WO2011047600A1 - 僵尸网络检测方法、装置和系统 - Google Patents

Description

僵尸网络检测方法、 装置和系统 本申请要求于 2009 年 10 月 20 日提交中国专利局， 申请号为 200910206068.4, 发明名称为 "僵尸网络检测方法、 装置和系统" 的中国专 利申请的优先权， 其全部内容通过引用结合在本申请中。 技术领域

本发明涉及网络安全技术领域， 特别涉及一种僵尸网络检测方法、 装置 和系统。 背景技术

僵尸网络（Botnet )是只采用一种或者多种传播手段， 将大量主机感染 僵尸工具 Bot程序， 从而在控制者和被感染主机之间形成一个可一对多控制 的网络， 其中僵尸工具 Bot是 robot (机器人） 的缩写， 其可执行预定义的 功能， 可以被预定义的命令所远程控制、 并具有一定人工智能的程序， 僵尸 主机就是指含有僵尸工具或者其他远程控制程序， 使其可被攻击者远程控制 的计算机。

僵尸网络构成一个攻击平台， 利用这个平台可以发起各种各样的网络攻 击行为， 从而导致整个基础信息网络或者重要应用系统瘫痪， 也可以导致大 量机密或者个人隐私泄露，还可以被用来从事网络欺诈等其他违法犯罪活动， 利用 Botnet 可以发起分布式拒绝服务攻击（Distribution Denial of service，以下简称： DD0S)、 发送垃圾邮件、 窃取机密、 滥用资源等网络攻 击行为， 这些行为无论对整个网络还是用户自身都造成了严重的后果。

目前僵尸网络有多种网络拓朴结构， 其中一种网络拓朴结构为多级控制 的树状拓朴结构， 另一种网络拓朴结构是一种基于 IRC ( Internet Relay Chat, 因特网中继交谈）协议实现的僵尸网络， 其控制者在 IRC服务器上 创建通信频道， 僵尸主机登陆 IRC服务器并加入控制者事先创建的频道， 等待控制者发起指令， 控制者在 IRC指定频道上发指令， 僵尸主机收到指 令后执行指令， 并发起攻击。 另外还有一种存在基于点对点 （P2P ) 结构 的僵尸网络。

现有技术中对僵尸网络的检测， 一种是通过蜜罐等手段获 Bot程序样 本， 采用逆向工程等恶意代码分析手段， 获得隐藏在代码中的登录 Bo tnet 所需要的相关信息， 使用定制的僵尸程序登录到僵尸网络中去， 进一步采 取应对措施； 二是通过研究僵尸计算机行为的网络流量变化， 使用离线和 在线的两种分析方法， 就可以实现对僵尸网络的判断。

发明人在实现本发明的过程中发现， 现有技术中不能实时对僵尸网络 进行监控， 生成僵尸网络的拓朴结构。 发明内容

本发明实施例的目的是提供一种僵尸网络检测方法、 装置和系统， 能够 实现实时对僵尸网络进行监控， 生成僵尸网络的拓朴结构。

为实现上述目的， 本发明实施例提供了一种僵尸网络检测方法， 包括： 利用自爆发环境获取僵尸工具样本的控制主机的地址信息；

向流量分析设备发送用于获取与所述控制主机连接的僵尸主机的地址信 息的查询请求消息， 所述查询请求消息包括所述控制主机的地址信息；

接收所述流量分析设备返回的查询响应消息， 所述查询响应消息包括与 所述控制主机连接的僵尸主机的地址信息。

本发明还提供了一种僵尸网络检测装置， 包括：

地址获取模块， 用于利用自爆发环境获取僵尸工具样本的控制主机的地 址信息；

发送模块， 用于向流量分析设备发送用于获取与所述控制主机连接的僵 尸主机的地址信息的查询请求消息， 所述查询请求消息包括所述控制主机的 地址信息； 接收模块， 用于接收所述流量分析设备返回的查询响应消息， 所述查询 响应消息包括与所述控制主机连接的僵尸主机的地址信息。

