社交僵尸網(wǎng)絡(luò)控制節(jié)點(diǎn)的檢測方法及裝置制造方法
【專利摘要】本發(fā)明涉及一種社交僵尸網(wǎng)絡(luò)控制節(jié)點(diǎn)的檢測方法及裝置。社交僵尸網(wǎng)絡(luò)控制節(jié)點(diǎn)的檢測方法包括:采集合法昵稱樣本和惡意昵稱樣本并保存并進(jìn)行隨機(jī)劃分;基于改進(jìn)的Aprior算法,從第一合法昵稱樣本子集中挖掘出所有出現(xiàn)頻數(shù)超過設(shè)定頻數(shù)閾值的各階子字符串保存在頻繁表中;基于頻繁表,利用第二合法昵稱樣本子集和第一惡意昵稱樣本子集,根據(jù)預(yù)設(shè)的可信度計(jì)算函數(shù)和閾值生成規(guī)則獲得可信度閾值;根據(jù)可信度計(jì)算函數(shù),利用第三合法昵稱樣本子集和第二惡意昵稱樣本子集,驗(yàn)證可信度閾值是否有效;若有效,則根據(jù)可信度計(jì)算函數(shù)和可信度閾值對(duì)待檢測昵稱進(jìn)行檢測。本發(fā)明能夠在無需對(duì)僵尸程序進(jìn)行逆向的情況下,快速準(zhǔn)確地檢測出NGA生成的偽隨機(jī)昵稱。
【專利說明】社交僵尸網(wǎng)絡(luò)控制節(jié)點(diǎn)的檢測方法及裝置
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及網(wǎng)絡(luò)【技術(shù)領(lǐng)域】,尤其涉及一種社交僵尸網(wǎng)絡(luò)控制節(jié)點(diǎn)的檢測方法及裝置。
【背景技術(shù)】
[0002]僵尸網(wǎng)絡(luò)是一種從傳統(tǒng)惡意代碼形態(tài)進(jìn)化而來的新型攻擊方式,為攻擊者提供了隱匿、靈活且高效的一對(duì)多C&C (Command and Control,命令與控制)機(jī)制,可以控制大量僵尸主機(jī)實(shí)現(xiàn)信息竊取、分布式拒絕服務(wù)攻擊和垃圾郵件發(fā)送等攻擊目的。C&C機(jī)制是僵尸網(wǎng)絡(luò)的命脈,一旦C&C機(jī)制被防御者破解,則僵尸網(wǎng)絡(luò)將面臨完全失效的風(fēng)險(xiǎn)。因此,設(shè)計(jì)具備強(qiáng)抗毀性的C&C機(jī)制,以對(duì)抗防御者的檢測,是僵尸網(wǎng)絡(luò)控制者追尋的一個(gè)目標(biāo)。
[0003]近幾年,諸如Facebook、Twitter、騰訊微博這類的社交網(wǎng)站吸引了全世界數(shù)億用戶,社交網(wǎng)絡(luò)服務(wù)的快速發(fā)展以及社會(huì)工程學(xué)攻擊的多樣化催生了社交僵尸網(wǎng)絡(luò)的出現(xiàn),并逐漸成為危及互聯(lián)網(wǎng)安全的一種新威脅。社交僵尸網(wǎng)絡(luò)是指利用社交網(wǎng)絡(luò)賬號(hào)搭建控制節(jié)點(diǎn)的僵尸網(wǎng)絡(luò),本文所述的控制節(jié)點(diǎn)相當(dāng)于傳統(tǒng)僵尸網(wǎng)絡(luò)的命令與控制服務(wù)器,用于在控制者與僵尸終端之間中轉(zhuǎn)控制命令與反饋信息??刂乒?jié)點(diǎn)與控制者注冊(cè)的僵尸賬號(hào)的昵
