[发明专利]一种基于主动探测的僵尸网络家族检测方法

权利要求书

1.一种僵尸网络家族检测方法，控制中心通过网络通道与僵尸主机端口连接进行通信包传递，包括步骤如下：

1)扫描僵尸网络，提取得到疑似控制中心和若干活跃端口信息；

2)根据僵尸网络中僵尸程序样本和其控制中心端的通信特征通过所述活跃端口与所述疑似控制中心进行协议交互；

3)将所述协议交互后的反馈包与该疑似控制中心进行特征匹配；

4)根据设定阀值判定僵尸网络控制中心，并对该控制中心通信进行监控；

5)根据监测结果，查找出所述僵尸网络家族中所有僵尸主机。

2.如权利要求1所述的僵尸网络家族检测方法，其特征在于，所述疑似控制中心和活跃端口信息表示为二元组(ip/mac，ports)，步骤2)包括将所述二元组(ip/mac，ports)拆成单个(ip/mac，port)，利用TCP报文重放工具将所述僵尸程序样本发往其中心控制端的通信包mac、ip地址和端口分别修改为(ip/mac，port)对中的相应值；并对所述修改后的数据包进行重发。

3.如权利要求2所述的僵尸网络家族检测方法，其特征在于，僵尸程序样本和其控制中心端进行通信时每个包的格式特征用正则表达式描述。

4.如权利要求1所述的僵尸网络家族检测方法，其特征在于，所述协议交互后的反馈包与该疑似控制中心进行特征匹配方法为，

若疑似控制中心(ip/mac，port)的某次响应与通信协议特征的对应的正则表达式匹配，则判断疑似控制中心(ip/mac，port)成功完成了该响应，否则为未成功完成响应。

5.如权利要求1所述的僵尸网络家族检测方法，其特征在于，所述疑似控制中心和活跃端口信息表示为二元组(ip/mac，ports)，步骤2)包括将所述二元组(ip/mac，ports)拆成单个(ip/mac，port)，利用ScriptGen工具对僵尸程序样本和其中心控制端的通信进行分析，基于得到的通信协议与疑似控制中心(ip/mac，port)进行动态交互。

6.如权利要求5所述的僵尸网络家族检测方法，其特征在于，通过有限状态自动机得到僵尸样本和其中心控制端发包的序列特征，其中，状态转换边为僵尸样本向其中心控制端发送通信包或中心控制端向僵尸程序发的通信包。

7.如权利要求6或5所述的僵尸网络家族检测方法，其特征在于，所述协议交互后的反馈包与该疑似控制中心进行特征匹配方法为，

若疑似控制中心(ip/mac，port)完成某次响应，则对应的通信交互特征满足有限状态自动机状态转换条件，进行状态迁移；

若跳转到终止状态，则用所经过的状态节点个数和通信交互特征的有限状态自动机中的总的状态个数建立比值关系，若比值超过一定阈值，则判定该疑似控制中心(ip/mac，port)僵尸网络家族的某个控制中心；

若疑似控制中心(ip/mac，port)并未成功完成了某次响应，则用所经过的状态节点个数与通信交互特征的有限状态自动机中的总的状态个数建立比值关系，若比值超过一定阈值，则判定该疑似控制中心(ip/mac，port)僵尸网络家族的某个控制中心。

8.如权利要求1所述的僵尸网络家族检测方法，其特征在于，所述步骤1)中扫描僵尸网络方法包括：

(1)对活跃主机进行扫描，得到活跃主机ip/mac的列表；

(2)对操作系统进行鉴识，将与已知僵尸样本和其中心控制端的通信特征不符合的主机ip地址从列表中去除；

(3)对活跃端口进行扫描，得到该主机h的活跃端口集合ports；

(4)输出目标网络中活跃的(ip/mac，ports)对。

9.如权利要求1所述的僵尸网络家族检测方法，其特征在于，所述步骤6)判断控制中心的方法是，如果步骤5)监测的疑似控制中心完成所设定阀值的匹配特征协议交互或匹配通信协议特征，则判定该疑似控制中心是僵尸网络家族中的一个控制中心。