[发明专利]一种基于威胁情报的僵尸网络检测方法及检测系统

权利要求书

1.一种基于威胁情报的僵尸网络检测方法，其特征在于：所述方法包括以下步骤：

步骤1：检测模块启动，加载本地更新的所有威胁情报至本地威胁情报库；

步骤2：若检测模块获得基于采集的网络流量的第一审计数据，则进行下一步，否则，重复步骤2；

步骤3：检测模块以第一审计数据与本地威胁情报库中的数据进行匹配，若匹配成功，则保存第一审计数据、风险数据到数据库，进行下一步，否则，保存第一审计数据，返回步骤2；所述第一审计数据包括源IP、请求时间、目的地址、发送的请求信息、返回信息、返回码；

步骤4：获得当前第一审计数据的源IP在T时间内的第二审计数据；所述第二审计数据包括源IP、请求时间、目的地址、发送的请求信息、返回信息、返回码；

步骤5：基于风险数据对威胁事件进行分类；包括以下步骤：

步骤5.1：基于风险数据对威胁事件分类至若干威胁类型；

步骤5.2：针对每个威胁类型，以目的IP和/或恶意域名聚类为若干子集；

步骤5.3：输出所有的子集；

步骤6：将第一审计数据、第二审计数据和分类后的数据进行关联和分析，将网络请求行为的特征符合僵尸网络特征的所有IP确认为僵尸网络；

所述步骤6包括以下步骤：

步骤6.1：取任一未处理的子集；

步骤6.2：若当前子集中存在至少1个源IP超过1次访问同一个目的IP和/或访问相同的恶意域名，则分析当前源IP的审计数据是否存在僵尸网络特征，若是，则判定这些IP对应的主机已经感染了僵尸程序，否则进行下一步；

步骤6.3：是否还存在未处理的子集，若是，返回步骤6.1，否则，输出确认的僵尸网络。

2.根据权利要求1所述的一种基于威胁情报的僵尸网络检测方法，其特征在于：若情报更新模块从云端下载了更新的威胁情报数据，则情报更新模块发送通知给检测模块，检测模块增量加载最近更新的威胁情报数据。

3.根据权利要求1所述的一种基于威胁情报的僵尸网络检测方法，其特征在于：所述步骤3中，风险数据包括当前审计数据的域名的威胁程度、所属黑客组织、所属病毒家族、威胁类型、域名注册信息。

4.根据权利要求1所述的一种基于威胁情报的僵尸网络检测方法，其特征在于：所述步骤4中，T为0.5~2小时。

5.根据权利要求2所述的一种基于威胁情报的僵尸网络检测方法，其特征在于：所述情报更新模块定期检查云端的威胁情报库更新的威胁情报数据，选择是否从云端更新威胁情报数据。

6.一种采用权利要求1~5之一所述的基于威胁情报的僵尸网络检测方法的检测系统，其特征在于：所述检测系统包括：

一情报更新模块，用于定期检查云端威胁情报库最近的更新情况并确定是否需要从云端更新威胁情报数据；

一威胁情报库，用于将情报更新模块从云端下载的威胁情报数据保存到本地；

一网络流量采集与解析模块，用于获取网络流量数据并解析为审计数据；

一检测模块，用于加载威胁情报库并与网络流量采集与解析模块解析后的审计数据进行匹配得到风险数据；

一分析模块，用于对检测模块输出的结果进行分析。

7.根据权利要求6所述的一种基于威胁情报的僵尸网络检测方法的检测系统，其特征在于：所述云端包括：

一云端威胁情报库，用于保存全量威胁情报数据；

一情报查询和更新接口，用于与情报更新模块对接，提供威胁情报查询接口和情报更新接口。