国产精品1024永久观看,大尺度欧美暖暖视频在线观看,亚洲宅男精品一区在线观看,欧美日韩一区二区三区视频,2021中文字幕在线观看

  • <option id="fbvk0"></option>
    1. <rt id="fbvk0"><tr id="fbvk0"></tr></rt>
      <center id="fbvk0"><optgroup id="fbvk0"></optgroup></center>
      <center id="fbvk0"></center>

      <li id="fbvk0"><abbr id="fbvk0"><dl id="fbvk0"></dl></abbr></li>

      一種僵尸網(wǎng)絡(luò)發(fā)現(xiàn)技術(shù)及裝置的制造方法

      文檔序號(hào):9730174閱讀:225來源:國(guó)知局
      一種僵尸網(wǎng)絡(luò)發(fā)現(xiàn)技術(shù)及裝置的制造方法
      【專利說明】一種僵尸網(wǎng)絡(luò)發(fā)現(xiàn)技術(shù)及裝置
      [0001]
      技術(shù)領(lǐng)域
      [0002]本發(fā)明涉及一種檢測(cè)網(wǎng)絡(luò)病毒的方法,具體來說,涉及一種僵尸網(wǎng)絡(luò)發(fā)現(xiàn)技術(shù)及
      目.ο
      [0003]
      【背景技術(shù)】
      [0004]僵尸網(wǎng)絡(luò)Botnet是指采用一種或多種傳播手段,將大量主機(jī)感染bot程序(僵尸程序)病毒,從而在控制者和被感染主機(jī)之間所形成的一個(gè)可一對(duì)多控制的網(wǎng)絡(luò)。攻擊者通過各種途徑傳播僵尸程序感染互聯(lián)網(wǎng)上的大量主機(jī),而被感染的主機(jī)將通過一個(gè)控制信道接收攻擊者的指令,組成一個(gè)僵尸網(wǎng)絡(luò)。之所以用僵尸網(wǎng)絡(luò)這個(gè)名字,是為了更形象地讓人們認(rèn)識(shí)到這類危害的特點(diǎn):眾多的計(jì)算機(jī)在不知不覺中如同中國(guó)古老傳說中的僵尸群一樣被人驅(qū)趕和指揮著,成為被人利用的一種工具,然而目前并沒有一種技術(shù)可以有效的監(jiān)測(cè)僵尸病毒的入侵。
      [0005]針對(duì)相關(guān)技術(shù)中的問題,目前尚未提出有效的解決方案。
      [0006]

      【發(fā)明內(nèi)容】

      [0007]本發(fā)明的目的是提供一種僵尸網(wǎng)絡(luò)發(fā)現(xiàn)技術(shù)及裝置,以克服目前現(xiàn)有技術(shù)存在的上述不足。
      [0008]本發(fā)明的目的是通過以下技術(shù)方案來實(shí)現(xiàn):
      一種僵尸網(wǎng)絡(luò)發(fā)現(xiàn)技術(shù),包括如下步驟:
      抓取連接端的網(wǎng)絡(luò)流量信息,并且根據(jù)網(wǎng)絡(luò)流量信息生成網(wǎng)絡(luò)流量圖;
      通過深度解析協(xié)議解析網(wǎng)絡(luò)流量信息并分析連接端的端口連接行為;
      當(dāng)連接端口的訪問協(xié)議是非知名協(xié)議,則對(duì)該端口的IP地址進(jìn)行分析;
      根據(jù)該連接端IP地址的異常訪問確定該網(wǎng)絡(luò)的端口為僵尸網(wǎng)絡(luò)的控制端口。
      [0009]進(jìn)一步的,確定連接端口的訪問協(xié)議為非正常網(wǎng)絡(luò)協(xié)議的步驟包括:
      將深度解析后的網(wǎng)絡(luò)協(xié)議和預(yù)制數(shù)據(jù)庫(kù)中的網(wǎng)絡(luò)協(xié)議進(jìn)行比較,根據(jù)數(shù)據(jù)庫(kù)中的黑名單標(biāo)記確定該待測(cè)網(wǎng)絡(luò)的協(xié)議為非正常網(wǎng)絡(luò)協(xié)議。
      [0010]進(jìn)一步的,確定連接端IP地址的異常訪問的判斷方法包括如下步驟:
      根據(jù)其他網(wǎng)絡(luò)的IP地址對(duì)該連接端IP地址的訪問數(shù)量確定該IP地址為異常訪問端口 ;當(dāng)出現(xiàn)大量其他網(wǎng)絡(luò)的IP地址對(duì)該連接端的IP地址進(jìn)行訪問時(shí),則確定該連接端口為僵尸網(wǎng)絡(luò)的控制端口。
      [0011]進(jìn)一步的,當(dāng)確定待測(cè)網(wǎng)絡(luò)為僵尸網(wǎng)絡(luò)后,將該網(wǎng)絡(luò)的網(wǎng)絡(luò)協(xié)議信息添加到預(yù)制數(shù)據(jù)庫(kù)中,并且將該信息標(biāo)記為黑名單。
      [0012]—種僵尸網(wǎng)絡(luò)的發(fā)現(xiàn)裝置,包括流量抓取裝置、信息解析裝置、端口處理裝置以及僵尸網(wǎng)絡(luò)控制端口判斷裝置;其中:
      流量抓取裝置:用于抓取連接端的網(wǎng)絡(luò)流量信息,并且根據(jù)網(wǎng)絡(luò)流量信息生成網(wǎng)絡(luò)流量圖;
      信息解析裝置:用于通過深度解析協(xié)議解析網(wǎng)絡(luò)流量信息并分析連接端的端口連接行為;
      端口處理裝置:用于當(dāng)連接端口的訪問協(xié)議是非知名協(xié)議,則對(duì)該端口的IP地址進(jìn)行分析;
      僵尸網(wǎng)絡(luò)控制端口判斷裝置:用于根據(jù)該連接端IP地址的異常訪問確定該網(wǎng)絡(luò)的端口為僵尸網(wǎng)絡(luò)的控制端口。
      [0013]本發(fā)明的有益效果為:通過對(duì)惡意程序提取,進(jìn)而確定網(wǎng)絡(luò)異常協(xié)議,根據(jù)協(xié)議判斷異常IP地址,并且對(duì)IP的訪問量來確定待測(cè)網(wǎng)絡(luò)的安全性,進(jìn)而使得本發(fā)明具有良好的實(shí)時(shí)監(jiān)測(cè)性,并且能夠應(yīng)用于多種場(chǎng)合,保證了對(duì)木馬程序的正確辨識(shí)率。
      [0014]
      【附圖說明】
      [0015]為了更清楚地說明本發(fā)明實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案,下面將對(duì)實(shí)施例中所需要使用的附圖作簡(jiǎn)單地介紹,顯而易見地,下面描述中的附圖僅僅是本發(fā)明的一些實(shí)施例,對(duì)于本領(lǐng)域普通技術(shù)人員來講,在不付出創(chuàng)造性勞動(dòng)的前提下,還可以根據(jù)這些附圖獲得其他的附圖。
      [0016]圖1是根據(jù)本發(fā)明實(shí)施例的僵尸網(wǎng)絡(luò)發(fā)現(xiàn)技術(shù)判斷流程圖。
      [0017]
      【具體實(shí)施方式】
      [0018]下面將結(jié)合本發(fā)明實(shí)施例中的附圖,對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚、完整地描述,顯然,所描述的實(shí)施例僅僅是本發(fā)明一部分實(shí)施例,而不是全部的實(shí)施例?;诒景l(fā)明中的實(shí)施例,本領(lǐng)域普通技術(shù)人員所獲得的所有其他實(shí)施例,都屬于本發(fā)明保護(hù)的范圍。
      [0019]如圖1所示,根據(jù)本發(fā)明的實(shí)施例所述的一種僵尸網(wǎng)絡(luò)發(fā)現(xiàn)技術(shù),包括如下步驟: 抓取連接端的網(wǎng)絡(luò)流量信息,并且根據(jù)網(wǎng)絡(luò)流量信息生成網(wǎng)絡(luò)流量圖;
      通過深度解析協(xié)議解析網(wǎng)絡(luò)流量信息并分析連接端的端口連接行為;
      當(dāng)連接端口的訪問協(xié)議是非知名協(xié)議,則對(duì)該端口的IP地址進(jìn)行分析;
