[发明专利]自动识别B/S僵尸网络后台的方法、系统及存储介质

说明书

本发明公开了自动识别B/S僵尸网络后台的方法、系统及存储介质，其中，所述方法包括：获取待检测网站URL；对待检测网站URL进行预处理；从僵尸网络后台特征库中提取特征，并判断特征类型；若所述特征为文件名特征，则利用所述文件名特征对待检测网站进行爬行测试，若存在所述文件名特征对应的网页文件则告警；若所述特征为文件内容特征，则利用所述文件内容特征遍历待检测网站，若匹配成功则告警；其中，所述僵尸网络后台特征库中存储有从已知僵尸网络后台中提取的文件名特征和文件内容特征。本发明能够有效识别基于HTTP协议的B/S架构的僵尸网络后台。

技术领域

本发明涉及网络安全技术领域，尤其涉及自动识别B/S僵尸网络后台的方法、系统及存储介质。

背景技术

僵尸网络是目前危害巨大的一种网络，它是由僵尸网络控制者通过传播恶意软件来感染其他计算机，再通过一个CC服务器集中进行对这些计算机的管理和控制。从僵尸网络控制者和被感染主机之间形成一个可一对多控制的网络。僵尸网络控制者用来感染受害主机的恶意软件，能够通过和CC服务器进行交互从而执行CC服务器所下发的任务。攻击者通过利用这种由僵尸网络构成的攻击平台能够以较低成本及资源完成大规模网络攻击，如发起分布式拒绝服务攻击(DDOS)、发送垃圾邮件、敏感信息获取、分发木马和间谍软件以及利用僵尸网络运算资源进行数字币挖矿等网络攻击。

根据命令和控制协议的不同，主要将僵尸网络分为三类：基于IRC协议的僵尸网络、基于P2P协议的僵尸网络以及基于HTTP协议的僵尸网络。其中由于网络安全研究人员已对基于IRC协议的僵尸网络进行了大量研究，对其也有很多相应的检测方法，新兴的基于P2P协议和基于HTTP协议的僵尸网络逐渐开始流行，特别是基于HTTP协议的僵尸网络，隐蔽在海量的HTTP通信流量当中，使得难以对其进行有效检测。

发明内容

针对上述技术问题，本发明所述的技术方案通过对待检测网站进行爬行，根据网站的返回信息进行判断是否存在已知僵尸网络后台的特征，进而识别是否为B/S架构的僵尸网络后台。

本发明采用如下方法来实现：自动识别B/S僵尸网络后台的方法，包括：

获取待检测网站URL；

对待检测网站URL进行预处理；

从僵尸网络后台特征库中提取特征，并判断特征类型；

若所述特征为文件名特征，则利用所述文件名特征对待检测网站进行爬行测试，若存在所述文件名特征对应的网页文件则告警；

若所述特征为文件内容特征，则利用所述文件内容特征遍历待检测网站，若匹配成功则告警；

其中，所述僵尸网络后台特征库中存储有从已知僵尸网络后台中提取的文件名特征和文件内容特征，具体为：

获取已知僵尸网络后台中的特征性文件；

从所述特征性文件中提取特征；

若所述特征为文件名特征，则向所述僵尸网络后台特征库中录入所述文件名特征；

若所述特征为文件内容特征，则向所述僵尸网络后台特征库中录入文件内容特征及相关联的文件名；

若所述特征为文件内容特征，则利用所述文件内容特征遍历待检测网站，若匹配成功则告警，具体为：

利用所述僵尸网络后台特征库获取所述文件内容特征对应的文件名；

利用所述文件名对待检测网站进行爬行测试，获取对应的网页文件；

利用所述文件内容特征遍历所述网页文件，若匹配成功则告警。

进一步地，所述对待检测网站URL进行预处理包括：去除待检测网站URL 中的文件名和参数；保留待检测网站URL中的协议、域名、IP、端口和目录。