[发明专利]对等僵尸网络核心节点检测方法及检测装置

说明书

技术领域

本发明涉及一种对等僵尸网络的检测方法，尤其涉及一种对等僵尸网络核心节点检测方法及检测装置，属于网络安全技术领域。

背景技术

僵尸程序指具有一定智能的潜入受害者计算机中的恶意程序。被植入僵尸程序的计算机被称作僵尸主机。僵尸网络是攻击者出于恶意目的，传播僵尸程序控制大量主机，并通过一对多的命令与控制信道所组成的网络。僵尸网络并不像蠕虫和病毒那样直接对计算机造成危害，而是为攻击者提供了一个平台，攻击者可以利用这个平台进行拒绝服务、垃圾邮件等攻击，对网络安全及正常运行造成了严重的威胁。

最早的僵尸程序可以追溯到1993年由Jeff Fisher开发的EggDrop。1999年，因特网出现了第一个具有僵尸网络特性的恶意代码PrettyPark，2000年大规模传播的GT-Bot，是第一个在IRC（Internet Relay Chatting,因特网在线聊天系统）客户端程序上通过脚本实现的恶意僵尸程序。2002年出现的Sdbot是第一个独立运用IRC协议的僵尸程序，而且该僵尸程序开源发布，造成了互联网上的广泛流传。

早期的僵尸网络主要基于IRC协议和HTTP协议（Hypertext Transfer Protocol WWW服务程序所用的协议），随着对等计算技术在网络中的大量应用，出现了以对等计算作为控制协议的僵尸网络。基于对等计算技术构建的僵尸网络相比中心化的僵尸网络具有很重要的优势。对等僵尸网络不再需要特定中心服务器，不会出现中心化僵尸网络单点失败，并且其通信与命令信道的构建更加灵活，使攻击者难以被追踪，因此成为了国内外安全领域研究的热点。Sinit僵尸网络和Phatbot都是典型的对等僵尸网络，并且各具特色。两者主要的区别在于对对等协议的改进和利用上。Sinit是利用随机的方式来寻找和发现对等实体。Phatbot是Agobot的直接变种，在具有Agobot的良好性质的同时，又把通信和控制机制改良为更具鲁棒性的对等方式。它首先利用一小段引导程序感染主机，然后在底层利用WASTE协议进行通信和控制。基于对等计算技术的Peacomm僵尸网络的大规模爆发表明对等僵尸网络已经是僵尸网络发展的一个重要趋势。

有效的对等僵尸网络防御的前提是高效的对等僵尸网络的检测。目前对等僵尸网络的检测方法主要是基于网络行为和流量特征的分析有研究人员提出利用IRC僵尸网络的昵称相似性的特征进行检测的方法，这些方法不需要先验知识，并且满足实时检测的需求；然而，它们主要是利用IRC僵尸网络的特征进行检测，对于对等僵尸网络的检测不一定适用。有研究人员提出了一种基于流量监控和数据挖掘技术的对等僵尸网络检测方法，并指出了僵尸网络流量行为和其他网络应用流量行为之间的区别。有研究人员提出了通用的对等僵尸网络检测框架，该框架监控一组主机的网络流量从中发现恶意的网络通信和行为。然而，上述检测方法存在一定的不足，例如当僵尸网络特征发生改变时，这些方法的检测成功率将会降低很多。有研究人员提出了一种基于跳数距离检测方法，通过计算邮件收发双发的跳数距离与本IP块检测门阈值进行比较，从而判断出他们是否为僵尸网络，这种检测方法主要适用于以垃圾邮件为攻击手段的对等僵尸网络。然而这些的特征分析往往存在着一些不足，例如攻击者改变对等僵尸网络特征来躲避检测时，检测效率会大大降低。

发明内容

本发明所要解决的技术问题在于克服现有技术不足，提供一种对等僵尸网络核心节点检测方法及检测装置，不需要对网络数据包负载进行挖掘，并且在攻击者改变僵尸网络特征以躲避检测的情况下仍能保持较高的检测成功率。

本发明的对等僵尸网络核心节点检测方法，包括以下步骤：

步骤A、对网络中各节点间网络流量进行周期性监测统计，得到各节点间的会话；

步骤B、每个周期中对各节点间的会话进行多种特征参数的提取，并根据以下公式得到任意两个节点间在该周期中的会话s为僵尸会话的疑似度EST（s）：