对等僵尸网络核心节点检测方法及检测装置制造方法
【专利摘要】本发明公开了一种对等僵尸网络核心节点检测方法,属于网络安全【技术领域】。本发明检测方法针对目前对等僵尸网络检测方法的不足之处,首先对网络会话进行特征提取和分析,并将分析结果抽象为无向图,最后通过求解无向图的最小覆盖集获得对等僵尸网络核心节点的检测结果。本发明还公开了一种使用以上检测方法的对等僵尸网络核心节点检测装置,包括:网络会话分析模块、对等僵尸网络核心节点计算模块、会话表、对等僵尸网络核心节点表。相比现有技术,本发明不需要对网络数据包负载进行挖掘,并且在攻击者改变僵尸网络特征以躲避检测的情况下仍能保持较高的检测成功率。
【专利说明】对等僵尸网络核心节点检测方法及检测装置
【技术领域】
[0001]本发明涉及一种对等僵尸网络的检测方法,尤其涉及一种对等僵尸网络核心节点检测方法及检测装置,属于网络安全【技术领域】。
【背景技术】
[0002]僵尸程序指具有一定智能的潜入受害者计算机中的恶意程序。被植入僵尸程序的计算机被称作僵尸主机。僵尸网络是攻击者出于恶意目的,传播僵尸程序控制大量主机,并通过一对多的命令与控制信道所组成的网络。僵尸网络并不像蠕虫和病毒那样直接对计算机造成危害,而是为攻击者提供了一个平台,攻击者可以利用这个平台进行拒绝服务、垃圾邮件等攻击,对网络安全及正常运行造成了严重的威胁。
[0003]最早的僵尸程序可以追溯到1993年由Jeff Fisher开发的EggDroPt)1999年,因特网出现了第一个具有僵尸网络特性的恶意代码PrettyPark,2000年大规模传播的GT-Bot,是第一个在IRC (Internet Relay Chatting,因特网在线聊天系统)客户端程序上通过脚本实现的恶意僵尸程序。2002年出现的Sdbot是第一个独立运用IRC协议的僵尸程序,而且该僵尸程序开源发布,造成了互联网上的广泛流传。
[0004]早期的僵尸网络主要基于IRC协议和HTTP协议(Hypertext Transfer ProtocolWWW服务程序所用的协议),随着对等计算技术在网络中的大量应用,出现了以对等计算作为控制协议的僵尸网络。基于对等计算技术构建的僵尸网络相比中心化的僵尸网络具有很重要的优势。对等僵尸网络不再需要特定中心服务器,不会出现中心化僵尸网络单点失败,并且其通信与命令信道的构建更加灵活,使攻击者难以被追踪,因此成为了国内外安全领域研究的热点。Sinit僵尸网络和Phatbot都是典型的对等僵尸网络,并且各具特色。两者主要的区别在于对对等协议的改进和利用上。Sinit是利用随机的方式来寻找和发现对等实体。Phatbot是Agobot的直接变种,在具有Agobot的良好性质的同时,又把通信和控制机制改良为更具鲁棒性的对等方式。它首先利用一小段引导程序感染主机,然后在底层利用WASTE协议进行通信和控制。基于对等计算技术的Peacomm僵尸网络的大规模爆发表明对等僵尸网络已经是僵尸网络发展的一个重要趋势。
[0005]有效的对等僵尸网络防御的前提是高效的对等僵尸网络的检测。目前对等僵尸网络的检测方法主要是基于网络行为和流量特征的分析有研究人员提出利用IRC僵尸网络的昵称相似性的特征进行检测的方法,这些方法不需要先验知识,并且满足实时检测的需求;然而,它们主要是利用IRC僵尸网络的特征进行检测,对于对等僵尸网络的检测不一定适用。有研究人员提出了一种基于流量监控和数据挖掘技术的对等僵尸网络检测方法,并指出了僵尸网络流量行为和其他网络应用流量行为之间的区别。有研究人员提出了通用的对等僵尸网络检测框架,该框架监控一组主机的网络流量从中发现恶意的网络通信和行为。然而,上述检测方法存在一定的不足,例如当僵尸网络特征发生改变时,这些方法的检测成功率将会降低很多。有研究人员提出了一种基于跳数距离检测方法,通过计算邮件收发双发的跳数距离与本IP块检测门阈值进行比较,从而判断出他们是否为僵尸网络,这种检测方法主要适用于以垃圾邮件为攻击手段的对等僵尸网络。然而这些的特征分析往往存在着一些不足,例如攻击者改变对等僵尸网络特征来躲避检测时,检测效率会大大降低。
【发明内容】
[0006]本发明所要解决的技术问题在于克服现有技术不足,提供一种对等僵尸网络核心节点检测方法及检测装置,不需要对网络数据包负载进行挖掘,并且在攻击者改变僵尸网络特征以躲避检测的情况下仍能保持较高的检测成功率。
[0007]本发明的对等僵尸网络核心节点检测方法,包括以下步骤:
[0008]步骤A、对网络中各节点间网络流量进行周期性监测统计,得到各节点间的会话;
[0009]步骤B、每个周期中对各节点间的会话进行多种特征参数的提取,并根据以下公式得到任意两个节点间在该周期中的会话s为僵尸会话的疑似度EST Cs):
[0010]
【权利要求】
1.一种对等僵尸网络核心节点检测方法,其特征在于,包括以下步骤: 步骤A、对网络中各节点间网络流量进行周期性监测统计,得到各节点间的会话; 步骤B、每个周期中对各节点间的会话进行多种特征参数的提取,并根据以下公式得到任意两个节点间在该周期中的会话s为僵尸会话的疑似度EST(S):
2.如权利要求1所述对等僵尸网络核心节点检测方法,其特征在于,所述多种特征参数至少包括:小负载数据包率,即在两节点当前周期的所有会话数据包中,数据部分小于100字节的数据包所占的比例。
3.如权利要求1所述对等僵尸网络核心节点检测方法,其特征在于,在对各节点间的会话进行多种特征参数的提取时,将不可能是对等僵尸网络的会话预先存入一白名单中,在进行网络会话特征统计时不予以考虑。
4.如权利要求1所述对等僵尸网络核心节点检测方法,其特征在于,所述第i种特征参数的置信区间4按照下式动态确定:
5.如权利要求1所述对等僵尸网络核心节点检测方法,其特征在于,所述步骤C具体包括以下步骤: 步骤1、构建无向图σ = 幻,图中的顶点V为会话双方,边力会话,其边的权值w(幻为会话为僵尸会话的疑似度,并且设置κ:=0 ; 步骤2、计算每一个顶点的权值
6.如权利要求5所述对等僵尸网络核心节点检测方法,其特征在于,所述覆盖集选取车?的值小于或等于20%。
7.如权利要求1所述对等僵尸网络核心节点检测方法,其特征在于,所述对网络中各节点间网络流量进行周期性监测统计,通过网关并使用交换端口镜像方法实现。
8.一种使用如权利要求1~7任一项所述检测方法的对等僵尸网络核心节点检测装置,其特征在于,包括:网络会话分析模块、对等僵尸网络核心节点计算模块、会话表、对等僵尸网络核心节点表; 其中,网络会话分析模块包括数据包获取模块、特征提取模块、疑似度分析模块;数据包获取模块用于对网络中各节点间网络流量进行周期性监测统计,得到各节点间的会话;特征提取模块对数据包获取模块周期性获取的各节点间的会话进行多种特征参数的提取,并将所提取的特征参数输出至会话表及疑似度分析模块;疑似度分析模块利用特征提取模块所提取的特征参数,根据以下公式得到任意两个节点间在该周期中的会话s为僵尸会话的疑似度EST(s),并将疑似度数据输出至会话表:
9.如权利要求8所述对等僵尸网络核心节点检测装置,其特征在于,所述网络会话分析模块中还包括一白名单,其中储存有不可能是对等僵尸网络的会话,特征提取模块在进行网络会话特征提取时将白名单中的会话排除在外。
【文档编号】H04L29/06GK103747003SQ201410020580
【公开日】2014年4月23日 申请日期:2014年1月16日 优先权日:2014年1月16日
【发明者】徐小龙, 章韵, 徐雷, 徐佳, 李千目, 孙雁飞 申请人:南京邮电大学