專利名稱：僵尸網絡檢測方法、裝置以及網絡安全防護設備的制作方法
僵尸網絡檢測方法、裝置以及網絡安全防護設備技術領域
本發明實施例涉及網絡安全技術領域，特別涉及一種僵尸網絡檢測方法、裝置以 及網絡安全防護設備。
背景技術：
僵尸網絡(Botnet)是采用一種或者多種傳播手段，將大量主機感染僵尸工具Bot 程序，從而在控制者和被感染主機之間形成一個可一對多控制的網絡，其中僵尸工具Bot 是robot的縮寫，其可執行預定義的功能，可以被預定義的命令所遠程控制、并具有一定人 工智能的程序。僵尸主機就是指含有僵尸工具或者其他遠程控制程序，使其可被攻擊者遠 程控制的計算機。
僵尸網絡構成一個攻擊平臺，利用這個平臺可以發起各種各樣的網絡攻擊行為， 從而導致整個基礎信息網絡或者重要應用系統癱瘓，也可以導致大量機密或者個人隱私泄 露，還可以被用來從事網絡欺詐等其他違法犯罪活動。例如，利用Botnet可以發起DD0S、發 送垃圾郵件、竊取機密、濫用資源等網絡攻擊行為，這些行為無論對整個網絡還是用戶自身 都造成了嚴重的后果。
目前僵尸網絡主要有兩種網絡拓撲結構，其中一種網絡拓撲結構如圖1所示，其 為多級控制的樹狀拓撲結構，在該網絡拓撲結構下，控制者開放監聽端口，僵尸主動向控制 者的監聽端口發起連接，向控制者通報自己，控制者主動連接上級控制者的監聽端口，向上 級控制者通報自己，控制者向僵尸主機指令，僵尸主機執行控制者指令，發起攻擊。該網絡 拓撲結構下的特點是，多臺僵尸主機會向同一臺控制者的相同端口發起連接，僵尸主機一 般會定時向控制者通信，控制者同一時間會向多臺僵尸主機發相同指令。
圖2給出了第二種網絡拓撲結構，這是一種基于IRC協議實現的僵尸網絡，其控制 者在IRC服務器上創建通信頻道，僵尸主機登陸IRC服務器并加入攻擊者事先創建的頻道， 等待控制者發起指令，控制者在IRC指定頻道上發指令，僵尸主機收到指令后執行指令，并 發起攻擊。基于IRC協議實現的僵尸網絡具有如下的特征，僵尸計算機一般會長時間在線， 僵尸計算機作為一個IRC服務器的聊天用戶在聊天頻道內長時間不發言。另外還存在基于 P2P結構的僵尸網絡。
現有技術中對僵尸網絡的檢測通常有兩種，一種是樣本分析的方法，即通過蜜罐 等手段獲取僵尸工具Bot程序樣本，采用逆向工程等惡意代碼分析手段，獲得隱藏在代碼 中的登錄Botnet所需要的相關信息，使用定制的僵尸程序登錄到僵尸網絡中去，進一步采 取應對措施；二是網絡特征檢測的方法，即通過研究僵尸計算機獲取協議規則，然后根據 DPI技術進行檢測，這種方法也是需要先獲取僵尸工具程序樣本。
發明人在實現本發明的過程中發現上述的檢測方法均需要獲得僵尸工具程序樣 本，并且只能檢測已知的僵尸網絡。發明內容
本發明實施例的目的是提供一種僵尸網絡檢測方法、裝置以及網絡安全防護設 備，以實現對未知僵尸網絡的檢測。
為實現上述目的，本發明實施例提供了一種僵尸網絡檢測方法，包括
根據待檢測網絡中的主機發送的第一數據包中的關鍵字信息獲得疑似僵尸主機 信息和疑似僵尸控制主機信息；
對疑似僵尸主機的行為特性進行分析以識別僵尸主機和僵尸控制主機。
本發明實施例還提供了一種僵尸網絡檢測裝置，包括
獲取模塊，用于根據待檢測網絡中的主機發送的第一數據包中的關鍵字信息獲得 疑似僵尸主機信息和疑似僵尸控制主機信息；
行為分析模塊，用于對疑似僵尸主機的行為特性進行分析以識別僵尸主機和僵尸 控制主機。
