專利名稱：：僵尸網(wǎng)絡(luò)的檢測方法、裝置及網(wǎng)絡(luò)安全防護設(shè)備的制作方法
技術(shù)領(lǐng)域：
：本發(fā)明涉及通信
技術(shù)領(lǐng)域：
，尤其涉及一種僵尸網(wǎng)絡(luò)的檢測方法、裝置及網(wǎng)絡(luò)安全防護設(shè)備。
背景技術(shù)：
：僵尸網(wǎng)絡(luò)(Botnet)，是指采用一種或多種傳播手段，將大量主機感染僵尸(bot)程序，從而在控制者和被感染主機(可簡稱僵尸或肉機)之間形成的一個一對多的控制網(wǎng)絡(luò)。僵尸網(wǎng)絡(luò)按照拓撲結(jié)構(gòu)可以分為樹狀僵尸網(wǎng)絡(luò)和星型僵尸網(wǎng)絡(luò)，這些僵尸網(wǎng)絡(luò)構(gòu)成一個攻擊平臺，利用這個平臺可以發(fā)起各種各樣的網(wǎng)絡(luò)攻擊行為，從而導(dǎo)致整個基礎(chǔ)信息網(wǎng)絡(luò)或者重要應(yīng)用系統(tǒng)癱瘓，也可以導(dǎo)致大量機密或者個人隱私泄露，還可以被用來從事網(wǎng)絡(luò)欺詐等其他違法犯罪活動。例如，利用Botnet可以發(fā)起DDOS、發(fā)送垃圾郵件、竊取機密、濫用資源等網(wǎng)絡(luò)攻擊行為，這些行為無論對整個網(wǎng)絡(luò)還是用戶自身都造成了嚴重的后果。因此，僵尸網(wǎng)絡(luò)的存在將極大地威脅網(wǎng)絡(luò)用戶的信息安全，故而網(wǎng)絡(luò)中的安全防護設(shè)備需要盡可能快速準確的檢測出僵尸網(wǎng)絡(luò)，以便于對其進行嚴密監(jiān)控和摧毀。在現(xiàn)有技術(shù)中，對僵尸網(wǎng)絡(luò)的檢測通常有兩種，一種是采用蜜網(wǎng)技術(shù)，通過蜜罐等手段獲取僵尸工具Bot程序樣本，采用逆向工程等惡意代碼分析手段，獲得隱藏在代碼中的登錄Botnet所需要的相關(guān)信息，使用定制的僵尸程序登錄到僵尸網(wǎng)絡(luò)中去，進一步采取應(yīng)對措施；二是網(wǎng)絡(luò)流量研究，即通過研究僵尸計算機行為的網(wǎng)絡(luò)流量變化，使用離線和在線的兩種分析方法，從而實現(xiàn)對僵尸網(wǎng)絡(luò)進行識別判斷。在對現(xiàn)有技術(shù)的研究和實踐過程中，發(fā)明人發(fā)現(xiàn)，上述兩種僵尸網(wǎng)絡(luò)檢測方法均不能實時在線檢測出僵尸網(wǎng)絡(luò)，檢測具有一定的滯后性，從而不能實時對未知僵尸網(wǎng)絡(luò)進行處理。
發(fā)明內(nèi)容本發(fā)明實施例提供一種僵尸網(wǎng)絡(luò)的檢測方法、裝置及網(wǎng)絡(luò)安全防護設(shè)備，能夠相對快速準確的檢測出未知的僵尸網(wǎng)絡(luò)，提高網(wǎng)絡(luò)的安全性。根據(jù)本發(fā)明實施例的一個方面，提供一種僵尸網(wǎng)絡(luò)的檢測方法，包括識別網(wǎng)絡(luò)中具有攻擊行為的疑似僵尸主機；提取攻擊信息，所述攻擊信息中包含有所述疑似僵尸主機IP信息；根據(jù)所述疑似僵尸主機IP信息對疑似僵尸主機的通信行為進行監(jiān)控，并記錄與所述疑似僵尸主機具有通信行為的第二主機信息，所述第二主機為網(wǎng)絡(luò)中的未知主機；當在設(shè)定時間段內(nèi)與所述第二主機通信的疑似僵尸主機數(shù)目達到預(yù)設(shè)閾值時，識別所述第二主機為所述疑似僵尸主機對應(yīng)的僵尸控制主機。根據(jù)本發(fā)明實施例的另一方面，提供一種僵尸網(wǎng)絡(luò)的檢測裝置，包括，包括檢測模塊，用于識別網(wǎng)絡(luò)中具有攻擊行為的疑似僵尸主機；4提取模塊，用于提取攻擊信息，所述攻擊信息中包含有所述疑似僵尸主機IP信息；監(jiān)控模塊，用于根據(jù)所述疑似僵尸主機IP信息對疑似僵尸主機的通信行為進行監(jiān)控，并記錄與所述疑似僵尸主機具有通信行為的第二主機信息，所述第二主機為網(wǎng)絡(luò)中的未知主機；識別模塊，用于當在設(shè)定時間段內(nèi)與所述第二主機通信的疑似僵尸主機數(shù)目達到預(yù)設(shè)閾值時，識別所述第二主機為所述疑似僵尸主機對應(yīng)的僵尸控制主機。根據(jù)本發(fā)明實施例的再一方面，提供一種網(wǎng)絡(luò)安全防護設(shè)備，包括上述僵尸網(wǎng)絡(luò)檢測裝置。由上可見，本發(fā)明實施例采用的技術(shù)方案，通過對網(wǎng)絡(luò)流量進行識別，將識別出的具有僵尸網(wǎng)絡(luò)行為的疑似僵尸主機進行監(jiān)控，并記錄與所述疑似僵尸主機具有通信行為的第二主機信息，在設(shè)定時間內(nèi)，對與所述第二主機通信的疑似僵尸主機數(shù)量進行統(tǒng)計，當與所述第二主機通信的的疑似僵尸主機數(shù)量達到預(yù)設(shè)閾值時，識別所述第二主機為所述疑似僵尸主機對應(yīng)的僵尸控制主機。通過上述方案，能夠?qū)崟r檢測出網(wǎng)絡(luò)中的未知僵尸網(wǎng)絡(luò)，且檢測結(jié)果較為準確，提高了網(wǎng)絡(luò)安全性。為了更清楚地說明本發(fā)明實施例和現(xiàn)有技術(shù)中的技術(shù)方案，下面將對實施例和現(xiàn)有技術(shù)描述中所需要使用的附圖作簡單地介紹，顯而易見地，下面描述中的附圖僅僅是本發(fā)明的一些實施例，對于本領(lǐng)域普通技術(shù)人員來講，在不付出創(chuàng)造性勞動性的前提下，還可以根據(jù)這些附圖獲得其他的附圖。