專利名稱:僵尸網(wǎng)絡(luò)的檢測(cè)方法����、裝置及檢測(cè)系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信技術(shù)領(lǐng)域,具體涉及一種僵尸網(wǎng)絡(luò)的檢測(cè)方法���、裝置及檢測(cè)系統(tǒng)��。
背景技術(shù):
僵尸網(wǎng)絡(luò)(Botnet)��,是指采用一種或多種傳播手段�,將大量主機(jī)感染僵尸(bot) 程序,從而在控制者和被感染主機(jī)(可簡(jiǎn)稱僵尸或肉機(jī))之間形成的一個(gè)可一對(duì)多控制的 網(wǎng)絡(luò)����。互聯(lián)網(wǎng)中繼聊天(IRC���,Internet Relay Chat)協(xié)議是一種基于文本的用于實(shí)現(xiàn)網(wǎng) 絡(luò)即時(shí)聊天的應(yīng)用層協(xié)議�����?�;贗RC協(xié)議的網(wǎng)絡(luò)通信模式通常是客戶端/服務(wù)器模式,客 戶端可在IRC服務(wù)器上創(chuàng)建IRC通信頻道���,其它客戶端可以加入該客戶端創(chuàng)建的IRC通信 頻道,并在該IRC通信頻道進(jìn)行聊天通信��。僵尸網(wǎng)絡(luò)按照拓?fù)浣Y(jié)構(gòu)可以分為樹狀僵尸網(wǎng)絡(luò)和星型僵尸網(wǎng)絡(luò)。其中,基于IRC 協(xié)議的僵尸網(wǎng)絡(luò)(以下可簡(jiǎn)稱IRC僵尸網(wǎng)絡(luò))通常是一種星型僵尸網(wǎng)絡(luò)��,參見圖1,IRC僵 尸網(wǎng)絡(luò)的攻擊方式通常如下(1)控制者(黑客)在IRC服務(wù)器上創(chuàng)建通信頻道��;(2)僵尸(肉機(jī))登陸IRC服務(wù)器并加入控制者事先創(chuàng)建的通信頻道�;(3)控制者在事先創(chuàng)建的通信頻道上發(fā)布攻擊指令;(4)僵尸監(jiān)聽并接收攻擊指令��,發(fā)起攻擊?�?梢岳斫?��,僵尸網(wǎng)絡(luò)的存在將極大的威脅網(wǎng)絡(luò)用戶的信息安全����,故而網(wǎng)絡(luò)中的安 全防護(hù)設(shè)備需要盡可能快速準(zhǔn)確的檢測(cè)出僵尸網(wǎng)絡(luò)�,以便于對(duì)其進(jìn)行嚴(yán)密監(jiān)控和摧毀���。在現(xiàn)有技術(shù)中�����,主要是通過包匹配來檢測(cè)IRC僵尸網(wǎng)絡(luò)�,具體是獲取來自IRC僵尸 網(wǎng)絡(luò)頻道的惡意程序(樣本)��,通過分析該樣本獲得基于該樣本產(chǎn)生的報(bào)文的特征庫�����,該特 征庫包含非常具體的報(bào)文特征。利用該特征庫���,能夠精確的檢測(cè)出來自對(duì)應(yīng)IRC僵尸網(wǎng)絡(luò) 頻道的報(bào)文���,例如���,當(dāng)接收到來自IRC通信頻道的報(bào)文后���,將其和特征庫的特征進(jìn)行匹配�����, 若其符合特征庫中的特征�����,則確定該IRC通信頻道為IRC僵尸網(wǎng)絡(luò)頻道��。其中�,確定出IRC 僵尸網(wǎng)絡(luò)頻道��,也就相當(dāng)于確定出了 IRC僵尸網(wǎng)絡(luò)���。在對(duì)現(xiàn)有技術(shù)的研究和實(shí)踐過程中,發(fā)明人發(fā)現(xiàn),現(xiàn)有技術(shù)通過包匹配來檢測(cè)IRC 僵尸網(wǎng)絡(luò)����,首先需要做大量的樣本分析�����,形成包含具體報(bào)文特征的特征庫,但樣本的獲取通 常十分困難����,使得該檢測(cè)方式的實(shí)現(xiàn)難度相對(duì)較大�;且該方式通常不能檢測(cè)出未獲得樣本 的IRC僵尸網(wǎng)絡(luò)頻道��,使得適用場(chǎng)景相對(duì)有限。
發(fā)明內(nèi)容
本發(fā)明實(shí)施例提供一種僵尸網(wǎng)絡(luò)的檢測(cè)方法�、裝置及檢測(cè)系統(tǒng),能夠相對(duì)快速準(zhǔn) 確的檢測(cè)出多種僵尸網(wǎng)絡(luò)��,可適用多種場(chǎng)景���;且實(shí)現(xiàn)方式相對(duì)簡(jiǎn)單。為解決上述技術(shù)問題,本發(fā)明實(shí)施例提供以下技術(shù)方案一種僵尸網(wǎng)絡(luò)的檢測(cè)方法��,包括
獲取網(wǎng)絡(luò)流量中部分或全部互聯(lián)網(wǎng)中繼聊天IRC通信頻道的報(bào)文;查找所述獲取 的各個(gè)IRC通信頻道的報(bào)文包含的異常關(guān)鍵字;分別統(tǒng)計(jì)對(duì)應(yīng)各個(gè)IRC通信頻道查找出的 所述異常關(guān)鍵字的數(shù)量���,將在設(shè)定時(shí)長(zhǎng)內(nèi)統(tǒng)計(jì)出的異常關(guān)鍵字的數(shù)量超過設(shè)定閾值的IRC 通信頻道,確定為疑似IRC僵尸網(wǎng)絡(luò)頻道;驗(yàn)證所述疑似IRC僵尸網(wǎng)絡(luò)頻道是否為IRC僵尸 網(wǎng)絡(luò)頻道。一種僵尸網(wǎng)絡(luò)的檢測(cè)裝置��,包括獲取模塊,用于獲取網(wǎng)絡(luò)流量中部分或全部IRC通信頻道的報(bào)文;查找模塊���,用于查找所述獲取模塊獲取的各個(gè)IRC通信頻道的報(bào)文包含的異常關(guān) 鍵字;統(tǒng)計(jì)確定模塊�,用于分別統(tǒng)計(jì)所述查找模塊對(duì)應(yīng)各個(gè)IRC通信頻道查找出的所述 異常關(guān)鍵字的數(shù)量,將在設(shè)定時(shí)長(zhǎng)內(nèi)統(tǒng)計(jì)出的異常關(guān)鍵字的數(shù)量超過設(shè)定閾值的IRC通信 頻道��,確定為疑似IRC僵尸網(wǎng)絡(luò)頻道�����;驗(yàn)證模塊,用于驗(yàn)證所述統(tǒng)計(jì)確定模塊確定的所述疑似IRC僵尸網(wǎng)絡(luò)頻道是否為 IRC僵尸網(wǎng)絡(luò)頻道。一種檢測(cè)系統(tǒng)���,包括如上述實(shí)施例所述的僵尸網(wǎng)絡(luò)的檢測(cè)裝置�。由上可見���,本發(fā)明實(shí)施例采用的技術(shù)方案具有如下有益效果通過查找和分別統(tǒng) 計(jì)來自各個(gè)IRC通信頻道的報(bào)文包含的異常關(guān)鍵字�����,將在設(shè)定時(shí)長(zhǎng)內(nèi)統(tǒng)計(jì)出的異常關(guān)鍵字 的數(shù)量超過設(shè)定閾值的IRC通信頻道,確定為疑似IRC僵尸網(wǎng)絡(luò)頻道���,由于異常關(guān)鍵字容易 確定且具有較好的普適性�����,故而采用上述方案能夠相對(duì)快速準(zhǔn)確的檢測(cè)出多種僵尸網(wǎng)絡(luò)���, 且實(shí)現(xiàn)方式相對(duì)簡(jiǎn)單����。