本發明實施例還提供了一種網絡安全防護設備，包括上述的僵尸網絡檢測裝置。
本發明實施例提供的僵尸網絡檢測方法、裝置以及網絡安全防護設備，通過對待檢 測網絡中的主機發送的第一數據包進行關鍵字分析，根據關鍵字信息確認疑似僵尸主機和疑 似僵尸控制主機，然后再對疑似僵尸主機的行為進行監控，若其實施了僵尸主機行為中的一 種，則可確認該主機為僵尸主機，該僵尸主機發送的第一數據包的目標主機為僵尸控制主機， 通過上述的檢測方法，能夠有效的發現未知的僵尸網絡中的僵尸主機及僵尸控制主機。


為了更清楚地說明本發明實施例或現有技術中的技術方案，下面將對實施例或現 有技術描述中所需要使用的附圖作簡單地介紹，顯而易見地，下面描述中的附圖僅僅是本 發明的一些實施例，對于本領域普通技術人員來講，在不付出創造性勞動性的前提下，還可 以根據這些附圖獲得其他的附圖。
圖1為現有技術中一種僵尸網絡的拓撲結構；
圖2為現有技術中第二種僵尸網絡的拓撲結構；
圖3為本發明僵尸網絡檢測方法實施例一的流程示意圖4為本發明僵尸網絡檢測方法實施例二的流程示意圖5為本發明僵尸網絡檢測方法實施例三的流程示意圖6為本發明僵尸網絡檢測裝置實施例一的結構示意圖7為本發明僵尸網絡檢測裝置實施例二的結構示意圖。
具體實施方式
下面通過附圖和實施例，對本發明的技術方案做進一步的詳細描述。
發明人通過對大量實際僵尸網絡樣本的分析，發現樹形僵尸網絡有這樣的特點， 即在僵尸主機剛啟動去連接控制主機時，在完成TCP連接后，第一數據包通常是明文上線 匯報信息，也就是將僵尸主機的關鍵描述信息向其控制主機進行上報的數據包，該數據包 具體的可以是僵尸主機在完成TCP連接后發送的第一個數據包，也可以是其他的由僵尸主 機發送的包括僵尸主機關鍵描述信息的數據包。根據上述特征，本發明實施例提供了一種僵尸網絡檢測方法，圖3為本發明僵尸網絡檢測方法實施例一的流程示意圖，如圖3所示， 包括如下步驟
步驟101、根據待檢測網絡中的主機發送的第一數據包中的關鍵字信息獲取疑似 僵尸主機信息和疑似僵尸控制主機信息；
具體的，本步驟是通過獲取待檢測網絡中的主機發送的第一數據包，即上述主機 完成TCP連接后發送的第一個數據包，根據該數據包中的關鍵字信息獲取疑似僵尸主機和 疑似僵尸控制主機，若該關鍵字信息與通常的僵尸主機上報的明文上線匯報信息類似，即 可認為該用戶設備為疑似僵尸主機，上述第一數據包的目標主機可被認為是疑似僵尸控制 主機。
步驟102、對疑似僵尸主機的行為特性進行分析以識別僵尸主機和僵尸控制主機。
具體的，本步驟是對上述的疑似僵尸主機的行為進行分析，即監控該疑似僵尸主 機的行為，確認該被監控的疑似僵尸主機是否實施了僵尸主機的典型行為，若該被監控的 疑似僵尸主機實施了僵尸主機行為，則可確認該疑似僵尸主機為僵尸主機，該僵尸主機發 送的第一數據包的目標主機可被認為是僵尸控制主機。
本發明上述實施例通過對待檢測網絡中的主機發送的第一數據包進行關鍵字分 析，根據關鍵字信息識別疑似僵尸主機和疑似僵尸控制主機，然后再對疑似僵尸主機的行 為進行監控，若其實施了僵尸主機行為中的一種，則可確認該用戶設備為僵尸主機，該僵尸 主機發送的第一數據包的目標主機為僵尸控制主機。通過上述的檢測方法，能夠有效的發 現未知的僵尸網絡。
圖4為本發明僵尸網絡檢測方法實施例二的流程示意圖，如圖4所示，包括如下步 驟
