一種僵尸網(wǎng)絡(luò)發(fā)現(xiàn)技術(shù)及裝置的制造方法
【專利說明】一種僵尸網(wǎng)絡(luò)發(fā)現(xiàn)技術(shù)及裝置
[0001]
技術(shù)領(lǐng)域
[0002]本發(fā)明涉及一種檢測(cè)網(wǎng)絡(luò)病毒的方法,具體來說,涉及一種僵尸網(wǎng)絡(luò)發(fā)現(xiàn)技術(shù)及
目.ο
[0003]
【背景技術(shù)】
[0004]僵尸網(wǎng)絡(luò)Botnet是指采用一種或多種傳播手段,將大量主機(jī)感染bot程序(僵尸程序)病毒,從而在控制者和被感染主機(jī)之間所形成的一個(gè)可一對(duì)多控制的網(wǎng)絡(luò)。攻擊者通過各種途徑傳播僵尸程序感染互聯(lián)網(wǎng)上的大量主機(jī),而被感染的主機(jī)將通過一個(gè)控制信道接收攻擊者的指令,組成一個(gè)僵尸網(wǎng)絡(luò)。之所以用僵尸網(wǎng)絡(luò)這個(gè)名字,是為了更形象地讓人們認(rèn)識(shí)到這類危害的特點(diǎn):眾多的計(jì)算機(jī)在不知不覺中如同中國(guó)古老傳說中的僵尸群一樣被人驅(qū)趕和指揮著,成為被人利用的一種工具,然而目前并沒有一種技術(shù)可以有效的監(jiān)測(cè)僵尸病毒的入侵。
[0005]針對(duì)相關(guān)技術(shù)中的問題,目前尚未提出有效的解決方案。
[0006]
【發(fā)明內(nèi)容】
[0007]本發(fā)明的目的是提供一種僵尸網(wǎng)絡(luò)發(fā)現(xiàn)技術(shù)及裝置,以克服目前現(xiàn)有技術(shù)存在的上述不足。
[0008]本發(fā)明的目的是通過以下技術(shù)方案來實(shí)現(xiàn):
一種僵尸網(wǎng)絡(luò)發(fā)現(xiàn)技術(shù),包括如下步驟:
抓取連接端的網(wǎng)絡(luò)流量信息,并且根據(jù)網(wǎng)絡(luò)流量信息生成網(wǎng)絡(luò)流量圖;
通過深度解析協(xié)議解析網(wǎng)絡(luò)流量信息并分析連接端的端口連接行為;
當(dāng)連接端口的訪問協(xié)議是非知名協(xié)議,則對(duì)該端口的IP地址進(jìn)行分析;
根據(jù)該連接端IP地址的異常訪問確定該網(wǎng)絡(luò)的端口為僵尸網(wǎng)絡(luò)的控制端口。
[0009]進(jìn)一步的,確定連接端口的訪問協(xié)議為非正常網(wǎng)絡(luò)協(xié)議的步驟包括:
將深度解析后的網(wǎng)絡(luò)協(xié)議和預(yù)制數(shù)據(jù)庫(kù)中的網(wǎng)絡(luò)協(xié)議進(jìn)行比較,根據(jù)數(shù)據(jù)庫(kù)中的黑名單標(biāo)記確定該待測(cè)網(wǎng)絡(luò)的協(xié)議為非正常網(wǎng)絡(luò)協(xié)議。
[0010]進(jìn)一步的,確定連接端IP地址的異常訪問的判斷方法包括如下步驟:
根據(jù)其他網(wǎng)絡(luò)的IP地址對(duì)該連接端IP地址的訪問數(shù)量確定該IP地址為異常訪問端口 ;當(dāng)出現(xiàn)大量其他網(wǎng)絡(luò)的IP地址對(duì)該連接端的IP地址進(jìn)行訪問時(shí),則確定該連接端口為僵尸網(wǎng)絡(luò)的控制端口。
[0011]進(jìn)一步的,當(dāng)確定待測(cè)網(wǎng)絡(luò)為僵尸網(wǎng)絡(luò)后,將該網(wǎng)絡(luò)的網(wǎng)絡(luò)協(xié)議信息添加到預(yù)制數(shù)據(jù)庫(kù)中,并且將該信息標(biāo)記為黑名單。