      根據(jù)該連接端IP地址的異常訪問確定該網(wǎng)絡(luò)的端口為僵尸網(wǎng)絡(luò)的控制端口。
      [0020]進(jìn)一步的,確定連接端口的訪問協(xié)議為非正常網(wǎng)絡(luò)協(xié)議的步驟包括:
      將深度解析后的網(wǎng)絡(luò)協(xié)議和預(yù)制數(shù)據(jù)庫(kù)中的網(wǎng)絡(luò)協(xié)議進(jìn)行比較,根據(jù)數(shù)據(jù)庫(kù)中的黑名單標(biāo)記確定該待測(cè)網(wǎng)絡(luò)的協(xié)議為非正常網(wǎng)絡(luò)協(xié)議。
      [0021 ]進(jìn)一步的,確定連接端IP地址的異常訪問的判斷方法包括如下步驟:
      根據(jù)其他網(wǎng)絡(luò)的IP地址對(duì)該連接端IP地址的訪問數(shù)量確定該IP地址為異常訪問端口 ;當(dāng)出現(xiàn)大量其他網(wǎng)絡(luò)的IP地址對(duì)該連接端的IP地址進(jìn)行訪問時(shí),則確定該連接端口為僵尸網(wǎng)絡(luò)的控制端口。
      [0022]進(jìn)一步的,當(dāng)確定待測(cè)網(wǎng)絡(luò)為僵尸網(wǎng)絡(luò)后,將該網(wǎng)絡(luò)的網(wǎng)絡(luò)協(xié)議信息添加到預(yù)制數(shù)據(jù)庫(kù)中,并且將該信息標(biāo)記為黑名單。
      [0023]—種僵尸網(wǎng)絡(luò)的發(fā)現(xiàn)裝置,包括流量抓取裝置、信息解析裝置、端口處理裝置以及僵尸網(wǎng)絡(luò)控制端口判斷裝置;其中:
      流量抓取裝置:用于抓取連接端的網(wǎng)絡(luò)流量信息,并且根據(jù)網(wǎng)絡(luò)流量信息生成網(wǎng)絡(luò)流量圖;
      信息解析裝置:用于通過深度解析協(xié)議解析網(wǎng)絡(luò)流量信息并分析連接端的端口連接行為;
      端口處理裝置:用于當(dāng)連接端口的訪問協(xié)議是非知名協(xié)議,則對(duì)該端口的IP地址進(jìn)行分析;
      僵尸網(wǎng)絡(luò)控制端口判斷裝置:用于根據(jù)該連接端IP地址的異常訪問確定該網(wǎng)絡(luò)的端口為僵尸網(wǎng)絡(luò)的控制端口。
      [0024]綜上所述,借助于本發(fā)明的上述技術(shù)方案,通過對(duì)惡意程序提取,進(jìn)而確定網(wǎng)絡(luò)異常協(xié)議,根據(jù)協(xié)議判斷異常IP地址,并且對(duì)IP的訪問量來確定待測(cè)網(wǎng)絡(luò)的安全性,進(jìn)而使得本發(fā)明具有良好的實(shí)時(shí)監(jiān)測(cè)性,并且能夠應(yīng)用于多種場(chǎng)合,保證了對(duì)木馬程序的正確辨識(shí)率。
      [0025]以上所述僅為本發(fā)明的較佳實(shí)施例而已,并不用以限制本發(fā)明,凡在本發(fā)明的精神和原則之內(nèi),所作的任何修改、等同替換、改進(jìn)等,均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)。
      【主權(quán)項(xiàng)】
      1.一種僵尸網(wǎng)絡(luò)發(fā)現(xiàn)技術(shù),其特征在于,包括如下步驟: 抓取連接端的網(wǎng)絡(luò)流量信息,并且根據(jù)網(wǎng)絡(luò)流量信息生成網(wǎng)絡(luò)流量圖; 通過深度解析協(xié)議解析網(wǎng)絡(luò)流量信息并分析連接端的端口連接行為; 當(dāng)連接端口的訪問協(xié)議是非知名協(xié)議,則對(duì)該端口的IP地址進(jìn)行分析; 根據(jù)該連接端IP地址的異常訪問確定該網(wǎng)絡(luò)的端口為僵尸網(wǎng)絡(luò)的控制端口。2.