一種僵尸群落分析方法及裝置制造方法
【專利摘要】本發(fā)明公開了一種僵尸群落分析方法及裝置��;方法包括:獲取僵尸網(wǎng)絡(luò)監(jiān)測系統(tǒng)在設(shè)定時間范圍產(chǎn)生的監(jiān)測數(shù)據(jù);根據(jù)監(jiān)測數(shù)據(jù)構(gòu)建僵尸網(wǎng)絡(luò)�����;計算任意兩個僵尸網(wǎng)絡(luò)的相似系數(shù)��;選取相似系數(shù)大于預(yù)先設(shè)定的相似系數(shù)閾值的相似關(guān)系;根據(jù)相似關(guān)系構(gòu)建僵尸群落��,進行分析��。本發(fā)明的僵尸群落分析方法�����,能夠發(fā)現(xiàn)僵尸網(wǎng)絡(luò)間的內(nèi)在關(guān)系��,可更有效的跟蹤和研究僵尸網(wǎng)絡(luò)背后的黑客組織的行為模式��,為網(wǎng)絡(luò)安全和網(wǎng)絡(luò)防御提供支持和幫助,為國家宏觀層次的互聯(lián)網(wǎng)安全研究與控制起到促進作用����。
【專利說明】—種僵尸群落分析方法及裝置
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及互聯(lián)網(wǎng)【技術(shù)領(lǐng)域】��,特別是涉及一種僵尸群落分析方法及裝置。
【背景技術(shù)】
[0002]僵尸網(wǎng)絡(luò)(Botnet)是指采用一種或多種傳播手段��,使大量主機感染僵尸(bot程序)程序���,從而在控制者和被感染主機(僵尸或肉雞)之間所形成的一對多控制的網(wǎng)絡(luò)�;它往往被黑客用來發(fā)起大規(guī)模的網(wǎng)絡(luò)攻擊���,如分布式拒絕服務(wù)攻擊(DDoS)�����、海量垃圾郵件等。黑客可以控制這些被感染主機上所有的信息���,如:銀行帳戶和密碼等����。
[0003]僵尸群落指有直接或間接關(guān)系的一組僵尸網(wǎng)絡(luò)構(gòu)成的群體��。僵尸群落背后可能由一個或幾個黑客組織操控�,從事互聯(lián)網(wǎng)地下經(jīng)濟活動��,如:受某網(wǎng)站雇傭利用僵尸群落對競爭對手網(wǎng)站進行DDOS攻擊,讓其不能對外提供服務(wù)等�。從技術(shù)手段講���,僵尸群落與僵尸網(wǎng)絡(luò)并沒有太大差異����,但其組成結(jié)構(gòu)和行為模式卻可以更多的投射出互聯(lián)網(wǎng)之外的現(xiàn)實世界的組織特征����。
[0004]僵尸網(wǎng)絡(luò)監(jiān)測系統(tǒng)指使用蜜網(wǎng)�����、網(wǎng)絡(luò)流量及IRC Server等技術(shù)開發(fā)實現(xiàn)的專用于監(jiān)測僵尸網(wǎng)絡(luò)的系統(tǒng)。該系統(tǒng)會根據(jù)網(wǎng)絡(luò)上的通訊信息�����,不斷的產(chǎn)生監(jiān)測數(shù)據(jù)��,數(shù)據(jù)中至少包括但不限于包括監(jiān)測時間、控制類型(如:灰鴿子����、IRC等)��、控制端IP、控制端端口���、被感染主機IP、被感染主機端口等信息�。僵尸網(wǎng)絡(luò)監(jiān)測系統(tǒng)會根據(jù)這些信息分析出僵尸網(wǎng)絡(luò)的網(wǎng)絡(luò)結(jié)構(gòu)���,如:一個僵尸網(wǎng)絡(luò)控制端控制了多少被感染主機等。
[0005]在現(xiàn)有技術(shù)中并沒有真正意義的僵尸群落分析技術(shù)��。一般而言���,僵尸網(wǎng)絡(luò)監(jiān)測系統(tǒng)可以根據(jù)監(jiān)測數(shù)據(jù)�����,利用跳板機原理分析出一個僵尸網(wǎng)絡(luò)的真正控制端。即僵尸網(wǎng)絡(luò)控制端并不直接控制所有的被感染主機��,而是通過將其直接控制的一臺或幾臺被感染主機作為控制端,間接來控制其它被感染主機�����,使整個僵尸網(wǎng)絡(luò)呈樹型的拓撲結(jié)構(gòu)�。這些被用作控制端的感染主機也被稱為跳板機�,有時一個僵尸網(wǎng)絡(luò)的跳板機會有很多級。我們可以把每個控制端及被其直接控制的感染主機看做是一個僵尸網(wǎng)絡(luò)�����,那么整個樹型僵尸網(wǎng)絡(luò)就可以被視為一個僵尸群落,這個僵尸群落描繪了僵尸網(wǎng)絡(luò)與僵尸網(wǎng)絡(luò)間的控制關(guān)系����。該算法一般為:1、從僵尸網(wǎng)絡(luò)監(jiān)測系統(tǒng)產(chǎn)生的監(jiān)測數(shù)據(jù)中找出所有控制端IP (Internet Protocol,網(wǎng)絡(luò)之間互連的協(xié)議);2����、找出每個控制IP直接控制的所有被感染主機,并以每個控制端IP為一個僵尸網(wǎng)絡(luò)的標示構(gòu)建一個僵尸網(wǎng)絡(luò)�;3、從僵尸網(wǎng)絡(luò)監(jiān)測系統(tǒng)產(chǎn)生的監(jiān)測數(shù)據(jù)中找出即是控制端IP也是被感染主機IP的IP地址���,即跳板機IP ;4�、找出每個跳板機IP的控制端IP�,構(gòu)建僵尸網(wǎng)絡(luò)間的控制關(guān)系。
[0006]基于跳板機的僵尸群落分析技術(shù)最初在僵尸網(wǎng)絡(luò)監(jiān)測系統(tǒng)中被用于確認僵尸網(wǎng)絡(luò)的真正控制端��。由該方法分析出的樹型僵尸網(wǎng)絡(luò)可被看做為一個反映控制關(guān)系的僵尸群落��。但由該分析方法分析出的僵尸群落無法揭示不存在明顯的控制約束的僵尸網(wǎng)絡(luò)之間的關(guān)系�。如:某黑客組織在創(chuàng)建了一個僵尸網(wǎng)絡(luò)后,為規(guī)避控制端被查封的危險��,而為所有的被感染主機都又增加了一個新的控制端,形成了另外一個僵尸網(wǎng)絡(luò)的情況(兩個僵尸網(wǎng)絡(luò)控制了相同的被感染主機)����。或者不同的黑客或組織間交換或買賣了部分被感染機的控制權(quán)��,形成了一個被感染機被多個僵尸網(wǎng)絡(luò)控制的情況等����。這些情況下的僵尸網(wǎng)絡(luò)關(guān)系用該分析方法無法揭示,而這些關(guān)系能更好的投射現(xiàn)實世界黑客組織的行為模式��。
【發(fā)明內(nèi)容】
[0007]本發(fā)明要解決的技術(shù)問題是提供一種僵尸群落分析方法及裝置�,用以解決現(xiàn)有技術(shù)中沒有真正意義的僵尸群落分析技術(shù)的問題。
[0008]為解決上述技術(shù)問題�,一方面,本發(fā)明提供一種僵尸群落分析方法�,包括:
[0009]獲取僵尸網(wǎng)絡(luò)監(jiān)測系統(tǒng)在設(shè)定時間范圍產(chǎn)生的監(jiān)測數(shù)據(jù);
[0010]根據(jù)監(jiān)測數(shù)據(jù)構(gòu)建僵尸網(wǎng)絡(luò)�;
[0011]計算任意兩個僵尸網(wǎng)絡(luò)的相似系數(shù)��;
[0012]選取相似系數(shù)大于預(yù)先設(shè)定的相似系數(shù)閾值的相似關(guān)系����;
[0013]根據(jù)相似關(guān)系構(gòu)建僵尸群落,進行分析。
[0014]進一步����,構(gòu)建僵尸網(wǎng)絡(luò)后,將僵尸網(wǎng)絡(luò)中控制的被感染主機數(shù)小于設(shè)定閾值的僵尸網(wǎng)絡(luò)刪除�。
