[发明专利]僵尸网络识别方法、装置及终端设备

说明书

本申请公开了一种僵尸网络识别方法、装置及终端设备，其中，方法包括：对待处理的DNS报文日志进行风险识别，得到风险识别结果，所述DNS报文日志中包括多个域名信息，每个所述域名信息包括域名以及所述域名对应的源IP；在所述风险识别结果指示所述DNS报文日志疑似恶意流量的情况下，基于预配置的DGA家族规则，确定所述DNS报文日志中各域名信息所属的DGA家族集合；基于所述DGA家族集合以及所述源IP，对具有相同源IP的域名信息进行聚类，得到多个目标流量组；分别统计各所述目标流量组中访问同一类DGA家族集合的源IP的数量；在所述数量大于第一阈值、且访问无效返回占比大于第二阈值的情况下，确定所述源IP对应的网络为僵尸网络。

技术领域

本申请涉及网络安全技术领域，尤其涉及一种僵尸网络识别方法、装置及终端设备。

背景技术

僵尸网络是一种复杂、灵活、高效的网络攻击平台，在互联网中分布非常广泛。僵尸网络使攻击者具备了实施大规模恶意活动的能力，如发动分布式拒绝服务攻击、发送垃圾邮件(Spam)、网络钓鱼(Phishing)以及窃取信息等，

其中，僵尸网络的逻辑为黑客利用相应的手段攻破用户主机、企业服务器等，以实现自身的非法目的。僵尸网络的活动主要分为传播、命令与控制(CC)、攻击三个阶段，其中命令与控制是僵尸网络工作的核心机制。例如图1所示，是一种基于中心CC服务器的僵尸网络实现过程，其通过远控域名，建立CC服务器与僵尸主机之间的联系，再通过下发指令，发动群体对受害主机或服务器的网络攻击。

由于僵尸网络的危害严重，因此，如何有效识别并对抗僵尸网络已经成为网络安全研究的热点之一。但是，在僵尸网络在与安全组织和厂商的博弈过程中，为了解决僵尸网络的隐蔽性、生存性等问题，其也在不断地演化，从而呈现出如下的发展趋势。

1、非中心化：非中心化结构因其在抗毁性方面的优势，正逐渐被越来越多的僵尸网络采用。

2、小型化：僵尸网络的规模在一定程度上呈现出缩小的趋势。

3、隔离化：更多的僵尸网络将会采用Domain-Flux(DGA)技术来隔离僵尸结点与命令服务器的直接通信，以为命令服务器提供一层安全保护。

针对僵尸网络出现的前述趋势，相关技术中已有的僵尸网络检测手段逐渐失去了自身的优势，导致僵尸网络识别效果差，无法有效对抗僵尸网络的攻击。

发明内容

本申请实施例提供了一种僵尸网络识别方法、装置及终端设备，能够有效解决僵尸网络识别效果差，无法有效对抗僵尸网络攻击的问题。

为了解决上述问题，本申请是这样实现的：

第一方面，本申请实施例提供一种僵尸网络识别方法，所述方法包括：对待处理的DNS报文日志进行风险识别，得到风险识别结果，所述DNS报文日志中包括多个域名信息，每个所述域名信息包括域名以及所述域名对应的源IP；在所述风险识别结果指示所述DNS报文日志疑似恶意流量的情况下，基于预配置的DGA家族规则，确定所述DNS报文日志中各域名信息所属的目标DGA家族集合；基于所述DGA家族集合以及所述源IP，对具有相同源IP的域名信息集进行聚类，得到多个目标流量组；分别统计各所述目标流量组中访问同一类DGA家族集合的源IP的数量；在所述数量大于第一阈值、且访问无效返回占比大于第二阈值的情况下，确定所述源IP对应的网络为僵尸网络。