根據(jù)權(quán)利要求1所述的僵尸網(wǎng)絡(luò)發(fā)現(xiàn)技術(shù),其特征在于,確定連接端口的訪問協(xié)議為非正常網(wǎng)絡(luò)協(xié)議的步驟包括: 將深度解析后的網(wǎng)絡(luò)協(xié)議和預(yù)制數(shù)據(jù)庫(kù)中的網(wǎng)絡(luò)協(xié)議進(jìn)行比較,根據(jù)數(shù)據(jù)庫(kù)中的黑名單標(biāo)記確定該待測(cè)網(wǎng)絡(luò)的協(xié)議為非正常網(wǎng)絡(luò)協(xié)議。3.根據(jù)權(quán)利要求1所述的僵尸網(wǎng)絡(luò)發(fā)現(xiàn)技術(shù),其特征在于,確定連接端IP地址的異常訪問的判斷方法包括如下步驟: 根據(jù)其他網(wǎng)絡(luò)的IP地址對(duì)該連接端IP地址的訪問數(shù)量確定該IP地址為異常訪問端口 ;當(dāng)出現(xiàn)大量其他網(wǎng)絡(luò)的IP地址對(duì)該連接端的IP地址進(jìn)行訪問時(shí),則確定該連接端口為僵尸網(wǎng)絡(luò)的控制端口。4.根據(jù)權(quán)利要求1到3中任意一項(xiàng)所述的僵尸網(wǎng)絡(luò)發(fā)現(xiàn)技術(shù),其特征在于,當(dāng)確定待測(cè)網(wǎng)絡(luò)為僵尸網(wǎng)絡(luò)后,將該網(wǎng)絡(luò)的網(wǎng)絡(luò)協(xié)議信息添加到預(yù)制數(shù)據(jù)庫(kù)中,并且將該信息標(biāo)記為黑名單。5.—種僵尸網(wǎng)絡(luò)的發(fā)現(xiàn)裝置,其特征在于,包括流量抓取裝置、信息解析裝置、端口處理裝置以及僵尸網(wǎng)絡(luò)控制端口判斷裝置;其中: 流量抓取裝置:用于抓取連接端的網(wǎng)絡(luò)流量信息,并且根據(jù)網(wǎng)絡(luò)流量信息生成網(wǎng)絡(luò)流量圖; 信息解析裝置:用于通過深度解析協(xié)議解析網(wǎng)絡(luò)流量信息并分析連接端的端口連接行為; 端口處理裝置:用于當(dāng)連接端口的訪問協(xié)議是非知名協(xié)議,則對(duì)該端口的IP地址進(jìn)行分析; 僵尸網(wǎng)絡(luò)控制端口判斷裝置:用于根據(jù)該連接端IP地址的異常訪問確定該網(wǎng)絡(luò)的端口為僵尸網(wǎng)絡(luò)的控制端口。
      【專利摘要】本發(fā)明公開了一種僵尸網(wǎng)絡(luò)發(fā)現(xiàn)技術(shù),包括如下步驟:抓取連接端的網(wǎng)絡(luò)流量信息,并且根據(jù)網(wǎng)絡(luò)流量信息生成網(wǎng)絡(luò)流量圖;通過深度解析協(xié)議解析網(wǎng)絡(luò)流量信息并分析連接端的端口連接行為;當(dāng)連接端口的訪問協(xié)議是非知名協(xié)議,則對(duì)該端口的IP地址進(jìn)行分析;根據(jù)該連接端IP地址的異常訪問確定該網(wǎng)絡(luò)的端口為僵尸網(wǎng)絡(luò)的控制端口。本發(fā)明的有益效果為:通過對(duì)惡意程序提取,進(jìn)而確定網(wǎng)絡(luò)異常協(xié)議,根據(jù)協(xié)議判斷異常IP地址,并且對(duì)IP的訪問量來確定待測(cè)網(wǎng)絡(luò)的安全性,進(jìn)而使得本發(fā)明具有良好的實(shí)時(shí)監(jiān)測(cè)性,并且能夠應(yīng)用于多種場(chǎng)合,保證了對(duì)木馬程序的正確辨識(shí)率。
      【IPC分類】H04L29/06
      【公開號(hào)】CN105491032
      【申請(qǐng)?zhí)枴緾N201510856975
      【發(fā)明人】?jī)?chǔ)來斌
      【申請(qǐng)人】睿峰網(wǎng)云(北京)科技股份有限公司
      【公開日】2016年4月13日
      【申請(qǐng)日】2015年11月30日
      網(wǎng)友詢問留言 已有0條留言
      • 還沒有人留言評(píng)論。精彩留言會(huì)獲得點(diǎn)贊!
      1