[发明专利]一种僵尸群落分析方法及装置

说明书

技术领域

本发明涉及互联网技术领域，特别是涉及一种僵尸群落分析方法及装置。

背景技术

僵尸网络（Botnet）是指采用一种或多种传播手段，使大量主机感染僵尸（bot程序）程序，从而在控制者和被感染主机（僵尸或肉鸡）之间所形成的一对多控制的网络；它往往被黑客用来发起大规模的网络攻击，如分布式拒绝服务攻击（DDoS）、海量垃圾邮件等。黑客可以控制这些被感染主机上所有的信息，如：银行帐户和密码等。

僵尸群落指有直接或间接关系的一组僵尸网络构成的群体。僵尸群落背后可能由一个或几个黑客组织操控，从事互联网地下经济活动，如：受某网站雇佣利用僵尸群落对竞争对手网站进行DDOS攻击，让其不能对外提供服务等。从技术手段讲，僵尸群落与僵尸网络并没有太大差异，但其组成结构和行为模式却可以更多的投射出互联网之外的现实世界的组织特征。

僵尸网络监测系统指使用蜜网、网络流量及IRC Server等技术开发实现的专用于监测僵尸网络的系统。该系统会根据网络上的通讯信息，不断的产生监测数据，数据中至少包括但不限于包括监测时间、控制类型（如：灰鸽子、IRC等）、控制端IP、控制端端口、被感染主机IP、被感染主机端口等信息。僵尸网络监测系统会根据这些信息分析出僵尸网络的网络结构，如：一个僵尸网络控制端控制了多少被感染主机等。

在现有技术中并没有真正意义的僵尸群落分析技术。一般而言，僵尸网络监测系统可以根据监测数据，利用跳板机原理分析出一个僵尸网络的真正控制端。即僵尸网络控制端并不直接控制所有的被感染主机，而是通过将其直接控制的一台或几台被感染主机作为控制端，间接来控制其它被感染主机，使整个僵尸网络呈树型的拓扑结构。这些被用作控制端的感染主机也被称为跳板机，有时一个僵尸网络的跳板机会有很多级。我们可以把每个控制端及被其直接控制的感染主机看做是一个僵尸网络，那么整个树型僵尸网络就可以被视为一个僵尸群落，这个僵尸群落描绘了僵尸网络与僵尸网络间的控制关系。该算法一般为：1、从僵尸网络监测系统产生的监测数据中找出所有控制端IP（Internet Protocol，网络之间互连的协议）；2、找出每个控制IP直接控制的所有被感染主机，并以每个控制端IP为一个僵尸网络的标示构建一个僵尸网络；3、从僵尸网络监测系统产生的监测数据中找出即是控制端IP也是被感染主机IP的IP地址，即跳板机IP；4、找出每个跳板机IP的控制端IP，构建僵尸网络间的控制关系。

基于跳板机的僵尸群落分析技术最初在僵尸网络监测系统中被用于确认僵尸网络的真正控制端。由该方法分析出的树型僵尸网络可被看做为一个反映控制关系的僵尸群落。但由该分析方法分析出的僵尸群落无法揭示不存在明显的控制约束的僵尸网络之间的关系。如：某黑客组织在创建了一个僵尸网络后，为规避控制端被查封的危险，而为所有的被感染主机都又增加了一个新的控制端，形成了另外一个僵尸网络的情况（两个僵尸网络控制了相同的被感染主机）。或者不同的黑客或组织间交换或买卖了部分被感染机的控制权，形成了一个被感染机被多个僵尸网络控制的情况等。这些情况下的僵尸网络关系用该分析方法无法揭示，而这些关系能更好的投射现实世界黑客组织的行为模式。

发明内容

本发明要解决的技术问题是提供一种僵尸群落分析方法及装置，用以解决现有技术中没有真正意义的僵尸群落分析技术的问题。

为解决上述技术问题，一方面，本发明提供一种僵尸群落分析方法，包括：

获取僵尸网络监测系统在设定时间范围产生的监测数据；

根据监测数据构建僵尸网络；

计算任意两个僵尸网络的相似系数；

选取相似系数大于预先设定的相似系数阈值的相似关系；

根据相似关系构建僵尸群落，进行分析。

进一步，构建僵尸网络后，将僵尸网络中控制的被感染主机数小于设定阈值的僵尸网络删除。

进一步，计算任意两个僵尸网络间相同的被感染主机IP数量，及两个僵尸网络中全部被感染主机IP数量，用前者除以后者，所得的值即为相似系数。

进一步，在监测数据中，每个控制端IP、及受该控制端IP控制的所有被感染主机IP构成一个僵尸网络。

进一步，选取僵尸群落中僵尸网络的数量大于等于设定的僵尸网络数量阈值的僵尸群落进行分析。

另一方面，本发明还提供一种僵尸群落分析装置，包括：

监测数据获取模块，用于获取僵尸网络监测系统在设定时间范围产生的监测数据；

僵尸网络构建模块，用于根据监测数据构建僵尸网络；