本发明实施例还提供了一种僵尸网络检测系统， 包括上述的僵尸网络检 测装置和流量分析设备， 所述流量分析设备用于在接收到所述查询请求消息 后根据控制主机的 DNS应答信息获取与其连接的僵尸主机的地址信息。

本发明实施例提供的僵尸网络检测方法、 装置和系统， 通过在获取到僵 尸工具样本后， 利用自爆发环境获取僵尸工具样本的控制主机的地址信息， 然后向流分析设备发送查询请求消息， 在接收到的流量分析设备返回的查询 响应消息中包括上述的控制主机控制的僵尸主机的地址信息， 从而能够实时 的获取僵尸网络的相关信息， 构建僵尸网络的拓朴结构。 附图说明

为了更清楚地说明本发明实施例的技术方案， 下面将对实施例或现有技 术描述中所需要使用的附图作一简单地介绍， 显而易见地， 下面描述中的附 图是本发明的一些实施例， 对于本领域普通技术人员来讲， 在不付出创造性 劳动性的前提下， 还可以根据这些附图获得其他的附图。 图 1本发明僵尸网络检测方法实施例的流程示意图；

图 2为本发明僵尸网络检测装置实施例的结构示意图；

图 3为本发明僵尸网络检测系统实施例的结构示意图；

图 4为本发明具体实施例中僵尸网络检测方法的流程图

图 5为本发明具体实施例中僵尸网络检测系统的装置示意图。 具体实施方式

下面将结合本发明实施例中的附图， 对本发明实施例中的技术方案进 行清楚、 完整地描述，显然， 所描述的实施例仅仅是本发明一部分实施例， 而不是全部的实施例。 基于本发明中的实施例， 本领域普通技术人员在没 有作出创造性劳动前提下所获得的所有其他实施例， 都属于本发明保护的 范围。

下面通过附图和实施例， 对本发明的技术方案做进一步的详细描述。 本发明实施例提供了一种僵尸网络检测方法， 图 1为本发明僵尸网络检 测方法实施例的流程示意图， 如图 1所示， 该方法包括如下步骤：

步骤 101、 利用自爆发环境获取僵尸工具样本的控制主机的地址信息； 本步骤中的自爆发环境是指在僵尸网络检测装置获取到僵尸工具的活体样本 后， 利用虚拟机执行上述获取的僵尸工具样本；

步骤 102、 向流量分析设备发送用于获取与所述控制主机连接的僵尸主 机的地址信息的查询请求消息， 该查询请求消息包括所述控制主机的地址信 息；

步骤 103、 接收所述流量分析设备返回的查询响应消息， 所述查询响应 消息包括与所述控制主机连接的僵尸主机的地址信息。

本发明实施例提供的僵尸网络检测方法，通过在获取到僵尸工具样本后， 利用自爆发环境获取僵尸工具样本的控制主机的地址信息， 然后向流分析设 备发送查询请求消息， 在接收到的流量分析设备返回的查询响应消息中包括 上述的控制主机控制的僵尸主机的地址信息， 从而能够实时的获取僵尸网络 的相关信息， 构建僵尸网络的拓朴结构。 在上述步骤 101 中， 僵尸网络的僵 尸工具样本可以为根据蜜网技术或网络爬虫技术获取， 即上述利用自爆发环 境获取僵尸工具样本的控制主机的地址信息可以具体为： 利用自爆发环境获 取根据蜜网技术或网络爬虫技术获取的僵尸工具样本对应的控制主机的地址 信息。 上述自爆发环境用于自动运行僵尸工具样本。

控制主机的地址信息可以包括控制主机的域名信息和端口信息， 或者包 括控制主机的 IP地址和端口信息， 或者包括控制主机的域名信息、 IP地址 和端口信息。 在上述实施例中，僵尸主机的地址信息可以为僵尸主机的 IP地址和端口 信息。 上述实施例中的流量分析设备可以为深度包检测 （ Deep Packe t Inspec t ion，以下简称： DPI )设备、 DD0S检测设备、 防火墙或者统一威胁管 理（Un i f i ed Threa t Management , 以下简称： UTM)设备。 另外在上述图 3 所述实施例的基石出上，僵尸网络的检测方法还可以进一步的包括如下的步骤： 根据所述控制主机的地址信息以及所述僵尸主机的地址信息构建僵尸网络的 网络拓朴结构。

