别是涉及一种僵尸主机检测方法、系统、设备及存储介质。
背景技术
僵尸网络(Botnet)是各类网络中常见的一种威胁,它通过邮件、网页脚本等各种形式向用户主机发送恶意代码并执行,从而达到控制用户主机成为僵尸主机(Zombie)的目的,从而在攻击者和僵尸主机之间所形成可一对多控制的网络,攻击者通过各种途径传播僵尸程序感染互联网上的大量主机,而僵尸主机通过一个控制信道接收攻击者的指令,其主要危害包括攻击外网服务或者窃取企业敏感信息等,一旦发生这些攻击行为,会对网络资源产生很大消耗,也可能会泄露企业机密。
当前往往采用防火墙对僵尸主机进行检测,但是当前通过防火墙仅能够获悉用户主机是否具有僵尸主机行为,但无法得知导致用户主机具有僵尸主机行为的异常程序,因此难以有针对性清除僵尸主机中的病毒程序。
由此可见,提供一种僵尸主机检测方法,以实现用户能够通过防火墙获悉导致用户主机具有僵尸主机行为的异常程序,进而确保用户能够有针对性的清除僵尸主机中的异常程序,是本领域技术人员需要解决的问题。
发明内容
本申请的目的是提供一种僵尸主机检测方法,以实现用户能够通过防火墙获悉导致用户主机具有僵尸主机行为的异常程序,进而确保用户能够有针对性的清除僵尸主机中的异常程序。
为解决上述技术问题,本申请提供一种僵尸主机检测方法,应用于防火墙设备,包括:
接收用户主机传入的网络通信流量,并解析网络通信流量中与僵尸网络关联的异常特征信息;
将异常特征信息发送至用户主机,以供用户主机根据异常特征信息分析得到关联的程序信息;
接收用户主机传入的程序信息,并将程序信息设置为检测结果。
优选地,解析网络通信流量中与僵尸网络关联的异常特征信息,包括:
解析网络通信流量中与僵尸网络关联的恶意域名;
将异常特征信息发送至用户主机,以供用户主机根据异常特征信息分析得到关联的程序信息,包括:
将恶意域名发送至用户主机,以供用户主机在其本地监听向恶意域名发起访问的目标程序,并获取目标程序对应的程序信息。
优选地,程序信息包括进程链文件信息;
接收用户主机传入的程序信息,并将程序信息设置为检测结果,包括:
接收用户主机传入的进程链文件信息,并将进程链文件信息设置为检测结果。
优选地,在接收用户主机传入的程序信息之后,方法还包括:
将程序信息上传至云端检测引擎,并接收云端检测引擎根据程序信息分析生成的风险分析结果;
对检测结果以及风险分析结果进行关联输出。
优选地,对检测结果以及风险分析结果进行关联输出,包括:
通过界面对检测结果以及风险分析结果进行关联输出。
优选地,在通过界面对检测结果以及风险分析结果进行关联输出之后,方法还包括:
获取用户传入的操作请求,并基于操作请求对程序信息对应的程序文件进行异常处理操作。
优选地,基于操作请求对程序信息对应的程序文件进行异常处理操作,包括:
基于操作请求对程序信息对应的程序文件进行删除操作,或隔离操作,或忽略操作。
此外,本申请还提供一种僵尸主机检测方法,应用于用户主机,包括:
向防火墙设备传入网络通信流量,以供防火墙设备解析网络通信流量中与僵尸网络关联的异常特征信息;
接收防火墙设备传入的异常特征信息,并根据异常特征信息分析得到关联的程序信息;
将程序信息传入至防火墙设备,以供防火墙设备将程序信息设置为检测结果。
此外,本申请还提供一种僵尸主机检测系统,包括:
防火墙设备,用于接收用户主机传入的网络通信流量,并解析网络通信流量中与僵尸网络关联的异常特征信息;将异常特征信息发送至用户主机,以供用户主机根据异常特征信息分析得到关联的程序信息;接收用户主机传入的程序信息,并将程序信息设置为检测结果;
用户主机,用于向防火墙设备传入网络通信流量,以供防火墙设备解析网络通信流量中与僵尸网络关联的异常特征信息;接收防火墙设备传入的异常特征信息,并根据异常特征信息分析得到关联的程序信息;将程序信息传入至防火墙设备,以供防火墙设备将程序信息设置为检测结果。
此外,本申请还提供一种僵尸主机检测设备,包括:
存储器,用于存储计算机程序;
处理器,用于执行计算机程序时实现如上述的应用于防火墙设备的僵尸主机检测方法的步骤和/或实现如上述的应用于用户主机的僵尸主机检测方法的步骤。
此外,本申请还提供一种计算机可读存储介质,计算机可读存储介质上存储有计算机程序,计算机程序被处理器执行时实现如上述的应用于防火墙设备的僵尸主机检测方法的步骤和/或实现如上述的应用于用户主机的僵尸主机检测方法的步骤。