步驟201、獲取待檢測網絡中的主機發送的第一數據包中的關鍵字信息；具體的， 本步驟是對獲取的第一數據包進行分析以獲取關鍵字信息；
步驟202、對所述關鍵字信息和預先存儲的關鍵字列表進行匹配處理；
具體的，上述預先存儲的關鍵字列表至少包括一種如下類型的關鍵字操作系統 平臺、CPU類型、內存、MAC地址，在僵尸主機上線并進行TCP連接后通常會向僵尸控制主機 發送明文上線匯報信息，這些信息主要包括一些僵尸控制主機的關鍵描述信息，例如僵尸 控制主機的操作系統平臺、CPU類型、內存、MAC地址。因此本實施例中設置包括這些類型關 鍵字的關鍵字列表，并對從第一數據包中獲取的關鍵字信息與關鍵字列表進行匹配，判斷 該數據包是否是僵尸主機進行上報發送的數據包；
步驟203、當所述匹配結果超過預設的閾值時，識別所述用戶設備為疑似僵尸主 機，上述第一數據包的目標主機為疑似僵尸控制主機；
本步驟是在步驟202中進行關鍵字匹配的基礎上，獲取從第一數據包中獲取關鍵 字信息與關鍵字列表的匹配結果，若匹配結果超過預設的閾值，則認為上述的第一數據包 疑似為僵尸主機明文上線匯報信息的數據包，上述發送第一數據包的用戶設備為疑似僵尸 主機，第一數據包的目標主機為疑似僵尸控制主機。
步驟204、對疑似僵尸主機的行為特征進行監測，若疑似僵尸主機實施了僵尸主機 行為，則識別所述疑似僵尸主機為僵尸主機，該第一數據包的目標主機為僵尸控制主機。
上述的僵尸主機行為可以包括分布式拒絕服務攻擊DDOS(Distribution Denialof service)行為、垃圾郵件SPAM行為、掃描行為或惡意下載行為中的至少一項。
本實施例是通過設置關鍵字列表，從第一數據包中獲取關鍵字信息，并對上述的 關鍵字信息與關鍵字列表進行匹配，根據匹配結果獲取疑似僵尸主機，然后對疑似僵尸主 機的行為進行監測獲取僵尸主機和僵尸控制主機信息，能夠實現對未知僵尸網絡的檢測， 檢測方法簡單有效。
圖5為本發明僵尸網絡檢測方法實施例三的流程示意圖，該實施例是將僵尸網絡 檢測裝置設置在DPI設備中，通常DPI設備可以分為前臺和后臺，本實施例中也可以將僵尸 網絡的檢測裝置分為前臺和后臺兩個部分，其中前臺相當于上述的獲取模塊，主要進行流 量識別業務處理，獲取疑似的僵尸主機和疑似的僵尸控制主機，后臺相當于上述實施例中 行為分析模塊，主要用于通過對疑似僵尸主機的行為進行分析，確認僵尸主機和僵尸控制 主機。具體的，前臺進行流量識別，對TCP流握手后的第一個數據包進行識別，對該數據包 中的關鍵字與預設的關鍵字列表進行匹配，若發現該數據包中關鍵字與關鍵字列表中匹配 一致的數量超過一定的閾值，則可認為上述數據包為疑似僵尸上線包。上述的關鍵字列表 中的關鍵字可以為windows、xp、2003、MHz、Inter, mac, MB, CPU, ver, AMD, IP 等，且不區分 大小寫，上述的閾值可設定為3。在上述的數據包被識別為疑似僵尸主機上線時發送的數據 包后，即將上述進行通信的兩端的設備(即發送第一數據包的主機和接收數據包的主機) 識別為疑似僵尸主機和疑似僵尸控制主機，然后將上述識別獲得的信息形成列表發送給后 臺，由后臺對其行為進行監控，統計其一定周期內的行為，該周期可以為M小時，若在該時 間周期內發現上述的疑似僵尸主機實施了 DDOS行為、SPAM行為、掃描行為惡意下載行為中 的一種或幾種，則可確認上述的疑似僵尸主機為僵尸主機。如圖5所示，該實施例具體可以 包括如下步驟
步驟301、獲取TCP流量；