圖1是本發(fā)明實施例一提供的一種僵尸網(wǎng)絡(luò)的檢測方法流程2是本發(fā)明實施例二提供的一種僵尸網(wǎng)絡(luò)的檢測方法流程3是本發(fā)明實施例三提供的一種僵尸網(wǎng)絡(luò)的檢測方法流程4是本發(fā)明實施例四提供的一種僵尸網(wǎng)絡(luò)的檢測裝置示意5是本發(fā)明實施例五提供的一種僵尸網(wǎng)絡(luò)的檢測裝置示意圖具體實施例方式為使得本發(fā)明的發(fā)明目的、特征、優(yōu)點能夠更加的清楚易懂，下面將結(jié)合本發(fā)明實施例中的附圖，對本發(fā)明實施例中的技術(shù)方案進行清楚、完整地描述，顯然，所描述的實施例僅僅是本發(fā)明一部分實施例，而非全部實施例。基于本發(fā)明中的實施例，本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動前提下所獲得的所有其他實施例，都屬于本發(fā)明保護的范圍。圖l是本發(fā)明實施例一提供的一種僵尸網(wǎng)絡(luò)的檢測方法流程圖，如圖l所示，該檢測方法包括步驟100，識別網(wǎng)絡(luò)中具有攻擊行為的疑似僵尸主機；具體的，可以通過對網(wǎng)絡(luò)中的流量進行監(jiān)控，或者通過對網(wǎng)絡(luò)中的通信行為進行行為特征檢測，識別網(wǎng)絡(luò)中的攻擊行為，從而檢測出網(wǎng)絡(luò)中實施僵尸網(wǎng)絡(luò)行為的主機信息。由于網(wǎng)絡(luò)中的惡意行為可能并非都是網(wǎng)絡(luò)中的攻擊主機所為，因此，在此，對實施有攻擊行為的主機稱為疑似僵尸主機。步驟105，提取攻擊信息，所述攻擊信息中包含有所述疑似僵尸主機IP信息；步驟110，根據(jù)所述疑似僵尸主機IP信息對疑似僵尸主機的通信行為進行監(jiān)控，并記錄與所述疑似僵尸主機具有通信行為的第二主機信息，所述第二主機為網(wǎng)絡(luò)中的未知主機；具體的，為了更進一步的確認步驟100中檢測出的疑似僵尸主機是否為僵尸主機，可以對識別出的疑似僵尸主機的通信行為進行監(jiān)控，同時記錄與所述疑似僵尸主機具有通信行為的第二主機信息，需要說明的是，由于在網(wǎng)絡(luò)中，實施僵尸網(wǎng)絡(luò)行為的疑似僵尸主機既可能與受害主機通信，對受害主機發(fā)起攻擊，也可能與未知的僵尸控制主機進行通信，接受僵尸控制主機的控制對受害主機發(fā)起攻擊，因此記錄時，可以只記錄與疑似僵尸主機具有通信行為的未知主機。步驟115，當在設(shè)定時間段內(nèi)與所述第二主機通信的疑似僵尸主機數(shù)目達到預(yù)設(shè)閾值時，識別所述第二主機為所述疑似僵尸主機對應(yīng)的僵尸控制主機。具體的，當發(fā)現(xiàn)該第二主機(未知主機)在設(shè)定時間內(nèi)與多個疑似僵尸主機具有通信行為時，則識別所述第二主機為所述多個疑似僵尸主機所屬僵尸網(wǎng)絡(luò)中對應(yīng)的僵尸控制主機。需要說明的是，上述方案可以在網(wǎng)絡(luò)中的安全防護設(shè)備上具體實施，該安全防護設(shè)備例如可以位于網(wǎng)關(guān)上，例如可以位于城域網(wǎng)的出口或其它出口，以便對整個網(wǎng)絡(luò)進行檢測，本發(fā)明不做限定。本發(fā)明實施例中所述的僵尸網(wǎng)絡(luò)檢測方法，通過實時對網(wǎng)絡(luò)流量進行識別，將識別出的具有僵尸網(wǎng)絡(luò)行為的疑似僵尸主機進行監(jiān)控，并記錄與所述疑似僵尸主機具有通信行為的第二主機信息，在設(shè)定時間內(nèi)，對與所述第二主機通信的疑似僵尸主機進行統(tǒng)計，當與所述第二主機通信的疑似僵尸主機數(shù)量超過預(yù)設(shè)閾值時，識別所述第二主機為所述疑似僵尸主機對應(yīng)的僵尸控制主機，從而檢測出網(wǎng)絡(luò)中的未知僵尸網(wǎng)絡(luò)，且檢測結(jié)果較為準確，提高了網(wǎng)絡(luò)安全性。圖2是本發(fā)明實施例二提供的一種僵尸網(wǎng)絡(luò)的檢測方法流程圖，如圖2所示，本發(fā)明實施例二所述的僵尸網(wǎng)絡(luò)的檢測方法可以包括步驟200，對網(wǎng)絡(luò)流量進行行為檢測，進入步驟205;具體的，可以通過網(wǎng)絡(luò)設(shè)備(例如防火墻、網(wǎng)關(guān)等設(shè)備)檢測通過設(shè)備的網(wǎng)絡(luò)流量中是否存在惡意攻擊行為，例如，針對分布式拒絕服務(wù)DD0S攻擊，可以利用DD0S流量清洗技術(shù)，例如源探測、網(wǎng)絡(luò)連接數(shù)檢測、異常會話檢測、指紋等很多攻擊防范技術(shù)進行檢測，從而識別真實攻擊源和攻擊對象。針對垃圾郵件SPAM攻擊，可以通過實時黑名單列表RBL(RealtimeBlackholeList)、郵件行為統(tǒng)計、郵件內(nèi)容分析等多種方法判別SPAM主機。針對漏洞掃描攻擊，可以通過DPI技術(shù)，識別網(wǎng)絡(luò)中是否具有漏洞掃描攻擊行為，從而判別惡意掃描主機和掃描漏洞類型。具體的，可以檢測全連接攻擊、HTTP攻擊、CC攻擊以及HTTPS攻擊等能夠驗證攻擊源IP真實性的攻擊，從而可以獲得攻擊主機的真實攻擊源IP。步驟205，判斷網(wǎng)絡(luò)中是否存在攻擊行為，有則進入步驟210，否則返回步驟200繼續(xù)監(jiān)控網(wǎng)絡(luò)流量；—般的，如果存在未知僵尸網(wǎng)絡(luò)，則在網(wǎng)絡(luò)中可能會出現(xiàn)諸如分布式拒絕服務(wù)攻擊DD0S行為、垃圾郵件SPAM行為、漏洞掃描行為或惡意下載行為等惡意攻擊行為，當然，也不限于上述惡意行為，因此，在檢測過程中，可以根據(jù)僵尸網(wǎng)絡(luò)行為的行為特征對網(wǎng)絡(luò)流量進行檢測，如果發(fā)現(xiàn)網(wǎng)絡(luò)流量中存在上述惡意攻擊行為時，則進入步驟210，否則返回步驟200，繼續(xù)對網(wǎng)絡(luò)中的流量進行檢測。