[0012]—種僵尸網(wǎng)絡(luò)的發(fā)現(xiàn)裝置,包括流量抓取裝置、信息解析裝置、端口處理裝置以及僵尸網(wǎng)絡(luò)控制端口判斷裝置;其中:
流量抓取裝置:用于抓取連接端的網(wǎng)絡(luò)流量信息,并且根據(jù)網(wǎng)絡(luò)流量信息生成網(wǎng)絡(luò)流量圖;
信息解析裝置:用于通過深度解析協(xié)議解析網(wǎng)絡(luò)流量信息并分析連接端的端口連接行為;
端口處理裝置:用于當(dāng)連接端口的訪問協(xié)議是非知名協(xié)議,則對(duì)該端口的IP地址進(jìn)行分析;
僵尸網(wǎng)絡(luò)控制端口判斷裝置:用于根據(jù)該連接端IP地址的異常訪問確定該網(wǎng)絡(luò)的端口為僵尸網(wǎng)絡(luò)的控制端口。
[0013]本發(fā)明的有益效果為:通過對(duì)惡意程序提取,進(jìn)而確定網(wǎng)絡(luò)異常協(xié)議,根據(jù)協(xié)議判斷異常IP地址,并且對(duì)IP的訪問量來確定待測(cè)網(wǎng)絡(luò)的安全性,進(jìn)而使得本發(fā)明具有良好的實(shí)時(shí)監(jiān)測(cè)性,并且能夠應(yīng)用于多種場(chǎng)合,保證了對(duì)木馬程序的正確辨識(shí)率。
[0014]
【附圖說明】
[0015]為了更清楚地說明本發(fā)明實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案,下面將對(duì)實(shí)施例中所需要使用的附圖作簡(jiǎn)單地介紹,顯而易見地,下面描述中的附圖僅僅是本發(fā)明的一些實(shí)施例,對(duì)于本領(lǐng)域普通技術(shù)人員來講,在不付出創(chuàng)造性勞動(dòng)的前提下,還可以根據(jù)這些附圖獲得其他的附圖。
[0016]圖1是根據(jù)本發(fā)明實(shí)施例的僵尸網(wǎng)絡(luò)發(fā)現(xiàn)技術(shù)判斷流程圖。
[0017]
【具體實(shí)施方式】
[0018]下面將結(jié)合本發(fā)明實(shí)施例中的附圖,對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚、完整地描述,顯然,所描述的實(shí)施例僅僅是本發(fā)明一部分實(shí)施例,而不是全部的實(shí)施例?;诒景l(fā)明中的實(shí)施例,本領(lǐng)域普通技術(shù)人員所獲得的所有其他實(shí)施例,都屬于本發(fā)明保護(hù)的范圍。
[0019]如圖1所示,根據(jù)本發(fā)明的實(shí)施例所述的一種僵尸網(wǎng)絡(luò)發(fā)現(xiàn)技術(shù),包括如下步驟: 抓取連接端的網(wǎng)絡(luò)流量信息,并且根據(jù)網(wǎng)絡(luò)流量信息生成網(wǎng)絡(luò)流量圖;
通過深度解析協(xié)議解析網(wǎng)絡(luò)流量信息并分析連接端的端口連接行為;
當(dāng)連接端口的訪問協(xié)議是非知名協(xié)議,則對(duì)該端口的IP地址進(jìn)行分析;
根據(jù)該連接端IP地址的異常訪問確定該網(wǎng)絡(luò)的端口為僵尸網(wǎng)絡(luò)的控制端口。
[0020]進(jìn)一步的,確定連接端口的訪問協(xié)議為非正常網(wǎng)絡(luò)協(xié)議的步驟包括:
