專利名稱:識(shí)別僵尸網(wǎng)絡(luò)的方法及網(wǎng)關(guān)設(shè)備的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)����,尤其涉及一種識(shí)別僵尸網(wǎng)絡(luò)的方法及網(wǎng)關(guān)設(shè)備����。
背景技術(shù):
僵尸網(wǎng)絡(luò)(Botnet)是采用一種或多種傳播手段,使大量主機(jī)感染僵尸工具(robot��, Bot)程序��,從而在控制者和被感染主機(jī)之間所形成的可一對(duì)多控制的網(wǎng)絡(luò)���。其中��,僵尸工具可以自動(dòng)執(zhí)行預(yù)定義的功能��,也可以被預(yù)定義的命令所遠(yuǎn)程控制�����,并具有一定人工智能的程序�����。被感染主機(jī)即僵尸主機(jī)(Zombie),是含有僵尸工具或其他遠(yuǎn)程控制程序�����,可被攻擊者遠(yuǎn)程控制的計(jì)算機(jī)���。
僵尸網(wǎng)絡(luò)構(gòu)成了 一個(gè)攻擊平臺(tái)�,利用這個(gè)平臺(tái)可以有效地發(fā)起各種各樣的攻擊行為,導(dǎo)致整個(gè)基礎(chǔ)信息網(wǎng)絡(luò)或者重要應(yīng)用系統(tǒng)癱瘓��、大量機(jī)密或個(gè)人隱私泄漏���,利用這個(gè)平臺(tái)還可以用來(lái)從事網(wǎng)絡(luò)欺詐等其他違法犯罪活動(dòng)���。分布式拒絕服務(wù)(Distribution Denial of service, DDOS )�、發(fā)送垃圾郵件、竊取秘密����、濫用資源是已經(jīng)發(fā)現(xiàn)的利用僵尸網(wǎng)絡(luò)發(fā)動(dòng)的攻擊行為,這些行為無(wú)論對(duì)整個(gè)網(wǎng)絡(luò)還是用戶自身都造成了比較嚴(yán)重的危害��。隨著將來(lái)出現(xiàn)各種新的攻擊類型�����,僵尸網(wǎng)絡(luò)還可能被用來(lái)發(fā)起新的未知攻擊�����。
現(xiàn)有技術(shù)中�����, 一種檢測(cè)僵尸網(wǎng)絡(luò)的方法是蜜網(wǎng)技術(shù)�����。該方法通過(guò)密罐等手段獲得僵尸工具程序樣本�����,采用逆向工程等惡意代碼分析手段�,獲得隱藏在代碼中的登錄僵尸網(wǎng)絡(luò)所需要的相關(guān)信息�����,使用定制的僵尸程序登錄到僵尸網(wǎng)絡(luò)中去�����,進(jìn)一步采取應(yīng)對(duì)措施。另一種檢測(cè)僵尸網(wǎng)絡(luò)的方法是網(wǎng)絡(luò)流量研究�����。該方法通過(guò)研究僵尸主機(jī)行為的網(wǎng)絡(luò)流量變化��,4吏用離線和在線的兩種分析方法�,實(shí)現(xiàn)對(duì)僵尸網(wǎng)絡(luò)的判斷。
在實(shí)現(xiàn)本發(fā)明的過(guò)程中��,發(fā)明人發(fā)現(xiàn)現(xiàn)有技術(shù)至少存在以下缺點(diǎn)這兩種方法都是在被僵尸網(wǎng)絡(luò)攻擊的情況下才進(jìn)行檢測(cè)��,不能實(shí)時(shí)監(jiān)控僵尸網(wǎng)絡(luò)的通信4艮文���,不能實(shí)時(shí)地對(duì)僵尸網(wǎng)絡(luò)做出響應(yīng)。
發(fā)明內(nèi)容