稱--對(duì)應(yīng),控制者和僵尸終端均通過URL(Uniform Resource Locator,統(tǒng)一資源定位符)
訪問控制節(jié)點(diǎn)。為了方便用戶記憶,社交網(wǎng)絡(luò)普遍允許用戶設(shè)置個(gè)性化URL,形式為“固定前綴+昵稱”。以新浪微博為例,假定用戶昵稱為abcl23,則該用戶主頁的個(gè)性化URL可設(shè)置為:http://weib0 .com/abcl23。正是由于社交網(wǎng)絡(luò)的這一特性,新型社交僵尸網(wǎng)絡(luò),如AndBot, CoolBotJIAT URL-Flux技術(shù)增強(qiáng)其C&C機(jī)制的抗毀性,其核心思想是基于NGA(Nickname Generation Algorithm,昵稱生成算法)。NGA利用種子批量生成偽隨機(jī)昵稱,用于構(gòu)造訪問控制節(jié)點(diǎn)的個(gè)性化URL列表,更換新的種子后,NGA會(huì)生成新一批偽隨機(jī)昵稱。僵尸終端輪詢URL列表,一旦某個(gè)URL訪問成功,便可與對(duì)應(yīng)的控制節(jié)點(diǎn)通信。種子主要用于同步控制者和僵尸終端的URL列表,時(shí)間、搜索引擎對(duì)某關(guān)鍵詞給出的返回記錄、社交網(wǎng)絡(luò)熱門主題排名等均可做為種子。由于社交網(wǎng)絡(luò)用戶數(shù)以億計(jì),NGA生成的昵稱需要盡量避免與合法用戶的昵稱沖突;此外,為了增加防御者對(duì)僵尸網(wǎng)絡(luò)昵稱進(jìn)行語義分析的難度,還需要降低昵稱之間的相關(guān)性。因此,NGA通常會(huì)對(duì)生成的昵稱進(jìn)行偽隨機(jī)處理。相比傳統(tǒng)僵尸網(wǎng)絡(luò),這類新型社交僵尸網(wǎng)絡(luò)具有隱蔽性高、抗毀性強(qiáng)、高效低成本等優(yōu)勢。
[0004]從僵尸網(wǎng)絡(luò)控制者的角度來看,利用URL-Flux技術(shù)對(duì)抗檢測十分奏效??刂普咧恍枰獜慕┦K端每天會(huì)輪詢的多個(gè)昵稱中任意注冊(cè)一個(gè)或幾個(gè),但防御者則必須先于控制者注冊(cè)所有昵稱,才可能接管僵尸網(wǎng)絡(luò)。為此,防御者必須事先逆向僵尸程序,從中解析出NGA。然而,逆向僵尸程序是一項(xiàng)相當(dāng)消耗資源和時(shí)間的工程,在相應(yīng)NGA被破解之前,一旦控制者利用新的NGA更新了僵尸程序,則需要重新對(duì)僵尸程序進(jìn)行逆向,致使大量寶貴的資源和時(shí)間被浪費(fèi)掉。因此,能否在無需逆向僵尸程序的情況下就能有效地檢測出用于構(gòu)建社交僵尸網(wǎng)絡(luò)控制節(jié)點(diǎn)的偽隨機(jī)昵稱,對(duì)于僵尸網(wǎng)絡(luò)的檢測是非常重要的。
[0005]目前,已有的相關(guān)技術(shù)主要用于檢測傳統(tǒng)僵尸網(wǎng)絡(luò)或其它形式網(wǎng)絡(luò)攻擊的惡意URL。Ma等人提出了一種基于URL詞法特征(域名長度、主機(jī)名、圓點(diǎn)個(gè)數(shù)等)的統(tǒng)計(jì)學(xué)習(xí)技術(shù),可以自動(dòng)檢測一個(gè)URL是否是用于網(wǎng)絡(luò)釣魚或發(fā)送垃圾郵件。Sandeep Yadav等人提出了一種惡意域名檢測技術(shù),可以有效檢測Conficker、Torpig等基于域名生成算法的傳統(tǒng)僵尸網(wǎng)絡(luò)。至今,尚未找到一種有效的針對(duì)社交僵尸網(wǎng)絡(luò)控制節(jié)點(diǎn)的檢測技術(shù)。