將深度解析后的網(wǎng)絡(luò)協(xié)議和預(yù)制數(shù)據(jù)庫(kù)中的網(wǎng)絡(luò)協(xié)議進(jìn)行比較,根據(jù)數(shù)據(jù)庫(kù)中的黑名單標(biāo)記確定該待測(cè)網(wǎng)絡(luò)的協(xié)議為非正常網(wǎng)絡(luò)協(xié)議。
[0021 ]進(jìn)一步的,確定連接端IP地址的異常訪問的判斷方法包括如下步驟:
根據(jù)其他網(wǎng)絡(luò)的IP地址對(duì)該連接端IP地址的訪問數(shù)量確定該IP地址為異常訪問端口 ;當(dāng)出現(xiàn)大量其他網(wǎng)絡(luò)的IP地址對(duì)該連接端的IP地址進(jìn)行訪問時(shí),則確定該連接端口為僵尸網(wǎng)絡(luò)的控制端口。
[0022]進(jìn)一步的,當(dāng)確定待測(cè)網(wǎng)絡(luò)為僵尸網(wǎng)絡(luò)后,將該網(wǎng)絡(luò)的網(wǎng)絡(luò)協(xié)議信息添加到預(yù)制數(shù)據(jù)庫(kù)中,并且將該信息標(biāo)記為黑名單。
[0023]—種僵尸網(wǎng)絡(luò)的發(fā)現(xiàn)裝置,包括流量抓取裝置、信息解析裝置、端口處理裝置以及僵尸網(wǎng)絡(luò)控制端口判斷裝置;其中:
流量抓取裝置:用于抓取連接端的網(wǎng)絡(luò)流量信息,并且根據(jù)網(wǎng)絡(luò)流量信息生成網(wǎng)絡(luò)流量圖;
信息解析裝置:用于通過深度解析協(xié)議解析網(wǎng)絡(luò)流量信息并分析連接端的端口連接行為;
端口處理裝置:用于當(dāng)連接端口的訪問協(xié)議是非知名協(xié)議,則對(duì)該端口的IP地址進(jìn)行分析;
僵尸網(wǎng)絡(luò)控制端口判斷裝置:用于根據(jù)該連接端IP地址的異常訪問確定該網(wǎng)絡(luò)的端口為僵尸網(wǎng)絡(luò)的控制端口。
[0024]綜上所述,借助于本發(fā)明的上述技術(shù)方案,通過對(duì)惡意程序提取,進(jìn)而確定網(wǎng)絡(luò)異常協(xié)議,根據(jù)協(xié)議判斷異常IP地址,并且對(duì)IP的訪問量來確定待測(cè)網(wǎng)絡(luò)的安全性,進(jìn)而使得本發(fā)明具有良好的實(shí)時(shí)監(jiān)測(cè)性,并且能夠應(yīng)用于多種場(chǎng)合,保證了對(duì)木馬程序的正確辨識(shí)率。
[0025]以上所述僅為本發(fā)明的較佳實(shí)施例而已,并不用以限制本發(fā)明,凡在本發(fā)明的精神和原則之內(nèi),所作的任何修改、等同替換、改進(jìn)等,均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)。
【主權(quán)項(xiàng)】
1.一種僵尸網(wǎng)絡(luò)發(fā)現(xiàn)技術(shù),其特征在于,包括如下步驟: 抓取連接端的網(wǎng)絡(luò)流量信息,并且根據(jù)網(wǎng)絡(luò)流量信息生成網(wǎng)絡(luò)流量圖; 通過深度解析協(xié)議解析網(wǎng)絡(luò)流量信息并分析連接端的端口連接行為; 當(dāng)連接端口的訪問協(xié)議是非知名協(xié)議,則對(duì)該端口的IP地址進(jìn)行分析; 根據(jù)該連接端IP地址的異常訪問確定該網(wǎng)絡(luò)的端口為僵尸網(wǎng)絡(luò)的控制端口。2.