步驟210，提取攻擊信息，所述攻擊信息中包含有所述疑似僵尸主機IP信息，進入步驟215;當發(fā)現(xiàn)網(wǎng)絡(luò)流量中存在上述僵尸網(wǎng)絡(luò)行為時，提取具有僵尸網(wǎng)絡(luò)行為的疑似僵尸主機信息，例如疑似僵尸主機的IP信息，端口號信息等，也可以提取被攻擊主機的相關(guān)信息，例如被攻擊主機的IP信息，攻擊發(fā)起時間等信息。步驟215，監(jiān)控疑似僵尸主機的通信行為，并記錄與疑似僵尸主機通信的第二主機信息，進入步驟220;具體的，可以進一步監(jiān)控疑似僵尸主機的通信行為，記錄下與疑似僵尸主機通信的對端主機信息，由于在網(wǎng)絡(luò)中，實施僵尸網(wǎng)絡(luò)行為的疑似僵尸主機既可能與受害主機通信，對受害主機發(fā)起攻擊，也可能與未知的僵尸控制主機進行通信，接受僵尸控制主機的控制對受害主機發(fā)起攻擊，由于被攻擊主機是已知的受害主機，因此記錄時，可以只記錄與疑似僵尸主機具有通信行為的未知主機信息，當然，與疑似僵尸主機具有通信行為的未知主機可能有多個，為了表述方便清楚，本實施例中將以一個未知主機為例進行說明，且將與疑似僵尸主機具有通信行為的該未知主機稱為第二主機。具體的，在記錄時，可以記錄第二主機的IP地址信息、端口號信息以及與第二主機通信的疑似僵尸主機IP信息。步驟220，在設(shè)定的時間內(nèi)統(tǒng)計與所述第二主機通信的疑似僵尸主機數(shù)目，進入步驟225;具體的，統(tǒng)計時，可以排除所述第二主機采用通用的正常端口與疑似僵尸主機通信的情況，只對與所述第二主機的陌生端口通信的疑似僵尸主機的數(shù)目進行統(tǒng)計。具體的，通用的正常端口包括默認的http協(xié)議端口80、默認的dns協(xié)議端口53、默認的ftp協(xié)議端口21、默認的smtp協(xié)議端25等端口信息。步驟225，判斷與所述第二主機通信的疑似僵尸主機的數(shù)量是否達到預(yù)設(shè)閾值，達到預(yù)設(shè)閾值則進入步驟230，否則返回步驟200，繼續(xù)對網(wǎng)絡(luò)流量進行行為檢測；由于，在僵尸網(wǎng)絡(luò)中，僵尸控制主機為了發(fā)起攻擊會與多個僵尸主機進行通信從而對僵尸主機進行控制，使僵尸主機按照僵尸控制主機的攻擊指令對網(wǎng)絡(luò)中的受害主機發(fā)起攻擊，因此，可以根據(jù)與在設(shè)定時間內(nèi)(例如l小時)所述第二主機通信的疑似僵尸主機數(shù)量來判斷該第二主機是否為僵尸控制主機。具體的，可以對與所述第二主機通信的疑似僵尸主機數(shù)量設(shè)定一個閾值，該閾值可以直接設(shè)定，也可以根據(jù)監(jiān)控的疑似僵尸主機的總數(shù)量進行設(shè)定，例如該閾值可以設(shè)定為被監(jiān)控的疑似僵尸主機總數(shù)的80%。如果與所述第二主機通信的疑似僵尸主機的數(shù)量達到預(yù)設(shè)閾值，則進入步驟230，否則返回步驟200繼續(xù)檢測網(wǎng)絡(luò)流量。步驟230，識別該第二主機為僵尸控制主機。具體的，如果在設(shè)定時間內(nèi)(例如1小時)與該第二主機通信的疑似僵尸主機數(shù)量達到設(shè)定的閾值時，則判斷所述第二主機為僵尸控制主機，該僵尸控制主機所在的網(wǎng)絡(luò)為僵尸網(wǎng)絡(luò)。具體的，該閾值可以直接設(shè)定，也可以根據(jù)監(jiān)控的疑似僵尸主機的數(shù)量來確定，例如，將監(jiān)控的疑似僵尸主機總數(shù)量80%作為該閾值時，當與某臺第二主機通信的疑似僵尸主機的數(shù)量達到監(jiān)控的疑似僵尸主機總數(shù)量的80%時，識別該第二主機為僵尸控制主機。具體的，例如，總共檢測10臺疑似僵尸主機的通信行為時，如果發(fā)現(xiàn)第二主機A與8臺疑似僵尸主機具有通信行為，則識別該第二主機A為這8臺疑似僵尸主機的僵尸控制主機，進而可以檢測出該僵尸控制主機所屬的未知僵尸網(wǎng)絡(luò)。進一步的，該方法還可以在檢測出未知僵尸網(wǎng)絡(luò)后包括步驟235，發(fā)出報警信息。當檢測出僵尸網(wǎng)絡(luò)時，可以發(fā)出向攻擊防護設(shè)備發(fā)出報警信息，以進一步對檢測出的僵尸網(wǎng)絡(luò)進行處理，提高網(wǎng)絡(luò)的安全性。本發(fā)明實施例中所述的僵尸網(wǎng)絡(luò)檢測方法，通過實時對網(wǎng)絡(luò)流量進行檢測，將識別出的具有僵尸網(wǎng)絡(luò)行為的疑似僵尸主機進行監(jiān)控，并記錄與所述疑似僵尸主機具有通信行為的第二主機信息，在設(shè)定時間內(nèi)，對與所述第二主機通信的疑似僵尸主機數(shù)量進行統(tǒng)計，當所述第二主機與達到預(yù)設(shè)閾值數(shù)量的疑似僵尸主機具有通信行為時，識別所述第二主機為所述疑似僵尸主機對應(yīng)的僵尸控制主機，從而能夠?qū)崟r檢測出網(wǎng)絡(luò)中的未知僵尸網(wǎng)絡(luò)，且檢測結(jié)果較為準確，提高了網(wǎng)絡(luò)安全性。當檢測出僵尸網(wǎng)絡(luò)時，可以發(fā)出向攻擊防護設(shè)備發(fā)出報警信息，以進一步對檢測出的僵尸網(wǎng)絡(luò)進行處理，提高網(wǎng)絡(luò)的安全性。圖3是本發(fā)明實施例三提供的一種僵尸網(wǎng)絡(luò)的檢測方法流程圖，如圖3所示，本發(fā)明實施例三所述的僵尸網(wǎng)絡(luò)的檢測方法可以包括步驟300，對網(wǎng)絡(luò)流量進行行為檢測，進入步驟305;具體的，可以通過網(wǎng)絡(luò)設(shè)備(例如防火墻、網(wǎng)關(guān)等設(shè)備)檢測通過設(shè)備的網(wǎng)絡(luò)流量中是否存在惡意攻擊行為，例如，針對分布式拒絕服務(wù)DD0S攻擊，可以利用DD0S流量清洗技術(shù)，例如源探測、網(wǎng)絡(luò)連接數(shù)檢測、異常會話檢測、指紋等很多攻擊防范技術(shù)進行檢測，從而識別真實攻擊源和攻擊對象。