在上述的步骤 102 中向流量分析设备发送了包括控制主机的地址信息的 查询请求消息， 流量分析设备在接收到上述的查询请求消息后， 可以根据所 述控制主机的 DNS应答信息获取与其连接的僵尸主机的地址信息， 及上述的 步骤 103可以具体为： 接收所述流量分析设备返回的查询响应消息， 所述查 询响应消息包括根据所述控制主机的 DNS应答信息获取的与所述控制主机连 接的僵尸主机的地址信息。 之后再将获取的僵尸主机的地址信息返回给僵尸 网络检测装置。

本发明实施例还提供了一种僵尸网络检测装置， 图 2为本发明僵尸网络 检测装置实施例的结构示意图， 如图 2所示， 僵尸网络检测装置包括地址获 取模块 11、发送模块 12和接收模块 13 , 其中地址获取模块 11用于利用自爆 发环境获取僵尸工具样本的控制主机的地址信息；发送模块 12用于向流量分 析设备发送包括用于获取与所述控制主机连接的僵尸主机的地址信息的查询 请求消息， 该查询请求消息包括所述控制主机的地址信息； 接收模块 13用于 接收所述流量分析设备返回的查询响应消息， 所述查询响应消息包括与所述 控制主机连接的僵尸主机的地址信息。

本发明实施例提供的僵尸网络检测装置，通过在获取到僵尸工具样本后， 利用自爆发环境获取僵尸工具样本的控制主机的地址信息， 然后向流分析设 备发送查询请求消息， 在接收到的流量分析设备返回的查询响应消息中包括 上述的控制主机控制的僵尸主机的地址信息， 从而能够实时的获取僵尸网络 的相关信息， 构建僵尸网络的拓朴结构。

在上述实施例中上述的地址获取模块可以包括第一获取单元， 该单元用 于利用自爆发环境获取根据蜜网技术或网络爬虫技术获取的僵尸工具样本的 控制主机的地址信息。

另外上述的僵尸网络检测装置还可以包括一个构建模块， 该模块用于根 据所述控制主机的地址信息以及所述僵尸主机的地址信息构建僵尸网络的网 络拓朴结构。

本发明实施例还提供了一种僵尸网络检测系统， 该僵尸网络检测系统包 括流量分析设备和上述实施例提供的僵尸网络检测装置。 图 3为本发明僵尸 网络检测系统实施例的结构示意图， 如图 3所示， 该僵尸网络检测系统包括 僵尸网络检测装置 21和流量分析设备 22 , 其中僵尸网络检测装置 21用于利 用自爆发环境获取僵尸工具样本的控制主机的地址信息； 用于向流量分析设 备发送用于获取与所述控制主机连接的僵尸主机的地址信的息查询请求消 息， 该消息包括所述控制主机的地址信息； 用于接收所述流量分析设备返回 的查询响应消息， 所述查询响应消息包括与所述控制主机连接的僵尸主机的 地址信息；流量分析设备 22用于在接收到所述查询请求消息后根据控制主机 的 DNS应答信息获取与其连接的僵尸主机的地址信息。

本发明上述实施例提供的僵尸网络检测系统， 通过在获取到僵尸工具样 本后， 利用自爆发环境获取僵尸工具样本的控制主机的地址信息， 然后向流 量分析设备发送查询请求消息， 在接收到的流量分析设备返回的查询响应消 息中包括上述的控制主机控制的僵尸主机的地址信息， 从而能够实时的获取 僵尸网络的相关信息， 构建僵尸网络的拓朴结构。

上述实施例的僵尸网络检测系统中的流量分析设备可以为 DPI 设备、 DDO S检测设备、 防火墙或 UTM。

以下是一个本发明的具体实施例， 图 4为本发明具体实施例中僵尸网络 检测方法的流程图， 在本具体实施例中， 僵尸网络检测系统包括监控分析中 心 （相当于上述的僵尸网络检测装置）和 DPI设备（相当于上述的流量分析 设备） ， 其中的 DPI设备包括前台和后台， 前台用于流量获取和流量分析， 后台用于进行业务统计汇总和展示， 其僵尸网络的检测方法可以包括如下的 步骤：

