[发明专利]一种基于主动探测的僵尸网络家族检测方法

说明书

技术领域

本发明涉及一种基于主动探测的僵尸网络家族检测方法，属于计算机应用技术领域。

背景技术

僵尸程序是指安装在受害者计算机上秘密运行并用于窃取信息及受远程控制的程序。被植入僵尸程序的受害计算机群则组成了一个规模化的僵尸网络，攻击者通过控制服务器对其进行远程控制，该受控网络的核心特点是攻击者能够利用控制信道传送一对多的命令来操纵僵尸主机(感染僵尸程序的主机)，让这些僵尸主机执行相应的恶意行为，如发送垃圾邮件、发动大规模DdoS攻击等。

僵尸程序及僵尸网络给互联网造成了严重的安全威胁。僵尸程序及僵尸网络的生命周期可以分为传播、感染、通信等阶段：传播阶段即在用户主机植入僵尸程序，一些典型的方式有主动式漏洞扫描、电子邮件、网页木马、伪装下载等；感染阶段即用户主机执行僵尸程序，使得注册表被修改、进程被开启、防火墙被关闭；通信过程包括加入僵尸网络的过程和接受控制命令的过程，受控主机通过命令与控制信道与控制端通信、接收命令，使用的协议主要有IRC、HTTP、P2P等。

僵尸程序与僵尸网络应急响应的关键是对控制中心进行发现和监控，主动将所有受害主机发往该服务器的连接全部截断。然而为了躲避监测和提高隐蔽性，攻击者倾向于通过自动化恶意套件建立一些采用自定义私有协议的小型化僵尸网络，通过提高代价来躲避安全监测与响应。一个毫无经验的攻击者也能轻易地利用一些IP、端口等可配置的套件工具制造出僵尸程序变种并感染大量主机，这些僵尸主机被属于同一个僵尸网络家族的不同的控制中心所控制。一些现有的僵尸网络检测办法仅仅识别出当前僵尸程序和与之对应的控制中心，并不能识别出同一僵尸网络家族中的所有控制中心，因而也无法检测出整个僵尸网络家族。

僵尸程序是植入受害者主机，受远程控制、可以和远程控制端通信的程序。植入该僵尸程序的僵尸主机受同一个控制中心控制。但是僵尸程序也可以做一些变化，如修改控制中心的ip等，这样，经过变形后的僵尸程序就对应了另外一个控制中心。变形前后的这两个僵尸程序对应的控制中心都属于同一个僵尸网络家族。本发明的目标就是检测出僵尸网络家族中的不同控制中心和这这些控制中心控制的僵尸主机。

发明内容

本发明是一种基于主动探测的僵尸网络家族检测方法，以探测僵尸网络家族控制中心为核心进行僵尸网络家族主动发现，主要的思想是利用已分析出的僵尸程序样本和样本控制端的通讯特征，采用一种主动探测的方式检测出僵尸网络家族的其它控制中心，根据检测出的控制中心查找出网络中被该僵尸网络家族控制的僵尸主机。

本发明利用已分析出的僵尸程序样本和其控制端的通讯特征，采用一种主动探测的方式检测僵尸网络家族的其它控制中心，进而检测出整个僵尸网络家族。其中，已分析出的样本控制端通讯特征包括通讯协议特征和交互协议特征，通讯协议特征指僵尸程序样本和其控制端通讯时包的格式特征，一般可用正则表达式描述，交互协议特征指通讯双方发包的序列特征，一般可用自动机描述。

本发明提出基于主动探测的僵尸网络家族检测方法，控制中心通过网络通道与僵尸主机端口连接进行通信包传递，主要包括以下几个步骤：

1)扫描僵尸网络，提取得到疑似控制中心和若干活跃端口信息；

2)根据僵尸网络中僵尸程序样本和其控制中心端的通信特征通过所述活跃端口与所述疑似控制中心进行协议交互；

3)将所述协议交互后的反馈包与该疑似控制中心进行特征匹配；

4)根据设定阀值判定僵尸网络控制中心，并对该控制中心通信进行监控；

5)根据监测结果，查找出所述僵尸网络家族中所有僵尸主机。

所述疑似控制中心和活跃端口信息表示为二元组(ip/mac，ports)，步骤2)包括将所述二元组(ip/mac，ports)拆成单个(ip/mac，port)，利用TCP报文重放工具将所述僵尸程序样本发往其中心控制端的通信包mac、ip地址和端口分别修改为(ip/mac，port)对中的相应值；并对所述修改后的数据包进行重发。

僵尸程序样本和其控制中心端进行通信时每个包的格式特征用正则表达式描述。

所述协议交互后的反馈包与该疑似控制中心进行特征匹配方法为，

若疑似控制中心(ip/mac，port)的某次响应与通信协议特征的对应的正则表达式匹配，则判断疑似控制中心(ip/mac，port)成功完成了该响应，否则为未成功完成响应。