針對垃圾郵件SPAM攻擊，可以通過RBL、郵件行為統(tǒng)計、郵件內(nèi)容分析等多種方法判別SPAM主機。針對漏洞掃描攻擊，可以通過DPI技術(shù)，識別網(wǎng)絡(luò)中是否具有漏洞掃描攻擊行為，從而判別惡意掃描主機和掃描漏洞類型。具體的，可以檢測全連接攻擊、HTTP攻擊、CC攻擊以及HTTPS攻擊等能夠驗證攻擊源IP真實性的攻擊，從而可以獲得攻擊主機的真實攻擊源IP。步驟305，判斷網(wǎng)絡(luò)中是否存在攻擊行為，有則進入步驟310，否則返回步驟300繼續(xù)監(jiān)控網(wǎng)絡(luò)流量；—般的，如果存在未知僵尸網(wǎng)絡(luò)，則在網(wǎng)絡(luò)中可能會出現(xiàn)諸如分布式拒絕服務(wù)攻擊DD0S行為、垃圾郵件SPAM行為、漏洞掃描行為或惡意下載行為等惡意攻擊行為，當然，也不限于上述攻擊行為，因此，在檢測過程中，可以根據(jù)僵尸網(wǎng)絡(luò)行為的行為特征對網(wǎng)絡(luò)流量進行檢測。具體的，針對DD0S攻擊可以檢測全連接攻擊、HTTP攻擊、CC攻擊以及HTTPS攻擊等能夠驗證攻擊源IP真實性的攻擊，從而可以獲得攻擊主機的真實攻擊源IP。針對SPAM攻擊可以重點檢測發(fā)送郵件頻率過高的主機，針對漏洞掃描攻擊可以采用特征檢測的方式進行檢測，通過把常見的漏洞掃描提取規(guī)則，在利用檢測引擎進行識別，從而發(fā)現(xiàn)攻擊。如果發(fā)現(xiàn)網(wǎng)絡(luò)流量中存在上述惡意攻擊行為時，則進入步驟310，否則返回步驟300，繼續(xù)對網(wǎng)絡(luò)中的流量進行檢測。步驟310，提取攻擊信息，所述攻擊信息中包括所述疑似僵尸主機IP信息，進入步驟312;當發(fā)現(xiàn)網(wǎng)絡(luò)流量中存在上述攻擊行為時，提取攻擊信息，該攻擊信息中包括疑似僵尸主機的IP信息，端口號等信息。當然，為了更進一步的了解攻擊情況，還可以包括被攻擊主機的IP信息、被攻擊主機的端口信息、攻擊發(fā)起時間、攻擊次數(shù)、攻擊特征等。提取的攻擊信息越多，越有利于減少檢測過程中的誤判率。步驟312，按照設(shè)定的分組規(guī)則將提取的攻擊信息劃分為至少一個分組，進入步驟315;由于同一個僵尸網(wǎng)絡(luò)的僵尸主機發(fā)起的攻擊具有相似性，因此當檢測到網(wǎng)絡(luò)中的僵尸網(wǎng)絡(luò)行為時，可以按照設(shè)定的分組原則將提取的攻擊信息劃分為至少一個分組，分組原則可以根據(jù)不同的攻擊類型來確定。例如，在分布式拒絕服務(wù)DDOS攻擊中，由于同一時間針對同一個受害主機發(fā)起攻擊的主機往往來自于同一個僵尸網(wǎng)絡(luò)，因此，可以按照具有相同被攻擊對象IP的分組原則將提取的所述疑似僵尸主機信息劃分為一組。例如可以按照以下數(shù)據(jù)列表一的形式將提取的攻擊信息進行分組。數(shù)據(jù)列表一<table>tableseeoriginaldocumentpage9</column></row><table>其中，被攻擊對象IP是指被DD0S攻擊的受害主機IP信息；攻擊主機IP指發(fā)起DDOS攻擊的真實主機IP信息；攻擊類型是指DDOS攻擊的類型，例如全連接攻擊、CC攻擊等類型；被攻擊主機端口是指受害主機的端口信息；攻擊發(fā)起時間是指攻擊主機IP發(fā)起攻擊的時間；攻擊次數(shù)是指當前已連續(xù)攻擊的次數(shù)；攻擊特征是通過對該攻擊提取出的報文信息或采樣數(shù)據(jù)。對于垃圾郵件SPAM攻擊，由于同一時間發(fā)送相似郵件的SPAM主機往往來自于同一個僵尸網(wǎng)絡(luò)，因此，可以按照郵件內(nèi)容相近的分組原則將所述攻擊信息劃分為至少一個分組。例如，可以按照以下數(shù)據(jù)列表二的形式將提取的攻擊信息進行分組。數(shù)據(jù)列表二<table>tableseeoriginaldocumentpage9</column></row><table>其中，郵件摘要編號是對發(fā)送的垃圾郵件的摘要進行哈希生成的編號；發(fā)送主機IP是指發(fā)送SPAM的真實主機IP信息；郵件類型是指SPAM郵件的類型，包括例如廣告、釣魚等類型；郵件發(fā)送次數(shù)是指截至提取攻擊信息時郵件被發(fā)送的總次數(shù)；郵件摘要特征是根據(jù)垃圾郵件提取出的報文信息或采樣數(shù)據(jù)的特征串。在漏洞掃描攻擊中，由于同一時間對攻擊對象進行相同掃描特征的攻擊主機往往是一個僵尸網(wǎng)絡(luò)發(fā)起。因此，可以將一定時間內(nèi)漏洞類型相同的攻擊信息分到一組。例如，可以按照以下數(shù)據(jù)列表三的形式將提取的攻擊信息進行分組。數(shù)據(jù)列表三<table>tableseeoriginaldocumentpage10</column></row><table>其中，漏洞類型，是指漏洞掃描攻擊中被攻擊的漏洞類型，例如CVE-1999-0016漏洞類型等，具體的，CVE-1999-0016是漏洞的國家編號，其中，CVE是漏洞標準，1999-0016是漏洞的編號；攻擊主機IP信息是指發(fā)起漏洞掃描攻擊的真實主機IP信息；漏掃目的端口是指漏洞掃描攻擊的被攻擊主機的端口信息；攻擊發(fā)起時間是指發(fā)起漏洞掃描攻擊的攻擊主機發(fā)起攻擊的時間；攻擊次數(shù)是指已連續(xù)攻擊的總次數(shù)；攻擊特征是指對該漏洞掃描攻擊提取出的報文信息或采樣數(shù)據(jù)。步驟315，監(jiān)控各個分組中疑似僵尸主機的通信行為，并記錄與疑似僵尸主機通信的第二主機信息，進入步驟320;具體的，可以進一步監(jiān)控各個分組中的疑似僵尸主機的通信行為，記錄下與疑似僵尸主機通信的對端主機信息，由于在網(wǎng)絡(luò)中，實施僵尸網(wǎng)絡(luò)行為的疑似僵尸主機既可能與受害主機通信，對受害主機發(fā)起攻擊，也可能與未知的僵尸控制主機進行通信，接受僵尸控制主機的控制對受害主機發(fā)起攻擊，由于被攻擊主機是已知的受害主機，因此記錄時，可以只記錄與疑似僵尸主機具有通信行為的未知主機信息。