步骤 201、 监控分析中心通过蜜网技术或者网络爬虫技术获取恶意僵尸 工具的样本， 并在获得活体样本后， 利用虚拟机执行上述获取的僵尸工具样 本， 并记录上述其对外通信的数据包；

具体的， 监控中心通过蜜网技术或者网络爬虫技术获取恶意僵尸工具的 活体样本后，将样本程序传入虚拟机中，通过调用虚拟机的 API ( Appl icat ion Program Interface, 应用程序接口）接口来自动运行样本程序， 并记录其对 外通信的数据包。

步骤 202、 监控分析中心通过程序或者人工操作获取上述记录的数据包 中包括的 DNS、 IP地址以及连接端口等信息， 并发现其稳定对外连接的控制 服务器， 可确定该服务器为僵尸网络的控制主机；

步骤 203、 监控分析中心将获取的上述活体样本对应的控制主机的地址 信息存储到样本分析库中；

步骤 204、 利用监控分析中心的对外联动的能力， 将控制主机的域名、 IP地址以及连接端口信息生成 C&C列表并发送给各个 DPI设备；

具体的， C&C ( command and contro l , 命令和控制） 列表指的是僵尸网 络的命令和控制服务器的列表， 也就是记录发出僵尸网络命令和控制转发的 服务器的信息列表。

步骤 205、 DPI设备接收上述的 C&C列表，对该控制主机的 DNS应答信息、 连接信息进行监控， 即监控与 C&C列表中的域名、 端口及 IP进行通信连接的 客户机信息；

步骤 206、 DPI设备检测上述 DNS应答信息， 若客户机进行 DNS查询而返 回的 DNS应答信息中包含的域名信息与 C&C列表中的域名相同， 则该客户机 被认为是僵尸主机， 另外对于与 C&C列表中的域名、 端口及 IP进行通信连接 的客户机， 也被认为是僵尸网络的僵尸主机客户端 IP以及 IP连接客户端， 并且忽略 DNS应答信息中客户端是 DNS服务器的数据， 本步骤中获取的是其 IP地址；

步骤 207、 各个 DPI设备将检测到的上述僵尸网络中僵尸主机的 IP地址 报告给监控分析中心。 上述僵尸主机生成 Bot列表；

步骤 208、 监控分析中心根据控制主机的地址信息以及僵尸主机的 IP地 址等信息构建僵尸网络的拓朴结构。

以上提供了一种僵尸网络检测方法的具体实施例， 其中的主要功能由监 测分析中心和 DPI设备完成， 如图 5所示， 可进一步的将 DPI设备分为流量 获取单元、 流量解析单元、 数据存储单元、 监控单元和数据记录单元， 监控 分析中心包括信息提取单元、 软件下载单元、 恶意性分析单元、 C&C 下发单 元、 B0T上报单元和信息汇总单元， 其中 DPI 的流量获取单元用于进行网络 流量获取， 流量解析单元用于对流量数据进行解析， 下载格式是 PE格式的文 件， 并由数据存储单元记录上述下载过程中的链接路径， 并将获取的下载路 径发送给监测分析中心的信息提取单元，信息提取单元提取上述的下载路径， 将其发送给软件下载单元， 软件下载单元利用爬虫技术下载 PE文件， 将获取 的上述 PE文件发送给恶意性分析单元， 由恶意性分析单元进行分析， 确认其 是否为僵尸工具样本， 另外恶意性分析单元还可以与样本获取单元连接， 即 通过蜜网技术获取 PE文件， 若上述 PE文件为僵尸工具样本， 则 C&C下发单 元可利用自爆发环境获取僵尸工具样本的控制主机的地址信息， 尤其是其域 名， 并将上述的地址信息生成 C&C列表发送给 DPI设备的监控单元， 该监控 单元监控上述控制主机的 DNS应答信息，并获取与其连接的僵尸主机的 IP地 址， 由数据记录单元进行记录并转发给监控分析中心的 B0T上报单元， 由信 息汇总单元进行信息汇总，并根据控制主机的地址信息以及僵尸主机的 IP地 址等信息构建僵尸网络的拓朴结构， 在获取到上述的信息后， 可将僵尸网络 信息存储到僵尸网络库中。

