CN115361182B - 一种僵尸网络行为分析方法、装置、电子设备及介质 - Google Patents

一种僵尸网络行为分析方法、装置、电子设备及介质 Download PDF

Info

Publication number
CN115361182B
CN115361182B CN202210945037.6A CN202210945037A CN115361182B CN 115361182 B CN115361182 B CN 115361182B CN 202210945037 A CN202210945037 A CN 202210945037A CN 115361182 B CN115361182 B CN 115361182B
Authority
CN
China
Prior art keywords
source address
analysis result
determining
botnet behavior
botnet
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202210945037.6A
Other languages
English (en)
Other versions
CN115361182A (zh
Inventor
蔡晶晶
陈俊
韩顺闯
韩伟召
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Yongxin Zhicheng Technology Group Co ltd
Original Assignee
Yongxin Zhicheng Technology Group Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Yongxin Zhicheng Technology Group Co ltd filed Critical Yongxin Zhicheng Technology Group Co ltd
Priority to CN202210945037.6A priority Critical patent/CN115361182B/zh
Publication of CN115361182A publication Critical patent/CN115361182A/zh
Application granted granted Critical
Publication of CN115361182B publication Critical patent/CN115361182B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/144Detection or countermeasures against botnets

Abstract

本发明涉及一种僵尸网络行为分析方法、装置、电子设备及介质,该方法包括:获取针对待检测对象的僵尸网络行为相关信息,僵尸网络行为相关信息包括网络流量数据和安全设备告警信息;根据网络流量数据和安全设备告警信息,确定感染僵尸病毒的源地址对应的第一源地址集合;对网络流量数据进行僵尸网络行为分析,确定网络流量数据中被源地址攻击的目标地址对应的第二源地址集合;根据预设周期内网络流量数据中的源地址的访问量排名,确定访问量排名中排名靠前的第一数量的源地址对应的第三源地址集合;根据第一源地址集合、第二源地址集合和第三源地址集合,确定待检测对象的初始僵尸网络行为分析结果。通过本发明的方法,确定的分析结果更加准确。