【發(fā)明內(nèi)容】
[0006]本發(fā)明所要解決的技術(shù)問題是提供一種社交僵尸網(wǎng)絡(luò)控制節(jié)點(diǎn)的檢測方法及裝置,在無需對(duì)僵尸程序進(jìn)行逆向的情況下,可以有效地實(shí)時(shí)檢測出利用NGA構(gòu)造的僵尸網(wǎng)絡(luò)偽隨機(jī)昵稱。
[0007]為解決上述技術(shù)問題,本發(fā)明提出了一種社交僵尸網(wǎng)絡(luò)控制節(jié)點(diǎn)的檢測方法,包括:
[0008]步驟一,采集合法昵稱樣本和惡意昵稱樣本并保存,并將所述合法昵稱樣本的集合隨機(jī)劃分為第一合法昵稱樣本子集、第二合法昵稱樣本子集和第三合法昵稱樣本子集,將所述惡意昵稱樣本的集合隨機(jī)劃分為第一惡意昵稱樣本子集、第二惡意昵稱樣本子集,其中,所述昵稱為字符串;
[0009]步驟二,基于改進(jìn)的Aprior算法,從所述第一合法昵稱樣本子集中挖掘出所有出現(xiàn)頻數(shù)超過設(shè)定頻數(shù)閾值的各階子字符串,將所述各階子字符串及其出現(xiàn)頻數(shù)按階保存在頻繁表中,其中,所述改進(jìn)的Aprior算法,是指調(diào)整了生成候選表的連接規(guī)則和剪枝規(guī)則的Aprior算法,階是指字符串的長度,出現(xiàn)頻數(shù)是指出現(xiàn)次數(shù);
[0010]步驟三,基于所述頻繁表,利用所述第二合法昵稱樣本子集和所述第一惡意昵稱樣本子集,根據(jù)預(yù)設(shè)的可信度計(jì)算函數(shù)和閾值生成規(guī)則,獲得可信度閾值;
[0011]步驟四,根據(jù)所述可信度計(jì)算函數(shù),利用所述第三合法昵稱樣本子集和所述第二惡意昵稱樣本子集,驗(yàn)證所述可信度閾值是否有效;
[0012]步驟五,若經(jīng)檢驗(yàn),所述可信度閾值有效,則根據(jù)所述可信度計(jì)算函數(shù)計(jì)算待檢測昵稱的可信度,若所述待檢測昵稱的可信度小于所述可信度閾值,則所述待檢測昵稱為惡意昵稱,與所述待檢測昵稱對(duì)應(yīng)的節(jié)點(diǎn)為社交僵尸網(wǎng)絡(luò)控制節(jié)點(diǎn),否則所述待檢測昵稱為合法昵稱。
[0013]進(jìn)一步地,上述社交僵尸網(wǎng)絡(luò)控制節(jié)點(diǎn)的檢測方法還可具有以下特點(diǎn),所述步驟二中,設(shè)定頻數(shù)閾值等于SIZE與MIN_SUP的乘積,其中,SIZE為所述第一合法昵稱樣本子集的樣本規(guī)模,SIZE等于所述第一合法昵稱樣本子集中昵稱的數(shù)量,MIN_SUP為最小相對(duì)支持度,最小相對(duì)支持度是指算法支持的某個(gè)字符串出現(xiàn)次數(shù)與樣本數(shù)量的最小比值。
[0014]進(jìn)一步地,上述社交僵尸網(wǎng)絡(luò)控制節(jié)點(diǎn)的檢測方法還可具有以下特點(diǎn),所述最小相對(duì)支持度MIN_SUP的值能夠應(yīng)用自適應(yīng)算法進(jìn)行動(dòng)態(tài)調(diào)整。