本发明实施例提供的僵尸网络检测方法、 装置和系统， 通过在获取到僵 尸工具样本后， 利用自爆发环境获取僵尸工具样本的控制主机的地址信息， 然后向流分析设备发送查询请求消息， 在接收到的流量分析设备返回的查询 响应消息中包括上述的控制主机控制的僵尸主机的地址信息， 从而能够实时 的获取僵尸网络的相关信息， 构建僵尸网络的拓朴结构。

最后应说明的是： 以上实施例仅用以说明本发明的技术方案而非对其进 行限制， 尽管参照较佳实施例对本发明进行了详细的说明， 本领域的普通技 术人员应当理解： 其依然可以对本发明的技术方案进行修改或者等同替换， 而这些修改或者等同替换亦不能使修改后的技术方案脱离本发明技术方案的 ^"神和范围。

Claims

权 利 要 求

1、 一种僵尸网络检测方法， 其特征在于， 包括：

利用自爆发环境获取僵尸工具样本的控制主机的地址信息；

向流量分析设备发送用于获取与所述控制主机连接的僵尸主机的地址信 息的查询请求消息， 所述查询请求消息包括所述控制主机的地址信息；

接收所述流量分析设备返回的查询响应消息， 所述查询响应消息包括与 所述控制主机连接的僵尸主机的地址信息。

2、 根据权利要求 1所述的僵尸网络检测方法， 其特征在于， 所述控制主 机的地址信息包括控制主机的域名信息和端口信息， 或者包括控制主机的 IP 地址和端口信息， 或者包括控制主机的域名信息、 IP地址和端口信息。

3、 根据权利要求 1所述的僵尸网络检测方法， 其特征在于， 所述僵尸主 机的地址信息包括僵尸主机的 IP地址和端口信息。

4、 根据权利要求 1所述的僵尸网络检测方法， 其特征在于， 所述控制主 机连接的僵尸主机的地址信息是所述流量分析设备根据所述控制主机的 DNS 应答信息获取的。

5、 根据权利要求 1所述的僵尸网络检测方法， 其特征在于， 还包括： 根据所述控制主机的地址信息以及所述僵尸主机的地址信息构建僵尸网 络的网络拓朴结构。

6、 一种僵尸网络检测装置， 其特征在于， 包括：

地址获取模块， 用于利用自爆发环境获取僵尸工具样本的控制主机的地 址信息；

发送模块， 用于向流量分析设备发送用于获取与所述控制主机连接的僵 尸主机的地址信息的查询请求消息， 所述查询请求消息包括所述控制主机的 地址信息；

接收模块， 用于接收所述流量分析设备返回的查询响应消息， 所述查询 响应消息包括与所述控制主机连接的僵尸主机的地址信息。

7、 根据权利要求 6所述的僵尸网络检测装置， 其特征在于， 所述控制主 机的地址信息包括控制主机的域名信息和端口信息， 或者包括控制主机的 IP 地址和端口信息， 或者包括控制主机的域名信息、 IP地址和端口信息。

8、 根据权利要求 6所述的僵尸网络检测装置， 其特征在于， 所述僵尸主 机的地址信息包括僵尸主机的 IP地址和端口信息。

9、 根据权利要求 6所述的僵尸网络检测装置， 其特征在于， 还包括： 构建模块， 用于根据所述控制主机的地址信息以及所述僵尸主机的地址 信息构建僵尸网络的网络拓朴结构。

10、 一种僵尸网络检测系统， 其特征在于， 包括如权利要求 6 - 9任一所 述的僵尸网络检测装置和流量分析设备， 所述流量分析设备用于在接收到所 述查询请求消息后根据控制主机的 DNS应答信息获取与其连接的僵尸主机的 地址信息。