本發(fā)明實(shí)施例提出一種識(shí)別僵尸網(wǎng)絡(luò)的方法及網(wǎng)關(guān)設(shè)備,以實(shí)時(shí)識(shí)別僵尸網(wǎng)絡(luò)��。
本發(fā)明實(shí)施例提供了 一種識(shí)別僵尸網(wǎng)絡(luò)的方法����,包括獲取網(wǎng)絡(luò)流量��;
從獲取的網(wǎng)絡(luò)流量中過(guò)濾出下載文件�����;從所述下載文件中過(guò)濾出文本文件���;^r測(cè)所述文本文件的內(nèi)容���;
判斷所述內(nèi)容是否與僵尸配置文件的內(nèi)容特征匹配�;若匹配���,則通過(guò)所述文本文件識(shí)別控制主機(jī)以及僵尸主機(jī)���。本發(fā)明實(shí)施例還提供了一種網(wǎng)關(guān)設(shè)備�,包括獲取模塊,用于獲取網(wǎng)絡(luò)流量�;
下載文件過(guò)濾模塊�����,用于從獲取的網(wǎng)絡(luò)流量中過(guò)濾出下載文件�;文本文件過(guò)濾模塊��,用于從所述下載文件中過(guò)濾出文本文件����;檢測(cè)模塊�,用于檢測(cè)所述文本文件的內(nèi)容;
判斷模塊��,用于判斷所述內(nèi)容是否與僵尸配置文件的內(nèi)容特征匹配;識(shí)別模塊�,用于若判斷模塊匹配成功,則通過(guò)所述文本文件識(shí)別控制主才幾以及僵尸主才幾。
上述實(shí)施例通過(guò)4企測(cè)流量中的下載文件中的文本文件的內(nèi)容�,識(shí)別出控制主機(jī)�,通過(guò)監(jiān)控針對(duì)僵尸配置文件的下載行為識(shí)別出僵尸主機(jī),從而識(shí)別出了整個(gè)僵尸網(wǎng)絡(luò),實(shí)現(xiàn)了實(shí)時(shí)地識(shí)別僵尸網(wǎng)絡(luò)�,并且能夠檢測(cè)出未知的僵尸網(wǎng)絡(luò)或未來(lái)得及發(fā)起惡意攻擊的僵尸網(wǎng)絡(luò)���。
下面通過(guò)附圖和實(shí)施例��,對(duì)本發(fā)明的技術(shù)方案做進(jìn)一步的詳細(xì)描述����。
為了更清楚地說(shuō)明本發(fā)明實(shí)施例的技術(shù)方案,下面將對(duì)本發(fā)明實(shí)施例描述中所需要使用的附圖作簡(jiǎn)單地介紹�,顯而易見(jiàn)地,下面描述中的附圖僅僅是本發(fā)明的一些實(shí)施例����,對(duì)于本領(lǐng)域普通技術(shù)人員來(lái)講,在不付出創(chuàng)造性勞動(dòng)的前提下����,還可以根據(jù)這些附圖獲得其他的附圖�。
圖1為現(xiàn)有技術(shù)中僵尸網(wǎng)絡(luò)的基本網(wǎng)絡(luò)結(jié)構(gòu)示意圖2為現(xiàn)有技術(shù)中樹(shù)狀拓樸結(jié)構(gòu)的僵尸網(wǎng)絡(luò)示意圖3為現(xiàn)有技術(shù)中基于因特網(wǎng)中繼聊天協(xié)議實(shí)現(xiàn)的僵尸網(wǎng)絡(luò)示意圖4為本發(fā)明實(shí)施例提供的一種識(shí)別僵尸網(wǎng)絡(luò)的方法的流程圖5為本發(fā)明實(shí)施例提供的另一種識(shí)別僵尸網(wǎng)絡(luò)的方法的流程圖6為本發(fā)明實(shí)施例提供的一種網(wǎng)關(guān)設(shè)備的結(jié)構(gòu)示意圖7為本發(fā)明實(shí)施例提供的網(wǎng)關(guān)設(shè)備中識(shí)別模塊66的結(jié)構(gòu)示意圖8為本發(fā)明實(shí)施例提供的網(wǎng)關(guān)設(shè)備中識(shí)別模塊66的另一結(jié)構(gòu)示意圖�。