Description

一种僵尸网络行为分析方法、装置、电子设备及介质
技术领域
本发明涉及网络安全技术领域,具体而言,本发明涉及一种僵尸网络行为分析方法、装置、电子设备及介质。
背景技术
网络战争现实化、网络战场全球化、网络对抗常态化、网络攻击白热化的趋势明显,维护网络空间安全已经成为事关国家安全和社会稳定的大事情。以互联网为主体的网络空间,已经成为国家安全、经济发展和社会稳定的战略高地。由于网络攻击的日趋多样性和复杂性使得虚拟化网络战争所带来的影响足以给任何组织机构带来毁灭性的打击,因此各个国家纷纷组建自己的网军,将黑客攻击升级成为了国家间的网络空间对抗行为。
网络安全隐患风险突出,各类重点单位安全事件频发的问题凸显,网络安全面临的威胁和风险日益突出。当前我国网络安全问题频发,缺乏技术手段掌握网络资产底数,未建立信息化的网络资产底数管理手段,同时对监管区域的各类网络安全事件以及网络违法犯罪行为缺乏有效的技术监测与发现手段,无法及时有效地开展安全防范,只能“救火式”的开展应急处置,导致工作被动。与此同时,由于网络安全技术性专业性极强,传统防护设施难以胜任专业性的网络安全威胁分析和应急处置的技术分析等工作,在防范网络安全风险,保卫关键信息基础设施安全,开展网络安全案事件查处溯源等工作方面,存在较大困难。
僵尸网络是指采用一种或多种传播手段,将大量主机感染僵尸程序,从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。现有技术中,通常对于僵尸网络行为的识别,是基于僵尸网络行为特征实现的,僵尸网络行为特征的准确性直接影响了僵尸网络行为识别的准确性,现有技术中,僵尸网络行为特征的提取通常基于单一类型的僵尸网络行为相关信息确定,不能全面的反映僵尸网络行为特征,因此,现有技术中,基于单一类型的僵尸网络行为相关信息确定初始僵尸网络行为分析结果,不够准确。
发明内容
本发明所要解决的技术问题是提供了一种僵尸网络行为分析方法、装置、电子设备及介质,旨在解决上述至少一个技术问题。
第一方面,本发明解决上述技术问题的技术方案如下:一种僵尸网络行为分析方法,该方法包括:
S1,获取针对待检测对象的僵尸网络行为相关信息,僵尸网络行为相关信息包括网络流量数据和安全设备告警信息;
S2,根据网络流量数据和安全设备告警信息,确定感染僵尸病毒的源地址对应的第一源地址集合;
S3,对网络流量数据进行僵尸网络行为分析,确定网络流量数据中被源地址攻击的目标地址对应的第二源地址集合;
S4,根据预设周期内网络流量数据中的源地址的访问量排名,确定访问量排名中排名靠前的第一数量的源地址对应的第三源地址集合;
S5,根据第一源地址集合、第二源地址集合和第三源地址集合,确定待检测对象的初始僵尸网络行为分析结果。
本发明的有益效果是:通过从内部直接反映僵尸网络行为的网络流量数据和从外部间接反映僵尸网络行为的安全设备告警信息两方面进行初始僵尸网络行为分析结果,使得初始僵尸网络行为分析结果更加准确,同时,基于网络流量数据单独进行僵尸网络行为的分析结果,以及基于网络流量数据和安全设备告警信息结合进行僵尸网络行为的分析结果,进一步使得确定的初始僵尸网络行为分析结果更加准确。
在上述技术方案的基础上,本发明还可以做如下改进。
进一步,上述网络流量数据包括流量日志,安全设备告警信息包括网络审计日志、威胁情报和僵木蠕日志,该方法还包括:
提取流量日志中的网络监测特征,网络监测特征包括源地址、源端口、目标地址和目标端口;
上述根据网络流量数据和安全设备告警信息,确定感染僵尸病毒的源地址对应的第一源地址集合,包括:
根据网络监测特征和威胁情报,确定感染僵尸病毒的源地址对应的第一源地址集合;
上述对网络流量数据进行僵尸网络行为分析,确定网络流量数据中被源地址攻击的目标地址对应的第二源地址集合,包括:
对源地址和目标地址进行关联分析,确定源地址攻击的目标地址对应的第二源地址集合。
采用上述进一步方案的有益效果是,根据网络监测特征和威胁情报,确定网络流量数据中感染僵尸病毒的源地址,可更加准确的确定第一源地址集合,另外,对网络流量数据中的网络监测特征进行关联分析,可更加准确的确定出可能发生僵尸网络行为的源地址。
进一步,上述初始僵尸网络行为分析结果包括僵尸网络行为告警信息和攻击事件告警信息,僵尸网络行为告警信息包括事件时间、攻击类型、协议、控制端地址、控制端端口、被控端地址、被控端端口、告警安全设备地址、事件地址、处置动作和告警类型中的至少一项;攻击事件告警信息包括源地址、目的地址、攻击名称,攻击样本名称、告警时间、危险级别、行为参数、响应方式和告警类型中的至少一项。
采用上述进一步方案的有益效果是,基于初始僵尸网络行为分析结果,可从多个方面反映僵尸网络行为,满足不同的僵尸网络行为分析需求。
进一步,该方法还包括:
根据安全设备告警信息,确定僵木蠕告警信息;
根据僵木蠕告警信息对僵尸网络行为告警信息进行验证,确定最终僵尸网络行为分析结果。
采用上述进一步方案的有益效果是,结合僵木蠕告警信息,可以更加准确的确定初始僵尸网络行为分析结果,即最终僵尸网络行为分析结果相较于初始僵尸网络行为分析结果更加准确。
进一步,该方法还包括:
从僵木蠕告警信息中提取僵尸行为特征,僵尸行为特征包括攻击时间、告警标识、攻击源地址、资产地址、攻击类型和处置方式;
上述根据僵木蠕告警信息对僵尸网络行为告警信息进行验证,确定最终僵尸网络行为分析结果,包括:
根据僵尸行为特征,对僵尸网络行为告警信息进行验证,确定最终僵尸网络行为分析结果。
采用上述进一步方案的有益效果是,僵尸网络行为告警信息反映的是僵尸网络行为的内部行为特征,僵尸行为特征反映的是僵尸网络行为的外部行为特征,结合内外的僵尸行为特征确定最终僵尸网络行为分析结果,可使得确定的最终僵尸网络行为分析结果更加准确。
进一步,上述步骤S2至步骤S5是通过僵尸网络行为分析模型确定的,该方法还包括:
根据初始僵尸网络行为分析结果,确定待检测对象的僵尸网络行为告警次数或误报率;
在僵尸网络行为告警次数大于第一设定值,或者误报率大于第二设定值时,调整僵尸网络行为分析模型的模型参数,并基于调整后的模型参数重新训练模型,直到僵尸网络行为告警次数不大于第一设定值,或者误报率不大于第二设定值。
采用上述进一步方案的有益效果是,根据尸网络行为告警次数或误报率对模型参数进行调整,可提高模型的精度。
进一步,上述步骤S5,根据第一源地址集合、第二源地址集合和第三源地址集合,确定待检测对象的初始僵尸网络行为分析结果,包括:
根据第一源地址集合和第二源地址集合,确定第一分析结果;
根据第一源地址集合和第三源地址集合,确定第二分析结果;
根据第二源地址集合和第三源地址集合,确定第三分析结果;
根据第一分析结果、第二分析结果和第三分析结果,确定待检测对象的初始僵尸网络行为分析结果。
采用上述进一步方案的有益效果是,结合每两个源地址集合之间的关联关系,确定初始僵尸网络行为分析结果,可使得确定的初始僵尸网络行为分析结果更加准确。
第二方面,本发明为了解决上述技术问题还提供了一种僵尸网络行为分析装置,该装置包括:
数据获取模块,用于获取针对待检测对象的僵尸网络行为相关信息,僵尸网络行为相关信息包括网络流量数据和安全设备告警信息;
第一分析模块,用于根据网络流量数据和安全设备告警信息,确定感染僵尸病毒的源地址对应的第一源地址集合;
第二分析模块,用于对网络流量数据进行僵尸网络行为分析,确定网络流量数据中被源地址攻击的目标地址对应的第二源地址集合;
第三分析模块,用于根据预设周期内网络流量数据中的源地址的访问量排名,确定访问量排名中排名靠前的第一数量的源地址对应的第三源地址集合;
初始分析结果确定模块,用于根据第一源地址集合、第二源地址集合和第三源地址集合,确定待检测对象的初始僵尸网络行为分析结果。
第三方面,本发明为了解决上述技术问题还提供了一种电子设备,该电子设备包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,处理器执行该计算机程序时实现本申请的僵尸网络行为分析方法。
第四方面,本发明为了解决上述技术问题还提供了一种计算机可读存储介质,该计算机可读存储介质上存储有计算机程序,该计算机程序被处理器执行时实现本申请的僵尸网络行为分析方法。