[0015]進一步,計算任意兩個僵尸網(wǎng)絡(luò)間相同的被感染主機IP數(shù)量���,及兩個僵尸網(wǎng)絡(luò)中全部被感染主機IP數(shù)量�����,用前者除以后者���,所得的值即為相似系數(shù)。
[0016]進一步�����,在監(jiān)測數(shù)據(jù)中��,每個控制端IP�、及受該控制端IP控制的所有被感染主機IP構(gòu)成一個僵尸網(wǎng)絡(luò)。
[0017]進一步�,選取僵尸群落中僵尸網(wǎng)絡(luò)的數(shù)量大于等于設(shè)定的僵尸網(wǎng)絡(luò)數(shù)量閾值的僵尸群落進行分析��。
[0018]另一方面���,本發(fā)明還提供一種僵尸群落分析裝置,包括:
[0019]監(jiān)測數(shù)據(jù)獲取模塊����,用于獲取僵尸網(wǎng)絡(luò)監(jiān)測系統(tǒng)在設(shè)定時間范圍產(chǎn)生的監(jiān)測數(shù)據(jù);
[0020]僵尸網(wǎng)絡(luò)構(gòu)建模塊����,用于根據(jù)監(jiān)測數(shù)據(jù)構(gòu)建僵尸網(wǎng)絡(luò);
[0021]相似系數(shù)計算模塊�,用于計算任意兩個僵尸網(wǎng)絡(luò)的相似系數(shù);
[0022]相似關(guān)系選取模塊�,用于選取相似系數(shù)大于預(yù)先設(shè)定的相似系數(shù)閾值的相似關(guān)系;
[0023]僵尸群落構(gòu)建模塊,用于根據(jù)相似關(guān)系構(gòu)建僵尸群落���,進行分析�����。
[0024]進一步�,所述僵尸群落分析裝置還包括:
[0025]僵尸網(wǎng)絡(luò)篩選模塊����,用于在構(gòu)建僵尸網(wǎng)絡(luò)后,將僵尸網(wǎng)絡(luò)中控制的被感染主機數(shù)小于設(shè)定閾值的僵尸網(wǎng)絡(luò)刪除��。
[0026]進一步�����,相似系數(shù)計算模塊具體用于:
[0027]計算任意兩個僵尸網(wǎng)絡(luò)間相同的被感染主機IP數(shù)量���,及兩個僵尸網(wǎng)絡(luò)中全部被感染主機IP數(shù)量�����,用前者除以后者���,所得的值即為相似系數(shù)。
[0028]進一步���,僵尸網(wǎng)絡(luò)構(gòu)建模塊具體用于:
[0029]每個控制端IP���、及受該控制端IP控制的所有被感染主機IP構(gòu)成一個僵尸網(wǎng)絡(luò)。
[0030]進一步���,所述僵尸群落分析裝置還包括:
[0031]僵尸群落選取模塊�����,用于選取僵尸群落中僵尸網(wǎng)絡(luò)的數(shù)量大于等于設(shè)定的僵尸網(wǎng)絡(luò)數(shù)量閾值的僵尸群落進行分析�����。[0032]本發(fā)明有益效果如下:
[0033]本發(fā)明的僵尸群落分析方法����,能夠發(fā)現(xiàn)僵尸網(wǎng)絡(luò)間的內(nèi)在關(guān)系,可更有效的跟蹤和研究僵尸網(wǎng)絡(luò)背后的黑客組織的行為模式���,為網(wǎng)絡(luò)安全和網(wǎng)絡(luò)防御提供支持和幫助�����,為國家宏觀層次的互聯(lián)網(wǎng)安全研究與控制起到促進作用�����。
【專利附圖】
【附圖說明】
[0034]圖1是本發(fā)明實施例中一種僵尸群落分析方法的流程圖��。
【具體實施方式】
[0035]以下結(jié)合附圖以及實施例���,對本發(fā)明進行進一步詳細說明。應(yīng)當理解����,此處所描述的具體實施例僅僅用以解釋本發(fā)明,并不限定本發(fā)明��。
[0036]本發(fā)明的基于相似性系數(shù)的僵尸群落分析方法��,其核心技術(shù)內(nèi)容為:在僵尸網(wǎng)絡(luò)監(jiān)測系統(tǒng)產(chǎn)生的監(jiān)測數(shù)據(jù)中選取一定時間范圍的監(jiān)測數(shù)據(jù)�;以監(jiān)測數(shù)據(jù)中的所有控制端IP及被其控制的被感染主機IP為信息構(gòu)建僵尸網(wǎng)絡(luò);對任意兩個僵尸網(wǎng)絡(luò)���,以它們的被感染主機IP為集合計算jaccard系數(shù)��,并保存兩者的相似關(guān)系��;給定相似系數(shù)的值���,選取所有大于等于該相似系數(shù)的相似關(guān)系,所有在此結(jié)果集中彼此擁有相似關(guān)系的僵尸網(wǎng)絡(luò)內(nèi)聚為一個或多個僵尸群落�。通過本發(fā)明所述的僵尸群落分析方法,能夠進一步挖掘僵尸網(wǎng)絡(luò)間的內(nèi)在關(guān)系���,分析僵尸群落所投影的互聯(lián)網(wǎng)背后的黑客組織的行為模式���。
[0037]如圖1所示�����,本發(fā)明實施例涉及一種僵尸群落分析方法��,包括:
[0038]步驟S101�����,獲取僵尸網(wǎng)絡(luò)監(jiān)測系統(tǒng)在設(shè)定時間范圍產(chǎn)生的監(jiān)測數(shù)據(jù)���。
[0039]在互聯(lián)網(wǎng)世界中,僵尸網(wǎng)絡(luò)始終處于一個不斷變化的動態(tài)過程中�。有時會因控制機被封而消亡,有時會因被感染主機脫離了僵尸網(wǎng)絡(luò)的控制從而引起僵尸網(wǎng)絡(luò)規(guī)模的變化��。當分析僵尸群落的時候����,需要在一個僵尸網(wǎng)絡(luò)相對穩(wěn)定的基礎(chǔ)上進行。因此需要預(yù)先選定一個時間范圍,在此時間范圍內(nèi)分析各僵尸網(wǎng)絡(luò)的關(guān)系���。選定的時間范圍不同����,僵尸群落的關(guān)系會呈現(xiàn)不同的結(jié)果����。為使分析結(jié)果相對準確�����,我們可以通過選定一組持續(xù)的時間范圍對僵尸群落進行分析���。如:按自然月為時間范圍分析僵尸群落�����,一年有12個月�,可以得到12組僵尸群落關(guān)系���。對這12組僵尸群落關(guān)系進行分析就可以分析僵尸群落的變化情況及驗證僵尸群落劃分的是否準確���。
[0040]僵尸網(wǎng)絡(luò)監(jiān)測系統(tǒng)會不停的監(jiān)測網(wǎng)絡(luò)上的通訊信息����,并依據(jù)規(guī)則生成僵尸網(wǎng)絡(luò)監(jiān)測數(shù)據(jù)��。監(jiān)測數(shù)據(jù)至少包括:監(jiān)測時間�����、控制類型、控制端IP���、控制端端口����、被感染主機IP��、被感染主機端口等信息。它能動態(tài)的反映僵尸網(wǎng)絡(luò)的變化情況�。本方案將以該系統(tǒng)產(chǎn)生的數(shù)據(jù)作為分析基礎(chǔ)����。另外����,持續(xù)的分析跟蹤僵尸群落可以建立在本方案分析得到的僵尸群落的基礎(chǔ)上,故本方案中不做更多闡述�����。
[0041]步驟S102����,根據(jù)監(jiān)測數(shù)據(jù)構(gòu)建僵尸網(wǎng)絡(luò)。
[0042]在監(jiān)測數(shù)據(jù)中,每個控制端IP、及受該控制端IP控制的所有被感染主機IP構(gòu)成一個僵尸網(wǎng)絡(luò)����。
[0043]每個不同的控制IP (或控制IP +控制類型)代表了一個不同的僵尸網(wǎng)絡(luò)���,因此���,抽取監(jiān)測數(shù)據(jù)中的控制端IP及受該控制端IP控制的所有被感染主機IP等信息構(gòu)建僵尸網(wǎng)絡(luò)。[0044]步驟S103���,僵尸網(wǎng)絡(luò)篩選���。
[0045]對步驟S102中計算得到的所有僵尸網(wǎng)絡(luò)按規(guī)模即僵尸網(wǎng)絡(luò)控制的被感染主機數(shù)進行篩選。將僵尸網(wǎng)絡(luò)中控制的被感染主機數(shù)小于設(shè)定閾值的僵尸網(wǎng)絡(luò)刪除��,以免太小的僵尸網(wǎng)絡(luò)占用了大量計算資源卻得不到具有參考意義的相似關(guān)系�。
[0046]步驟S104,計算任意兩個僵尸網(wǎng)絡(luò)的相似系數(shù)�。
[0047]對步驟S102或步驟S103獲得的僵尸網(wǎng)絡(luò),兩兩求解相似性�,并保存它們的相似關(guān)系�����。相似關(guān)系采用Jaccard系數(shù)算法進行計算,公式為:Jaccard(X�����,Y) =X Π Y/X U Y ���;即:計算任意兩個僵尸網(wǎng)絡(luò)間相同的被感染主機IP數(shù)量����,及兩個僵尸網(wǎng)絡(luò)中全部被感染主機IP數(shù)量��,用前者除以后者�,所得的值即為相似系數(shù)�����,該系數(shù)值的取值范圍為[0,I]�����。Jaccard系數(shù),又叫做Jaccard相似性系數(shù)�,用來比較樣本集中的相似性和分散性的一個概率Jaccard系數(shù)等于樣本集交集與樣本集合集的比值�����。
[0048]步驟S105�����,選取相似系數(shù)大于預(yù)先設(shè)定的相似系數(shù)閾值的相似關(guān)系����。
[0049]按給定的相似值����,選取大于等于該相似值的所有相似關(guān)系。任意僵尸網(wǎng)絡(luò)間的相似關(guān)系都不相同��,相似關(guān)系越小說明它們之間的關(guān)聯(lián)程度越小,由此獲得的僵尸群落的可信性也越?��?���;相似關(guān)系越大說明關(guān)聯(lián)程度越大����,由此獲得的僵尸群落的可信性也越大����。
[0050]步驟S106,根據(jù)相似關(guān)系構(gòu)建僵尸群落��。
[0051]以任意一個相似關(guān)系的兩個僵尸網(wǎng)絡(luò)為頂點���,構(gòu)建一個僵尸群落,判斷下一個相似關(guān)系中的兩個僵尸網(wǎng)絡(luò)是否至少有一個包括在已經(jīng)構(gòu)建的僵尸群落中����,如果否,則由該相似關(guān)系中的兩個僵尸網(wǎng)絡(luò)頂點����,構(gòu)建一個新的僵尸群落;如果是��,則進一步判斷該相似關(guān)系中的兩個僵尸網(wǎng)絡(luò)是否都包括在已經(jīng)構(gòu)建的僵尸群落中�����;如果是���,則保持已經(jīng)構(gòu)建的僵尸群落不變����,如果否���,則將沒有包括在已經(jīng)構(gòu)建的僵尸群落中的僵尸網(wǎng)絡(luò)加入到該僵尸群中����。
[0052]例如�����,從步驟S105步求得的僵尸網(wǎng)絡(luò)的相似關(guān)系(大于0.6)的關(guān)系集合如表1所
/Jn ο
[0053]表1
[0054]
【權(quán)利要求】
1.一種僵尸群落分析方法,其特征在于��,包括: 獲取僵尸網(wǎng)絡(luò)監(jiān)測系統(tǒng)在設(shè)定時間范圍產(chǎn)生的監(jiān)測數(shù)據(jù)�; 根據(jù)監(jiān)測數(shù)據(jù)構(gòu)建僵尸網(wǎng)絡(luò)��; 計算任意兩個僵尸網(wǎng)絡(luò)的相似系數(shù)�����; 選取相似系數(shù)大于預(yù)先設(shè)定的相似系數(shù)閾值的相似關(guān)系; 根據(jù)相似關(guān)系構(gòu)建僵尸群落�,進行分析���。
2.如權(quán)利要求1所述的僵尸群落分析方法���,其特征在于����,構(gòu)建僵尸網(wǎng)絡(luò)后,將僵尸網(wǎng)絡(luò)中控制的被感染主機數(shù)小于設(shè)定閾值的僵尸網(wǎng)絡(luò)刪除��。
3.如權(quán)利要求1或2所述的僵尸群落分析方法��,其特征在于��,計算任意兩個僵尸網(wǎng)絡(luò)間相同的被感染主機IP數(shù)量�,及兩個僵尸網(wǎng)絡(luò)中全部被感染主機IP數(shù)量�����,用前者除以后者���,所得的值即為相似系數(shù)。
4.如權(quán)利要求3所述的僵尸群落分析方法�,其特征在于�,在監(jiān)測數(shù)據(jù)中����,每個控制端IP���、及受該控制端IP控制的所有被感染主機IP構(gòu)成一個僵尸網(wǎng)絡(luò)����。
5.如權(quán)利要求1�、2或4所述的僵尸群落分析方法,其特征在于��,選取僵尸群落中僵尸網(wǎng)絡(luò)的數(shù)量大于等于設(shè)定的僵尸網(wǎng)絡(luò)數(shù)量閾值的僵尸群落進行分析���。
6.一種僵尸群落分析裝置,其特征在于��,包括: 監(jiān)測數(shù)據(jù)獲取模塊���,用于獲取僵尸網(wǎng)絡(luò)監(jiān)測系統(tǒng)在設(shè)定時間范圍產(chǎn)生的監(jiān)測數(shù)據(jù)��; 僵尸網(wǎng)絡(luò)構(gòu)建模塊����,用于根據(jù)監(jiān)測數(shù)據(jù)構(gòu)建僵尸網(wǎng)絡(luò)���; 相似系數(shù)計算模塊�����,用于計算任意兩個僵尸網(wǎng)絡(luò)的相似系數(shù)�����; 相似關(guān)系選取模塊,用于選取相似系數(shù)大于預(yù)先設(shè)定的相似系數(shù)閾值的相似關(guān)系����; 僵尸群落構(gòu)建模塊,用于根據(jù)相似關(guān)系構(gòu)建僵尸群落��,進行分析。
7.如權(quán)利要求6所述的僵尸群落分析裝置,其特征在于�����,所述僵尸群落分析裝置還包括: 僵尸網(wǎng)絡(luò)篩選模塊�,用于在構(gòu)建僵尸網(wǎng)絡(luò)后,將僵尸網(wǎng)絡(luò)中控制的被感染主機數(shù)小于設(shè)定閾值的僵尸網(wǎng)絡(luò)刪除���。
8.如權(quán)利要求6或7所述的僵尸群落分析裝置�����,其特征在于,相似系數(shù)計算模塊具體用于: 計算任意兩個僵尸網(wǎng)絡(luò)間相同的被感染主機IP數(shù)量���,及兩個僵尸網(wǎng)絡(luò)中全部被感染主機IP數(shù)量��,用前者除以后者,所得的值即為相似系數(shù)���。
9.如權(quán)利要求8所述的僵尸群落分析裝置,其特征在于��,僵尸網(wǎng)絡(luò)構(gòu)建模塊具體用于: 每個控制端IP、及受該控制端IP控制的所有被感染主機IP構(gòu)成一個僵尸網(wǎng)絡(luò)�����。
10.如權(quán)利要求6、7或9所述的僵尸群落分析裝置����,其特征在于����,所述僵尸群落分析裝置還包括: 僵尸群落選取模塊,用于選取僵尸群落中僵尸網(wǎng)絡(luò)的數(shù)量大于等于設(shè)定的僵尸網(wǎng)絡(luò)數(shù)量閾值的僵尸群落進行分析�����。
【文檔編號】H04L12/26GK103795591SQ201410021553
【公開日】2014年5月14日 申請日期:2014年1月16日 優(yōu)先權(quán)日:2014年1月16日
【發(fā)明者】湯泰鼎, 李雪瑩 申請人:北京天融信軟件有限公司, 北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司, 北京天融信科技有限公司