一种僵尸网络发现技术及装置的制造方法
【专利说明】一种僵尸网络发现技术及装置
[0001]
技术领域
[0002]本发明涉及一种监测网络病毒的方法,具体来说,涉及一种僵尸网络发现技术及
目.ο
[0003]
【背景技术】
[0004]僵尸网络Botnet是指采用一种或多种传播手段,将大量主机感染bot程序(僵尸程序)病毒,从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。攻击者通过各种途径传播僵尸程序感染互联网上的大量主机,而被感染的主机将通过一个控制信道接收攻击者的指令,组成一个僵尸网络。之所以用僵尸网络这个名字,是为了更形象地让人们认识到这类危害的特点:众多的计算机在不知不觉中如同中国古老传说中的僵尸群一样被人驱赶和指挥着,成为被人利用的一种工具,然而目前并没有一种技术可以有效的监测僵尸病毒的入侵。
[0005]针对相关技术中的问题,目前尚未提出有效的解决方案。
[0006]
【发明内容】
[0007]本发明的目的是提供一种僵尸网络发现技术及装置,以克服目前现有技术存在的上述不足。
[0008]本发明的目的是通过以下技术方案来实现:
一种僵尸网络发现技术,包括如下步骤:
通过现有的抓包工具抓取同一网络拓扑中的各个网络设备的OSI七层的网络信息流量,利用数据生成设备将抓取的网络流量生成流量数据;
根据生成的网络数据中的IP地址的网段信息和虚拟局域网的划分信息以及相关数据的行为分析,生成相应的网络组织结构图,并且根据网络组织结构图生成网络的流量模型;将服务器接收到的各个子设备的访问信息和形成的网络流量模型进行对比,并且判断流量行为的相似性;
当访问信息和网络流量模型对比之后流量行为正常,则进一步更新网络流量模型;当有发现有游离于网络流量模型图以外的可疑流量行为的时候则对该访问设备的IP地址进行同源分析,找出访问点的其他可疑入侵的连接设备。
[0009]进一步的,所述的网络流量信息包括生成流量数据,包括捕获时间,源ip,目的ip,源端口,目的端口,应用协议,方向,包数,字节数,标识字段,tcp序列号。
[0010]进一步的,所述网络流量模型包括新建连接数、并发连接数、目的服务器类型、目的服务器地址、平均包长度、连接时间、连接目标的组织机构信息。
[0011]—种僵尸网络的发现装置,包括流量抓取装置、网络流量模型建立装置、相似性判断装置、网络流量模型更新装置、可疑设备查找装置;其中:
流量抓取装置:通过现有的抓包工具抓取同一网络拓扑中的各个网络设备的OSI七层的网络信息流量,利用数据生成设备将抓取的网络流量生成流量数据;
网络流量模型建立装置:根据生成的网络数据中的IP地址的网段信息和虚拟局域网的划分信息以及相关数据的行为分析,生成相应的网络组织结构图,并且根据网络组织结构图生成网络流量模型;
相似性判断装置:将服务器接收到的各个子设备的访问信息和形成的网络流量模型进行对比,并且判断流量行为的相似性;
网络流量模型更新装置:当访问信息和网络流量模型对比之后流量行为正常,则进一步更新网络流量模型;
可疑设备查找装置:当有发现有游离于网络流量模型图以外的可疑流量行为的时候则对该访问设备的IP地址进行同源分析,找出访问点的其他可疑入侵的连接设备。
[0012]本发明的有益效果为:通过抓取网络信息生成数据流量模型,并且利用数据流量模型访问的设备信息进行流量对比进而来判断访问设备的安全性,并且可以找出可疑访问设备的相关可疑访问源,本发明保证网络设备的使用安全性。
[0013]
【附图说明】
[0014]为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0015]图1是根据本发明实施例的僵尸网络发现技术判断流程图。
[0016]
【具体实施方式】
[0017]下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员所获得的所有其他实施例,都属于本发明保护的范围。
[0018]如图1所示,根据本发明的实施例所述的一种僵尸网络发现技术,包括如下步骤:
通过现有的抓包工具抓取同一网络拓扑中的各个网络设备的OSI七层的网络信息流量,利用数据生成设备将抓取的网络流量生成流量数据;
根据生成的网络数据中的IP地址的网段信息和虚拟局域网的划分信息以及相关数据的行为分析,生成相应的网络组织结构图,并且根据网络组织结构图生成网络的流量模型;将服务器接收到的各个子设备的访问信息和形成的网络流量模型进行对比,并且判断流量行为的相似性;其中,其中方式包括比新建连接和/或并发连接数量超过平时5倍以上,或者目的服务器分散,平均包长度发生较大变化等。进而判断访问流量的可疑性。
[0019]当访问信息和网络流量模型对比之后流量行为正常,则进一步更新网络流量模型;
当有发现有游离于网络流量模型图以外的可疑流量行为的时候则对该访问设备的IP地址进行同源分析,找出访问点的其他可疑入侵的连接设备。
[°02°]进一步的,所述的网络流量信息包括生成流量数据,包括捕获时间,源ip,目的ip,源端口,目的端口,应用协议,方向,包数,字节数,标识字段,tcp序列号。
[0021]进一步的,所述网络流量模型包括新建连接数、并发连接数、目的服务器类型、目的服务器地址、平均包长度、连接时间、连接目标的组织机构信息。
[0022]—种僵尸网络的发现装置,包括流量抓取装置、网络流量模型建立装置、相似性判断装置、网络流量模型更新装置、可疑设备查找装置;其中:
流量抓取装置:通过现有的抓包工具抓取同一网络拓扑中的各个网络设备的OSI七层的网络信息流量,利用数据生成设备将抓取的网络流量生成流量数据;
网络流量模型建立装置:根据生成的网络数据中的IP地址的网段信息和虚拟局域网的划分信息以及相关数据的行为分析,生成相应的网络组织结构图,并且根据网络组织结构图生成网络流量模型;
相似性判断装置:将服务器接收到的各个子设备的访问信息和形成的网络流量模型进行对比,并且判断流量行为的相似性;
网络流量模型更新装置:当访问信息和网络流量模型对比之后流量行为正常,则进一步更新网络流量模型;
可疑设备查找装置:当有发现有游离于网络流量模型图以外的可疑流量行为的时候则对该访问设备的IP地址进行同源分析,找出访问点的其他可疑入侵的连接设备。
[0023]综上所述,借助于本发明的上述技术方案,通过抓取网络信息生成数据流量模型,并且利用数据流量模型访问的设备信息进行流量对比进而来判断访问设备的安全性,并且可以找出可疑访问设备的相关可疑访问源,本发明保证网络设备的使用安全性。
[0024]以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
【主权项】
1.一种僵尸网络发现技术,其特征在于,包括如下步骤: 通过现有的抓包工具抓取同一网络拓扑中的各个网络设备的OSI七层的网络信息流量,利用数据生成设备将抓取的网络流量生成流量数据; 根据生成的网络数据中的IP地址的网段信息和虚拟局域网的划分信息以及相关数据的行为分析,生成相应的网络组织结构图,并且根据网络组织结构图生成网络流量模型;将服务器接收到的各个子设备的访问信息和形成的网络流量模型进行对比,并且判断流量行为的相似性; 当访问信息和网络流量模型对比之后流量行为正常,则进一步更新网络流量模型; 当有发现有游离于网络流量模型图以外的可疑流量行为的时候则对该访问设备的IP地址进行同源分析,找出访问点的其他可疑入侵的连接设备。2.根据权利要求1所述的,其特征在于,所述的网络流量信息包括生成流量数据,包括捕获时间,源ip,目的ip,源端口,目的端口,应用协议,方向,包数,字节数,标识字段,tcp序列号。3.根据权利要求1所述的僵尸网络发现技术,其特征在于,所述网络流量模型包括新建连接数、并发连接数、目的服务器类型、目的服务器地址、平均包长度、连接时间、连接目标的组织机构信息。4.一种僵尸网络的发现装置,其特征在于,包括流量抓取装置、网络流量模型建立装置、相似性判断装置、网络流量模型更新装置、可疑设备查找装置;其中: 流量抓取装置:通过现有的抓包工具抓取同一网络拓扑中的各个网络设备的OSI七层的网络信息流量,利用数据生成设备将抓取的网络流量生成流量数据; 网络流量模型建立装置:根据生成的网络数据中的IP地址的网段信息和虚拟局域网的划分信息以及相关数据的行为分析,生成相应的网络组织结构图,并且根据网络组织结构图生成网络流量模型; 相似性判断装置:将服务器接收到的各个子设备的访问信息和形成的网络流量模型进行对比,并且判断流量行为的相似性; 网络流量模型更新装置:当访问信息和网络流量模型对比之后流量行为正常,则进一步更新网络流量模型; 可疑设备查找装置:当有发现有游离于网络流量模型图以外的可疑流量行为的时候则对该访问设备的IP地址进行同源分析,找出访问点的其他可疑入侵的连接设备。
【专利摘要】本发明公开了一种僵尸网络发现技术,包括如下步骤:抓取网络信息流量并且生成流量数据;根据生成的网络数据中的IP地址的网段信息和VLAN划分信息以及相关数据的行为分析,将网络设备划分成相应的网络组织结构图,并且根据网络组织结构图生成网络流量模型图;根据网络流量模型图和设备的访问行为进行对比;并且根据对比情况判断可疑的访问源。本发明的有益效果为:通过抓取网络信息生成数据流量模型,并且利用数据流量模型访问的设备信息进行流量对比进而来判断访问设备的安全性,并且可以找出可疑访问设备的相关可疑访问源,本发明保证网络设备的使用安全性。
【IPC分类】H04L29/06
【公开号】CN105516096
【申请号】CN201510856177
【发明人】沈能辉
【申请人】睿峰网云(北京)科技股份有限公司
【公开日】2016年4月20日
【申请日】2015年11月30日