本申请所提供的僵尸主机检测方法,防火墙设备接收用户主机传入的网络通信流量,并由对网络通信流量进行解析得到与僵尸网络关联的异常特征信息,进而将异常特征信息发送至用户主机,并由用户主机根据异常特征信息分析得到用户主机中与该异常特征信息相关联的程序信息,进而将程序信息传输至防火墙设备,并由防火墙设备将该程序信息设置为僵尸主机的检测结果。本方法通过防火墙设备与其进行检测的用户主机之间的联动关系,在防火墙设备检测到用户主机具有僵尸主机行为之后,进一步通过用户主机获取导致其具有僵尸主机行为的相关程序的信息,因此用户能够通过防火墙获悉导致用户主机具有僵尸主机行为的异常程序,进而确保了用户能够有针对性的清除僵尸主机中的异常程序。此外,本申请还提供一种僵尸主机检测系统、设备及存储介质,有益效果同上所述。
附图说明
为了更清楚地说明本申请实施例,下面将对实施例中所需要使用的附图做简单的介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例公开的一种僵尸主机检测方法的流程图;
图2为本申请实施例公开的一种具体的僵尸主机检测方法的流程图;
图3为本申请实施例公开的一种具体的僵尸主机检测方法的流程图;
图4为本申请实施例公开的一种具体的僵尸主机检测方法的流程图;
图5为本申请实施例公开的一种具体的僵尸主机检测方法的流程图;
图6为本申请实施例公开的一种僵尸主机检测系统的结构示意图;
图7为本申请实施例公开的一种实际应用场景下的僵尸主机检测系统的通信流程示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下,所获得的所有其他实施例,都属于本申请保护范围。
当前往往采用防火墙对僵尸主机进行检测,但是当前通过防火墙仅能够获悉用户主机是否具有僵尸主机行为,但无法得知导致用户主机具有僵尸主机行为的异常程序,因此难以有针对性清除僵尸主机中的病毒程序。
为此,本申请的核心是提供一种僵尸主机检测方法,以实现用户能够通过防火墙获悉导致用户主机具有僵尸主机行为的异常程序,进而确保用户能够有针对性的清除僵尸主机中的异常程序。
请参见图1所示,本申请实施例公开了一种僵尸主机检测方法,应用于防火墙设备,包括:
步骤S10:接收用户主机传入的网络通信流量,并解析网络通信流量中与僵尸网络关联的异常特征信息。
需要说明的是,本实施例的执行主体为防火墙设备,防火墙设备与用户主机之间存在通信关系,目的是为了接收用户主机的网络通信流量,并对网络通信流量进行检测。本步骤中,防火墙设备接收用户主机传入的网路通信流量,进而解析网络通信流量中与僵尸网络关联的异常特征信息,需要说明的是,防火墙在接收到用户主机传入的网络通信流量后,进一步基于判定僵尸主机的相关策略对网络通信流量进行分析,主要是判定网络通信流量中是否具有与僵尸网络中通信流量一致的特征信息,该特征信息即为异常特征信息,以此在网络通信流量中获取到与僵尸网络有关的异常特征信息,异常特征信息包括但不限于异常的指令信息以及异常的域名信息等。
步骤S11:将异常特征信息发送至用户主机,以供用户主机根据异常特征信息分析得到关联的程序信息。
需要说明的是,如果用户主机传入的网络通信流量中包含有异常特征信息,则认为当前用户主机具有僵尸主机的行为,可能为僵尸网络中的僵尸主机,进而本步骤在防火墙获取到网络通信流量中与僵尸网络关联的异常特征信息之后,进一步将异常特征信息发送至用户主机,目的是在用户主机端根据异常特征信息分析与其关联的程序信息,以此实现对于异常特征信息生成根源的定位。
步骤S12:接收用户主机传入的程序信息,并将程序信息设置为检测结果。
在将异常特征信息发送至用户主机后,进一步接收用户主机根据异常特征信息分析得到并传入的程序信息,并将程序信息设置为检测结果,以此确保用户能够根据该检测结果相对准确的获悉导致用户主机具有僵尸主机行为的源头信息。
本申请所提供的僵尸主机检测方法,防火墙设备接收用户主机传入的网络通信流量,并由对网络通信流量进行解析得到与僵尸网络关联的异常特征信息,进而将异常特征信息发送至用户主机,并由用户主机根据异常特征信息分析得到用户主机中与该异常特征信息相关联的程序信息,进而将程序信息传输至防火墙设备,并由防火墙设备将该程序信息设置为僵尸主机的检测结果。本方法通过防火墙设备与其进行检测的用户主机之间的联动关系,在防火墙设备检测到用户主机具有僵尸主机行为之后,进一步通过用户主机获取导致其具有僵尸主机行为的相关程序的信息,因此用户能够通过防火墙获悉导致用户主机具有僵尸主机行为的异常程序,进而确保了用户能够有针对性的清除僵尸主机中的异常程序。
请参见图2所示,本申请实施例公开了一种僵尸主机检测方法,应用于防火墙设备,包括:
步骤S20:接收用户主机传入的网络通信流量,并解析网络通信流量中与僵尸网络关联的恶意域名。
