[发明专利]一种基于小流统计分析的对等僵尸主机识别方法

说明书

技术领域

本发明涉及一种计算机网络安全技术，具体地说，涉及的是一种基于小流统计分析的对等僵尸主机识别方法。 

背景技术

当前，僵尸网络已发展为当今计算机网络中最严重安全威胁之一，它融合了传统的恶意软件如计算机病毒、木马以及蠕虫等技术，成为一种能发动各种大规模恶意攻击、更新和散布各类恶意软件的综合攻击平台。不仅如此，采用对等网络模式来构建控制僵尸主机的通信通道，使得自身更具隐蔽性和健壮性。因而，感染僵尸程序的内网主机就成为了内网安全的一个威胁源，使企业的IT基础设施随时散失其可用性、信息资产处于暴露的危险，一旦爆发，将给企业带来无法估量的损失。 

与传统的病毒、木马及蠕虫相比，僵尸发动的攻击具有如下特性僵尸程序更新周期短、使用最新隐藏技术躲避检测等，使得当前使用的恶意代码检测方法容易失效。例如,攻击者能够通过相关命令频繁地更新僵尸程序改变特征码，僵尸控制通道采用加密的私有协议，这些使得基于特征码匹配的检测方法容易失效；当前检测僵尸主机的方法一般是通过分析大规模网络中僵尸群组流量特征来检测，这类方法对内网中稀疏僵尸主机的识别效率较低。由此可见，有必要研究针对僵尸主机的新的识别方法，更别提这对对等僵尸主机了。 

僵尸主机具有一些新特性：僵尸程序更新周期短、僵尸程序的活动存在群体性、使用最新隐藏技术躲避检测等。由于这些新的特性，将已有的恶意代码检测方法直接用于僵尸主机的识别将会造成较大的漏报；由于僵尸网络技术逐渐成熟，在其发展过程中也出现了利用僵尸网络的新特性来识别僵尸主机检测的新方法，但是还存在一些问题。具体如下： 

●基于特征码匹配的方法极易失效 

在僵尸网络高度可控环境下，攻击者能通过相关命令频繁地更新僵尸程序改 变特征码，因此基于特征码匹配的检测方法容易失效。此外，基于特征码的主机层面的实时监控经常使得系统负载过重，所以此方法对于普通用户来说不合适。 

●不能识别加密通信的僵尸主机 

当前出现的识别方法主要采用的思路是解析相关通信协议，对异常通信行为进行挖掘和归类，找出僵尸主机。明显地，这类方法无法识别采用加密通信的僵尸，因为无法解析已知的协议，而获取通信密钥难度大且时效性不强，使得已有的方法效率低下。 

●不能识别所监督网络中的单个僵尸节点 

还有一类检查方法根据同种僵尸主机命令与控制信道通信行为的相似性以及攻击行为的相似性，通过聚类和关联的方法来识别。但是这类基于僵尸群组活动的检测方法的前提是所监督网络内必须有多个同类型的僵尸存在，而在僵尸程序在感染监督网络中主机的初期阶段，并不能总是满足该条件，由此，这类方法不能识别所监督网络中的单个僵尸节点，扼杀僵尸于传播之初。 

●专门针对对等僵尸主机识别方法少 

采用P2P协议来构建僵尸网络的命令与控制是一个相对较新的技术，还没有专门针对这类僵尸的检测方法。 

中国申请（专利）号为2011110098015.2、200810149039.4的发明专利，这两专利申请方法是一种基于数据包特码码检测的方法，无法检测控制协议加密通行的僵尸网络；主要是针对集中控制式的僵尸网络的检测；而本发明方法是以流行为特征分析为基础进行检测，可以检测加密通信的僵尸主机，主要是针对控制协议采用对等网络方式的僵尸主机的检测。同样的，申请（专利）号为200910160680.2、200910218133.5、200910216889.6的专利，也是主要是针对集中控制式的僵尸网络的检测。 

申请（专利）号为200810225455.8、201010013660.5、201010109069.X的发明专利，这些专利主要是针对基于IRC控制协议的僵尸的检测，主要基于数据包信息来检测；而本发明主要是针对采用对等控制协议的僵尸检测，是基于网络流信息来检测。又如申请（专利）号为200910142292.1专利，该专利也是基于数据包信息来检测。 

发明内容

本发明要解决的技术问题是提供一种简单、高效的技术手段，来识别内网中的对等僵尸主机，并且具有很高的可实施性，同时本产品容易作为一个模块集成到其余内网安全产品及其他网络安全产品中，具有易集成性。 

为解决上述技术问题，本发明所述的一种基于小流统计分析的对等僵尸主机识别方法，分为两步： 

（1）小流过滤阶段：根据主机网络数据流的小流特性选择出可疑的主机数据流，该阶段往往能滤除网络中百分之九十以上的流量，以此来降低下一步处理的流量输入量和提升处理效率；