本申请附加的方面和优点将在下面的描述中部分给出,这些将从下面的描述中变得明显,或通过本申请的实践了解到。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对本发明实施例描述中所需要使用的附图作简单地介绍。
图1为本发明一个实施例提供的一种僵尸网络行为分析方法的流程示意图;
图2为本发明一个实施例提供的一种存储系统示意图;
图3为本发明一个实施例提供的又一种僵尸网络行为分析方法的流程示意图;
图4为本发明一个实施例提供的一种僵尸网络行为分析装置的结构示意图;
图5为本发明一个实施例提供的一种电子设备的结构示意图。
具体实施方式
以下对本发明的原理和特征进行描述,所举实例只用于解释本发明,并非用于限定本发明的范围。
下面以具体实施例对本发明的技术方案以及本发明的技术方案如何解决上述技术问题进行详细说明。下面这几个具体的实施例可以相互结合,对于相同或相似的概念或过程可能在某些实施例中不再赘述。下面将结合附图,对本发明的实施例进行描述。
本发明实施例所提供的方案可以适用于任何需要进行僵尸网络行为分析的应用场景中。本发明实施例所提供的方案可以由任一电子设备执行,比如,可以是用户的终端设备,上述终端设备可以是任何可以安装应用,并可通过应用进行僵尸网络行为分析的终端设备,包括以下至少一项:智能手机、平板电脑、笔记本电脑、台式计算机、智能音箱、智能手表、智能电视、智能车载设备。
本发明实施例提供了一种可能的实现方式,如图1所示,提供了一种僵尸网络行为分析方法的流程图,该方案可以由任一电子设备执行,例如,可以是终端设备,或者由终端设备和服务器共同执行。为描述方便,下面将以服务器作为执行主体为例对本发明实施例提供的方法进行说明,如图1中所示的流程图,该方法可以包括以下步骤:
S1,获取针对待检测对象的僵尸网络行为相关信息,僵尸网络行为相关信息包括网络流量数据和安全设备告警信息;
S2,根据网络流量数据和安全设备告警信息,确定感染僵尸病毒的源地址对应的第一源地址集合;
S3,对网络流量数据进行僵尸网络行为分析,确定网络流量数据中被源地址攻击的目标地址对应的第二源地址集合;
S4,根据预设周期内网络流量数据中的源地址的访问量排名,确定访问量排名中排名靠前的第一数量的源地址对应的第三源地址集合;
S5,根据第一源地址集合、第二源地址集合和第三源地址集合,确定待检测对象的初始僵尸网络行为分析结果。
在本发明的方法中,通过从内部直接反映僵尸网络行为的网络流量数据和从外部间接反映僵尸网络行为的安全设备告警信息两方面进行初始僵尸网络行为分析结果,使得初始僵尸网络行为分析结果更加准确,同时,基于网络流量数据单独进行僵尸网络行为的分析结果,以及基于网络流量数据和安全设备告警信息结合进行僵尸网络行为的分析结果,进一步使得确定的初始僵尸网络行为分析结果更加准确。
下面结合以下具体的实施例,对本发明的方案进行进一步的说明,在该实施例中,僵尸网络行为分析方法可以包括以下步骤:
S1,获取针对待检测对象的僵尸网络行为相关信息,僵尸网络行为相关信息包括网络流量数据和安全设备告警信息;
其中,待检测对象指的是需要进行网络安全分析的对象,比如,可以是一个应用程序或一个网站。僵尸网络行为相关信息指的是可反映待检测对象的僵尸网络行为的网络数据,包括网络流量数据和安全设备告警信息。网络流量数据指的是待检测对象进行网络行为过程中产生的网络数据,安全设备告警信息指的是在待检测对象进行网络行为时,通过安全设备进行僵尸行为检测的数据。
可选的,上述网络流量数据包括流量日志,安全设备告警信息包括网络审计日志、威胁情报和僵木蠕日志。
在获取僵尸网络行为相关信息之后,该方法还包括:
对僵尸网络行为相关信息进行预处理,得到预处理后的僵尸网络行为相关信息,预处理包括数据清洗、数据格式统一处理和数据补齐处理中的至少一种。
其中,数据清洗指的是将僵尸网络行为相关信息中与僵尸网络行为无关的数据清洗或过滤,数据格式统一处理指的是将僵尸网络行为相关信息中的各个数据进行格式统一,由于僵尸网络行为相关信息中的各个数据可能具有不同的格式,因此对僵尸网络行为相关信息进行数据格式统一处理,可便于后续的数据处理。数据补齐处理指的是将缺失的数据补齐,由于僵尸网络行为相关信息中的各个数据中,有的数据可能不完整,有缺失,因此,对僵尸网络行为相关信息进行数据补齐处理,可丰富僵尸网络行为相关信息。
上述数据清洗的具体实现过程为:
数据的清洗过滤针对数据格式的不一致、数据输入错误、数据不完整等问题,支持对数据进行转换和加工。常用的数据转换组件有字段映射、数据过滤、数据清洗、数据替换、数据计算、数据验证、数据合并、数据拆分等,实际处理过程中可以根据实际的需求灵活选择相应的组件;
安全事件数据(僵尸网络行为相关信息)清洗与过滤功能包括但不限于:
1、过滤重复数据;
2、过滤噪音数据;
3、过滤数据不完整或不合理性的数据;例如:时间字段越界、关键属性值缺失、关键属性值异常等。
通过上述数据清洗和过滤方法可过滤掉僵尸网络行为相关信息中的重复数据、噪音数据、数据不完整或不合理性的数据等与僵尸网络行为无关的数据。
上述数据格式统一处理的具体实现过程为:
对异构原始数据(包含不同数据格式的网络攻击相关信息)进行统一格式化处理,以满足存储层数据格式定义的要求。对于被标准化(格式统一)的数据应保存原始日志。
上述数据标准化的原则包括但不限于:
1、在保证基本扩展能力的基础上,根据每种类型数据的标准库规则,实现相关字段的标准化;
2、对于常用的字段,保证字段内容的一致性,消除不同事件对于相似问题描述的不一致性,满足依赖于这些字段的规则的可移植性。
3、未被标准化的数据应保存原始日志。可用于事后为该特定数据再定义标准化规则。
上述数据标准化的要求包括但不限于:
1、支持通过正则表达式、字符串拆分等手段对原始内容进行格式化处理;
2、支持对特殊字段映射处理,消除不同事件对相似问题描述的不一致性。例如类型转换、时间字段统一格式等;
3、支持对未知的数据格式做留存处理,用于后续的定制开发。
上述数据补齐处理也可称为数据丰富化处理,具体实现过程为:
采集到的僵尸网络行为相关信息中的各个数据之间可能存在关联性,通过关联补齐后形成完整的数据,能够丰富数据本身,以便于后期的统计分析。
上述数据丰富化的对象包括但不限于:
1、用户信息,补齐的字段包含但不限于用户名、用户所属组织结构、用户角色、联系方式等信息。
2、资产信息,补齐的字段包含但不限于资产名、资产IP、资产所属业务系统、资产标准系统、资产所属责任人、资产状态等信息。
3、威胁情报,补齐的字段包含但不限于威胁情报名称、威胁情报编号、威胁情报的威胁级别、威胁情报解决方案等信息。
在本申请方案中,还可对网络攻击相关信息中的各个数据添加标签,将携带标签的各个数据存储至数据库中。
在本申请方案中,根据数据分析的应用需要,僵尸网络行为相关信息的存储方式分为四类:关系型数据存储、分布式文件存储(用于追踪和溯源)、分布式全文检索(备份的作用)和分布式消息总线,各存储方式的定义如下:
1、关系型数据存储:存储数据量较小,变化周期小的结构化数据,如基础类数据(如资产数据、用户数据等)、场景分析结果数据、业务数据(如安全评估与检测平台的漏扫结果、合规结果)等;
2、分布式检索存储:存储需要对外提供全文检索的数据;
3、分布式文件存储:存储采集的原始数据、以及ETL后的标准化数据。可以拓展支持分布式文件系统、NoSQL分布式数据库、分布式关系数据库;
4、分布式消息总线:提供分布式的消息处理机制,具备高吞吐量、高并发的消息发布和消息订阅,用于实时数据处理。
根据数据结构类型的不同,网络安全数据存储支持以下三种类型的数据存储:
1、非结构化数据:包括所有格式的文本文件、图片、音视频等;
2、结构化数据:可以用二维关系表结构来表示,具备结构化数据的模式和内容;
3、半结构化数据:介于非结构化数据和结构化数据之间,如:HTML文档等。
基于上述不同的存储方式,可将僵尸网络行为相关信息中的各个数据按照不同的方式进行存储,具体可参见图2所示的存储系统示意图,僵尸网络行为相关信息中的各个数据(比如,图2中所示的流量数据、日志数据、行为数据)以及其他僵尸网络行为相关信息(比如,图2中所示的情报数据、资产数据和其他数据)可按照不同的存储方式(包括图2中所示的非结构化数据、半结构化数据和结构化数据)进行存储,不同的存储方式还可对应不同的数据库,包括但不限于Hive、HBase、HDFS、ES、NoSQL和Mysql数据库。
采用非结构化存储系统的HDFS、索引存储的ElasticSearch、数据仓库的Hive。HDFS实现底层的分布式文件系统构建,直接为Hive提供可使用的文件系统。Hive所保存的数据实际上是保存在HDFS中。Hive实现结构化数据保存,能够运行SQL实现数据查询、分析等基础操作。所有结构化数据都可以保存在Hive这样一个数据仓库中。ElasticSearch实现文本数据的检索查询,主要针对日志数据、系统数据,对于需要人工检索查询的数据可以直接保存在这里。
根据流量日志的流入速率和保留时间选择合适的存储,基于所有的网络流量,并考虑后续平台监控范围扩展,可将所有网络流量还原成的格式化数据存入Hive;同时,为了快速对告警日志进行检索,可将流式计算和离线计算的结果数据送至ElasticSearch组件存储。
S2,根据网络流量数据和安全设备告警信息,确定感染僵尸病毒的源地址对应的第一源地址集合。
其中,网络流量数据和安全设备告警信息中均可以包括待检测对象在进行网络行为时,发生僵尸网络行为的源地址,因此,从网络流量数据和安全设备告警信息均可确定出感染僵尸病毒的源地址,其中,源地址指的是攻击源所在ip地址,第一源地址集合为感染僵尸病毒的源地址所形成的集合。
由于网络流量数据和安全设备告警信息中均可以包括待检测对象在进行网络行为时,发生僵尸网络行为的源地址,则在确定第一源地址集合之前,可先提取流量日志中的网络监测特征,网络监测特征包括源地址、源端口、目标地址和目标端口;然后根据网络监测特征和威胁情报,确定感染僵尸病毒的源地址对应的第一源地址集合。
其中,源端口指的是攻击源所用端口,目的地址指的是攻击者攻击的ip地址,目的端口指的是攻击者攻击的端口。在本申请方案中,根据网络监测特征和威胁情报,确定感染僵尸病毒的源地址对应的第一源地址集合的过程可称为远程控制分析,其具体实现过程可以为:将网络监测特征中的源地址与威胁情报进行比对,命中为僵尸网络标签,即确定出可能感染僵尸病毒的源地址,对感染僵尸病毒的源地址生成僵尸网络标签,通过僵尸网络标签表征其对应的源地址已经感染了僵尸病毒。
其中,威胁情报指的是某种基于证据的知识,包括上下文、机制、标示、含义和能够执行的建议,威胁情报中包括威胁ip,威胁ip指的是带来威胁的对象的ip地址,上述将网络监测特征中的源地址与威胁情报进行比对,命中为僵尸网络标签的具体实现方式为:将源地址与威胁ip进行比对,如果两个ip相匹配,则表示可能命中了僵尸病毒,感染僵尸病毒的源地址可以从威胁情报中获取,包括该威胁ip的相关信息,比如,威胁ip的地址信息,域名,程序运行路径,注册表项,来源厂商信息等等。
S3,对网络流量数据进行僵尸网络行为分析,确定网络流量数据中被源地址攻击的目标地址对应的第二源地址集合。
其中,考虑到网络流量数据中目标地址与源地址之间的关联关系,确定网络流量数据中被源地址攻击的目标地址对应的第二源地址集合,即通过被攻击的目标地址确定第二源地址集合。
可选的,上述S3的一种可选实现方式为:对源地址和目标地址进行关联分析,确定源地址攻击的目标地址对应的第二源地址集合。其中,关联分析指的即是通过被攻击的目标地址确定源地址的过程。
其中,上述对源地址和目标地址进行关联分析指的是通过源地址和目标地址进行关联匹配,得到第二源地址集合,第二源地址集合中的源地址指的是与目标地址关联的源地址,即被同一个目标地址攻击的源地址的集合。
S4,根据预设周期内网络流量数据中的源地址的访问量排名,确定访问量排名中排名靠前的第一数量的源地址对应的第三源地址集合。
其中,在网络流量数据中,可选择预设周期(一段时间内)的网络流量数据,通过统计分析的方法确定在该预设周期内,网络流量数据中的源地址的访问量排名,将访问量排名中排名靠前的第一数量的源地址作为第三源地址集合。第一数量可预先设定,比如,50。排名靠前的源地址表明源地址被感染僵尸病毒的可能性更大。
S5,根据第一源地址集合、第二源地址集合和第三源地址集合,确定待检测对象的初始僵尸网络行为分析结果。
其中,上述第一源地址集合、第二源地址集合和第三源地址集合中均是可能被僵尸病毒感染的源地址,则基于三个通过不同方式确定的源地址集合,可以确定更加准确的初始僵尸网络行为分析结果。需要说明的是,上述三个源地址集合中的每个集合中,可以为空集,即不包含被僵尸病毒感染的源地址,也可以包含一个或多个可能被僵尸病毒感染的源地址。
可选的,上述步骤S5,根据第一源地址集合、第二源地址集合和第三源地址集合,确定待检测对象的初始僵尸网络行为分析结果,包括:
根据第一源地址集合和第二源地址集合,确定第一分析结果;
根据第一源地址集合和第三源地址集合,确定第二分析结果;
根据第二源地址集合和第三源地址集合,确定第三分析结果;
根据第一分析结果、第二分析结果和第三分析结果,确定待检测对象的初始僵尸网络行为分析结果。
其中,可将确定第一分析结果、第二分析结果和第三分析结果的过程称为集合碰撞,集合碰撞指的是基于不同维度的数据进行匹配的过程,比如,第一源地址集合和第二源地址集合之间的碰撞指的是两个集合中同一个维度的数据之间的碰撞,比如,两个集合中源ip之间的匹配,两个集合中源端口之间的匹配,两个集合中目标ip之间的匹配,两个集合中目标端口之间的匹配。如果有相匹配的元素(源ip、源端口、目标ip和目标端口中的至少一项),则得到对应的分析结果,比如,有相匹配的源ip,则第一分析结果中就可包含该源ip。
可选的,上述根据第一分析结果、第二分析结果和第三分析结果,确定待检测对象的初始僵尸网络行为分析结果的一种可选实现方式为:对第一分析结果、第二分析结果和第三分析结果进行加权平均,确定待检测对象的初始僵尸网络行为分析结果。其中,第一分析结果、第二分析结果和第三分析结果中均可以包括反映是否被僵尸病毒感染的分析结果,以及被僵尸病毒感染后对应的告警等信息。
可选的,初始僵尸网络行为分析结果包括僵尸网络行为告警信息和攻击事件告警信息,僵尸网络行为告警信息包括事件时间、攻击类型、协议、控制端地址、控制端端口、被控端地址、被控端端口、告警安全设备地址、事件地址、处置动作和告警类型中的至少一项;攻击事件告警信息包括源地址、目的地址、攻击名称,攻击样本名称、告警时间、危险级别、行为参数、响应方式和告警类型中的至少一项。
其中,事件时间指的是攻击事件发生的时间,攻击类型指的是攻击者对目标发起的攻击行为事件的类型,协议指的是数据传输协议,比如TCP/UDP/DNS,控制端地址指的是控制者僵尸网络管理地址,控制端端口指的是控制者僵尸网络管理端口,被控端端口指的是被控制者本地打开的端口,告警安全设备地址指的是检测设备的ip地址,EventIP(事件地址)指的是发出攻击事件的地址,处置动作指的是对网络攻击采取的阻断或允许动作,攻击名称指的是攻击流量的威胁名称,攻击样本名称指的是攻击者使用的木马蠕虫名称,告警时间指的是攻击发生时对应的响应时间,危险级别指的是攻击事件的严重程度,可分为高危、中危、低危,行为参数指的是发生攻击行为时携带的攻击动作,响应方式指的是攻击发生时对应的响应行为,告警类型指的是流量数据中不同的威胁类型。
可选的,该方法还包括:
根据安全设备告警信息,确定僵木蠕告警信息;
根据僵木蠕告警信息对僵尸网络行为告警信息进行验证,确定最终僵尸网络行为分析结果。
其中,僵木蠕告警信息中包括了关于僵尸病毒的识别结果,该僵木蠕告警信息可是基于网络审计日志、威胁情报和僵木蠕日志中的至少一项确定的。在本申请方案中,基于僵木蠕告警信息对僵尸网络行为告警信息进行验证,可使得确定的最终僵尸网络行为分析结果更加准确。
可选的,该方法还包括:
从僵木蠕告警信息中提取僵尸行为特征,僵尸行为特征包括攻击时间、告警标识、攻击源地址、资产地址、攻击类型和处置方式;
上述根据僵木蠕告警信息对僵尸网络行为告警信息进行验证,确定最终僵尸网络行为分析结果,包括:
根据僵尸行为特征,对僵尸网络行为告警信息进行验证,确定最终僵尸网络行为分析结果。
其中,攻击时间指的是攻击者对目标发起攻击的时间,告警标识指的是僵尸网络行为相关信息中不同的攻击类型区分标识,攻击源地址指的是攻击者所在ip地址,资产地址指的是被攻击者地址,攻击类型指的是攻击者对目标发起的不同的攻击事件类型,处置方式指的是发生攻击事件后,设备对应的处理方式,比如阻断、允许。
其中,上述根据僵尸行为特征,对僵尸网络行为告警信息进行验证,具体指的是将僵木蠕告警信息中提取僵尸行为特征与僵尸网络行为告警信息进行匹配,如果从僵尸网络行为告警信息中匹配得到与该僵尸行为特征相对应的特征,则表示僵尸网络行为告警信息通过验证,如果没有从僵尸网络行为告警信息中匹配得到与该僵尸行为特征相对应的特征,则表示僵尸网络行为告警信息未通过验证。
可选的,上述步骤S2至步骤S5是通过僵尸网络行为分析模型确定的,该方法还包括:
根据初始僵尸网络行为分析结果,确定待检测对象的僵尸网络行为告警次数或误报率;
在僵尸网络行为告警次数大于第一设定值,或者误报率大于第二设定值时,调整僵尸网络行为分析模型的模型参数,并基于调整后的模型参数重新训练模型,直到僵尸网络行为告警次数不大于第一设定值,或者误报率不大于第二设定值。
其中,僵尸网络行为分析模型是预先训练好的,用于根据待检测对象的网络流量数据和安全设备告警信息确定待检测对象的初始僵尸网络行为分析结果。在僵尸网络行为告警次数大于第一设定值,或者误报率大于第二设定值时,表示模型输出的初始僵尸网络行为分析结果不够准确,则可对模型参数进行修改,重新训练模型,提高模型的精度。其中,第一设定值和第二设定值可基于实际需求设置,初始僵尸网络行为分析结果中可包括僵尸网络行为告警次数,该告警次数可以是预设周期内的告警次数。
可选的,对于模型的输出结果还可以人工进行研判,当告警量(僵尸网络行为告警次数)较多或者误报率较高时,需要修正模型的检测参数。需要说明的是,上述模型的训练方法可为现有技术中的模型训练方法,具体训练过程在此不再赘述。
可选的,该方法还包括:
将初始僵尸网络行为分析结果和/或最终僵尸网络行为分析结果进行可视化展示。
为了更好的说明及理解本发明所提供的方法的原理,下面结合一个可选的具体实施例对本发明的方案进行说明。需要说明的是,该具体实施例中的各步骤的具体实现方式并不应当理解为对于本发明方案的限定,在本发明所提供的方案的原理的基础上,本领域技术人员能够想到的其他实现方式也应视为本发明的保护范围之内。
参见图3所示的一种僵尸网络行为分析方法的流程示意图,包括以下步骤:
步骤10,数据收集,对应前文描述的获取针对待检测对象的僵尸网络行为相关信息,僵尸网络行为相关信息包括网络流量数据和安全设备告警信息,网络流量数据包括流量日志,安全设备告警信息包括网络审计日志、威胁情报和僵木蠕日志;
步骤20,特征提取,对应前文描述的提取流量日志中的网络监测特征,网络监测特征包括源地址、源端口、目标地址和目标端口,根据安全设备告警信息,确定僵木蠕告警信息,从僵木蠕告警信息中提取僵尸行为特征,僵尸行为特征包括攻击时间、告警标识、攻击源地址、资产地址、攻击类型和处置方式;
步骤30,数据分析,对应前文描述的根据网络监测特征和威胁情报,确定感染僵尸病毒的源地址对应的第一源地址集合;对源地址和目标地址进行关联分析,确定源地址攻击的目标地址对应的第二源地址集合;根据预设周期内网络流量数据中的源地址的访问量排名,确定访问量排名中排名靠前的第一数量的源地址对应的第三源地址集合,根据第一源地址集合、第二源地址集合和第三源地址集合,确定待检测对象的初始僵尸网络行为分析结果。
步骤40,结果输出,即输出最终僵尸网络行为分析结果,最终僵尸网络行为分析结果包括僵尸网络行为告警信息和攻击事件告警信息,僵尸网络行为告警信息包括事件时间、攻击类型、协议、控制端地址、控制端端口、被控端地址、被控端端口、告警安全设备地址、事件地址、处置动作和告警类型中的至少一项;攻击事件告警信息包括源地址、目的地址、攻击名称,攻击样本名称、告警时间、危险级别、行为参数、响应方式和告警类型中的至少一项。
步骤50,多维数据碰撞,对应前文描述的根据僵尸行为特征,对僵尸网络行为告警信息进行验证,确定最终僵尸网络行为分析结果。
步骤60,研判与模型更新,对应前文描述的根据初始僵尸网络行为分析结果,确定待检测对象的僵尸网络行为告警次数或误报率,在僵尸网络行为告警次数大于第一设定值,或者误报率大于第二设定值时,调整僵尸网络行为分析模型的模型参数,并基于调整后的模型参数重新训练模型,直到僵尸网络行为告警次数不大于第一设定值,或者误报率不大于第二设定值。
通过本发明的方案,通过从内部直接反映僵尸网络行为的网络流量数据和从外部间接反映僵尸网络行为的安全设备告警信息两方面进行初始僵尸网络行为分析结果,使得初始僵尸网络行为分析结果更加准确,同时,基于网络流量数据单独进行僵尸网络行为的分析结果,以及基于网络流量数据和安全设备告警信息结合进行僵尸网络行为的分析结果,进一步使得确定的初始僵尸网络行为分析结果更加准确。
基于与图1中所示的方法相同的原理,本发明实施例还提供了一种僵尸网络行为分析装置20,如图4中所示,该僵尸网络行为分析装置20可以包括数据获取模块210、第一分析模块220、第二分析模块230、第三分析模块240和初始分析结果确定模块250,其中:
数据获取模块210,用于获取针对待检测对象的僵尸网络行为相关信息,僵尸网络行为相关信息包括网络流量数据和安全设备告警信息;
第一分析模块220,用于根据网络流量数据和安全设备告警信息,确定感染僵尸病毒的源地址对应的第一源地址集合;
第二分析模块230,用于对网络流量数据进行僵尸网络行为分析,确定网络流量数据中被源地址攻击的目标地址对应的第二源地址集合;
第三分析模块240,用于根据预设周期内网络流量数据中的源地址的访问量排名,确定访问量排名中排名靠前的第一数量的源地址对应的第三源地址集合;
初始分析结果确定模块250,用于根据第一源地址集合、第二源地址集合和第三源地址集合,确定待检测对象的初始僵尸网络行为分析结果。
可选的,上述网络流量数据包括流量日志,安全设备告警信息包括网络审计日志、威胁情报和僵木蠕日志,该装置还包括:
网络监测特征提取模块,用于提取流量日志中的网络监测特征,网络监测特征包括源地址、源端口、目标地址和目标端口;
上述第一分析模块220在根据网络流量数据和安全设备告警信息,确定感染僵尸病毒的源地址对应的第一源地址集合时,具体用于:
根据网络监测特征和威胁情报,确定感染僵尸病毒的源地址对应的第一源地址集合;
上述第二分析模块在对网络流量数据进行僵尸网络行为分析,确定网络流量数据中被源地址攻击的目标地址对应的第二源地址集合时,具体用于:
对源地址和目标地址进行关联分析,确定源地址攻击的目标地址对应的第二源地址集合。
可选的,上述初始僵尸网络行为分析结果包括僵尸网络行为告警信息和攻击事件告警信息,僵尸网络行为告警信息包括事件时间、攻击类型、协议、控制端地址、控制端端口、被控端地址、被控端端口、告警安全设备地址、事件地址、处置动作和告警类型中的至少一项;上述攻击事件告警信息包括源地址、目的地址、攻击名称,攻击样本名称、告警时间、危险级别、行为参数、响应方式和告警类型中的至少一项。
可选的,该装置还包括:
最终分析结果确定模块,用于根据安全设备告警信息,确定僵木蠕告警信息;根据僵木蠕告警信息对僵尸网络行为告警信息进行验证,确定最终僵尸网络行为分析结果。
可选的,该装置还包括:
僵尸行为特征提取模块,用于从僵木蠕告警信息中提取僵尸行为特征,僵尸行为特征包括攻击时间、告警标识、攻击源地址、资产地址、攻击类型和处置方式;
上述最终分析结果确定模块在根据僵木蠕告警信息对僵尸网络行为告警信息进行验证,确定最终僵尸网络行为分析结果时,具体用于:
根据僵尸行为特征,对僵尸网络行为告警信息进行验证,确定最终僵尸网络行为分析结果。
可选的,第一分析模块220至初始分析结果确定模块250的实现过程是通过僵尸网络行为分析模型确定的,该装置还包括:
模型调整模块,用于根据初始僵尸网络行为分析结果,确定待检测对象的僵尸网络行为告警次数或误报率;在僵尸网络行为告警次数大于第一设定值,或者误报率大于第二设定值时,调整僵尸网络行为分析模型的模型参数,并基于调整后的模型参数重新训练模型,直到僵尸网络行为告警次数不大于第一设定值,或者误报率不大于第二设定值。
可选的,上述初始分析结果确定模块250,具体用于:
根据第一源地址集合和第二源地址集合,确定第一分析结果;
根据第一源地址集合和第三源地址集合,确定第二分析结果;
根据第二源地址集合和第三源地址集合,确定第三分析结果;
根据第一分析结果、第二分析结果和第三分析结果,确定待检测对象的初始僵尸网络行为分析结果。
本发明实施例的僵尸网络行为分析装置可执行本发明实施例所提供的僵尸网络行为分析方法,其实现原理相类似,本发明各实施例中的僵尸网络行为分析装置中的各模块、单元所执行的动作是与本发明各实施例中的僵尸网络行为分析方法中的步骤相对应的,对于僵尸网络行为分析装置的各模块的详细功能描述具体可以参见前文中所示的对应的僵尸网络行为分析方法中的描述,此处不再赘述。
其中,上述僵尸网络行为分析装置可以是运行于计算机设备中的一个计算机程序(包括程序代码),例如该僵尸网络行为分析装置为一个应用软件;该装置可以用于执行本发明实施例提供的方法中的相应步骤。
在一些实施例中,本发明实施例提供的僵尸网络行为分析装置可以采用软硬件结合的方式实现,作为示例,本发明实施例提供的僵尸网络行为分析装置可以是采用硬件译码处理器形式的处理器,其被编程以执行本发明实施例提供的僵尸网络行为分析方法,例如,硬件译码处理器形式的处理器可以采用一个或多个应用专用集成电路(ASIC,Application Specific Integrated Circuit)、DSP、可编程逻辑器件(PLD,ProgrammableLogic Device)、复杂可编程逻辑器件(CPLD,Complex Programmable Logic Device)、现场可编程门阵列(FPGA,Field-Programmable Gate Array)或其他电子元件。
在另一些实施例中,本发明实施例提供的僵尸网络行为分析装置可以采用软件方式实现,图4示出了存储在存储器中的僵尸网络行为分析装置,其可以是程序和插件等形式的软件,并包括一系列的模块,包括数据获取模块210、第一分析模块220、第二分析模块230、第三分析模块240和初始分析结果确定模块250,用于实现本发明实施例提供的僵尸网络行为分析方法。
描述于本发明实施例中所涉及到的模块可以通过软件的方式实现,也可以通过硬件的方式来实现。其中,模块的名称在某种情况下并不构成对该模块本身的限定。
基于与本发明的实施例中所示的方法相同的原理,本发明的实施例中还提供了一种电子设备,该电子设备可以包括但不限于:处理器和存储器;存储器,用于存储计算机程序;处理器,用于通过调用计算机程序执行本发明任一实施例所示的方法。
在一个可选实施例中提供了一种电子设备,如图5所示,图5所示的电子设备4000包括:处理器4001和存储器4003。其中,处理器4001和存储器4003相连,如通过总线4002相连。可选地,电子设备4000还可以包括收发器4004,收发器4004可以用于该电子设备与其他电子设备之间的数据交互,如数据的发送和/或数据的接收等。需要说明的是,实际应用中收发器4004不限于一个,该电子设备4000的结构并不构成对本发明实施例的限定。
处理器4001可以是CPU(Central Processing Unit,中央处理器),通用处理器,DSP(Digital Signal Processor,数据信号处理器),ASIC(Application SpecificIntegrated Circuit,专用集成电路),FPGA(Field Programmable Gate Array,现场可编程门阵列)或者其他可编程逻辑器件、晶体管逻辑器件、硬件部件或者其任意组合。其可以实现或执行结合本发明公开内容所描述的各种示例性的逻辑方框,模块和电路。处理器4001也可以是实现计算功能的组合,例如包含一个或多个微处理器组合,DSP和微处理器的组合等。
总线4002可包括一通路,在上述组件之间传送信息。总线4002可以是PCI(Peripheral Component Interconnect,外设部件互连标准)总线或EISA(ExtendedIndustry Standard Architecture,扩展工业标准结构)总线等。总线4002可以分为地址总线、数据总线、控制总线等。为便于表示,图5中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
存储器4003可以是ROM(Read Only Memory,只读存储器)或可存储静态信息和指令的其他类型的静态存储设备,RAM(Random Access Memory,随机存取存储器)或者可存储信息和指令的其他类型的动态存储设备,也可以是EEPROM(Electrically ErasableProgrammable Read Only Memory,电可擦可编程只读存储器)、CD-ROM(Compact DiscRead Only Memory,只读光盘)或其他光盘存储、光碟存储(包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等)、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质,但不限于此。
存储器4003用于存储执行本发明方案的应用程序代码(计算机程序),并由处理器4001来控制执行。处理器4001用于执行存储器4003中存储的应用程序代码,以实现前述方法实施例所示的内容。
其中,电子设备也可以是终端设备,图5示出的电子设备仅仅是一个示例,不应对本发明实施例的功能和使用范围带来任何限制。
本发明实施例提供了一种计算机可读存储介质,该计算机可读存储介质上存储有计算机程序,当其在计算机上运行时,使得计算机可以执行前述方法实施例中相应内容。
根据本发明的另一个方面,还提供了一种计算机程序产品或计算机程序,该计算机程序产品或计算机程序包括计算机指令,该计算机指令存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该计算机指令,处理器执行该计算机指令,使得该计算机设备执行上述各种实施例实现方式中提供的方法。
可以以一种或多种程序设计语言或其组合来编写用于执行本发明的操作的计算机程序代码,上述程序设计语言包括面向对象的程序设计语言—诸如Java、Smalltalk、C++,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络——包括局域网(LAN)或广域网(WAN)—连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。
应该理解的是,附图中的流程图和框图,图示了按照本发明各种实施例的方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,该模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
本发明实施例提供的计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本发明中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
上述计算机可读存储介质承载有一个或者多个程序,当上述一个或者多个程序被该电子设备执行时,使得该电子设备执行上述实施例所示的方法。
以上描述仅为本发明的较佳实施例以及对所运用技术原理的说明。本领域技术人员应当理解,本发明中所涉及的公开范围,并不限于上述技术特征的特定组合而成的技术方案,同时也应涵盖在不脱离上述公开构思的情况下,由上述技术特征或其等同特征进行任意组合而形成的其它技术方案。例如上述特征与本发明中公开的(但不限于)具有类似功能的技术特征进行互相替换而形成的技术方案。

Claims (9)

1.一种僵尸网络行为分析方法,其特征在于,包括:
S1,获取针对待检测对象的僵尸网络行为相关信息,所述僵尸网络行为相关信息包括网络流量数据和安全设备告警信息;
S2,根据所述网络流量数据和所述安全设备告警信息,确定感染僵尸病毒的源地址对应的第一源地址集合;
S3,对所述网络流量数据进行僵尸网络行为分析,确定所述网络流量数据中被源地址攻击的目标地址对应的第二源地址集合;
S4,根据预设周期内所述网络流量数据中的源地址的访问量排名,确定所述访问量排名中排名靠前的第一数量的源地址对应的第三源地址集合;
S5,根据所述第一源地址集合、所述第二源地址集合和所述第三源地址集合,确定所述待检测对象的初始僵尸网络行为分析结果;
所述步骤S5,根据所述第一源地址集合、所述第二源地址集合和所述第三源地址集合,确定所述待检测对象的初始僵尸网络行为分析结果,包括:
根据所述第一源地址集合和所述第二源地址集合,确定第一分析结果;
根据所述第一源地址集合和所述第三源地址集合,确定第二分析结果;
根据所述第二源地址集合和所述第三源地址集合,确定第三分析结果;
根据所述第一分析结果、所述第二分析结果和所述第三分析结果,确定所述待检测对象的初始僵尸网络行为分析结果;
所述根据所述第一分析结果、所述第二分析结果和所述第三分析结果,确定所述待检测对象的初始僵尸网络行为分析结果,包括:
对第一分析结果、第二分析结果和第三分析结果进行加权平均,确定待检测对象的初始僵尸网络行为分析结果;
其中,若所述第一源地址集合、所述第二源地址集合和所述第三源地址集合中的任两个集合中有相匹配的元素,则该相匹配的元素对应的分析结果中包括该相匹配的元素。
2.根据权利要求1所述的方法,其特征在于,所述网络流量数据包括流量日志,所述安全设备告警信息包括网络审计日志、威胁情报和僵木蠕日志,所述方法还包括:
提取所述流量日志中的网络监测特征,所述网络监测特征包括源地址、源端口、目标地址和目标端口;
所述根据所述网络流量数据和所述安全设备告警信息,确定感染僵尸病毒的源地址对应的第一源地址集合,包括:
根据所述网络监测特征和所述威胁情报,确定感染僵尸病毒的源地址对应的第一源地址集合;
所述对所述网络流量数据进行僵尸网络行为分析,确定所述网络流量数据中被源地址攻击的目标地址对应的第二源地址集合,包括:
对所述源地址和所述目标地址进行关联分析,确定所述源地址攻击的目标地址对应的第二源地址集合。
3.根据权利要求1所述的方法,其特征在于,所述初始僵尸网络行为分析结果包括僵尸网络行为告警信息和攻击事件告警信息,所述僵尸网络行为告警信息包括事件时间、攻击类型、协议、控制端地址、控制端端口、被控端地址、被控端端口、告警安全设备地址、事件地址、处置动作和告警类型中的至少一项;所述攻击事件告警信息包括源地址、目的地址、攻击名称,攻击样本名称、告警时间、危险级别、行为参数、响应方式和告警类型中的至少一项。
4.根据权利要求3所述的方法,其特征在于,所述方法还包括:
根据所述安全设备告警信息,确定僵木蠕告警信息;
根据所述僵木蠕告警信息对所述僵尸网络行为告警信息进行验证,确定最终僵尸网络行为分析结果。
5.根据权利要求4所述的方法,其特征在于,所述方法还包括:
从所述僵木蠕告警信息中提取僵尸行为特征,所述僵尸行为特征包括攻击时间、告警标识、攻击源地址、资产地址、攻击类型和处置方式;
所述根据所述僵木蠕告警信息对所述僵尸网络行为告警信息进行验证,确定最终僵尸网络行为分析结果,包括:
根据所述僵尸行为特征,对所述僵尸网络行为告警信息进行验证,确定所述最终僵尸网络行为分析结果。
6.根据权利要求1至4中任一项所述的方法,其特征在于,所述步骤S2至所述步骤S5是通过僵尸网络行为分析模型确定的,所述方法还包括:
根据所述初始僵尸网络行为分析结果,确定所述待检测对象的僵尸网络行为告警次数或误报率;
在所述僵尸网络行为告警次数大于第一设定值,或者所述误报率大于第二设定值时,调整所述僵尸网络行为分析模型的模型参数,并基于调整后的模型参数重新训练模型,直到所述僵尸网络行为告警次数不大于第一设定值,或者所述误报率不大于第二设定值。
7.一种僵尸网络行为分析装置,其特征在于,包括:
数据获取模块,用于获取针对待检测对象的僵尸网络行为相关信息,所述僵尸网络行为相关信息包括网络流量数据和安全设备告警信息;
第一分析模块,用于根据所述网络流量数据和所述安全设备告警信息,确定感染僵尸病毒的源地址对应的第一源地址集合;
第二分析模块,用于对所述网络流量数据进行僵尸网络行为分析,确定所述网络流量数据中被源地址攻击的目标地址对应的第二源地址集合;
第三分析模块,用于根据预设周期内所述网络流量数据中的源地址的访问量排名,确定所述访问量排名中排名靠前的第一数量的源地址对应的第三源地址集合;
初始分析结果确定模块,用于根据所述第一源地址集合、所述第二源地址集合和所述第三源地址集合,确定所述待检测对象的初始僵尸网络行为分析结果;
所述初始分析结果确定模块,具体用于:
根据所述第一源地址集合和所述第二源地址集合,确定第一分析结果;
根据所述第一源地址集合和所述第三源地址集合,确定第二分析结果;
根据所述第二源地址集合和所述第三源地址集合,确定第三分析结果;
根据所述第一分析结果、所述第二分析结果和所述第三分析结果,确定所述待检测对象的初始僵尸网络行为分析结果;
所述初始分析结果确定模块在根据所述第一分析结果、所述第二分析结果和所述第三分析结果,确定所述待检测对象的初始僵尸网络行为分析结果时,具体用于:
对第一分析结果、第二分析结果和第三分析结果进行加权平均,确定待检测对象的初始僵尸网络行为分析结果;
其中,若所述第一源地址集合、所述第二源地址集合和所述第三源地址集合中的任两个集合中有相匹配的元素,则该相匹配的元素对应的分析结果中包括该相匹配的元素。
8.一种电子设备,其特征在于,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现权利要求1-6中任一项所述的方法。
9.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现权利要求1-6中任一项所述的方法。
CN202210945037.6A 2022-08-08 2022-08-08 一种僵尸网络行为分析方法、装置、电子设备及介质 Active CN115361182B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210945037.6A CN115361182B (zh) 2022-08-08 2022-08-08 一种僵尸网络行为分析方法、装置、电子设备及介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210945037.6A CN115361182B (zh) 2022-08-08 2022-08-08 一种僵尸网络行为分析方法、装置、电子设备及介质

Publications (2)

Publication Number Publication Date
CN115361182A CN115361182A (zh) 2022-11-18
CN115361182B true CN115361182B (zh) 2024-02-09

Family

ID=84001074

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210945037.6A Active CN115361182B (zh) 2022-08-08 2022-08-08 一种僵尸网络行为分析方法、装置、电子设备及介质

Country Status (1)

Country Link
CN (1) CN115361182B (zh)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2010031288A1 (zh) * 2008-09-18 2010-03-25 成都市华为赛门铁克科技有限公司 一种僵尸网络的检测方法和系统
CN107332832A (zh) * 2017-06-21 2017-11-07 北京东方棱镜科技有限公司 移动互联网分布式僵尸木马蠕虫检测方法和装置
CN110730175A (zh) * 2019-10-16 2020-01-24 杭州安恒信息技术股份有限公司 一种基于威胁情报的僵尸网络检测方法及检测系统

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20130031625A1 (en) * 2011-07-29 2013-01-31 Electronics And Telecommunications Research Institute Cyber threat prior prediction apparatus and method
US11785042B2 (en) * 2019-07-31 2023-10-10 Netscout Systems, Inc. Real time management of botnet attacks

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2010031288A1 (zh) * 2008-09-18 2010-03-25 成都市华为赛门铁克科技有限公司 一种僵尸网络的检测方法和系统
CN107332832A (zh) * 2017-06-21 2017-11-07 北京东方棱镜科技有限公司 移动互联网分布式僵尸木马蠕虫检测方法和装置
CN110730175A (zh) * 2019-10-16 2020-01-24 杭州安恒信息技术股份有限公司 一种基于威胁情报的僵尸网络检测方法及检测系统

Also Published As

Publication number Publication date
CN115361182A (zh) 2022-11-18

Similar Documents

Publication Publication Date Title
KR20190086346A (ko) 선제적 사이버 방어
CN107004089A (zh) 恶意软件检测方法及其系统
US10505986B1 (en) Sensor based rules for responding to malicious activity
US10885185B2 (en) Graph model for alert interpretation in enterprise security system
US20060272008A1 (en) Method and security system for indentifying and blocking web attacks by enforcing read-only parameters
Rassam et al. Big Data Analytics Adoption for Cybersecurity: A Review of Current Solutions, Requirements, Challenges and Trends.
Fatemi et al. Threat hunting in windows using big security log data
CN114070642A (zh) 网络安全检测方法、系统、设备及存储介质
CN115361182B (zh) 一种僵尸网络行为分析方法、装置、电子设备及介质
CN115643044A (zh) 数据处理方法、装置、服务器及存储介质
CN115378670B (zh) 一种apt攻击识别方法、装置、电子设备及介质
CN112989403B (zh) 一种数据库破坏的检测方法、装置、设备及存储介质
CN115001724A (zh) 网络威胁情报管理方法、装置、计算设备及计算机可读存储介质
CN112084504A (zh) 病毒文件的处理方法、装置、电子设备及可读存储介质
Bo et al. Tom: A threat operating model for early warning of cyber security threats
CN115473675A (zh) 一种网络安全态势感知方法、装置、电子设备及介质
Henriques et al. A Survey on Forensics and Compliance Auditing for Critical Infrastructure Protection
CN117294527B (zh) 一种攻击判定方法、装置、存储介质及设备
Durai et al. Decision tree classification-N tier solution for preventing SQL injection attack on websites
Augustine Applying machine learning on linux interprocess communication graphs for intrusion detection
CN115664863B (zh) 一种网络攻击事件处理方法、装置、存储介质及设备
CN115481166A (zh) 一种数据存储方法、装置、电子设备及计算机存储介质
Laurenza Critical infrastructures security: improving defense against novel malware and Advanced Persistent Threats
WO2022201307A1 (ja) 情報分析装置、情報分析方法、及びコンピュータ読み取り可能な記録媒体
US20230252146A1 (en) Cyber threat information processing apparatus, cyber threat information processing method, and storage medium storing cyber threat information processing program

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
CB02 Change of applicant information

Address after: 100094 103, building 6, yard 9, FengHao East Road, Haidian District, Beijing

Applicant after: Yongxin Zhicheng Technology Group Co.,Ltd.

Address before: 100094 103, building 6, yard 9, FengHao East Road, Haidian District, Beijing

Applicant before: BEIJING YONGXIN ZHICHENG TECHNOLOGY CO.,LTD.

CB02 Change of applicant information
GR01 Patent grant
GR01 Patent grant