[0015]進(jìn)一步地,上述社交僵尸網(wǎng)絡(luò)控制節(jié)點(diǎn)的檢測方法還可具有以下特點(diǎn),所述步驟三包括:
[0016]根據(jù)預(yù)設(shè)的可信度計(jì)算函數(shù)P (X),分別計(jì)算出所述第二合法昵稱樣本子集和所述第一惡意昵稱樣本子集的可信度,其中,所述第二合法昵稱樣本子集的可信度為所述第二合法昵稱樣本子集中各個(gè)昵稱的可信度的集合,所述第一惡意昵稱樣本子集的可信度為所述第一惡意昵稱樣本子集中各個(gè)昵稱的可信度的集合,其中,可信度計(jì)算函數(shù)P (X)的表達(dá)式如下:
[0017]
【權(quán)利要求】
1.一種社交僵尸網(wǎng)絡(luò)控制節(jié)點(diǎn)的檢測方法,其特征在于,包括: 步驟一,采集合法昵稱樣本和惡意昵稱樣本并保存,并將所述合法昵稱樣本的集合隨機(jī)劃分為第一合法昵稱樣本子集、第二合法昵稱樣本子集和第三合法昵稱樣本子集,將所述惡意昵稱樣本的集合隨機(jī)劃分為第一惡意昵稱樣本子集、第二惡意昵稱樣本子集,其中,所述昵稱為字符串; 步驟二,基于改進(jìn)的Aprior算法,從所述第一合法昵稱樣本子集中挖掘出所有出現(xiàn)頻數(shù)超過設(shè)定頻數(shù)閾值的各階子字符串,將所述各階子字符串及其出現(xiàn)頻數(shù)按階保存在頻繁表中,其中,所述改進(jìn)的Aprior算法,是指調(diào)整了生成候選表的連接規(guī)則和剪枝規(guī)則的Aprior算法,階是指字符串的長度,出現(xiàn)頻數(shù)是指出現(xiàn)次數(shù); 步驟三,基于所述頻繁表,利用所述第二合法昵稱樣本子集和所述第一惡意昵稱樣本子集,根據(jù)預(yù)設(shè)的可信度計(jì)算函數(shù)和閾值生成規(guī)則,獲得可信度閾值; 步驟四,根據(jù)所述可信度計(jì)算函數(shù),利用所述第三合法昵稱樣本子集和所述第二惡意昵稱樣本子集,驗(yàn)證所述可信度閾值是否有效; 步驟五,若經(jīng)檢驗(yàn),所述可信度閾值有效,則將社交網(wǎng)絡(luò)中節(jié)點(diǎn)對(duì)應(yīng)的昵稱作為待檢測昵稱,根據(jù)所述可信度計(jì)算函數(shù)計(jì)算所述待檢測昵稱的可信度,若所述待檢測昵稱的可信度小于所述可信度閾值,則所述待檢測昵稱為惡意昵稱,與所述待檢測昵稱對(duì)應(yīng)的節(jié)點(diǎn)為社交僵尸網(wǎng)絡(luò)控制節(jié)點(diǎn),否則所述 待檢測昵稱為合法昵稱。
2.根據(jù)權(quán)利要求1所述的社交僵尸網(wǎng)絡(luò)控制節(jié)點(diǎn)的檢測方法,其特征在于,所述步驟二中,設(shè)定頻數(shù)閾值等于SIZE與MIN_SUP的乘積,其中,SIZE為所述第一合法昵稱樣本子集的樣本規(guī)模,SIZE等于所述第一合法昵稱樣本子集中昵稱的數(shù)量,MIN_SUP為最小相對(duì)支持度,最小相對(duì)支持度是指算法支持的某個(gè)字符串出現(xiàn)次數(shù)與樣本數(shù)量的最小比值。
3.根據(jù)權(quán)利要求2所述的社交僵尸網(wǎng)絡(luò)控制節(jié)點(diǎn)的檢測方法,其特征在于,所述最小相對(duì)支持度MIN_SUP的值能夠應(yīng)用自適應(yīng)算法進(jìn)行動(dòng)態(tài)調(diào)整。
4.根據(jù)權(quán)利要求1所述的社交僵尸網(wǎng)絡(luò)控制節(jié)點(diǎn)的檢測方法,其特征在于,所述步驟三包括: 根據(jù)預(yù)設(shè)的可信度計(jì)算函數(shù)P (X),分別計(jì)算出所述第二合法昵稱樣本子集和所述第一惡意昵稱樣本子集的可信度,其中,所述第二合法昵稱樣本子集的可信度為所述第二合法昵稱樣本子集中各個(gè)昵稱的可信度的集合,所述第一惡意昵稱樣本子集的可信度為所述第一惡意昵稱樣本子集中各個(gè)昵稱的可信度的集合,其中,可信度計(jì)算函數(shù)P (X)的表達(dá)式如下:
* Σ,ν^-w
^ N-? + \ 其中,X代表昵稱,k代表頻繁表的最大階數(shù),Xi代表X的第i階子序列,Li (χ)代表昵稱字符串χ在第i階頻繁表Li中對(duì)應(yīng)的頻數(shù),若不存在,則置為0,N表示昵稱X的長度; 歸一化所述第二合法昵稱樣本子集和所述第一惡意昵稱樣本子集的可信度,設(shè)所述第二合法昵稱樣本子集為T2,所述第一惡意昵稱樣本子集為Fl,MaxW表示昵稱樣本集合*中昵稱的最大可信度值,Min(*)表示昵稱樣本集合*中昵稱的最小可信度值,Ρ(Ι)|0表示T2和Fl的可信度P(X)歸一化到區(qū)間[O,1]的結(jié)果,則P(Z)Il1的表達(dá)式為:
5.根據(jù)權(quán)利要求1所述的社交僵尸網(wǎng)絡(luò)控制節(jié)點(diǎn)的檢測方法,其特征在于,所述步驟四包括: 根據(jù)預(yù)設(shè)的可信度計(jì)算函數(shù)P (X),分別計(jì)算出所述第三合法昵稱樣本子集和所述第二惡意昵稱樣本子集的可信度,其中,所述第三合法昵稱樣本子集的可信度為所述第三合法昵稱樣本子集中各個(gè)昵稱的可信度的集合,所述第二惡意昵稱樣本子集的可信度為所述第二惡意昵稱樣本子集中各個(gè)昵稱的可信度的集合,其中,可信度計(jì)算函數(shù)P(X)的表達(dá)式如下:
6.一種社交僵尸網(wǎng)絡(luò)控制節(jié)點(diǎn)的檢測裝置,其特征在于,包括順次相連的采集模塊、挖掘模塊、獲取模塊、驗(yàn)證模塊和檢測模塊,其中: 采集模塊,用于采集合法昵稱樣本和惡意昵稱樣本并保存,并將所述合法昵稱樣本的集合隨機(jī)劃分為第一合法昵稱樣本子集、第二合法昵稱樣本子集和第三合法昵稱樣本子集,將所述惡意昵稱樣本的集合隨機(jī)劃分為第一惡意昵稱樣本子集、第二惡意昵稱樣本子集,其中,所述昵稱為字符串; 挖掘模塊,用于基于改進(jìn)的Aprior算法,從所述第一合法昵稱樣本子集中挖掘出所有出現(xiàn)頻數(shù)超過設(shè)定頻數(shù)閾值的各階子字符串,將所述各階子字符串及其出現(xiàn)頻數(shù)按階保存在頻繁表中,其中,所述改進(jìn)的Aprior算法,是指調(diào)整了生成候選表的連接規(guī)則和剪枝規(guī)則的Aprior算法,階是指字符串的長度,出現(xiàn)頻數(shù)是指出現(xiàn)次數(shù); 獲取模塊,用于基于所述頻繁表,利用所述第二合法昵稱樣本子集和所述第一惡意昵稱樣本子集,根據(jù)預(yù)設(shè)的可信度計(jì)算函數(shù)和閾值生成規(guī)則,獲得可信度閾值; 