[发明专利]一种HTTP网络特征码自动生成方法及其系统

说明书

技术领域

本发明涉及网络安全领域技术，特别涉及一种未知HTTP僵尸网络的特征码生成方法，更具体地，是一种HTTP网络特征码自动生成方法及其系统。

背景技术

近年来网络安全相关的事件频繁发生，网络安全已上升成为了国家战略层面的热点议题。然而，由于网民普遍缺乏安全意识、计算机操作系统和应用软件包含各种漏洞等因素，越来越多的计算机已悄然成为了僵尸网络中的“肉鸡”,成为了他人从事窃取隐私、攻击网络资源、非法牟取暴利等违法犯罪活动的棋子。

僵尸网络(Botnet)是一种“通过入侵网络空间内若干非合作用户终端构建的、可被攻击者远程控制的通用计算平台”。其中，“非合作”是指被入侵的用户终端没有感知；“攻击者”指的是对所形成的僵尸网络具有操控权力的控制者(Botmaster)；“远程控制”指攻击者可以通过命令与控制(command and control，简写为C&C)信道一对多地控制非合作用户终端。一个被控制的受害用户终端成为僵尸网络的一个节点，可称之为“僵尸主机”，俗称“肉鸡”。常见的僵尸网络的命令与控制协议主要有IRC、HTTP、P2P三种类型。由于HTTP协议具有良好的穿透性及集中控制性，越来越多的僵尸网络控制者采用HTTP协议作为其通信与控制协议。控制者通过僵尸网络控制大量的僵尸主机，可以获得强大的分布式计算能力和丰富的信息资源储备。攻击者更易于发起分布式拒绝服务攻击(DDoS)、在线身份窃取(Online Identity Theft)、垃圾邮件(Spam)、点击欺诈(Click Fraud)、比特币挖掘(BitCoin Mining)等恶意行为。僵尸网络作为攻击者手中最有效的通用攻击平台，已成为当今互联网最大的安全威胁之一。

僵尸网络之所以会有如此大的威胁，主要有以下几点原因：

僵尸网络是从传统蠕虫和木马衍生的一种新的攻击形式。蠕虫具有利用安全漏洞快速传播扩散的优势但却具有不可控性；木马具有对受害者远程控制的能力，但存在感染速度慢、管理规模小和控制方式简单的缺点。僵尸网络是结合了两者优势、弥补了两者不足而形成的产物，危害性更强。

僵尸网络具有高度可控性以及控制逻辑与攻击相分离的特性。僵尸网络中的“肉鸡”通过命令与控制(command and control)信道能被控制者所操纵，能在短时间内对某个特定目标发起大规模攻击(DDoS攻击等)，具有高度的可控性。此外，僵尸主机上的僵尸程序负责控制逻辑，真正的攻击任务由控制者按需动态分发。这种方法能将完整的威胁实体分割为多个部分，从而既可以为任务分发提供良好的灵活性，又可以提高僵尸网络的生存性。

安全措施往往滞后于所对应的新型僵尸网络的出现。基于特征码的检测方法是一种行之有效的方法。然而，传统特征码的生成技术大多只针对蠕虫，且这些技术无法高效、自动地生成高质量的特征码，因此无法在僵尸网络规模扩大初期对其进行有效地控制。

目前针对僵尸网络的检测方法及系统有很多，但这些系统检测大多存在时间开销大、应用部署困难等问题，无法真正意义上的大面积推广；传统的入侵检测系统(IDS)虽然适用范围广，可以用于有效发现特定网络中存在的异常网络行为，然而，由于缺少对应僵尸网络的特征码及相应规则，无法及时发现特定网络中潜在的新型僵尸网络主机。目前特征码的提取技术主要存在以下几种问题：

传统特征码生成算法大多只针对蠕虫，缺乏针对HTTP僵尸网络的特征码生成方法。现有的特征码生成方法绝大多数针对的是蠕虫特征码的提取，由于僵尸网络命令与控制通信的特征的不同，这些传统的特征码生成方法并不能很好地适用于HTTP僵尸网络特征码的提取。

现有的特征码生成方法效率低、时间开销大。传统的特征码生成大多依赖人工判断，无法做到大规模自动化。虽然有少数人提出了针对僵尸网络特征码的自动提取方法拟尝试解决该问题，然而这些方法的计算开销十分庞大，无法大规模推广应用。

现有方法生成的特征码质量不高、可用性差。传统的特征码生成方法没有针对HTTP僵尸网络的命令与控制通信特征进行考虑，采用的特征码生成方法没有针对性，生成的特征码集合数量大、质量较低。

发明内容

本发明所要解决的技术问题在于克服现有系统特征码生成时间长和部署困难的问题，提出了一种HTTP网络特征码自动生成方法及其系统。

为达上述目的，本发明提供了一种HTTP网络特征码自动生成方法，其特征在于，所述方法包括：