當然，與疑似僵尸主機具有通信行為的未知主機可能有多個，為了表述方便、清楚，本實施例中將以一個未知主機為例進行說明，且將與疑似僵尸主機具有通信行為的該未知主機稱為第二主機。具體的，在記錄時，可以記錄第二主機的IP地址信息、端口號信息以及與第二主機通信的疑似僵尸主機IP信息。步驟320，在設(shè)定的時間內(nèi)統(tǒng)計各分組中與所述第二主機通信的疑似僵尸主機數(shù)目，進入步驟325;具體的，統(tǒng)計時，可以排除所述第二主機采用通用的正常端口與疑似僵尸主機通信的情況，只對與所述第二主機的陌生端口通信的疑似僵尸主機的數(shù)目進行統(tǒng)計。具體的，通用的正常端口包括默認的http協(xié)議端口80、默認的dns協(xié)議端口53、默認的ftp協(xié)議端口21、默認的smtp協(xié)議端25等端口信息。步驟325，判斷各分組中與所述第二主機通信的疑似僵尸主機的數(shù)量是否達到預(yù)設(shè)閾值，如果達到預(yù)設(shè)閾值則進入步驟330，否則返回步驟300繼續(xù)對網(wǎng)絡(luò)流量進行行為檢由于，在僵尸網(wǎng)絡(luò)中，僵尸控制主機為了發(fā)起攻擊會與多個僵尸主機進行通信從而對僵尸主機進行控制，使僵尸主機按照僵尸控制主機的攻擊指令對網(wǎng)絡(luò)中的受害主機發(fā)起攻擊，因此，可以根據(jù)在設(shè)定時間內(nèi)(例如l小時)與所述第二主機通信的疑似僵尸主機數(shù)量來判斷第二主機是否為僵尸控制主機。具體的，可以對與第二主機通信的疑似僵尸主機數(shù)量設(shè)定一個閾值，該閾值可以根據(jù)監(jiān)控的疑似僵尸主機的總數(shù)量進行設(shè)定。并且，由于針對同一個受害主機發(fā)起的攻擊往往是一個僵尸網(wǎng)絡(luò)中的僵尸主機發(fā)起的，因此，在本實施例中，該閾值可以根據(jù)各個分組中的疑似僵尸主機的總數(shù)量來進行設(shè)定，例如，該閾值可以設(shè)定為該分組中的疑似僵尸主機總數(shù)的80%。如果達到預(yù)設(shè)閾值則進入步驟330，否則返回步驟300繼續(xù)對網(wǎng)絡(luò)流量進行行為檢測；步驟330，識別該第二主機為該分組中疑似僵尸主機對應(yīng)的僵尸控制主機，進入步10驟335;具體的，如果在設(shè)定時間內(nèi)(例如1小時)該分組中與該第二主機通信的疑似僵尸主機數(shù)量達到設(shè)定的閾值時，則判斷該第二主機為僵尸控制主機，該僵尸控制主機所在的網(wǎng)絡(luò)為僵尸網(wǎng)絡(luò)。例如，當將分組中疑似僵尸主機總數(shù)量的80%作為該閾值時，假設(shè)被監(jiān)控的一個分組中有10臺疑似僵尸主機，如果第二主機A與該分組中9臺疑似僵尸主機均有通信信息，則認為第二主機A是該分組中的疑似僵尸主機的控制者。步驟335，發(fā)出報警信息。當檢測出僵尸控制主機時，可以發(fā)出向攻擊防護設(shè)備發(fā)出報警信息，以進一步對檢測出的僵尸控制主機所屬的僵尸網(wǎng)絡(luò)進行處理，提高網(wǎng)絡(luò)的安全性。本發(fā)明實施例中所述的僵尸網(wǎng)絡(luò)檢測方法，通過實時對網(wǎng)絡(luò)流量進行檢測，并利用同一個僵尸網(wǎng)絡(luò)中僵尸主機攻擊中的相似性將識別出的具有僵尸網(wǎng)絡(luò)行為的疑似僵尸主機分組進行監(jiān)控，并記錄與各分組中的疑似僵尸主機通信的第二主機信息，在設(shè)定時間內(nèi)，對各分組中與所述第二主機通信的疑似僵尸主機數(shù)量進行統(tǒng)計，當與該分組中與所述第二主機具有通信行為的疑似僵尸主機數(shù)量超過設(shè)定閾值時，識別所述第二主機為該分組中的疑似僵尸主機的控制主機，該方法提高了僵尸網(wǎng)絡(luò)檢測的實時性，且檢測結(jié)果較為準確，進一步提高了網(wǎng)絡(luò)安全性。由于本發(fā)明實施例中，根據(jù)不同的攻擊類型提取的攻擊信息不同，且提取的信息更加詳細，進一步有利于提高檢測的準確性。圖4是本發(fā)明實施例四提供的一種僵尸網(wǎng)絡(luò)的檢測裝置示意圖，如圖4所示，該裝置包括檢測模塊400，用于識別網(wǎng)絡(luò)中具有攻擊行為的疑似僵尸主機；具體的，可以通過對網(wǎng)絡(luò)中的流量進行安全檢測，包括利用DDOS流量清洗技術(shù)，例如源探測、網(wǎng)絡(luò)連接數(shù)檢測、異常會話檢測、指紋等攻擊防范技術(shù)對網(wǎng)絡(luò)中的DDOS攻擊行為進行檢測，識別網(wǎng)絡(luò)中的真實攻擊源和攻擊對象；通過RBL、郵件行為統(tǒng)計、郵件內(nèi)容分析等多種方法判別SPAM主機；可以通過DPI技術(shù)識別網(wǎng)絡(luò)中是否具有漏洞掃描攻擊行為，從而判別惡意掃描主機和掃描漏洞類型等。由于網(wǎng)絡(luò)中的惡意行為可能并非都是網(wǎng)絡(luò)中的攻擊主機所為，因此，在此，對實施有攻擊行為的主機稱為疑似僵尸主機。提取模塊405，用于提取攻擊信息，所述攻擊信息中包含有所述疑似僵尸主機IP信息；具體的，當檢測模塊400發(fā)現(xiàn)網(wǎng)絡(luò)流量中存在攻擊行為時，提取模塊405提取具有該攻擊行為的攻擊信息，該攻擊信息中包含有實施該攻擊行為的疑似僵尸主機信息，例如疑似僵尸主機的IP信息、端口號信息等，同時，提取模塊405也可以提取被攻擊主機的相關(guān)信息，例如被攻擊主機的IP信息，攻擊發(fā)起時間等信息。監(jiān)控模塊410，用于根據(jù)所述疑似僵尸主機IP信息對疑似僵尸主機的通信行為進行監(jiān)控，并記錄與所述疑似僵尸主機具有通信行為的第二主機信息，所述第二主機為網(wǎng)絡(luò)中的未知主機；具體的，監(jiān)控模塊410可以根據(jù)提取模塊405提取的疑似僵尸主機IP信息對疑似僵尸主機的通信行為進行監(jiān)控，并記錄下與疑似僵尸主機通信的對端主機信息，由于在網(wǎng)絡(luò)中，實施僵尸網(wǎng)絡(luò)行為的疑似僵尸主機既可能與受害主機通信，對受害主機發(fā)起攻擊，也可能與其僵尸控制主機進行通信，接受僵尸控制主機的控制對受害主機發(fā)起攻擊，由于被攻擊主機是已知的受害主機，因此記錄時，可以只記錄與疑似僵尸主機具有通信行為的除受害主機之外的其他未知主機信息。當然，與疑似僵尸主機具有通信行為的未知主機可能有多個，為了表述方便清楚，本實施例中將以一個未知主機為例進行說明，且將與疑似僵尸主機具有通信行為的該未知主機稱為第二主機。具體的，在記錄時，可以記錄第二主機的IP地址信息、端口號信息以及與第二主機通信的疑似僵尸主機IP信息。識別模塊415，用于當在設(shè)定時間段內(nèi)與所述第二主機通信的疑似僵尸主機數(shù)目達到預(yù)設(shè)閾值時，識別所述第二主機為所述疑似僵尸主機對應(yīng)的僵尸控制主機。具體的，當發(fā)現(xiàn)該第二主機(未知主機)在設(shè)定時間內(nèi)與多個疑似僵尸主機具有通信行為時，則識別所述第二主機為所述多個疑似僵尸主機所述僵尸網(wǎng)絡(luò)中對應(yīng)的僵尸控制主機。具體的，該閾值可以直接設(shè)定，也可以根據(jù)監(jiān)控的疑似僵尸主機的數(shù)量來確定。本發(fā)明實施例中所述的僵尸網(wǎng)絡(luò)檢測裝置，通過檢測模塊400實時對網(wǎng)絡(luò)流量進行識別，并通過監(jiān)控模塊410對檢測模塊400檢測出的具有僵尸網(wǎng)絡(luò)行為的疑似僵尸主機進行監(jiān)控，并記錄與所述疑似僵尸主機具有通信行為的第二主機信息，通過在設(shè)定時間內(nèi)，對與所述第二主機通信的疑似僵尸主機數(shù)目進行統(tǒng)計，當在設(shè)定時間段內(nèi)與所述第二主機通信的疑似僵尸主機數(shù)目達到預(yù)設(shè)閾值時，識別所述第二主機為所述疑似僵尸主機對應(yīng)的僵尸控制主機，從而檢測出網(wǎng)絡(luò)中的未知僵尸網(wǎng)絡(luò)，且檢測結(jié)果較為準確，提高了網(wǎng)絡(luò)安全性。圖5為本發(fā)明實施例五提供的一種僵尸網(wǎng)絡(luò)的檢測裝置示意圖，如圖所示，該裝置包括檢測模塊500，用于識別網(wǎng)絡(luò)中具有攻擊行為的疑似僵尸主機；具體的，可以通過對網(wǎng)絡(luò)中的流量進行安全檢測，包括利用DDOS流量清洗技術(shù)，例如源探測、網(wǎng)絡(luò)連接數(shù)檢測、異常會話檢測、指紋等攻擊防范技術(shù)對網(wǎng)絡(luò)中的DDOS攻擊行為進行檢測，識別網(wǎng)絡(luò)中的真實攻擊源和攻擊對象；通過RBL、郵件行為統(tǒng)計、郵件內(nèi)容分析等多種方法判別SPAM主機河以通過DPI技術(shù)，識別網(wǎng)絡(luò)中是否具有漏洞掃描攻擊行為，從而判別惡意掃描主機和掃描漏洞類型。提取模塊505，用于提取攻擊信息，所述攻擊信息中包括所述疑似僵尸主機IP信息；具體的，當檢測模塊500發(fā)現(xiàn)網(wǎng)絡(luò)流量中存在僵尸網(wǎng)絡(luò)行為時，提取模塊505提取攻擊信息，其中該攻擊信息中包含有實施僵尸網(wǎng)絡(luò)行為的疑似僵尸主機信息，例如疑似僵尸主機的IP信息，端口號信息等，同時，提取模塊505也可以提取被攻擊主機的相關(guān)信息，例如被攻擊主機的IP信息，攻擊發(fā)起時間等信息。提取的攻擊信息越多，越有利于監(jiān)控網(wǎng)絡(luò)中的攻擊情況，減少檢測過程中的誤判率。分組模塊508，用于按照設(shè)定的分組規(guī)則將提取模塊505提取的所述攻擊信息劃分為至少一個分組；由于同一個僵尸網(wǎng)絡(luò)的僵尸主機發(fā)起的攻擊具有相似性，因此當檢測到網(wǎng)絡(luò)中的僵尸網(wǎng)絡(luò)行為時，可以按照設(shè)定的分組原則將提取的攻擊信息劃分為至少一個分組，分組原則可以根據(jù)不同的攻擊類型來確定。例如，當攻擊行為為DDOS行為時，按照具有相同被攻擊對象IP的分組原則將所述疑似僵尸主機IP信息劃分為至少一個分組；當攻擊行為為SPAM行為時，按照郵件內(nèi)容相近的分組原則將所述疑似僵尸主機IP信息劃分為至少一個分組；當攻擊行為為漏洞掃描行為時，按照具有相同漏洞類型的分組原則將所述疑似僵尸主機IP信息劃分為至少一個分組。具體可參見上述方法實施例此處不再贅述。監(jiān)控模塊510，用于監(jiān)控各個分組中疑似僵尸主機的通信行為，并記錄與疑似僵尸主機通信的第二主機信息；具體的，監(jiān)控模塊510可以根據(jù)提取模塊505所提取的攻擊信息中的疑似僵尸主機信息對各個分組中的疑似僵尸主機信息的通信行為進行監(jiān)控，并記錄下與疑似僵尸主機通信的對端主機信息。由于在網(wǎng)絡(luò)中，實施僵尸網(wǎng)絡(luò)行為的疑似僵尸主機既可能與受害主機通信，對受害主機發(fā)起攻擊，也可能與未知的僵尸控制主機進行通信，接受僵尸控制主機的控制對受害主機發(fā)起攻擊，由于被攻擊主機是已知的受害主機，因此記錄時，可以只記錄與疑似僵尸主機具有通信行為的未知主機信息。當然，與疑似僵尸主機具有通信行為的未知主機可能有多個，為了表述方便、清楚，本實施例中將以一個未知主機為例進行說明，且將與疑似僵尸主機具有通信行為的該未知主機稱為第二主機。具體的，在記錄時，可以記錄第二主機的IP地址信息、端口號信息以及與第二主機通信的疑似僵尸主機IP信息。識別模塊515，用于當在設(shè)定時間段內(nèi)所述分組中與所述第二主機通信的疑似僵尸主機數(shù)目達到設(shè)定閾值時，識別所述第二主機為所述分組中的疑似僵尸主機對應(yīng)的僵尸控制主機。具體的，在設(shè)定時間內(nèi)，當該分組中與所述第二主機通信的疑似僵尸主機達到預(yù)設(shè)閾值時，則識別所述第二主機為所述多個疑似僵尸主機所述僵尸網(wǎng)絡(luò)中對應(yīng)的僵尸控制主機。具體的，該閾值可以直接設(shè)定，也可以根據(jù)各分組中被監(jiān)控的疑似僵尸主機的數(shù)量來確定。進一步的，本發(fā)明實施例所述裝置還可以包括統(tǒng)計模塊512，用于在設(shè)定的時間內(nèi)統(tǒng)計與所述第二主機通信的疑似僵尸主機數(shù)目。具體的，統(tǒng)計時，可以對各個分組分別進行統(tǒng)計，統(tǒng)計時可以排除所述第二主機采用通用的正常端口與該分組中疑似僵尸主機通信的情況，只對與所述第二主機的陌生端口通信的疑似僵尸主機的數(shù)目進行統(tǒng)計。具體的，通用的正常端口包括默認的http協(xié)議端口80、默認的dns協(xié)議端口53、默認的ftp協(xié)議端口21、默認的smtp協(xié)議端25等端口信息。進一步的，所述識別模塊515可以包括判斷子模塊5152，用于判斷所述統(tǒng)計模塊512所統(tǒng)計的分組中與所述第二主機通信的疑似僵尸主機數(shù)目是否達到預(yù)設(shè)閾值；具體的，可以對與所述第二主機通信的疑似僵尸主機數(shù)目設(shè)定一個閾值，該閾值可以直接設(shè)定，也可以根據(jù)監(jiān)控的疑似僵尸主機的總數(shù)進行設(shè)定。在本實施例中，由于針對同一個受害主機發(fā)起的攻擊往往是一個僵尸網(wǎng)絡(luò)中的僵尸主機發(fā)起的，因此，在本實施例中，該閾值可以根據(jù)各個分組中的疑似僵尸主機的總數(shù)量來進行設(shè)定，例如，該閾值可以設(shè)定為被監(jiān)控分組中疑似僵尸主機總數(shù)的80%。如果達到預(yù)設(shè)閾值則進入步驟330，否則返回步驟300繼續(xù)對網(wǎng)絡(luò)流量進行行為檢測；識別子模塊5153，用于當判斷子模塊5152的判斷結(jié)果為一個分組中與所述第二主機通信的疑似僵尸主機的數(shù)目超過設(shè)定閾值時，識別所述第二主機為該分組中疑似僵尸主機對應(yīng)的僵尸控制主機。具體的，如果在設(shè)定時間內(nèi)(例如1小時)該分組中與第二主機通信的疑似僵尸主機數(shù)量達到設(shè)定的閾值時，則判斷所述第二主機為該分組中的疑似僵尸主機的僵尸控制主機，該僵尸控制主機所在的網(wǎng)絡(luò)為僵尸網(wǎng)絡(luò)。例如，當將各分組中疑似僵尸主機總數(shù)量的80%作為該閾值時，假設(shè)被監(jiān)控的一個分組中有10臺疑似僵尸主機，如果第二主機A與該分組中9臺疑似僵尸主機均有通信信息，則認為該第二主機A是該分組中的疑似僵尸主機的控制者。進一步的，本發(fā)明實施例的檢測裝置還可以包括報警模塊520，用于當識別出僵尸控制主機時，發(fā)出報警信息；具體的，當檢測出僵尸控制主機時，可以發(fā)出向攻擊防護設(shè)備發(fā)出報警信息，以進一步對檢測出的僵尸控制主機所屬的僵尸網(wǎng)絡(luò)進行處理，提高網(wǎng)絡(luò)的安全性。本發(fā)明實施例中所述的僵尸網(wǎng)絡(luò)檢測裝置，通過檢測模塊500實時對網(wǎng)絡(luò)流量進行檢測，并利用同一個僵尸網(wǎng)絡(luò)中僵尸主機攻擊中的相似性將檢測模塊500檢測出的具有僵尸網(wǎng)絡(luò)行為的疑似僵尸主機分組進行監(jiān)控，并記錄與各分組中的疑似僵尸主機通信的第二主機信息，在設(shè)定時間內(nèi)，對與各分組中與所述第二主機通信的的疑似僵尸主機數(shù)量進行統(tǒng)計，當在設(shè)定時間段內(nèi)與所述第二主機通信的疑似僵尸主機數(shù)目達到預(yù)設(shè)閾值時，識別所述第二主機為該分組中的疑似僵尸主機的控制主機，提高了僵尸網(wǎng)絡(luò)檢測的實時性，且檢測結(jié)果較為準確，進一步提高了網(wǎng)絡(luò)安全性。由于本發(fā)明實施例中，根據(jù)不同的攻擊類型提取的攻擊信息不同，且提取的信息更加詳細，進一步有利于提高檢測的準確性。進一步的，本實施例僵尸網(wǎng)絡(luò)的檢測裝置可以用于實現(xiàn)上述方法實施例中檢測僵尸網(wǎng)絡(luò)的全部方法。本實施例僵尸網(wǎng)絡(luò)的檢測裝置的各個功能模塊可以設(shè)置于一個或多個設(shè)備上?？梢岳斫馐堑?，本實施例僵尸網(wǎng)絡(luò)的檢測系統(tǒng)的各個功能模塊的功能可以根據(jù)上述方法實施例中的方法具體實現(xiàn)，其具體實現(xiàn)過程可參照上述實施例中的相關(guān)描述，此處不再贅述。進一步的，本發(fā)明實施例還提供一種網(wǎng)絡(luò)安全防護設(shè)備，該網(wǎng)絡(luò)安全防護設(shè)備可以包括上述實施例中的僵尸網(wǎng)絡(luò)的檢測裝置。該網(wǎng)絡(luò)安全防護設(shè)備包括防火墻、安全網(wǎng)關(guān)等。需要說明的是，對于前述的各方法實施例，為了簡單描述，故將其都表述為一系列的動作組合，但是本領(lǐng)域技術(shù)人員應(yīng)該知悉，本發(fā)明并不受所描述的動作順序的限制，因為依據(jù)本發(fā)明，某些步驟可以采用其他順序或者同時進行。其次，本領(lǐng)域技術(shù)人員也應(yīng)該知悉，說明書中所描述的實施例均屬于優(yōu)選實施例，所涉及的動作和模塊并不一定是本發(fā)明所必須的。在上述實施例中，對各個實施例的描述都各有側(cè)重，某個實施例中沒有詳述的部分，可以參見其他實施例的相關(guān)描述。本領(lǐng)域普通技術(shù)人員可以理解上述實施例的各種方法中的全部或部分步驟是可以通過程序來指令相關(guān)的硬件來完成，該程序可以存儲于計算機可讀存儲介質(zhì)中，存儲介質(zhì)可以包括只讀存儲器(ROM,Read-0nlyMemory)、隨機存儲器(RAM,RandomAccessMemory)、磁盤或光盤等。以上對本發(fā)明實施例所提供的一種僵尸網(wǎng)絡(luò)的檢測方法、裝置及網(wǎng)絡(luò)安全防護設(shè)備進行了詳細介紹，本文中應(yīng)用了具體個例對本發(fā)明的原理及實施方式進行了闡述，以上實施例的說明只是用于幫助理解本發(fā)明的方法及其核心思想；同時，對于本領(lǐng)域的一般技術(shù)人員，依據(jù)本發(fā)明的思想，在具體實施方式及應(yīng)用范圍上均會有改變之處，綜上所述，本說明書內(nèi)容不應(yīng)理解為對本發(fā)明的限制。權(quán)利要求一種僵尸網(wǎng)絡(luò)的檢測方法，其特征在于，包括識別網(wǎng)絡(luò)中具有攻擊行為的疑似僵尸主機；提取攻擊信息，所述攻擊信息中包含有所述疑似僵尸主機IP信息；根據(jù)所述疑似僵尸主機IP信息對疑似僵尸主機的通信行為進行監(jiān)控，并記錄與所述疑似僵尸主機具有通信行為的第二主機信息，所述第二主機為網(wǎng)絡(luò)中的未知主機；當在設(shè)定時間段內(nèi)與所述第二主機通信的疑似僵尸主機數(shù)目達到預(yù)設(shè)閾值時，識別所述第二主機為所述疑似僵尸主機對應(yīng)的僵尸控制主機。2.根據(jù)權(quán)利要求1所述的方法，其特征在于，還包括按照設(shè)定的分組規(guī)則將提取的所述攻擊信息劃分為至少一個分組；所述當在設(shè)定時間段內(nèi)與所述第二主機通信的疑似僵尸主機數(shù)目達到預(yù)設(shè)閾值時，識別所述第二主機為所述疑似僵尸主機對應(yīng)的僵尸控制主機包括當在設(shè)定時間段內(nèi)所述分組中與所述第二主機通信的疑似僵尸主機數(shù)目達到設(shè)定閾值時，識別所述第二主機為所述分組中的疑似僵尸主機對應(yīng)的僵尸控制主機。3.根據(jù)權(quán)利要求2所述的方法，其特征在于，所述按照設(shè)定的分組規(guī)則將所述攻擊信息劃分為至少一個分組包括當攻擊行為為分布式拒絕服務(wù)攻擊DDOS行為時，按照具有相同被攻擊對象IP的分組原則將所述攻擊信息劃分為至少一個分組；當攻擊行為為垃圾郵件SPAM行為時，按照郵件內(nèi)容相近的分組原則將所述攻擊信息劃分為至少一個分組；當攻擊行為為漏洞掃描行為時，按照具有相同漏洞類型的分組原則將所述攻擊信息劃分為至少一個分組。4.根據(jù)權(quán)利要求l-3任意一項所述的方法，其特征在于，還包括在設(shè)定的時間內(nèi)統(tǒng)計與所述第二主機通信的疑似僵尸主機數(shù)目。5.—種僵尸網(wǎng)絡(luò)檢測裝置，其特征在于，包括檢測模塊，用于識別網(wǎng)絡(luò)中具有攻擊行為的疑似僵尸主機；提取模塊，用于提取攻擊信息，所述攻擊信息中包含有所述疑似僵尸主機IP信息；監(jiān)控模塊，用于根據(jù)所述疑似僵尸主機IP信息對疑似僵尸主機的通信行為進行監(jiān)控，并記錄與所述疑似僵尸主機具有通信行為的第二主機信息，所述第二主機為網(wǎng)絡(luò)中的未知主機；識別模塊，用于當在設(shè)定時間段內(nèi)與所述第二主機通信的疑似僵尸主機數(shù)目達到預(yù)設(shè)閾值時，識別所述第二主機為所述疑似僵尸主機對應(yīng)的僵尸控制主機。6.根據(jù)權(quán)利要求5所述的僵尸網(wǎng)絡(luò)檢測裝置，其特征在于，還包括分組模塊，用于按照設(shè)定的分組規(guī)則將所述提取子單元所提取的所述攻擊信息劃分為至少一個分組；所述識別模塊，用于當在設(shè)定時間段內(nèi)所述分組中與所述第二主機通信的疑似僵尸主機數(shù)目達到設(shè)定閾值時，識別所述第二主機為所述分組中的疑似僵尸主機對應(yīng)的僵尸控制主機。7.根據(jù)權(quán)利要求6所述的僵尸網(wǎng)絡(luò)檢測裝置，其特征在于，所述分組模塊，用于當攻擊行為為分布式拒絕服務(wù)攻擊DDOS行為時，按照具有相同被攻擊對象IP的分組原則將所述攻擊信息劃分為至少一個分組；當攻擊行為為垃圾郵件SPAM行為時，按照郵件內(nèi)容相近的分組原則將所述攻擊信息劃分為至少一個分組；當攻擊行為為漏洞掃描行為時，按照具有相同漏洞類型的分組原則將所述攻擊信息劃分為至少一個分組。8.根據(jù)權(quán)利要求5所述的僵尸網(wǎng)絡(luò)檢測裝置，其特征在于，還包括統(tǒng)計模塊，用于統(tǒng)計當在設(shè)定時間段內(nèi)與所述第二主機通信的疑似僵尸主機數(shù)目。9.根據(jù)權(quán)利要求5-8任意一項所述的僵尸網(wǎng)絡(luò)檢測裝置，其特征在于，還包括報警模塊，用于當識別模塊識別出僵尸控制主機時，發(fā)出報警信息。10.—種網(wǎng)絡(luò)安全防護設(shè)備，其特征在于，包括權(quán)利要求5-9任意一項所述的僵尸網(wǎng)絡(luò)檢測裝置。全文摘要本發(fā)明實施例公開了一種僵尸網(wǎng)絡(luò)的檢測方法、裝置及網(wǎng)絡(luò)安全防護設(shè)備，該方法包括識別網(wǎng)絡(luò)中具有攻擊行為的疑似僵尸主機；提取攻擊信息，所述攻擊信息中包含有所述疑似僵尸主機IP信息；根據(jù)所述疑似僵尸主機IP信息對疑似僵尸主機的通信行為進行監(jiān)控，并記錄與所述疑似僵尸主機具有通信行為的第二主機信息，所述第二主機為網(wǎng)絡(luò)中的未知主機；當在設(shè)定時間段內(nèi)與所述第二主機通信的疑似僵尸主機數(shù)目達到預(yù)設(shè)閾值時，識別所述第二主機為所述疑似僵尸主機對應(yīng)的僵尸控制主機。通過本發(fā)明實施例所述的檢測方法能夠相對快速準確的檢測出未知的僵尸網(wǎng)絡(luò)，提高網(wǎng)絡(luò)的安全性。文檔編號H04L9/00GK101753562SQ200910216889公開日2010年6月23日申請日期2009年12月28日優(yōu)先權(quán)日2009年12月28日發(fā)明者蔣武申請人:成都市華為賽門鐵克科技有限公司