根據(jù)權(quán)利要求1所述的僵尸網(wǎng)絡(luò)發(fā)現(xiàn)技術(shù),其特征在于,確定連接端口的訪問協(xié)議為非正常網(wǎng)絡(luò)協(xié)議的步驟包括: 將深度解析后的網(wǎng)絡(luò)協(xié)議和預(yù)制數(shù)據(jù)庫(kù)中的網(wǎng)絡(luò)協(xié)議進(jìn)行比較,根據(jù)數(shù)據(jù)庫(kù)中的黑名單標(biāo)記確定該待測(cè)網(wǎng)絡(luò)的協(xié)議為非正常網(wǎng)絡(luò)協(xié)議。3.根據(jù)權(quán)利要求1所述的僵尸網(wǎng)絡(luò)發(fā)現(xiàn)技術(shù),其特征在于,確定連接端IP地址的異常訪問的判斷方法包括如下步驟: 根據(jù)其他網(wǎng)絡(luò)的IP地址對(duì)該連接端IP地址的訪問數(shù)量確定該IP地址為異常訪問端口 ;當(dāng)出現(xiàn)大量其他網(wǎng)絡(luò)的IP地址對(duì)該連接端的IP地址進(jìn)行訪問時(shí),則確定該連接端口為僵尸網(wǎng)絡(luò)的控制端口。4.根據(jù)權(quán)利要求1到3中任意一項(xiàng)所述的僵尸網(wǎng)絡(luò)發(fā)現(xiàn)技術(shù),其特征在于,當(dāng)確定待測(cè)網(wǎng)絡(luò)為僵尸網(wǎng)絡(luò)后,將該網(wǎng)絡(luò)的網(wǎng)絡(luò)協(xié)議信息添加到預(yù)制數(shù)據(jù)庫(kù)中,并且將該信息標(biāo)記為黑名單。5.—種僵尸網(wǎng)絡(luò)的發(fā)現(xiàn)裝置,其特征在于,包括流量抓取裝置、信息解析裝置、端口處理裝置以及僵尸網(wǎng)絡(luò)控制端口判斷裝置;其中: 流量抓取裝置:用于抓取連接端的網(wǎng)絡(luò)流量信息,并且根據(jù)網(wǎng)絡(luò)流量信息生成網(wǎng)絡(luò)流量圖; 信息解析裝置:用于通過深度解析協(xié)議解析網(wǎng)絡(luò)流量信息并分析連接端的端口連接行為; 端口處理裝置:用于當(dāng)連接端口的訪問協(xié)議是非知名協(xié)議,則對(duì)該端口的IP地址進(jìn)行分析; 僵尸網(wǎng)絡(luò)控制端口判斷裝置:用于根據(jù)該連接端IP地址的異常訪問確定該網(wǎng)絡(luò)的端口為僵尸網(wǎng)絡(luò)的控制端口。
【專利摘要】本發(fā)明公開了一種僵尸網(wǎng)絡(luò)發(fā)現(xiàn)技術(shù),包括如下步驟:抓取連接端的網(wǎng)絡(luò)流量信息,并且根據(jù)網(wǎng)絡(luò)流量信息生成網(wǎng)絡(luò)流量圖;通過深度解析協(xié)議解析網(wǎng)絡(luò)流量信息并分析連接端的端口連接行為;當(dāng)連接端口的訪問協(xié)議是非知名協(xié)議,則對(duì)該端口的IP地址進(jìn)行分析;根據(jù)該連接端IP地址的異常訪問確定該網(wǎng)絡(luò)的端口為僵尸網(wǎng)絡(luò)的控制端口。本發(fā)明的有益效果為:通過對(duì)惡意程序提取,進(jìn)而確定網(wǎng)絡(luò)異常協(xié)議,根據(jù)協(xié)議判斷異常IP地址,并且對(duì)IP的訪問量來確定待測(cè)網(wǎng)絡(luò)的安全性,進(jìn)而使得本發(fā)明具有良好的實(shí)時(shí)監(jiān)測(cè)性,并且能夠應(yīng)用于多種場(chǎng)合,保證了對(duì)木馬程序的正確辨識(shí)率。
【IPC分類】H04L29/06
【公開號(hào)】CN105491032
【申請(qǐng)?zhí)枴緾N201510856975
【發(fā)明人】?jī)?chǔ)來斌
【申請(qǐng)人】睿峰網(wǎng)云(北京)科技股份有限公司
【公開日】2016年4月13日
【申請(qǐng)日】2015年11月30日