需要说明的是,由于考虑到处于僵尸网络中的僵尸主机往往会响应攻击者发起的控制指令,进而向攻击者提供僵尸主机中的数据或对僵尸主机以外正常运行的用户主机发起攻击,攻击者往往需要基于自身所使用设备在网络中的域名与僵尸网络中的僵尸主机进行通信,因此在用户主机的网络通信流量中包含的域名,能够相对准确的反映用户主机是否存在与攻击者的设备进行通信的僵尸主机行为。本步骤在接收用户主机传入的网络通信流量后,进一步解析网络通信流量中与僵尸网络关联的恶意域名,此处指的与僵尸网络关联恶意域名,本质上是用户主机满足僵尸网络中僵尸主机行为时所访问的域名。
步骤S21:将恶意域名发送至用户主机,以供用户主机在其本地监听向恶意域名发起访问的目标程序,并获取目标程序对应的程序信息。
在解析到网络通信流量中与僵尸网络关联的恶意域名后,进一步将恶意域名发送至用户主机,以此使用户主机在本地监听向该恶意域名发起访问的目标程序,进而获取与该目标程序对应的程序信息。
步骤S22:接收用户主机传入的程序信息,并将程序信息设置为检测结果。
在用户主机获取到目标程序对应的程序信息后,进一步接收用户主机传入的程序信息,并将程序信息设置为检测结果。
由于域名能够更加准确地反映用户主机进行网络通信行为时的对端设备对象,因此本实施例通过网络通信流量中与僵尸网络关联的恶意域名,进一步分析得到用户主机中相应目标程序对应的程序信息并作为检测结果,能够相对确保检测结果的准确性。
请参见图3所示,本申请实施例公开了一种僵尸主机检测方法,应用于防火墙设备,包括:
步骤S30:接收用户主机传入的网络通信流量,并解析网络通信流量中与僵尸网络关联的恶意域名。
步骤S31:将恶意域名发送至用户主机,以供用户主机在其本地监听向恶意域名发起访问的目标程序,并获取目标程序的进程链文件信息。
在本步骤中,防火墙设备在将恶意域名发送至用户主机后,用户主机进一步在其本地监听向恶意域名发起访问的目标程序,并且获取目标程序的进程链文件信息,此处的进程链文件信息指的是由与目标程序相关联的目标进程以及目标进程的父进程、子进程共同组成的进程关系,和/或进程关系中各进程运行涉及的文件。
步骤S32:接收用户主机传入的进程链文件信息,并将进程链文件信息设置为检测结果。
本步骤在用户主机在其本地监听向恶意域名发起访问的目标程序,并获取目标程序的进程链文件信息之后,通过防火墙设备接收用户主机传入的进程链文件信息,并将进程链文件信息设置为检测结果。
由于进程链文件信息能够相对丰富的记录与目标程序相关联的进程以及文件,因此能够相对确保检测结果的整体内容的丰富性以及准确性。
请参见图4所示,本申请实施例公开了一种僵尸主机检测方法,应用于防火墙设备,包括:
步骤S40:接收用户主机传入的网络通信流量,并解析网络通信流量中与僵尸网络关联的异常特征信息。
步骤S41:将异常特征信息发送至用户主机,以供用户主机根据异常特征信息分析得到关联的程序信息。
步骤S42:接收用户主机传入的程序信息,并将程序信息设置为检测结果。
步骤S43:将程序信息上传至云端检测引擎,并接收云端检测引擎根据程序信息分析生成的风险分析结果。
需要说明的是,本步骤在接收到用户主机传入的程序信息后,进一步将程序信息上传至云端检测引擎,目的是通过云端检测引擎对程序信息进行风险程度的分析,进而得到风险分析结果。本步骤的重点是在防火墙设备判定用户主机存在僵尸主机行为后,进一步将用户主机根据异常特征信息分析得到关联的程序信息,上传至云端检测引擎,通过大数据的方式,进一步对程序信息进行严重性分析,得到风险分析结果。
步骤S44:对检测结果以及风险分析结果进行关联输出。
在防火墙设备接收云端检测引擎根据程序信息分析生成的风险分析结果之后,进一步对检测结果以及风险分析结果进行关联输出,此处所指的关联输出,是在输出时建立检测结果与风险分析结果之间的对照关系,目的是通过风险分析结果进一步对检测结果进行严重程度的说明,进一步确保了用户能够有针对性的清除僵尸主机中的异常程序。另外,本实施例中的风险分析结果中可以进一步包括对程序信息所对应的相关文件的操作建议。
在上述实施例的基础上,作为一种优选的实施方式,对检测结果以及风险分析结果进行关联输出,包括:
通过界面对检测结果以及风险分析结果进行关联输出。
在本实施方式的重点是通过界面的形式对检测结果以及风险分析结果进行关联输出,进而用户能够根据界面中的检测结果以及风险分析结果,采取相应的异常处理措施。
更进一步的,作为一种优选的实施方式,在通过界面对检测结果以及风险分析结果进行关联输出之后,方法还包括:
