[发明专利]社交僵尸网络控制节点的检测方法及装置

说明书

技术领域

本发明涉及网络技术领域，尤其涉及一种社交僵尸网络控制节点的检测方法及装置。

背景技术

僵尸网络是一种从传统恶意代码形态进化而来的新型攻击方式，为攻击者提供了隐匿、灵活且高效的一对多C&C（Command and Control，命令与控制）机制，可以控制大量僵尸主机实现信息窃取、分布式拒绝服务攻击和垃圾邮件发送等攻击目的。C&C机制是僵尸网络的命脉，一旦C&C机制被防御者破解，则僵尸网络将面临完全失效的风险。因此，设计具备强抗毁性的C&C机制，以对抗防御者的检测，是僵尸网络控制者追寻的一个目标。

近几年，诸如Facebook、Twitter、腾讯微博这类的社交网站吸引了全世界数亿用户，社交网络服务的快速发展以及社会工程学攻击的多样化催生了社交僵尸网络的出现，并逐渐成为危及互联网安全的一种新威胁。社交僵尸网络是指利用社交网络账号搭建控制节点的僵尸网络，本文所述的控制节点相当于传统僵尸网络的命令与控制服务器，用于在控制者与僵尸终端之间中转控制命令与反馈信息。控制节点与控制者注册的僵尸账号的昵称一一对应，控制者和僵尸终端均通过URL（Uniform Resource Locator，统一资源定位符）访问控制节点。为了方便用户记忆，社交网络普遍允许用户设置个性化URL，形式为“固定前缀+昵称”。以新浪微博为例，假定用户昵称为abc123，则该用户主页的个性化URL可设置为：http://weibo.com/abc123。正是由于社交网络的这一特性，新型社交僵尸网络，如AndBot、CoolBot，引入了URL-Flux技术增强其C&C机制的抗毁性，其核心思想是基于NGA（Nickname Generation Algorithm，昵称生成算法）。NGA利用种子批量生成伪随机昵称，用于构造访问控制节点的个性化URL列表，更换新的种子后，NGA会生成新一批伪随机昵称。僵尸终端轮询URL列表，一旦某个URL访问成功，便可与对应的控制节点通信。种子主要用于同步控制者和僵尸终端的URL列表，时间、搜索引擎对某关键词给出的返回记录、社交网络热门主题排名等均可做为种子。由于社交网络用户数以亿计，NGA生成的昵称需要尽量避免与合法用户的昵称冲突；此外，为了增加防御者对僵尸网络昵称进行语义分析的难度，还需要降低昵称之间的相关性。因此，NGA通常会对生成的昵称进行伪随机处理。相比传统僵尸网络，这类新型社交僵尸网络具有隐蔽性高、抗毁性强、高效低成本等优势。

从僵尸网络控制者的角度来看，利用URL-Flux技术对抗检测十分奏效。控制者只需要从僵尸终端每天会轮询的多个昵称中任意注册一个或几个，但防御者则必须先于控制者注册所有昵称，才可能接管僵尸网络。为此，防御者必须事先逆向僵尸程序，从中解析出NGA。然而，逆向僵尸程序是一项相当消耗资源和时间的工程，在相应NGA被破解之前，一旦控制者利用新的NGA更新了僵尸程序，则需要重新对僵尸程序进行逆向，致使大量宝贵的资源和时间被浪费掉。因此，能否在无需逆向僵尸程序的情况下就能有效地检测出用于构建社交僵尸网络控制节点的伪随机昵称，对于僵尸网络的检测是非常重要的。

目前，已有的相关技术主要用于检测传统僵尸网络或其它形式网络攻击的恶意URL。Ma等人提出了一种基于URL词法特征（域名长度、主机名、圆点个数等）的统计学习技术，可以自动检测一个URL是否是用于网络钓鱼或发送垃圾邮件。Sandeep Yadav等人提出了一种恶意域名检测技术，可以有效检测Conficker、Torpig等基于域名生成算法的传统僵尸网络。至今，尚未找到一种有效的针对社交僵尸网络控制节点的检测技术。

发明内容

本发明所要解决的技术问题是提供一种社交僵尸网络控制节点的检测方法及装置，在无需对僵尸程序进行逆向的情况下，可以有效地实时检测出利用NGA构造的僵尸网络伪随机昵称。

为解决上述技术问题，本发明提出了一种社交僵尸网络控制节点的检测方法，包括：

步骤一，采集合法昵称样本和恶意昵称样本并保存，并将所述合法昵称样本的集合随机划分为第一合法昵称样本子集、第二合法昵称样本子集和第三合法昵称样本子集，将所述恶意昵称样本的集合随机划分为第一恶意昵称样本子集、第二恶意昵称样本子集，其中，所述昵称为字符串；