步驟302、判斷接收到的數據包是否為TCP握手后的第一個數據包，若是則執行步 驟303，若不是則進行其他處理；
步驟303、從TCP握手后的第一個數據包中獲取關鍵字信息并與預設的關鍵字列 表進行匹配，該關鍵字列表中包含有僵尸主機上線時發送給控制主機的數據包中通常包括 的關鍵字；
具體的，該關鍵字可以包括windows、xp、2003、MHz、hter、mac、MB、CPU、ver、AMD、 IP等；
步驟304、統計上述步驟303中匹配的關鍵字個數是否大于或等于預設的閾值，該 閾值可以設為3，若大于或等于預設的閾值，則執行步驟305，否則執行其他處理；
步驟305、獲取統計到的(包括的關鍵字個數大于或等于預設的閾值的數據包信 息，將發送該數據包的主機列為疑似僵尸主機，接收該數據包的主機列為疑似僵尸控制主 機；并對上述疑似僵尸主機的IP地址，以及疑似僵尸控制主機的域名和端口信息進行統計 發送給后臺設備，另外還可以包括疑似僵尸控制主機的IP地址。
上述步驟301-步驟305通常是由前臺設備完成，以下步驟是由后臺設備完成；
步驟306、后臺對前臺發送來的疑似僵尸主機的行為進行監控，監控該疑似僵尸主 機是否實施DDOS行為、SPAM行為、掃描行為、惡意下載行為中的一種或幾種，是則執行步驟 307，否則執行其他處理；
步驟307、確認實施了 DDOS行為、SPAM行為、掃描行為惡意下載行為中的一種或 幾種的疑似僵尸主機為僵尸主機，該僵尸主機發送的第一數據包的目標主機為僵尸控制主 機，并將確認的僵尸主機和僵尸控制主機的信息存入僵尸網絡庫，上述僵尸主機和僵尸控 制主機的信息可以包括僵尸主機的IP地址，以及僵尸控制主機的IP地址、域名和端口信 肩、O
本發明實施例提供的僵尸網絡檢測方法通過對待檢測網絡中的主機發送的第一 數據包進行關鍵字分析，根據關鍵字信息確認疑似僵尸主機和疑似僵尸控制主機，然后再 對疑似僵尸主機的行為進行監控，若其實施了僵尸主機行為中的一種，則可確認該主機為 僵尸主機，該僵尸主機發送的第一數據包的目標主機為僵尸控制主機，通過上述的檢測方 法，能夠有效的發現未知的僵尸網絡中的僵尸主機及僵尸控制主機。
本發明實施例還提供了一種僵尸網絡檢測裝置，圖6為本發明僵尸網絡檢測裝置 實施例一的結構示意圖，如圖6所示，僵尸網路檢測裝置包括獲取模塊11和行為分析模塊 12，其中
獲取模塊11，用于根據待檢測網絡中的主機發送的第一數據包中的關鍵字信息獲 得疑似僵尸主機信息和疑似僵尸控制主機信息；
行為分析模塊12，用于對疑似僵尸主機的行為特性進行分析以識別僵尸主機和僵 尸控制主機。
本發明上述實施例通過獲取模塊11對待檢測網絡中的主機發送的第一數據包進 行關鍵字分析，根據關鍵字信息識別疑似僵尸主機和疑似僵尸控制主機，然后通過行為分 析模塊12對疑似僵尸主機的行為進行監控分析，若其實施了僵尸主機行為中的一種，則可 確認上述主機為僵尸主機，該僵尸主機發送的第一數據包的目標主機為僵尸控制主機。通 過上述的檢測方法，能夠有效的發現僵尸網絡。
圖7為本發明僵尸網絡檢測裝置實施例二的結構示意圖，如圖7所示，僵尸網路檢 測裝置包括獲取模塊21和行為分析模塊22，其中獲取模塊21可分為第一獲取單元211、匹 配單元212和第一識別單元213，行為分析模塊22可以分為監控單元221和第二識別單元 222，其中
第一獲取單元211，用于獲得待檢測網絡中的主機發送的第一數據包中的關鍵字 fn息；
匹配單元212，用于對所述關鍵字信息和預先存儲的關鍵字列表進行匹配處理；
第一識別單元213，用于當所述匹配結果超過預設的閾值時，識別所述主機為疑似 僵尸主機，第一數據包的目標主機為疑似僵尸控制主機；
監控單元221，用于對第一識別單元213識別的疑似僵尸主機的行為特征進行監 測；
第二識別單元222，用于當監控單元221檢測到疑似僵尸主機實施了僵尸主機行 為時，識別所述疑似僵尸主機為僵尸主機。
具體的，僵尸主機行為包括分布式拒絕服務攻擊DDOS行為、垃圾郵件SPAM行為、 掃描行為或惡意下載行為等。
本實施例是通過設置關鍵字列表，從第一數據包中獲取關鍵字信息，并對上述的 關鍵字信息與關鍵字列表進行匹配，若匹配結果超過預設的閾值，則認為上述的第一數據包疑似為僵尸主機明文上線匯報信息的數據包，發送該數據包的主機為疑似僵尸主機，上 述第一數據包的目標主機為疑似僵尸控制主機。并進一步的對疑似僵尸主機行為進行監 控，并根據上述疑似僵尸主機是否實施了典型的僵尸主機行為確定僵尸網絡，能夠有效實 現對未知僵尸網絡的檢測。
本發明上述實施例提供的僵尸網絡檢測裝置能夠執行僵尸網絡檢測方法實施例 中的流程步驟。
本發明實施例還提供了一種網絡安全防護設備，該網絡安全防護設備包括上述實 施例中的僵尸網絡檢測裝置。
本發明實施例提供的網絡安全防護設備，能夠通過對待檢測網絡中的主機發送的 第一數據包進行關鍵字分析，根據關鍵字信息確認疑似僵尸主機和疑似僵尸控制主機，然 后再對疑似僵尸主機的行為進行監控，若其實施了僵尸主機行為中的一種，則可確認該用 戶設備為僵尸主機，該僵尸主機發送的第一數據包的目標主機為僵尸控制主機。通過上述 的檢測方法，能夠有效的發現未知的僵尸網絡。
上述的網絡安全防護設備可以為深度報文檢測DPI設備、統一威脅管理UTM設備 或防火墻FW設備，即可以將圖6或圖7所示實施例中的僵尸網絡檢測裝置設置在深度報文 檢測(De印Packet Inspection，以下簡稱DPI)設備、統一威脅管理UTM設備或FW設備中。
本發明上述實施例提供的僵尸網絡檢測方法，從第一數據包中獲取關鍵字信息， 并對上述的關鍵字信息與關鍵字列表進行匹配，若匹配結果超過預設的閾值，則上述的第 一數據包疑似為僵尸主機明文上線匯報信息的數據包，發送該數據包的用戶設備為疑似僵 尸主機，接收該數據包的主機為疑似僵尸控制主機。并進一步的對其行為特性進行監控，獲 知其是否實施過典型的僵尸主機行為，如DDOS行為、SPAM行為、掃描行為、惡意下載行為， 若實施了上述行為中至少一種行為，則確認其為僵尸主機，與其通信的疑似僵尸控制主機 為僵尸控制主機，能夠有效實現對未知僵尸網絡的監控，并且與僵尸主機的惡意行為相關 聯，能夠增加檢測的準確度。
本領域普通技術人員可以理解實現上述實施例方法中的全部或部分流程，是可以 通過計算機程序來指令相關的硬件來完成，所述的程序可存儲于計算機可讀取存儲介質 中，該程序在執行時，可包括如上述各方法的實施例的流程。其中，所述的存儲介質可為磁 碟、光盤、只讀存儲記憶體(Read-Only Memory, ROM)或隨機存儲記憶體(Random Access Memory, RAM)等。
最后應說明的是以上實施例僅用以說明本發明的技術方案而非對其進行限制， 盡管參照較佳實施例對本發明進行了詳細的說明，本領域的普通技術人員應當理解其依 然可以對本發明的技術方案進行修改或者等同替換，而這些修改或者等同替換亦不能使修 改后的技術方案脫離本發明技術方案的精神和范圍。
權利要求
1.一種僵尸網絡檢測方法，其特征在于，包括根據待檢測網絡中的主機發送的第一數據包中的關鍵字信息獲得疑似僵尸主機信息 和疑似僵尸控制主機信息；對疑似僵尸主機的行為特性進行分析以識別僵尸主機和僵尸控制主機。
2.根據權利要求1所述的僵尸網絡檢測方法，其特征在于，所述根據待檢測網絡中的 主機發送的第一數據包中的關鍵字信息獲得疑似僵尸主機信息和疑似僵尸控制主機信息 包括獲取待檢測網絡中的主機發送的第一數據包中的關鍵字信息；對所述關鍵字信息和預先存儲的關鍵字列表進行匹配處理；當所述匹配結果超過預設的閾值時，識別所述用戶設備為疑似僵尸主機，所述第一數 據包的目標主機為疑似僵尸控制主機。
3.根據權利要求2所述的僵尸網絡檢測方法，其特征在于，所述關鍵字列表中至少包 括一種如下的關鍵字類型操作系統平臺、CPU類型、內存、MAC地址。
4.根據權利要求1所述的僵尸網絡檢測方法，其特征在于，所述對疑似僵尸主機的行 為特性進行分析以識別僵尸主機包括對疑似僵尸主機的行為特征進行監測，若疑似僵尸主機實施了僵尸主機行為則識別所 述疑似僵尸主機為僵尸主機。
5.根據權利要求1所述的僵尸網絡檢測方法，其特征在于，僵尸主機行為包括分布式 拒絕服務攻擊DDOS行為、垃圾郵件SPAM行為、掃描行為或惡意下載行為中的至少一項，
6.一種僵尸網絡檢測裝置，其特征在于，包括獲取模塊，用于根據待檢測網絡中的主機發送的第一數據包中的關鍵字信息獲得疑似 僵尸主機信息和疑似僵尸控制主機信息；行為分析模塊，用于對疑似僵尸主機的行為特性進行分析以識別僵尸主機和僵尸控制 主機。
7.根據權利要求6所述的僵尸網絡檢測裝置，其特征在于，所述獲取模塊包括第一獲取單元，用于獲得待檢測網絡中的主機發送的第一數據包中的關鍵字信息；匹配單元，用于對所述關鍵字信息和預先存儲的關鍵字列表進行匹配處理；第一識別單元，用于當所述匹配結果超過預設的閾值時，識別所述用戶設備為疑似僵 尸主機，所述第一數據包的目標主機為疑似僵尸控制主機。
8.根據權利要求6所述的僵尸網絡檢測裝置，其特征在于，所述行為分析模塊包括監控單元，用于對疑似僵尸主機的行為特征進行監測；第二識別單元，用于當疑似僵尸主機實施了僵尸主機行為時，識別所述疑似僵尸主機 為僵尸主機，所述僵尸主機行為包括分布式拒絕服務攻擊DDOS行為、垃圾郵件SPAM行為、 掃描行為或惡意下載行為中的至少一項。
9.一種網絡安全防護設備，其特征在于，包括權利要求6-8任一所述的僵尸網絡檢測裝置ο
10.根據權利要求9所述的網絡安全防護設備，其特征在于，所述網絡安全防護設備為 深度報文檢測DPI設備、統一威脅管理UTM設備或防火墻FW設備。
全文摘要
本發明實施例提供了一種僵尸網絡檢測方法、裝置以及網絡安全防護設備，其中方法包括根據待檢測網絡中的主機發送的第一數據包中的關鍵字信息獲得疑似僵尸主機信息和疑似僵尸控制主機信息；對疑似僵尸主機的行為特性進行分析以識別僵尸主機和僵尸控制主機。通過本發明實施例提供的僵尸網絡檢測方案能夠有效發現未知的僵尸網絡。
文檔編號H04L29/06GK102035793SQ200910093749
公開日2011年4月27日 申請日期2009年9月28日 優先權日2009年9月28日
發明者蔣武 申請人:成都市華為賽門鐵克科技有限公司