[发明专利]社交僵尸网络的检测方法及装置

说明书

技术领域

本发明涉及网络技术领域，尤其涉及一种社交僵尸网络的检测方法及装置。

背景技术

随着移动智能设备的普及，安全问题也开始频繁的出现在移动智能设备上，僵尸网络也开始从传统互联网深入到移动互联网，目前大多数移动僵尸网络都是选择Twitter或Facebook作为命令控制信道，这样更具有隐秘性和可操作性。但针对僵尸网络的检测技术大多还使用传统僵尸网络的检测方法。

下边对传统僵尸网络的常用检测方法作一介绍。

在传统僵尸网络检测领域的检测技术主要分为网络层检测和终端检测。

网络层的检测，主要体现在流量上，其特点是：

1、高网络延迟：在各式各样的数据在网络介质中通过网络协议(如TCP/IP)进行传输，如果信息量过大不加以限制，超额的网络流量就会导致设备反应缓慢，造成网络延迟；

2、高流量：僵尸网络形成后，由于和服务器之间的联系，会造成巨大的通信流量；

3、某端口的异常流量：为了能接收来自网络的命令，僵尸木马程序需要打开主机上一个端口来通信。

4、非正常系统行为。

终端层的检测，主要体现在终端行为上，其特点是：

1、通信内容：在僵尸网络中，僵尸之间的通信内容往往具有协同性和相似性；

2、昵称、命令序列：在僵尸网络中，僵尸之间的昵称、命令序列也往往具有相似；

3、协议特征：僵尸网络的协议为了满足自身的需要，其协议都有相应的特点，通过僵尸网络协议的解析还原，在一定程度上可以辅助判断僵尸网络的存在。

图1为社交僵尸网络的一般结构图。所有的僵尸程序入侵到移动设备3，僵尸控制者2通过在微博服务器1注册微博帐号来发表命令。所有的僵尸端通过关注这个微博帐号来接收命令。僵尸控制者2通过微博服务器1以图片或链接形式发布命令。

社交僵尸网络传播手段和传统传播手段一样，大体分为主动传播和被动传播这两种传播方式。其中，主动传播方式为：每个主机被感染僵尸后，自动通过twitter或facebook自动转发给其他联系人。被动传播方式为：每个主机感染僵尸后，立即执行，不再传播，其传播主要通过其他途径，例如漏洞攻击、邮件、恶意网站脚本等人体工程学方法。

其中，被动传播方式的社交僵尸网络拓扑结构有两种类型，即图2A所示的中心型拓扑结构和图2B所示的p2p型拓扑结构。

在中心型的社交僵尸网络中，僵尸控制者A1要登录到唯一的微博帐号A2来发布命令，其他所有僵尸终端A3都收听此微博帐号，接收命令。僵尸终端A3接收到命令后，直接执行，不再转发（被动传播）。

在p2p型的社交僵尸网络中，每一个僵尸终端B2都有一个微博帐号，并且都互相收听对方，此时僵尸控制者B1只需登录任何一个僵尸端B2就可以发布命令，其他僵尸终端B2都可以收到，同样收到后，立即执行，不进行转发（被动传播）。此类型僵尸网络有两个特点：1、登录任何一个帐号都可以发布恶意命令；2、各个僵尸终端的微博帐号由于是自动生成，具有结构相似性。

可见，由于在一些移动僵尸网络中，越来越多的僵尸网络通过Twitter或Facebook来作为控制命令信道，而传统检测方法还是停留在流量异常、昵称异常等的检测上边，因而使用传统检测方法对移动僵尸网络进行检测效果不太理想。

发明内容

本发明所要解决的技术问题是提供一种社交僵尸网络的检测方法及装置，提高对移动僵尸网络的检测能力。

为解决上述技术问题，本发明提出了一种社交僵尸网络的检测方法，包括：

步骤一，获取微博帐号的传播路径图；

步骤二，将微博账号的传播路径图与预存的社交僵尸网络传播路径图相比较，若两者一致，则将该微博账号记录为可疑账号；

步骤三，在记录的可疑账号的数量达到设定数目时，根据可疑账号的结构判断可疑账号是否为社交僵尸网络，所述账号的结构是指该账号的名称组成。

进一步地，上述社交僵尸网络的检测方法还可具有以下特点，所述步骤一包括：

在微博服务器获取发布微博信息的微博账号；

跟踪该微博账号，检测到该微博帐号的传播路径图。

进一步地，上述社交僵尸网络的检测方法还可具有以下特点，所述预存的社交僵尸网络的传播路径图的特征为该传播路径图中所有的接收微博账号接收到微博后不再二次转发，且接收微博账号的数目大于设定阈值。

进一步地，上述社交僵尸网络的检测方法还可具有以下特点，所述步骤三包括：