具體實(shí)施例方式
為了更清楚地說(shuō)明本發(fā)明實(shí)施例的技術(shù)方案,下面將對(duì)本發(fā)明實(shí)施例描述中所需要使用的附圖作簡(jiǎn)單地介紹��,顯而易見(jiàn)地�,下面描述中的附圖僅僅是本發(fā)明的一些實(shí)施例,對(duì)于本領(lǐng)域普通技術(shù)人員來(lái)講�����,在不付出創(chuàng)造性勞動(dòng)的前提下�,還可以根據(jù)這些附圖獲得其他的附圖�。
僵尸網(wǎng)絡(luò)(Botnet)的基本網(wǎng)絡(luò)結(jié)構(gòu)如圖1所示���。僵尸網(wǎng)絡(luò)的一種網(wǎng)絡(luò)拓樸結(jié)構(gòu)是多級(jí)控制的樹(shù)狀拓樸結(jié)構(gòu)�����。如圖2所示��,控制者開(kāi)放監(jiān)聽(tīng)端口�����,多臺(tái)僵尸主機(jī)主動(dòng)向一臺(tái)控制者的監(jiān)聽(tīng)端口即同一個(gè)端口發(fā)起連接���,并向控制者通報(bào)�����, 一般會(huì)通過(guò)定時(shí)向控制者通信來(lái)通報(bào)�??刂普咧鲃?dòng)連接上級(jí)控制者的監(jiān)聽(tīng)端口,向上級(jí)控制者通報(bào)�����??刂普呦蚪┦鳈C(jī)發(fā)指令??刂普咄粫r(shí) 間會(huì)向多臺(tái)僵尸主機(jī)發(fā)相同指令。僵尸主機(jī)執(zhí)行控制者指令�����,發(fā)起攻擊。僵
尸網(wǎng)絡(luò)的另一種網(wǎng)絡(luò)拓樸結(jié)構(gòu)是基于因特網(wǎng)中繼聊天(Internet Relay Chat, IRC)協(xié)議實(shí)現(xiàn)的僵尸網(wǎng)絡(luò)���。如圖3所示���,控制者在IRC服務(wù)器上創(chuàng)建通信 頻道。僵尸主機(jī)登陸IRC服務(wù)器并加入控制者事先創(chuàng)建的頻道�����,等待控制者 發(fā)起指令�����。僵尸主機(jī)一般會(huì)長(zhǎng)時(shí)間在線�����,并且作為一個(gè)IRC服務(wù)器的聊天用 戶�,在聊天頻道內(nèi)長(zhǎng)時(shí)間不發(fā)言����??刂普咴贗RC指定頻道上發(fā)指令���。僵尸收 到指令��,執(zhí)行指令�����,發(fā)起攻擊�。還有一種基于點(diǎn)到點(diǎn)(P2P)結(jié)構(gòu)的僵尸網(wǎng)絡(luò)�����, 該僵尸網(wǎng)絡(luò)采用P2P點(diǎn)對(duì)點(diǎn)方式通信�����,在控制方式上具有分布性�,整個(gè)僵尸 網(wǎng)絡(luò)很難凈tt現(xiàn)。但由于其實(shí)現(xiàn)比較復(fù)雜�����,在網(wǎng)絡(luò)中并不占有太大比例�。
圖4為本發(fā)明實(shí)施例提供的一種識(shí)別僵尸網(wǎng)絡(luò)的方法的流程圖�����。該方法 包括
步驟41���、獲取網(wǎng)絡(luò)流量;如獲取網(wǎng)絡(luò)中的HTTP��、 FTP�����、 TFTP等流量�, 以實(shí)時(shí)篩查是否存在僵尸配置文件;
步驟42��、從獲取的網(wǎng)絡(luò)流量中過(guò)濾出下載文件��;如通過(guò)流量中的命令語(yǔ) 句的關(guān)4建詞"get"等識(shí)別并過(guò)濾出下載文件�;
步驟43、從所述下載文件中過(guò)濾出文本文件����;由于僵尸配置文件均為.txt 文件,因此從所述下載文件中過(guò)濾出文本文件�;以便于識(shí)別僵尸配置文件����;
步驟44�����、檢測(cè)所述文本文件的內(nèi)容�;
步驟45、判斷所述內(nèi)容是否與僵尸配置文件的內(nèi)容特征匹配��; 步驟46�、若匹配,則通過(guò)該文本文件識(shí)別控制主機(jī)以及僵尸主機(jī)�。 上述步驟41 ~步驟46可由網(wǎng)關(guān)設(shè)備執(zhí)行。
上述步驟44中��,網(wǎng)關(guān)設(shè)備可對(duì)監(jiān)控流量中的下載文件進(jìn)行檢測(cè)�����,并通過(guò) 步驟42與僵尸配置文件進(jìn)行匹配���。
上述步驟45中�,網(wǎng)關(guān)i殳備可通過(guò)^r測(cè)到的文件的內(nèi)容與僵尸配置文件的 內(nèi)容特征匹配�����,如果匹配成功,則說(shuō)明檢測(cè)到的文件即僵尸配置文件�����。通過(guò)僵尸配置文件便可得到控制主機(jī)的IP地址等信息����。
對(duì)于僵尸網(wǎng)絡(luò),黑客們往往需要隱藏自己的命令和控制(command and control, C&C)服務(wù)器也即控制主機(jī)���。而每次被控制的僵尸主機(jī)上線時(shí)可能 都會(huì)更換自己的IP,且這些C&C服務(wù)器也可能會(huì)更換自己的IP���,為了保證 每次僵尸主機(jī)上線都能找到正確的服務(wù)器IP,黑客們往往把這些控制者的域 名���、端口或IP、端口信息寫成文件��,上傳到一個(gè)固定的提供正常因特網(wǎng) (INTERNET)服務(wù)(例如WEB�、 FTP等)的某一個(gè)對(duì)外服務(wù)資源中。這樣 黑客就把當(dāng)前的C&C信息寫成文件��,即僵尸配置文件。僵尸配置文件存在一 些特征��,例如內(nèi)斜艮少����,最多幾十字節(jié), 一般是明文�����,包含IP: port,域名 port模式�����。
僵尸配置文件的內(nèi)容特征如下
(任意字符串����,不超過(guò)10字節(jié)}IP地址或域名端口號(hào){任
意字符串,不超過(guò)10字節(jié)};
并且�,行數(shù)不超過(guò)5行。其中�,{}表示可以沒(méi)有,主要是黑客用來(lái)干擾 檢測(cè)而加的干擾字符�����。
僵尸配置文件被實(shí)際控制者上傳到某個(gè)公開(kāi)服務(wù)器后,讓僵尸主機(jī)每次 上線獲得該文件后��,進(jìn)行解析���,然后連接正確的一級(jí)控制服務(wù)器��。因而�,通 過(guò)檢測(cè)流量中這種文件以及以這種文件為下載對(duì)象的下載行為��,能夠從中識(shí) 別控制者的IP或域名信息即C&C服務(wù)器����,獲得僵尸主機(jī)信息,從而識(shí)別出 整個(gè)僵尸網(wǎng)絡(luò)�����。
上述步驟46中�,由于僵尸配置文件中給出了控制主機(jī)的IP信息,因此 網(wǎng)關(guān)設(shè)備可通過(guò)解析與僵尸配置文件的內(nèi)容特征匹配的下載文件的內(nèi)容��,得 到所述控制主機(jī)的IP地址及端口����,從而識(shí)別出控制主機(jī)。網(wǎng)關(guān)設(shè)備還可通過(guò) 監(jiān)控以所述與僵尸配置文件的內(nèi)容特征匹配的下載文件為下載對(duì)象的下載請(qǐng) 求����,即通過(guò)監(jiān)控針對(duì)僵尸配置文件的下載行為,獲得僵尸主機(jī)IP地址��,識(shí)別 出僵尸主機(jī)�,從而識(shí)別出整個(gè)僵尸網(wǎng)絡(luò)?�;蛘?��,網(wǎng)關(guān)設(shè)備可根據(jù)所述控制主機(jī)的IP地址及端口識(shí)別與所述控制主機(jī)連接的僵尸主機(jī)��,如將控制主機(jī)的IP 地址及端口等信息發(fā)送到監(jiān)控設(shè)備���,監(jiān)控設(shè)備對(duì)該IP地址的計(jì)算機(jī)進(jìn)行監(jiān)控, 找到與^目連的僵尸主機(jī)��,從而識(shí)別出整個(gè)僵尸網(wǎng)絡(luò)�����。
本實(shí)施例提供的技術(shù)方案通過(guò)檢測(cè)流量中的下載文件中的文本文件的內(nèi) 容,識(shí)別出控制主機(jī)�����,通過(guò)監(jiān)控針對(duì)僵尸配置文件的下載行為識(shí)別出僵尸主
機(jī)��,從而識(shí)別出了整個(gè)僵尸網(wǎng)絡(luò)���,實(shí)現(xiàn)了實(shí)時(shí)識(shí)別僵尸網(wǎng)絡(luò)��,能夠^r測(cè)出未 知的僵尸網(wǎng)絡(luò)或未來(lái)得及發(fā)起惡意攻擊的僵尸網(wǎng)絡(luò)�。
圖5為本發(fā)明實(shí)施例提供的另一種識(shí)別僵尸網(wǎng)絡(luò)的方法的流程圖�。該方 法包括
步驟51、獲取HTTP��、 FTP���、 TFTP等流量��。如可在城域網(wǎng)出口 ���、 IDC出 口、網(wǎng)關(guān)出口����、局域網(wǎng)等獲取下載文件流量。
步驟52���、下載命令語(yǔ)句流量過(guò)濾���。根據(jù)下載命令中的關(guān)鍵字識(shí)別下載文 件,主要指http\ftp\tftp下載的流量���。
步驟53��、下載文本文件流量過(guò)濾�����。從上述步驟52過(guò)濾得到的文件中下 載對(duì)象是.txt類的文件��。
步驟54���、僵尸配置文件內(nèi)容特征匹配。主要就是尋找類似(任意字符串�, 不超過(guò)10字節(jié)}IP地址或域名端口號(hào)(任意字符串,不超過(guò) 10字節(jié)}的語(yǔ)句����,從而鎖定要監(jiān)控的對(duì)象�����。并且與僵尸配置文件的內(nèi)容特征 匹配的文件即要獲取的僵尸配置文件����,從而便可獲取控制主才幾的IP地址與端 口 ���。
步驟5 5 ����、監(jiān)控以與僵尸配置文件的內(nèi)容特征匹配的文件為下載對(duì)象的下 載請(qǐng)求����;即通過(guò)根據(jù)下載對(duì)象是與僵尸配置文件的內(nèi)容特征匹配的文件的行 為來(lái)識(shí)別僵尸主^1。
步驟56���、根據(jù)監(jiān)控到的請(qǐng)求中的IP地址發(fā)現(xiàn)和識(shí)別僵尸主機(jī)���,從而識(shí)別 出整個(gè)僵尸網(wǎng)絡(luò)。
本實(shí)施例提供的技術(shù)方案通過(guò)檢測(cè)網(wǎng)絡(luò)流量以及將流量中的下載文件與僵尸配置文件進(jìn)行內(nèi)容特征匹配���,識(shí)別出了僵尸配置文件���,通過(guò)僵尸配置文 件的內(nèi)容識(shí)別出了控制主機(jī)���,并通過(guò)對(duì)以僵尸配置文件為下載對(duì)象的下載行 為進(jìn)行監(jiān)控��,識(shí)別出僵尸主機(jī)�,從而識(shí)別出了整個(gè)僵尸網(wǎng)絡(luò),從而不論該僵 尸網(wǎng)絡(luò)是否發(fā)起過(guò)攻擊��,都能被識(shí)別出�����,實(shí)現(xiàn)了對(duì)僵尸網(wǎng)絡(luò)的實(shí)時(shí)監(jiān)控��。
圖6為本發(fā)明實(shí)施例提供的一種網(wǎng)關(guān)設(shè)備的結(jié)構(gòu)示意圖���。該網(wǎng)關(guān)設(shè)備可 包括獲取模塊61����、下載文件過(guò)濾模塊62���、文本文件過(guò)濾模塊63�、檢測(cè)模 塊64、判斷模塊65及識(shí)別模塊66�����。該獲取模塊61用于獲取HTTP����、 FTP、 TFTP等網(wǎng)絡(luò)流量��,以實(shí)時(shí)篩查是否存在僵尸配置文件�。下載文件過(guò)濾模塊 62用于從獲取的流量中過(guò)濾出下載文件,如通過(guò)流量中的命令語(yǔ)句的關(guān)鍵詞 "get"等識(shí)別并過(guò)濾出下載文件��。文本文件過(guò)濾模塊63用于從所述下載文 件中過(guò)濾出文本文件����。由于僵尸配置文件均為.txt文件,因此vMv所述下載文件 中過(guò)濾出文本文件��,以便于識(shí)別僵尸配置文件��。檢測(cè)模塊64用于檢測(cè)所述文 本文件過(guò)濾模塊63過(guò)濾出的文本文件的內(nèi)容,以通過(guò)內(nèi)容特征識(shí)別檢測(cè)的文 件是否為僵尸配置文件����。判斷模塊65用于判斷檢測(cè)模塊64檢測(cè)到的內(nèi)容是 否與僵尸配置文件的內(nèi)容特征匹配,如果匹配�����,則說(shuō)明檢測(cè)模塊64檢測(cè)到的 文件為僵尸配置文件�����;如果不匹配則說(shuō)明檢測(cè)模塊64檢測(cè)到的文件非僵尸配 置文件�����。僵尸配置文件的內(nèi)容特征具體詳見(jiàn)上述步驟45中的說(shuō)明���。識(shí)別模塊 66用于若判斷模塊65匹配成功,則通過(guò)該文本文件識(shí)別控制主機(jī)以及僵尸 主機(jī)���,具體詳見(jiàn)上述步驟46的說(shuō)明��。
本實(shí)施例中�,網(wǎng)關(guān)設(shè)備通過(guò)^r測(cè)流量中的下載文件中的文本文件的內(nèi)容��, 識(shí)別出控制主機(jī),通過(guò)監(jiān)控針對(duì)僵尸配置文件的下載行為識(shí)別出僵尸主機(jī)���, 從而識(shí)別出了整個(gè)僵尸網(wǎng)絡(luò)�����,實(shí)現(xiàn)了實(shí)時(shí)識(shí)別僵尸網(wǎng)絡(luò)�����,能夠檢測(cè)出未知的 僵尸網(wǎng)絡(luò)或未來(lái)得及發(fā)起惡意攻擊的僵尸網(wǎng)絡(luò)��。
如圖7所示�����,識(shí)別模塊66可包括控制主機(jī)識(shí)別子模塊71及第一僵尸 主機(jī)識(shí)別子模塊72�����?����?刂浦鳈C(jī)識(shí)別子模塊71可用于通過(guò)解析與僵尸配置文 件的內(nèi)容特征匹配的下載文件的內(nèi)容����,得到所述控制主^^的IP地址及端口。第一僵尸主機(jī)識(shí)別子^t塊72可用于通過(guò)監(jiān)控以所述與僵尸配置文件的內(nèi)容 特征匹配的下載文件為下載對(duì)象的下載請(qǐng)求�,獲得僵尸主機(jī)IP地址。
或者����,如圖8所示,識(shí)別模塊66還可以包括控制主機(jī)識(shí)別子模塊71 及第二僵尸主機(jī)識(shí)別子模塊73����,控制主機(jī)識(shí)別子模塊71可用于通過(guò)解析與 僵尸配置文件的內(nèi)容特征匹配的下載文件的內(nèi)容,得到所述控制主機(jī)的IP地 址及端口 ���;第二僵尸主機(jī)識(shí)別子模塊73可用于根據(jù)所述控制主機(jī)的IP地址 及端口識(shí)別與所述控制主機(jī)連接的僵尸主機(jī)。
上述實(shí)施例提供的技術(shù)方案通過(guò)對(duì)網(wǎng)絡(luò)流量中的下載文件中的文本文件 進(jìn)行內(nèi)容特征匹配識(shí)別出僵尸配置文件�,識(shí)別出控制主機(jī),并通過(guò)監(jiān)控控制 主機(jī)或監(jiān)控以僵尸配置文件為下載對(duì)象的下載行為識(shí)別出僵尸主機(jī)�,檢測(cè)出 了整個(gè)僵尸網(wǎng)絡(luò),并可4金測(cè)出大量未知僵尸網(wǎng)絡(luò)�。
本領(lǐng)域普通技術(shù)人員可以理解實(shí)現(xiàn)上述方法實(shí)施例的全部或部分步驟 可以通過(guò)程序指令相關(guān)的硬件來(lái)完成,前述的程序可以存儲(chǔ)于一計(jì)算機(jī)可讀 取存儲(chǔ)介質(zhì)中�,該程序在執(zhí)行時(shí),執(zhí)行包括上述方法實(shí)施例的步驟;而前述 的存儲(chǔ)介質(zhì)包括ROM�、 RAM、磁碟或者光盤等各種可以存儲(chǔ)程序代碼的介 質(zhì)����。
最后應(yīng)說(shuō)明的是以上實(shí)施例僅用以說(shuō)明本發(fā)明的技術(shù)方案,而非對(duì)其 限制����;盡管參照前述實(shí)施例對(duì)本發(fā)明進(jìn)行了詳細(xì)的說(shuō)明,本領(lǐng)域的普通技術(shù) 人員應(yīng)當(dāng)理解其依然可以對(duì)前述各實(shí)施例所記載的技術(shù)方案進(jìn)行修改��,或 者對(duì)其中部分技術(shù)特征進(jìn)行等同替換�����;而這些修改或者替換��,并不使相應(yīng)技 術(shù)方案的本質(zhì)脫離本發(fā)明各實(shí)施例技術(shù)方案的精神和范圍����。
權(quán)利要求
1、一種識(shí)別僵尸網(wǎng)絡(luò)的方法�,其特征在于,包括獲取網(wǎng)絡(luò)流量����;從獲取的網(wǎng)絡(luò)流量中過(guò)濾出下載文件����;從所述下載文件中過(guò)濾出文本文件�����;檢測(cè)所述文本文件的內(nèi)容����;判斷所述內(nèi)容是否與僵尸配置文件的內(nèi)容特征匹配;若匹配���,則通過(guò)所述文本文件識(shí)別控制主機(jī)以及僵尸主機(jī)��。
2���、 根據(jù)權(quán)利要求1所述的識(shí)別僵尸網(wǎng)絡(luò)的方法����,其特征在于,通過(guò)所述文本文件識(shí)別控制主機(jī)以及僵尸主機(jī)包括通過(guò)解析與僵尸配置文件的內(nèi)容特征匹配的文本文件的內(nèi)容��,得到所述控制主機(jī)的IP地址及端口 ;通過(guò)監(jiān)控以所述與僵尸配置文件的內(nèi)容特征匹配的文本文件為下載對(duì)象的下載請(qǐng)求��,獲得僵尸主機(jī)IP地址���。
3�、 根據(jù)權(quán)利要求1所述的識(shí)別僵尸網(wǎng)絡(luò)的方法����,其特征在于,通過(guò)所述文本文件識(shí)別控制主機(jī)以及僵尸主機(jī)包括通過(guò)解析與僵尸配置文件的內(nèi)容特征匹配的文本文件的內(nèi)容��,得到所述控制主4幾的IP地址及端口 �;根據(jù)所述控制主機(jī)的IP地址及端口識(shí)別與所述控制主機(jī)連接的僵尸主機(jī)。
4�����、 一種網(wǎng)關(guān)設(shè)備����,其特征在于,包括獲取模塊�����,用于獲取網(wǎng)絡(luò)流量;下載文件過(guò)濾模塊����,用于從獲取的網(wǎng)絡(luò)流量中過(guò)濾出下載文件;文本文件過(guò)濾^t塊���,用于^^人所述下載文件中過(guò)濾出文本文件��;檢測(cè)模塊��,用于檢測(cè)所述文本文件的內(nèi)容����;判斷模塊���,用于判斷所述內(nèi)容是否與僵尸配置文件的內(nèi)容特征匹配���;識(shí)別模塊,用于若判斷模塊匹配成功��,則通過(guò)所述文本文件識(shí)別控制主才幾以及^f畺尸主才幾��。
5����、 根據(jù)權(quán)利要求4所述的網(wǎng)關(guān)設(shè)備,其特征在于�����,所述識(shí)別模塊包括控制主機(jī)識(shí)別子模塊��,用于通過(guò)解析與僵尸配置文件的內(nèi)容特征匹配的文本文件的內(nèi)容���,得到所述控制主機(jī)的IP地址及端口 �;第一僵尸主機(jī)識(shí)別子模塊����,用于通過(guò)監(jiān)控以所述與僵尸配置文件的內(nèi)容特征匹配的文本文件為下載對(duì)象的下載請(qǐng)求,獲得僵尸主機(jī)IP地址��。
6����、 根據(jù)權(quán)利要求4所述的網(wǎng)關(guān)設(shè)備,其特征在于�,所述識(shí)別模塊包括控制主機(jī)識(shí)別子模塊,用于通過(guò)解析與僵尸配置文件的內(nèi)容特征匹配的文本文件的內(nèi)容���,得到所述控制主機(jī)的IP地址及端口 ���;第二僵尸主機(jī)識(shí)別子模塊����,用于根據(jù)所述控制主機(jī)的IP地址及端口識(shí)別與所述控制主機(jī)連接的僵尸主機(jī)�����。
全文摘要
本發(fā)明實(shí)施例涉及一種識(shí)別僵尸網(wǎng)絡(luò)的方法及網(wǎng)關(guān)設(shè)備����,方法包括獲取網(wǎng)絡(luò)流量;從獲取的網(wǎng)絡(luò)流量中過(guò)濾出下載文件�����;從所述下載文件中過(guò)濾出文本文件�����;檢測(cè)所述文本文件的內(nèi)容�����;判斷所述內(nèi)容是否與僵尸配置文件的內(nèi)容特征匹配;若匹配�,則通過(guò)所述文本文件識(shí)別控制主機(jī)以及僵尸主機(jī)�����。通過(guò)檢測(cè)流量中的下載文件的內(nèi)容�����,識(shí)別出控制主機(jī)�,通過(guò)監(jiān)控針對(duì)僵尸配置文件的下載行為識(shí)別出僵尸主機(jī),從而識(shí)別出了整個(gè)僵尸網(wǎng)絡(luò)���,實(shí)現(xiàn)了實(shí)時(shí)識(shí)別僵尸網(wǎng)絡(luò)�����,能夠檢測(cè)出未知的僵尸網(wǎng)絡(luò)或未來(lái)得及發(fā)起惡意攻擊的僵尸網(wǎng)絡(luò)���。
文檔編號(hào)H04L12/26GK101651579SQ20091009268
公開(kāi)日2010年2月17日 申請(qǐng)日期2009年9月15日 優(yōu)先權(quán)日2009年9月15日
發(fā)明者武 蔣 申請(qǐng)人:成都市華為賽門鐵克科技有限公司