获取用户传入的操作请求,并基于操作请求对程序信息对应的程序文件进行异常处理操作。
防火墙设备在通过界面对检测结果以及风险分析结果进行关联输出之后,进一步获取用户传入的操作请求,并基于操作请求对程序信息对应的程序文件进行异常处理操作,异常处理操作的内容应根据实际的用户需求而定,在此不做具体限定。本实施方式进一步确保了用户能够针对于当前用户主机存在的异常采取相应的处理操作,进一步确保了用户主机的网络安全性。
更进一步的,作为一种优选的实施方式,基于操作请求对程序信息对应的程序文件进行异常处理操作,包括:
基于操作请求对程序信息对应的程序文件进行删除操作,或隔离操作,或忽略操作。
需要说明的是,本实施方式中,提供给用户对程序信息对应的程序文件进行的操作具体包括,对于程序文件的删除操作、隔离操作以及忽略操作,进一步提高了用户对于用户主机进行异常处理操作时的可选性以及灵活性。
请参见图5所示,本申请实施例公开了一种僵尸主机检测方法,应用于用户主机,包括:
步骤S50:向防火墙设备传入网络通信流量,以供防火墙设备解析网络通信流量中与僵尸网络关联的异常特征信息。
步骤S51:接收防火墙设备传入的异常特征信息,并根据异常特征信息分析得到关联的程序信息。
步骤S52:将程序信息传入至防火墙设备,以供防火墙设备将程序信息设置为检测结果。
需要说明的是,本实施例的执行主体为能够与防火墙设备进行网络通信的用户设备,进一步的,用户设备中可以通过预设的安全软件程序获取与防火墙设备之间的通信权限,以此获取防火墙设备的响应。
本申请所提供的僵尸主机检测方法,防火墙设备接收用户主机传入的网络通信流量,并由对网络通信流量进行解析得到与僵尸网络关联的异常特征信息,进而将异常特征信息发送至用户主机,并由用户主机根据异常特征信息分析得到用户主机中与该异常特征信息相关联的程序信息,进而将程序信息传输至防火墙设备,并由防火墙设备将该程序信息设置为僵尸主机的检测结果。本方法通过防火墙设备与其进行检测的用户主机之间的联动关系,在防火墙设备检测到用户主机具有僵尸主机行为之后,进一步通过用户主机获取导致其具有僵尸主机行为的相关程序的信息,因此用户能够通过防火墙获悉导致用户主机具有僵尸主机行为的异常程序,进而确保了用户能够有针对性的清除僵尸主机中的异常程序。
请参见图6所示,本申请实施例公开了一种僵尸主机检测系统,包括:
防火墙设备10,用于接收用户主机传入的网络通信流量,并解析网络通信流量中与僵尸网络关联的异常特征信息;将异常特征信息发送至用户主机,以供用户主机根据异常特征信息分析得到关联的程序信息;接收用户主机传入的程序信息,并将程序信息设置为检测结果;
用户主机11,用于向防火墙设备传入网络通信流量,以供防火墙设备解析网络通信流量中与僵尸网络关联的异常特征信息;接收防火墙设备传入的异常特征信息,并根据异常特征信息分析得到关联的程序信息;将程序信息传入至防火墙设备,以供防火墙设备将程序信息设置为检测结果。
本申请所提供的僵尸主机检测系统,防火墙设备接收用户主机传入的网络通信流量,并由对网络通信流量进行解析得到与僵尸网络关联的异常特征信息,进而将异常特征信息发送至用户主机,并由用户主机根据异常特征信息分析得到用户主机中与该异常特征信息相关联的程序信息,进而将程序信息传输至防火墙设备,并由防火墙设备将该程序信息设置为僵尸主机的检测结果。本系统通过防火墙设备与其进行检测的用户主机之间的联动关系,在防火墙设备检测到用户主机具有僵尸主机行为之后,进一步通过用户主机获取导致其具有僵尸主机行为的相关程序的信息,因此用户能够通过防火墙获悉导致用户主机具有僵尸主机行为的异常程序,进而确保了用户能够有针对性的清除僵尸主机中的异常程序。
在前述实施例的基础上,本申请实施例对僵尸主机检测系统进行进一步的说明和优化。具体的:
防火墙设备10,解析网络通信流量中与僵尸网络关联的异常特征信息,包括:
解析网络通信流量中与僵尸网络关联的恶意域名;
将异常特征信息发送至用户主机,以供用户主机根据异常特征信息分析得到关联的程序信息,包括:
将恶意域名发送至用户主机,以供用户主机在其本地监听向恶意域名发起访问的目标程序,并获取目标程序对应的程序信息。
防火墙设备10,获取目标程序对应的程序信息,包括:
获取目标程序的进程链文件信息;
接收用户主机传入的程序信息,并将程序信息设置为检测结果,包括:
接收用户主机传入的进程链文件信息,并将进程链文件信息设置为检测结果。
防火墙设备10,在接收用户主机传入的程序信息之后,方法还包括:
将程序信息上传至云端检测引擎,并接收云端检测引擎根据程序信息分析生成的风险分析结果;
对检测结果以及风险分析结果进行关联输出。
防火墙设备10,对检测结果以及风险分析结果进行关联输出,包括:
通过界面对检测结果以及风险分析结果进行关联输出;
在通过界面对检测结果以及风险分析结果进行关联输出之后,方法还包括:
获取用户传入的操作请求,并基于操作请求对程序信息对应的程序文件进行异常处理操作。
防火墙设备10,基于操作请求对程序信息对应的程序文件进行异常处理操作,包括:
基于操作请求对程序信息对应的程序文件进行删除操作,或隔离操作,或忽略操作。
为了加深对于上述实施例的理解,下面提供一种实际应用场景下的僵尸主机检测系统的实施例。
请参见图7所示,本申请实施例公开了一种实际应用场景下的僵尸主机检测系统的通信流程示意图。
如图7所示,实际应用场景下的僵尸主机检测系统中,用户主机与防火墙设备之间的通信流程如下:
1、用户主机,受到C&C(Command and Control,命令与控制)僵尸网络行为攻击。
2、用户主机发起C&C僵尸网络通信行为的僵尸网络行为的流量,经过防火墙设备的僵尸网络安全模块时,僵尸网络的关联的恶意域名会被识别出来,并记录到相应的恶意域名库。
3、进程链举证程序,定时从恶意域名库,获取数据并推送给用户主机的网络驱动模块,由网络驱动模块对流量进行分析。
4、通过网络驱动监控该恶意域名的网络行为,并抓其发起恶意域名访问的进程,其父进程以及相关联依赖的文件组成进程链,推送到应用层,更好追溯到中毒文件。
5、进程链相关数据返回给举证程序存储到恶意域名关联的进程链库,同时推送到云端检测引擎。
6、云端检测引擎,接收到进程链的文件信息,会放入文件黑白灰检测引擎,对该批进程链文件一一鉴定其等级。黑文件被视为恶意的,白文件视为安全的,灰文件视为未知的,结合鉴定等级结果,然后给出比较可信可靠的操作建议,如建议隔离,持续观察。
7、进程链鉴定结果返回给进程链程序。
8、进程链鉴定结果会存储到恶意域名关联进程链库。提供给恶意域名进程链展示模块。
9、恶意域名进程链展示模块,会对进程链和恶意域名做数据抽取和计算,排序等,以文件列表和进程链关系展示出来,方便客户进行联动处置操作,如隔离文件,恢复文件,忽略文件等。
10、客户通过恶意域名进程链展示模块界面展示,根据给出的操作建议,对不同建议文件进程操作,如建议隔离的会进程隔离,持续观察的会继续保持观察。
11、将客户操作的文件信息发送到用户主机进程实际的操作,使得中毒文件能正常被隔离,忽略,恢复等。
12、反馈客户操作是否成功,避免出现网络问题导致操作文件失败情况。
整体流程通过从发现僵尸网络行为,到界面展示,到客户把相应中毒文件清除,能起到快速响应的效果。
此外,本申请实施例还公开了一种僵尸主机检测设备,包括:
存储器,用于存储计算机程序;
处理器,用于执行计算机程序时实现如上述的应用于防火墙设备的僵尸主机检测方法的步骤和/或实现如上述的应用于用户主机的僵尸主机检测方法的步骤。
本申请所提供的僵尸主机检测设备,防火墙设备接收用户主机传入的网络通信流量,并由对网络通信流量进行解析得到与僵尸网络关联的异常特征信息,进而将异常特征信息发送至用户主机,并由用户主机根据异常特征信息分析得到用户主机中与该异常特征信息相关联的程序信息,进而将程序信息传输至防火墙设备,并由防火墙设备将该程序信息设置为僵尸主机的检测结果。本设备通过防火墙设备与其进行检测的用户主机之间的联动关系,在防火墙设备检测到用户主机具有僵尸主机行为之后,进一步通过用户主机获取导致其具有僵尸主机行为的相关程序的信息,因此用户能够通过防火墙获悉导致用户主机具有僵尸主机行为的异常程序,进而确保了用户能够有针对性的清除僵尸主机中的异常程序。
此外,本申请实施例还公开了一种计算机可读存储介质,计算机可读存储介质上存储有计算机程序,计算机程序被处理器执行时实现如上述的应用于防火墙设备的僵尸主机检测方法的步骤和/或实现如上述的应用于用户主机的僵尸主机检测方法的步骤。
本申请所提供的计算机可读存储介质,防火墙设备接收用户主机传入的网络通信流量,并由对网络通信流量进行解析得到与僵尸网络关联的异常特征信息,进而将异常特征信息发送至用户主机,并由用户主机根据异常特征信息分析得到用户主机中与该异常特征信息相关联的程序信息,进而将程序信息传输至防火墙设备,并由防火墙设备将该程序信息设置为僵尸主机的检测结果。本计算机可读存储介质通过防火墙设备与其进行检测的用户主机之间的联动关系,在防火墙设备检测到用户主机具有僵尸主机行为之后,进一步通过用户主机获取导致其具有僵尸主机行为的相关程序的信息,因此用户能够通过防火墙获悉导致用户主机具有僵尸主机行为的异常程序,进而确保了用户能够有针对性的清除僵尸主机中的异常程序。
以上对本申请所提供的一种僵尸主机检测方法、系统、设备及存储介质进行了详细介绍。说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请原理的前提下,还可以对本申请进行若干改进和修饰,这些改进和修饰也落入本申请权利要求的保护范围内。
还需要说明的是,在本说明书中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
Claims (10)
1.一种僵尸主机检测方法,其特征在于,应用于防火墙设备,包括:
接收用户主机传入的网络通信流量,并解析所述网络通信流量中与僵尸网络关联的异常特征信息;
将所述异常特征信息发送至所述用户主机,以供所述用户主机根据所述异常特征信息分析得到关联的程序信息;
接收所述用户主机传入的所述程序信息,并将所述程序信息设置为检测结果;
所述解析所述网络通信流量中与僵尸网络关联的异常特征信息,包括:
解析所述网络通信流量中与僵尸网络关联的恶意域名;
所述将所述异常特征信息发送至所述用户主机,以供所述用户主机根据所述异常特征信息分析得到关联的程序信息,包括:
将所述恶意域名发送至所述用户主机,以供所述用户主机在其本地监听向所述恶意域名发起访问的目标程序,并获取所述目标程序对应的程序信息。
2.根据权利要求1所述的僵尸主机检测方法,其特征在于,所述程序信息包括进程链文件信息;
所述接收所述用户主机传入的所述程序信息,并将所述程序信息设置为检测结果,包括:
接收所述用户主机传入的所述进程链文件信息,并将所述进程链文件信息设置为所述检测结果。
3.根据权利要求1至2任意一项所述的僵尸主机检测方法,其特征在于,在所述接收所述用户主机传入的所述程序信息之后,所述方法还包括:
将所述程序信息上传至云端检测引擎,并接收所述云端检测引擎根据所述程序信息分析生成的风险分析结果;
对所述检测结果以及所述风险分析结果进行关联输出。
4.根据权利要求3所述的僵尸主机检测方法,其特征在于,所述对所述检测结果以及所述风险分析结果进行关联输出,包括:
通过界面对所述检测结果以及所述风险分析结果进行关联输出。
5.根据权利要求4所述的僵尸主机检测方法,其特征在于,在所述通过界面对所述检测结果以及所述风险分析结果进行关联输出之后,所述方法还包括:
获取用户传入的操作请求,并基于所述操作请求对所述程序信息对应的程序文件进行异常处理操作。
6.根据权利要求5所述的僵尸主机检测方法,其特征在于,所述基于所述操作请求对所述程序信息对应的程序文件进行异常处理操作,包括:
基于所述操作请求对所述程序信息对应的程序文件进行删除操作,或隔离操作,或忽略操作。
7.一种僵尸主机检测方法,其特征在于,应用于用户主机,包括:
向防火墙设备传入网络通信流量,以供所述防火墙设备解析所述网络通信流量中与僵尸网络关联的异常特征信息;
接收所述防火墙设备传入的所述异常特征信息,并根据所述异常特征信息分析得到关联的程序信息;所述异常特征信息包括所述网络通信流量中与僵尸网络关联的恶意域名;
将所述程序信息传入至所述防火墙设备,以供所述防火墙设备将所述程序信息设置为检测结果;
所述根据所述异常特征信息分析得到关联的程序信息,包括:
所述用户主机在本地监听向所述恶意域名发起访问的目标程序,并获取所述目标程序对应的程序信息。
8.一种僵尸主机检测系统,其特征在于,包括:
防火墙设备,用于接收用户主机传入的网络通信流量,并解析所述网络通信流量中与僵尸网络关联的异常特征信息;将所述异常特征信息发送至所述用户主机,以供所述用户主机根据所述异常特征信息分析得到关联的程序信息;接收所述用户主机传入的所述程序信息,并将所述程序信息设置为检测结果;所述解析所述网络通信流量中与僵尸网络关联的异常特征信息,包括:解析所述网络通信流量中与僵尸网络关联的恶意域名;所述将所述异常特征信息发送至所述用户主机,以供所述用户主机根据所述异常特征信息分析得到关联的程序信息,包括:将所述恶意域名发送至所述用户主机,以供所述用户主机在其本地监听向所述恶意域名发起访问的目标程序,并获取所述目标程序对应的程序信息;
所述用户主机,用于向所述防火墙设备传入网络通信流量,以供所述防火墙设备解析所述网络通信流量中与僵尸网络关联的异常特征信息;接收所述防火墙设备传入的所述异常特征信息,并根据所述异常特征信息分析得到关联的程序信息;将所述程序信息传入至所述防火墙设备,以供所述防火墙设备将所述程序信息设置为检测结果。
9.一种僵尸主机检测设备,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如权利要求1至6任一项所述的应用于防火墙设备的僵尸主机检测方法的步骤和/或实现如权利要求7所述的应用于用户主机的僵尸主机检测方法的步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至6任一项所述的应用于防火墙设备的僵尸主机检测方法的步骤和/或实现如权利要求7所述的应用于用户主机的僵尸主机检测方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010150698.0A CN111327632B (zh) | 2020-03-06 | 2020-03-06 | 一种僵尸主机检测方法、系统、设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010150698.0A CN111327632B (zh) | 2020-03-06 | 2020-03-06 | 一种僵尸主机检测方法、系统、设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111327632A CN111327632A (zh) | 2020-06-23 |
| CN111327632B true CN111327632B (zh) | 2022-08-09 |
Family
ID=71167467
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010150698.0A Active CN111327632B (zh) | 2020-03-06 | 2020-03-06 | 一种僵尸主机检测方法、系统、设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111327632B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113271303A (zh) * | 2021-05-13 | 2021-08-17 | 国家计算机网络与信息安全管理中心 | 一种基于行为相似性分析的僵尸网络检测方法及系统 |
| CN114896588B (zh) * | 2022-04-06 | 2024-02-23 | 中国电信股份有限公司 | 主机用户异常行为检测方法、装置、存储介质及电子设备 |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101010302B1 (ko) * | 2008-12-24 | 2011-01-25 | 한국인터넷진흥원 | Irc 및 http 봇넷 보안 관제를 위한 관리 시스템 및 그 방법 |
| US9088606B2 (en) * | 2012-07-05 | 2015-07-21 | Tenable Network Security, Inc. | System and method for strategic anti-malware monitoring |
| CN105827630B (zh) * | 2016-05-03 | 2019-11-12 | 国家计算机网络与信息安全管理中心 | 僵尸网络属性识别方法、防御方法及装置 |
| CN106909847B (zh) * | 2017-02-17 | 2020-10-16 | 国家计算机网络与信息安全管理中心 | 一种恶意代码检测的方法、装置及系统 |
| CN107645503B (zh) * | 2017-09-20 | 2020-01-24 | 杭州安恒信息技术股份有限公司 | 一种基于规则的恶意域名所属dga家族的检测方法 |
| CN110826067B (zh) * | 2019-10-31 | 2022-08-09 | 深信服科技股份有限公司 | 一种病毒检测方法、装置、电子设备及存储介质 |
-
2020
- 2020-03-06 CN CN202010150698.0A patent/CN111327632B/zh active Active
Non-Patent Citations (2)
| Title |
|---|
| 张敏等.基于分布式防火墙控制僵尸网络的研究与设计.《西南民族大学学报(自然科学版)》.2012,(第04期), * |
| 李硕等.基于蜜罐的CC攻击防护体系.《信息安全与通信保密》.2015,(第09期), * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111327632A (zh) | 2020-06-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11687653B2 (en) | Methods and apparatus for identifying and removing malicious applications | |
| CN110324311B (zh) | 漏洞检测的方法、装置、计算机设备和存储介质 | |
| US7870612B2 (en) | Antivirus protection system and method for computers | |
| US10581879B1 (en) | Enhanced malware detection for generated objects | |
| US10505966B2 (en) | Cross-site request forgery (CSRF) vulnerability detection | |
| CN109586282B (zh) | 一种电网未知威胁检测系统及方法 | |
| US20100071063A1 (en) | System for automatic detection of spyware | |
| WO2017086837A1 (ru) | Способ обнаружения вредоносных программ и элементов | |
| KR101623073B1 (ko) | Api 기반 악성 코드 탐지 시스템 및 방법 | |
| KR101132197B1 (ko) | 악성 코드 자동 판별 장치 및 방법 | |
| CN110336835B (zh) | 恶意行为的检测方法、用户设备、存储介质及装置 | |
| CN111327632B (zh) | 一种僵尸主机检测方法、系统、设备及存储介质 | |
| US20180152470A1 (en) | Method of improving network security by learning from attackers for detecting network system's weakness | |
| CN107465702B (zh) | 基于无线网络入侵的预警方法及装置 | |
| KR101972825B1 (ko) | 하이브리드 분석 기술을 이용한 임베디드 기기 취약점 자동 분석 방법, 장치 및 그 방법을 실행하는 컴퓨터 프로그램 | |
| CN107566401B (zh) | 虚拟化环境的防护方法及装置 | |
| RU2634177C1 (ru) | Система и способ обнаружения нежелательного программного обеспечения | |
| US20210374241A1 (en) | Undetectable sandbox for malware | |
| CN110879889A (zh) | Windows平台的恶意软件的检测方法及系统 | |
| US9959406B2 (en) | System and method for zero-day privilege escalation malware detection | |
| CN114065196A (zh) | Java内存马检测方法、装置、电子设备与存储介质 | |
| US10601867B2 (en) | Attack content analysis program, attack content analysis method, and attack content analysis apparatus | |
| US10880316B2 (en) | Method and system for determining initial execution of an attack | |
| KR20200092508A (ko) | IoT 기기 악성코드 분석을 위한 대규모 허니팟 시스템 | |
| CN114629711A (zh) | 一种针对Windows平台特种木马检测的方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |