[发明专利]一种识别DDoS僵尸网络通信协议的方法及装置

说明书

技术领域

本发明涉及计算机网络安全技术领域，尤其涉及一种识别DDoS僵尸网络通信协议的方法及装置。

背景技术

botnet也就是我们所说的僵尸网络，是指采用一种或多种传播手段，将大量主机感染bot(僵尸程序)，从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。控制僵尸网络的攻击者通常利用其拥有的botnet以DDoS(Distribution Denial of Service，分布式拒绝服务)攻击、银行卡密码窃取、垃圾邮件发送、敏感信息盗窃等攻击方式进行牟利。

为了及早发现基于botnet的DDoS型攻击，常采用主动跟踪技术对基于botnet的DDoS型攻击进行研究。主动跟踪是指冒充某个DDoS botnet的bot，主动连接到其C&C(Control&Command，控制命令)服务器，接收和解析其发出的指令但并不实际执行，而是将解析后的指令以日志形式保存和输出。

如果需要对某个botnet进行跟踪，需要了解其C&C协议，并编写相应的跟踪程序，使其主动连接C&C服务器，能接收、解析和保存对方的指令。现在常用的自动解析出C&C协议的方法有两种，一种方法为基于虚拟机仿真执行来实现，这种方法缺点是技术非常复杂，而且基于指令仿真方式捕获bot行为过程中会导致bot样本的执行速度变慢，就有可能被botnet控制者检测到，因此实际的可行性比较差，导致无法对新出现的C&C协议做出及时预警。

另外一种自动解析出C&C协议的方法是直接分析C&C通信报文—我们将bot与C&C服务器之间的通信称为C&C通信，运用统计和机器学习手段来自动分析出C&C协议。这种技术的缺点是需要大量的C&C通信报文来作为机器学习依据，实际中很难满足，导致无法对新出现的C&C协议做出及时预警。

综上所述，现有技术方案中存在解析C&C协议的技术复杂度高、可能被botnet控制者检测到以及需要大量的C&C通信报文来作为机器学习依据等问题，从而导致无法对新出现的C&C协议做出及时预警的问题。

发明内容

本发明实施例提供一种识别DDoS僵尸网络通信协议的方法及装置，用以解决现有技术方案中不能对新出现的C&C协议做出及时预警的问题。

本发明实施例提供的具体技术方案如下：

一种识别DDoS僵尸网络通信协议的方法，包括：

获取主机中运行的僵尸程序bot与服务器之间通信的命令报文和通信报文；

从获取的通信报文中确定每次攻击中每类攻击的攻击属性信息；

根据所述每次攻击中每类攻击的攻击属性信息，从获取的命令报文中确定攻击命令报文；

根据所述攻击命令报文和所述攻击属性信息，确定攻击指令报文特征信息。

较佳地，如果未发生C&C通信，且已确定C&C服务器，将所述bot与C&C服务器之间传输的报文作为命令报文，将所述bot与非C&C服务器之间传输的报文作为通信报文；

如果未发生C&C通信，且未确定C&C服务器，将所述bot与当前通信的服务器作为C&C服务器，并将所述bot与所述C&C服务器之间传输的报文作为命令报文，将所述bot与非C&C服务器之间传输的报文作为通信报文；

如果已经发生C&C通信，则将当前所述bot与服务器之间传输的报文中目的网际协议IP地址和目的端口和C&C通信报文中目的网际协议IP地址和目的端口相同的报文作为命令报文，将当前所述bot与服务器之间传输的报文中目的网际协议IP地址和目的端口和C&C通信报文中目的网际协议IP地址和目的端口不相同的报文作为通信报文。

较佳地，根据每次攻击中每类攻击的攻击属性信息将攻击行为开始之前最后一次收到的所述命令报文确定为攻击开始指令；

根据每次攻击中每类攻击的攻击属性信息将攻击行为停止之前最后一次收到的所述命令报文确定为攻击停止指令；

将所述攻击开始指令和所述攻击停止指令作为攻击命令报文。

较佳地，所述攻击指令报文特征信息包括下列信息中的部分或全部：

报文类型字段的偏移和编码；

攻击类型字段的偏移和编码；

攻击目标与端口字段的偏移和编码；

特定攻击类型参数的偏移和编码。