Nothing Special   »   [go: up one dir, main page]

CN105827630B - 僵尸网络属性识别方法、防御方法及装置 - Google Patents

僵尸网络属性识别方法、防御方法及装置 Download PDF

Info

Publication number
CN105827630B
CN105827630B CN201610286109.5A CN201610286109A CN105827630B CN 105827630 B CN105827630 B CN 105827630B CN 201610286109 A CN201610286109 A CN 201610286109A CN 105827630 B CN105827630 B CN 105827630B
Authority
CN
China
Prior art keywords
botnet
attribute
communication
data traffic
bot program
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201610286109.5A
Other languages
English (en)
Other versions
CN105827630A (zh
Inventor
孙波
司成祥
李应博
鲁骁
杜雄杰
房婧
刘成
李轶夫
姚珊
张伟
姜栋
张建松
盖伟麟
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
National Computer Network and Information Security Management Center
Original Assignee
National Computer Network and Information Security Management Center
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by National Computer Network and Information Security Management Center filed Critical National Computer Network and Information Security Management Center
Priority to CN201610286109.5A priority Critical patent/CN105827630B/zh
Publication of CN105827630A publication Critical patent/CN105827630A/zh
Application granted granted Critical
Publication of CN105827630B publication Critical patent/CN105827630B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/144Detection or countermeasures against botnets

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明目的在于提供一种僵尸网络属性识别方法、防御方法及装置,用以识别出僵尸网络的属性或实现远程清除僵尸网络中的僵尸程序。所述识别方法包括:识别网络流量中的僵尸网络通信数据流量和正常网络通信数据流量;从识别的僵尸网络通信数据流量中提取基础通信属性,从提取的基础通信属性中识别出僵尸网络结构和僵尸网络命令属性;所述僵尸网络结构包括主控端和若干被控端;从正常网络通信流量中识别出僵尸网络结构中各节点环境属性;根据识别的僵尸网络属性,远程利用僵尸网络自身命令完成僵尸程序清除。

Description

僵尸网络属性识别方法、防御方法及装置
技术领域
本发明涉及网络技术领域,特别是涉及一种僵尸网络属性识别方法、防御方法及装置。
背景技术
僵尸网络(Botnet)是指采用一种或多种传播手段,使大量主机感染僵尸程序(bot程序),从而在控制者和被感染主机(僵尸或肉鸡)之间所形成的一对多控制的网络。作为一种由传统恶意软件技术发展而来的攻击技术,僵尸网络以远程控制木马为基础,被黑客用来发起大规模网络攻击,如分布式拒绝服务攻击(Distributed Denial of Service,DDOS)、海量垃圾邮件等,造成网络瘫痪或资源滥用;同时可对被感染主机上的各类信息进行窃取,如各类机密信息、个人隐私、银行卡账号等,对个人和国家安全造成极大的危害。
僵尸网络的属性主要包括构成网络的一个主节点—主控端(IP、通信端口、操作系统、浏览器等)、多个僵尸主机节点—被控端(IP、通信端口、操作系统、浏览器等)、僵尸类型、常用命令等方面的内容。
对于僵尸网络的研究包括防御或抑制、迁移、传播、检测、分析、监视、可视化等各个方面,而僵尸网络的属性识别为僵尸网络的监视、防御与反制提供了有效前提。
发明内容
本发明目的在于提供一种僵尸网络属性识别方法、防御方法及装置,用以识别出僵尸网络的属性或实现远程清除僵尸网络中的僵尸程序。
本发明目的主要是通过以下技术方案实现的:
根据本发明的一个方面,本发明提供一种僵尸网络属性识别方法,包括:
识别网络流量中的僵尸网络通信数据流量和正常网络通信数据流量;
从识别的僵尸网络通信数据流量中提取基础通信属性,从提取的基础通信属性中识别出僵尸网络结构和僵尸网络命令属性;所述僵尸网络结构包括主控端和若干被控端;
从正常网络通信流量中识别出僵尸网络结构中各节点环境属性。
进一步,识别网络流量中的僵尸网络通信数据流量和正常网络通信数据流量的步骤,具体包括:
基于预先提取的僵尸网络通信特征指纹识别网络流量中的僵尸网络通信数据流量和正常网络通信数据流量。
进一步,所述基础通信属性包括IP地址、端口信息、协议信息、通信时间和包内容;
从提取的基础通信属性中识别出僵尸网络结构和僵尸网络命令属性的步骤,具体包括:
从包内容识别出僵尸网络命令属性;
基于一对多的网络结构特征和僵尸网络命令属性中发送命令主体,从IP地址和端口信息识别出僵尸网络结构。
进一步,从正常网络通信流量中识别出僵尸网络结构中各节点环境属性的步骤,具体包括:
从协议头中识别出所述僵尸网络结构各节点的操作系统和浏览器;和/或采用协议识别方式识别出所述僵尸网络结构各节点的软件环境。
根据本发明的另一个方面,本发明还提供一种僵尸网络防御方法,包括:
采用本发明所述的识别方法识别出僵尸网络结构、僵尸网络命令属性和各节点环境属性;
以中间人方式劫持僵尸网络结构中的通信会话,基于僵尸网络命令属性远程清除僵尸网络结构中的僵尸程序。
进一步,以中间人方式劫持僵尸网络结构中的恶意会话的步骤,具体包括:
将被控端连接主控端的通信以中间人方式完成通信会话的劫持,由防御主机完成与被控端的通信响应。
进一步,基于僵尸网络命令属性清除僵尸网络结构中僵尸程序的步骤,具体包括:
从僵尸网络命令属性中筛选出可清除僵尸程序的僵尸网络命令或可使僵尸程序失效的僵尸网络命令,以仿冒或重放的方式,给被控端发送命令,以使被控端清除僵尸程序或使僵尸程序失效。
根据本发明的另一个方面,本发明还提供一种僵尸网络属性识别装置,包括:
网络流量分类模块,用于识别网络流量中的僵尸网络通信数据流量和正常网络通信数据流量;
僵尸网络属性识别模块,用于从识别的僵尸网络通信数据流量中提取基础通信属性,从提取的基础通信属性中识别出僵尸网络结构和僵尸网络命令属性;所述僵尸网络结构包括主控端和若干被控端;以及
从正常网络通信流量中识别出僵尸网络结构中各节点环境属性。
根据本发明的再一个方面,本发明还提供一种僵尸网络防御装置,包括:
网络流量分类模块,用于识别网络流量中的僵尸网络通信数据流量和正常网络通信数据流量;
僵尸网络属性识别模块,用于从识别的僵尸网络通信数据流量中提取基础通信属性,从提取的基础通信属性中识别出僵尸网络结构和僵尸网络命令属性;所述僵尸网络结构包括主控端和若干被控端;以及从正常网络通信流量中识别出僵尸网络结构中各节点环境属性;
僵尸网络通信转发模块,用于以中间人方式劫持僵尸网络结构中的通信会话;
命令下发模块,用于基于僵尸网络命令属性远程清除僵尸网络结构中僵尸程序。
进一步,所述防御装置还包括:
命令筛选与配置模块,用于从僵尸网络命令属性中筛选出可清除僵尸程序的僵尸网络命令或可使僵尸程序失效的僵尸网络命令。
本发明有益效果如下:
本发明提供的识别方法可以有效识别出僵尸网络的属性。本发明提供的防御方法,在通信属性及全部网络流量中获取更全面的僵尸网络属性,并通过僵尸网络自身功能,结合中间人方式,实现了僵尸网络的远程、大规模的快速清除,解决了一般网络防御手段中僵尸主机更换网络环境后仍受危害的问题,提高僵尸网络的防御效果。
附图说明
图1是本发明实施例中一种僵尸网络防御方法的流程图;
图2是本发明实施例中一种僵尸网络防御装置的结构示意图。
具体实施方式
为了识别出僵尸网络的属性或实现清除僵尸网络中的僵尸程序,本发明提供了一种僵尸网络属性识别方法、防御方法及装置,以下结合附图以及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本发明,并不限定本发明。
实施例一
本发明实施例提供一种僵尸网络属性识别方法,包括:
识别网络流量中的僵尸网络通信数据流量和正常网络通信数据流量;
从识别的僵尸网络通信数据流量中提取基础通信属性,从提取的基础通信属性中识别出僵尸网络结构和僵尸网络命令属性;所述僵尸网络结构包括主控端和若干被控端;
从正常网络通信流量中识别出僵尸网络结构中各节点环境属性。
本发明实施例可以有效识别出僵尸网络属性,以下结合附图详细说明本发明实施例。
如图1所示,本发明实施例方法包括:
步骤101,获取网络流量;
主动获取网络中全流量,尤其是TCP、HTTP、FTP、TFTP等数据包,以实时筛选网络流量中是否存在僵尸网络通信。仅应用于属性识别时可以是串行网关设备,也可以是网络出口处并行的镜像设备,也可以是多处主机设备或交换或路由设备等,应用于防御时需是位于主机出口或网络出口的串行设备。本实施例以串行方式为例。
步骤102,僵尸网络流量检测与判断;
本发明实施例中,基于预先提取的僵尸网络通信特征指纹识别网络流量中的僵尸网络通信数据流量和正常网络通信数据流量。其中,僵尸网络通信特征指纹可以使用逆向工具及抓包/嗅探工具等恶意代码分析手段对通过对蜜罐/蜜网等获取到的僵尸程序样本进行网络通信数据包分析,提取僵尸网络通信行为及数据包指纹特征;也可通过自动化分析工具,获取僵尸网络数据包指纹特征;获取到的指纹特征以覆盖该类型僵尸网络绝大部分通信数据包为有效;为提高覆盖面,同一类型的僵尸网络提取的通信特征指纹越多越有效。
僵尸网络通信特征指纹可以是正常协议数据中的特殊约定字符(如数据部分特定位置的特定字符)、特殊的通信协议(如僵尸网络的自定义协议)、特殊的通信数据包头(如协议数据包头部特定字段的特定值)、异常的通信协议行为(如僵尸网络节点间的定时心跳)等内容,但不仅限于这些内容。
对于正常协议数据中的特殊约定字符,可视情况采用二进制或文本过滤方式识别;对于特殊的通信协议和特殊的通信数据包头可依据特殊协议特征或获取包头字段值判断;对于异常的通信行为,从通信上下文进行判断。如果通信数据流量是僵尸网络流量,则根据特征判断出僵尸网络类型,进入步骤103;如果通信数据流量是正常网络流量,则进入步骤104。
步骤103,从通信流量中提取基础通信属性;
网络流量的分析与特征提取通常从Bit-level、Packet-level、Flow-level、Stream-level等层面展开。依据僵尸网络的特性,对于僵尸网络通信流量的分析与属性提取从Flow-level层面更合适。因此本发明实施例中通信属性是以Flow定义为主,即源IP地址和端口、目的IP地址和端口以及应用协议组成的五元组(源IP地址、源端口、目的IP地址、目的端口、应用协议),同时补充通信时间、包号、数据载体等内容。
步骤104,判断正常网络流量是否是来自僵尸网络节点的正常网络访问;
依据步骤103或步骤105识别出的僵尸网络节点信息,主要是源IP、目的IP,或主控端IP、被控端IP,检测正常网络流量中来自僵尸网络节点的正常网络访问,该实施例重点关注HTTP协议数据包。如果是来自僵尸网络节点的正常网络访问流量,进入步骤106。
步骤105,基于提取出的通信属性与数据载体识别出僵尸网络的结构和命令属性;也就是说,从包内容识别出僵尸网络命令属性;基于一对多的网络结构特征和僵尸网络命令属性中发送命令主体,从IP地址和端口信息识别出僵尸网络结构。
具体说,僵尸网络的结构主要是识别出通信双方主控端与被控端的身份。一个僵尸网络的主控端也可以是另一个僵尸网络的被控端。因此在分析时,需提取一段时间内的僵尸网络流量,依据步骤103提取出的属性、数据载体以及步骤102中特征对僵尸网络结构和可用命令进行判断。主要通过发送命令主体、通信关系(一对多)、端口信息等条件进行判断。
步骤106,基于僵尸网络节点的正常网络访问流量,提取节点环境属性。也就是说,从协议头中识别出所述僵尸网络结构各节点的操作系统和浏览器;和/或采用协议识别方式识别出所述僵尸网络结构各节点的软件环境。
具体说,本发明实施例中重点关注节点的操作系统环境和浏览器环境;从HTTP协议头中识别出僵尸网络节点的操作系统和浏览器。进一步的,如果需要识别出更多的节点属性,如关注节点上的软件环境,可应用协议识别技术如DPI等,本发明并不限定。
实施例二
本发明实施例提供一种僵尸网络防御方法,包括:
识别步骤:采用实施例一中所述的识别方法僵尸网络结构、僵尸网络命令属性和各节点环境属性;
防御步骤:以中间人方式劫持僵尸网络结构中的通信会话,基于僵尸网络命令属性清除僵尸网络结构中僵尸程序。
本发明实施例在通信属性及全部网络流量中获取更全面的僵尸网络属性,并通过僵尸网络自身功能,结合中间人方式,实现了僵尸网络的远程、大规模的快速清除,解决了一般网络防御手段中僵尸主机更换网络环境后仍受危害的问题,提高僵尸网络的防御效果。
以下详细说明本发明实施例。
本发明实施例中的识别步骤对应于实施例一的步骤101-106,因此本发明实施例不再赘述。
本发明防御步骤具体包括:
步骤107,以中间人方式劫持僵尸网络通信;也就是说,将被控端连接主控端的通信以中间人方式完成通信会话的劫持,由防御主机完成与被控端的通信响应。
具体说,依据识别出的僵尸网络属性,在主机或网络出口处,以中间人方式,将所发现的被控端连接主控端的通信以中间人方式完成恶意会话的劫持,由防御主机完成与被控端的通信响应。本实施例中使用僵尸网络的主控端IP、主控端端口信息,获取与主控端通信的数据包,修改数据包目的地址和端口信息,将流量转向防御主机,由防御主机与被控端建立连接。
步骤108,对发现的被控端下发失效/清除命令;也就是说,从僵尸网络命令属性中筛选出可清除僵尸程序的僵尸网络命令或可使僵尸程序失效的僵尸网络命令,以仿冒或重放的方式,给被控端发送命令,以使被控端清除僵尸程序或使僵尸程序失效。
具体说,从步骤105识别出的僵尸网络命令属性中,筛选出可用的命令格式或命令数据包,在防御主机与被控端建立连接后,以仿冒或重放的方式,给被控端发送命令,如卸载、禁用、更新、修改控制端地址、下载执行清除工具等,控制端执行后即可完成僵尸工具的防御,保护被控节点在非防护环境中仍不受威胁。该方法适用于高效、大规模的僵尸网络清理。
其中,在更新及下载执行命令中,需根据步骤106识别出的僵尸网络节点的环境属性(如操作系统、浏览器等信息),准备或制作适用于各类环境的更新包及清除工具,以确保命令的正确执行。
本发明实施例对僵尸网络属性了解的清晰丰富,可以对僵尸网络进行有效的防御越。具体说,在步骤102中提取出了僵尸网络的类型属性,在步骤103中提取出了僵尸网络的节点信息,在步骤105中提取出了僵尸网络的结构属性,在步骤106中提取出了僵尸网络的环境属性,同时在此基础上丰富僵尸网络属性,在步骤107和步骤108中结合中间人方式及僵尸网络自身功能,便捷的实现了僵尸网络的远程清除。
实施例三
如图2所示,本发明实施例提供一种僵尸网络属性识别装置,为实施例一对应的装置实施例,包括:
网络流量分类模块,用于获取网络全流量,识别网络流量中的僵尸网络通信数据流量和正常网络通信数据流量;
僵尸网络属性识别模块,用于根据僵尸网络流量识别僵尸网络类型、结构、命令,根据正常网络流量识别节点环境;
具体说,用于从识别的僵尸网络通信数据流量中提取基础通信属性,从提取的基础通信属性中识别出僵尸网络结构和僵尸网络命令属性;所述僵尸网络结构包括主控端和若干被控端;以及从正常网络通信流量中识别出僵尸网络结构中各节点环境属性。
僵尸网络属性库,主要用于存储已识别的僵尸网络及其属性;
其中,网络流量分类模块具体用于基于僵尸网络属性库预先存储的僵尸网络通信特征指纹识别网络流量中的僵尸网络通信数据流量和正常网络通信数据流量。
僵尸网络属性识别模块从协议头中识别出所述僵尸网络结构各节点的操作系统和浏览器;和/或采用协议识别方式识别出所述僵尸网络结构各节点的软件环境。
实施例四
如图2所示,本发明实施例提供一种僵尸网络防御装置,为实施例二对应的装置实施例,包括:
网络流量分类模块,用于获取网络全流量,识别网络流量中的僵尸网络通信数据流量和正常网络通信数据流量;
僵尸网络属性识别模块,用于根据僵尸网络流量识别僵尸网络类型、结构、命令,根据正常网络流量识别节点环境;
具体说,用于从识别的僵尸网络通信数据流量中提取基础通信属性,从提取的基础通信属性中识别出僵尸网络结构和僵尸网络命令属性;所述僵尸网络结构包括主控端和若干被控端;以及从正常网络通信流量中识别出僵尸网络结构中各节点环境属性。
僵尸网络属性库,主要用于存储已识别的僵尸网络及其属性;
僵尸网络通信转发模块,用于根据识别到的僵尸网络类型、主控端IP、端口等信息,修改被控端与主控端连接的数据包目的地址与目的端口,完成僵尸网络通信的通信;也就是说,用于以中间人方式劫持僵尸网络结构中的通信会话;具体用于将被控端连接主控端的通信以中间人方式完成通信会话的劫持,由防御主机完成与被控端的通信响应。
命令筛选与配置模块,用于从僵尸网络命令属性中筛选出可清除僵尸程序的僵尸网络命令或可使僵尸程序失效的僵尸网络命令;具体说用于根据被控端节点环境、僵尸网络类型,选择可用的命令,复制原命令参数或配置新命令参数;
可用命令库:主要用于存储已识别僵尸网络类型的可用命令;
命令下发模块,用于基于僵尸网络命令属性清除僵尸网络结构中僵尸程序。具体用于以仿冒或重放的方式,给被控端发送命令,以使被控端清除僵尸程序或使僵尸程序失效。也就是说,用于将配置好的命令发送给被控端,使用僵尸工具自身功能实现僵尸网络的防御。
其中,网络流量分类模块具体用于基于僵尸网络属性库预先存储的僵尸网络通信特征指纹识别网络流量中的僵尸网络通信数据流量和正常网络通信数据流量。
僵尸网络属性识别模块从协议头中识别出所述僵尸网络结构各节点的操作系统和浏览器;和/或采用协议识别方式识别出所述僵尸网络结构各节点的软件环境。
实施例三和实施例四在具体实现时可以参阅实施例一和实施例二,具有实施例一和实施例二的技术效果,在此不再赘述。
尽管为示例目的,以上已经公开了本发明的优选实施例,但本领域的技术人员将意识到各种改进、增加和取代也是可能的,因此,本发明的范围应当不限于上述实施例。

Claims (6)

1.一种僵尸网络属性识别方法,其特征在于,包括:
识别网络流量中的僵尸网络通信数据流量和正常网络通信数据流量;
从识别的僵尸网络通信数据流量中提取基础通信属性,从提取的基础通信属性中识别出僵尸网络结构和僵尸网络命令属性;所述僵尸网络结构包括主控端和若干被控端;
从正常网络通信数据流量中识别出僵尸网络结构中各节点环境属性;
其中,所述基础通信属性包括IP地址、端口信息、协议信息、通信时间和包内容;
从提取的基础通信属性中识别出僵尸网络结构和僵尸网络命令属性的步骤,具体包括:
从包内容识别出僵尸网络命令属性;
基于一对多的网络结构特征和僵尸网络命令属性中发送命令主体,从IP地址和端口信息识别出僵尸网络结构。
2.如权利要求1所述的方法,其特征在于,识别网络流量中的僵尸网络通信数据流量和正常网络通信数据流量的步骤,具体包括:
基于预先提取的僵尸网络通信特征指纹识别网络流量中的僵尸网络通信数据流量和正常网络通信数据流量。
3.如权利要求1所 述的方法,其特征在于,从正常网络通信数据流量中识别出僵尸网络结构中各节点环境属性的步骤,具体包括:
从协议头中识别出所述僵尸网络结构各节点的操作系统和浏览器;和/或采用协议识别方式识别出所述僵尸网络结构各节点的软件环境。
4.一种僵尸网络防御方法,其特征在于,包括:
采用如权利要求1-3任意一项所述的识别方法识别出僵尸网络结构、僵尸网络命令属性和各节点环境属性;
以中间人方式劫持僵尸网络结构中的通信会话,基于僵尸网络命令属性远程清除僵尸网络结构中的僵尸程序;
以中间人方式劫持僵尸网络结构中的通信会话的步骤,具体包括:
将被控端连接主控端的通信以中间人方式完成通信会话的劫持,由防御主机完成与被控端的通信响应;
基于僵尸网络命令属性清除僵尸网络结构中僵尸程序的步骤,具体包括:
从僵尸网络命令属性中筛选出可清除僵尸程序的僵尸网络命令或可使僵尸程序失效的僵尸网络命令,以仿冒或重放的方式,给被控端发送命令,以使被控端清除僵尸程序或使僵尸程序失效。
5.一种僵尸网络属性识别装置,其特征在于,包括:
网络流量分类模块,用于识别网络流量中的僵尸网络通信数据流量和正常网络通信数据流量;
僵尸网络属性识别模块,用于从识别的僵尸网络通信数据流量中提取基础通信属性,从提取的基础通信属性中识别出僵尸网络结构和僵尸网络命令属性;所述僵尸网络结构包括主控端和若干被控端;以及
从正常网络通信数据流量中识别出僵尸网络结构中各节点环境属性;
所述僵尸网络属性识别模块还用于,从包内容识别出僵尸网络命令属性;基于一对多的网络结构特征和僵尸网络命令属性中发送命令主体,从IP地址和端口信息识别出僵尸网络结构;
其中,所述基础通信属性包括IP地址、端口信息、协议信息、通信时间和包内容。
6.一种僵尸网络防御装置,其特征在于,包括:
网络流量分类模块,用于识别网络流量中的僵尸网络通信数据流量和正常网络通信数据流量;
僵尸网络属性识别模块,用于从识别的僵尸网络通信数据流量中提取基础通信属性,从提取的基础通信属性中识别出僵尸网络结构和僵尸网络命令属性;所述僵尸网络结构包括主控端和若干被控端;以及从正常网络通信数据流量中识别出僵尸网络结构中各节点环境属性;
僵尸网络通信转发模块,用于以中间人方式劫持僵尸网络结构中的通信会话;
命令下发模块,用于基于僵尸网络命令属性远程清除僵尸网络结构中僵尸程序;
所述防御装置还包括:
命令筛选与配置模块,用于从僵尸网络命令属性中筛选出可清除僵尸程序的僵尸网络命令或可使僵尸程序失效的僵尸网络命令;
所述僵尸网络属性识别模块还用于,从僵尸网络命令属性中筛选出可清除僵尸程序的僵尸网络命令或可使僵尸程序失效的僵尸网络命令,以仿冒或重放的方式,给被控端发送命令,以使被控端清除僵尸程序或使僵尸程序失效。
CN201610286109.5A 2016-05-03 2016-05-03 僵尸网络属性识别方法、防御方法及装置 Active CN105827630B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610286109.5A CN105827630B (zh) 2016-05-03 2016-05-03 僵尸网络属性识别方法、防御方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610286109.5A CN105827630B (zh) 2016-05-03 2016-05-03 僵尸网络属性识别方法、防御方法及装置

Publications (2)

Publication Number Publication Date
CN105827630A CN105827630A (zh) 2016-08-03
CN105827630B true CN105827630B (zh) 2019-11-12

Family

ID=56527949

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610286109.5A Active CN105827630B (zh) 2016-05-03 2016-05-03 僵尸网络属性识别方法、防御方法及装置

Country Status (1)

Country Link
CN (1) CN105827630B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107864110B (zh) * 2016-09-22 2021-02-02 中国电信股份有限公司 僵尸网络主控端检测方法和装置
CN111327632B (zh) * 2020-03-06 2022-08-09 深信服科技股份有限公司 一种僵尸主机检测方法、系统、设备及存储介质

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101360019A (zh) * 2008-09-18 2009-02-04 华为技术有限公司 一种僵尸网络的检测方法、系统和设备
CN101404658A (zh) * 2008-10-31 2009-04-08 北京锐安科技有限公司 一种检测僵尸网络的方法及其系统
CN102014025A (zh) * 2010-12-06 2011-04-13 北京航空航天大学 基于网络流聚类检测p2p僵尸网络结构的方法
CN103997489A (zh) * 2014-05-09 2014-08-20 北京神州绿盟信息安全科技股份有限公司 一种识别DDoS僵尸网络通信协议的方法及装置

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101360019A (zh) * 2008-09-18 2009-02-04 华为技术有限公司 一种僵尸网络的检测方法、系统和设备
CN101404658A (zh) * 2008-10-31 2009-04-08 北京锐安科技有限公司 一种检测僵尸网络的方法及其系统
CN102014025A (zh) * 2010-12-06 2011-04-13 北京航空航天大学 基于网络流聚类检测p2p僵尸网络结构的方法
CN103997489A (zh) * 2014-05-09 2014-08-20 北京神州绿盟信息安全科技股份有限公司 一种识别DDoS僵尸网络通信协议的方法及装置

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
"基于数据流特征向量识别的P2P僵尸网络检测方法研究";汤伟;《中国优秀硕士学位论文全文数据库(信息科技辑)》;20150115;I139-9 *

Also Published As

Publication number Publication date
CN105827630A (zh) 2016-08-03

Similar Documents

Publication Publication Date Title
CN105141604B (zh) 一种基于可信业务流的网络安全威胁检测方法及系统
US8737398B2 (en) Communication module with network isolation and communication filter
CN106464577B (zh) 网络系统、控制装置、通信装置以及通信控制方法
CN112578761B (zh) 一种工业控制蜜罐安全防护装置及方法
CN103179105B (zh) 一种基于网络流量中行为特征的智能木马检测装置及其方法
CN106790193B (zh) 基于主机网络行为的异常检测方法和装置
CN110830457B (zh) 一种基于蜜罐诱导的攻击感知方法、装置、设备及介质
CN110933111B (zh) 一种基于DPI的DDoS攻击识别方法及装置
CN107979562A (zh) 一种基于云平台的混合型蜜罐动态部署系统
CN102035793B (zh) 僵尸网络检测方法、装置以及网络安全防护设备
CN105471907B (zh) 一种基于Openflow的虚拟防火墙传输控制方法及系统
CN102790778A (zh) 一种基于网络陷阱的DDoS攻击防御系统
CN102123155B (zh) 一种基于NDIS驱动的Web服务器攻击过滤及综合防护方法
CN105323259B (zh) 一种防止同步包攻击的方法和装置
CN110557405B (zh) 一种高交互ssh蜜罐实现方法
CN106657126B (zh) 检测及防御DDoS攻击的装置及方法
CN102571738A (zh) 基于虚拟局域网交换的入侵防御方法与系统
CN111818077A (zh) 一种基于sdn技术的工控混合蜜罐系统
CN107465567A (zh) 一种数据库防火墙的数据转发方法
CN105827630B (zh) 僵尸网络属性识别方法、防御方法及装置
CN112787911A (zh) 一种物联网设备集成网关及系统
CN108737344A (zh) 一种网络攻击防护方法和装置
CN116032641B (zh) 基于攻击检测和负载调度的蜜罐防御方法及系统
Yamanoue et al. A malicious bot capturing system using a beneficial bot and Wiki
CN213693762U (zh) 一种网络入侵防御系统

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant