[发明专利]基于大数据发现的僵尸木马病毒检测及管控方法

说明书

本发明的目的在于提供一种基于大数据发现的僵尸木马病毒检测及管控方法，包括以下四个具体的步骤：收集传播网站获取病毒样本、分析被感染服务器病毒特征、提示受感染用户和追踪并控阻止控制源。本发明通过白名单过滤掉信任域名，对可疑域名的攻击源进行分析，最终通过攻击源肉机识别出肉机的远程控制端地址。分析完成后将统计分析数据记录到病毒库并对僵尸网络、病毒进行跟踪分析，同时对可疑域名进行转发，避免用户访问时造成主机感染木马病毒。

技术领域

本发明涉及网络安全技术领域，具体涉及一种僵尸木马病毒检测及管控方法。

背景技术

随着Internet的不断发展，WEB网站已经成为互联网最重要的资源，在众多的WEB网站中有些也包含着恶意的木马网站，当用户访问到木马网站时，用户的主机很有可能会被木马病毒给感染，此时控制者和被感染主机之间所形成了一个可一对多控制的网络。攻击者通过各种途径传播僵尸程序感染互联网上的大量主机，而被感染的主机将通过一个控制信道接收攻击者的指令，组成一个僵尸网络，对互联网安全造成了极大的破坏。因此需要对可疑域名攻击的僵尸网络进行深度分析以有效地识别这种网络的内在结构并对其进行有效的管控杜绝这种隐患。

现有的技术是结合杀毒软件，在客户端利用病毒的特征码识别用户是否感染了木马病毒，如果发现利用杀毒程序进行病毒清理。这样的技术存在如下缺点：

(1)该技术是一种被动的防御手段，无法阻止并预测用户访问新的病毒传播网站，并且即便是发现了传播网站，也无法通知其他客户不要访问。

(2)只能发现本机是否感染了病毒，无法斩断控制源对整个网络的控制。

(3)一切的技术都是基于客户端的，如果用户没有安装或没有更新，则完全无法防御。

因此，亟需一种有效的僵尸木马病毒检测及管控方法以解决以下问题：

(1)被感染的大量主机对可疑域名进行访问时，可疑域名会有大量的访问量，而正常的域名如百度等，访问量同样也很巨大，单以访问量做对比，易与正常域名混淆，因此在对可疑域名的定位识别上需要更细致的区分；

(2)在识别出来的控制端中，很有可能有一部分只是肉机，而肉机只是拥有管理权限的远程电脑，既是受控制端控制的远程电脑，而真正的控制端依然可以以肉机电脑为跳板(代理服务器)对其它电脑发起攻击，这时需要对可疑域名攻击的僵尸网络进行深度分析，定位出最终控制端；

(3)在对搜集的域名进行分析统计并定位出可疑域名后，需要建立病毒库以记录历史分析统计信息，同时依据病毒库里的信息数据对僵尸网络、病毒活跃度进行跟踪分析，掌握全网整体趋势动态分布。

发明内容

本发明的目的在于提供一种基于大数据发现的僵尸木马病毒检测及管控方法。

本发明的目的可通过以下的技术措施来实现：

一种基于大数据发现的僵尸木马病毒检测及管控方法，包括以下四个具体的步骤：收集传播网站获取病毒样本、分析被感染服务器病毒特征、提示受感染用户和追踪并控阻止控制源；

步骤1，收集传播网站获取病毒样本：采用蜜罐技术，即将传统服务器采用虚拟化技术形成多台服务器，作为蜜罐机器，把病毒链接下发给该蜜罐机器，模拟用户浏览器访问行为，访问病毒链接或者下载病毒木马程序从而获得病毒样本，遍历所有的可疑网站、域名、全部子路径获取病毒样本，同时在系统防护和控制僵尸木马网络的时候也实时更新系统本身病毒库的病毒样本信息，根据通告上传和自我追踪发现的方式使得系统形成齐全的病毒样本。所述病毒链接从DNS管理系统、DNS大数据分析系统、DNS攻击防护系统、CNCERT、集团通告及其他第三方系统处获得。通过系统病毒库里全面的病毒样本信息，根据僵尸木马病毒网络域名的关联和肉机控制源及DNS数据特征追踪并分析出控制源。所述追踪并分析出控制源的依据例如是所有被控制端对控制端的访问行为呈现一致性的规律。