為了更清楚地說明本發(fā)明實(shí)施例和現(xiàn)有技術(shù)中的技術(shù)方案�����,下面將對(duì)實(shí)施例和現(xiàn) 有技術(shù)描述中所需要使用的附圖作簡(jiǎn)單地介紹����,顯而易見地���,下面描述中的附圖僅僅是本 發(fā)明的一些實(shí)施例�����,對(duì)于本領(lǐng)域普通技術(shù)人員來講����,在不付出創(chuàng)造性勞動(dòng)性的前提下��,還可 以根據(jù)這些附圖獲得其他的附圖���。圖1是現(xiàn)有技術(shù)提供的一種IRC僵尸網(wǎng)絡(luò)的攻擊示意圖;圖2是本發(fā)明實(shí)施例一提供的一種僵尸網(wǎng)絡(luò)的檢測(cè)方法流程圖��;圖3是本發(fā)明實(shí)施例二提供的一種僵尸網(wǎng)絡(luò)的檢測(cè)方法流程圖����;圖4_a是本發(fā)明實(shí)施例三提供的一種僵尸網(wǎng)絡(luò)的檢測(cè)裝置示意圖���;圖4_b是本發(fā)明實(shí)施例三提供的一種監(jiān)測(cè)驗(yàn)證模塊示意圖���;圖4-c是本發(fā)明實(shí)施例三提供的另一種監(jiān)測(cè)驗(yàn)證模塊示意圖;圖4_d是本發(fā)明實(shí)施例三提供的另一種監(jiān)測(cè)驗(yàn)證模塊示意圖�。
具體實(shí)施例方式本發(fā)明實(shí)施例提供一種僵尸網(wǎng)絡(luò)的檢測(cè)方法�、裝置及檢測(cè)系統(tǒng)�����,能夠相對(duì)快速準(zhǔn) 確的檢測(cè)出多種僵尸網(wǎng)絡(luò)�����,可適用多種場(chǎng)景����;且實(shí)現(xiàn)方式相對(duì)簡(jiǎn)單。為使得本發(fā)明的發(fā)明目的�、特征���、優(yōu)點(diǎn)能夠更加的明顯和易懂,下面將結(jié)合本發(fā)明實(shí)施例中的附圖����,對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚��、完整地描述,顯然����,所描述的實(shí) 施例僅僅是本發(fā)明一部分實(shí)施例,而非全部實(shí)施例?;诒景l(fā)明中的實(shí)施例,本領(lǐng)域普通 技術(shù)人員在沒有做出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí)施例�����,都屬于本發(fā)明保護(hù)的范圍��。實(shí)施例一���、參見圖2、本發(fā)明實(shí)施例一的一種僵尸網(wǎng)絡(luò)的檢測(cè)方法���,可以包括210�、獲取網(wǎng)絡(luò)流量中部分或全部IRC通信頻道的報(bào)文���。其中�,IRC通信頻道的報(bào)文是基于IRC協(xié)議的報(bào)文。例如對(duì)于當(dāng)前已知且十分可 靠的IRC通信頻道,可以不獲取其報(bào)文���,不對(duì)其進(jìn)行檢測(cè);對(duì)于其它的IRC通信頻道�����,則可獲 取其報(bào)文,對(duì)其進(jìn)行檢測(cè)����。當(dāng)然也可以獲取來自各個(gè)IRC通信頻道的報(bào)文,對(duì)每個(gè)IRC通信 頻道進(jìn)行檢測(cè)����。例如可以利用包識(shí)別技術(shù)(DPI)識(shí)別出網(wǎng)絡(luò)流量的IRC協(xié)議報(bào)文,進(jìn)而獲取網(wǎng)絡(luò) 流量中部分或全部IRC通信頻道的報(bào)文����。220��、查找上述獲取的各個(gè)IRC通信頻道的報(bào)文包含的異常關(guān)鍵字�。在實(shí)際應(yīng)用中��,可以預(yù)先構(gòu)建一個(gè)異常關(guān)鍵字庫����,該異常關(guān)鍵字庫中的異常關(guān)鍵 字例如可以包括各種IRC僵尸網(wǎng)絡(luò)通用常見的異常命令字符串,通??梢哉J(rèn)為,包含異常 關(guān)鍵字的報(bào)文極有可能來自IRC僵尸網(wǎng)絡(luò)頻道�。其中,上述異常關(guān)鍵字是IRC僵尸網(wǎng)絡(luò)通用常見的異常命令字符串�����,故而適用于 幾乎所有的IRC僵尸網(wǎng)絡(luò)?��?梢赃x擇多種方式獲取或確定IRC僵尸網(wǎng)絡(luò)中通用常見的異常 命令字符串���,以構(gòu)建異常關(guān)鍵字庫。舉例來說,可以選擇模式匹配的方式�、報(bào)文解析的方式或其它方式,查找上述獲取 的各個(gè)IRC通信頻道的報(bào)文中是否包含有歸屬于異常關(guān)鍵字庫中的一個(gè)或多個(gè)異常關(guān)鍵字����。230�、分別統(tǒng)計(jì)對(duì)應(yīng)各個(gè)IRC通信頻道查找出的異常關(guān)鍵字的數(shù)量�����,將在設(shè)定時(shí)長(zhǎng) 內(nèi)統(tǒng)計(jì)出的異常關(guān)鍵字的數(shù)量超過設(shè)定閾值的IRC通信頻道,確定為疑似IRC僵尸網(wǎng)絡(luò)頻道�����。在實(shí)際應(yīng)用中����,可以預(yù)先設(shè)定一個(gè)統(tǒng)計(jì)時(shí)長(zhǎng)和一個(gè)異常關(guān)鍵字的數(shù)量閾值�,其中���, 若在設(shè)定時(shí)長(zhǎng)內(nèi)統(tǒng)計(jì)出的來自某個(gè)IRC通信頻道的報(bào)文包含異常關(guān)鍵字的數(shù)量超過設(shè)定 閾值��,可以認(rèn)為該IRC通信頻道極有可能為IRC僵尸網(wǎng)絡(luò)頻道��,其極有可能已經(jīng)被攻擊者 (黑客)控制���,此時(shí)可以將其確定為疑似IRC僵尸網(wǎng)絡(luò)頻道���。對(duì)0、驗(yàn)證上述疑似IRC僵尸網(wǎng)絡(luò)頻道是否為IRC僵尸網(wǎng)絡(luò)頻道�。在一種應(yīng)用場(chǎng)景下,可以選擇多種方式驗(yàn)證上述疑似IRC僵尸網(wǎng)絡(luò)頻道是否為 IRC僵尸網(wǎng)絡(luò)頻道�。例如可以利用IRC客戶端登錄到上述疑似IRC僵尸網(wǎng)絡(luò)頻道�,通過監(jiān)測(cè) 該疑似IRC僵尸網(wǎng)絡(luò)頻道的行為模塊�,驗(yàn)證上述疑似IRC僵尸網(wǎng)絡(luò)頻道是否為IRC僵尸網(wǎng) 絡(luò)頻道��。進(jìn)一步的,若驗(yàn)證出上述疑似IRC僵尸網(wǎng)絡(luò)頻道為IRC僵尸網(wǎng)絡(luò)頻道�����,可以進(jìn)行相 應(yīng)的告警處理;若驗(yàn)證出上述疑似IRC僵尸網(wǎng)絡(luò)頻道不是IRC僵尸網(wǎng)絡(luò)頻道��,可以繼續(xù)對(duì)其 進(jìn)行嚴(yán)密監(jiān)控或進(jìn)行其它處理����。需要說明的是�����,在IRC通信頻道中,根據(jù)IRC協(xié)議,經(jīng)常會(huì)下發(fā)明文指令(其中包含關(guān)鍵字)給客戶端���。本發(fā)明實(shí)施例中主要是利用IRC通信頻道的該特性��,通過異常關(guān)鍵 字來檢測(cè)其中的IRC僵尸網(wǎng)絡(luò)頻道。需要說明的是,上述方案可以在網(wǎng)絡(luò)中的安全防護(hù)設(shè)備上具體實(shí)施�,該安全防護(hù) 設(shè)備例如可以位于網(wǎng)關(guān)上���,例如可以位于城域網(wǎng)的出口或其它出口,以便對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行 監(jiān)控�,本發(fā)明不做限定��。由上可見�����,本發(fā)明實(shí)施例中通過查找和分別統(tǒng)計(jì)來自各個(gè)IRC通信頻道的報(bào)文包 含的異常關(guān)鍵字����,將在設(shè)定時(shí)長(zhǎng)內(nèi)統(tǒng)計(jì)出的異常關(guān)鍵字的數(shù)量超過設(shè)定閾值的IRC通信頻 道�����,確定為疑似IRC僵尸網(wǎng)絡(luò)頻道,由于異常關(guān)鍵字容易確定且具有普適性,故而采用上述 方案能夠相對(duì)快速準(zhǔn)確的檢測(cè)出多種僵尸網(wǎng)絡(luò)���,且實(shí)現(xiàn)方式相對(duì)簡(jiǎn)單��。實(shí)施例二�、為便于更好的理解本發(fā)明實(shí)施例的技術(shù)方案,下面通過更為具體的實(shí)施例對(duì)本發(fā) 明技術(shù)方案進(jìn)行進(jìn)一步詳細(xì)的描述����。參見圖3���,本發(fā)明實(shí)施例二的一種僵尸網(wǎng)絡(luò)的檢測(cè)方法���,可以包括301��、獲取網(wǎng)絡(luò)流量中部分或全部IRC通信頻道的報(bào)文。在實(shí)際應(yīng)用中���,為減少對(duì)正常業(yè)務(wù)的影響,可以采用數(shù)據(jù)旁路技術(shù)旁路網(wǎng)絡(luò)流量�, 然后利用包識(shí)別技術(shù)從旁路出的網(wǎng)絡(luò)流量中識(shí)別出IRC協(xié)議報(bào)文����,實(shí)現(xiàn)獲取網(wǎng)絡(luò)流量中部 分或全部IRC通信頻道的報(bào)文���。302��、查找上述獲取的各個(gè)IRC通信頻道的報(bào)文包含的異常關(guān)鍵字。在實(shí)際應(yīng)用中����,可以預(yù)先構(gòu)建包含多個(gè)異常關(guān)鍵字的異常關(guān)鍵字庫���,該異常關(guān)鍵 字庫中的異常關(guān)鍵字可以包括各種IRC僵尸網(wǎng)絡(luò)通用常見的異常命令字符串,例如可以 包括如下異常命令字符串中的部分或全部scan�����、bot����、flood�����、ddos����、fork��、delete����、login����、logon����、auth、killthread、clone����、 redirect、sysinfo��、net info�����、ping��、spy、dns�����、udp、syn��、http: //��、download、. exe����、update��、 exploit λ advscan�����、lsass、dcom�����、beagle、dameware���、asc��、advscan���、root, start���、scan��、 ntscan����、dl����、dlxx���、download, wget���、http. update���。上述異常關(guān)鍵字是IRC僵尸網(wǎng)絡(luò)通用常見的異常命令字符串�����,故而適用于幾乎所 有的IRC僵尸網(wǎng)絡(luò)�����。可以認(rèn)為��,包含異常關(guān)鍵字的報(bào)文極有可能來自IRC僵尸網(wǎng)絡(luò)頻道�����。其中,本實(shí)施主要選擇模式匹配的方式�,查找上述獲取的各個(gè)IRC通信頻道的報(bào) 文中包含的歸屬于異常關(guān)鍵字庫中的一個(gè)或多個(gè)異常關(guān)鍵字��。303�����、分別統(tǒng)計(jì)對(duì)應(yīng)各個(gè)IRC通信頻道查找出的異常關(guān)鍵字的數(shù)量���,將在設(shè)定時(shí)長(zhǎng) 內(nèi)統(tǒng)計(jì)出的異常關(guān)鍵字的數(shù)量超過設(shè)定閾值的IRC通信頻道���,確定為疑似IRC僵尸網(wǎng)絡(luò)頻道��。在實(shí)際應(yīng)用中,可以預(yù)先設(shè)定一個(gè)統(tǒng)計(jì)時(shí)長(zhǎng)(例如����,半個(gè)小時(shí))和一個(gè)異常關(guān)鍵字 的數(shù)量閾值(例如��,500個(gè)),并對(duì)應(yīng)檢測(cè)到的每個(gè)IRC通信頻道設(shè)置一個(gè)計(jì)數(shù)器����,利用每個(gè) IRC通信頻道的計(jì)數(shù)器統(tǒng)計(jì)來自該IRC通信頻道的報(bào)文包含的異常關(guān)鍵字的數(shù)量�����。進(jìn)一步的�,由于某些IRC通信頻道的報(bào)文可能會(huì)重復(fù)發(fā)送����,例如報(bào)警報(bào)文可能會(huì) 重復(fù)發(fā)幾次���,故而可以對(duì)內(nèi)容相同的報(bào)文進(jìn)行去重處理��,即對(duì)于內(nèi)容相同的多個(gè)報(bào)文包含 的異常關(guān)鍵字只統(tǒng)計(jì)一次���。其中,若在設(shè)定時(shí)長(zhǎng)內(nèi)統(tǒng)計(jì)出的來自某個(gè)IRC通信頻道的報(bào)文包含異常關(guān)鍵字的數(shù)量超過設(shè)定閾值�����,可以認(rèn)為該IRC通信頻道極有可能為IRC僵尸網(wǎng)絡(luò)頻道�,其極有可能已 經(jīng)被攻擊者(黑客)控制��,此時(shí)可以將其確定為疑似IRC僵尸網(wǎng)絡(luò)頻道�,并可以進(jìn)行相應(yīng)的告警處理。進(jìn)一步的��,還可以對(duì)確定出疑似IRC僵尸網(wǎng)絡(luò)頻道進(jìn)行進(jìn)一步的驗(yàn)證�,以減小誤 判的可能性,進(jìn)一步提高檢測(cè)的準(zhǔn)備性�。304、登錄確定的疑似IRC僵尸網(wǎng)絡(luò)頻道���。具體可以利用IRC客戶端軟件�,登錄到疑似IRC僵尸網(wǎng)絡(luò)頻道,偽裝成該疑似IRC 僵尸網(wǎng)絡(luò)頻道的在線用戶�,以便對(duì)其行為模式進(jìn)行嚴(yán)密監(jiān)控�����。各個(gè)IRC通信頻道的頻道名稱(標(biāo)識(shí))和登錄密碼均可以從來自該IRC通信頻道 的報(bào)文中獲取到�����。因此,可以通過獲取和解析相應(yīng)的報(bào)文�����,獲取登錄到疑似IRC僵尸網(wǎng)絡(luò)頻 道所需的密碼等���。305����、監(jiān)測(cè)疑似IRC僵尸網(wǎng)絡(luò)頻道的行為模式��,并根據(jù)監(jiān)測(cè)到的其行為模式��,對(duì)疑 似IRC僵尸網(wǎng)絡(luò)頻道是否為僵尸網(wǎng)絡(luò)頻道進(jìn)行驗(yàn)證��。其中,IRC僵尸網(wǎng)絡(luò)頻道具有比較明顯的行為模式特點(diǎn),可以通過監(jiān)測(cè)疑似IRC僵 尸網(wǎng)絡(luò)頻道是否具有IRC僵尸網(wǎng)絡(luò)頻道的行為模式特點(diǎn)���,驗(yàn)證上述疑似IRC僵尸網(wǎng)絡(luò)頻道 是否為IRC僵尸網(wǎng)絡(luò)頻道���。本實(shí)施例中主要提供以下三種檢測(cè)方式���,對(duì)疑似IRC僵尸網(wǎng)絡(luò)頻道是否為僵尸網(wǎng) 絡(luò)頻道進(jìn)行驗(yàn)證���。方式一al�����、獲取疑似IRC僵尸網(wǎng)絡(luò)頻道的聊天列表�����。其中���,利用IRC客戶端登錄到疑似IRC僵尸網(wǎng)絡(luò)頻道后,便可以直接獲取到疑似 IRC僵尸網(wǎng)絡(luò)頻道的聊天列表���,其中�����,該聊天列表中記錄有登錄到該疑似IRC僵尸網(wǎng)絡(luò)頻道 的所有用戶的用戶昵稱(nickname)等信息�。a2����、計(jì)算聊天列表中記錄的用戶昵稱的相似度。其中�����,IRC僵尸網(wǎng)絡(luò)中的僵尸的用戶昵稱格式往往是雷同的��,通常是通過某種算 法生成的,具有一定的規(guī)律����。例如IP地址表示法�����,通常是將被感染了僵尸(bot)程序 的主機(jī)的IP地址所在國(guó)的三位縮寫放在開頭,然后在后面加入指定長(zhǎng)度的隨機(jī)數(shù)字�����,如 USA I 8028032, CHA | 8920340 ;系統(tǒng)表示法�����,通常是將被感染僵尸程序的主機(jī)的系統(tǒng)作為開始 的字母如xp�����、2000等����,然后再在后面加上指定長(zhǎng)度的隨機(jī)數(shù)字�,如xp I 8034,2000 | 80956等����?�?梢?,僵尸的用戶昵稱的規(guī)律性和正常用戶的用戶昵稱的隨意性是很不相同的��。 故而可以通過計(jì)算聊天列表中記錄的用戶昵稱的相似度����,判斷該疑似IRC僵尸網(wǎng)絡(luò)頻道是 否為IRC僵尸網(wǎng)絡(luò)頻道��。具體可以是對(duì)聊天列表中用戶昵稱進(jìn)行昵稱長(zhǎng)度��、字母?jìng)€(gè)數(shù)、數(shù)字個(gè)數(shù)�、字母數(shù) 字等等進(jìn)行分布的統(tǒng)計(jì),以確定其相似度��。a3�、若計(jì)算出的上述相似度大于設(shè)定的閾值�,確定上述疑似IRC僵尸網(wǎng)絡(luò)頻道為 IRC僵尸網(wǎng)絡(luò)頻道����??梢岳斫?�,若通過計(jì)算發(fā)現(xiàn),聊天列表中用戶昵稱的相似度大于設(shè)定的閾值(例 如��,75% )�,可以確定該疑似IRC僵尸網(wǎng)絡(luò)頻道為IRC僵尸網(wǎng)絡(luò)頻道�����。進(jìn)一步的,若通過計(jì)算發(fā)現(xiàn)�,聊天列表中用戶昵稱的相似度小于設(shè)定的閾值����,例如可以繼續(xù)對(duì)該疑似IRC僵尸網(wǎng)絡(luò)頻道進(jìn)行嚴(yán)密監(jiān)控���,或進(jìn)行其它操作。方式二bl�����、在上述疑似IRC僵尸網(wǎng)絡(luò)頻道發(fā)布查詢指令�。具體可以是在疑似IRC僵尸網(wǎng)絡(luò)頻道發(fā)布一條或多條查詢指令�����,例如可以發(fā)布 LIST�����、WH0SE��、INF0等等查詢指令�����。由于IRC僵尸網(wǎng)絡(luò)頻道�����,為了不讓管理員發(fā)現(xiàn),會(huì)故意隱 藏一些頻道屬性���,使得很多指令不能被執(zhí)行。因此���,本實(shí)施例可以利用該特性對(duì)IRC僵尸網(wǎng) 絡(luò)頻道進(jìn)行檢測(cè)�。b2、監(jiān)測(cè)在設(shè)定的時(shí)長(zhǎng)內(nèi)是否接收到上述查詢指令的正常響應(yīng)�。通常而言��,對(duì)于IRC僵尸網(wǎng)絡(luò)頻道不能被執(zhí)行的查詢指令�,指令發(fā)送方是無法接 收到正常響應(yīng)的,故而可以監(jiān)測(cè)在設(shè)定的時(shí)長(zhǎng)內(nèi)(例如,10秒)是否接收到上述查詢指令的 正常響應(yīng)�,根據(jù)監(jiān)測(cè)結(jié)果確定該疑似IRC僵尸網(wǎng)絡(luò)頻道是否為IRC僵尸網(wǎng)絡(luò)頻道�����。b3�、若監(jiān)測(cè)到在設(shè)定的時(shí)長(zhǎng)內(nèi)未接收到上述查詢指令的正常響應(yīng),確定該疑似IRC 僵尸網(wǎng)絡(luò)頻道為IRC僵尸網(wǎng)絡(luò)頻道��?�?梢岳斫?,若通過監(jiān)測(cè)發(fā)現(xiàn),在設(shè)定的時(shí)長(zhǎng)內(nèi)未接收到上述查詢指令的正常響應(yīng)���, 則可以確定該疑似IRC僵尸網(wǎng)絡(luò)頻道為IRC僵尸網(wǎng)絡(luò)頻道。進(jìn)一步的�,若通過監(jiān)測(cè)發(fā)現(xiàn),在設(shè)定的時(shí)長(zhǎng)內(nèi)接收到了上述查詢指令的正常響應(yīng), 例如可以繼續(xù)對(duì)該疑似IRC僵尸網(wǎng)絡(luò)頻道進(jìn)行嚴(yán)密監(jiān)控�,或進(jìn)行其它操作�。方式三Cl、監(jiān)測(cè)上述疑似IRC僵尸網(wǎng)絡(luò)頻道的在線用戶的聊天狀態(tài)。通常而言�����,對(duì)于IRC僵尸網(wǎng)絡(luò)頻道�����,若控制者(黑客)不在線上����,聊天列表中的在 線用戶通常都會(huì)處于靜默狀態(tài)��。作為聊天頻道�,在線用戶長(zhǎng)時(shí)間靜默是不正常的�。故而可以通過監(jiān)測(cè)上述疑似IRC僵尸網(wǎng)絡(luò)頻道的在線用戶的聊天狀態(tài),判斷該疑 似IRC僵尸網(wǎng)絡(luò)頻道為IRC僵尸網(wǎng)絡(luò)頻道��。c2����、若監(jiān)測(cè)到超過設(shè)定比例的在線用戶在設(shè)定時(shí)長(zhǎng)內(nèi)都處于靜默狀態(tài),確定上述 疑似IRC僵尸網(wǎng)絡(luò)頻道為IRC僵尸網(wǎng)絡(luò)頻道�����。具體可以是監(jiān)測(cè)疑似IRC僵尸網(wǎng)絡(luò)頻道的在線用戶的聊天狀態(tài)�,若監(jiān)測(cè)到超過 設(shè)定比例(例如��,85%)的在線用戶在設(shè)定時(shí)長(zhǎng)(例如����,15分鐘)內(nèi)都處于靜默狀態(tài),只有 例如PING��、PONG這樣的保活數(shù)據(jù)存在����,確定上述疑似IRC僵尸網(wǎng)絡(luò)頻道為IRC僵尸網(wǎng)絡(luò)頻道���。進(jìn)一步的�����,若通過監(jiān)測(cè)發(fā)現(xiàn)����,超過設(shè)定比例的在線用戶在設(shè)定時(shí)長(zhǎng)內(nèi)處于發(fā)言聊 天狀態(tài)��,例如可以繼續(xù)對(duì)該疑似IRC僵尸網(wǎng)絡(luò)頻道進(jìn)行嚴(yán)密監(jiān)控,或進(jìn)行其它操作�。在一種應(yīng)用場(chǎng)景下�����,可以同時(shí)選擇上述方式的一種或多種,對(duì)疑似IRC僵尸網(wǎng)絡(luò) 頻道是否為僵尸網(wǎng)絡(luò)頻道進(jìn)行多重驗(yàn)證�����,進(jìn)一步提高驗(yàn)證的可靠性��。對(duì)于驗(yàn)證為IRC僵尸網(wǎng)絡(luò)頻道的IRC通信頻道�����,可以進(jìn)行告警處理���,例如可以向管 理員或網(wǎng)管中心上報(bào)告警信息��,該告警信息可以攜帶該IRC僵尸網(wǎng)絡(luò)頻道的頻道名稱等信 息。管理員或網(wǎng)管中心可以設(shè)法阻斷該^C僵尸網(wǎng)絡(luò)頻道的通信�,將其摧毀�����;或?qū)ζ溥M(jìn)行通 信限制和嚴(yán)密監(jiān)控����。需要說明的是����,上述方案可以在網(wǎng)絡(luò)中的安全防護(hù)設(shè)備上具體實(shí)施��,該安全防護(hù) 設(shè)備例如可以位于網(wǎng)關(guān)上���,例如可以位于城域網(wǎng)的出口或其它出口�����,以便對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行監(jiān)控�����,本發(fā)明不做限定�。為便于更好的理解本實(shí)施例的技術(shù)方案�,下面通過一個(gè)具體實(shí)例�����,對(duì)本發(fā)明上述 技術(shù)方案做進(jìn)一步詳細(xì)的描述����。例如某一網(wǎng)絡(luò)出口設(shè)置有安全防護(hù)設(shè)備A�����,設(shè)備A例如可以包括3個(gè)功能實(shí)體,即 前臺(tái)����、后臺(tái)和驗(yàn)證中心����。設(shè)備A的各個(gè)功能實(shí)體協(xié)同檢測(cè)僵尸網(wǎng)絡(luò)的過程可以如下前臺(tái)利用包識(shí)別技術(shù),獲取網(wǎng)絡(luò)流量中來自各個(gè)IRC通信頻道的報(bào)文;利用模式 匹配方式����,查找獲取的各個(gè)IRC通信頻道的報(bào)文包含的異常關(guān)鍵字;將查找到的異常關(guān)鍵 字通知給后臺(tái)����;后臺(tái)可以利用計(jì)數(shù)器���,分別統(tǒng)計(jì)前臺(tái)對(duì)應(yīng)各個(gè)IRC通信頻道查找出的異常關(guān)鍵字 的數(shù)量�,將在設(shè)定時(shí)長(zhǎng)內(nèi)統(tǒng)計(jì)出的異常關(guān)鍵字的數(shù)量超過設(shè)定閾值的IRC通信頻道��,確定 為疑似IRC僵尸網(wǎng)絡(luò)頻道�;并將疑似IRC僵尸網(wǎng)絡(luò)頻道的頻道信息(包括頻道名稱和登錄 密碼等)上報(bào)給驗(yàn)證中心�,請(qǐng)求驗(yàn)證中心進(jìn)一步驗(yàn)證該疑似IRC僵尸網(wǎng)絡(luò)頻道是否為IRC 僵尸網(wǎng)絡(luò)頻道���。例如設(shè)定的統(tǒng)計(jì)時(shí)長(zhǎng)為20分鐘����,設(shè)定的異常關(guān)鍵字閾值為300個(gè),若后臺(tái)在20分 鐘的時(shí)長(zhǎng)內(nèi),統(tǒng)計(jì)出來自某個(gè)IRC通信頻道的報(bào)文包含的異常關(guān)鍵字的數(shù)量超過了 300個(gè)����, 則后臺(tái)可以初步確定該IRC通信頻道為疑似IRC僵尸網(wǎng)絡(luò)頻道��;后臺(tái)可以向驗(yàn)證中心上報(bào) 該疑似IRC僵尸網(wǎng)絡(luò)頻道的頻道信息�,請(qǐng)求驗(yàn)證中心進(jìn)一步驗(yàn)證該疑似IRC僵尸網(wǎng)絡(luò)頻道 是否為IRC僵尸網(wǎng)絡(luò)頻道。驗(yàn)證中心可以利用IRC客戶端軟件��,登錄到該疑似IRC僵尸網(wǎng)絡(luò)頻道�;監(jiān)測(cè)該疑似 IRC僵尸網(wǎng)絡(luò)頻道的行為模式���,根據(jù)監(jiān)測(cè)到的行為模式����,對(duì)該疑似IRC僵尸網(wǎng)絡(luò)頻道是否為 僵尸網(wǎng)絡(luò)頻道進(jìn)行驗(yàn)證�����。驗(yàn)證中心例如可以選擇上述三種驗(yàn)證方式中的任意一種或多種對(duì)疑似IRC僵尸 網(wǎng)絡(luò)頻道進(jìn)行驗(yàn)證�,并向后臺(tái)反饋驗(yàn)證結(jié)果�����;若驗(yàn)證中心確定上述疑似IRC僵尸網(wǎng)絡(luò)頻道為僵尸網(wǎng)絡(luò)頻道��,后臺(tái)可以執(zhí)行告警 處理�;若驗(yàn)證中心確定出上述疑似IRC僵尸網(wǎng)絡(luò)頻道不是僵尸網(wǎng)絡(luò)頻道�����,后臺(tái)可以繼續(xù)對(duì) 其進(jìn)行嚴(yán)密監(jiān)控����,或執(zhí)行其它操作�����。由上可見����,本實(shí)施例中通過查找和分別統(tǒng)計(jì)來自各個(gè)IRC通信頻道的報(bào)文包含的 異常關(guān)鍵字���,將在設(shè)定時(shí)長(zhǎng)內(nèi)統(tǒng)計(jì)出的異常關(guān)鍵字的數(shù)量超過設(shè)定閾值的IRC通信頻道���, 確定為疑似IRC僵尸網(wǎng)絡(luò)頻道����,由于異常關(guān)鍵字容易確定且具有普適性����,故而采用上述方 案能夠相對(duì)快速準(zhǔn)確的檢測(cè)出多種IRC僵尸網(wǎng)絡(luò),且實(shí)現(xiàn)方式相對(duì)簡(jiǎn)單����。進(jìn)一步的,對(duì)疑似IRC僵尸網(wǎng)絡(luò)頻道進(jìn)行進(jìn)一步的驗(yàn)證�,能夠盡可能減小誤判的 可能性��,進(jìn)一步提高IRC僵尸網(wǎng)絡(luò)檢測(cè)的準(zhǔn)備性��;多種驗(yàn)證方式可以靈活選擇����,能夠適用于 多種應(yīng)用場(chǎng)景。為便于更好的實(shí)施本發(fā)明實(shí)施例的上述技術(shù)方案���,本發(fā)明實(shí)施例中還提供一種僵 尸網(wǎng)絡(luò)的檢測(cè)系統(tǒng)�����。實(shí)施例三�、參見圖4-a���、本發(fā)明實(shí)施例三的一種僵尸網(wǎng)絡(luò)的檢測(cè)裝置400可以包括獲取模塊 410����、查找模塊420��、統(tǒng)計(jì)確定模塊430和驗(yàn)證模塊440��。
獲取模塊410�,用于獲取網(wǎng)絡(luò)流量中部分或全部IRC通信頻道的報(bào)文。在實(shí)際應(yīng)用中,獲取模塊410可以利用包識(shí)別技術(shù)識(shí)別出網(wǎng)絡(luò)流量的IRC協(xié)議報(bào) 文�����,進(jìn)而獲取網(wǎng)絡(luò)流量中部分或全部IRC通信頻道的報(bào)文��。查找模塊420�����,用于查找獲取模塊410獲取的各個(gè)IRC通信頻道的報(bào)文中包含的異常關(guān)鍵字�。在實(shí)際應(yīng)用中���,系統(tǒng)可以預(yù)先構(gòu)建一個(gè)異常關(guān)鍵字庫����,該異常關(guān)鍵字庫中的異常 關(guān)鍵字例如可以包括各種IRC僵尸網(wǎng)絡(luò)通用常見的異常命令字符串���。在實(shí)際應(yīng)用中���,可以預(yù)先構(gòu)建的異常關(guān)鍵字庫�����,例如可以包括如下異常命令字符 串中的部分或全部scan���、bot�����、flood����、ddos����、fork��、delete、login、logon�、auth����、killthread�、clone、 redirect����、sysinfo����、net info、ping��、spy、dns����、udp、syn�、http: //����、download����、. exe����、update����、 exploit λ advscan���、lsass�����、dcom�����、beagle�、dameware、asc���、advscan����、root, start����、scan、 ntscan��、dl�、dlxx、download, wget��、http. update�����。舉例來說����,查找模塊420可以選擇模式匹配的方式、報(bào)文解析的方式或其它方式�, 查找上述獲取的各個(gè)IRC通信頻道的報(bào)文中是否包含有歸屬于異常關(guān)鍵字庫中的一個(gè)或 多個(gè)異常關(guān)鍵字。統(tǒng)計(jì)確定模塊430��,用于分別統(tǒng)計(jì)查找模塊420對(duì)應(yīng)各個(gè)IRC通信頻道查找出的異 常關(guān)鍵字的數(shù)量��,將在設(shè)定時(shí)長(zhǎng)內(nèi)統(tǒng)計(jì)出的異常關(guān)鍵字的數(shù)量超過設(shè)定閾值的IRC通信頻 道�����,確定為疑似IRC僵尸網(wǎng)絡(luò)頻道����。在實(shí)際應(yīng)用中���,統(tǒng)計(jì)確定模塊430可以預(yù)先設(shè)定一個(gè)統(tǒng)計(jì)時(shí)長(zhǎng)和一個(gè)異常關(guān)鍵字 的數(shù)量閾值��,其中�����,若在設(shè)定時(shí)長(zhǎng)內(nèi)統(tǒng)計(jì)出的來自某個(gè)IRC通信頻道的報(bào)文包含異常關(guān)鍵 字的數(shù)量超過設(shè)定閾值���,可以認(rèn)為該IRC通信頻道極有可能為IRC僵尸網(wǎng)絡(luò)頻道,其極有可 能已經(jīng)被攻擊者控制�,此時(shí)可以將其確定為疑似IRC僵尸網(wǎng)絡(luò)頻道。驗(yàn)證模塊440���,用于驗(yàn)證統(tǒng)計(jì)確定模塊430確定的疑似IRC僵尸網(wǎng)絡(luò)頻道是否為 IRC僵尸網(wǎng)絡(luò)頻道����。在一種應(yīng)用場(chǎng)景下�,驗(yàn)證模塊440可以選擇多種方式驗(yàn)證上述疑似IRC僵尸網(wǎng)絡(luò) 頻道是否為IRC僵尸網(wǎng)絡(luò)頻道。例如可以利用IRC客戶端登錄到上述疑似IRC僵尸網(wǎng)絡(luò)頻 道�,通過監(jiān)測(cè)該疑似IRC僵尸網(wǎng)絡(luò)頻道的行為模塊,驗(yàn)證上述疑似IRC僵尸網(wǎng)絡(luò)頻道是否為 IRC僵尸網(wǎng)絡(luò)頻道����。進(jìn)一步的,若驗(yàn)證出上述疑似IRC僵尸網(wǎng)絡(luò)頻道為IRC僵尸網(wǎng)絡(luò)頻道,可以進(jìn)行相 應(yīng)的告警處理�;若驗(yàn)證出上述疑似IRC僵尸網(wǎng)絡(luò)頻道不是IRC僵尸網(wǎng)絡(luò)頻道,可以繼續(xù)對(duì)其 進(jìn)行嚴(yán)密監(jiān)控或進(jìn)行其它處理����。在一種應(yīng)用場(chǎng)景下�,查找模塊420可以采用模式配置的方式,查找上述獲取的各 個(gè)IRC通信頻道的報(bào)文包含的異常關(guān)鍵字����。在一種應(yīng)用場(chǎng)景下,驗(yàn)證模塊440可以包括頻道登錄模塊441和監(jiān)測(cè)驗(yàn)證模塊 442��。其中�,頻道登錄模塊441,用于登錄到統(tǒng)計(jì)確定模塊430確認(rèn)出的疑似IRC僵尸網(wǎng) 絡(luò)頻道����。監(jiān)測(cè)驗(yàn)證模塊442,用于監(jiān)測(cè)上述疑似IRC僵尸網(wǎng)絡(luò)頻道的行為模式�,根據(jù)監(jiān)測(cè)到的所述行為模式,驗(yàn)證上述疑似IRC僵尸網(wǎng)絡(luò)頻道是否為僵尸網(wǎng)絡(luò)頻道��。參見圖4-b���,在一種應(yīng)用場(chǎng)景下�,監(jiān)測(cè)驗(yàn)證模塊442可以包括獲取子模塊4421、計(jì) 算子模塊4422和第一確定子模塊4423��。其中���,獲取子模塊4421�,用于獲取上述疑似IRC僵尸網(wǎng)絡(luò)頻道的聊天列表����。計(jì)算子模塊4422,用于計(jì)算聊天列表中記錄的用戶昵稱的相似度�。第一確定子模塊4423,用于在計(jì)算子模塊4422計(jì)算出的上述相似度大于設(shè)定的 閾值時(shí)���,確定上述疑似IRC僵尸網(wǎng)絡(luò)頻道為IRC僵尸網(wǎng)絡(luò)頻道��。參見圖4-c�����,在一種應(yīng)用場(chǎng)景下�����,監(jiān)測(cè)驗(yàn)證模塊442可以包括指令發(fā)布子模塊 4424��、響應(yīng)監(jiān)測(cè)子模塊4425和第二確定子模塊4似6�,其中指令發(fā)布子模塊4似4,用于在上述疑似IRC僵尸網(wǎng)絡(luò)頻道發(fā)布查詢指令���;響應(yīng)監(jiān)測(cè)子模塊4425�����,用于監(jiān)測(cè)在設(shè)定的時(shí)長(zhǎng)內(nèi)是否接收到上述指令發(fā)布子模塊 4424發(fā)布的查詢指令的正常響應(yīng);第二確定子模塊4似6��,用于在響應(yīng)監(jiān)測(cè)子模塊4425監(jiān)測(cè)出在設(shè)定的時(shí)長(zhǎng)內(nèi)沒有 接收到上述查詢指令的正常響應(yīng)時(shí)��,確定上述疑似IRC僵尸網(wǎng)絡(luò)頻道為IRC僵尸網(wǎng)絡(luò)頻道�����。參見圖4-d�����,在一種應(yīng)用場(chǎng)景下�����,監(jiān)測(cè)驗(yàn)證模塊442可以包括狀態(tài)監(jiān)測(cè)子模塊 4427和第三確定子模塊44 ,其中狀態(tài)監(jiān)測(cè)子模塊4427�����,用于監(jiān)測(cè)上述疑似IRC僵尸網(wǎng)絡(luò)頻道的在線用戶的聊天狀 態(tài)��;第三確定子模塊44 ���,用于在狀態(tài)監(jiān)測(cè)子模塊4427監(jiān)測(cè)到超過設(shè)定比例的在線 用戶在設(shè)定時(shí)長(zhǎng)內(nèi)都處于靜默狀態(tài)時(shí)�����,確定上述疑似IRC僵尸網(wǎng)絡(luò)頻道為IRC僵尸網(wǎng)絡(luò)頻道�����。進(jìn)一步的�,本實(shí)施例僵尸網(wǎng)絡(luò)的檢測(cè)裝置400可以用于實(shí)現(xiàn)上述方法實(shí)施例中檢 測(cè)僵尸網(wǎng)絡(luò)的全部方法��。本實(shí)施例僵尸網(wǎng)絡(luò)的檢測(cè)裝置400的各個(gè)功能模塊可以設(shè)置于一 個(gè)或多個(gè)設(shè)備上�。可以理解是的��,本實(shí)施例僵尸網(wǎng)絡(luò)的檢測(cè)系統(tǒng)的各個(gè)功能模塊的功能可以根據(jù)上 述方法實(shí)施例中的方法具體實(shí)現(xiàn),其具體實(shí)現(xiàn)過程可參照上述實(shí)施例中的相關(guān)描述���,此處 不再贅述�。由上可見�����,本實(shí)施例僵尸網(wǎng)絡(luò)的檢測(cè)裝置400通過查找和分別統(tǒng)計(jì)來自各個(gè)IRC 通信頻道的報(bào)文包含的異常關(guān)鍵字����,將在設(shè)定時(shí)長(zhǎng)內(nèi)統(tǒng)計(jì)出的異常關(guān)鍵字的數(shù)量超過設(shè)定 閾值的IRC通信頻道���,確定為疑似IRC僵尸網(wǎng)絡(luò)頻道�,由于異常關(guān)鍵字容易確定且具有普適 性�,故而采用上述方案能夠相對(duì)快速準(zhǔn)確的檢測(cè)出多種IRC僵尸網(wǎng)絡(luò),且實(shí)現(xiàn)方式相對(duì)簡(jiǎn)進(jìn)一步的���,本發(fā)明實(shí)施例還提供一種檢測(cè)系統(tǒng)����,該檢測(cè)系統(tǒng)可以包括如實(shí)施例三 中的僵尸網(wǎng)絡(luò)的檢測(cè)裝置400�����。需要說明的是,對(duì)于前述的各方法實(shí)施例�,為了簡(jiǎn)單描述,故將其都表述為一系列 的動(dòng)作組合���,但是本領(lǐng)域技術(shù)人員應(yīng)該知悉��,本發(fā)明并不受所描述的動(dòng)作順序的限制�,因?yàn)?依據(jù)本發(fā)明���,某些步驟可以采用其他順序或者同時(shí)進(jìn)行���。其次,本領(lǐng)域技術(shù)人員也應(yīng)該知 悉�����,說明書中所描述的實(shí)施例均屬于優(yōu)選實(shí)施例���,所涉及的動(dòng)作和模塊并不一定是本發(fā)明 所必須的����。
在上述實(shí)施例中,對(duì)各個(gè)實(shí)施例的描述都各有側(cè)重����,某個(gè)實(shí)施例中沒有詳述的部 分,可以參見其他實(shí)施例的相關(guān)描述�����。綜上所述��,本發(fā)明實(shí)施例中�,通過查找和分別統(tǒng)計(jì)來自各個(gè)IRC通信頻道的報(bào)文 包含的異常關(guān)鍵字,將在設(shè)定時(shí)長(zhǎng)內(nèi)統(tǒng)計(jì)出的異常關(guān)鍵字的數(shù)量超過設(shè)定閾值的IRC通信 頻道��,確定為疑似IRC僵尸網(wǎng)絡(luò)頻道���,由于異常關(guān)鍵字容易確定且具有普適性,故而采用上 述方案能夠相對(duì)快速準(zhǔn)確的檢測(cè)出多種IRC僵尸網(wǎng)絡(luò)����,且實(shí)現(xiàn)方式相對(duì)簡(jiǎn)單。進(jìn)一步的�����,對(duì)疑似IRC僵尸網(wǎng)絡(luò)頻道進(jìn)行進(jìn)一步的驗(yàn)證,能夠盡可能減小誤判的 可能性�����,進(jìn)一步提高IRC僵尸網(wǎng)絡(luò)檢測(cè)的準(zhǔn)備性��;多種驗(yàn)證方式可以靈活選擇�,能夠適用于 多種應(yīng)用場(chǎng)景。本領(lǐng)域普通技術(shù)人員可以理解上述實(shí)施例的各種方法中的全部或部分步驟是可 以通過程序來指令相關(guān)的硬件來完成�����,該程序可以存儲(chǔ)于一計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)中��,存儲(chǔ) 介質(zhì)可以包括只讀存儲(chǔ)器(ROM�,Read-Only Memory)、隨機(jī)存儲(chǔ)器(RAM�����,Random Access Memory)���、磁盤或光盤等��。以上對(duì)本發(fā)明實(shí)施例所提供的一種僵尸網(wǎng)絡(luò)的檢測(cè)方法�����、裝置及檢測(cè)系統(tǒng)進(jìn)行了 詳細(xì)介紹���,本文中應(yīng)用了具體個(gè)例對(duì)本發(fā)明的原理及實(shí)施方式進(jìn)行了闡述�����,以上實(shí)施例的 說明只是用于幫助理解本發(fā)明的方法及其核心思想�;同時(shí)��,對(duì)于本領(lǐng)域的一般技術(shù)人員���,依 據(jù)本發(fā)明的思想�����,在具體實(shí)施方式
及應(yīng)用范圍上均會(huì)有改變之處���,綜上所述�����,本說明書內(nèi)容 不應(yīng)理解為對(duì)本發(fā)明的限制。
權(quán)利要求
1.一種僵尸網(wǎng)絡(luò)的檢測(cè)方法��,其特征在于���,包括獲取網(wǎng)絡(luò)流量中部分或全部互聯(lián)網(wǎng)中繼聊天IRC通信頻道的報(bào)文��; 查找所述獲取的各個(gè)IRC通信頻道的報(bào)文包含的異常關(guān)鍵字��; 分別統(tǒng)計(jì)對(duì)應(yīng)各個(gè)IRC通信頻道查找出的所述異常關(guān)鍵字的數(shù)量���,將在設(shè)定時(shí)長(zhǎng)內(nèi)統(tǒng) 計(jì)出的異常關(guān)鍵字的數(shù)量超過設(shè)定閾值的IRC通信頻道,確定為疑似IRC僵尸網(wǎng)絡(luò)頻道�; 驗(yàn)證所述疑似IRC僵尸網(wǎng)絡(luò)頻道是否為IRC僵尸網(wǎng)絡(luò)頻道。
2.根據(jù)權(quán)利要求1所述的方法��,其特征在于�,所述查找所述獲取的各個(gè)IRC通信頻道的 報(bào)文包含的異常關(guān)鍵字,包括采用模式配置的方式���,查找所述獲取的各個(gè)IRC通信頻道的報(bào)文包含的異常關(guān)鍵字�����。
3.根據(jù)權(quán)利要求1或2所述的方法���,其特征在于����,所述驗(yàn)證所述疑似IRC僵尸網(wǎng)絡(luò)頻道 是否為IRC僵尸網(wǎng)絡(luò)頻道���,包括登錄到所述疑似IRC僵尸網(wǎng)絡(luò)頻道�����;監(jiān)測(cè)所述疑似IRC僵尸網(wǎng)絡(luò)頻道的行為模式��,根據(jù)監(jiān)測(cè)到的所述行為模式���,驗(yàn)證所述 疑似IRC僵尸網(wǎng)絡(luò)頻道是否為IRC僵尸網(wǎng)絡(luò)頻道。
4.根據(jù)權(quán)利要求3所述的方法��,其特征在于����,所述監(jiān)測(cè)所述疑似IRC僵尸網(wǎng)絡(luò)頻道的行為模式,根據(jù)監(jiān)測(cè)到的所述行為模式��,驗(yàn)證 所述疑似IRC僵尸網(wǎng)絡(luò)頻道是否為IRC僵尸網(wǎng)絡(luò)頻道����,包括 獲取所述疑似IRC僵尸網(wǎng)絡(luò)頻道的聊天列表; 計(jì)算聊天列表中記錄的用戶昵稱的相似度����;若計(jì)算出的所述相似度大于設(shè)定的閾值,確定所述疑似IRC僵尸網(wǎng)絡(luò)頻道為IRC僵尸 網(wǎng)絡(luò)頻道�。
5.根據(jù)權(quán)利要求3所述的方法,其特征在于�����,所述監(jiān)測(cè)所述疑似IRC僵尸網(wǎng)絡(luò)頻道的行為模式����,根據(jù)監(jiān)測(cè)到的所述行為模式,驗(yàn)證 所述疑似IRC僵尸網(wǎng)絡(luò)頻道是否為IRC僵尸網(wǎng)絡(luò)頻道���,包括 在所述疑似IRC僵尸網(wǎng)絡(luò)頻道發(fā)布查詢指令����; 監(jiān)測(cè)在設(shè)定的時(shí)長(zhǎng)內(nèi)是否接收到所述查詢指令的正常響應(yīng)���; 若否����,確定所述疑似IRC僵尸網(wǎng)絡(luò)頻道為IRC僵尸網(wǎng)絡(luò)頻道。
6.根據(jù)權(quán)利要求3所述的方法����,其特征在于,所述監(jiān)測(cè)所述疑似IRC僵尸網(wǎng)絡(luò)頻道的行為模式��,根據(jù)監(jiān)測(cè)到的所述行為模式����,驗(yàn)證 所述疑似IRC僵尸網(wǎng)絡(luò)頻道是否為IRC僵尸網(wǎng)絡(luò)頻道,包括 監(jiān)測(cè)所述疑似IRC僵尸網(wǎng)絡(luò)頻道的在線用戶的聊天狀態(tài)���;若監(jiān)測(cè)到超過設(shè)定比例的在線用戶在設(shè)定時(shí)長(zhǎng)內(nèi)都處于靜默狀態(tài)���,確定所述疑似IRC 僵尸網(wǎng)絡(luò)頻道為IRC僵尸網(wǎng)絡(luò)頻道。
7.一種僵尸網(wǎng)絡(luò)的檢測(cè)裝置�����,其特征在于����,包括獲取模塊�,用于獲取網(wǎng)絡(luò)流量中部分或全部IRC通信頻道的報(bào)文����;查找模塊��,用于查找所述獲取模塊獲取的各個(gè)IRC通信頻道的報(bào)文包含的異常關(guān)鍵字����;統(tǒng)計(jì)確定模塊,用于分別統(tǒng)計(jì)所述查找模塊對(duì)應(yīng)各個(gè)IRC通信頻道查找出的所述異 常關(guān)鍵字的數(shù)量����,將在設(shè)定時(shí)長(zhǎng)內(nèi)統(tǒng)計(jì)出的異常關(guān)鍵字的數(shù)量超過設(shè)定閾值的IRC通信頻道,確定為疑似IRC僵尸網(wǎng)絡(luò)頻道�����;驗(yàn)證模塊���,用于驗(yàn)證所述統(tǒng)計(jì)確定模塊確定的所述疑似IRC僵尸網(wǎng)絡(luò)頻道是否為IRC 僵尸網(wǎng)絡(luò)頻道����。
8.根據(jù)權(quán)利要求7所述裝置,其特征在于��,所述驗(yàn)證模塊包括 頻道登錄模塊�����,用于登錄到所述疑似IRC僵尸網(wǎng)絡(luò)頻道��;監(jiān)測(cè)驗(yàn)證模塊�,用于監(jiān)測(cè)所述疑似IRC僵尸網(wǎng)絡(luò)頻道的行為模式,根據(jù)監(jiān)測(cè)到的所述 行為模式����,驗(yàn)證所述疑似IRC僵尸網(wǎng)絡(luò)頻道是否為僵尸網(wǎng)絡(luò)頻道。
9.根據(jù)權(quán)利要求8所述裝置��,其特征在于�,所述監(jiān)測(cè)驗(yàn)證模塊包括 獲取子模塊,用于獲取所述疑似IRC僵尸網(wǎng)絡(luò)頻道的聊天列表�����; 計(jì)算子模塊��,用于計(jì)算聊天列表中記錄的用戶昵稱的相似度�����;第一確定子模塊,用于在所述計(jì)算子模塊計(jì)算出的所述相似度大于設(shè)定的閾值時(shí)���,確 定所述疑似IRC僵尸網(wǎng)絡(luò)頻道為IRC僵尸網(wǎng)絡(luò)頻道���。
10.根據(jù)權(quán)利要求8所述裝置,其特征在于�����,所述監(jiān)測(cè)驗(yàn)證模塊包括 指令發(fā)布子模塊����,用于在所述疑似IRC僵尸網(wǎng)絡(luò)頻道發(fā)布查詢指令���;響應(yīng)監(jiān)測(cè)子模塊��,用于監(jiān)測(cè)在設(shè)定的時(shí)長(zhǎng)內(nèi)是否接收到所述指令發(fā)布子模塊發(fā)布的查 詢指令的正常響應(yīng)�;第二確定子模塊����,用于在所述響應(yīng)監(jiān)測(cè)子模塊監(jiān)測(cè)出在設(shè)定的時(shí)長(zhǎng)內(nèi)沒有接收到所述 查詢指令的正常響應(yīng)時(shí)���,確定所述疑似IRC僵尸網(wǎng)絡(luò)頻道為IRC僵尸網(wǎng)絡(luò)頻道。
11.根據(jù)權(quán)利要求8所述裝置���,其特征在于�,所述監(jiān)測(cè)驗(yàn)證模塊包括狀態(tài)監(jiān)測(cè)子模塊���,用于監(jiān)測(cè)所述疑似IRC僵尸網(wǎng)絡(luò)頻道的在線用戶的聊天狀態(tài)�; 第三確定子模塊���,用于在所述狀態(tài)監(jiān)測(cè)子模塊監(jiān)測(cè)到超過設(shè)定比例的在線用戶在設(shè)定 時(shí)長(zhǎng)內(nèi)都處于靜默狀態(tài)時(shí)��,確定所述疑似IRC僵尸網(wǎng)絡(luò)頻道為IRC僵尸網(wǎng)絡(luò)頻道����。
12.—種檢測(cè)系統(tǒng)��,其特征在于�,包括 如權(quán)利要求7至11任一項(xiàng)所述裝置。
全文摘要
本發(fā)明實(shí)施例公開了一種僵尸網(wǎng)絡(luò)的檢測(cè)方法�����、裝置及檢測(cè)系統(tǒng)。其中的一種僵尸網(wǎng)絡(luò)的檢測(cè)方法��,包括獲取網(wǎng)絡(luò)流量中部分或全部互聯(lián)網(wǎng)中繼聊天IRC通信頻道的報(bào)文����;查找所述獲取的各個(gè)IRC通信頻道的報(bào)文包含的異常關(guān)鍵字;分別統(tǒng)計(jì)對(duì)應(yīng)各個(gè)IRC通信頻道查找出的所述異常關(guān)鍵字的數(shù)量�����,將在設(shè)定時(shí)長(zhǎng)內(nèi)統(tǒng)計(jì)出的異常關(guān)鍵字的數(shù)量超過設(shè)定閾值的IRC通信頻道�����,確定為疑似IRC僵尸網(wǎng)絡(luò)頻道����;驗(yàn)證所述疑似IRC僵尸網(wǎng)絡(luò)頻道是否為IRC僵尸網(wǎng)絡(luò)頻道����。本發(fā)明實(shí)施例的技術(shù)方案能夠相對(duì)快速準(zhǔn)確的檢測(cè)出多種僵尸網(wǎng)絡(luò),可適用多種場(chǎng)景�;且實(shí)現(xiàn)方式相對(duì)簡(jiǎn)單。
文檔編號(hào)H04L29/06GK102045300SQ200910178330
公開日2011年5月4日 申請(qǐng)日期2009年10月16日 優(yōu)先權(quán)日2009年10月16日
發(fā)明者蔣武 申請(qǐng)人:成都市華為賽門鐵克科技有限公司