驗(yàn)證模塊,用于根據(jù)所述可信度計(jì)算函數(shù),利用所述第三合法昵稱樣本子集和所述第二惡意昵稱樣本子集,驗(yàn)證所述可信度閾值是否有效; 檢測模塊,用于在經(jīng)檢驗(yàn)所述可信度閾值有效時(shí),將社交網(wǎng)絡(luò)中節(jié)點(diǎn)對(duì)應(yīng)的昵稱作為待檢測昵稱,根據(jù)所述可信度計(jì)算函數(shù)計(jì)算所述待檢測昵稱的可信度,若所述待檢測昵稱的可信度小于所述可信度閾值,則所述待檢測昵稱為惡意昵稱,與所述待檢測昵稱對(duì)應(yīng)的節(jié)點(diǎn)為社交僵尸網(wǎng)絡(luò)控制節(jié)點(diǎn),否則所述待檢測昵稱為合法昵稱。
7.根據(jù)權(quán)利要求6所述的社交僵尸網(wǎng)絡(luò)控制節(jié)點(diǎn)的檢測裝置,其特征在于,所述設(shè)定頻數(shù)閾值等于SIZE與MIN_SUP的乘積,其中,SIZE為所述第一合法昵稱樣本子集的樣本規(guī)模,SIZE等于所述第一合法昵稱樣本子集中昵稱的數(shù)量,MIN_SUP為最小相對(duì)支持度,最小相對(duì)支持度是指算法支持的某個(gè)字符串出現(xiàn)次數(shù)與樣本數(shù)量的最小比值。
8.根據(jù)權(quán)利要求7所述的社交僵尸網(wǎng)絡(luò)控制節(jié)點(diǎn)的檢測裝置,其特征在于,所述最小相對(duì)支持度MIN_SUP的值能夠應(yīng)用自適應(yīng)算法進(jìn)行動(dòng)態(tài)調(diào)整。
9.根據(jù)權(quán)利要求6所述的社交僵尸網(wǎng)絡(luò)控制節(jié)點(diǎn)的檢測裝置,其特征在于,所述獲取模塊包括: 計(jì)算單元,用于根據(jù)預(yù)設(shè)的可信度計(jì)算函數(shù)P (X),分別計(jì)算出所述第二合法昵稱樣本子集和所述第一惡意昵稱樣本子集的可信度,其中,所述第二合法昵稱樣本子集的可信度為所述第二合法昵稱樣本子集中各個(gè)昵稱的可信度的集合,所述第一惡意昵稱樣本子集的可信度為所述第一惡意昵稱樣本子集中各個(gè)昵稱的可信度的集合,其中,可信度計(jì)算函數(shù)P(X)的表達(dá)式如下:
10.根據(jù)權(quán)利要求6所述的社交僵尸網(wǎng)絡(luò)控制節(jié)點(diǎn)的檢測裝置,其特征在于,所述驗(yàn)證模塊包括: 可信度計(jì)算單元,用于根據(jù)預(yù)設(shè)的可信度計(jì)算函數(shù)P(X),分別計(jì)算出所述第三合法昵稱樣本子集和所述第二惡意昵稱樣本子集的可信度,其中,所述第三合法昵稱樣本子集的可信度為所述第三合法昵稱樣本子集中各個(gè)昵稱的可信度的集合,所述第二惡意昵稱樣本子集的可信度為所述第二惡意昵稱樣本子集中各個(gè)昵稱的可信度的集合,其中,可信度計(jì)算函數(shù)P (X)的表達(dá)式如下:
【文檔編號(hào)】G06F17/30GK103944901SQ201410158412
【公開日】2014年7月23日 申請(qǐng)日期:2014年4月18日 優(yōu)先權(quán)日:2014年4月18日
【發(fā)明者】張永錚, 尹濤, 李書豪 申請(qǐng)人:中國科學(xué)院信息工程研究所